Крутая картинка со систематизацией Kubernetes Privilage Escalation! (Автор не известен.)

И Red team и Blue team это все очень полезно знать.

P.S. Сегодня на ZeroNights - буду рад пообщаться лично, пообсуждать Kubernetes ;)

Специалистами Cisco была обнаружена критическая уязвимость и экстренно выпущен соответствующий патч. Угроза касается интерфейса Application Policy Infrastructure Controller (APIC), используемого в коммутаторах серии Nexus 9000.

Речь идет о CVE-2021-1577 (оценка CVSS: 9,1), эксплуатация которой связана с неправильным контролем доступа и позволяет злоумышленнику, не прошедшему проверку подлинности, загрузить файл на устройство.

Cisco заявила, что обнаружила уязвимость во время внутреннего тестирования безопасности своих девайсов, проведенного собственной группой киберзащиты Cisco Advanced Security Initiatives Group (ASIG).

Публичных фактов эксплуатации на данный момент пока не зафиксировано, что дает фору админам, дабы успеть накатить патч.

Как показывает практика, представители хакподполья тоже не теряют время даром, умудряясь придумывать способы закрепиться в уязвимых хостах.

В среду прошел эфир AM Live, посвященный теме Threat Intelligence, который я модерировал и который собрал, пожалуй, основных игроков этой сферы в России, которые представляли как сервисы TI, так и платформы для управления TI. Тезисно, чем запомнился эфир с рядом моих дополнений и комментариев:
1️⃣ Threat Intelligence - это не киберразведка, хотя так очень солидно и звучно, а принятие решение на основе знаний об угрозах. Просто фиды, просто IOCи и даже просто чтение TTP - это еще не TI. Вот когда на основе этих данных начинают приниматься решения, вот тогда можно говорить о TI.
2️⃣ Из 4-х уровней TI (технический, тактический, операционный и стратегический) 30% зрителей используют самый нижний, самый понятный и простой (фиды и индикаторы). 9% используют тактический уровень (техники и тактики злоумышленников), 3% используют операционный (кампании) и 7% используют самый верхний уровень, стратегический (атрибуция нарушителей). Половина зрителей TI не используют совсем.
3️⃣ В массе своей TI используется в процессах обнаружения и мониторинга угроз (46% зрителей). В Threat Hunting его используют 11%, при оценке средств защиты и атрибуции - по 6%. В реагировании на инциденты - около 30%. Такое распределение похоже на реальность - все-таки пока в массе своей TI воспринимается именно как обогащение данных, генерируемых SIEMами, IDS, NGFW, EDR и т.п.
4️⃣ Большинство участников регулярно упоминало, что нельзя брать фиды от тех, чьи средства защиты у вас используются, хотя я с этим тезисом не соглашусь. Фиды могут быть сетевыми, а средства защиты хостовыми. Средства защиты делает один департамент, а фидами занимается сервисное подразделение. Вариантов много разных.
5️⃣ Строить TI у себя можно и своими силами и есть компании, которые это делают, но лучше довериться профессионалам, которые либо продают платформы TI, либо предлагают источники TI, очищенные от шлака. Но выбор источников TI - задача непростая. Частично можно возложить на соответствующие платформы, которые могут фильтровать и анализировать фиды, индикаторы и оценивать их качество. На Хабре, в канале BI.ZONE есть статья с методикой оценки источников фидов.
6️⃣ Коммерческая или бесплатная TIP? Начать можно и с MISP (тем более, что его используют многие, например, FIRST), но у нее слабая производительность и она может захлебнуться, если в нее засунуть много источников. У ENISA есть руководство по выбору TIP. Также можно посмотреть руководства Forrester или Gartner по Threat Intellgence - их можно найти в Интернете.
7️⃣ Индикаторы часто фолсят (хотя по оценкам BI.ZONE хороший источник содержит всего 0,01-0,05% фолсов), часто запаздывают, меняются от кампании/жертвы к кампании/жертве, быстро становятся неактуальными. На тему нужны индикаторы или не нужны возникла даже дискуссия ближе к середине эфира. Посмотрите ее - было интересно.
8️⃣ Индикатор КОМПРОМЕТАЦИИ - это про прошлое (хорошо, если вам повезет и вы не будете первым, кого скомпрометировали). Чтобы работать на опережение нужно использовать техники и тактики, которые позволяют (при правильном использовании) детектировать новые атаки и кампании. Но TTP не бывает так же много, как и индикаторов. Более того, нельзя оценивать тот или иной источник (как и в случае с фидами) по числу TTP или индикаторов. Важно, насколько они релевантны именно для вас. Можно получить всего один бюллетень с TTP и он попадет в десятку, а можно получать еженедельно бюллетени и ни один из них для вас не будет полезным. 47% зрителей используют MITRE ATT&CK для описания техник и тактик. 38% не используют ничего.
9️⃣ В TIP можно анализировать/фильтровать/сортировать не только индикаторы, но и техники и тактики, делая выборки по нужным критериям. У некоторых игроков рынка такие TTP сопровождаются правилами SIGMA, Yara или иными "детектами". Только тогда TIP приносит пользу и начинает играть роль отличную от простой читалки бюллетеней, опубликованных в открытом доступе многими исследователями.

1️⃣0️⃣ Топ3 источников TI не существует - все очень условно и зависит от множества факторов. Но на Github можно найти подборки таких источников и посмотреть, насколько они релевантны для вас.
1️⃣1️⃣ Загружать фиды в SIEM или средства защиты (XDR, NGFW, IDS и т.п.) можно, но возникает вопрос производительности. Хотя в эфире участвовали два производителя SIEM и от них услышать такое было интересно. Лучше загружать все в TIP, к которой и будет обращаться тот же SIEM или иные средства защиты для обогащений событий ИБ. Интеграции у большинства TIP (даже российских), в-основном, с зарубежными средствами защиты. С отечественными мало кто пока интегрируется - спроса нет. Но у многих есть либо API, либо собственные службы внедрения, которые могут провести доработку решения и написать нужный коннектор (если у интегрируемого решения тоже есть API, что для российских средств защиты возможно далеко не всегда). Но по опросу зрителей, большинство (12%) загружают бесплатные фиды напрямую в средства защиты. 10% просто читают бюллетени и заносят оттуда индикаторы в средства защиты. 7% используют бесплатные TIP. Еще 12% используют коммерческие TIP, а 9% и вовсе написали свою собственную платформу TI.
1️⃣2️⃣ TI нужен далеко не всем. Нужно дозреть и до того, что средства защиты видят далеко не все. И до того, что пассивные средства ИБ (NGFW, IDS, VM и т.п.) - это вчерашний день и нужна средства активной защиты, которые подразумевают наличие аналитиков ИБ. А аналитики ИБ - это вообще штучный товар; их нигде не готовят, они много получают. Если компания и дозревает до TI, то сначала до технического, потом до тактического. Операционный и стратегический нужны далеко не всем и не всегда.

Остальные тезисы можно посмотреть в записи эфира, которая выложена на https://www.youtube.com/watch?v=dMcL-OpbqYE

Спасибо за участие Александру Мазикин (Лаборатория Касперского), Никите Вдовушкину (BI.ZONE), Антону Соловей (R-Vision), Алексею Новикову (Positive Technologies), Артему Мелехину (Мегафон), Илье Осадчему (Тайгер Оптикс) и Дмитрию Волкову (Group-IB), а также за приглашение Илье Шабанову и Катерине Бузаевой.

Все о безопасности на конференции Yandex Scale

Скоро состоится ежегодная большая конференция про облачные технологии и мы хотим познакомить вас ближе с её основными направлениями.

Направление Security: доклады на эту тему будут связаны с вопросами безопасности в облаке. Например, как распределяется ответственность между клиентом и провайдером, какие наиболее частые ошибки совершают пользователи и как избежать инцидентов информационной безопасности.

Подробная программа конференции →

#yacloud_events

Знакомьтесь, Mannus Gott! Это новая банда, работающая в формате datamarketplace, участники которой по факту админят веб-аукцион Marketo.

В отличие от вымогателей Marketo проникает в компании, крадет их данные, а затем угрожает их слить, требуя выкуп. Ориентированы на организаций из США и Европы в сфере товаров и услуг, а также организаций в сфере здравоохранения и технологий. Утечки организуются почти каждую неделю.

Прибегая к тактике двойного вымогательства, хакеры сливают образцы украденных данных конкурентам клиентам и партнерам компании, чтобы оказать максимальное давление на жертву, публикуют образцы украденных сведений в качестве публичных пруфов.

В случае отсутствия оплаты значимые сведения размещаются на сайте утечки Marketo. Данные распродаются на скрытом аукционе путем «слепых» торгов, когда игроки делают ставки на основе своих оценок стоимости информации.

Примечательно, что помимо типового для подобных сайтов содержимого, ресурс включает раздел "Атаки" с указанием реализующихся в моменте атак на конкретные компании. Переговоры о выкупе ведутся в отдельном чате, доступ предоставляется по ссылке.

Кроме того, опционально разработан раздел обратной связи с прессой. Ведь пиар являются важной составляющей в работе таких «вымогателей», в мае они инициативно связывались с представителями СМИ и инфосек именно для этих целей.

Первыми активность задетектиили Digital Shadows Photon в апреле 2021 года. Как отмечают специалисты, Marketo за столь короткий промежуток времени смогли заработать высокую репутацию торговцев данными в даркнете.

К слову о репутации, среди последних клиентов Marketo представлены такие как гиганты как Fujitsu, Puma, Siemens, GigaTribe и др.

Похоже, что datamarketplace постепенно начинают отжимать бюджеты у ransomware, такая тактика обеспечивает хакерам заработки без вмешательства в работу какой-либо инфраструктуры.

Другое дело, если предметом торга станут данные госорганов или особо важных компаний - но это уже другая история и она уже не нова.

CISA Adds Single-Factor Authentication to List of Bad Practices

https://www.hstoday.us/federal-pages/dhs/cisa-adds-single-factor-authentication-to-list-of-bad-practices/

NIST has published for public comment a preliminary draft of Volume B of SP 1800-34, Validating the Integrity of Computing Devices

https://www.nccoe.nist.gov/webform/comments-preliminary-draft-practice-guide-1800-34-volume-b

Реализация этой инициативы Байдена может иметь заметное влияние на ИБ домашних пользователей по всему миру

https://www.nist.gov/news-events/events/2021/09/workshop-cybersecurity-labeling-programs-consumers-internet-things-iot