Forwarded from Пост Лукацкого
Synopsys выпустил свеженький отчет по безопасности open source. Как и в прошлый годы развенчивается миф о том, что open source более защищенный, чем проприетарный софт из-за того, что его якобы смотрит больше людей. Открытость софта мало влияет на безопасность, что не мешает противникам проприетарного ПО и сторонникам открытого продолжать стоять на своем (хоть это и больно).
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Kubernetes Security Checklist and Requirements
В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉
Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!
Кстати, есть также версия на русском.
#k8s #ops
В канале было много того, что касается безопасности ванильного Kubernetes, но, когда дело доходит до составления перечня требований или чеклиста для аудита, так или иначе приходится тратить время для сведения всего этого воедино. Чтобы упростить эту задачу мы зарелизили собственный чек-лист безопасности k8s: Kubernetes Security Checklist and Requirements 🎉
Здесь важно отметить,что этот чек-лист - это лишь один из путей повышения безопасности кластера. Этот путь самый сложный и во многом самый противоречивый и утрированный. Многое из того, что здесь есть, запросто может не подойти для вашей инфраструктуры в силу культуры или технических ограничений. Все это сделано с той целью, чтобы напомнить вам о тех мерах, про которые вы могли забыть, но для вас они подходят больше всего. PR'ы приветствуются!
Кстати, есть также версия на русском.
#k8s #ops
GitHub
kubernetes-security-checklist/README.md at main · Vinum-Security/kubernetes-security-checklist
Kubernetes Security Checklist and Requirements - All in One (authentication, authorization, logging, secrets, configuration, network, workloads, dockerfile) - Vinum-Security/kubernetes-security-che...
Forwarded from k8s (in)security (D1g1)
Давненько не было облачных новостей - исправляем это упущение.
От команды
Мое внимание в первую очередь, конечно же, захватил раздел "Безопасность Managed Service for Kubernetes", где присутствуют такие пункты как:
- Шифрование данных и управление ключами/секретами
- Сетевая безопасность
- Аутентификация и управление доступом
- Безопасная конфигурация
- Сбор, мониторинг и анализ логов аудита
- Резервное копирование
Большинство инструкций можно на прямую посмотреть в соответствующем репозитории. Мне, на пример, очень понравилась инструкция "Анализ логов безопасности k8s в ELK" - там можно подсмотреть вещи и для разворачивания такого и у себя локально ;)
Также пообщавшись с ребятами из команды безопасности узнал, что не за горами появление аналога IMDSv2 для борьбы с SSRF атаками и механизма подобного Workload Identity из
От команды
Yandex.Cloud вышел официальный чеклист по безопасности (есть и не официальный)!Мое внимание в первую очередь, конечно же, захватил раздел "Безопасность Managed Service for Kubernetes", где присутствуют такие пункты как:
- Шифрование данных и управление ключами/секретами
- Сетевая безопасность
- Аутентификация и управление доступом
- Безопасная конфигурация
- Сбор, мониторинг и анализ логов аудита
- Резервное копирование
Большинство инструкций можно на прямую посмотреть в соответствующем репозитории. Мне, на пример, очень понравилась инструкция "Анализ логов безопасности k8s в ELK" - там можно подсмотреть вещи и для разворачивания такого и у себя локально ;)
Также пообщавшись с ребятами из команды безопасности узнал, что не за горами появление аналога IMDSv2 для борьбы с SSRF атаками и механизма подобного Workload Identity из
GKE или IRSA из EKS. Это все очень здорово!yandex.cloud
Документация Yandex Cloud | Безопасность в Yandex Cloud | Все рекомендации
Из статьи вы узнаете, какие рекомендации по безопасности применяются на платформе Yandex Cloud.
Принадлежит ли вам ваш кластер Kubernetes?
Может, прямо сейчас кто-то копирует данные, майнит в нём, выводит его из строя? Приглашаем посмотреть, как мы ломаем и защищаем кластеры.
Вебинар «Дыры и заборы: безопасность в Kubernetes» пройдет 13 октября в 19:00 Мск.
Поговорим про культуру безопасности в Kubernetes, а еще про вахтёрство и карго-культ. Рассмотрим нашумевшие взломы Kubernetes: Tesla 2018, TeamTNT 2020 и секретный бонус. В прямом эфире атакуем кластер, помайним там и отключим его.
https://slurm.io/security-webinar
Может, прямо сейчас кто-то копирует данные, майнит в нём, выводит его из строя? Приглашаем посмотреть, как мы ломаем и защищаем кластеры.
Вебинар «Дыры и заборы: безопасность в Kubernetes» пройдет 13 октября в 19:00 Мск.
Поговорим про культуру безопасности в Kubernetes, а еще про вахтёрство и карго-культ. Рассмотрим нашумевшие взломы Kubernetes: Tesla 2018, TeamTNT 2020 и секретный бонус. В прямом эфире атакуем кластер, помайним там и отключим его.
https://slurm.io/security-webinar
ISACARuSec
Принадлежит ли вам ваш кластер Kubernetes? Может, прямо сейчас кто-то копирует данные, майнит в нём, выводит его из строя? Приглашаем посмотреть, как мы ломаем и защищаем кластеры. Вебинар «Дыры и заборы: безопасность в Kubernetes» пройдет 13 октября в 19:00…
Учитывая актуальность темы безопасности Kubernetes вебинар стоит посещения или последующего просмотра. Коллеги даже обещали, по возможности, проанализировать присланные в ходе вебинара примеры манифестов с "узкими местами".
Forwarded from SecAtor
Mayday! Mayday! из Редмонда, штата Вашингтон.
Подъехал вагон и маленькая тележка обновлений от Microsoft с исправлениями как минимум 71 ошибки безопасности в продуктах и компонентах Windows. Но вишенкой на торте стало срочное предупреждение о выявленных фактах кибершпионажа с использованием 0-day уязвимостей:
- CVE-2021-40449 (CVSS: 7,8) - уязвимость Win32k, связанная с повышением привилегий.
- CVE-2021-41335 (CVSS: 7,8) - уязвимость ядра Windows, связанная с повышением привилегий.
- CVE-2021-40469 (CVSS: 7,2) - уязвимость Windows DNS Server, связанная с удаленным выполнением кода.
- CVE-2021-41338 (CVSS: 5,5) - Уязвимость, связанная с обходом функций безопасности в правилах брандмауэра Windows AppContainer.
Производитель программного обеспечения, подтвердил эксплуатацию CVE-2021-40449 в цепочке эксплойтов, которая была обнаружена соотечественниками из Kaspersky. Исследователи прямо не заверили и сообщили, что все указывает на то, что, уязвимость использовалась APT IronHusky из Поднебесной, нацеленной на ИТ-компании, дипломатические учреждения, а также военные и оборонные предприятия. В техническом описании говорится, что цепочки заражения приводят к развертыванию трояна для удаленного доступа, способного собирать и фильтровать системную информацию из скомпрометированных хостов, прежде чем обращаться к своему серверу C2 за дальнейшими инструкциями.
Две из 71 задокументированной уязвимости имеют наивысший рейтинг серьезности по версии Microsoft. Другие наиболее опасные ошибки включают уязвимости удаленного выполнения кода, влияющие на Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE- 2021-41344) и Microsoft Word (CVE-2021-40486), а также ошибка раскрытия информации в Rich Text Edit Control (CVE-2021-40454).
А CVE-2021-26427 с рейтингом CVSS 9,0 прям настолько вошла хакерам, что засуетились даже ребята из Агентства национальной безопасности США (NSA), особо отмечая тренд нацеливания хакеров на уязвимые сервера Exchange для входа в периметр своих жертв.
Microsoft и передовой инфосек истеблишмент призывают немедленно установить обновления дабы избежать возможных негативных последствий. Ну, а мы, в свою очередь, подождём вестей от тех, кто не успел этого сделать вовремя.
Подъехал вагон и маленькая тележка обновлений от Microsoft с исправлениями как минимум 71 ошибки безопасности в продуктах и компонентах Windows. Но вишенкой на торте стало срочное предупреждение о выявленных фактах кибершпионажа с использованием 0-day уязвимостей:
- CVE-2021-40449 (CVSS: 7,8) - уязвимость Win32k, связанная с повышением привилегий.
- CVE-2021-41335 (CVSS: 7,8) - уязвимость ядра Windows, связанная с повышением привилегий.
- CVE-2021-40469 (CVSS: 7,2) - уязвимость Windows DNS Server, связанная с удаленным выполнением кода.
- CVE-2021-41338 (CVSS: 5,5) - Уязвимость, связанная с обходом функций безопасности в правилах брандмауэра Windows AppContainer.
Производитель программного обеспечения, подтвердил эксплуатацию CVE-2021-40449 в цепочке эксплойтов, которая была обнаружена соотечественниками из Kaspersky. Исследователи прямо не заверили и сообщили, что все указывает на то, что, уязвимость использовалась APT IronHusky из Поднебесной, нацеленной на ИТ-компании, дипломатические учреждения, а также военные и оборонные предприятия. В техническом описании говорится, что цепочки заражения приводят к развертыванию трояна для удаленного доступа, способного собирать и фильтровать системную информацию из скомпрометированных хостов, прежде чем обращаться к своему серверу C2 за дальнейшими инструкциями.
Две из 71 задокументированной уязвимости имеют наивысший рейтинг серьезности по версии Microsoft. Другие наиболее опасные ошибки включают уязвимости удаленного выполнения кода, влияющие на Microsoft Exchange Server (CVE-2021-26427), Windows Hyper-V (CVE-2021-38672 и CVE-2021-40461), SharePoint Server (CVE-2021-40487 и CVE- 2021-41344) и Microsoft Word (CVE-2021-40486), а также ошибка раскрытия информации в Rich Text Edit Control (CVE-2021-40454).
А CVE-2021-26427 с рейтингом CVSS 9,0 прям настолько вошла хакерам, что засуетились даже ребята из Агентства национальной безопасности США (NSA), особо отмечая тренд нацеливания хакеров на уязвимые сервера Exchange для входа в периметр своих жертв.
Microsoft и передовой инфосек истеблишмент призывают немедленно установить обновления дабы избежать возможных негативных последствий. Ну, а мы, в свою очередь, подождём вестей от тех, кто не успел этого сделать вовремя.
https://detivbezopasnosti.ru/galaxy Отличный школьный творческий конкурс по ИБ от рисунка до стихов! ждем с нетерпением финалистов!
Forwarded from Yandex Cloud
Вышел новый бюллетень безопасности
Мы регулярно публикуем рекомендации специалистов Yandex.Cloud по актуальным вопросам безопасности. Новый бюллетень безопасности рассказывает об уязвимости, обнаруженной в сентябре в Kubernetes, которая позволяла получать доступ к файловой системе ноды при авторизации пользователя в кластере.
Yandex Managed Service for Kubernetes не поддерживает анонимный доступ в кластер и не подвержен уязвимости со стороны внешнего нарушителя. Обновление, которое закрывает потенциальные уязвимости со стороны внутреннего нарушителя, доступно во всех релизных каналах.
Дополнительную информацию и подробности смотрите по ссылке →
#yacloud_news
Мы регулярно публикуем рекомендации специалистов Yandex.Cloud по актуальным вопросам безопасности. Новый бюллетень безопасности рассказывает об уязвимости, обнаруженной в сентябре в Kubernetes, которая позволяла получать доступ к файловой системе ноды при авторизации пользователя в кластере.
Yandex Managed Service for Kubernetes не поддерживает анонимный доступ в кластер и не подвержен уязвимости со стороны внешнего нарушителя. Обновление, которое закрывает потенциальные уязвимости со стороны внутреннего нарушителя, доступно во всех релизных каналах.
Дополнительную информацию и подробности смотрите по ссылке →
#yacloud_news
Forwarded from SecAtor
Монументально потрудились специалисты службы сканирования Google VirusTotal, выпустив отчет по результатам анализа 80 миллионов образцов ransomware, представленных из 140 стран.
В 2020 году и в первой половине 2021 года исследователями выявлено не менее 130 семейств активных программ-вымогателей. При этом многие из крупных вредоносных кампаний вымогателей были актуальны в короткой перспективе, но примерно 100 штаммов программ-вымогателей сохраняют свою активность на постоянной основе.
Проанализированные образцы были сгруппированы по 30 000 кластеров вредоносных программ, на долю GandCrab приходилось 6 000, за ним следовали Cerber с почти 5 000 кластеров и Congur с примерно 2 500 кластерами. Таким образом, согласно анализу GandCrab является самым активным семейством программ-вымогателей, поражающих системы Windows с начала 2020 года. GandCrab также остается лидером даже по количеству различных образцов, отправленных в VirusTotal, составляя 78,5% из них.
Бабук, появившийся в начале 2021 года и использовавшийся при нападении на Департамент столичной полиции Вашингтона занял второе место с 7,61% представленных образцов. Cerber (с 3,11% выборок), Matsnu (2,63%) и WannaCry (2,41%) замыкают пятерку лидеров. Далее следуют: Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) и Reveon (0,70%).
Анализ VirusTotal также показал, что злоумышленники используют ряд подходов, в том числе хорошо известные вредоносные программы для бот-сетей и другие трояны удаленного доступа (RAT) в качестве средств доставки своих программ-вымогателей. В большинстве случаев они задействуют свежие или новые образцы программ-вымогателей для своих кампаний. Злоумышленники также прибегают к эксплойтам для повышения привилегий и распространения своего вредоносного ПО во внутренних сетях.
Emotet, Zbot, Dridex, Gozi и Danabot были основными вредоносными артефактами, используемыми для распространения программ-вымогателей.
Большинство программ-вымогателей по-прежнему нацелены на системы Windows, поскольку примерно 95% образцов представляют собой исполняемые файлы для Windows или библиотеки динамической компоновки (DLL). На долю программ-вымогателей под Android приходилось 2% образцов. Google также обнаружил примерно 1 миллион образцов вымогателей EvilQuest, нацеленных на машины с macOS. Около 5% проанализированных образцов были связаны с эксплойтами, связанными с повышением привилегий Windows, раскрытием информации SMB и удаленным выполнением.
наиболее пострадавшим от ransomware оказался Израиль, количество представленных образцов увеличилось на 600%. За ним следуют: Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания.
В 2020 году и в первой половине 2021 года исследователями выявлено не менее 130 семейств активных программ-вымогателей. При этом многие из крупных вредоносных кампаний вымогателей были актуальны в короткой перспективе, но примерно 100 штаммов программ-вымогателей сохраняют свою активность на постоянной основе.
Проанализированные образцы были сгруппированы по 30 000 кластеров вредоносных программ, на долю GandCrab приходилось 6 000, за ним следовали Cerber с почти 5 000 кластеров и Congur с примерно 2 500 кластерами. Таким образом, согласно анализу GandCrab является самым активным семейством программ-вымогателей, поражающих системы Windows с начала 2020 года. GandCrab также остается лидером даже по количеству различных образцов, отправленных в VirusTotal, составляя 78,5% из них.
Бабук, появившийся в начале 2021 года и использовавшийся при нападении на Департамент столичной полиции Вашингтона занял второе место с 7,61% представленных образцов. Cerber (с 3,11% выборок), Matsnu (2,63%) и WannaCry (2,41%) замыкают пятерку лидеров. Далее следуют: Congur (1,52%), Locky (1,29%), Teslacrypt (1,12%), Rkor (1,11%) и Reveon (0,70%).
Анализ VirusTotal также показал, что злоумышленники используют ряд подходов, в том числе хорошо известные вредоносные программы для бот-сетей и другие трояны удаленного доступа (RAT) в качестве средств доставки своих программ-вымогателей. В большинстве случаев они задействуют свежие или новые образцы программ-вымогателей для своих кампаний. Злоумышленники также прибегают к эксплойтам для повышения привилегий и распространения своего вредоносного ПО во внутренних сетях.
Emotet, Zbot, Dridex, Gozi и Danabot были основными вредоносными артефактами, используемыми для распространения программ-вымогателей.
Большинство программ-вымогателей по-прежнему нацелены на системы Windows, поскольку примерно 95% образцов представляют собой исполняемые файлы для Windows или библиотеки динамической компоновки (DLL). На долю программ-вымогателей под Android приходилось 2% образцов. Google также обнаружил примерно 1 миллион образцов вымогателей EvilQuest, нацеленных на машины с macOS. Около 5% проанализированных образцов были связаны с эксплойтами, связанными с повышением привилегий Windows, раскрытием информации SMB и удаленным выполнением.
наиболее пострадавшим от ransomware оказался Израиль, количество представленных образцов увеличилось на 600%. За ним следуют: Южная Корея, Вьетнам, Китай, Сингапур, Индия, Казахстан, Филиппины, Иран и Великобритания.
Forwarded from SecurityLab.ru
Хотите узнать, что происходит нового в сфере кибербезопасности, - обращайте внимание на стартапы, относящиеся к данной области. Стартапы начинаются с инновационной идеи и не ограничиваются стандартными решениями и основным подходом. Зачастую стартапы справляются с проблемами, которые больше никто не может решить.
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа - это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
https://www.securitylab.ru/analytics/525423.php
Обратной стороной стартапов, конечно же, нехватка ресурсов и зрелости. Выбор продукта или платформы стартапа - это риск, требующий особых отношений между заказчиком и поставщиком . Однако, в случае успеха компания может получить конкурентное преимущество или снизить нагрузку на ресурсы безопасности.
Ниже приведены наиболее интересные стартапы (компании, основанные или вышедшие из «скрытого режима» за последние два года).
https://www.securitylab.ru/analytics/525423.php
SecurityLab.ru
18 стартапов в области кибербезопасности, на которые стоит обратить внимание
В статье мы расскажем о наиболее интересных стартапах в области кибербезопасности, на которые следует обратить внимание.
Forwarded from OpenNews (HK-47)
В процессорах AMD выявлена ещё одна уязвимость, допускающая атаки класса Meltdown
Группа исследователей из Грацского технического университета (Австрия) и Центра Гельмгольца по информационной безопасности (CISPA) раскрыла сведения об уязвимости (CVE-2021-26318) во всех процессорах AMD, делающей возможным проведение атак по сторонним каналам класса Meltdown (изначально предполагалось, что процессоры AMD не подвержены уязвимости Meltdown). С практической стороны атака может.
Группа исследователей из Грацского технического университета (Австрия) и Центра Гельмгольца по информационной безопасности (CISPA) раскрыла сведения об уязвимости (CVE-2021-26318) во всех процессорах AMD, делающей возможным проведение атак по сторонним каналам класса Meltdown (изначально предполагалось, что процессоры AMD не подвержены уязвимости Meltdown). С практической стороны атака может.
Forwarded from SecAtor
Компаниям, использующим сетевое оборудование Juniper рекомендуется обновиться и ознакомиться с рекомендациями по безопасности, которые производитель выпустил на прошлой неделе.
Речь идет о более чем 40 рекомендациях, в которых описывается более 70 уязвимостей, влияющих на безопасность широкой линейки продуктов компании.
Львиная доля рекомендаций описывает критические уязвимости, в том числе те, которые могут быть использованы для атак типа «отказ в обслуживании» (DoS), удаленного выполнения кода (в том числе XSS), повышения привилегий и обхода безопасности. Многие баги связаны с использованием сторонних компонентов, но основная масса уязвимостей затрагивает операционную систему Juniper Junos OS, на которой работает большинство продуктов компании.
Juniper выпустила соответствующие обновления и исправления, а в некоторых случаях описаны дополнительные меры по предотвращению и снижению риска эксплуатации.
По словам Juniper, многие уязвимости были обнаружены в ходе внутреннего тестирования и исследования безопасности продукта, данными об использовании описанных уязвимостей в дикой природе они также не располагают.
Вместе с тем, Агентство по кибербезопасности США (CISA) поручило организациям в кратчайшие сроки ознакомиться с рекомендациями Juniper и применить необходимые обновления. Судя по всему, данные все же есть есть.
Речь идет о более чем 40 рекомендациях, в которых описывается более 70 уязвимостей, влияющих на безопасность широкой линейки продуктов компании.
Львиная доля рекомендаций описывает критические уязвимости, в том числе те, которые могут быть использованы для атак типа «отказ в обслуживании» (DoS), удаленного выполнения кода (в том числе XSS), повышения привилегий и обхода безопасности. Многие баги связаны с использованием сторонних компонентов, но основная масса уязвимостей затрагивает операционную систему Juniper Junos OS, на которой работает большинство продуктов компании.
Juniper выпустила соответствующие обновления и исправления, а в некоторых случаях описаны дополнительные меры по предотвращению и снижению риска эксплуатации.
По словам Juniper, многие уязвимости были обнаружены в ходе внутреннего тестирования и исследования безопасности продукта, данными об использовании описанных уязвимостей в дикой природе они также не располагают.
Вместе с тем, Агентство по кибербезопасности США (CISA) поручило организациям в кратчайшие сроки ознакомиться с рекомендациями Juniper и применить необходимые обновления. Судя по всему, данные все же есть есть.