Forwarded from Пост Лукацкого
https://medium.com/mitre-attack/introducing-attack-v10-7743870b37e3 - вышла новая, 10-я версия, матрицы MITRE ATT&CK. Буду обновлять и свой перевод и маппинг
Medium
Introducing ATT&CK v10: More Objects, Parity and Features
Detailing the content and feature updates just released in ATT&CK v10
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
10 Types of Web Vulnerabilities that are Often Missed, OWASP Top 10 Over Time
Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.
Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs
А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.
#dev
Сегодня у нас на очереди снова веб, а именно 10 уязвимостей, которые часто упускают.
Среди них:
- HTTP/2 Smuggling
- XXE via Office Open XML Parsers
- SSRF via XSS in PDF Generators
- XSS via SVG Files
- Blind XSS
- Web Cache Deception
- Web Cache Poisoning
- h2c Smuggling
- Second Order Subdomain Takeovers
- postMessage bugs
А на картинке вы, кстати, видете, как менялся OWASP Top 10 с 2004 по 2021 год.
#dev
Forwarded from Необязательное Мнение
Про Vulnerability Management и конфы. Смотрю на списки конференций по ИБ, грущу. Из специализированных сплошной SOC, DLP, AntiFraud, криптография. Общие ориентированы либо на руководителей, либо на хардкорный офенсив. К тому же они как правило очень сильно региональные. Есть тематические вендорские мероприятия и их много, но они понятно ради чего делаются и CFP там в принципе нет. То, что на оффлайновые мероприятия в наши ковидные времена особенно не наездишься тоже понятно.
Было бы классно замутить международное мероприятие чисто по Vulnerability Management. От комьюнити (прям в широком смысле) и для комьюнити. Ради контента и развития горизонтальных связей, а не маркетинга. Чего бы хотелось:
1. Полный онлайн.
2. Никакой региональной специфики. В качестве формальной прописки выбрать что-нибудь подчеркнуто нейтральное и карликовое типа Тувалу.
3. Все доклады на английском, чтобы не заморачиваться с переводом.
4. Все доклады через CFP и голосование программного комитета.
5. Адресно пригласить спикеров/блоггеров от VM вендоров, исследователей, разработчиков опенсурсных утилит и контента.
Теоретически (и на крайняк) можно было бы провести вообще без бюджета. Стримить через YouTube или Twitch, в эфир выводить через Zoom или Skype. Тех, кто по техническим причинам не смог подключиться (а такие накладки неизбежны) добавить как видео запись, а ответы на вопросы собрать через комментарии.
Было бы классно замутить международное мероприятие чисто по Vulnerability Management. От комьюнити (прям в широком смысле) и для комьюнити. Ради контента и развития горизонтальных связей, а не маркетинга. Чего бы хотелось:
1. Полный онлайн.
2. Никакой региональной специфики. В качестве формальной прописки выбрать что-нибудь подчеркнуто нейтральное и карликовое типа Тувалу.
3. Все доклады на английском, чтобы не заморачиваться с переводом.
4. Все доклады через CFP и голосование программного комитета.
5. Адресно пригласить спикеров/блоггеров от VM вендоров, исследователей, разработчиков опенсурсных утилит и контента.
Теоретически (и на крайняк) можно было бы провести вообще без бюджета. Стримить через YouTube или Twitch, в эфир выводить через Zoom или Skype. Тех, кто по техническим причинам не смог подключиться (а такие накладки неизбежны) добавить как видео запись, а ответы на вопросы собрать через комментарии.
Forwarded from Необязательное Мнение
Идея с конфой не заглохла. Фидбек на идею был полностью положительный, решил что нужно это делать. Как минимум попробовать. Каких-то завышенных ожиданий нет, даже если соберем 5 спикеров (и я буду среди них) и 10 зрителей, это будет вполне себе успех как по мне. Но первоначальная реакция на идею достаточно обнадеживает. Посмотрим как будет развиаться. По плану с ноября запустить CFP и начать адресно приглашать интересных спикеров.
Forwarded from VMconf 22
From idea to implementation. We will host an independent Vulnerability Management conference. CFP launch in a week. https://vmconf.pw/
#vmconf #vmconf22 #vulnerabilitymanagement
#vmconf #vmconf22 #vulnerabilitymanagement
Forwarded from Sys-Admin InfoSec
Franken-phish: TodayZoo built from other phishing kits - Microsoft Security Blog
https://www.microsoft.com/security/blog/2021/10/21/franken-phish-todayzoo-built-from-other-phishing-kits/
P.S. phishing domains will block with Sys-Admin BLD soon
https://www.microsoft.com/security/blog/2021/10/21/franken-phish-todayzoo-built-from-other-phishing-kits/
P.S. phishing domains will block with Sys-Admin BLD soon
Microsoft News
Franken-phish: TodayZoo built from other phishing kits
A phishing kit built using pieces of code copied from other kits, some available for sale through publicly accessible scam sellers or are reused and repackaged by other kit resellers, provides rich insight into the state of the economy that drives phishing…
Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Common Threat Matrix for CI/CD Pipeline
В рамках доклада “Attacking and Securing CI/CD Pipeline” на конференции CODE BLUE 2021 Opentalks вышла матрица угроз MITRE ATT&CK для CI/CD: Threat Matrix for CI/CD Pipeline. Частично она переиспользует идеи, предложенные SLSA, расширяя перечень потенциальных угроз и мер безопасности. Про многое я писал в серии постов по моделированию угроз CI/CD [1,2,3] и возможности извлечения секретов из CI.
Очень понравился перечень мер безопасности, который сильно пересекается с тем, что прорабатывал я в рамках аналогичной активности (но не успел пока выложить в открытый доступ). Не стоит забывать, что создание модели угроз и требований ИБ для таких широких процессов, как сборка и деплой - это всегда про кастомизацию. Кому-то будет важно ограничить прямой доступ к CD, отделив процесс отдельной системой (например, AWX, для которого есть свой набор security практик) и закрыв PAM'ом. Для кого-то верификация сигнатур в CI/CD может быть очень дорогим процессом и они ограничиваются проставлением метатэгов на уровне централизованного репозитория артефактов. Сама по себе мера "Hardening CI/CD pipeline servers" может завезти вереницу проверок и возможных "переключателей" (пример вариации настроек).
#ops
В рамках доклада “Attacking and Securing CI/CD Pipeline” на конференции CODE BLUE 2021 Opentalks вышла матрица угроз MITRE ATT&CK для CI/CD: Threat Matrix for CI/CD Pipeline. Частично она переиспользует идеи, предложенные SLSA, расширяя перечень потенциальных угроз и мер безопасности. Про многое я писал в серии постов по моделированию угроз CI/CD [1,2,3] и возможности извлечения секретов из CI.
Очень понравился перечень мер безопасности, который сильно пересекается с тем, что прорабатывал я в рамках аналогичной активности (но не успел пока выложить в открытый доступ). Не стоит забывать, что создание модели угроз и требований ИБ для таких широких процессов, как сборка и деплой - это всегда про кастомизацию. Кому-то будет важно ограничить прямой доступ к CD, отделив процесс отдельной системой (например, AWX, для которого есть свой набор security практик) и закрыв PAM'ом. Для кого-то верификация сигнатур в CI/CD может быть очень дорогим процессом и они ограничиваются проставлением метатэгов на уровне централизованного репозитория артефактов. Сама по себе мера "Hardening CI/CD pipeline servers" может завезти вереницу проверок и возможных "переключателей" (пример вариации настроек).
#ops
Speaker Deck
Attacking and Securing CI/CD Pipeline
<strong>ATT&CK-like Threat Matrix for CI/CD Pipeline on GitHub:</strong>
https://github.com/rung/threat-matrix-cicd
--------
Place: CODE BLUE 2021 Op…
https://github.com/rung/threat-matrix-cicd
--------
Place: CODE BLUE 2021 Op…