Forwarded from Security Wine (бывший - DevSecOps Wine) (Denis Yakimov)
Практика управления безопасностью ПО в масштабных продуктах
Доклад от CISO Тинькофф об угрозах, присущих платформам разработки (куда также относятся CI/CD системы). В число угроз попали:
- Уже многим известный Dependency Confussion
- Использование одних и тех же ключей для всех сборок и деплоев
- Повышение привилегий через shared раннеры (в т.ч. привилегированный DinD)
- Внесение изменений в код за счет отсутствия правил approve/review
- Использование небезопасных сторонних библиотек
- Публикация внутренних API во внешнюю среду через единый ingress
- Открытие полного доступа в Интернет для закрытых ресурсов
#dev #ops #attack
Доклад от CISO Тинькофф об угрозах, присущих платформам разработки (куда также относятся CI/CD системы). В число угроз попали:
- Уже многим известный Dependency Confussion
- Использование одних и тех же ключей для всех сборок и деплоев
- Повышение привилегий через shared раннеры (в т.ч. привилегированный DinD)
- Внесение изменений в код за счет отсутствия правил approve/review
- Использование небезопасных сторонних библиотек
- Публикация внутренних API во внешнюю среду через единый ingress
- Открытие полного доступа в Интернет для закрытых ресурсов
#dev #ops #attack
YouTube
Практика управления безопасностью ПО в масштабных продуктах — Дмитрий Гадарь, Тинькофф
Информационная безопасность важна для любой компании, а для финансовых компаний — втройне. Дмитрий Гадарь знает, как выстроить защиту и чем можно пожертвовать.
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
Forwarded from Пост Лукацкого
Тексты 60+ политик безопасности (каждая на 1-2 страницы) в проекте SANS. Все доступно в PDF и DOC (правда, на английском) без регистраций и SMS. Очень хороший старт для разработки своих собственных документов - без воды и оглядок на количество страниц - https://t.co/DCuunIdDC5 https://t.co/4tPKvSqnqF
— Alexey Lukatsky (@alukatsky) Nov 9, 2021
— Alexey Lukatsky (@alukatsky) Nov 9, 2021
www.sans.org
Information Security Policy Templates | SANS Institute
SANS has developed a set of information security policy templates. These are free to use and fully customizable to your company's IT security practices. Our list includes policy templates for acceptable use policy, data breach response policy, password protection…
Forwarded from SecAtor
Microsoft выпустили традиционный PatchTuesday, исправив 6 критических 0-day уязвимостей и еще 49 важных, в общей сложности исправлено 55: в том числе 20 уязвимостей, связанных с повышением привилегий, 2 - с обходом функций безопасности, 15 - с удаленным выполнением кода, 10 - с раскрытием информации, 3 - с отказом в обслуживании, 4 - со спуфингом.
Текущий Patch закрывает 2 активно эксплуатирующиеся в дикой природе уязвимости: CVE-2021-42292 (связанная с обходом функций безопасности Microsoft Excel) и CVE-2021-42321 (связанная с удаленным выполнением кода в Microsoft Exchange Server).
Примечательно, что ошибку удаленного выполнения кода с проверкой подлинности в Microsoft Exchange обнаружили участники хакерского конкурса Tianfu Cup, о котором мы писали в прошлом месяце.
Разработчики не раскрывают подробностей известных им инцидентов, однако заверяют, что атаки носили ограниченный характер и связаны с ошибками после аутентификации в Exchange 2016 и 2019, затрагивая локальный Microsoft Exchange Server, включая также и серверы, используемые клиентами в гибридном режиме Exchange. Но прекрасно помним претензии США и их союзников, включая ЕС, Великобританию и НАТО, в адрес китайских властей относительно широкомасштабной хакерской кампании на Microsoft Exchange.
Второй 0-day был замечен в популярном инструменте повышения производительности Microsoft Excel и описан как уязвимость обхода функций, которая позволяет выполнять код с помощью специально созданных электронных таблиц. Дыра была обнаружена собственным Центром аналитики угроз и активно использовалась в злонамеренных атаках, но компания не предоставила никаких дополнительных сведений.
Ноябрьский патч также содержит исправление для CVE-2021-3711, критического недостатка переполнения буфера в функции дешифрования SM2 OpenSSL, который обнаружился в конце августа 2021 года и может быть использован злоумышленниками для запуска произвольного кода и отказа в доступе. состояние обслуживания (DoS).
Другие важные исправления включают исправления нескольких ошибок в Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), RDP (CVE-2021-38631 и CVE-2021-41371), средствах 3D-просмотра (CVE-2021-43208 и CVE-2021-43209).
Обновления Microsoft Patch Tuesday включают и исправления серьезных недостатков, затрагивающих Azure, Microsoft Edge, Visual Studio и других компонентов Windows.
Кроме того, в Patch Tuesday также включены исправления от Adobe, исправляющие как минимум 4 недостатка в безопасности продукта, в том числе устранен самый серьезный недостаток CVE-2021-39858 в RoboHelp Server (RHS2020.0.1 и более ранние версии под Windows) и получил оценку «критический», поскольку подвергает корпоративную среду атакам с выполнением произвольного кода.
Полный перечень устраненных уязвимостей и выпущенных рекомендаций по отдельным проблемам безопасности за ноябрь 2021 года представлен здесь.
Обновления безопасности для Mac пока еще не выпущены, даже несмотря на то, что уязвимость Excel затрагивает Microsoft Office для macOS.
Рекомендуем владельцам Windows без промедления установить все доступные обновления, а пользователям macOS уповать на удачу и терпение.
Текущий Patch закрывает 2 активно эксплуатирующиеся в дикой природе уязвимости: CVE-2021-42292 (связанная с обходом функций безопасности Microsoft Excel) и CVE-2021-42321 (связанная с удаленным выполнением кода в Microsoft Exchange Server).
Примечательно, что ошибку удаленного выполнения кода с проверкой подлинности в Microsoft Exchange обнаружили участники хакерского конкурса Tianfu Cup, о котором мы писали в прошлом месяце.
Разработчики не раскрывают подробностей известных им инцидентов, однако заверяют, что атаки носили ограниченный характер и связаны с ошибками после аутентификации в Exchange 2016 и 2019, затрагивая локальный Microsoft Exchange Server, включая также и серверы, используемые клиентами в гибридном режиме Exchange. Но прекрасно помним претензии США и их союзников, включая ЕС, Великобританию и НАТО, в адрес китайских властей относительно широкомасштабной хакерской кампании на Microsoft Exchange.
Второй 0-day был замечен в популярном инструменте повышения производительности Microsoft Excel и описан как уязвимость обхода функций, которая позволяет выполнять код с помощью специально созданных электронных таблиц. Дыра была обнаружена собственным Центром аналитики угроз и активно использовалась в злонамеренных атаках, но компания не предоставила никаких дополнительных сведений.
Ноябрьский патч также содержит исправление для CVE-2021-3711, критического недостатка переполнения буфера в функции дешифрования SM2 OpenSSL, который обнаружился в конце августа 2021 года и может быть использован злоумышленниками для запуска произвольного кода и отказа в доступе. состояние обслуживания (DoS).
Другие важные исправления включают исправления нескольких ошибок в Chakra Scripting Engine (CVE-2021-42279), Microsoft Defender (CVE-2021-42298), Microsoft Virtual Machine Bus (CVE-2021-26443), RDP (CVE-2021-38631 и CVE-2021-41371), средствах 3D-просмотра (CVE-2021-43208 и CVE-2021-43209).
Обновления Microsoft Patch Tuesday включают и исправления серьезных недостатков, затрагивающих Azure, Microsoft Edge, Visual Studio и других компонентов Windows.
Кроме того, в Patch Tuesday также включены исправления от Adobe, исправляющие как минимум 4 недостатка в безопасности продукта, в том числе устранен самый серьезный недостаток CVE-2021-39858 в RoboHelp Server (RHS2020.0.1 и более ранние версии под Windows) и получил оценку «критический», поскольку подвергает корпоративную среду атакам с выполнением произвольного кода.
Полный перечень устраненных уязвимостей и выпущенных рекомендаций по отдельным проблемам безопасности за ноябрь 2021 года представлен здесь.
Обновления безопасности для Mac пока еще не выпущены, даже несмотря на то, что уязвимость Excel затрагивает Microsoft Office для macOS.
Рекомендуем владельцам Windows без промедления установить все доступные обновления, а пользователям macOS уповать на удачу и терпение.
TECHCOMMUNITY.MICROSOFT.COM
Released: November 2021 Exchange Server Security Updates | Microsoft Community Hub
We are releasing a set of security updates for Exchange Server 2013, 2016 and 2019.
Том 98. Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании. Эллисон Сэрра https://twitter.com/3dwave/status/1458722792208273411
Twitter
Andrey Prozorov, CISM, CIPP/E, CDPSE
Сбербанк к своему 180-летию выпустили сборник эссе на 99 отличный книг по менеджменту и личному развитию. И это очень круто! Скачать можно тут - promo.sber.ru/180/book100
Forwarded from SecAtor
И как же без исправлений.
Palo Alto Networks из Санта-Клары, штат Калифорния, особо обеспокоены критической уязвимостью удаленного выполнения кода в интерфейсах шлюза и портале GlobalProtect. Проблема затрагивает версии PAN-OS 8.1 ранее, чем PAN-OS 8.1.17.
Согласно Randori Attack Team, брешь в безопасности CVE-2021-3064 затрагивает брандмауэры PAN, использующие GlobalProtect Portal VPN, и позволяет выполнять удаленный код без аутентификации на уязвимых установках продукта с привилегиями root. При этом он должен иметь сетевой доступ к интерфейсу GlobalProtect, чтобы воспользоваться этой проблемой.
Для корпоративных клиентов, использующих PAN-OS 8.1.17 и все более поздние версии PAN-OS, выпущены высокоприоритетные исправления. Вопреки заявлениям Palo Alto Networks об отсутствии эксплуатации ошибки в дикой природе, компания Randori уже внедрили успешные эксплойты в свой программный продукт Red teaming.
Citrix выпущены исправления для нескольких уязвимостей, затрагивающих Citrix ADC, Gateway и SD-WAN, включая критическую ошибку, приводящую к отказу в обслуживании (DoS).
Самой серьезной является критическая CVE-2021-22955, которая может привести к состоянию DoS на устройствах, настроенных как виртуальный сервер VPN (шлюз) или AAA. Недостаток был обнаружен в Citrix Application Delivery Controller (ADC, ранее NetScaler ADC) и Gateway (ранее NetScaler Gateway).
Вторая ошибка CVE-2021-22956 может привести к временному нарушению взаимодействия с графическим интерфейсом управления, Nitro API и RPC. Она влияет на АЦП и Gateway, а также модели SD-WAN WANOP версии 4000-WO 4100-WO, 5000-WO, и 5100-WO.
Citrix устранил обе уязвимости. Клиентам Citrix рекомендуется как можно скорее установить доступные исправления, о чем даже озаботились представители CISA. По всей видимости, не зря.
Не порадовали только VMware, которые все никак не могут доработать исправления для потенциально серьезной уязвимости повышения привилегий CVE-2021-22048, затрагивающей vCenter Server, которую выявили спецы из CrowdStrike.
Уязвимость затрагивает vCenter Server 6.7 и 7.0, Cloud Foundation 3.x и 4.x и приводит к повышению привилегий в механизме аутентификации IWA (встроенная проверка подлинности Windows). Злоумышленник с неадминистративным доступом к vCenter Server может использовать эту проблему для повышения привилегий до группы с более высокими привилегиями.
Несмотря на отсутствие сведений об использовании дыры в дикой природе, ее обнаружение представителями CrowdStrike свидетельствует об обратном, что сама компания и не отрицает. Пока не станут доступны исправления, VMware опубликовали рекомендации относительно обходного пути, которые следует как можно скорее применить.
Palo Alto Networks из Санта-Клары, штат Калифорния, особо обеспокоены критической уязвимостью удаленного выполнения кода в интерфейсах шлюза и портале GlobalProtect. Проблема затрагивает версии PAN-OS 8.1 ранее, чем PAN-OS 8.1.17.
Согласно Randori Attack Team, брешь в безопасности CVE-2021-3064 затрагивает брандмауэры PAN, использующие GlobalProtect Portal VPN, и позволяет выполнять удаленный код без аутентификации на уязвимых установках продукта с привилегиями root. При этом он должен иметь сетевой доступ к интерфейсу GlobalProtect, чтобы воспользоваться этой проблемой.
Для корпоративных клиентов, использующих PAN-OS 8.1.17 и все более поздние версии PAN-OS, выпущены высокоприоритетные исправления. Вопреки заявлениям Palo Alto Networks об отсутствии эксплуатации ошибки в дикой природе, компания Randori уже внедрили успешные эксплойты в свой программный продукт Red teaming.
Citrix выпущены исправления для нескольких уязвимостей, затрагивающих Citrix ADC, Gateway и SD-WAN, включая критическую ошибку, приводящую к отказу в обслуживании (DoS).
Самой серьезной является критическая CVE-2021-22955, которая может привести к состоянию DoS на устройствах, настроенных как виртуальный сервер VPN (шлюз) или AAA. Недостаток был обнаружен в Citrix Application Delivery Controller (ADC, ранее NetScaler ADC) и Gateway (ранее NetScaler Gateway).
Вторая ошибка CVE-2021-22956 может привести к временному нарушению взаимодействия с графическим интерфейсом управления, Nitro API и RPC. Она влияет на АЦП и Gateway, а также модели SD-WAN WANOP версии 4000-WO 4100-WO, 5000-WO, и 5100-WO.
Citrix устранил обе уязвимости. Клиентам Citrix рекомендуется как можно скорее установить доступные исправления, о чем даже озаботились представители CISA. По всей видимости, не зря.
Не порадовали только VMware, которые все никак не могут доработать исправления для потенциально серьезной уязвимости повышения привилегий CVE-2021-22048, затрагивающей vCenter Server, которую выявили спецы из CrowdStrike.
Уязвимость затрагивает vCenter Server 6.7 и 7.0, Cloud Foundation 3.x и 4.x и приводит к повышению привилегий в механизме аутентификации IWA (встроенная проверка подлинности Windows). Злоумышленник с неадминистративным доступом к vCenter Server может использовать эту проблему для повышения привилегий до группы с более высокими привилегиями.
Несмотря на отсутствие сведений об использовании дыры в дикой природе, ее обнаружение представителями CrowdStrike свидетельствует об обратном, что сама компания и не отрицает. Пока не станут доступны исправления, VMware опубликовали рекомендации относительно обходного пути, которые следует как можно скорее применить.
Ibm
QRadar SaaS | IBM
Palo Alto Networks recently completed the acquisition of IBM's QRadar Software as a Service (SaaS) assets. IBM continue to sale QRadar on-premises.
Финальная версия https://csrc.nist.gov/publications/detail/nistir/8286a/final
CSRC | NIST
NIST Internal or Interagency Report (NISTIR) 8286A, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management
This document supplements NIST Interagency or Internal Report 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), by providing additional detail regarding risk guidance, identification, and analysis. This report offers examples and information…
Комплаенс как код
https://cloud.google.com/blog/products/identity-security/risk-and-compliance-as-code
https://cloud.google.com/blog/products/identity-security/risk-and-compliance-as-code
Google Cloud Blog
Risk and Compliance as Code delivers solution modern security for digital transformation and modern IT | Google Cloud Blog
The RCaC solution stack enables compliance and security control automation through a combination of Google Cloud Products, Blueprints, Partner Integrations, workshops and services to simplify and accelerate time to value.