Forwarded from Пост Лукацкого
MITRE, конечно, молодцы. Они не только 11-ю версию ATT&CK запланировали, в которой добавятся подтехники для мобильных угроз, а также новые техники для Linux и macOS (на последнюю основной акцент), но уже имеют планы и на 12-ю. В частности, к процедурам, ПО и группам, они добавят еще и кампании с указанием пострадавших стран и вертикалей, использованных в кампании групп и ПО и т.п.
Защитные меры (mitigations) и источники данных (data sources) были ранее трансформированы в отдельные объекты матрицы ATT&CK для облегчения работы с ними - анализа, фильтрации, выборки и т.п. В 11-й версии планируется добавить новый объект - методы обнаружения (detections), которые сейчас присутствуют в описаниях техник в свободной текстовой форме. Это позволит для каждой техники облегчить получение как источников данных, которые позволят обнаруживать технику, так и список методов обнаружения и нейтрализации техники. В свою очередь это поспособствует оперативному выбору как защитных мер, так и пониманию, насколько технологиями обнаружения покрыты все нужные источники и не требуется ли включить в стратегию мониторинга что-то новое.
Также в октябре матрица ATT&CK будет расширена за счет АСУ ТПшной тематики. В частности, по примеру платформ для Enterprise-версии, будут добавлены Assets, то есть специфичные для разных вертикалей промышленные системы и типы устройств. Наконец у MITRE есть планы в 12-й версии матрицы найти способы комбинировать разные матрицы (Enterprise и Mobile, Enterprise и ICS, Linux и контейнеры и т.п.).
Защитные меры (mitigations) и источники данных (data sources) были ранее трансформированы в отдельные объекты матрицы ATT&CK для облегчения работы с ними - анализа, фильтрации, выборки и т.п. В 11-й версии планируется добавить новый объект - методы обнаружения (detections), которые сейчас присутствуют в описаниях техник в свободной текстовой форме. Это позволит для каждой техники облегчить получение как источников данных, которые позволят обнаруживать технику, так и список методов обнаружения и нейтрализации техники. В свою очередь это поспособствует оперативному выбору как защитных мер, так и пониманию, насколько технологиями обнаружения покрыты все нужные источники и не требуется ли включить в стратегию мониторинга что-то новое.
Также в октябре матрица ATT&CK будет расширена за счет АСУ ТПшной тематики. В частности, по примеру платформ для Enterprise-версии, будут добавлены Assets, то есть специфичные для разных вертикалей промышленные системы и типы устройств. Наконец у MITRE есть планы в 12-й версии матрицы найти способы комбинировать разные матрицы (Enterprise и Mobile, Enterprise и ICS, Linux и контейнеры и т.п.).
Forwarded from k8s (in)security (D1g1)
Буквально вчера вышел замечательный
Авторы в документе задаются вопросом: "Is it possible, though, to have a base image without vulnerabilities?" и помогают грамотно подойти к выбору базового образа для ваших контейнеров. Основными критериями выбора/поиска являются:
- Наличие малого или нулевого количества известных уязвимостей в образе
- Плюсом будет наличие SBOM
- Плюсом будет наличие цифровой подписи
Все это в первую очередь помогает бороться с "шумом" от сканеров уязвимостей. Ведь никто не хочет разбираться с тысячами уязвимостей и еще при том, что разработчики далеко не сразу буду браться за их устранение.
whitepaper “All About That Base Image”, который посвящён безопасности популярных базовых образов - image security если хотите и уязвимостям в них.Авторы в документе задаются вопросом: "Is it possible, though, to have a base image without vulnerabilities?" и помогают грамотно подойти к выбору базового образа для ваших контейнеров. Основными критериями выбора/поиска являются:
- Наличие малого или нулевого количества известных уязвимостей в образе
- Плюсом будет наличие SBOM
- Плюсом будет наличие цифровой подписи
Все это в первую очередь помогает бороться с "шумом" от сканеров уязвимостей. Ведь никто не хочет разбираться с тысячами уязвимостей и еще при том, что разработчики далеко не сразу буду браться за их устранение.
Forwarded from ATT&CK® COMMUNITY RUSSIA CHANNEL
Релиз утилиты Control Validation Compass (CVC) — поиск аналитики из открытых проектов по техникам ATT&CK. На текущий момент в базе 9000+ правил обнаружения (Sigma, Splunk Security Content, etc) и 2100+ тестов эмуляции (Atomic Red Team, Prelude Community, etc).
Forwarded from Kubernetes и кот Лихачева
Бесплатный вебинар «Open Policy Agent», 4 апреля в 19:00.
🛡В прямом эфире поговорим про:
— Что такое Open Policy Agent (OPA) и почему за ним будущее;
— Как можно валидировать все объекты, которые создаются в Kubernetes, при помощи одного admission-controller;
— Как и чем заменить устаревший PSP, получив при этом дополнительные полезные функции;
— Как внедрить Gatekeeper в большой работающий кластер на продакшн и ничего не сломать;
— Какие подводные камни есть при внедрении OPA/Gatekeeper;
🦸♂️Спикер: Марсель Ибраев, CTO Слёрм
Инженер с 8-летним стажем, Certified Kubernetes Administrator, спикер курса Kubernetes: Мега-поток.
Дата: 4 апреля в 19.00 (мск), прямая трансляция будет в чате.
🔥Ccылка на чат вебинара: https://news.1rj.ru/str/KubernetesFree
🔥Продвинутый курс по Kubernetes: https://slurm.club/3uLEzr3
🛡В прямом эфире поговорим про:
— Что такое Open Policy Agent (OPA) и почему за ним будущее;
— Как можно валидировать все объекты, которые создаются в Kubernetes, при помощи одного admission-controller;
— Как и чем заменить устаревший PSP, получив при этом дополнительные полезные функции;
— Как внедрить Gatekeeper в большой работающий кластер на продакшн и ничего не сломать;
— Какие подводные камни есть при внедрении OPA/Gatekeeper;
🦸♂️Спикер: Марсель Ибраев, CTO Слёрм
Инженер с 8-летним стажем, Certified Kubernetes Administrator, спикер курса Kubernetes: Мега-поток.
Дата: 4 апреля в 19.00 (мск), прямая трансляция будет в чате.
🔥Ccылка на чат вебинара: https://news.1rj.ru/str/KubernetesFree
🔥Продвинутый курс по Kubernetes: https://slurm.club/3uLEzr3
Forwarded from SecAtor
Встречайте, Spring4Shell. Правда, если сравнивать обнаруженную RCE в Java Spring Framework с Log4Shell, эффект которой можно назвать бомбой, то новая 0-Day скорее всего на этом фоне будет выглядеть как связка петард.
Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.
Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.
По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.
Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением.
Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.
Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.
Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.
В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему.
По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.
Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.
Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.
Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.
Уязвимость удаленного выполнения кода была обнаружена в среде Spring вскоре после того, как некий китайский исследователь, который выпустил на GitHub соответствующий PoC, который вскоре после этого удалил вместе со своими аккаунтами.
Spring - достаточно популярная платформа для создания приложений на основе Java EE (Enterprise Edition), которая позволяет быстро и легко их разрабатывать, а затем и разворачивать на серверах, в том числе Apache Tomcat, в виде автономных пакетов со всеми необходимыми зависимостями.
По данным Praetorian, непропатченная уязвимость затрагивает Spring Core в Java Development Kit (JDK) версии 9 и более поздних и является обходом другой уязвимости, отслеживаемой как CVE-2010-1622, что позволяет злоумышленнику, не прошедшему проверку подлинности, выполнять произвольный код в целевой системе.
Дополнительные сведения о новой уязвимости не разглашаются, специалисты по поддержке фреймворка Spring.io, дочерняя компания VMware, вовсю работают над исправлением.
Новая бага отличается от двух предыдущих уязвимостей, раскрытых в структуре приложения на этой неделе, включая DoS-уязвимость выражений Spring Framework (CVE-2022-22950) и уязвимость доступа к ресурсам выражений Spring Cloud (CVE-2022-22963). Spring RCE вызвана небезопасной десериализацией переданных аргументов.
Praetorian также подтвердила, что ошибка зависит от определенных конфигураций для правильного использования. Для эксплуатации требуется конечная точка с включенным DataBinder (например, запрос POST, который автоматически декодирует данные из тела запроса) и сильно зависит от контейнера сервлетов для приложения.
Например, когда Spring развернут на Apache Tomcat, доступен WebAppClassLoader, что позволяет злоумышленнику вызывать геттеры и сеттеры, чтобы в конечном итоге записать вредоносный JSP-файл на диск. Однако, если Spring развернут с использованием встроенного контейнера сервлетов Tomcat, загрузчик классов — это LaunchedURLClassLoader, доступ к которому ограничен.
В некоторых конфигурациях эксплуатация этой проблемы проста, поскольку для этого требуется, чтобы злоумышленник отправил созданный запрос POST в уязвимую систему.
По мнению специалистов Flashpoint, первоначальный анализ новой уязвимости выполнения кода в Spring Core предполагает, что ее влияние может быть несерьезным. Для эксплуатации уязвимости злоумышленникам необходимо будет найти и идентифицировать экземпляры веб-приложений, которые на самом деле используют DeserializationUtils.
Кроме того, несмотря на общедоступность эксплойтов, Rapid7 утверждают, что в настоящее время неясно, какие реальные приложения используют уязвимую функциональность. ISAC заявили, что еще не завершили свои тесты и не могут однозначно подтвердить действительность PoC для ошибки RCE.
Вместе с тем, согласно заключению аналитика Уилла Дорманна из CERT/CC, эксплойт Spring4Shell в дикой природе все же функционирует и существуют реальные уязвимые приложения. Вообще, по данным источников BleepingComputer, уязвимость активно используется в атаках.
Поскольку для этой уязвимости в настоящее время нет исправления, настоятельно рекомендуется как можно скорее реализовать меры по смягчению атак, связанных с ограничениями функционала Spring Core DataBinder.
Forwarded from AlexRedSec
ISACA в марте выпустила интересный и объемный отчет о состоянии дел в сфере кибербезопасности. Рассказали об уровне подготовки кадров, образовании, бюджетах, киберугрозах и ожиданиях.
Главные выводы:
🔶 У 63% опрошенных организаций имеются сложности с закрытием вакансий по направлению КБ.
🔶 60% организаций сообщают, что испытывают проблемы с удержанием специалистов по КБ.
🔶 Софт-скиллы и облачные вычисления - проблема у современных специалистов по КБ.
🔶 Все чаще организации не обращают внимание на наличие высшего образования в области КБ.
🔶 42% опрошенных заявили, что удовлетворены финансированием программ КБ, а 55% ожидают увеличения бюджетов.
🔶 82% респондентов говорят, что руководство видит ценность в проведении оценки рисков, но только 41% организаций проводит ежегодную оценку киберрисков.
🔶 Только 51% опрошенных допускает, что их компания столкнется с кибератаками в будущем. Оптимистичненько...
Главные выводы:
🔶 У 63% опрошенных организаций имеются сложности с закрытием вакансий по направлению КБ.
🔶 60% организаций сообщают, что испытывают проблемы с удержанием специалистов по КБ.
🔶 Софт-скиллы и облачные вычисления - проблема у современных специалистов по КБ.
🔶 Все чаще организации не обращают внимание на наличие высшего образования в области КБ.
🔶 42% опрошенных заявили, что удовлетворены финансированием программ КБ, а 55% ожидают увеличения бюджетов.
🔶 82% респондентов говорят, что руководство видит ценность в проведении оценки рисков, но только 41% организаций проводит ежегодную оценку киберрисков.
🔶 Только 51% опрошенных допускает, что их компания столкнется с кибератаками в будущем. Оптимистичненько...
👍1
По сообщению одного из клиентов (компании Trezor), сервис Mailchimp был скомпрометирован со стороны инсайдера.
https://www.fxempire.com/news/article/trezor-issues-data-breach-warning-as-users-cite-phishing-attacks-957001
https://www.fxempire.com/news/article/trezor-issues-data-breach-warning-as-users-cite-phishing-attacks-957001
Fxempire
Trezor Issues Data Breach Warning As Users Cite Phishing Attacks
Trezor, a crypto hardware wallet provider firm, issued a warning about the newsletter phishing attack targeting its users on Sunday.
Вышла версия 1.0 бесплатного EDR от автора SigmaRules (Флориана Рота).
The Aurora agent is a Sigma-based endpoint agent that offers maximum transparency, flexibility, and confidentiality. It doesn’t require an additional kernel driver but uses the native Event Tracing for Windows (ETW).
https://www.nextron-systems.com/2022/04/04/aurora-lite-agent-v1-0-release/
The Aurora agent is a Sigma-based endpoint agent that offers maximum transparency, flexibility, and confidentiality. It doesn’t require an additional kernel driver but uses the native Event Tracing for Windows (ETW).
https://www.nextron-systems.com/2022/04/04/aurora-lite-agent-v1-0-release/