Вышла версия 1.0 бесплатного EDR от автора SigmaRules (Флориана Рота).

The Aurora agent is a Sigma-based endpoint agent that offers maximum transparency, flexibility, and confidentiality. It doesn’t require an additional kernel driver but uses the native Event Tracing for Windows (ETW).

https://www.nextron-systems.com/2022/04/04/aurora-lite-agent-v1-0-release/

The National Cybersecurity Center of Excellence (NCCoE) has released two new final publications: Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology and SP 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways.

https://csrc.nist.gov/publications/detail/sp/800-40/rev-4/final

https://csrc.nist.gov/publications/detail/sp/1800-31/final

Если мы обычно придерживались правила золотых 72 часов, то случае со Spring4Shell об этом определенно стоит забыть.
 
Попытки эксплуатации были предприняты в первые же дни сразу после обнаружения серьезной уязвимости RCE, отслеживаемой как CVE-2022-22965. Еще до того, как были выпущены исправления.
 
Еще одним критическим недостатком является CVE-2022-22963, которая влияет на функцию Spring Cloud, а также позволяет удаленно выполнять код. Третьей дырой в безопасности является CVE-2022-22950, DoS-уязвимость средней степени опасности.
 
Согласно данным телеметрии Check Point, только за прошедшие выходные было обнаружено 37 000 атак Spring4Shell. При этом почти каждая шестая организация во всем мире, затронутая уязвимостью нулевого дня Spring4Shell, уже стала мишенью злоумышленников. На первом месте по числу жертв - Европа, на которую приходится 20%.
 
Наиболее пострадавшими оказались разработчики программного обеспечения, на долю которых приходится 28% от общего числа инцидентов, потенциально из-за того, что они являются отличными целями для атак на цепочку поставок.
 
Пока разработчики повсеместно заняты оценкой влияния Spring4Shell на свои продукты, злоумышленники предпринимают активные попытки воспользоваться существующими возможностями RCE в отношении уязвимых систем полным ходом. К настоящему моменту эксплойты доступны как для Spring4Shell, так и для CVE-2022-22963.
 
Поставщик выпустил версии Spring Framework 5.3.18 и 5.2.20, а также Spring Boot 2.5.12, которые успешно решают проблему RCE, а также меры по смягчению. Поэтому настоятельно рекомендуется выполнить обновление до этих версий или более поздних версий, не забывая при этом о CVE-2022-22963 и CVE-2022-22947 в Spring Cloud Function и Spring Cloud Gateway.

Для CISO тоже актуально .

Наконец добрались до отличного исследования школы Сколково про то, что лидеры делали за последние полтора месяца со своими компаниями, командами, и главное – с собой.

Не будем долго останавливаться на стратегических и операционных шагах, которые предпринимали руководители компаний. Перестройка цепочек поставок, финансовых потоков, работа с регуляторами и подобные штуки важны - вот только HR в них принимает участие в основном по касательной.

Но одну вещь все-таки отметим, и она про управление собой и внутренним заказчиком.
Опрошенные Сколково лидеры примерно поровну делятся на тех, кто в кризис предпочитает некоторое время ничего не делать и осмотреться, и на тех, кто развивает активность, чтобы срочно все непоправимо улучшить.

Забавно, что, если почитать исследование дальше и добраться до собственно практик управления собой, то можно сделать вывод, что и для тех, и для других – это не столько осознанное решение, сколько рационализация механизмов, позволяющих справиться с собственным стрессом.

Если говорить совсем просто, то одни лучше справляются с ужасом, когда много работают, а вторые – когда не работают совсем. Безусловно, для разных индустрий и разных состояний компаний (например, в зависимости от того, есть ли у компании резервы, чтобы ничего не делать, несмотря на потери) эта ситуация может быть разной. Но на относительно больших числах разница между количеством тех, кто «в домике» и тех, кто «скорей бежим, а то все вкусное съедят» оказывается в пределах статистической погрешности.

HR, как функция, про которую обычно вспоминают в кризис, с этими двумя типами внутреннего заказчика справляется по разному – и мы слышали от наших источников полный спектр жалоб на руководителя.
От «свалил(а) на несколько недель в Дубаи и не выходил на связь, а мне отдуваться перед людьми» до «я уже месяц сдерживаю безумные порывы руководства в разных направлениях, типа они тут гипотезы проверяют, а я страдай».

Мы посылаем лучи поддержки и тем, и другим, а заодно всем, кто где-то между этими двумя экстремумами на шкале, потому что многие люди в HR сейчас чувствуют себя героем бородатой глупой шутки про «мужчины любят женщин, женщины – детей, дети – хомячков, а хомячки никого не любят!».
В том смысле, что сотрудники могут пойти за поддержкой к руководителям, те – к топам, топы идут к эйчарам, а к кому пойти эйчару за сочувствием, заботой и решением своих проблем – подчас непонятно.

Отчетик, приложенный в следующем посте содержит полный комплекс практик по само- и взаимовосстановлению, если вы еще вдруг не успели прийти в себя. Или по дальнейшему укреплению общего эмоционального состояния, если успели.

The NIST National Cybersecurity Center of Excellence (NCCoE) has published NIST Internal Report (NISTIR) 8419, Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives.

https://doi.org/10.6028/NIST.IR.8419

Уже во вторник 12 апреля пройдет традиционный ежегодный CISO Forum.

И наше отделение является традиционным информационным партнёром данного мероприятия.

https://www.infor-media.ru/events/118/3171/

Значительное обновление бесплатных правил для SIEM

https://github.com/SigmaHQ/sigma/blob/master/CHANGELOG.md

Azure Sentinel backend
OpenSearch Monitor backend
Hawk backend
Datadog backend
FortiSIEM backend
Lacework agent data support
Athena SQL backend
Regex support in SQLite backend
Additional field mappings

А вот еще из прогнозов ушедшего из России Гартнера. Долгие годы раскладывания яиц в разные корзины уходят в небытие - наступает эра консолидации. Гартнер считает, что в условиях нехватки кадров и роста сложности технологий ИБ, пора задуматься о консолидации ИБ в рамках платформ ИБ и сокращении числа вендоров, с которыми вы должны работать.

В мире не так уж и много игроков ИБ, которые обладают широким портфолио решений и могли бы предложить объединить их в унифицированные платформы вместо разрозненных продуктов по ИБ. В России таких тоже немного. Так что интересно, что делать тысячам мелких игроков рынка ИБ, которые хотят прорваться на Олимп отрасли? Объединяться в альянсы? Внедрять унифицированные API? Ложиться под монстров ИБ-рынка? Консолидироваться вокруг SIEM/SOAR-вендоров?

ЗЫ. Заодно узнал новое английское слово "amalgamation" 😊 Пойду полтора десятка жестких дисков со знаниями по ИБ амальгамирую в домашний NAS 😊

MITRE выпустила новую версию своего уже ставшего классикой документа по построению центров мониторинга инцидентов ИБ. Эта версия уже описывает не 10, а 11 стратегий!

Полная версия и краткое описание документа.

Хорошая вспомогательная картинка. С небольшим уточнением: речь на картинке про время подбора пароля к базе с хэшами (которую еще где - то найти надо).