Forwarded from AlexRedSec
Недавно вышел очередной квартальный выпуск ThinkstScapes, а там ссылочка на интересное исследование про стратегии обновления ПО, а если быть точнее, то про количественную оценку эффективности стратегий обновлений ПО для противодействия APT-атакам - "Software Updates Strategies:A Quantitative Evaluation Against Advanced Persistent Threats".
В рамках данной работы авторы:
🔸Проанализировали более 500 отчетов о более чем 350 атаках, проведенных 86 APT-группами за период с 2008 по 2022 годы, и создали базу данных.
🔸Представили методологию количественной оценки и сравнения эффективности и стоимости различных стратегий обновления ПО.
🔸Оценили стоимость и эффективность различных стратегий обновлений ПО для 5 ширпотребных офисных ПО под Windows.
Какие выводы:
🔸 Надо менять механизм обновлений ПО с целью ускорения самого процесса тестирования и накатки неуязвимых версий (ну, довольно очевидно).
🔸 Нет смысла покупать информацию о зеродеях у соответствующих контор, т.к. эффективность данной стратегии крайне мала (если кратко - деньги на ветер).
В целом, выводы, наверное, для большинства очевидны, НО меня в данной работе больше всего зацепил именно проведенный анализ APT-атак и формирование базы данных, в которой можно просмотреть связь APT-групп с проведенными атаками, техниками MITRE и используемыми уязвимостями. Развернул у себя копию БД - смотрите какая красота на скринах😊 Базу можно обновлять и самому вручную, что тоже большой плюсик!
Дамп БД, скрипты и исходные данные для ее формирования можно скачать тут. Там же можно найти подборку из более чем 400 отчетов об APT-атаках в формате pdf.
В рамках данной работы авторы:
🔸Проанализировали более 500 отчетов о более чем 350 атаках, проведенных 86 APT-группами за период с 2008 по 2022 годы, и создали базу данных.
🔸Представили методологию количественной оценки и сравнения эффективности и стоимости различных стратегий обновления ПО.
🔸Оценили стоимость и эффективность различных стратегий обновлений ПО для 5 ширпотребных офисных ПО под Windows.
Какие выводы:
🔸 Надо менять механизм обновлений ПО с целью ускорения самого процесса тестирования и накатки неуязвимых версий (ну, довольно очевидно).
🔸 Нет смысла покупать информацию о зеродеях у соответствующих контор, т.к. эффективность данной стратегии крайне мала (если кратко - деньги на ветер).
В целом, выводы, наверное, для большинства очевидны, НО меня в данной работе больше всего зацепил именно проведенный анализ APT-атак и формирование базы данных, в которой можно просмотреть связь APT-групп с проведенными атаками, техниками MITRE и используемыми уязвимостями. Развернул у себя копию БД - смотрите какая красота на скринах😊 Базу можно обновлять и самому вручную, что тоже большой плюсик!
Дамп БД, скрипты и исходные данные для ее формирования можно скачать тут. Там же можно найти подборку из более чем 400 отчетов об APT-атаках в формате pdf.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Совсем скоро уже выйдет
Мы же в первую очередь заострим наше внимание на вещях связанных с
1)
3) Добавление поддержки
4) Forensic Container Checkpointing - можно делать
5) Оптимизации по работе с
7) Улучшение
8) Поддержка диапазона портов в классической
P.S. Это и хорошее обновление для моего тренинга =)
Kubernetes 1.25 и уже сейчас можно присмотреться к новым фичам, изменениям и светлому будущему [1,2,3]. Мы же в первую очередь заострим наше внимание на вещях связанных с
security:1)
PodSecurityPolicy (PSP) полностью исчезает из K8s
2) PodSecurity admission (замена PSP) переходит в stable и включен по умолчанию 3) Добавление поддержки
user namespaces - фича UserNamespacesSupport и новый параметр spec.hostUsers для Pod (вроде как 6 лет к этому шли) 🔥4) Forensic Container Checkpointing - можно делать
snapshot запущенного контейнера и потом проанализировать его на другой машине незаметно для атакующего 🔥5) Оптимизации по работе с
SELinux
6) Добавление поля SecretRef к запросу NodeExpandVolume 7) Улучшение
CVE feed - добавили official-cve-feed label, по которому просто искать и фильтровать8) Поддержка диапазона портов в классической
NetworkPolicy перешла в stable
9) Ephemeral Containers перешли в статус stable
10) Поддержка cgroup v2 перешла в stable 🔥P.S. Это и хорошее обновление для моего тренинга =)
GitHub
kubernetes/CHANGELOG/CHANGELOG-1.25.md at master · kubernetes/kubernetes
Production-Grade Container Scheduling and Management - kubernetes/kubernetes
Forwarded from Пост Лукацкого
Минцифры планирует создать реестр недопустимых событий. Пока перечисляемые в рамках текущих подходов риски ИБ для бизнеса — это теория, которая для непрофильных специалистов не очень понятна. Здесь же (если все пройдет правильно) есть возможность показать наглядно, от чего каждая компания должна защитить себя. Но важен не просто список, а верификация каждого события, его демонстрация. Например, реальная остановка оборудования предприятия, после которой топы компании будут точно понимать, что это возможно, какой убыток они понесут и что им нужно сделать, чтобы этого не произошло. Тогда реестр сможет стать точкой отсчета при оценке уязвимости компаний из всех сфер.
Коммерсантъ
Для госсектора открывается невозможное
Минцифры создаст реестр недопустимых нарушений кибербезопасности
Forwarded from Пост Лукацкого
Страховая группа Lloyd исключит масштабные кибератаки из страхового покрытия.
Учитывая, что раньше многие страховые исключили прогосударственные кибератаки из страховки, а ее стоимость выросла на 100%, этот способ уйти от необходимости заниматься ИБ скоро перестанет работать.
Вновь придется задумываться о том, что важно, а что нет, на чем сфокусироваться в первую очередь, а чем можно пренебречь?
У нас этот рынок так и не взлетел, а ЦБ не успел установить для него правила игры. Может статься так, что он так и останется уделом редких "инноваторов", - массы будут обходить его стороной. Тем более, что страховка все равно не отменяет обязательных требований по ИБ, установленных регуляторами.
Учитывая, что раньше многие страховые исключили прогосударственные кибератаки из страховки, а ее стоимость выросла на 100%, этот способ уйти от необходимости заниматься ИБ скоро перестанет работать.
Вновь придется задумываться о том, что важно, а что нет, на чем сфокусироваться в первую очередь, а чем можно пренебречь?
У нас этот рынок так и не взлетел, а ЦБ не успел установить для него правила игры. Может статься так, что он так и останется уделом редких "инноваторов", - массы будут обходить его стороной. Тем более, что страховка все равно не отменяет обязательных требований по ИБ, установленных регуляторами.
WSJ
Lloyd’s to Exclude Catastrophic Nation-Backed Cyberattacks From Insurance Coverage
Lloyd’s of London will require its insurer groups globally to exclude catastrophic state-backed hacks from stand-alone cyber insurance policies starting next year.
Forwarded from SecAtor
Для платформы DevOps GitLab, которую знает и использует почти каждый программист в своей работе, на этой неделе выпустили исправления от критической уязвимости, которая может привести к выполнению произвольного кода.
Бага, отслеживаемая как CVE-2022-2884 имеет рейтинг 9,9 по CVSS и затрагивает все версии GitLab Community Edition (CE) и Enterprise Edition (EE), начиная с 11.3.4 до 15.1.5, 15.2 до 15.2.3 и 15.3 до 15.3.1.
По своей сути, обнаруженная ошибка в безопасности — это случай удаленного выполнения кода с проверкой подлинности, т.е. злоумышленник, прошедший проверку подлинности, может активировать уязвимость через API импорта GitHub.
Об уязвимости стало известно от специалистов yvvdwf, которые сообщили о проблеме в рамках программы Bug bounty.
Команда GitLab настоятельно рекомендует пользователям как можно скорее обновиться до последней версии.
До сих пор неясно, используется ли эта уязвимость в реальных атаках, но для тех, кто по каким-то причинам не может обновить софт GitLab рекомендует отключить функцию импорта GitHub.
Бага, отслеживаемая как CVE-2022-2884 имеет рейтинг 9,9 по CVSS и затрагивает все версии GitLab Community Edition (CE) и Enterprise Edition (EE), начиная с 11.3.4 до 15.1.5, 15.2 до 15.2.3 и 15.3 до 15.3.1.
По своей сути, обнаруженная ошибка в безопасности — это случай удаленного выполнения кода с проверкой подлинности, т.е. злоумышленник, прошедший проверку подлинности, может активировать уязвимость через API импорта GitHub.
Об уязвимости стало известно от специалистов yvvdwf, которые сообщили о проблеме в рамках программы Bug bounty.
Команда GitLab настоятельно рекомендует пользователям как можно скорее обновиться до последней версии.
До сих пор неясно, используется ли эта уязвимость в реальных атаках, но для тех, кто по каким-то причинам не может обновить софт GitLab рекомендует отключить функцию импорта GitHub.
GitLab
GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5
Learn more about GitLab Critical Security Release: 15.3.1, 15.2.3, 15.1.5 for GitLab Community Edition (CE) and Enterprise Edition (EE).
Forwarded from Пост Лукацкого
This media is not supported in your browser
VIEW IN TELEGRAM
Amazon привлек известных голливудских актеров для продвижения темы многофакторной аутентификации.
Интересно, а у самих актеров включена MFA? А то часто бывает, что тот, кто рекламирует, совершенно не используют то, что он рекламирует 😊
Интересно, а у самих актеров включена MFA? А то часто бывает, что тот, кто рекламирует, совершенно не используют то, что он рекламирует 😊
👍2
Forwarded from Yandex Cloud
Специальный выпуск Monthly Cloud News, посвященный информационной безопасности в облаке
В беседе Антона Черноусова с Алексеем Миртовым и Евгением Сидоровым окунемся в вопросы терзающие безопасников и разработчиков, ведущих проекты в облаке.
Темы августовского выпуска:
🔹 IT-сотрудники хотят в облака
🔹 Лучше ли безопаснику в облаке?
🔹 Обсудим топ-рисков ИБ в облаках
🔹 Утечки статических Сredentials
🔹 DevSecOps как симбиоз полезных практик для разработки
🔹 Audit Trails и все все все...
🔹 Повышение культуры разработки через обучение ИБ
Регистрируйтесь!
#yacloud_events
В беседе Антона Черноусова с Алексеем Миртовым и Евгением Сидоровым окунемся в вопросы терзающие безопасников и разработчиков, ведущих проекты в облаке.
Темы августовского выпуска:
🔹 IT-сотрудники хотят в облака
🔹 Лучше ли безопаснику в облаке?
🔹 Обсудим топ-рисков ИБ в облаках
🔹 Утечки статических Сredentials
🔹 DevSecOps как симбиоз полезных практик для разработки
🔹 Audit Trails и все все все...
🔹 Повышение культуры разработки через обучение ИБ
Регистрируйтесь!
#yacloud_events
https://www.nccoe.nist.gov/get-involved/attend-events/nccoe-devsecops-workshop
NCCoE DevSecOps Workshop
Monday, September 19, 2022 10:00am–3:00pm
The National Institute of Standards and Technology (NIST) will host a virtual workshop on DevSecOps on Thursday, September 19, 2022 at the National Cybersecurity Center of Excellence (NCCoE). DevOps brings together software development and operations, shortening development cycles, making organizations more agile, and taking advantage of cloud-native technology and practices. Industry and government are rapidly implementing these practices, but often do so without a full understanding and consideration of security.
NCCoE DevSecOps Workshop
Monday, September 19, 2022 10:00am–3:00pm
The National Institute of Standards and Technology (NIST) will host a virtual workshop on DevSecOps on Thursday, September 19, 2022 at the National Cybersecurity Center of Excellence (NCCoE). DevOps brings together software development and operations, shortening development cycles, making organizations more agile, and taking advantage of cloud-native technology and practices. Industry and government are rapidly implementing these practices, but often do so without a full understanding and consideration of security.
Список для чтения на лето от Sysdig:
A Primer on CSPM, CIEM, CWPP and CNAPP
https://dig.sysdig.com/c/pf-cloud-security-101?x=eftbl7
Anatomy of Cloud Attacks
https://dig.sysdig.com/c/pf-anatomy-of-cloud-attacks?x=hjvo1p
A Primer on CSPM, CIEM, CWPP and CNAPP
https://dig.sysdig.com/c/pf-cloud-security-101?x=eftbl7
Anatomy of Cloud Attacks
https://dig.sysdig.com/c/pf-anatomy-of-cloud-attacks?x=hjvo1p
Sysdig
GUIDE. Cloud Security 101
Forwarded from Пост Лукацкого
Выложили 1000 правил Yara и 200 поведенческих правил для оконечных устройств для Elastic
GitHub
GitHub - elastic/protections-artifacts: Elastic Security detection content for Endpoint
Elastic Security detection content for Endpoint. Contribute to elastic/protections-artifacts development by creating an account on GitHub.
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Книга "Zero Trust Container Security for Dummies"
Цитата: "Zero Trust security takes a proactive approach to security. Instead of relying on reactive, signature-based protections, Zero Trust security is based on a declarative model in which you define acceptable behavior and block everything else. Allow lists are highly pronoscriptive and minimize the attack surface."
В этой мини книге (50стр) вы найдете хорошую теорию по
Цитата: "Zero Trust security takes a proactive approach to security. Instead of relying on reactive, signature-based protections, Zero Trust security is based on a declarative model in which you define acceptable behavior and block everything else. Allow lists are highly pronoscriptive and minimize the attack surface."
В этой мини книге (50стр) вы найдете хорошую теорию по
ZeroTrust для контейнеров и рекламу решений SUSE.👍1
Forwarded from Листок бюрократической защиты информации
ТК 362 справка_доклад_август.pdf
187.3 KB
Традиционная справка-доклад о ходе работ по плану от ТК 362 (по состоянию на 29.08.2022).