Forwarded from AlexRedSec
На днях Microsoft опубликовала исследование о построении комплексной программы управления рисками инсайдерских угроз.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
В этом документе излагается несколько идей и передовых практик о том, как перейти от фрагментированного к комплексному подходу управления инсайдерскими рисками.
Помимо вышеуказанного, в отчете Microsoft вводит понятие Индекса комплекского управления рисками инсайдерских угроз.
По факту этот Индекс (HIRMI-Holistic Insider Risk Management Index) позволяет определить уровень зрелости организации в рассматриваемом вопросе. А сущности, для которых проводятся измерения, типичны для моделей зрелости - персонал, процессы, инструменты и обучение.
Исследование интересное, много статистики и аналитики. Рекомендую к изучению. Ниже приложил сам отчет.
p.s. Напомню, что недавно также делился замечательным документом NASA по этой же теме.
👍3
Forwarded from Positive Development Community
📃 Еженедельная подборка новостей от POSIdev
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
📌 The Hacker News порассуждали на тему актуальности OWASP Top 10 в наши дни
📌 Опубликована вторая статья из цикла, посвящённого теоретическим основам компьютерной безопасности
📌 Google рассказала о механизмах безопасности линейки телефонов Pixel 7 и вышедшего в релиз Android 13
📌 Эксперты Positive Tecnhologies примут участие в экспертной зоне безопасности приложений на конференции Highload 24-25 ноября
📌 Лаборатория Касперского представила отчёт с анализом вредоносного клона WhatsApp
_________________
Хотите поделиться своей новостью? Пишите на telegram@posidev.io и мы опубликуем её в следующих постах.
Forwarded from Пост Лукацкого
Если вы еще не проводили тест среди сотрудников 🧑💻 на проверку навыков по обнаружению почтового ✉️ фишинга, то вот вам неплохой квиз для этого (на русском; без регистрации и СМС).
Please open Telegram to view this post
VIEW IN TELEGRAM
Withgoogle
Пройдите тест "Как распознать фишинг"
Узнайте, можете ли вы определить фишинг.
Forwarded from Пост Лукацкого
А это квиз на проверку навыков по обнаружению фишинговых сайтов 🧑💻 . Он на английском, но там одни картинки и все понятно без слов (без регистрации и СМС).
Please open Telegram to view this post
VIEW IN TELEGRAM
OpenDNS
What is Phishing? Take the OpenDNS Phishing Quiz
Can you tell the difference between a legitimate website and a scam? Take this quiz to find out how you stack up against hackers.
Forwarded from SecAtor
Немецкий производитель корпоративного ПО SAP выпустил 15 новых заметок по безопасности в рамках Patch Tuesday, закрыв в том числе две критические уязвимости.
Наиболее серьезной из устраненных проблем является CVE-2022-39802 (оценка CVSS 9,9), которая описывается как обход пути к файлу в Manufacturing Execution.
Ошибка затрагивает средство просмотра рабочих инструкций и Visual Test and Repair — два плагина для отображения рабочих инструкций и моделей.
URL-адрес для запроса включал параметр пути к файлу, которым можно было манипулировать, чтобы разрешить произвольный обход каталогов на удаленном сервере.
Содержимое файла в каждом каталоге может быть прочитано в пользовательском контексте пользователя ОС, выполняющего процесс или службу NetWeaver.
Вторая критическая уязвимость CVE-2022-41204 (оценка CVSS 9,6) влияет на форму входа в SAP Commerce и может привести к захвату учетной записи через перенаправление URL.
Проблема возникает из-за того, что URL-адреса, которые вызываются при отправке формы входа, не очищаются должным образом, что позволяет злоумышленнику внедрить в них информацию о перенаправлении, что приводит к отправке конфиденциальной информации на сервер, контролируемый злоумышленником.
Злоумышленникам не требовались какие-либо привилегии для запуска эксплойта, главное, чтобы пользователь щелкнуть вредоносную ссылку, которая открывает манипулируемую форму входа для запуска эксплойта.
SAP выпустила пять новых и одну обновленную заметку о безопасности с высоким уровнем серьезности, в том числе три, посвященные уязвимостям раскрытия информации в BusinessObjects, и одну, касающуюся переполнения буфера в SQL Anywhere и IQ.
Две оставшиеся заметки устраняют многочисленные дыры в безопасности в 3D Visual Enterprise Viewer (17 проблем) и 3D Visual Enterprise Author (26 ошибок).
Злоумышленник может обманом заставить пользователей открыть измененные файлы в 3D Visual Enterprise Viewer/Author, что приведет к RCE или DoS.
Остальные девять замечаний по безопасности, о которых SAP объявила на этой неделе, касаются раскрытия информации средней степени серьезности и межсайтовых сценариев (XSS) в BusinessObjects, Enable Now, Commerce, Customer Data Cloud (Gigya) и Data Services Management Console.
Наиболее серьезной из устраненных проблем является CVE-2022-39802 (оценка CVSS 9,9), которая описывается как обход пути к файлу в Manufacturing Execution.
Ошибка затрагивает средство просмотра рабочих инструкций и Visual Test and Repair — два плагина для отображения рабочих инструкций и моделей.
URL-адрес для запроса включал параметр пути к файлу, которым можно было манипулировать, чтобы разрешить произвольный обход каталогов на удаленном сервере.
Содержимое файла в каждом каталоге может быть прочитано в пользовательском контексте пользователя ОС, выполняющего процесс или службу NetWeaver.
Вторая критическая уязвимость CVE-2022-41204 (оценка CVSS 9,6) влияет на форму входа в SAP Commerce и может привести к захвату учетной записи через перенаправление URL.
Проблема возникает из-за того, что URL-адреса, которые вызываются при отправке формы входа, не очищаются должным образом, что позволяет злоумышленнику внедрить в них информацию о перенаправлении, что приводит к отправке конфиденциальной информации на сервер, контролируемый злоумышленником.
Злоумышленникам не требовались какие-либо привилегии для запуска эксплойта, главное, чтобы пользователь щелкнуть вредоносную ссылку, которая открывает манипулируемую форму входа для запуска эксплойта.
SAP выпустила пять новых и одну обновленную заметку о безопасности с высоким уровнем серьезности, в том числе три, посвященные уязвимостям раскрытия информации в BusinessObjects, и одну, касающуюся переполнения буфера в SQL Anywhere и IQ.
Две оставшиеся заметки устраняют многочисленные дыры в безопасности в 3D Visual Enterprise Viewer (17 проблем) и 3D Visual Enterprise Author (26 ошибок).
Злоумышленник может обманом заставить пользователей открыть измененные файлы в 3D Visual Enterprise Viewer/Author, что приведет к RCE или DoS.
Остальные девять замечаний по безопасности, о которых SAP объявила на этой неделе, касаются раскрытия информации средней степени серьезности и межсайтовых сценариев (XSS) в BusinessObjects, Enable Now, Commerce, Customer Data Cloud (Gigya) и Data Services Management Console.
Onapsis
SAP Security Patch Day: October 2022
SAP's October Patch Day includes two HotNews notes with a high CVSS score in SAP Manufacturing Execution and SAP Commerce, along with multiple updated notes in SAP Business Objects.
Forwarded from Пост Лукацкого
Microsoft включила open source систему обнаружения вторжения Zeek (она же Bro в прошлом) в состав Windows, что позволит проводить полноценные расследования инцидентов ИБ
Corelight
Zeek is Now a Component of Microsoft Windows
Zeek, world’s leading open source network security monitoring platform, now deployed on more than one billion global endpoints via Microsoft Windows
👍1
Forwarded from SecAtor
Palo Alto Networks устранила серьезную уязвимость обхода аутентификации в веб-интерфейсе ПО PAN-OS 8.1.
CVE-2022-0030 имеет оценку CVSS 8.1 и позволяет сетевому злоумышленнику, обладающему определенными знаниями о целевом брандмауэре или устройстве Panorama, выдавать себя за существующего администратора PAN-OS и выполнять привилегированные действия.
Недостаток исправлен в PAN-OS 8.1.24 и более поздних версиях. Компания указала, что PAN-OS 8.1 достигла конца срока службы (EOL) и поддерживается только на PA-200, PA-500, брандмауэрах серии 5000 и на устройствах M-100, пока они также не достигнут статуса EOL.
Поставщик заявил, что ему не известно о каком-либо злонамеренном использовании этой проблемы.
CVE-2022-0030 имеет оценку CVSS 8.1 и позволяет сетевому злоумышленнику, обладающему определенными знаниями о целевом брандмауэре или устройстве Panorama, выдавать себя за существующего администратора PAN-OS и выполнять привилегированные действия.
Недостаток исправлен в PAN-OS 8.1.24 и более поздних версиях. Компания указала, что PAN-OS 8.1 достигла конца срока службы (EOL) и поддерживается только на PA-200, PA-500, брандмауэрах серии 5000 и на устройствах M-100, пока они также не достигнут статуса EOL.
Поставщик заявил, что ему не известно о каком-либо злонамеренном использовании этой проблемы.
Palo Alto Networks Product Security Assurance
CVE-2022-0030 PAN-OS: Authentication Bypass in Web Interface
An authentication bypass vulnerability in the Palo Alto Networks PAN-OS 8.1 web interface allows a network-based attacker with specific knowledge of the target firewall or Panorama appliance to impers...
Forwarded from Пост Лукацкого
Магический квадрат Гартнера по SIEMам. Если его сравнить с прошлогодним, то возникает оооочень много вопросов. И это не только «Где MP SIEM?», но и «Где Google с купленным Siemplify?»…
👍1
Forwarded from Vulnerability Management and more
The flaw (CVE-2022-42889) has been assigned a severity ranking of 9.8 out of a possible 10.0 on the CVSS scale and exists in versions 1.5 through 1.9 of Apache Commons Text. Proof-of-concept code for the vulnerability is already available, though so far there has been no sign of exploit activity.
@avleonovcom #Text4Shell #YetAnother4Shell
@avleonovcom #Text4Shell #YetAnother4Shell
Forwarded from Листок бюрократической защиты информации
Изменения_ГОСТ 34.13-2018.pdf
1.6 MB
Изменения в ГОСТ 34.13-2018
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
Forwarded from AlexRedSec
А вот еще один интересный проект нашел. Называется Privado - опенсорсный (!) инструмент статического анализа кода для обнаружения точек обработки и передачи персональных данных в коде и построения потоков данных.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
Проект Privado заточен под GDPR, но за счет того, что он является свободно распространяемым с открытым исходным кодом, то можно допилить и под отечественные реалии.
По словам автора в Privado реализовано распознавание более 150 типов персональных данных (PII), а также большой перечень "приемников" данных - внешних сервисов, SDK, API, БД и т.п.
Цель проекта - своевременное выявление проблем конфиденциальности и приватности при обработке ПДн и лучшее понимание того, как они циркулируют в разрабатываемых программах и приложениях.
👍5
Forwarded from SecAtor
SafeBreach обнаружили новый бэкдор PowerShell, который маскируется под процесс обновления Windows, оставаясь полностью незамеченным.
Причем при первом обнаружении бэкдор PowerShell не считался вредоносным ни одним поставщиком службы сканирования VirusTotal.
Бэкдор распространяется через вредоносные документы Word. Атака начинается с получения фишингового письма с прикрепленным вредоносным документом Apply Form.docm.
Судя по содержимому файла и метаданным, тема, скорее всего, соответствует заявлению о приеме на работу в LinkedIn.
После открытия документа код макроса сбрасывает скрипт updater.vbs на компьютере жертвы, который создает запланированную задачу, имитирующую обычное обновление Windows.
Затем сценарий VBS выполняет два сценария PowerShell, Script.ps1 и Temp.ps1, оба из которых хранятся внутри вредоносного документа в запутанной форме.
Script.ps1 подключается к серверам управления и контроля (C2) злоумышленника, отправляет идентификатор жертвы операторам, а затем ожидает команду, полученную в зашифрованном виде AES-256 CBC.
Скрипт Temp.ps1 декодирует команду в ответе, выполняет ее, а затем шифрует и загружает результат через POST-запрос на C2.
Аналитики обнаружили, что две трети команд предназначались для эксфильтрации данных, а остальные использовались для перечисления пользователей, списков файлов, удаления файлов и учетных записей и вычисления пользователей Active Directory.
По своим характеристикам вредоносное ПО предназначено для кибершпионажа, в основном для кражи данных из скомпрометированной системы.
При анализе двух скриптов исследователи компании обнаружили, что некоторые ошибки в коде могут позволяют определить потенциальное число жертв.
Один из скриптов, вероятно, был установлен более чем на 70 системах, а другой — более чем на 50.
Новый бэкдор PowerShell является характерным примером неизвестных скрытых угроз, используемых для атак на государственные, корпоративные и частные пользовательские системы.
SafeBreach опубликовала индикаторы компрометации (IoC), связанные с новым бэкдором PowerShell, и предупреждает о том, что его фактически невозможно обнаружить.
Причем при первом обнаружении бэкдор PowerShell не считался вредоносным ни одним поставщиком службы сканирования VirusTotal.
Бэкдор распространяется через вредоносные документы Word. Атака начинается с получения фишингового письма с прикрепленным вредоносным документом Apply Form.docm.
Судя по содержимому файла и метаданным, тема, скорее всего, соответствует заявлению о приеме на работу в LinkedIn.
После открытия документа код макроса сбрасывает скрипт updater.vbs на компьютере жертвы, который создает запланированную задачу, имитирующую обычное обновление Windows.
Затем сценарий VBS выполняет два сценария PowerShell, Script.ps1 и Temp.ps1, оба из которых хранятся внутри вредоносного документа в запутанной форме.
Script.ps1 подключается к серверам управления и контроля (C2) злоумышленника, отправляет идентификатор жертвы операторам, а затем ожидает команду, полученную в зашифрованном виде AES-256 CBC.
Скрипт Temp.ps1 декодирует команду в ответе, выполняет ее, а затем шифрует и загружает результат через POST-запрос на C2.
Аналитики обнаружили, что две трети команд предназначались для эксфильтрации данных, а остальные использовались для перечисления пользователей, списков файлов, удаления файлов и учетных записей и вычисления пользователей Active Directory.
По своим характеристикам вредоносное ПО предназначено для кибершпионажа, в основном для кражи данных из скомпрометированной системы.
При анализе двух скриптов исследователи компании обнаружили, что некоторые ошибки в коде могут позволяют определить потенциальное число жертв.
Один из скриптов, вероятно, был установлен более чем на 70 системах, а другой — более чем на 50.
Новый бэкдор PowerShell является характерным примером неизвестных скрытых угроз, используемых для атак на государственные, корпоративные и частные пользовательские системы.
SafeBreach опубликовала индикаторы компрометации (IoC), связанные с новым бэкдором PowerShell, и предупреждает о том, что его фактически невозможно обнаружить.
SafeBreach
SafeBreach Uncovers Fully Undetectable PowerShell Backdoor | New Research
SafeBreach Labs discovered a novel, fully undetectable PowerShell backdoor disguised as part of the Windows update process.
Forwarded from SecAtor
Закономерно после появления PoC для Text4Shell, отслеживаемой как CVE-2022-42889, начались первые атаки с использованием новой уязвимости Apache Commons Text.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Apache Commons Text — это библиотека Java с открытым исходным кодом, предназначенная для работы со строками. Он используется многими разработчиками и организациями.
CVE-2022-42889 — это критическая проблема, связанная с ненадежной обработкой данных, и она может привести к RCE, но эксплуатация возможна только при определенных обстоятельствах.
Defiant включили мониторинг 4 миллионов веб-сайтов с момента публичного раскрытия баги 17 октября и уже на следующий день наблюдала попытки взлома примерно с 40 IP-адресов.
Подавляющее большинство запросов используют префикс DNS и предназначены для сканирования уязвимых установок, и не удивительно, ведь популярный веб-сканер уязвимостей Burp Suite добавлено расширение для сканирования уязвимости.
Исследователи полагают, что вряд ли Text4Shell будет использоваться так же широко, как Log4Shell, однако тщательный анализ указывает на высокий профицит эксплуатации для некоторой категории злоумышленников.
Wordfence
Threat Advisory: Monitoring CVE-2022-42889 "Text4Shell" Exploit Attempts
On October 17, 2022, the Wordfence Threat Intelligence team began monitoring for activity targeting CVE-2022-42889, or “Text4Shell” on our network of 4 million websites. We started seeing activity targeting this vulnerability on October 18, 2022. Text4Shell…
https://www.cyberscoop.com/wp-content/uploads/sites/3/2022/10/image002.png
The Carnegie Mellon University-designed privacy label for IoT devices has been tested with consumers and is ready to be deployed.
The Carnegie Mellon University-designed privacy label for IoT devices has been tested with consumers and is ready to be deployed.