"Кто первый, того и тапки". Такого принципа придерживается Mandiant, которая за два месяца до конца года решила сделать прогнозы на 2023-й год в области ИБ.

Отчет коротенький и его можно изложить всего в нескольких тезисах:
📌 Больше атак от неорганизованных и негосударственных хакеров
📌 Европа обойдет США с точки зрения более атакуемого шифровальщиками региона
📌 Больше вымогательства
📌 Россия, Китай, Иран и Северная Коре я - основные кибервраги
📌 Беспарольная аутентификация завоевывает мир
📌 Смена фокуса хакеров с компрометации ПК в сторону компрометации учетной записи
📌 Хакеры будут изучать больше отчетов ИБ-компаний и ИБ-специалистов для изучения защитных тактик и техник
📌 Киберстрахование - это шняга
📌 ...ну и еще немного в самом отчете👇🏻

https://www.icrc.org/en/document/icrc-proposes-digital-red-crosscrescent-emblem-signal-protection-cyberspace

Интересная международная инициатива

Mandiant - не единственная компания, которая решила выпустить отчет по итогам 2022 года до его окончания. LogRhytm вместе с SANS сделали это в... сентябре.

Из последнего отчета можно узнать, что самым популярным вектором проникновения были партнеры и обновления ПО. Вроде про supply chain говорят давно, но когда видишь значение 60%, это немного меняет отношение к этому вектору и способам его нейтрализации, мониторинга и реагирования.

Ну и сам отчет

https://orkl.eu/ Поисковик по отчетам Threat intelligence

Ноябрьский Patch Tuesday от Microsoft исправляет 68 уязвимостей в Windows, в том числе и 6 активно эксплуатируемых 0-day.

Среди исправленных: 12 классифицируются как критические, 2 -с серьезные и 55 - важные.

По категориям: 27 - повышение привилегий, 4 - обход функций безопасности, 16 - RCE, 11 - раскрытие информации, 6 - DoS, 3 - спуфинг.

Главная изюминка патча - исправления для двух CVE нулевого дня в Exchange Server, также известных как ProxyNotShell.

В целом же, список активно эксплуатируемых 0-day выглядит следующим образом:

- CVE-2022-41128: уязвимость удаленного выполнения кода в языках сценариев Windows, обнаружена Клементом Лесинем из группы анализа угроз Google. Бага требует, чтобы пользователь с уязвимой версией Windows получил доступ к вредоносному серверу.

- CVE-2022-41091: уязвимость Windows Mark of the Web Security Bypass. Злоумышленник может создать вредоносный файл, который сможет обойти защиту MOTW, что приведет к ограничению работы защищенного просмотра в Microsoft Office. Обновление исправляет два обхода Mark of the Web, также обнаруженных Уиллом Дорманном, который продемонстрировал, как можно создать специально созданный Zip-файл для блокировки функции безопасности Windows.

- CVE-2022-41073: уязвимость диспетчера очереди печати Windows, связанная с несанкционированным получением прав, обнаружена центром Microsoft Threat Intelligence Center (MSTIC). Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить системные привилегии.

- CVE-2022-41125: уязвимость службы изоляции ключей Windows CNG, связанная с повышением привилегий, обнаружена Microsoft Threat Intelligence Center (MSTIC) и Microsoft Security Response Center (MSRC).

- CVE-2022-41040: уязвимость Microsoft Exchange Server, связанная с несанкционированным получением прав, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Привилегии, полученные злоумышленником, будут заключаться в возможности запускать PowerShell в контексте системы.

- CVE-2022-41082: уязвимость, связанная с удаленным выполнением кода сервера Microsoft Exchange, обнаружена GTSC и раскрыта в рамках инициативы Zero Dat. Злоумышленник, использующий эту уязвимость, может атаковать учетные записи сервера с помощью произвольного или удаленного выполнения кода.

Среди других критических уязвимостей в ноябрьском патче, на которые стоит обратить внимание, — это уязвимости повышения привилегий в Windows Kerberos (CVE-2022-37967), Kerberos RC4-HMAC (CVE-2022-37966) и Microsoft Exchange Server (CVE-2022-41080) и отказ в обслуживании, затрагивающий Windows Hyper-V (CVE-2022-38015).

В дополнение к этим проблемам, исправление во вторник также устраняет ряд недостатков удаленного выполнения кода в протоколе туннелирования точка-точка (PPTP), Microsoft Excel, Word, драйвере ODBC, Office Graphics, SharePoint Server, JScript9, Chakra и Visual Studio, а также ряд ошибок повышения привилегий в Win32k, Overlay Filter и Group Policy.

Полный список устраненных уязвимостей и выпущенных рекомендаций в Patch Tuesday доступен здесь.

Threat Model Examples - Github проект, представляющий из себе коллекцию различных примеров моделей угроз. Среди которых наиболее интересные нам:
- Kubernetes
- Docker
- Container
- Supply Chain
- Cloud Computing
- CI/CD Pipeline

Так почти все это было уже на данном канале, а здесь все собрано в одном месте - думаю, что многим не помешает, тем более что далеко не все тут с самого начала читают канал.

P.S. Сегодня в 16:00 пройдет онлайн-встреча Программного комитета конференции DevOps Conf 2023 с потенциальными спикерами и активистами. Участие свободное, только нужно зарегистрироваться. CFP уже открыто ;)

Всех с наступающими выходными!

Недавно наткнулся на вот такую забавную картинку. С первого или неопытного взгляда она может показаться просто юмористической. НО она под собой имеет и технический аспект связанный с Kubernetes.

Те кто смотрел мой доклад "Заметки путешественника между мирами: ИБ, ИТ" или был на моем тренинге знают о таком подходе к обеспечению безопасности как Moving target defense (MTD), который мне очень импонирует. А те кто внимательно читает мой канал могут вспомнить пост про Kubernetes operator под названием descheduler, который может помочь в реализации данного подхода.

Так что в каждой шутке есть доля шутки ;)