Forwarded from k8s (in)security (Дмитрий Евдокимов)
Недавно наткнулся на вот такую забавную картинку. С первого или неопытного взгляда она может показаться просто юмористической. НО она под собой имеет и технический аспект связанный с
Те кто смотрел мой доклад "Заметки путешественника между мирами: ИБ, ИТ" или был на моем тренинге знают о таком подходе к обеспечению безопасности как Moving target defense (MTD), который мне очень импонирует. А те кто внимательно читает мой канал могут вспомнить пост про
Так что в каждой шутке есть доля шутки ;)
Kubernetes.Те кто смотрел мой доклад "Заметки путешественника между мирами: ИБ, ИТ" или был на моем тренинге знают о таком подходе к обеспечению безопасности как Moving target defense (MTD), который мне очень импонирует. А те кто внимательно читает мой канал могут вспомнить пост про
Kubernetes operator под названием descheduler, который может помочь в реализации данного подхода.Так что в каждой шутке есть доля шутки ;)
Forwarded from Пост Лукацкого
@danielmakelley опубликовал в Твиттере список из 30 поисковиков по различным аспектам ИБ:
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayHatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayHatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.
X (formerly Twitter)
Daniel Kelley (@danielmakelley) on X
30 cybersecurity search engines for researchers:
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
👍1
Forwarded from Пост Лукацкого
https://csrc.nist.gov/publications/detail/sp/800-55/rev-2/draft
There are three additional questions for reviewer consideration. These questions are:
CIOs and CISOs: What measurement and metrics guidance would benefit your program?
How to best communicate information security measurement needs up and down the organizational structure?
Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work?
There are three additional questions for reviewer consideration. These questions are:
CIOs and CISOs: What measurement and metrics guidance would benefit your program?
How to best communicate information security measurement needs up and down the organizational structure?
Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work?
CSRC | NIST
NIST Special Publication (SP) 800-55 Rev. 2 (Draft), Performance Measurement Guide for Information Security (initial working draft)
This document provides guidance on how an organization can use metrics to identifies the adequacy of an in-place security controls, policies, and procedures. It provides an approach to help management decide where to invest in additional security protection…
Forwarded from Пост Лукацкого
Так сложилось, что сегодня началось еще одно мероприятие по SecOps, но уже в США. И если у нас мероприятия начинаются с выступлений регуляторов, то у них с выступлений Gartner :-)
Gartner делает прогноз по развитию SecOps-инструментов, считая, что SOAR, IRP и TIP будут сливаться в единое решение TDIR, которое, в свою очередь, будет сливаться с SIEMами. Да, отдельные решения будут еще существовать, но унификация решения - это мейнстрим по версии Gartner.
#nosocforum
Gartner делает прогноз по развитию SecOps-инструментов, считая, что SOAR, IRP и TIP будут сливаться в единое решение TDIR, которое, в свою очередь, будет сливаться с SIEMами. Да, отдельные решения будут еще существовать, но унификация решения - это мейнстрим по версии Gartner.
#nosocforum
Forwarded from Пост Лукацкого
Gartner также вводит новую аббревиатуру "новое" направление в ИБ - exposure management. Это нечто, позволяющее оценивать незащищенность компании с разных точек зрения, и включает в себя
📌 сканеры безопасности,
📌 симуляторы атак BAS,
📌 средства по анализу площади атаки (Attack Surface Management),
📌 средства по анализу компании в Даркнете и в Интернете (открытые извне порты, сайты-клоны, утекшие пароли и т.п.),
📌 платформы для проведения киберучений,
📌 инструментарий для пентестов/Red Team и т.п.
Думаю, что идея тут не в выделении очередной "магической" аббревиатуры, а в том, что пора на свою незащищенность смотреть с разных точек зрения, но в рамках унифицированного процесса, в идеале объединив разрозненные решения с помощью API в рамках некого оркестратора.
#nosocforum
📌 сканеры безопасности,
📌 симуляторы атак BAS,
📌 средства по анализу площади атаки (Attack Surface Management),
📌 средства по анализу компании в Даркнете и в Интернете (открытые извне порты, сайты-клоны, утекшие пароли и т.п.),
📌 платформы для проведения киберучений,
📌 инструментарий для пентестов/Red Team и т.п.
Думаю, что идея тут не в выделении очередной "магической" аббревиатуры, а в том, что пора на свою незащищенность смотреть с разных точек зрения, но в рамках унифицированного процесса, в идеале объединив разрозненные решения с помощью API в рамках некого оркестратора.
#nosocforum
Forwarded from SecAtor
Эксперты из центра GReAT Лаборатории Касперского представили ежегодный прогноз с ключевыми трендами APT-атак и значимыми событиями в инфосеке на 2023 год.
Коротко о том, что нас ждет:
1. Учитывая высокую напряженность последних геополитических событии и усилившееся противостояние Запада и Востока, ожидается повышение киберактивности, а последствия кибератак будут более значительны.
В частности, в следующем году инфосек ожидает рекорд по числу разрушительных кибератак на госуучреждения и ключевые объекты промышленности, включая и подводные коммуникации, в том числе под видом случайных происшествий, ransomware или акций хактивистов.
2. Почтовые серверы могут стать приоритетной целью, обеспечивая хранение интересующей АРТ информации и представляя собой самую большую поверхность атаки.
В 2023 году атаки с использованием 0-day станут преобладающей угрозой для всех популярных почтовых программ.
Так, в 2022 году в решениях лидеров рынка, Microsoft Exchange и Zimbra, были обнаружены критические RCE-уязвимости, которые активно использовали, иногда даже для массовых атак.
3. По статистике, крупные и разрушительные киберэпидемии случаются каждый 6–7 лет, последняя из которых была связана с червем-шифровальщиком WannaCry.
Предвидеть появление очередного зловреда такого типа практически невозможно.
Однако текущая напряженность повышает вероятность проведения атак в стиле Shadow Brokers, когда украденные данные публикуются в открытом доступе, а у наиболее продвинутых АРТ в запасе имеется хотя бы один такой эксплойт.
4. APT-группы начнут атаковать спутниковое оборудование, его производителей и операторов, принимая во внимание растущую потребность в расширении военного потенциала за счет космических технологий.
Случаи взлома сетей спутниковой связи APT-группами уже есть, например инцидент с провайдером Viasat.
5. Публикация украденных данных станет новым трендом. Используя эту тактику, вымогатели обычно оказывают давление на свою жертву, но APT-группы могут действовать с чисто разрушительными целями, выкладывая в общий доступ попадают чувствительную информацию в формате внутренних документов или электронных писем.
6. APT заменят CobaltStrike на аналогичные инструменты, в числе которых может оказаться Brute Ratel C4, разработанный для обхода антивирусных и EDR-технологий обнаружения угроз. В качестве альтернативы - Sliver, Manjusaka или Ninja.
7. Для доставки вредоносного кода могут задействоваться средства SIGINT.
Несмотря на то, что для масштабного проведения таких атак требуются политические и технологические возможности, высока вероятность того, что похожие на анбшную Quantum инструменты будут применяться на местном уровне, но с возрастанием их частоты увеличится и число обнаружений.
8. Хакеры обратят пристальное внимание на коммерческие дроны, которые будут использоваться для взлома систем.
Мошенникам не составит труда установить на такое устройство модуль Wi-Fi, IMSI-перехватчик или произвести сброс вредоносных USB-ключей в режимных территориях.
Дерзкие злоумышленники уже умело работают в киберфизическом пространстве.
Кроме того, ЛК рассказали о том, к каким выводам они пришли год назад и насколько точны оказались их прогнозы (спойлер: почти все).
Коротко о том, что нас ждет:
1. Учитывая высокую напряженность последних геополитических событии и усилившееся противостояние Запада и Востока, ожидается повышение киберактивности, а последствия кибератак будут более значительны.
В частности, в следующем году инфосек ожидает рекорд по числу разрушительных кибератак на госуучреждения и ключевые объекты промышленности, включая и подводные коммуникации, в том числе под видом случайных происшествий, ransomware или акций хактивистов.
2. Почтовые серверы могут стать приоритетной целью, обеспечивая хранение интересующей АРТ информации и представляя собой самую большую поверхность атаки.
В 2023 году атаки с использованием 0-day станут преобладающей угрозой для всех популярных почтовых программ.
Так, в 2022 году в решениях лидеров рынка, Microsoft Exchange и Zimbra, были обнаружены критические RCE-уязвимости, которые активно использовали, иногда даже для массовых атак.
3. По статистике, крупные и разрушительные киберэпидемии случаются каждый 6–7 лет, последняя из которых была связана с червем-шифровальщиком WannaCry.
Предвидеть появление очередного зловреда такого типа практически невозможно.
Однако текущая напряженность повышает вероятность проведения атак в стиле Shadow Brokers, когда украденные данные публикуются в открытом доступе, а у наиболее продвинутых АРТ в запасе имеется хотя бы один такой эксплойт.
4. APT-группы начнут атаковать спутниковое оборудование, его производителей и операторов, принимая во внимание растущую потребность в расширении военного потенциала за счет космических технологий.
Случаи взлома сетей спутниковой связи APT-группами уже есть, например инцидент с провайдером Viasat.
5. Публикация украденных данных станет новым трендом. Используя эту тактику, вымогатели обычно оказывают давление на свою жертву, но APT-группы могут действовать с чисто разрушительными целями, выкладывая в общий доступ попадают чувствительную информацию в формате внутренних документов или электронных писем.
6. APT заменят CobaltStrike на аналогичные инструменты, в числе которых может оказаться Brute Ratel C4, разработанный для обхода антивирусных и EDR-технологий обнаружения угроз. В качестве альтернативы - Sliver, Manjusaka или Ninja.
7. Для доставки вредоносного кода могут задействоваться средства SIGINT.
Несмотря на то, что для масштабного проведения таких атак требуются политические и технологические возможности, высока вероятность того, что похожие на анбшную Quantum инструменты будут применяться на местном уровне, но с возрастанием их частоты увеличится и число обнаружений.
8. Хакеры обратят пристальное внимание на коммерческие дроны, которые будут использоваться для взлома систем.
Мошенникам не составит труда установить на такое устройство модуль Wi-Fi, IMSI-перехватчик или произвести сброс вредоносных USB-ключей в режимных территориях.
Дерзкие злоумышленники уже умело работают в киберфизическом пространстве.
Кроме того, ЛК рассказали о том, к каким выводам они пришли год назад и насколько точны оказались их прогнозы (спойлер: почти все).
Securelist
Прогнозы по продвинутым угрозам на 2023 год
Наши эксперты из команды GReAT проанализировали возможные ключевые направления APT-атак в 2023 году и пришли к ряду интересных прогнозов, которыми мы и хотим поделиться.