TLP:CLEAR

SANS обновил свой постер по форензике на платформе Windows

#nosocforum

https://csrc.nist.gov/publications/detail/sp/800-55/rev-2/draft

There are three additional questions for reviewer consideration. These questions are:

CIOs and CISOs: What measurement and metrics guidance would benefit your program?
How to best communicate information security measurement needs up and down the organizational structure?
Examples: What kinds of measures and metrics examples or templates could this publication provide that would be helpful in your work?

Так сложилось, что сегодня началось еще одно мероприятие по SecOps, но уже в США. И если у нас мероприятия начинаются с выступлений регуляторов, то у них с выступлений Gartner :-)

Gartner делает прогноз по развитию SecOps-инструментов, считая, что SOAR, IRP и TIP будут сливаться в единое решение TDIR, которое, в свою очередь, будет сливаться с SIEMами. Да, отдельные решения будут еще существовать, но унификация решения - это мейнстрим по версии Gartner.

#nosocforum

Gartner также вводит новую аббревиатуру "новое" направление в ИБ - exposure management. Это нечто, позволяющее оценивать незащищенность компании с разных точек зрения, и включает в себя
📌 сканеры безопасности,
📌 симуляторы атак BAS,
📌 средства по анализу площади атаки (Attack Surface Management),
📌 средства по анализу компании в Даркнете и в Интернете (открытые извне порты, сайты-клоны, утекшие пароли и т.п.),
📌 платформы для проведения киберучений,
📌 инструментарий для пентестов/Red Team и т.п.

Думаю, что идея тут не в выделении очередной "магической" аббревиатуры, а в том, что пора на свою незащищенность смотреть с разных точек зрения, но в рамках унифицированного процесса, в идеале объединив разрозненные решения с помощью API в рамках некого оркестратора.

#nosocforum

Эксперты из центра GReAT Лаборатории Касперского представили ежегодный прогноз с ключевыми трендами APT-атак и значимыми событиями в инфосеке на 2023 год.

Коротко о том, что нас ждет:

1. Учитывая высокую напряженность последних геополитических событии и усилившееся противостояние Запада и Востока, ожидается повышение киберактивности, а последствия кибератак будут более значительны.

В частности, в следующем году инфосек ожидает рекорд по числу разрушительных кибератак на госуучреждения и ключевые объекты промышленности, включая и подводные коммуникации, в том числе под видом случайных происшествий, ransomware или акций хактивистов.

2. Почтовые серверы могут стать приоритетной целью, обеспечивая хранение интересующей АРТ информации и представляя собой самую большую поверхность атаки.

В 2023 году атаки с использованием 0-day станут преобладающей угрозой для всех популярных почтовых программ.

Так, в 2022 году в решениях лидеров рынка, Microsoft Exchange и Zimbra, были обнаружены критические RCE-уязвимости, которые активно использовали, иногда даже для массовых атак.

3. По статистике, крупные и разрушительные киберэпидемии случаются каждый 6–7 лет, последняя из которых была связана с червем-шифровальщиком WannaCry.

Предвидеть появление очередного зловреда такого типа практически невозможно.

Однако текущая напряженность повышает вероятность проведения атак в стиле Shadow Brokers, когда украденные данные публикуются в открытом доступе, а у наиболее продвинутых АРТ в запасе имеется хотя бы один такой эксплойт.

4. APT-группы начнут атаковать спутниковое оборудование, его производителей и операторов, принимая во внимание растущую потребность в расширении военного потенциала за счет космических технологий.

Случаи взлома сетей спутниковой связи APT-группами уже есть, например инцидент с провайдером Viasat.

5. Публикация украденных данных станет новым трендом. Используя эту тактику, вымогатели обычно оказывают давление на свою жертву, но APT-группы могут действовать с чисто разрушительными целями, выкладывая в общий доступ попадают чувствительную информацию в формате внутренних документов или электронных писем.

6. APT заменят CobaltStrike на аналогичные инструменты, в числе которых может оказаться Brute Ratel C4, разработанный для обхода антивирусных и EDR-технологий обнаружения угроз. В качестве альтернативы - Sliver, Manjusaka или Ninja.

7. Для доставки вредоносного кода могут задействоваться средства SIGINT.

Несмотря на то, что для масштабного проведения таких атак требуются политические и технологические возможности, высока вероятность того, что похожие на анбшную Quantum инструменты будут применяться на местном уровне, но с возрастанием их частоты увеличится и число обнаружений.

8. Хакеры обратят пристальное внимание на коммерческие дроны, которые будут использоваться для взлома систем.

Мошенникам не составит труда установить на такое устройство модуль Wi-Fi, IMSI-перехватчик или произвести сброс вредоносных USB-ключей в режимных территориях.

Дерзкие злоумышленники уже умело работают в киберфизическом пространстве.

Кроме того, ЛК рассказали о том, к каким выводам они пришли год назад и насколько точны оказались их прогнозы (спойлер: почти все).

InfoSec Black Friday Deals ~ "Hack Friday" 2022 Edition

США начали активную миграцию на алгоритмы шифрования устойчивые к анализу квантовыми компьютерами. Для госорганов она должна случиться к маю 2023 года.
Указан явно список уязвимых алгоритмов шифрования.

У американских госорганов есть 6 месяцев для миграции на постквантовую криптографию. Таково решение Белого дома