Forwarded from Избранное про ИБ
Недавно Microsoft опубликовали третью версию матрицы угроз для Kubernetes (https://microsoft.github.io/Threat-Matrix-for-Kubernetes/) с мерами защиты (mitigations).
Давайте посмотрим подробнее что там добавилось интересного.
1. Mitigations
Предыдущие версии матрицы помогали лучше разобраться как происходит цепочка атаки на kubernetes и какие специфические для данной системы техники используются. Но когда осознана проблема, определены актуальные для вашей системы техники и тактики злоумышленников нужно идти дальше - разрабатывать план защиты kebernetes и шаг за шагом его реализовывать. Для этого и предлагается использовать Mitigations methods.
Mitigations
2. Маппинг на техники MITRE ATT&CK
Ранее Microsoft совместно с MITRE адаптировали предыдущую Threat matrix в экосистему MITRE и разрабатывали набор техник атак специфичных для систем с использованием контейнеров MITRE ATT&CK matrix for containers. Там техники получились более универсальные и общие. Получается что атаки на kubernetes лучше моделировать с Threat matrix, но по итогам сформировать ещё и соответствующий перечень техник MITRE для того чтобы его использовать в каких то системах защиты, мониторинга и информирования об актуальных угрозах (всё-таки MITRE для этого более распространен).
MITRE
3. Новые техники атак
По сравнению с предыдущей версией добавилось/расширили 4 техники:
Static pods (новая) - в рамках этапа закрепления в системы атакующий размещает Pod-ы которые не управляются (и не видны) централизованно Kubernetes API server
Collecting data from pod (новая) - специфическая для Kubernetes техника которая используется для выгрузки данных их работающего pod-а
Container service account (расширение) - атакующий может создать новую системную учетную запись или похитить токены доступа существующей учетной записи для использования в будущих атаках как изнутри так и извне кластера.
Exposed sensitive interfaces (расширение) - атакующий использует интерфейсы управления и мониторинга для изучения системы и обнаружения новых целей. Используя разрешенное взаимодействие между pod-ами и системой управления, атакующий может подключаться к таким интерфейсам из любого сегмента и неймспейса для получения дополнительной информации
Давайте посмотрим подробнее что там добавилось интересного.
1. Mitigations
Предыдущие версии матрицы помогали лучше разобраться как происходит цепочка атаки на kubernetes и какие специфические для данной системы техники используются. Но когда осознана проблема, определены актуальные для вашей системы техники и тактики злоумышленников нужно идти дальше - разрабатывать план защиты kebernetes и шаг за шагом его реализовывать. Для этого и предлагается использовать Mitigations methods.
Mitigations
2. Маппинг на техники MITRE ATT&CK
Ранее Microsoft совместно с MITRE адаптировали предыдущую Threat matrix в экосистему MITRE и разрабатывали набор техник атак специфичных для систем с использованием контейнеров MITRE ATT&CK matrix for containers. Там техники получились более универсальные и общие. Получается что атаки на kubernetes лучше моделировать с Threat matrix, но по итогам сформировать ещё и соответствующий перечень техник MITRE для того чтобы его использовать в каких то системах защиты, мониторинга и информирования об актуальных угрозах (всё-таки MITRE для этого более распространен).
MITRE
3. Новые техники атак
По сравнению с предыдущей версией добавилось/расширили 4 техники:
Static pods (новая) - в рамках этапа закрепления в системы атакующий размещает Pod-ы которые не управляются (и не видны) централизованно Kubernetes API server
Collecting data from pod (новая) - специфическая для Kubernetes техника которая используется для выгрузки данных их работающего pod-а
Container service account (расширение) - атакующий может создать новую системную учетную запись или похитить токены доступа существующей учетной записи для использования в будущих атаках как изнутри так и извне кластера.
Exposed sensitive interfaces (расширение) - атакующий использует интерфейсы управления и мониторинга для изучения системы и обнаружения новых целей. Используя разрешенное взаимодействие между pod-ами и системой управления, атакующий может подключаться к таким интерфейсам из любого сегмента и неймспейса для получения дополнительной информации
Уязвимость CVSS 9.6 в ядре Linux .
https://www.zdnet.com/article/patch-now-serious-linux-kernel-security-hole-uncovered
1. $ uname -r
если ядро выше или равно 5.15 (ubuntu 22.04 и выше) то нужна
вторая команда.
2.$ modinfo ksmb
если модуль найден, то нужно ядро обновлять до 5.15.61 или старше.
https://www.zdnet.com/article/patch-now-serious-linux-kernel-security-hole-uncovered
1. $ uname -r
если ядро выше или равно 5.15 (ubuntu 22.04 и выше) то нужна
вторая команда.
2.$ modinfo ksmb
если модуль найден, то нужно ядро обновлять до 5.15.61 или старше.
ZDNET
Patch now: Serious Linux kernel security hole uncovered
The Zero Day Initiative originally rated this Linux 5.15 in-kernel SMB server, ksmbd, bug a perfectly awful 10.
Forwarded from Пост Лукацкого
Обновил календарь крупных ИБ-мероприятий на 2023-й год. Пока не все есть - даты мероприятий второй половины годы еще не определены. Появилось парочка новых имен - "Магнитка" разделилась на два мероприятия. Ну и как обычно - есть, что упустил, пишите, внесу в список.
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
Календарь крупных мероприятий по ИБ на 2024 год
Я более 10 лет публиковал список крупных мероприятий по информационной безопасности, проводимых в России (критерии включения описаны здесь), но в этом году решил, что надо прекращать это делать в том варианте, как это было раньше. Хочу пересмотреть всю историю…
Forwarded from Пост Лукацкого
Недавно вышла 2-я версия фреймворка CSAF (Common Security Advisory Framework), который призван завершить вакханалию с собственными и только человеком читаемыми форматами и структурами описания уязвимостей. CSAF 2.0 позволяет описать машинно-читаемый формат описания уязвимостей для автоматизации управления ими. Поддержка CSAF 2.0, как предполагается, позволит не только автоматизировать сопоставление пришедшей информации об уязвимостях с имеющейся CMDB, но и даже сопоставлять эти данные с базой данных SBOM поставщиков ПО (VEX является одним из профилей CSAF).
Dark Reading
CSAF Is the Future of Vulnerability Management
Version 2.0 of the Common Security Advisory Framework will enable organizations to automate vulnerability remediation.
Forwarded from OpenNews (HK-47)
Предложен метод взлома ключей RSA-2048 на современном квантовом компьютере
Группа исследователей из нескольких китайских научных центров и университетов предложила новый способ оптимизации процесса факторизации параметров RSA-ключей на квантовых компьютерах. По заявлению исследователей разработанный ими метод позволяет обойтись для взлома ключей RSA-2048 квантовым компьютером с 372 кубитами. Для сравнения, IBM Osprey, самый мощный из ныне созданных квантовых компьютеров, содержит 433 кубита. Тем не менее, метод пока является лишь теоретическим, не опробован на практике и вызывает скептическое отношение некоторых криптографов.
Группа исследователей из нескольких китайских научных центров и университетов предложила новый способ оптимизации процесса факторизации параметров RSA-ключей на квантовых компьютерах. По заявлению исследователей разработанный ими метод позволяет обойтись для взлома ключей RSA-2048 квантовым компьютером с 372 кубитами. Для сравнения, IBM Osprey, самый мощный из ныне созданных квантовых компьютеров, содержит 433 кубита. Тем не менее, метод пока является лишь теоретическим, не опробован на практике и вызывает скептическое отношение некоторых криптографов.
Implementing a Zero Trust Architecture | NCCoE
NIST’s National Cybersecurity Center of Excellence (NCCoE) has published the second version of volumes A-D and the first version of volume E of a preliminary draft practice guide noscriptd “Implementing a Zero Trust Architecture”
https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture
NIST’s National Cybersecurity Center of Excellence (NCCoE) has published the second version of volumes A-D and the first version of volume E of a preliminary draft practice guide noscriptd “Implementing a Zero Trust Architecture”
https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture
NCCoE
Implementing a Zero Trust Architecture | NCCoE
Project AbstractThe proliferation of cloud computing, mobile device use, and the Internet of Things has dissolved conventional network boundaries. The workforce is more distributed, with remote workers who need access to resources anytime, anywhere, and on…
https://research.checkpoint.com/2023/opwnai-cybercriminals-starting-to-use-chatgpt/
At the end of November 2022, OpenAI released ChatGPT, the new interface for its Large Language Model (LLM), which instantly created a flurry of interest in AI and its possible uses. However, ChatGPT has also added some spice to the modern cyber threat landscape as it quickly became apparent that code generation can help less-skilled threat actors effortlessly launch cyberattacks.
At the end of November 2022, OpenAI released ChatGPT, the new interface for its Large Language Model (LLM), which instantly created a flurry of interest in AI and its possible uses. However, ChatGPT has also added some spice to the modern cyber threat landscape as it quickly became apparent that code generation can help less-skilled threat actors effortlessly launch cyberattacks.
Check Point Research
OPWNAI : Cybercriminals Starting to Use ChatGPT - Check Point Research
Introduction At the end of November 2022, OpenAI released ChatGPT, the new interface for its Large Language Model (LLM), which instantly created a flurry of interest in AI and its possible uses. However, ChatGPT has also added some spice to the modern cyber…
NIST is announcing the initial public drafts of NIST SP 800-157r1 (Revision 1), Guidelines for Derived Personal Identity Verification (PIV) Credentials, and NIST SP 800-217, Guidelines for Personal Identity Verification (PIV) Federation. These two SPs complement Federal Information Processing Standard (FIPS) 201-3, which defines the requirements and characteristics of government-wide interoperable identity credentials used by federal employees and contractors.
https://csrc.nist.gov/publications/detail/sp/800-157/rev-1/draft
https://csrc.nist.gov/publications/detail/sp/800-217/draft
https://csrc.nist.gov/publications/detail/sp/800-157/rev-1/draft
https://csrc.nist.gov/publications/detail/sp/800-217/draft
CSRC | NIST
NIST Special Publication (SP) 800-157 Rev. 1 (Draft), Guidelines for Derived Personal Identity Verification (PIV) Credentials
This recommendation provides technical guidelines for the implementation of standards-based, secure, reliable credentials that are issued by federal departments and agencies to individuals who possess and prove control of their valid PIV Card. These credentials…