Forwarded from Makrushin (Denis)
Напоминание для тех, кто охотится за уязвимостями: не ограничивайся обнаруженным скоупом. Продолжай искать новые ресурсы, которые прямо или косвенно связаны с целью.
В качестве примера возьмем бизнес-процесс, который построен с использованием технологии блокчейн. В дополнение к стандартным веб-приложениям, которые включены в скоуп, можно добавить новые цели для поиска проблем:
1. блокчейн инфраструктура: все, что помогает этой технологии в работе (потребуется анализ защищенности нод и хранилищ);
2. смарт-контракт (для аудита пригодится список уязвимостей смарт-контрактов);
3. аппаратный кошелек и мобильные приложения (тут поможет OWASP Mobile Top 10).
В качестве примера возьмем бизнес-процесс, который построен с использованием технологии блокчейн. В дополнение к стандартным веб-приложениям, которые включены в скоуп, можно добавить новые цели для поиска проблем:
1. блокчейн инфраструктура: все, что помогает этой технологии в работе (потребуется анализ защищенности нод и хранилищ);
2. смарт-контракт (для аудита пригодится список уязвимостей смарт-контрактов);
3. аппаратный кошелек и мобильные приложения (тут поможет OWASP Mobile Top 10).
GitHub
List of Security Vulnerabilities
Smart contracts which are formally verified. Contribute to runtimeverification/verified-smart-contracts development by creating an account on GitHub.
👍1
27 апреля в 11:00, вебинар «Как перестать бояться BCP, DRP и ЦБ РФ».
Эксперты компании «Инфосистемы Джет» представят кейсы по разработке и реализации планов обеспечения непрерывности бизнеса (BCP), обсудят требования Банка России к операционной надёжности (включая основные требования новых стандартов ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022), а также разберут особенности разработки DR-планов и проектирования отказоустойчивой ИТ-инфраструктуры.
В программе:
🔹Непрерывность бизнеса: теория (совсем немного) и практика.
🔹Операционная надёжность: что с требованиями.
🔹Инфраструктура в общем и DRP в частности
Участие бесплатное, регистрация по ссылке
Эксперты компании «Инфосистемы Джет» представят кейсы по разработке и реализации планов обеспечения непрерывности бизнеса (BCP), обсудят требования Банка России к операционной надёжности (включая основные требования новых стандартов ГОСТ Р 57580.3-2022, ГОСТ Р 57580.4-2022), а также разберут особенности разработки DR-планов и проектирования отказоустойчивой ИТ-инфраструктуры.
В программе:
🔹Непрерывность бизнеса: теория (совсем немного) и практика.
🔹Операционная надёжность: что с требованиями.
🔹Инфраструктура в общем и DRP в частности
Участие бесплатное, регистрация по ссылке
NEW Identity and Access Management Roadmap
NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework - NIST IAM Roadmap_FINAL_For Publicaiton_04212023.pdf
https://www.nist.gov/system/files/documents/2023/04/21/NIST%20IAM%20Roadmap_FINAL_For%20Publicaiton_04212023.pdf
NIST Cybersecurity Framework 2.0 Concept Paper: Potential Significant Updates to the Cybersecurity Framework - NIST IAM Roadmap_FINAL_For Publicaiton_04212023.pdf
https://www.nist.gov/system/files/documents/2023/04/21/NIST%20IAM%20Roadmap_FINAL_For%20Publicaiton_04212023.pdf
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Стал доступен "Kubernetes 1.24 Security Audit"!
Прошлый подобный отчет для
Основные результаты нового отчета:
- A number of concerns with the administrative experience as it relates to restricting user or network permissions. These may result in administrator confusion or a lack of clarity around the permissions available to a specific component.
- Flaws in inter-component authentication which allow a suitably positioned malicious user to escalate permissions to cluster-admin.
- Weaknesses in logging and auditing which could be abused by an attacker post-compromise to aid in maintaining persistence or stealth once in control of a cluster.
- Flaws in user input sanitisation which allow a restricted form of authentication bypass by modifying the request made to the etcd datastore.
Очень круто, что к
Прошлый подобный отчет для
Kubernetes датируется 2019 годом и был для версии 1.13.Основные результаты нового отчета:
- A number of concerns with the administrative experience as it relates to restricting user or network permissions. These may result in administrator confusion or a lack of clarity around the permissions available to a specific component.
- Flaws in inter-component authentication which allow a suitably positioned malicious user to escalate permissions to cluster-admin.
- Weaknesses in logging and auditing which could be abused by an attacker post-compromise to aid in maintaining persistence or stealth once in control of a cluster.
- Flaws in user input sanitisation which allow a restricted form of authentication bypass by modifying the request made to the etcd datastore.
Очень круто, что к
K8s есть такое пристальное внимание со стороны ИБ.https://medium.com/anton-on-security/reading-mandiant-m-trends-2023-f315c62c8a8b
"SURPRISING
“Mandiant experts note a decrease in the percentage of global intrusions involving ransomware between 2021 and 2022. In 2022, 18% of intrusions involved ransomware compared to 23% in 2021” [A.C. — wow, ransomware is finally declining! Good news?!]
“Organizations were notified of breaches by external entities in 63% of incidents compared to 47% in M-Trends 2022, which brings the global detection rates closer to what defenders experienced in 2014”
“Mandiant observed threat actors leverage data available in underground cybercrime markets, clever social engineering schemes, and even bribes to carry out intrusions and account takeovers. Furthermore, these adversaries demonstrated a willingness to get personal with their targets, bullying and threatening many of them.”
"SURPRISING
“Mandiant experts note a decrease in the percentage of global intrusions involving ransomware between 2021 and 2022. In 2022, 18% of intrusions involved ransomware compared to 23% in 2021” [A.C. — wow, ransomware is finally declining! Good news?!]
“Organizations were notified of breaches by external entities in 63% of incidents compared to 47% in M-Trends 2022, which brings the global detection rates closer to what defenders experienced in 2014”
“Mandiant observed threat actors leverage data available in underground cybercrime markets, clever social engineering schemes, and even bribes to carry out intrusions and account takeovers. Furthermore, these adversaries demonstrated a willingness to get personal with their targets, bullying and threatening many of them.”
Medium
Reading Mandiant M-Trends 2023
The famous Mandiant 2023 M-Trends (NOT G-Trends, mind you…) report is out, and here are some of the things that I found to be surprising…
https://www.nist.gov/system/files/documents/2023/04/24/NIST%20Cybersecurity%20Framework%202.0%20Core%20Discussion%20Draft%204-2023%20final.pdf
"NIST is updating the Cybersecurity Framework (CSF) which is widely used to help organizations better understand, manage, reduce, and communicate cybersecurity risks. This recently released CSF 2.0 Core discussion draft identifies the potential Functions, Categories, and Subcategories (also called cybersecurity outcomes) of the NIST CSF 2.0 Core."
"NIST is updating the Cybersecurity Framework (CSF) which is widely used to help organizations better understand, manage, reduce, and communicate cybersecurity risks. This recently released CSF 2.0 Core discussion draft identifies the potential Functions, Categories, and Subcategories (also called cybersecurity outcomes) of the NIST CSF 2.0 Core."
Forwarded from Makrushin (Denis)
Инструменты безопасности для разработчика смарт-контрактов.
Если упомянули анализ защищенности блокчейн-технологий, то перечислим утилиты, которые разработчик должен включить в SDLC:
* Smartcheck
* Octopus
* Mythril
Они помогут найти очевидные уязвимости еще до того, как смарт-контракт окажется в распоряжении пентестера или злоумышленника. Потому что пентестеры используют эти же инструменты.
Если упомянули анализ защищенности блокчейн-технологий, то перечислим утилиты, которые разработчик должен включить в SDLC:
* Smartcheck
* Octopus
* Mythril
Они помогут найти очевидные уязвимости еще до того, как смарт-контракт окажется в распоряжении пентестера или злоумышленника. Потому что пентестеры используют эти же инструменты.
Forwarded from Секьюрно
Сама матрица обновляется два раза в год – в апреле и в октябре.
В новой версии обновлены техники, группы, компании, а также перечень программного обеспечения, используемого злоумышленниками для матриц Enterprise, Mobile, and ICS.
Однако самое большое изменение – для ряда техник были добавлены подробные руководства по их обнаружению. Для этого в описание добавлены «easy button» - текстовые вставки для их удобного копирования и использования аналитиками SOC. В планах MITRE – постепенно обновлять меры по смягчению последствий (Mitigations) и включать в них аналитику из CAR.
Кратко по другим изменениям:
Из интересных техник добавлены следующие:
🔹 [T1552.008] Unsecured Credentials: Chat Messages – использование журналов сервисов коммуникации, таких как Teams, Slack, инструментов совместной работы для получения доступа к часто передаваемым там паролям к ресурсам
🔹 [T1027.011] Obfuscated Files or Information: Fileless Storage – использование бесфайловых хранилищ данных для сокрытия вредоносной активности (реестр, WMI и другие)
🔹 [T1583.008] Acquire Infrastructure: Malvertising – приобретение вредоносной рекламы для распространения вредоносного ПО
🔹 [T1562.011] Impair Defenses: Spoof Security Alerting – подделка оповещений от средств защиты информации, эмулируя «здоровое поведение» СЗИ, хотя оно может быть отключено
Подробнее обо всех изменениях можно почитать здесь.
#MITRE
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from НТЦ ГРЧЦ
Роскомнадзор и Главный радиочастотный центр совместно с аналитическим центром MindSmith и «Ростелекомом» выпустили исследование «Инструменты ИИ в руках злоумышленников — классификация угроз и способы противодействия».
Аналитики определили 12 приоритетных направлений применения искусственного интеллекта для обеспечения безопасности интернет-пользователей:
Ключевые выводы:
Please open Telegram to view this post
VIEW IN TELEGRAM
https://blog.virustotal.com/2023/04/introducing-virustotal-code-insight.html
"This functionality empowers security experts and analysts by providing them with deeper insights into the purpose and operation of analyzed code, significantly enhancing their capability to detect and mitigate potential threats."
"This functionality empowers security experts and analysts by providing them with deeper insights into the purpose and operation of analyzed code, significantly enhancing their capability to detect and mitigate potential threats."
Virustotal
Introducing VirusTotal Code Insight: Empowering threat analysis with generative AI
At the RSA Conference 2023 today, we are excited to unveil VirusTotal Code Insight, a cutting-edge feature that leverages artificial intelli...
Forwarded from k8s (in)security (r0binak)
Исследователи из
Очевидно, что
Причины такого достаточно тривиальные:
Если говорить о том, как снизить риски:
В заключение, небольшой
Aqua Nautilus обнаружили, что как минимум 5 компаний из списка Fortune 500 имеют критичные мисконфиги в registries и artifact repositories, содержащих более 250 миллионов артефактов и 65000 образов. Эти данные включают в себя различные ключи, токены, креды, секреты и приватные эндпоинты. Очевидно, что
registries являются важной частью цепочки поставок в облаке, и что организации не уделяют им достаточного внимания. Если злоумышленники получают доступ к ним, они могут отравить и потенциально использовать весь SDLC.Причины такого достаточно тривиальные:
- открытый доступ в интернет
- уязвимые версии компонентов
- слабые пароли
- разрешенный анонимный доступЕсли говорить о том, как снизить риски:
- использование VPN или firewall
- использование SSO, MFA, и надежных паролей
- регулярное обновление ключей, кредов и секретов
- следование приницпу наименьших привилегий
- регулярное сканирование sensitive dataВ заключение, небольшой
cheatsheet с mitigations.Вы интересуетесь ИИ, планируете внедрение или уже используете его в своей работе?
Тогда вам необходимо:
• Понимать уязвимости и угрозы, связанные с ИИ;
• Знать о построении доверенной работы технологий ИИ;
• Уметь наладить корректную обработку данных;
• Приготовиться к защите от атак на ИИ.
Узнать об этом больше, получить практические советы и обсудить свои подходы с экспертами вы сможете 25 мая 2023 года на первом форуме о доверенном искусственном интеллекте.
ЗАРЕГИСТРИРОВАТЬСЯ НА ФОРУМ.
Программу форума откроет ключевая дискуссия «Доверенный искусственный интеллект».
К участию в ней приглашены:
• Дмитрий Чернышенко, Правительство России
• Александр Шойтов, Минцифры России
• Виктор Садовничий, МГУ имени М. В. Ломоносова
• Арутюн Аветисян, ИСП РАН
• Александр Ведяхин, ПАО Сбербанк
• Вадим Кулик, Банк ВТБ (ПАО)
• Анна Серебряникова, Ассоциация больших данных
• Александр Крайнов, Яндекс
Тогда вам необходимо:
• Понимать уязвимости и угрозы, связанные с ИИ;
• Знать о построении доверенной работы технологий ИИ;
• Уметь наладить корректную обработку данных;
• Приготовиться к защите от атак на ИИ.
Узнать об этом больше, получить практические советы и обсудить свои подходы с экспертами вы сможете 25 мая 2023 года на первом форуме о доверенном искусственном интеллекте.
ЗАРЕГИСТРИРОВАТЬСЯ НА ФОРУМ.
Программу форума откроет ключевая дискуссия «Доверенный искусственный интеллект».
К участию в ней приглашены:
• Дмитрий Чернышенко, Правительство России
• Александр Шойтов, Минцифры России
• Виктор Садовничий, МГУ имени М. В. Ломоносова
• Арутюн Аветисян, ИСП РАН
• Александр Ведяхин, ПАО Сбербанк
• Вадим Кулик, Банк ВТБ (ПАО)
• Анна Серебряникова, Ассоциация больших данных
• Александр Крайнов, Яндекс
👍2
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Еще одна прекрасно проиллюстрированная статья "Kubernetes: Network Policies" от того же автора, о котором мы недавно уже писали. В этот раз тема про нативную
Также не забываем про классные репозиторий Kubernetes Network Policy Recipes с его анимированными схемами политик!
Про кастомные политики рекомендую посмотреть наше (команды
NetworkPolicy. И если вы визуал, как абсолютное большинство людей на этом шарике, то вам такое объяснение принципов работы данного ресурсы точно зайдет.Также не забываем про классные репозиторий Kubernetes Network Policy Recipes с его анимированными схемами политик!
Про кастомные политики рекомендую посмотреть наше (команды
Luntry) выступление "NetworkPolicy — родной межсетевой экран Kubernetes" ;)В больших организациях пора начать процесс перехода на другие ОС или новые версии ОС Windows.
https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-10-22h2-is-the-final-version-of-windows-10/
https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-10-22h2-is-the-final-version-of-windows-10/
BleepingComputer
Microsoft: Windows 10 22H2 is the final version of Windows 10
Microsoft says Windows 10, version 22H2 will be the last feature update to be released for the Windows 10 operating system.