Исследователи из Aqua Nautilus обнаружили, что как минимум 5 компаний из списка Fortune 500 имеют критичные мисконфиги в registries и artifact repositories, содержащих более 250 миллионов артефактов и 65000 образов. Эти данные включают в себя различные ключи, токены, креды, секреты и приватные эндпоинты.

Очевидно, что registries являются важной частью цепочки поставок в облаке, и что организации не уделяют им достаточного внимания. Если злоумышленники получают доступ к ним, они могут отравить и потенциально использовать весь SDLC.

Причины такого достаточно тривиальные:

- открытый доступ в интернет
- уязвимые версии компонентов
- слабые пароли
- разрешенный анонимный доступ

Если говорить о том, как снизить риски:

- использование VPN или firewall
- использование SSO, MFA, и надежных паролей
- регулярное обновление ключей, кредов и секретов
- следование приницпу наименьших привилегий
- регулярное сканирование sensitive data

В заключение, небольшой cheatsheet с mitigations.

Вы интересуетесь ИИ, планируете внедрение или уже используете его в своей работе?

Тогда вам необходимо:

• Понимать уязвимости и угрозы, связанные с ИИ;
• Знать о построении доверенной работы технологий ИИ;
• Уметь наладить корректную обработку данных;
• Приготовиться к защите от атак на ИИ.

Узнать об этом больше, получить практические советы и обсудить свои подходы с экспертами вы сможете 25 мая 2023 года на первом форуме о доверенном искусственном интеллекте.

ЗАРЕГИСТРИРОВАТЬСЯ НА ФОРУМ.

Программу форума откроет ключевая дискуссия «Доверенный искусственный интеллект».

К участию в ней приглашены:

• Дмитрий Чернышенко, Правительство России
• Александр Шойтов, Минцифры России
• Виктор Садовничий, МГУ имени М. В. Ломоносова
• Арутюн Аветисян, ИСП РАН
• Александр Ведяхин, ПАО Сбербанк
• Вадим Кулик, Банк ВТБ (ПАО)
• Анна Серебряникова, Ассоциация больших данных
• Александр Крайнов, Яндекс

Еще одна прекрасно проиллюстрированная статья "Kubernetes: Network Policies" от того же автора, о котором мы недавно уже писали. В этот раз тема про нативную NetworkPolicy. И если вы визуал, как абсолютное большинство людей на этом шарике, то вам такое объяснение принципов работы данного ресурсы точно зайдет.

Также не забываем про классные репозиторий Kubernetes Network Policy Recipes с его анимированными схемами политик!

Про кастомные политики рекомендую посмотреть наше (команды Luntry) выступление "NetworkPolicy — родной межсетевой экран Kubernetes" ;)

В больших организациях пора начать процесс перехода на другие ОС или новые версии ОС Windows.

https://www.bleepingcomputer.com/news/microsoft/microsoft-windows-10-22h2-is-the-final-version-of-windows-10/

Совсем недавно компания ControlPlane представила довольно интересный отчёт: Argo CD End User Threat Model – Security Considerations for Hardening Declarative GitOps CD on Kubernetes.

Всего в отчёте около 20 findings, рассматривается как внешний так и внутренний нарушитель. Все угрозы разбиты по категориям, для каждой определены риски, приоритетность и рекомендации с mitigations. Отдельно выделю крутые Attack Tree, построенные по моделям нарушителя.

С полным отчетом можно ознакомиться по ссылке тут.

Часть презентаций с ciso forum

https://drive.google.com/drive/mobile/folders/18z8yuGGxcUxM8cRWZg3P3xPblSXQmsoh/1o0gH6_1-a7kPFmtdVnKJrb_MXWdOfa_H

Стало доступно видео моего выступления "Классификация и систематизация средств безопасности для Kubernetes" с мероприятия CyberCamp MeetUp. DevSecOps.

В рамках данного доклада я постарался показать и объяснить специалистам ИБ, которые ранее защитой Kubernetes не занимались, какие есть механизмы и средства безопасности для него, попутно проводя параллели с классическими средствами ИБ. Доклад нацелен на специалистов только начинающих погружаться в данную тему.

Всем хороших выходных!

А Gartner тем временем разродился своим очередным видением тенденций на рынке ИБ

Мы должны быть уверены в том, что ИИ-решения реализованы доверено — от протоколов до приложений. Безопасность обрабатываемой роботом информации и защита ПДн активно обсуждаются в обществе, и актуальность этих тем будет нарастать по мере развития ИИ-технологий и усиления их влияния на нашу жизнь.

Oсобенно ценна возможность вживую обсудить практику создания доверенного ИИ.

Встречаемся 25 мая в кластере «Ломоносов» (Москва) — на Форуме «Цифровая экономика: доверенный искусственный интеллект»!

Подробности и регистрация — по ссылке.

Сегодня хочу поделиться с вами новым крутым ресурсом от Rory McCune – Cloud Native Security Talks.

По сути, сайт представляет из себя хаб, в котором собраны доклады с различных конференций, посвященные Cloud Native Security (само собой будет обновляться и дополняться). Всё самое свежее и полезное в одном месте.

Однозначно рекомендую!

Лаборатория Касперского выпустила отчет по киберинцидентам за 2022 год. Что можем по этому поводу сказать?

Во-первых, HR ЛК необходимо срочно ввести в программу повышения квалификации сотрудников такой предмет как арифметика. Потому что при сложении 5 четных чисел у них получается число нечетное, ага.

Во-вторых. Почти в 43% инцидентов, отработанных Касперскими, первичным вектором атаки была эксплуатация уязвимостей в публично доступных приложениях. А из них - в 67% случаев использовались 10 наиболее популярных уязвимостей, из которых только 1 (sic!) обнаружена в 2022 году. Ну вы понели (с).

Таким образом, применив хитрую науку арифметику, можно сделать вывод, что как минимум в 30% киберинцидентов (а скорее всего больше) причиной проникновения стали не низкая зарплата CISO и не недостаточный штат SOC, а отсутствие внятной политики обновления используемого ПО либо ее невыполнение.

А в-третьих, компот. Потому что нам пишут, что мы делаем слишком длинные посты.