☄️ Развенчание мифов кибербезопасности от Gartner

В сентябре в Лондоне прошел трехдневный саммит Gartner Security & Risk Management Summit 2023. Вступительная презентация Gartner была посвящена мифам, укоренившимся в кибербезе:

🔥 Первый миф: «больше данных – лучше защита»
Вместо того, чтобы собирать огромный объем данных, проводить сложные расчеты вероятности киберсобытий, лучше использовать подход минимальной эффективной аналитики. Для этого предлагается использовать показатели, ориентированные на результат (ODM), связывающие операционные показатели и риски ИБ с бизнес-задачами, которые они поддерживают

🔥 Второй миф: «больше технологий – лучше защита»
Предлагается использовать минимально эффективный набор инструментов ИБ, что должно позволить повысить уровень контроля за архитектурой ИБ, упростить ее и снизить риск несовместимости используемых решений. Для поддержания простоты и совместимости Gartner предлагает смотреть в сторону «ячеистой архитектуры кибербезопасности» (CSMA)

🔥 Третий миф: «чем больше специалистов ИБ в штате, тем лучше»
Предлагается спускать меры ИБ для реализации на уровни ИТ, например на уровень бизнес-аналитиков, чтобы снизить нагрузку на ИБ-специалистов и не нанимать новых специалистов. По мнению Gartner ИБ часто является «бутылочным горлышком» при цифровой трансформации и вместо того, чтобы тормозить процесс «так как только профессионалы в ИБ скажут как надо делать» и пытаться найти экспертов нужно идти в сторону демократизации экспертных знаний

🔥 Четвёртый миф: «больше контроля – лучше защита»
Добавление новых контролей ИБ часто приводит к обратным результатам. ИБ не должно стать препятствием в достижении бизнес-целей, дополнительные меры контроля и удобство пользователей должны быть сбалансированы. И вообще «средства контроля, которые обходятся, хуже, чем их полное отсутствие.»

А что думаете вы?
#gartner

🤔 Точно знаете, что хотите работать в IT, но не можете выбрать направление? Уже решили, что работа вашей мечты — специалист по кибербезопасносности, но не знаете, с чего начать? Просто хотите больше узнать о мире информационной безопасности?

Слушайте открытую лекцию Алексея Лукацкого, бизнес-консультанта по ИБ Positive Technologies, «Кибербезопасность — направление для профессий будущего» 31 октября в 19:00. Регистрируйтесь заранее и смотрите онлайн.

Алексей расскажет:

😎 Что такое кибербезопасность и почему профессия, связанная с защитой информации, всегда была и останется актуальной.

😱 С какими вызовами приходится сталкиваться таким специалистам и как они могут помешать появлению растений-убийц.

😲 Как работают современные кибермошенники: от взлома АЭС до весьма своеобразных методов взлома биометрии и социальной инженерии.

Собираемся и сами слушать лекцию, хотя уже и не студенты, и вам советуем 👍

Присоединяйтесь!

@Positive_Technologies
#PositiveЭксперты

📌 Чеклист по защищённости Active Directory

Французский ИБ-регулятор ANSSI опубликовал масштабное руководство по оценке и повышению защищённости Active Directory.

Не секрет, что центральная позиция AD в управлении пользователями и привилегиями ИТ-инфраструктуры делает компрометацию AD приоритетной целью злоумышленников — если они достигают этой цели, вся атакованная сеть по сути принадлежит им. При этом серьёзные дефекты в настройке AD обнаруживаются почти в каждом ИБ-аудите или расследовании инцидента.

Чтобы снизить остроту проблемы, регулятор предлагает три инструмента:
1️⃣ удобный интерактивный чеклист, описывающий более 60 типовых проблем, ранжирующий их по критичности и рекомендующий конкретные меры по нейтрализации рисков или особенности их принятия. В правом верхнем углу есть переключатель на английский;
2️⃣ open source инструмент для генерации JSON-описания AD, по которому чеклист может подсветить проблемы именно вашей сети;
3️⃣ длинный гид по безопасным настройкам с описанием проблем и решений. К сожалению, только на французском.

Авторы инструментов подчёркивают, что все этапы обработки и анализа проходят локально, на серверы ANSSI ничего не передаётся.

#советы @П2Т

🤪 Boooooo! ATT&CK подготовил к Хеллоуину мажорное обновление матрицы MITRE ATT&CK v14

В новой версии обновлены техники, группы, компании, а также перечень программного обеспечения, используемого злоумышленниками для матриц Enterprise, Mobile, and ICS

Что нового:
1️⃣ Начиная с v13 в матрице появились руководства по обнаружению - псевдокод из CAR («easy button» - текстовые вставки для их удобного копирования и использования аналитиками SOC). В v14 значительно расширили количество техник с методами обнаружения. Особое внимание MITRE ATT&CK уделили тактике бокового перемещения (Lateral Movement), добавлено более 75 аналитических правил BZAR (BZAR является компонентом репозитория CAR), планируется дальнешее расширение покрытия
2️⃣ Поскольку хакеры постоянно совершенствуют методы использования человеческих уязвимостей, были добавлены новые мошеннические методы и методы социальной инженерии, которые слабо связаны именно с техникой:
🔹Финансовое воровство: T1657: Financial Theft
🔹 Выдача себя за другое лицо: T1656: Impersonation
🔹 Целенаправленный вишинг: T1598.004: Phishing for Information: Spearphishing Voice
3️⃣ Усовершенствована панель навигации веб-сайта ATT&CK – теперь это единое динамическое меню с доступом к второстепенным ссылкам (большинство из которых ранее размещалось на основной панели)

И это далеко не все нововведения. В матрице:
📣 Для Enterprise добавлено 18 новых техник, минорных и мажорных изменений более 130
📣 Для Mobile добавлено 7 новых техник, изменено 25
📣 Для матрицы ICS новых техник не досталось, внесены изменения в 81 текущую
📣 Значительно обновлены разделы Software, Groups, Campaigns и Assets для всех матриц, а вот MITIGATIONS (меры смягчения) практически не получили обновлений

Из интересных техник добавлены следующие:
🗣️ [T1659] Content Injection – новая техника для тактик Initial Access, Command and Control: внедрение вредоносного контента в сетевой трафик,получение доступа к жертвам через скомпрометированные каналы передачи данных, где они могут манипулировать трафиком и/или внедрять свой собственный контент
🗣️ [T1654] Log Enumeration – поиск полезных для хакера данных в журнала аудита
🗣️ [T1027.012] Obfuscated Files or Information: LNK Icon Smuggling– использование файлов ярлыков Windows (.LNK) для вредоносных действий - загрузки payload
🗣️ [T1016.002] System Network Configuration Discovery: Wi-Fi Discovery – сбор информации о сетях и паролях доступа к WiFi в системных файлах хостов
🗣️ [T1653] Power Settings – изменение параметров электропитания, режима блокировки экрана чтобы машина не уходила в сон или перегружалась для сохранения доступа

Подробнее обо всех изменениях можно почитать здесь.
#mitre

1️⃣ Хотя в продуктах Atlassian регулярно обнаруживаются и устраняются уязвимости, такого редакция @П2Т припомнить не может. Админы Confluence Server и Confluence Data Center получили письмо от 🔟 CISO Atalassian 🔟 с призывом немедленно установить обновления для устранения CVE-2023-22518 (CVSS 9.1), чтобы избежать потери данных при кибератаке.
Неаутентифицированный атакующий может удалить данные из Confluence. Если установить патч невозможно, рекомендовано отключение доступа к Confluence из Интернета и внеочередное резервное копирование всех данных.

Обновление Confluence важно и для устранения ранее опубликованной CVE-2023-22515, простой в эксплуатации уязвимости повышения привилегий, которую уже активно используют APT.

#новости @П2Т

Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")