📌 Чеклист по защищённости Active Directory

Французский ИБ-регулятор ANSSI опубликовал масштабное руководство по оценке и повышению защищённости Active Directory.

Не секрет, что центральная позиция AD в управлении пользователями и привилегиями ИТ-инфраструктуры делает компрометацию AD приоритетной целью злоумышленников — если они достигают этой цели, вся атакованная сеть по сути принадлежит им. При этом серьёзные дефекты в настройке AD обнаруживаются почти в каждом ИБ-аудите или расследовании инцидента.

Чтобы снизить остроту проблемы, регулятор предлагает три инструмента:
1️⃣ удобный интерактивный чеклист, описывающий более 60 типовых проблем, ранжирующий их по критичности и рекомендующий конкретные меры по нейтрализации рисков или особенности их принятия. В правом верхнем углу есть переключатель на английский;
2️⃣ open source инструмент для генерации JSON-описания AD, по которому чеклист может подсветить проблемы именно вашей сети;
3️⃣ длинный гид по безопасным настройкам с описанием проблем и решений. К сожалению, только на французском.

Авторы инструментов подчёркивают, что все этапы обработки и анализа проходят локально, на серверы ANSSI ничего не передаётся.

#советы @П2Т

🤪 Boooooo! ATT&CK подготовил к Хеллоуину мажорное обновление матрицы MITRE ATT&CK v14

В новой версии обновлены техники, группы, компании, а также перечень программного обеспечения, используемого злоумышленниками для матриц Enterprise, Mobile, and ICS

Что нового:
1️⃣ Начиная с v13 в матрице появились руководства по обнаружению - псевдокод из CAR («easy button» - текстовые вставки для их удобного копирования и использования аналитиками SOC). В v14 значительно расширили количество техник с методами обнаружения. Особое внимание MITRE ATT&CK уделили тактике бокового перемещения (Lateral Movement), добавлено более 75 аналитических правил BZAR (BZAR является компонентом репозитория CAR), планируется дальнешее расширение покрытия
2️⃣ Поскольку хакеры постоянно совершенствуют методы использования человеческих уязвимостей, были добавлены новые мошеннические методы и методы социальной инженерии, которые слабо связаны именно с техникой:
🔹Финансовое воровство: T1657: Financial Theft
🔹 Выдача себя за другое лицо: T1656: Impersonation
🔹 Целенаправленный вишинг: T1598.004: Phishing for Information: Spearphishing Voice
3️⃣ Усовершенствована панель навигации веб-сайта ATT&CK – теперь это единое динамическое меню с доступом к второстепенным ссылкам (большинство из которых ранее размещалось на основной панели)

И это далеко не все нововведения. В матрице:
📣 Для Enterprise добавлено 18 новых техник, минорных и мажорных изменений более 130
📣 Для Mobile добавлено 7 новых техник, изменено 25
📣 Для матрицы ICS новых техник не досталось, внесены изменения в 81 текущую
📣 Значительно обновлены разделы Software, Groups, Campaigns и Assets для всех матриц, а вот MITIGATIONS (меры смягчения) практически не получили обновлений

Из интересных техник добавлены следующие:
🗣️ [T1659] Content Injection – новая техника для тактик Initial Access, Command and Control: внедрение вредоносного контента в сетевой трафик,получение доступа к жертвам через скомпрометированные каналы передачи данных, где они могут манипулировать трафиком и/или внедрять свой собственный контент
🗣️ [T1654] Log Enumeration – поиск полезных для хакера данных в журнала аудита
🗣️ [T1027.012] Obfuscated Files or Information: LNK Icon Smuggling– использование файлов ярлыков Windows (.LNK) для вредоносных действий - загрузки payload
🗣️ [T1016.002] System Network Configuration Discovery: Wi-Fi Discovery – сбор информации о сетях и паролях доступа к WiFi в системных файлах хостов
🗣️ [T1653] Power Settings – изменение параметров электропитания, режима блокировки экрана чтобы машина не уходила в сон или перегружалась для сохранения доступа

Подробнее обо всех изменениях можно почитать здесь.
#mitre

1️⃣ Хотя в продуктах Atlassian регулярно обнаруживаются и устраняются уязвимости, такого редакция @П2Т припомнить не может. Админы Confluence Server и Confluence Data Center получили письмо от 🔟 CISO Atalassian 🔟 с призывом немедленно установить обновления для устранения CVE-2023-22518 (CVSS 9.1), чтобы избежать потери данных при кибератаке.
Неаутентифицированный атакующий может удалить данные из Confluence. Если установить патч невозможно, рекомендовано отключение доступа к Confluence из Интернета и внеочередное резервное копирование всех данных.

Обновление Confluence важно и для устранения ранее опубликованной CVE-2023-22515, простой в эксплуатации уязвимости повышения привилегий, которую уже активно используют APT.

#новости @П2Т

Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")