Два года назад MITRE была выпущена бета-версия онтологии ИБ D3FEND, которая позволяет смаппить защитные техники в техники нападения. И вот на днях, после двух лет тестирования и доработок, увидела свет финальная версия 1.0.

Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.

#soctech

Один примеров риска когда вы используете домен управляемый не национальным регистратором.
https://www.rbc.ru/technology_and_media/14/11/2023/6552fa4c9a79476284690b92

Несмотря на определенную долю скептизима к различным интеллектуальным премудростям, не можем не отметить достаточно неплохую попытку обобщить все доступные ИИ-инструменты в области инфосека.

В своем репозитории на github исследователь fr0gger представил различные сервисы на базе GPT, которые могут быть использованы как в защите, так и в наступательных целях.

Всего более 70 различных наименований. Есть достаточно интересные позиции.

​Безопасная солянка

Да-да, пост будет про кибербез, поэтому вдыхаем. На этой неделе я не стал собирать какую-то подборку полезных материалов по одной теме и решил вывалить в один пост просто всё, что накопилось.

Во-первых, вышло обновление рейтинга OWASP Mobile Top 10 за 2023 год. Это родственник обычного OWASP Top 10, который заточен именно под мобилки. Пояилось несколько новых пунктов, но какого-то открытия не случилось.

Во-вторых, я тут наткнулся на еще одно детище от OWASP (да, у него есть не только топы) – Code Review Guide. Штука интересная и будет хорошим подспорьем в DevSec со своими чеклистами и шаблонами, но есть один нюанс – этот гайд уже достаточно древний (2017 год), поэтому сильно на него уповать не стоит (но база там хорошая).

В-третьих, событий в мире ИБ происходит не так много, а интересных и того меньше. Поэтому по ним тоже немного пройдемся. Само собой, многие слышали про SOC-форум (с которым мы так и не запартнерились), который уже идёт. В этом году он стал чуть более примечательным, так как там уже второй раз подряд выступает МТС RED. И если год назад это был мини-стартап, который только начал свой путь в индустрии, то сегодня это полноценный игрок рынка со своими продуктами и решениями. Радует и то, что ребята продолжают расширяться внутри – судя по моим данным, их уже более 250 человек. Ну а про их планы на вхождение в ТОП-5 отечественного киберрынка, думаю, многие уже слышали.

В-четвертых, со мной тут поделились подкастом, о котором я раньше не слышал, поэтому делюсь теперь с вами. Подкаст посвящен приватности, кибербезопасности и всему, что с этим связано. Лично мне зашло, так что вэлкам – послушать можно тут или тут.

P.S. Скоро расскажу вам про еще одно ИБшное событие, в котором сам буду принимать участие.

Ну всё, пост закончен, выдыхаем.

#Полезное

Твой Пакет Безопасности

Редкая практика- проверить сбылись ли твои прошлгодние прогнозы.

Выглядит как новая интересная конференция по теме soc, разве что платная.

Мало кто знает, но в документации Google Cloud есть прям замечательная (и очень большая) библиотека правил для OPA Gatekeeper - их там порядка 90! При этом они идут с примерами как удовлетворяющих их ресурсов, так и нет (считай тесты).

Отличная библиотека для вдохновения и оценки собственного набора политик. При желании тоже самое можно перенести и на Kyverno.

https://cloud.vk.com/events/vk-security-meetup

Повестка и спикеры выглядят многообещающими

В США вышли рекомендации от CISA по использованию SBOM (перечня используемых компонент ПО в продукте), ниже обсужаются проблемы при таком масштабном применении SBOM.

https://www.govinfosecurity.com/cisas-new-sbom-guidance-faces-implementation-challenges-a-23579

Как изменились главные тренды развития технологий управления привилегированным доступом. Обзор отчета Gartner о рынке PAM https://www.tadviser.ru/a/527135

Появившийся новый PoC-эксплойт для уязвимости Apache ActiveMQ позволит злоумышленникам оставаться незамеченными.

Исследователи VulnCheck продемонстрировали новую технику, которая реализует критическую CVE-2023-46604 (с оценкой CVSS: 10,0) в Apache ActiveMQ для выполнения произвольного кода в памяти.

Несмотря на то, что ошибка была исправлена Apache в версиях 5.15.16, 5.16.7, 5.17.6 или 5.18.3, выпущенных еще в конце прошлого месяца, уязвимость продолжает активно эксплуатироваться операторами таких ransomware как HelloKitty и TellYouThePass, а также для распространения SparkRAT.

Согласно новым данным VulnCheck, использующие уязвимость злоумышленники полагаются на первоначальный PoC-эксплойт, который был публичного раскрыт 25 октября 2023 года.

В ходе атак использовался ClassPathXmlApplicationContext, среды Spring и доступный в ActiveMQ, для загрузки вредоносного файла конфигурации XML-компонента через HTTP и достижения RCE без проверки подлинности на сервере.

В свою очередь, VulnCheck смогли придумать более скрытный вариант эксплуатации и даже разработали более эффективный эксплойт, который опирается на FileSystemXmlApplicationContext и встраивает специально созданное выражение SpEL вместо атрибута init-method, что позволяет избежать сброса вредоносных инструментов на диск.

Однако стоит отметить, что при этом в файле activemq.log появляется сообщение об исключении, что требует от злоумышленников также очистки аналитического следа.

Так что теперь злоумышленники могут осуществлять более скрытые атаки с использованием CVE-2023-46604, в связи с чем исправление серверов ActiveMQ имеет особый приоритет.