Forwarded from Листок бюрократической защиты информации
Выписка_стандарты_ТК 362_2024.pdf
96.9 KB
На сайте ФСТЭК России опубликована выписка из Программы национальной стандартизации на 2024 год, утвержденной приказом Федерального агентства по техническому регулированию и метрологии (Росстандарт) от 31.10.2023 г. № 2279 в части разработки национальных стандартов в рамках деятельности технического комитета по стандартизации «Защита информации». (ТК 362)
Please open Telegram to view this post
VIEW IN TELEGRAM
https://ruler-project.github.io/ruler-project/
Проект направленный на документирование какие именно логи полезно собирать для расследования.
Проект направленный на документирование какие именно логи полезно собирать для расследования.
ruler-project.github.io
The RULER Project
The Really Useful Logging and Event Repository Project
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Так как нашей команде Luntry часто приходится участвовать в различных проектах по безопасности
Смысл заключается в том, что если у злоумышленника на
Как митигейшены можно сделать следующее:
1) Чтобы уменьшить риск компрометации, критичные сервисы разделать по
2)
3) Писать политики
P.S. Еще была крутая идея для атаки - все это провернуть через
P.S.S. Ближайшие дни мы на
Kubernetes систем: аудиты, пентесты, архитектурные проекты. То приходится порой думать о некоторых моментах, к которым просто так не придешь, никогда об этом не задумываясь. Одним из таких последних моментов был момент, когда требовалось понять стоит ли определенные высокопривелигерованные микросервисы (там хороший SA) располагать в одном Namespace или расселить на разные. При решении этой задачи как раз и пригодился наш атакующий опыт.Смысл заключается в том, что если у злоумышленника на
Node есть возможность создать Pod в таком Namespace (где и эти высокопривелигерованные сервисы), даже с учетом того что стоит множества правильных политик PolicyEnginе (против Bad Pods и тд), то у него все равно остаётся возможность смонтировать внутрь такого Pod интересующий его SA из того же самого Namespace! Далее когда он смонтируется туда, то можно смело забирать его с Node ...Как митигейшены можно сделать следующее:
1) Чтобы уменьшить риск компрометации, критичные сервисы разделать по
Namespaces2)
Namespaces c критичными/инфраструктурными сервисами привязывать только к определенным инфраструктурным Nodes3) Писать политики
PolicyEngine, которые проверяют использование критичных SA, только в определенных сервисахP.S. Еще была крутая идея для атаки - все это провернуть через
StaticPod, но там нельзя ссылать на другие ресурсы (на тот же SA)…P.S.S. Ближайшие дни мы на
HighLoad++ 2023 Msk и будем рады пообщаться лично =)luntry.ru
Luntry — защита контейнеров и Kubernetes-сред от угроз на всех этапах жизненного цикла
Kubernetes-native платформа для полного контроля и безопасности контейнерной инфраструктуры, без замедления
Forwarded from RPPA PRO: Privacy • AI • Cybersecurity • IP
#events #RadioGroot
📍 🆕 В гостях: Андрей Масалович, президент Консорциума Инфорус, Разработчик технологии интернет-разведки Avalanche, кандидат физико-математических наук
🕓 Дата: 28 ноября в 19:00 по мск
🖼 Формат: онлайн, трансляция в канале
🔗 Добавить в календарь: здесь
🗣 Обсудим:
⬇️ карьерный путь в ИБ
⬇️ бизнес в РФ
⬇️ образование
⬇️ запросы рынка и проекты
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Мониторинг подрядчиков.pdf
14.3 MB
Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...
Forwarded from Порвали два трояна
Учитывая разгул ransomware — вопрос не праздный, и готовиться к такому событию лучше заранее.
Сценариев, по которым будет всё развиваться, довольно много в зависимости от рода утечки. Одно дело, если опубликованы какие-то старые, собранные парсингом публичного интернета данные, которые выдают за базу клиентов компании. Другое дело, если на продажу выставлен работоспособный доступ в инфраструктуру организации через RDP.
В любом из случаев потребуется изучить профиль актора, продающего данные, проверить, является ли утечка настоящей, основываясь на доступных данных и демо-фрагменте, если он есть.
Если есть основания считать утечку настоящей, необходимо запустить процесс реагирования, чтобы найти и пресечь возможную компрометацию инфраструктуры компании, в зависимости от типа утечки — оповестить высшее руководство, регуляторов, клиентов и партнёров.
Разумеется, необходимо устранить последствия утечки в той мере, в которой это возможно и принять меры, чтобы она не могла продолжаться. В зависимости от конкретной ситуации это может быть устранение уязвимостей в используемом ПО, смена паролей и ужесточение парольной политики, деактивация учётных записей или даже отключение сервисов.
Утечка, особенно если она масштабная и публичная, создаёт дополнительный стресс всей команде реагирования. Более того, в большинстве ИБ-команд нет специалистов по мониторингу дарквеба или переговорам с хакерами. Поэтому на каждом шаге вышеописанного процесса велика вероятность серьёзных ошибок. Чтобы не допускать их, рекомендуется проводить тренинги по реагированию на утечки и привлекать профильные сервисы от ИБ-компаний с хорошей репутацией.
Команда Kaspersky Digital Footprint Intelligence создала детальный гид по разным сценариям обнаружения и реагирования на утечки и специальный плейбук для SOC.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
VMware исправила критическую уязвимость обхода аутентификации в платформе управления ЦОД Cloud Director, которая более двух недель с момента ее обнаружения 14 ноября оставалась без патча.
CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.
Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.
В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).
Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.
Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.
Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.
CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.
Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.
В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).
Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.
Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.
Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.
https://thehackernews.com/2023/11/us-uk-and-global-partners-release.html
"The U.K. and U.S., along with international partners from 16 other countries, have released new guidelines for the development of secure artificial intelligence (AI) systems."
"The U.K. and U.S., along with international partners from 16 other countries, have released new guidelines for the development of secure artificial intelligence (AI) systems."
Forwarded from Листок бюрократической защиты информации
Как и было обещано в Госдуму внесены законопроекты ужесточающие откровенность за нарушение законодательства в сфере ПДн (вплоть до уголовной откровенности):
• Законопрект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
• Законопроект «О внесении изменений в Уголовный кодекс Российской Федерации».
Ознакомиться с предлагаемыми размерами административных штрафов и новыми составами правонарушений можно ниже.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Листок бюрократической защиты информации
Проект адм ответственность ПДн.pdf
128.1 KB
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Проект
По прежнему гигантский и ребята перестали гнаться уместить его на один экран и более удобно разместили на странице, добавив различную статистику, более удобные фильтры и инструкцию по работе с этим
CNCF Cloud Native Interactive Landscape обновился и получил версию 2.0! По прежнему гигантский и ребята перестали гнаться уместить его на один экран и более удобно разместили на странице, добавив различную статистику, более удобные фильтры и инструкцию по работе с этим
landscape.Forwarded from Листок бюрократической защиты информации
МР по расчету индикаторов риска.pdf
343.1 KB
по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности
Данные методические рекомендации устанавливают единый подход к определению целевых и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанного с совершением операций без согласия клиентов.
Методические рекомендации
по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности, утверждённые Банком России от 30.11.2023 № 17-МР.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Разработана новая атака по побочному каналу под названием SLAM, которая использует аппаратные функции повышения безопасности для будущих процессоров Intel, AMD и Arm, позволяя получить хэш корневого пароля из памяти ядра.
SLAM - это атака временного выполнения, которая использует преимущества функции памяти, обеспечивающие использование ПО нетранслированных битов адреса в 64-битных линейных адресах для хранения метаданных.
Производители процессоров воплощают механизм и называют его по-разному: у Intel - это линейная маскировка адреса (LAM), AMD называет его игнорированием верхнего адреса (UAI), а Arm - функцей игнорирования верхнего байта (TBI).
Атака SLAM (означает Spectre, основанный на линейной маскировке адресов) была обнаружена командой исследователей VUSec Group в Vrije Universiteit Amsterdam.
Эксперты продемострировали свои выводы, разработав комплексный эксплойт Spectre, нацеленный на LAM на будущих процессорах Intel.
Эксплойт фокусируется на более позднем варианте атаки Spectre BHI, который обходит некоторые аппаратные средства защиты, реализованные в ответ на оригинальный Spectre, и злоупотребляет различными гаджетами в последней версии ядра Linux для утечки хэша пароля root из памяти ядра в течение нескольких минут.
Код и данные для воспроизведения SLAM-атаки доступны в репозитории VUSec на GitHub. Исследователи также опубликовали технический документ с пояснениями того, как работает атака.
По данным VUSec, SLAM будет влиять главным образом на чипы в будущем, соответствующие определенным критериям. Причинами этого является отсутствие строгих проверок каноничности в будущих конструкциях микросхем.
Таким образом, хотя и расширенные аппаратные функции улучшают безопасность и управление памятью, но также фактически увеличивают поверхность для атак Spectre, о чем были проинформированы производители Intel, AMD и Arm.
Intel, одна из спонсоров исследования, заявила, что планирует предоставить рекомендации по программному обеспечению до выпуска процессоров с поддержкой LAM.
Компания Arm опубликовала рекомендацию, в которой объясняется, что ее системы уже принимают меры против Spectre v2 и Spectre-BHB и не планируют никаких дальнейших действий в ответ на SLAM.
AMD также указала на текущие меры по смягчению последствий Spectre v2 для борьбы с атакой SLAM и не предоставила никаких указаний или обновлений, которые могли бы снизить риск.
А вот, инженеры Linux создали исправления для отключения функции безопасности по умолчанию до тех пор, пока не станут доступны рекомендации.
SLAM - это атака временного выполнения, которая использует преимущества функции памяти, обеспечивающие использование ПО нетранслированных битов адреса в 64-битных линейных адресах для хранения метаданных.
Производители процессоров воплощают механизм и называют его по-разному: у Intel - это линейная маскировка адреса (LAM), AMD называет его игнорированием верхнего адреса (UAI), а Arm - функцей игнорирования верхнего байта (TBI).
Атака SLAM (означает Spectre, основанный на линейной маскировке адресов) была обнаружена командой исследователей VUSec Group в Vrije Universiteit Amsterdam.
Эксперты продемострировали свои выводы, разработав комплексный эксплойт Spectre, нацеленный на LAM на будущих процессорах Intel.
Эксплойт фокусируется на более позднем варианте атаки Spectre BHI, который обходит некоторые аппаратные средства защиты, реализованные в ответ на оригинальный Spectre, и злоупотребляет различными гаджетами в последней версии ядра Linux для утечки хэша пароля root из памяти ядра в течение нескольких минут.
Код и данные для воспроизведения SLAM-атаки доступны в репозитории VUSec на GitHub. Исследователи также опубликовали технический документ с пояснениями того, как работает атака.
По данным VUSec, SLAM будет влиять главным образом на чипы в будущем, соответствующие определенным критериям. Причинами этого является отсутствие строгих проверок каноничности в будущих конструкциях микросхем.
Таким образом, хотя и расширенные аппаратные функции улучшают безопасность и управление памятью, но также фактически увеличивают поверхность для атак Spectre, о чем были проинформированы производители Intel, AMD и Arm.
Intel, одна из спонсоров исследования, заявила, что планирует предоставить рекомендации по программному обеспечению до выпуска процессоров с поддержкой LAM.
Компания Arm опубликовала рекомендацию, в которой объясняется, что ее системы уже принимают меры против Spectre v2 и Spectre-BHB и не планируют никаких дальнейших действий в ответ на SLAM.
AMD также указала на текущие меры по смягчению последствий Spectre v2 для борьбы с атакой SLAM и не предоставила никаких указаний или обновлений, которые могли бы снизить риск.
А вот, инженеры Linux создали исправления для отключения функции безопасности по умолчанию до тех пор, пока не станут доступны рекомендации.
vusec
SLAM: Spectre based on Linear Address Masking - vusec
SLAM explores the residual attack surface of Spectre on modern (and even future) CPUs equipped with Intel LAM or similar features. Instead of targeting new transient execution techniques (like BHI or Inception), SLAM focuses on exploiting a common but previously…