Forwarded from Пост Лукацкого
Мониторинг подрядчиков.pdf
14.3 MB
Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...
Forwarded from Порвали два трояна
Учитывая разгул ransomware — вопрос не праздный, и готовиться к такому событию лучше заранее.
Сценариев, по которым будет всё развиваться, довольно много в зависимости от рода утечки. Одно дело, если опубликованы какие-то старые, собранные парсингом публичного интернета данные, которые выдают за базу клиентов компании. Другое дело, если на продажу выставлен работоспособный доступ в инфраструктуру организации через RDP.
В любом из случаев потребуется изучить профиль актора, продающего данные, проверить, является ли утечка настоящей, основываясь на доступных данных и демо-фрагменте, если он есть.
Если есть основания считать утечку настоящей, необходимо запустить процесс реагирования, чтобы найти и пресечь возможную компрометацию инфраструктуры компании, в зависимости от типа утечки — оповестить высшее руководство, регуляторов, клиентов и партнёров.
Разумеется, необходимо устранить последствия утечки в той мере, в которой это возможно и принять меры, чтобы она не могла продолжаться. В зависимости от конкретной ситуации это может быть устранение уязвимостей в используемом ПО, смена паролей и ужесточение парольной политики, деактивация учётных записей или даже отключение сервисов.
Утечка, особенно если она масштабная и публичная, создаёт дополнительный стресс всей команде реагирования. Более того, в большинстве ИБ-команд нет специалистов по мониторингу дарквеба или переговорам с хакерами. Поэтому на каждом шаге вышеописанного процесса велика вероятность серьёзных ошибок. Чтобы не допускать их, рекомендуется проводить тренинги по реагированию на утечки и привлекать профильные сервисы от ИБ-компаний с хорошей репутацией.
Команда Kaspersky Digital Footprint Intelligence создала детальный гид по разным сценариям обнаружения и реагирования на утечки и специальный плейбук для SOC.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
VMware исправила критическую уязвимость обхода аутентификации в платформе управления ЦОД Cloud Director, которая более двух недель с момента ее обнаружения 14 ноября оставалась без патча.
CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.
Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.
В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).
Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.
Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.
Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.
CVE-2023-34060 влияет только на устройства под управлением VCD Appliance 10.5, которые ранее были обновлены с более старой версии.
Удаленные злоумышленники могут использовать ошибку CVE-2023-34060 в атаках низкой сложности, не требующих взаимодействия с пользователем.
В обновленной версии VMware Cloud Director Appliance 10.5 злоумышленник, имеющий сетевой доступ к устройству, может обойти ограничения входа в систему при аутентификации на порту 22 (ssh) или порту 5480 (консоль управления устройством).
Такой обход отсутствует на порту 443 (поставщик VCD и вход клиента). При новой установке VMware Cloud Director Appliance 10.5 обход также отсутствует.
Помимо патча поставщик представил рекомендации по VMSA-2023-0026 и временное решение для администраторов, которым потребуется время для установки исправлений.
Обходной путь работает только для затронутых версий VCD Appliance 10.5.0 и требует запуска специального сценария.
https://thehackernews.com/2023/11/us-uk-and-global-partners-release.html
"The U.K. and U.S., along with international partners from 16 other countries, have released new guidelines for the development of secure artificial intelligence (AI) systems."
"The U.K. and U.S., along with international partners from 16 other countries, have released new guidelines for the development of secure artificial intelligence (AI) systems."
Forwarded from Листок бюрократической защиты информации
Как и было обещано в Госдуму внесены законопроекты ужесточающие откровенность за нарушение законодательства в сфере ПДн (вплоть до уголовной откровенности):
• Законопрект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
• Законопроект «О внесении изменений в Уголовный кодекс Российской Федерации».
Ознакомиться с предлагаемыми размерами административных штрафов и новыми составами правонарушений можно ниже.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Листок бюрократической защиты информации
Проект адм ответственность ПДн.pdf
128.1 KB
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Проект
По прежнему гигантский и ребята перестали гнаться уместить его на один экран и более удобно разместили на странице, добавив различную статистику, более удобные фильтры и инструкцию по работе с этим
CNCF Cloud Native Interactive Landscape обновился и получил версию 2.0! По прежнему гигантский и ребята перестали гнаться уместить его на один экран и более удобно разместили на странице, добавив различную статистику, более удобные фильтры и инструкцию по работе с этим
landscape.Forwarded from Листок бюрократической защиты информации
МР по расчету индикаторов риска.pdf
343.1 KB
по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности
Данные методические рекомендации устанавливают единый подход к определению целевых и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанного с совершением операций без согласия клиентов.
Методические рекомендации
по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности, утверждённые Банком России от 30.11.2023 № 17-МР.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from SecAtor
Разработана новая атака по побочному каналу под названием SLAM, которая использует аппаратные функции повышения безопасности для будущих процессоров Intel, AMD и Arm, позволяя получить хэш корневого пароля из памяти ядра.
SLAM - это атака временного выполнения, которая использует преимущества функции памяти, обеспечивающие использование ПО нетранслированных битов адреса в 64-битных линейных адресах для хранения метаданных.
Производители процессоров воплощают механизм и называют его по-разному: у Intel - это линейная маскировка адреса (LAM), AMD называет его игнорированием верхнего адреса (UAI), а Arm - функцей игнорирования верхнего байта (TBI).
Атака SLAM (означает Spectre, основанный на линейной маскировке адресов) была обнаружена командой исследователей VUSec Group в Vrije Universiteit Amsterdam.
Эксперты продемострировали свои выводы, разработав комплексный эксплойт Spectre, нацеленный на LAM на будущих процессорах Intel.
Эксплойт фокусируется на более позднем варианте атаки Spectre BHI, который обходит некоторые аппаратные средства защиты, реализованные в ответ на оригинальный Spectre, и злоупотребляет различными гаджетами в последней версии ядра Linux для утечки хэша пароля root из памяти ядра в течение нескольких минут.
Код и данные для воспроизведения SLAM-атаки доступны в репозитории VUSec на GitHub. Исследователи также опубликовали технический документ с пояснениями того, как работает атака.
По данным VUSec, SLAM будет влиять главным образом на чипы в будущем, соответствующие определенным критериям. Причинами этого является отсутствие строгих проверок каноничности в будущих конструкциях микросхем.
Таким образом, хотя и расширенные аппаратные функции улучшают безопасность и управление памятью, но также фактически увеличивают поверхность для атак Spectre, о чем были проинформированы производители Intel, AMD и Arm.
Intel, одна из спонсоров исследования, заявила, что планирует предоставить рекомендации по программному обеспечению до выпуска процессоров с поддержкой LAM.
Компания Arm опубликовала рекомендацию, в которой объясняется, что ее системы уже принимают меры против Spectre v2 и Spectre-BHB и не планируют никаких дальнейших действий в ответ на SLAM.
AMD также указала на текущие меры по смягчению последствий Spectre v2 для борьбы с атакой SLAM и не предоставила никаких указаний или обновлений, которые могли бы снизить риск.
А вот, инженеры Linux создали исправления для отключения функции безопасности по умолчанию до тех пор, пока не станут доступны рекомендации.
SLAM - это атака временного выполнения, которая использует преимущества функции памяти, обеспечивающие использование ПО нетранслированных битов адреса в 64-битных линейных адресах для хранения метаданных.
Производители процессоров воплощают механизм и называют его по-разному: у Intel - это линейная маскировка адреса (LAM), AMD называет его игнорированием верхнего адреса (UAI), а Arm - функцей игнорирования верхнего байта (TBI).
Атака SLAM (означает Spectre, основанный на линейной маскировке адресов) была обнаружена командой исследователей VUSec Group в Vrije Universiteit Amsterdam.
Эксперты продемострировали свои выводы, разработав комплексный эксплойт Spectre, нацеленный на LAM на будущих процессорах Intel.
Эксплойт фокусируется на более позднем варианте атаки Spectre BHI, который обходит некоторые аппаратные средства защиты, реализованные в ответ на оригинальный Spectre, и злоупотребляет различными гаджетами в последней версии ядра Linux для утечки хэша пароля root из памяти ядра в течение нескольких минут.
Код и данные для воспроизведения SLAM-атаки доступны в репозитории VUSec на GitHub. Исследователи также опубликовали технический документ с пояснениями того, как работает атака.
По данным VUSec, SLAM будет влиять главным образом на чипы в будущем, соответствующие определенным критериям. Причинами этого является отсутствие строгих проверок каноничности в будущих конструкциях микросхем.
Таким образом, хотя и расширенные аппаратные функции улучшают безопасность и управление памятью, но также фактически увеличивают поверхность для атак Spectre, о чем были проинформированы производители Intel, AMD и Arm.
Intel, одна из спонсоров исследования, заявила, что планирует предоставить рекомендации по программному обеспечению до выпуска процессоров с поддержкой LAM.
Компания Arm опубликовала рекомендацию, в которой объясняется, что ее системы уже принимают меры против Spectre v2 и Spectre-BHB и не планируют никаких дальнейших действий в ответ на SLAM.
AMD также указала на текущие меры по смягчению последствий Spectre v2 для борьбы с атакой SLAM и не предоставила никаких указаний или обновлений, которые могли бы снизить риск.
А вот, инженеры Linux создали исправления для отключения функции безопасности по умолчанию до тех пор, пока не станут доступны рекомендации.
vusec
SLAM: Spectre based on Linear Address Masking - vusec
SLAM explores the residual attack surface of Spectre on modern (and even future) CPUs equipped with Intel LAM or similar features. Instead of targeting new transient execution techniques (like BHI or Inception), SLAM focuses on exploiting a common but previously…
Forwarded from ZLONOV security
НКЦКИ опубликовал перечень крупных российских конференций по ИБ на 2024 год.
Календарь: https://safe-surf.ru/specialists/conference/
Новость: https://safe-surf.ru/specialists/news/701746/
Календарь: https://safe-surf.ru/specialists/conference/
Новость: https://safe-surf.ru/specialists/news/701746/
Forwarded from SecAtor
WordPress выпустила обновление 6.4.2 для устранения критической уязвимости, которой могут воспользоваться злоумышленники, объединив ее с другой ошибкой для выполнения произвольного PHP-кода на уязвимых сайтах.
Wordfence обнаружила уязвимость цепочки свойств-ориентированного программирования (POP), которая при определенных условиях может позволить злоумышленнику удалить произвольные файлы, получить конфиденциальные данные, выполнить произвольный PHP-код и захватить контроля над целевым сайтом.
Проблема связана с классом WP_HTML_Token, представленным в WordPress 6.4 для улучшения анализа HTML в редакторе блоков.
Цепочка POP требует, чтобы злоумышленник контролировал все свойства десериализованного объекта, что возможно с помощью функции PHP unserialize(). Следствием этого является возможность перехватить поток приложения, управляя значениями, отправляемыми в megic-методы, такие как _wakeup().
Для достижения критической серьезности проблема безопасности требует наличия уязвимости внедрения PHP-объекта на целевом сайте, которая может присутствовать в плагине или надстройке темы.
Хотя эта уязвимость сама по себе не является критической, из-за необходимости внедрения объектов в установленные и активные плагины или темы наличие уязвимой цепочки POP в ядре WordPress значительно увеличивает общий риск для сайтов.
При этом Patchstack сообщила, что с 17 ноября на GitHub доступна цепочка эксплойтов, а затем добавлена в проект PHP Generic Gadget Chains (PHPGGC), которая используется при тестировании безопасности PHP-приложений.
Пользователям рекомендуется вручную проверить свои сайты и убедиться, что они обновлены до последней версии.
Если какой-либо из проектов содержит вызовы функции unserialize, Patchstack настоятельно рекомендует заменить ее чем-нибудь другим, например кодированием/декодированием JSON с использованием PHP-функций json_encode и json_decode.
Даже если уязвимость потенциально критическая и ее можно использовать при определенных обстоятельствах, исследователи рекомендуют администраторам обновиться до последней версии WordPress.
Wordfence обнаружила уязвимость цепочки свойств-ориентированного программирования (POP), которая при определенных условиях может позволить злоумышленнику удалить произвольные файлы, получить конфиденциальные данные, выполнить произвольный PHP-код и захватить контроля над целевым сайтом.
Проблема связана с классом WP_HTML_Token, представленным в WordPress 6.4 для улучшения анализа HTML в редакторе блоков.
Цепочка POP требует, чтобы злоумышленник контролировал все свойства десериализованного объекта, что возможно с помощью функции PHP unserialize(). Следствием этого является возможность перехватить поток приложения, управляя значениями, отправляемыми в megic-методы, такие как _wakeup().
Для достижения критической серьезности проблема безопасности требует наличия уязвимости внедрения PHP-объекта на целевом сайте, которая может присутствовать в плагине или надстройке темы.
Хотя эта уязвимость сама по себе не является критической, из-за необходимости внедрения объектов в установленные и активные плагины или темы наличие уязвимой цепочки POP в ядре WordPress значительно увеличивает общий риск для сайтов.
При этом Patchstack сообщила, что с 17 ноября на GitHub доступна цепочка эксплойтов, а затем добавлена в проект PHP Generic Gadget Chains (PHPGGC), которая используется при тестировании безопасности PHP-приложений.
Пользователям рекомендуется вручную проверить свои сайты и убедиться, что они обновлены до последней версии.
Если какой-либо из проектов содержит вызовы функции unserialize, Patchstack настоятельно рекомендует заменить ее чем-нибудь другим, например кодированием/декодированием JSON с использованием PHP-функций json_encode и json_decode.
Даже если уязвимость потенциально критическая и ее можно использовать при определенных обстоятельствах, исследователи рекомендуют администраторам обновиться до последней версии WordPress.
https://therecord.media/hhs-proposes-cyber-requirements-for-hospitals
"HHS proposes new cybersecurity requirements for hospitals through HIPAA, Medicaid and Medicare
The United States Department of Health and Human Services (HHS) said it is planning to take a range of actions in an effort to better address cyberattacks on hospitals, which have caused dozens of outages across the country in recent months.
First reported by Politico, HHS published a planning document on Wednesday that outlines several voluntary and potentially mandatory actions hospitals will need to take."
"HHS proposes new cybersecurity requirements for hospitals through HIPAA, Medicaid and Medicare
The United States Department of Health and Human Services (HHS) said it is planning to take a range of actions in an effort to better address cyberattacks on hospitals, which have caused dozens of outages across the country in recent months.
First reported by Politico, HHS published a planning document on Wednesday that outlines several voluntary and potentially mandatory actions hospitals will need to take."