Сегодня мы хотим поделиться с вами нашими слайдами с доклада «EDR vs Containers: актуальные проблемы» с конференции SOC-Forum 2023. Данное исследование это совместная работа команды Luntry и команды Solar 4RAYS.

Данный доклад посвящён теме container runtime security и старается полностью раскрыть данную тему как со стороны реализации агентов для контроля за этим, заканчивая способами детектирования с их сильными и слабыми сторонами.

Особое внимание уделено сигнатурного способу детектирования. На реальных примерах атак демонстрируется неэффективность данного способа в контейнерных средах. Все это на примерах для правил Falco, НО это применимо и к другим сигнатурным движкам таким как Tracee, Tetragon, которые в свою очередь могут лежать в основе других решений (про них есть другие исследования). Опять же повторимся, что это все именно про сигнатурный способ детектирования, а не конкретные проблемы Falco!

P.S. Видео выступления можно найти тут, пока отдельным роликом оно не доступно.

https://www.nccoe.nist.gov/crypto-agility-considerations-migrating-post-quantum-cryptographic-algorithms

"The NIST National Cybersecurity Center of Excellence (NCCoE) has released two preliminary draft practice guides for Migration to Post-Quantum Cryptography Project for public comment. The comment period is open now through January 26, 2024.

NIST SP 1800-38B, Quantum Readiness: Cryptographic Discovery, is a preliminary draft offering (1) a functional test plan that exercises the cryptographic discovery tools to determine baseline capabilities; (2) a use case scenario to provide context and scope our demonstration; (3) an examination of the threats addressed in this demonstration; (4) a multifaceted approach to start the discovery process that most organizations can start today; and (5) a high-level architecture based on our use case that integrates contributed discovery tools in our lab.

NIST SP 1800-38C, Quantum Readiness: Testing Draft Standards for Interoperability and Performance, is a preliminary draft offering (1) identification of compatibility issues between quantum ready algorithms, (2) resolution of compatibility issues in a controlled, non-production environment, and (3) reduction of time spent by individual organizations performing similar interoperability testing for their own PQC migration efforts."

"Today, the NIST National Cybersecurity Center of Excellence (NCCoE) published Final NIST IR 8432, Cybersecurity of Genomic Data. This report summarizes the current practices, challenges, and proposed solutions for securing genomic data, as identified by genomic data stakeholders from industry, government, and academia"

https://doi.org/10.6028/NIST.IR.8432

https://safecodeconf.ru/
Конференция обещает быть интересной, рекомендуется ближе к дате вернутся и оценить программу.

Наши друзья из VK Cloud недавно пригласили нас поучаствовать в качестве экспертов по Kubernetes и по безопасности в нем в их исследование "State of Kubernetes"!

Мы с радостью приняли в этом участие и высказали свое мнение по различным его итогам - в первую очередь, конечно, по моментам связанным с безопасностью)

Приятно чтения и все хороших выходных!

P.S. На следующей неделе начнем подводить итоги года =)

IBM Security совместно с Ponemon Institute выпустили ежегодный отчет с ключевыми выводами и финансовыми оценками по утечкам данных в 2023 году на основе аналитики по 553 нарушениям в 16 странах и 17 отраслях.

Средняя стоимость утечек данных почти неуклонно растет с 2017 года. В 2017 году средняя стоимость составила «всего» 3,62 миллиона $.

В 2023 году он достиг рекордного максимума в 4,45 млн $. За последние три года средние затраты на взлом увеличились на 15%.

Детализация отраслевой специфики показывает, что самые дорогостоящие нарушения были в здравоохранении (10,93 млн долларов США), финансах (5,9 млн $), фармацевтике (4,82 млн $), энергетике (4,78 млн $) и промышленности (4,73 млн $).

С географической точки зрения самые «дорогие» нарушения произошли в США (9,48 млн $), на Ближнем Востоке (8,07 млн долларов США) и Канаде (5,13 млн $).

Исходя из начальной вектора атаки: фишинг является наиболее распространенным способом взлома организаций, а также вторым по стоимости взломом для организаций (4,76 млн $).

Скомпрометированные учетные данные также широко используются и обходятся довольно дорого (4,62 млн $).

Злоумышленники-инсайдеры являются гораздо менее распространенным вектором атаки. Однако они являются самыми дорогостоящими нарушениями (4,9 млн $).

В свою очередь, только 51% организации намерены увеличивать инвестиции в безопасность после взлома.

Из них 50% будут инвестировать в пентесты, 46% - в обучение сотрудников и 38% - в технологии обнаружения угроз и реагирования на них.

Еще один ключевой выход: использование DevSecOps, развертывание групп реагирования на инциденты, а также внедрение автоматизации и ИИ привело к значительной экономии.

Практикующие ИИ и автоматизацию в своей среде, сэкономили в среднем 1,76 млн $ на каждом взломе по сравнению с теми, кто этого не делает. Они также сэкономили 108 дней в реагировании на нарушения.

1,68 млн $ сэкономлено организациями, использовавшими подход DevSecOps, и 1,49 млн $ - с командой реагирования на инциденты и регулярным тестированием.

39% взломанных данных хранились в различных типах сред: общедоступных, частных, гибридных облаках или даже локальных. Затраты утечки этих данных также были выше на 750 000 $.

Кроме того, время локализации нарушения также было самым высоким для этих данных и достигло 291 дня, что на 15 дней больше, чем средний показатель.

Обнаружение взлома силами служб ИБ и привлечение правоохранителей привело к экономии средств.

Помимо статистики в отчете можно ознакомиться с рекомендациями, средствами смягчения последствий и передовым опытом на этом направлении.

Внимательный читатель нашего канала знает, что на SOC Forum 2023 от нашей команды Luntry было не одно, а два выступления. И второе выступление это доклад "SOC в контейнерах" (слайды)! Надеемся что все оценили оригинальность названия ;)

В рамках данного доклада поднимаются темы того что сильно мешает Security Operations Center (SOC), а что ему наоборот играет на руку при работе с контейнерными окружениями под управлением Kubernetes.

P.S. А видео можно найти тут.