Forwarded from Управление Уязвимостями и прочее
Повелитель CVEшек: кризис NVD. На сайте NVD сейчас висит баннер:
"NIST в настоящее время работает над созданием консорциума для решения проблем программы NVD и разработки улучшенных инструментов и методов. Во время этого перехода вы увидите временные задержки в анализе. Приносим извинения за неудобства и просим вас проявить терпение, пока мы работаем над улучшением программы NVD."
Фактически это привело к тому, что NVD полностью прекратили обогащать данные по CVE (CVSS, CWE, CPE). И в мировом около-VM-ном комьюнити нарастают панические настроения. Все привыкли использовать общедоступный контент NVD и относились к его обновлению как к чему-то разумеющемуся. Оказалось, что всё может прекратиться и разбираться откуда брать технические данные для каждой уязвимости придётся самим. 🤷♂️ Самоорганизовываться, как детишкам в "Повелителе мух" Голдинга. 🙂🐚🐷🪰
Я пока верю, что это временные трудности, которые решатся реорганизацией NVD. Но если нет, то занятно будет посмотреть к чему это приведёт. 🌝
@avleonovrus #NVD
"NIST в настоящее время работает над созданием консорциума для решения проблем программы NVD и разработки улучшенных инструментов и методов. Во время этого перехода вы увидите временные задержки в анализе. Приносим извинения за неудобства и просим вас проявить терпение, пока мы работаем над улучшением программы NVD."
Фактически это привело к тому, что NVD полностью прекратили обогащать данные по CVE (CVSS, CWE, CPE). И в мировом около-VM-ном комьюнити нарастают панические настроения. Все привыкли использовать общедоступный контент NVD и относились к его обновлению как к чему-то разумеющемуся. Оказалось, что всё может прекратиться и разбираться откуда брать технические данные для каждой уязвимости придётся самим. 🤷♂️ Самоорганизовываться, как детишкам в "Повелителе мух" Голдинга. 🙂🐚🐷🪰
Я пока верю, что это временные трудности, которые решатся реорганизацией NVD. Но если нет, то занятно будет посмотреть к чему это приведёт. 🌝
@avleonovrus #NVD
Forwarded from SecAtor
Изучив рейтинг OWASP Top Ten, исследователи из Лаборатории Касперского решили поделиться своими соображениями по поводу распределения наиболее значимых уязвимостей через призму наработанного опыта, представив собственный рейтинг.
Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.
География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.
Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.
Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.
Теперь, подробнее по результатам.
Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого.
На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.
Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.
За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.
XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.
Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.
Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.
Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.
На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.
Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.
Для этого собрали данные из выборки проектов по анализу защищенности веб-приложений за 2021–2023 гг.
География анализируемых приложений - преимущественно Россия, Китай и страны Ближнего Востока.
Подавляющее большинство проектов (83%) было выполнено методом черного и серого ящиков, что позволило выявлять четыре из пяти (с доступом к исходному коду) наиболее распространенных типов уязвимостей.
Несмотря на то, что метод белого ящика позволяет найти больше уязвимостей в приложении, анализ методом черного и серого ящиков помогает посмотреть на приложение с точки зрения злоумышленника и выявить наиболее приоритетные для устранения уязвимости.
Теперь, подробнее по результатам.
Почти 70% всех проанализированных приложений содержали уязвимости, связанные с недостатками контроля доступа. Почти половина всех обнаруженных уязвимостей была среднего уровня риска, еще 37% — высокого.
На втором месте - раскрытие чувствительной информации, но данная категория в отличие от первой содержит больше уязвимостей низкого уровня риска.
Популярность облачной и микросервисной архитектуры постоянно растет, что, в свою очередь, увеличивает поверхность для атак типа SSRF. Более половины приложений (57%) содержали уязвимость, которая позволяла злоумышленнику взаимодействовать с внутренними сервисами в обход логики приложения.
За 2021–2023 годы наибольшее количество проблем высокого уровня риска относились к SQL-уязвимостям, но только только 43% всех изученных веб-приложений содержали уязвимость данного типа, которые могут привести к получению конфиденциальных данных или RCE.
XSS-уязвимости, несмотря на статистику в 61%, оказались на 5 месте, поскольку в большинстве случаев данная уязвимость имела средний уровень риска.
Шестую строчку заняли уязвимости, связанные с недостатками аутентификации, из них 47% среднего уровня риска, но были и серьезные, позволявшие получить доступ к веб-приложению от имени клиента заказчика.
Чуть меньше половины приложений имело небезопасные настройки конфигурации, начиная от включенного режима отладки и до не включенной аутентификации.
Более трети всех приложений позволяли проводить атаки, направленные на подбор учетных данных.
На 9 месте с 22% - это слабые пароли, а 10-ая, но не менее важная категория распространенных уязвимостей — использование компонентов с известными ошибками.
Более подробно ознакомиться с каждой категорией и примерами можно в отчете, где помимо самих уязвимостей представлены также и конкретные рекомендации по каждой из них.
securelist.ru
ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах
ТОР10 уязвимостей в веб-приложениях в 2021–2023 годах Чтобы помочь компаниям ориентироваться в мире уязвимостей веб-приложений и способах защиты от них, онлайн сообщество Open Web Application Security Project (OWASP) создало рейтинг OWASP Top Ten. Мы следим…
Forwarded from Порвали два трояна
🌐 Во имя безопасности: выяснили, зачем российские компании внедряют SD-WAN
Около половины российских компаний с филиальной сетью планируют использовать технологию SD-WAN для повышения уровня безопасности. Среди других топ-мотиваторов внедрения — более активный переход на облачные сервисы, упрощённое управление филиальной сетью и эффективное использование ресурсов компании. Причем решение от «Лаборатории Касперского» — в числе наиболее часто внедряемых.
Более подробно об опыте российских компаний области программно-определяемых сетей можно прочитать в совместном исследовании «Лаборатории Касперского» и информационно-аналитического агентства TelecomDaily.
Около половины российских компаний с филиальной сетью планируют использовать технологию SD-WAN для повышения уровня безопасности. Среди других топ-мотиваторов внедрения — более активный переход на облачные сервисы, упрощённое управление филиальной сетью и эффективное использование ресурсов компании. Причем решение от «Лаборатории Касперского» — в числе наиболее часто внедряемых.
Более подробно об опыте российских компаний области программно-определяемых сетей можно прочитать в совместном исследовании «Лаборатории Касперского» и информационно-аналитического агентства TelecomDaily.
Forwarded from Пост Лукацкого
Очень интересный отчет по результатам расследования взлома английской библиотеки 📚 в октябре прошлого года. Приятный пример открытости компании, пострадавшей от взлома, в результате которого утекло 600 ГБ персональных данных и другой информации. Компания не стала скрывать этот факт, провела расследование 👨💻 и опубликовала его результаты. Можно только приветствовать такую открытость.
Структура отчета описывает все ключевые и интересные для аудитории моменты:
➖ резюме
➖ причины и анализ атаки
➖ оценка ущерба
➖ реагирование и восстановление
➖ технологическая инфраструктура
➖ будущая оценка рисков
➖ извлеченные уроки и рекомендации
Структура отчета описывает все ключевые и интересные для аудитории моменты:
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Из интересного:
1️⃣ Первые признаки аномальной активности были замечены 25 октября, но блиц-расследование ничего не выявило. Однако, ИТ/ИБ-служба заблокировала активность, провела сканирование сети (ничего не выявлено), мониторило логи (ничего не выявлено), смена пароля.
2️⃣ Спустя 2 дня Интернет-провайдер зафиксировал аномальный всплеск выкачиваемых данных - 440 ГБ. Позже выкачали еще 160 ГБ.
3️⃣ Проникновение произошло скорее всего (до конца не выяснили) через ферму терминальных серверов, используемых внутренними ИТ-админами и внешними, доверенными партнерами. Авторы отчета склоняются к атаке именно через партнеров, которых поймали на фишинг.
4️⃣ MFA на терминальных серверах не было, а антивирусы и МСЭ были, так как "дорого".
5️⃣ Хакеры задействовали легальные инструменты ИТ, сделали резервные копии 22 баз данных и выкачали их (помимо разрозненных файлов с чувствительной информацией).
6️⃣ Калькуляция финансового ущерба продолжается, а вот остальные виды потерь прописаны неплохо (хотя бы и на уровне категорий).
7️⃣ Описаны способы кризисных коммуникаций, которые позволили уведомить всех сотрудников, но при этом не раскрыть деталей расследования инцидента хакерам, которые могли находиться еще в сети.
8️⃣ Подробно расписаны шаги по перестройке всей, ранее плоской legacy инфраструктуры, - сегментация, ролевой доступ, air-gap резервирование, MFA, PAM для удаленного доступа третьих лиц, управление уязвимостями и инцидентами...
9️⃣ Из рекомендаций интересно выглядит совет заранее подготовиться и иметь на готове контакт фирмы, которая может оперативно приехать и помочь с расследованием
Please open Telegram to view this post
VIEW IN TELEGRAM
https://therecord.media/cyber-trust-mark-internet-of-things-devices-fcc-approval
"The Federal Communications Commission approved a voluntary cybersecurity labeling program for wireless consumer Internet of Things (IoT) products.
The program allows manufacturers to put a new “U.S Cyber Trust Mark” on devices that comply with cybersecurity standards developed by the National Institute of Standards and Technology (NIST), including what the White House described last year as “unique and strong default passwords, data protection, software updates, and incident detection capabilities.”
"The Federal Communications Commission approved a voluntary cybersecurity labeling program for wireless consumer Internet of Things (IoT) products.
The program allows manufacturers to put a new “U.S Cyber Trust Mark” on devices that comply with cybersecurity standards developed by the National Institute of Standards and Technology (NIST), including what the White House described last year as “unique and strong default passwords, data protection, software updates, and incident detection capabilities.”
👍1
Forwarded from Пост Лукацкого
Интересный документ выпустило ENISA - про различные практики подтверждения подлинности субъекта при удаленной идентификации 🫦 Начав с обзора сценариев, где это необходимо, они описывают модель угроз для разных сценариев и методов, а затем уже описывают, как это сделать правильно и безопасно 🛡
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Red Canary выпустила уже 6-й ежегодный отчет с обзором угроз 🤕 , который был сделан за счет анализа данных, получаемых с инфраструктуры заказчиков. Как по мне, так отчет не так чтобы и интересен с практической точки зрения. Учитывая постоянные изменения в тактике злоумышленников (не в контексте MITRE ATT&CK), читать про них спустя год после их использования... ну такое себе. Каких-то открытий в отчете нет - все идут в облака, злоумышленники используют ИИ, человеческий фактор рулит, при всем многообразии техник, хакеры используют от силы 10-20 🚫
Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
1️⃣ Для борьбы с первичным векторов атаки необходимо выстроить процесс управления уязвимостями и патчами. Если организация не в состоянии это сделать, то хотя бы бы закрывать трендовые уязвимости на периметре.
2️⃣ Отключите автоматическое монтирование контейнеров в Windows.
3️⃣ Управляйте активами, а то защищать, не зная, что, - это такое себе занятие.
4️⃣ Простые рекомендации для защиты от звонков мошенников под видом сотрудников в службу поддержки, а также от имени последних (рекомендации ENISA ☝️ могут помочь решить эту задачу)
5️⃣ Неплохие рекомендации по защите от подмены SIM-карт (SIM Swapping)
6️⃣ Разработайте и внедрите стратегию мониторинга за средствами удаленного управления.
7️⃣ И еще куча рекомендаций для защиты от разных техники и вредоносов
8️⃣ Рекомендаций по ИИ почему-то не дали 😭
ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест👍 Я бы его все-таки разбил на множество маленьких частей - тогда пользы было бы больше.
Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
После следующего инцидента ИБ теперь можно говорить "Гартнер разрешил" 😉
https://www.theregister.com/2024/03/18/gartner_infosec_failure_advice/
https://www.theregister.com/2024/03/18/gartner_infosec_failure_advice/
The Register
Infosec teams must be allowed to fail, argues Gartner
But failing to recover from incidents is unforgivable because 'adrenalin does not scale'
https://blog.pcisecuritystandards.org/items-noted-for-improvement-infi-worksheet-discontinued
"After detailed discussions with community stakeholders, PCI SSC is discontinuing the Items Noted for Improvement (INFI) Worksheet, which was introduced with PCI DSS v4.0. "
"After detailed discussions with community stakeholders, PCI SSC is discontinuing the Items Noted for Improvement (INFI) Worksheet, which was introduced with PCI DSS v4.0. "
Интересное интервью про то как появилась одна из самых крупных компаний в РФ по ИБ .
Forwarded from Positive Technologies
Все их можно найти в статье на сайте нашего медиа, но некоторыми мы поделимся здесь.
Хорошее вышло интервью, мы прочитали его с большим удовольствием — и вы читайте по ссылке.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4