Red Canary выпустила уже 6-й ежегодный отчет с обзором угроз 🤕, который был сделан за счет анализа данных, получаемых с инфраструктуры заказчиков. Как по мне, так отчет не так чтобы и интересен с практической точки зрения. Учитывая постоянные изменения в тактике злоумышленников (не в контексте MITRE ATT&CK), читать про них спустя год после их использования... ну такое себе. Каких-то открытий в отчете нет - все идут в облака, злоумышленники используют ИИ, человеческий фактор рулит, при всем многообразии техник, хакеры используют от силы 10-20 🚫

Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
1️⃣ Для борьбы с первичным векторов атаки необходимо выстроить процесс управления уязвимостями и патчами. Если организация не в состоянии это сделать, то хотя бы бы закрывать трендовые уязвимости на периметре.
2️⃣ Отключите автоматическое монтирование контейнеров в Windows.
3️⃣ Управляйте активами, а то защищать, не зная, что, - это такое себе занятие.
4️⃣ Простые рекомендации для защиты от звонков мошенников под видом сотрудников в службу поддержки, а также от имени последних (рекомендации ENISA ☝️ могут помочь решить эту задачу)
5️⃣ Неплохие рекомендации по защите от подмены SIM-карт (SIM Swapping)
6️⃣ Разработайте и внедрите стратегию мониторинга за средствами удаленного управления.
7️⃣ И еще куча рекомендаций для защиты от разных техники и вредоносов
8️⃣ Рекомендаций по ИИ почему-то не дали 😭

ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест 👍 Я бы его все-таки разбил на множество маленьких частей - тогда пользы было бы больше.

В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.

Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁

🕷Больше 25 лет назад Дмитрий Максимов, сооснователь Positive Technologies, разработал сканер уязвимостей XSpider, с которого началась история нашей компании. В своем интервью для Positive Research он рассказывает о забавных и интересных, но не всем известных фактах о нашем первом продукте.

Все их можно найти в статье на сайте нашего медиа, но некоторыми мы поделимся здесь.

🔤 «X» в названии сканера была позаимствована из сериала The X-Files («Секретные материалы»), популярного в конце 90-х. Дмитрий Максимов его не смотрел, но «секретная» литера была на слуху и удачно дополнила уже имеющегося «паучка».

👨‍💻 В 2002 году над коммерческой версией продукта работали всего два (!) программиста — сам Дмитрий Максимов и нанятый в помощь разработчик, один из первых сотрудников недавно созданной Positive Technologies.

🆕 Изначально название MaxPatrol хотели использовать для продвижения XSpider на Западе, но потом планы выхода на зарубежный рынок изменились, а MaxPatrol стало именем нового флагманского продукта.

💬 «XSpider дал мне свободу. Мне всегда хотелось именно этого», — говорит Дмитрий Максимов, когда его спрашивают, что этот продукт значит лично для него.

Хорошее вышло интервью, мы прочитали его с большим удовольствием — и вы читайте по ссылке.

#PositiveResearch
@Positive_Technologies

🛡 Стандарт Банка России по обеспечению безопасности финансовых сервисов при удаленном подтверждении личности клиента

Представлен стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».


Документ носит рекомендательный характер и вступит в силу 01.07.2024.

Google выпустил модель угроз для постквантовой криптографии. Когда А.П.Баранов на РусКрипто использовал фразу «фантазийная криптография», я подумал, что он, в контексте высказанной им мысли, просто использовал слово «фантазия» как синоним «непонятно как работает». А теперь я уже и не уверен 🤔 У Google в модели угроз термин «фантазийная криптография» (fancy cryptography) тоже используется 🔐

Полезный проект - What2Log, который описывает минимальный, идеальный и экстремальный состав событий ИБ для регистрации в Linux Ubuntu и Windows (7 и 10), а также позволяет выбрать нужные и сгенерить готовый скрипт, который позволит вам включить нужные события 💡