Forwarded from Пост Лукацкого
Red Canary выпустила уже 6-й ежегодный отчет с обзором угроз 🤕 , который был сделан за счет анализа данных, получаемых с инфраструктуры заказчиков. Как по мне, так отчет не так чтобы и интересен с практической точки зрения. Учитывая постоянные изменения в тактике злоумышленников (не в контексте MITRE ATT&CK), читать про них спустя год после их использования... ну такое себе. Каких-то открытий в отчете нет - все идут в облака, злоумышленники используют ИИ, человеческий фактор рулит, при всем многообразии техник, хакеры используют от силы 10-20 🚫
Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
1️⃣ Для борьбы с первичным векторов атаки необходимо выстроить процесс управления уязвимостями и патчами. Если организация не в состоянии это сделать, то хотя бы бы закрывать трендовые уязвимости на периметре.
2️⃣ Отключите автоматическое монтирование контейнеров в Windows.
3️⃣ Управляйте активами, а то защищать, не зная, что, - это такое себе занятие.
4️⃣ Простые рекомендации для защиты от звонков мошенников под видом сотрудников в службу поддержки, а также от имени последних (рекомендации ENISA ☝️ могут помочь решить эту задачу)
5️⃣ Неплохие рекомендации по защите от подмены SIM-карт (SIM Swapping)
6️⃣ Разработайте и внедрите стратегию мониторинга за средствами удаленного управления.
7️⃣ И еще куча рекомендаций для защиты от разных техники и вредоносов
8️⃣ Рекомендаций по ИИ почему-то не дали 😭
ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест👍 Я бы его все-таки разбил на множество маленьких частей - тогда пользы было бы больше.
Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
После следующего инцидента ИБ теперь можно говорить "Гартнер разрешил" 😉
https://www.theregister.com/2024/03/18/gartner_infosec_failure_advice/
https://www.theregister.com/2024/03/18/gartner_infosec_failure_advice/
The Register
Infosec teams must be allowed to fail, argues Gartner
But failing to recover from incidents is unforgivable because 'adrenalin does not scale'
https://blog.pcisecuritystandards.org/items-noted-for-improvement-infi-worksheet-discontinued
"After detailed discussions with community stakeholders, PCI SSC is discontinuing the Items Noted for Improvement (INFI) Worksheet, which was introduced with PCI DSS v4.0. "
"After detailed discussions with community stakeholders, PCI SSC is discontinuing the Items Noted for Improvement (INFI) Worksheet, which was introduced with PCI DSS v4.0. "
Интересное интервью про то как появилась одна из самых крупных компаний в РФ по ИБ .
Forwarded from Positive Technologies
Все их можно найти в статье на сайте нашего медиа, но некоторыми мы поделимся здесь.
Хорошее вышло интервью, мы прочитали его с большим удовольствием — и вы читайте по ссылке.
#PositiveResearch
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Forwarded from Листок бюрократической защиты информации
Представлен стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».
Документ носит рекомендательный характер и вступит в силу 01.07.2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Солдатов в Телеграм
На днях отвечал на вопросы типа "какие индустрии атаковали больше в 2023" и в очередной раз столкнулся с недостаточным пониманием разницы между "частотой атаки" и объемом. Чтобы ответить на вопрос: "кого атаковали больше" можно его трансформировать в: "у кого инциденты случались чаще". Количество инцидентов зависит от объема мониторинга, поэтому для оценки "частоты инцидента" когда-то была предложена метрика "удельное количество инцидентов" или "ожидаемое количество инцидентов с единицы объема". Об этой метрике и ее отличии от объема мониторинга или количества выявленных инцидентов моя новая заметка
Дзен | Статьи
Аналитические отчеты: объем и количество инцидентов
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: В предыдущей статье я рассказывал, что невозможно сравнивать результаты аналитических отчетов об угрозах\инцидентах от разных...
Forwarded from Makrushin
Morris II: первый компьютерный червь, который распространяется с помощью GenAI
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.
Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.
То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.
Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.
Forwarded from Пост Лукацкого
Google выпустил модель угроз для постквантовой криптографии. Когда А.П.Баранов на РусКрипто использовал фразу «фантазийная криптография», я подумал, что он, в контексте высказанной им мысли, просто использовал слово «фантазия» как синоним «непонятно как работает». А теперь я уже и не уверен 🤔 У Google в модели угроз термин «фантазийная криптография» (fancy cryptography) тоже используется 🔐
Please open Telegram to view this post
VIEW IN TELEGRAM
Google
Blog: Google's Threat model for Post-Quantum Cryptography
Read on to understand how Google currently evaluates the threat landscape related to post-quantum cryptography, and what implications this has for migrating from classical cryptographic algorithms to PQC.
Forwarded from Пост Лукацкого
Полезный проект - What2Log, который описывает минимальный, идеальный и экстремальный состав событий ИБ для регистрации в Linux Ubuntu и Windows (7 и 10), а также позволяет выбрать нужные и сгенерить готовый скрипт, который позволит вам включить нужные события 💡
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
В Сиднее 🌏 на прошлой неделе закончился Gartner Security & Risk Management Summit, на котором консалтинговая компания, ушедшая из России, дала ряд прогнозов 🔮 по ИБ, которые, если отбросить конкретные цифры, вполне применимы и у нас. Так что стоит взглянуть на то, куда Gartner рекомендует смотреть всему миру и то, что можно включить в свою стратегию развития 🗺
Бизнес без опасности - Блог, выступления, статьи, лекции, книги и немного юмора про кибербезопасность от Алексея Лукацкого
10 прогнозов Gartner про кибербезопасность на горизонте до 2028-го года
На днях в Сиднее компания Gartner, которую многие уже начинают забывать, провела в австралийском Сиднее свой очередной Security & Risk Management Summit. Я в прогнозы Gartner давно не верю (уж очень часто они не сбывались), но есть среди озвученных предположений…
👍1
Forwarded from DevSecOps Talks
Secure Coding Practices
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Всем привет!
По ссылке доступен внушительный материал, посвященный лучшим практикам по безопасной разработке.
«Воды» практически нет, все по делу: код с уязвимостью, описание уязвимости; код без уязвимости, описание решения.
Рассматриваются такие темы, как:
🍭 Broken access control
🍭 Injection
🍭 Insecure Design
🍭 Security Misconfiguration
🍭 Identification/Authentication Failures и не только
Подборка содержит примеры для языков: .NET, PHP, Golang, Python, Java, Android Java, Swift. Для каких-то языков материалов больше, для каких-то чуть меньше. Но самое главное – много примеров, пояснений и, конечно же, кода!
Devsecopsguides
Secure Coding Cheatsheets
In today's interconnected digital landscape, security is paramount for developers across various platforms and programming languages.
👍2