Любопытная нормированная статистика инцидентов ИБ по отраслям за 2023.

На днях отвечал на вопросы типа "какие индустрии атаковали больше в 2023" и в очередной раз столкнулся с недостаточным пониманием разницы между "частотой атаки" и объемом. Чтобы ответить на вопрос: "кого атаковали больше" можно его трансформировать в: "у кого инциденты случались чаще". Количество инцидентов зависит от объема мониторинга, поэтому для оценки "частоты инцидента" когда-то была предложена метрика "удельное количество инцидентов" или "ожидаемое количество инцидентов с единицы объема". Об этой метрике и ее отличии от объема мониторинга или количества выявленных инцидентов моя новая заметка

Morris II: первый компьютерный червь, который распространяется с помощью GenAI

Или все же это громкий заголовок исследования, в котором авторы используют уязвимости генеративного ИИ для вредоносных действий? Давайте разберемся.

Исследователи сформировали запросы, которые провоцируют ML-модель генерировать на выходе то, что атакующий подает на вход. В результате этой манипуляции получается спровоцировать модель воспроизвести запрос атакующего и выполнить вредоносное действие. И это вредоносное действие может быть направлено на другие компоненты, которые работают в одной экосистеме с этой моделью.

То, что эта атака проходит без вмешательства пользователя - еще не значит, что модель начнет отправлять запросы за пределы своей экосистемы другим подобным ML-моделям. Авторы сравнили свой концепт с червем, но я бы сравнил это с уязвимостью SSRF: можно манипулировать компонентами экосистемы, в которой находится уязвимая модель.

Поэтому данное исследование помимо интересного метода атаки на продукты, использующие GenAI, имеет заголовок, за которым прячется концепт, но не опасность червя Morris.

В Сиднее 🌏 на прошлой неделе закончился Gartner Security & Risk Management Summit, на котором консалтинговая компания, ушедшая из России, дала ряд прогнозов 🔮 по ИБ, которые, если отбросить конкретные цифры, вполне применимы и у нас. Так что стоит взглянуть на то, куда Gartner рекомендует смотреть всему миру и то, что можно включить в свою стратегию развития 🗺

Американский маркетинг EDR
https://events.dzone.com/dzone/An-Insider-s-Guide-to-Choosing-an-EDR

Наши хорошие товарищи Антон Жаболенко и Алексей Федулаев в рамках HighLoad++ 2023 выступали с любопытным докладом под названием "Как собрать контейнер и не вооружить хакера". И сейчас стала доступна видеозапись выступления и статья на Хабре по мотивам доклада.

Данная презентация посвящена Living off the Land (LotL) атакам. По сути, это атаки с использованием легитимных программ, которые уже присутствуют в целевой системе куда попал атакующий. В данном случае это в образах контейнеров. В статье есть множество разных трюков/приемов о которых должен знать любой представитель красной команды) Ну а оппоненты из синей команды должны знать способы как это либо предотвратить, либо своевременно обнаружить ;)

Исследователи ETH Zurich раскрыли новую атаку ZenHammer, которая затрагивает процессоры на базе новейшей микроархитектуры AMD Zen и модули оперативной памяти DDR5, опровергая мнение об их уязвимости для атак Rowhammer DRAM.

Как известно, ранее задокументированный метод атаки подробно Rowhammer исследовался преимущественно на процессорах Intel и ARM.

В то время, как процессоры AMD с архитектурой Zen остались практически неисследованными из-за проблем, связанных с схемами адресации DRAM, синхронизации с командами обновления и достижением высокой пропускной способности активации строк.

С помощью ZenHammer исследователям из ETH Zurich удалось решить эти проблемы путем обратного проектирования сложных и нелинейных функций адресации DRAM на платформах AMD.

Им удалось разработать новые методы синхронизации, позволяющие реализовать атаки с помощью команд обновления DRAM, что имело решающее значение для обхода таких мер, как обновление целевой строки TRR.

Кроме того, исследователи оптимизировали шаблоны доступа к памяти, чтобы увеличить скорость активации строк, что является критическим фактором эффективности атак Rowhammer.

По итогу исследователи продемонстрировали, как ZenHammer может вызвать перестановку битов на устройствах DDR4 на платформах AMD Zen 2 (Ryzen 5 3600X) и Zen 3 (Ryzen 5 5600G), проведя 7 успешных из 10 тестов на DDR4/AMD Zen 2 и в 6 из 10 - на DDR4/AMD Zen 3.

Кроме того, удалось добиться успеха с чипами DDR5 на платформе AMD Zen 4, которая ранее считалась более защищенной от атак Rowhammer.

Однако тест оказался успешным только на 1 из 10 систем, Ryzen 7 7700X, в виду улучшенных мер в DDR5 по смягчению последствий Rowhammer (встроенный код исправления ошибок (ECC) и более высокая частота обновления (32 мс).

Во всех выполненных атаках исследователи смогли обойти безопасность систем, включая манипулирование записями таблицы страниц для несанкционированного доступа к памяти.

На одной из тестовых систем Zen 3 они получили root-права в результате 10 успешных атак со средним временем 93 секунды, начиная с момента обнаружения опасного переворота битов.

Однако стоит отметит, что такие атаки имеют высокую сложность и требуют от злоумышленника глубокого понимания как программных, так и аппаратных компонентов.

В свою очередь, AMD опубликовала бюллетень по безопасности в ответ на результаты ZenHammer с рекомендациями по устранению проблем, заверяя выпустить обновления.

Более подробно исследование описано в технической статье университета ETH Zurich.

https://www.theregister.com/2024/03/26/fbi_cisa_sql_injection/
"The Federal Bureau of Investigation (FBI) and Cybersecurity and Infrastructure Security Agency (CISA) issued a Secure by Design Alert on Monday, reminding the tech community that there is no excuse for the decades-old vulnerability type to still be causing issues today.
They cited the MOVEit supply chain attacks from last year, ones enabled by a SQL injection zero day, as an example of the damage such issues can cause."