Forwarded from Солдатов в Телеграм
11 апреля состоялся вебинар по мотивам работы MDR и DFIR в 2023. Слайды к вебинару не повторяли полностью материал из отчета MDR (отчет - общемировой, а в вебинаре я сравнивал РФ\СНГ с Миром, а также 2023 с 2022), поэтому, думаю, запись может быть интересной. Но сейчас не об этом.
Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".
Был один интересный вопрос от зрителей о том, наблюдается ли какая-либо сезонность в инцидентах. Мой ответ был, что да, наблюдается, и что начиная с 2024, Бог даст, динамику инцидентов по месяцам мы будем включать в отчет. Примером такой динамики может служить диаграмма во вложении по данным инцидентов MDR в 2023, не вошедшая в отчет. Числа - это удельное количество инцидентов, а цветом показаны сектора экономики. Прошлогоднюю сезонность несложно заметить: летом и зимой атакующие "отдыхают", в марте выходят с зимних "каникул", а с 1 сентября, как положено, - "в школу".
Forwarded from Hacker News
GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности
https://xakep.ru/2024/04/18/llm-vs-cves/
https://xakep.ru/2024/04/18/llm-vs-cves/
XAKEP
GPT-4 может эксплуатировать уязвимости, изучив связанные бюллетени безопасности
Ученые из Иллинойского университета в Урбане-Шампейне (UIUC) пришли к выводу, что большая языковая модель (LLM) GPT-4 компании OpenAI может успешно эксплуатировать реальные уязвимости, если предварительно «прочтет» бюллетень безопасности об этой CVE, в котором…
Forwarded from Нецифровая экономика (Dasha Sapozhkova)
Безопасность данных в компании обеспечивают далеко не только специалисты ИБ. Причиной утечки может быть любой рядовой менеджер, установивший на компьютер вредоносное ПО. Тут важны комплексные инициативы.
На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.
Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.
У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.
Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.
На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.
Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.
У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.
Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.
Известия
«Тинькофф» наградит сотрудников за найденные уязвимости в защите данных
«Тинькофф» решил ввести вознаграждения для сотрудников, обнаруживших проблемы в области защиты данных в компании. Об этом рассказал вице-президент, директор департамента информационной безопасности «Тинькофф» Дмитрий Гадарь.
Forwarded from Евгениально
И вновь ИИ 🤖
Мой недавний опрос «Кому выгоднее развитие ИИ — хакерам или безопасникам» показал, что большинство из вас (62%) считают, что это выгоднее атакующим. Понимаю эту точку зрения, при этом верю, что сторона защиты сможет использовать этот инструмент более умело. Как минимум, благодаря тому факту, что мы работаем в командах и регулярно обмениваемся лучшими практиками 🤝
Мне и коллегам в МТС RED стало интересно, насколько восстребованы знания ИИ на рынке труда в ИБ, и мы провели совместное исследование с сервисом HeadHunter.
Оказалось, что в 2023 году в России спрос на ИБ-специалистов, которые умеют работать с искусственным интеллектом, вырос на 30% по сравнению с предыдущим годом. А в этом году тренд продолжается — по итогам первого квартала 2024 навыки работы с ИИ стали требоваться в два раза чаще, чем в начале прошлого года.
Важно учесть, что в кибербезе чаще всего требуются именно специалисты, которые создают и обучают ИИ, а не просто используют готовые программы.
💬 Мы наблюдаем повсеместное внедрение ИИ в бизнес-процессы. Технологии машинного обучения становятся фокусом не только ИТ, но и ИБ, а значит, потребность в экспертах по кибербезопасности, которые не только используют ИИ в целях автоматизации, но также умеют искать уязвимости в системах машинного обучения, будет только увеличиваться.
Мой недавний опрос «Кому выгоднее развитие ИИ — хакерам или безопасникам» показал, что большинство из вас (62%) считают, что это выгоднее атакующим. Понимаю эту точку зрения, при этом верю, что сторона защиты сможет использовать этот инструмент более умело. Как минимум, благодаря тому факту, что мы работаем в командах и регулярно обмениваемся лучшими практиками 🤝
Мне и коллегам в МТС RED стало интересно, насколько восстребованы знания ИИ на рынке труда в ИБ, и мы провели совместное исследование с сервисом HeadHunter.
Оказалось, что в 2023 году в России спрос на ИБ-специалистов, которые умеют работать с искусственным интеллектом, вырос на 30% по сравнению с предыдущим годом. А в этом году тренд продолжается — по итогам первого квартала 2024 навыки работы с ИИ стали требоваться в два раза чаще, чем в начале прошлого года.
Важно учесть, что в кибербезе чаще всего требуются именно специалисты, которые создают и обучают ИИ, а не просто используют готовые программы.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Forwarded from SecAtor
Изобретательности киберподполья не перестаешь удивляться.
Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.
Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.
Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.
Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.
При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.
Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.
Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.
Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.
Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.
Умельцы придумали и уже несколько месяцев используют фишку GitHub для распространения вредоносного ПО с использованием URL-адресов, связанных с репозиториями Microsoft и других известных компаний.
Злоумышленники загружают вредоносный файл в качестве комментария к проблеме в официальном проекте GitHub, но не отправляют отчет.
Оставляя комментарий, пользователь GitHub может прикрепить файл, который будет загружен в CDN GitHub и связан с соответствующим проектом, используя уникальный URL-адрес в следующем формате: https://www.github[.]com/{project_user}/{repo_name}/files/{file_id}/{file_name}.
Как в случае с обнаруженной McAfee кампанией с загрузчиком LUA, распространяемом в привязи к репозиториям Microsoft GitHub с URL-адресами:
- https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip;
- https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip.
При этом проблема не станет активной и будет не видна владельцу проекта, но вредоносный файл остается на серверах GitHub, а URL-адреса загрузки продолжат работать. Это позволяет злоумышленникам прикреплять свои вредоносные программы к любому хранилищу без их ведома.
Такой условно привязанный к официальному репозиторию URL-адрес способен ввести пользователя в заблуждение относительно принадлежности файла конкретному проекту, а избавиться от него также будет непросто.
Даже если компания все же узнает, что ее репозитории используются для распространения вредоносного ПО, то не сможет найти никаких настроек, позволяющих управлять прикрепленными к проектам файлами.
Более того, можете защитить учетную запись GitHub от такого злоупотребления можно будет только отключив комментарии, но это уже может существенно повлиять на развитие проекта.
Если в случае с Microsoft добиться удаления вредоносного ПО удалось, то в аналогичных случаях с httprouter и Aimmy - вредоносное ПО по-прежнему доступно.
OALABS Research
GitHub Bug Used to Infect Game Hackers With Lua Malware
Triaging this elaborate infection chain
👍3
Forwarded from Порвали два трояна
Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний:
Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции.
Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Секьюрно
23 апреля вышло плановое мажорное обновление матрицы MITRE ATT&CK v15 (v14.1 - v15.0). Это уже третье мажорное обновление проекта с апреля 2023 (v 13 – апрель, v14 - октябрь). Пару дней до этого также был обновлен ATT&CK Roadmap на 2024 год
В новой версии авторы проекта сделали упор на:
Что интересного:
🔹 Поскольку злоумышленники все чаще используют инструменты искусственного интеллекта (LLM) для своих задач: разработка полезной нагрузки, генерация фишинговых писем, исследование уязвимостей, автоматизация отдельных технических задач и другие задачи была добавлена техника: T1588.007: Obtain Capabilities: Artificial Intelligence
🔹 Добавлена техника атак на периферийные и сетевые устройства с выходом в сеть Интернет, компрометация которых направлена не на получение первоначального доступа, а для дальнейшего таргетинга
🔹 Обновлен раздел Campaigns, описаны новые атаки на промышленные объекты: Triton, Unitronics и другие.
Сухая статистика:
▪️В Enterprise добавлено 12 новых техник, внесены изменения в 150
▪️В Mobile добавлено 5 новых техник, изменены 3
▪️И в ICS новые 2 техники и изменены 3
Полный лог изменений в том числе по группировкам, ПО, методам смягчения доступен в ATT&CK SYNC, release notes и официальной странице проекта не medium. Приятного чтива на майские!
#mitre
Please open Telegram to view this post
VIEW IN TELEGRAM
Medium
ATT&CK 2024 Roadmap
Enhancing usability, expanding scope, optimizing defenses
https://therecord.media/united-kingdom-bans-defalt-passwords-iot-devices
"On Monday, the United Kingdom became the first country in the world to ban default guessable usernames and passwords from these IoT devices. Unique passwords installed by default are still permitted.
The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) introduces new minimum-security standards for manufacturers, and demands that these companies are open with consumers about how long their products will receive security updates for."
"On Monday, the United Kingdom became the first country in the world to ban default guessable usernames and passwords from these IoT devices. Unique passwords installed by default are still permitted.
The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) introduces new minimum-security standards for manufacturers, and demands that these companies are open with consumers about how long their products will receive security updates for."
https://github.com/SigmaHQ/sigma/releases
Свежий релиз бесплатных правил для siem включает обнаружение компрометации набора утилит xz utils.
Свежий релиз бесплатных правил для siem включает обнаружение компрометации набора утилит xz utils.
GitHub
Releases · SigmaHQ/sigma
Main Sigma Rule Repository. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
Forwarded from AlexRedSec
Встречаем и изучаем очередное исследование "2024 Verizon Data Breach Investigations Report (DBIR)". По традиции много букв, цифр и статистики по итогам анализа более 30 тысяч инцидентов ИБ.
Инфографика после титульной страницы, иллюстрирующая векторы и каналы атак, как бы намекает, что в мире всё стабильно😁
Очень сложно выделить что-то крайне интересное и полезное, поэтому остановлюсь только на "тревожном" выводе Verizon, что пользователи попадают в ловушку фишингового письма менее чем за 60 секунд:
Не совсем понятно их удивление и настороженность – как будто обычные легитимные письма мы читаем дольше😐
Если поискать аналитику по работе с корпоративной почтой, то можно узнать, что ежегодно время на прочтение одного письма уменьшается и, по состоянию на 2023, составляет в среднем 9 секунд😐
А в целом, читайте отчет и черпайте для себя полезную информацию👍
Инфографика после титульной страницы, иллюстрирующая векторы и каналы атак, как бы намекает, что в мире всё стабильно
Очень сложно выделить что-то крайне интересное и полезное, поэтому остановлюсь только на "тревожном" выводе Verizon, что пользователи попадают в ловушку фишингового письма менее чем за 60 секунд:
...the median time to click on a malicious link after the email is opened is 21 seconds and then only another 28 seconds for the person caught in the phishing scheme to enter their data. This leads to an alarming finding: The median time for users to fall for phishing emails is less than 60 seconds.
Не совсем понятно их удивление и настороженность – как будто обычные легитимные письма мы читаем дольше
Если поискать аналитику по работе с корпоративной почтой, то можно узнать, что ежегодно время на прочтение одного письма уменьшается и, по состоянию на 2023, составляет в среднем 9 секунд
А в целом, читайте отчет и черпайте для себя полезную информацию
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
https://www.washingtonpost.com/politics/2024/04/30/fcc-just-doled-out-big-privacy-fines-it-could-soon-lose-that-power/
"The Federal Communications Commission on Monday unveiled one of its most significant enforcement actions on data privacy in recent years, issuing nearly $200 million in fines against top wireless carriers for sharing customers’ location data without their consent.
The move seeks to cap a lengthy and contentious regulatory battle over reports that AT&T, Sprint, Verizon and T-Mobile improperly sold access to users’ personal information to data “aggregators” who then resold them to third parties, allegedly violating consumer protections. "
"The Federal Communications Commission on Monday unveiled one of its most significant enforcement actions on data privacy in recent years, issuing nearly $200 million in fines against top wireless carriers for sharing customers’ location data without their consent.
The move seeks to cap a lengthy and contentious regulatory battle over reports that AT&T, Sprint, Verizon and T-Mobile improperly sold access to users’ personal information to data “aggregators” who then resold them to third parties, allegedly violating consumer protections. "