В рамках конференции Cloud Native Rejekts 2024 прошел доклад “Malicious Compliance Automated: When You Have 4000 Vulnerabilities and only 24 Hours Before Release” от Duffie Cooley и Kyle Quest. Данный доклад является логическим развитием одного из моим самых любимых докладов за последнее время "Malicious Compliance: Reflections on Trusting Container Image Scanners" =)

В новом докладе авторы обманывали сканеры уязвимостей всеми правдами и неправдами уже не в ручную, а автоматизировано и получили результат с нескольких тысяч уязвимостей до 0 =) В основном для это авторы использовали инструмент mint.

Кто там сторонник zero tolerance к уязвимостям?! В общем сезон образов без уязвимостей объявляется открытым!

Опрос 375 внутренних аудиторов
https://www.auditboard.com/blog/top-takeaways-from-the-2025-focus-on-the-future-report/

https://www.gartner.com/en/cybersecurity/role/cybersecurity-architects

Gartner опубликовали выдержки из своих гайдов по планированию на 2025 год.

Стали доступны видеозаписи и слайды с KubeCon + CloudNativeCon North America 2024 и это более 300 докладов (смотреть, не пересмотреть). Про безопасность докладов как всегда хватает и мы постепенно самые интересные начнем рассматривать на нашем канале.

Обзор возможного нового функционала по безопасности в windows в 2025 году.

https://www.zdnet.com/article/microsoft-to-tighten-windows-security-dramatically-in-2025-heres-how/
Требование тестировать обновления прежде чем их распространять на всех пользователей. Последствия ситуации с круд страйк.

Quick Machine Recovery - удаленное восстановление машины после неудачной установки обновлений, даже если пк не может загрузится.
Установка фиксов из службы windows update.

Будет попытка перевести работу ряда продуктов безопасности из kernel mode в user mode.

Для установки ПО у вас попросят биометрию в Hello или пин устройства.

Smart app control будет включен по умолчанию.

Встроенный драйвер печати для избавления от сторонних драйверов.

Шифрование персонального профиля чтобы администратор не имел доступа к рабочему столу, папке с документами.

Применение критичных патчей без перезагрузки.

Редкий случай когда потом свои прогнозы проверяют на исполнение. Пусть и с небольшими допущениями.

Можно сказать бинго: практически все спрогнозированные Лабораторией Касперского тренды финансовых киберугроз на 2024 год сбылись.

Насколько точными оказались предсказания:

1. Прогноз, предвещавший всплеск кибератак с использованием инструментов машинного обучения, оказался верным.

В 2024 году фиксировались кибератаки, усиленные ИИ, проявлялись не только через электронные письма, рекламу, фишинг (примерно 21% фишинговых писем теперь генерируются ИИ) и другой контент, но и как способ обойти биометрическую аутентификацию, как в случае с Gringo 171.

2. Прогноз о том, что киберпреступники будут эксплуатировать системы прямых платежей, такие как PIX, FedNow и UPI, с помощью клипперов и мобильных банковских троянов, подтвердился.

Некоторые из свидетельств тому - банковский троян в Бразилии GoPIX, спам идентификаторов UPI в Индии, а также рост числа поддельных приложений для мгновенной оплаты в Латинской Америке.

3. Прямо глобального внедрения автоматизированных систем передачи данных (ATS) не произошло, но мобильные банковские трояны, использующие ATS, уже стали реальностью, их глобальное принятие все еще продолжается.

Одни из разработчиков определенного семейства вредоносных ПО, использующих эту технику в Бразилии, не успели расширить свои атаки на Европу, их успели арестовать после уведомления Лабораторией бразильской полиции.

4. Прогноз о том, что атаки бразильских банковских троянов станут более масштабными, а Grandoreiro наберет обороты, подтвердился. 

Наиболее распространенными семействами в 2024 году были Guildma, Javali, Melcoz, Grandoreiro (группа Tetrade). Другими семействами являются Banbra, BestaFera, Bizarro, ChePro, Casbaneiro, Ponteiro и Coyote. Grandoreiro расширился, нацелившись на более чем 1700 банков в 45 странах.

5. Атаки ransomware действительно стали более целевыми. В 2024 году группы программ-вымогателей усилили свое внимание к высокодоходным целям, чей доход превышает 5 миллиардов долларов.

6. Прогноз относительно роста пакетов с открытым исходным кодом с бэкдорами сбылся, достаточно вспомнить инцидент с XZ Backdoor, затронувшим дистрибутивы Linux, когда пакеты с бэкдором оказались внутри популярных OSS. 

7. Прогноз по переходу от 0-day эксплойтов к 1-day, оказался неточным для 2024 года, поскольку последние тенденции указывают на устойчивую и даже возросшую зависимость от уязвимостей нулевого дня.

8. Эксплуатация неправильно настроенных устройств и служб, безусловно, наблюдалась в 2024 году, о чем свидетельствует глобальная кампания EMERALDWHALE, которая привела к к краже более 15 000 учетных данных и доступу к более чем 10 000 закрытых репозиториев Git.

9. Прогноз, предполагающий более гибкое различие между группами киберпреступников, оказался точным. В 2024 году экосистема ransomware стала более динамичной и адаптивной, а операторы практиковали мультиплатформенный подход.

10. Принятие менее популярных и кроссплатформенных языков. Можно даже не комментировать, как и в случае с прогнозируемым ростом числа хактивистских групп в виду глобальных конфликтов.

Как изменится ландшафт финансовых киберугроз в 2025 году и что этому будет способствовать - читайте отчете Лаборатории Касперского.

Митре опубликовало список 25 наиболее опасных уязвимостей ПО (CWE) в 2024 году.
Сюрпризов нет. Отсутствие санитизации ввода, css....

https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html

https://letsencrypt.org/stats/ Сервису бесплатных TLS сертификатов 10 лет. 500 миллионов доменов сейчас используют этот сервис.