Знай актуальную поверхность атаки.
Не важно, занимаешься ли ты пентестом или обеспечиваешь процесс безопасной разработки внутри жизненного цикла ПО, первое, с чего начинается твой процесс – анализ поверхности атаки.
Материал, в котором собраны методы проведения разведки на основе открытых источников (Open Source Intelligence, OSINT), основательно описывает процесс и инструменты сбора информации о корпоративном периметре и доступных ресурсах. Техники предназначены в первую очередь для участников bug bounty, но могут быть применены в процессах внешнего анализа защищенности.
Не важно, занимаешься ли ты пентестом или обеспечиваешь процесс безопасной разработки внутри жизненного цикла ПО, первое, с чего начинается твой процесс – анализ поверхности атаки.
Материал, в котором собраны методы проведения разведки на основе открытых источников (Open Source Intelligence, OSINT), основательно описывает процесс и инструменты сбора информации о корпоративном периметре и доступных ресурсах. Техники предназначены в первую очередь для участников bug bounty, но могут быть применены в процессах внешнего анализа защищенности.
👍1💩1
К наиболее распространенным ошибкам, которые разработчики совершают в незрелом процессе SDLC, относятся ошибки управление секретами. В кодовую базу попадают пароли, хардкодятся API-ключи к CI/CD и 3rd-party системам, заносятся учетные данные пользователей.
Чаще всего секреты встречаются в следующих репозиториях:
* код авто-тестов, которые QA-инженеры бэкапят в свои персональные публичные репозитории;
* репозитории организаций-подрядчиков, отвечающих за интеграцию клиентов с продуктом;
* персональные репозитории разработчиков, которые бэкапят свои внутренние тулзы;
* скрипты установки продукта и skeleton-файлы микросервисов, используемые подрядчиками, отвечающими за установку и поддержку продукта (operations).
Если есть забытые секреты, то есть и возожность их найти. Вот подборка утилит для автоматизации поиска ценных данных в коде:
* gitGrabber – позволяет в реальном-времени мониторить Github и прочие сервисы на предмет появления секретов. Подходит для задачи мониторинга появления секретов по заданные поисковые запросы.
* gitLeaks – тулза для мониторинга конкретно заданных репозиториев на утечку секретов. Отлично подходит для выполнения задач мониторинга официального репозитория компании.
* shhgit – утилита, которую можно использовать в качестве системы мониторинга утекших секретов в публичных репозиториях.
* trufflehog - инструмент, который доступен в Github Action, и который поможет пробежаться за секретами по коммитам.
Чаще всего секреты встречаются в следующих репозиториях:
* код авто-тестов, которые QA-инженеры бэкапят в свои персональные публичные репозитории;
* репозитории организаций-подрядчиков, отвечающих за интеграцию клиентов с продуктом;
* персональные репозитории разработчиков, которые бэкапят свои внутренние тулзы;
* скрипты установки продукта и skeleton-файлы микросервисов, используемые подрядчиками, отвечающими за установку и поддержку продукта (operations).
Если есть забытые секреты, то есть и возожность их найти. Вот подборка утилит для автоматизации поиска ценных данных в коде:
* gitGrabber – позволяет в реальном-времени мониторить Github и прочие сервисы на предмет появления секретов. Подходит для задачи мониторинга появления секретов по заданные поисковые запросы.
* gitLeaks – тулза для мониторинга конкретно заданных репозиториев на утечку секретов. Отлично подходит для выполнения задач мониторинга официального репозитория компании.
* shhgit – утилита, которую можно использовать в качестве системы мониторинга утекших секретов в публичных репозиториях.
* trufflehog - инструмент, который доступен в Github Action, и который поможет пробежаться за секретами по коммитам.
GitHub
GitHub - hisxo/gitGraber: gitGraber: monitor GitHub to search and find sensitive data in real time for different online services…
gitGraber: monitor GitHub to search and find sensitive data in real time for different online services such as: Google, Amazon, Paypal, Github, Mailgun, Facebook, Twitter, Heroku, Stripe... - hisxo...
👍4
Продолжаем тему скраппинга Github. В статье "Скребём Github: поиск секретов разработки" разобрал сценарии ручного поиска секретов в репозиториях и рассказал об интересных кейсах утечек учетных данных для коммерческих платформ статического анализа.
При правильных поисковых запросах, можно найти всевозможные фрагменты кода, содержащие учетные данные для подключения к инфраструктуре компании, которые используются разработчиками и QA-инженерами. При этом не только Github можно исследовать на наличие секретов. Техника изучения публичных репозиториев на наличие секретов (данных учетных записей, приватны ключей и т.п.) позволяет открыть доступ к интересным местам приложения еще до того, как начнется его непосредственный анализ защищенности.
Если учесть тот факт, что многие продуктовые IT-компании совершенно разного уровня зрелости (от стартапа до enterprise-бизнеса) привлекают к своему циклу разработки различных подрядчиков, то растет вероятность утечки ценных данных в публичные репозитории. Любой эксперт, вовлеченный в цикл разработки, несет с собой определенные риски для продукта.
Так, например, в процессе поиска фрагментов исходного кода, содержащих домен SaaS-продукта, могут быть найдены фрагменты авто-тестов, содержащих привилегированные учетные данные для подключения к платформе. И чтобы убедиться, что этот пример не гипотетический, а вполне реальный, достаточно зайти на Techcrunch, найти имя какой-нибудь компании, предоставляющей SaaS-продукт и поискать ее домен на гитхабе.
Открываем новости о стартапах, видим много блокчейн-кошельков и блокчейн-платформ, выбираем любой стартап с причудливым названием и ищем его домен на гитхабе. Встречаем много секретов в разных скриптах для подключения к платформе.
При правильных поисковых запросах, можно найти всевозможные фрагменты кода, содержащие учетные данные для подключения к инфраструктуре компании, которые используются разработчиками и QA-инженерами. При этом не только Github можно исследовать на наличие секретов. Техника изучения публичных репозиториев на наличие секретов (данных учетных записей, приватны ключей и т.п.) позволяет открыть доступ к интересным местам приложения еще до того, как начнется его непосредственный анализ защищенности.
Если учесть тот факт, что многие продуктовые IT-компании совершенно разного уровня зрелости (от стартапа до enterprise-бизнеса) привлекают к своему циклу разработки различных подрядчиков, то растет вероятность утечки ценных данных в публичные репозитории. Любой эксперт, вовлеченный в цикл разработки, несет с собой определенные риски для продукта.
Так, например, в процессе поиска фрагментов исходного кода, содержащих домен SaaS-продукта, могут быть найдены фрагменты авто-тестов, содержащих привилегированные учетные данные для подключения к платформе. И чтобы убедиться, что этот пример не гипотетический, а вполне реальный, достаточно зайти на Techcrunch, найти имя какой-нибудь компании, предоставляющей SaaS-продукт и поискать ее домен на гитхабе.
Открываем новости о стартапах, видим много блокчейн-кошельков и блокчейн-платформ, выбираем любой стартап с причудливым названием и ищем его домен на гитхабе. Встречаем много секретов в разных скриптах для подключения к платформе.
Хабр
Скребём Github: поиск «секретов» разработки
При разработке софтверного продукта или облачного SaaS-сервиса достаточно трудно отслеживать сторонние активности всех специалистов, вовлеченных в процесс разработки. Достаточно открыть Github,...
В эти дни, когда проходят крупные конференции по кибербезопасности, подготовил небольшой вклад для сообщества. Редкая винтажная фотография: два парня с джетлагом обсуждают угрозы систем "умного города", обнаружив за 40 минут до своего выступления уязвимость в навигационной системе торгового центра в Лас-Вегасе.
👍1
Показатели компрометации как средство мониторинга и снижения рисков.
Пока ты читаешь эти строки, в периметре какой-то организации происходит инцидент: вредоносное ПО под тщательным руководством киберпреступников ведет охоту за ценными данными жертвы — за информацией, утечка которой может спровоцировать крупную финансовую катастрофу или поставить под вопрос существование бизнеса.
Зачастую такие спецоперации могут длиться годами, и жертва может даже не догадываться о присутствии постороннего в ее собственной ИТ-инфраструктуре. Однако самое печальное, что о существовании, целях и средствах злоумышленников могут уже знать эксперты, которые пристально следят за активностью киберпреступных групп и развитием их инструментов и, кроме того, участвуют в расследовании аналогичных инцидентов, где использовались подобные средства. Более того, уже могут быть опубликованы материалы исследований инструментов, обнаруженных при проведении той или иной APT-атаки, и в этих материалах, кроме текста о том, как исследователь копался в исходном коде малвари, зачастую может содержаться куда более ценная информация, которая окажется полезной для «харденинга» IT-инфраструктуры.
Оперативная информация как средство снижения рисков
Владельцам IT-инфраструктур необходимо регулярно проверять свои информационные ресурсы на наличие в них вредоносных компонентов, которые могут оказаться там, например, в результате эксплуатации злоумышленниками уязвимостей нулевого дня. Но что, если о существовании подобных компонентов еще не знают даже разработчики средств защиты, установленных в информационной системе? При этом в распоряжении ее владельца оказывается экспертная информация — приватный отчет о расследовании той или иной угрозы или уже опубликованное исследование какой-либо APT.
Типичный отчет содержит приблизительно следующую информацию об APT-кампании:
* детали о цели и жертвах;
* время активности;
* перечень узлов (IP-адреса) жертв;
* текущая активность;
* показатели компрометации (IOC, YARA rules);
* инструменты, которые использовали злоумышленники;
* описания инфраструктуры командных центров (C&C);
* MD5-хеши вредоносных компонентов.
Среди технической информации о деталях проведения той или иной APT-кампании для администратора безопасности информационной системы наибольший практический интерес представляют «показатели компрометации». Данная структурированная информация предназначена для импорта в автоматизированные средства проверки инфраструктуры на наличие признаков заражения.
В материалах "Заставь малварь играть по правилам" и "Показатели компрометации как средство снижения рисков" рассказываю об индикаторах компрометации и вариантах их использования для выявления угроз.
Пока ты читаешь эти строки, в периметре какой-то организации происходит инцидент: вредоносное ПО под тщательным руководством киберпреступников ведет охоту за ценными данными жертвы — за информацией, утечка которой может спровоцировать крупную финансовую катастрофу или поставить под вопрос существование бизнеса.
Зачастую такие спецоперации могут длиться годами, и жертва может даже не догадываться о присутствии постороннего в ее собственной ИТ-инфраструктуре. Однако самое печальное, что о существовании, целях и средствах злоумышленников могут уже знать эксперты, которые пристально следят за активностью киберпреступных групп и развитием их инструментов и, кроме того, участвуют в расследовании аналогичных инцидентов, где использовались подобные средства. Более того, уже могут быть опубликованы материалы исследований инструментов, обнаруженных при проведении той или иной APT-атаки, и в этих материалах, кроме текста о том, как исследователь копался в исходном коде малвари, зачастую может содержаться куда более ценная информация, которая окажется полезной для «харденинга» IT-инфраструктуры.
Оперативная информация как средство снижения рисков
Владельцам IT-инфраструктур необходимо регулярно проверять свои информационные ресурсы на наличие в них вредоносных компонентов, которые могут оказаться там, например, в результате эксплуатации злоумышленниками уязвимостей нулевого дня. Но что, если о существовании подобных компонентов еще не знают даже разработчики средств защиты, установленных в информационной системе? При этом в распоряжении ее владельца оказывается экспертная информация — приватный отчет о расследовании той или иной угрозы или уже опубликованное исследование какой-либо APT.
Типичный отчет содержит приблизительно следующую информацию об APT-кампании:
* детали о цели и жертвах;
* время активности;
* перечень узлов (IP-адреса) жертв;
* текущая активность;
* показатели компрометации (IOC, YARA rules);
* инструменты, которые использовали злоумышленники;
* описания инфраструктуры командных центров (C&C);
* MD5-хеши вредоносных компонентов.
Среди технической информации о деталях проведения той или иной APT-кампании для администратора безопасности информационной системы наибольший практический интерес представляют «показатели компрометации». Данная структурированная информация предназначена для импорта в автоматизированные средства проверки инфраструктуры на наличие признаков заражения.
В материалах "Заставь малварь играть по правилам" и "Показатели компрометации как средство снижения рисков" рассказываю об индикаторах компрометации и вариантах их использования для выявления угроз.
XAKEP
Заставь малварь играть по правилам. Колонка Дениса Макрушина
Пока ты читаешь эти строки, в периметре какой-то организации происходит инцидент: вредоносное ПО под тщательным руководством киберпреступников ведет охоту за ценными данными жертвы — за информацией, утечка которой может спровоцировать крупную финансовую катастрофу…
Небольшое интервью для южноафриканского IT-издания, посвященное безопасности "интернета вещей" и наших "умных домов".
YouTube
Interview: Denis Makrushin discusses the threats of the connected home
In the interview, Makrushin discusses Ubisoft's latest hacker-themed noscript Watch Dogs 2 as well as the threats of the connected home. Makrushin also discusses ransomware and how Kaspersky Lab is tackling these challenges. The video can be found below.
Enjoy…
Enjoy…
👍1
Уязвимости системы ведения медицинской документации OpenEMR
Бумажные медицинские карты и «медицинские книжки» уже давно не используются в мед. учреждениях. На смену бумажным носителям пришли электронные медицинские карты, содержащие всю историю обращений, описания всех болезней и процедур лечения пациента. Организации в сфере здравоохранения используют специальное программное обеспечение для управления медицинскими процедурами и хранения данных о пациентах.
Одним из таких приложений является OpenEMR – открытая платформа для ведения медицинской практики. Данное программное обеспечение является бесплатным (любая организация может совершенно бесплатно использовать этот продукт для своего бизнеса) и открытым (исходный код данного продукта доступен любому разработчику). Кроме того, это программное обеспечение имеет сертификат ONC Complete Ambulatory EHR, который выдает авторитетная организация в сфере здравоохранения. Именно все эти особенности обеспечили ее популярность данной платформы среди различных медицинских учреждений по всему миру. Достаточно взглянуть на карту, чтобы оценить распространенность этого «лакомого кусочка» для преступников, охотящихся за медицинской информацией.
Так вот к чему это все? В результате беглого анализа безопасности OpenEMR, выяснилось, что вполне реален следующий сценарий:
Шаг 1: злоумышленник внедряет вредоносный код на этапе регистрации на данном портале в качестве пациента.
Шаг 2: данный код попадает на главную страницу портала, и пользователь, который просматривает эту страницу, расстается со своими учетными данными (и как следствие, медицинскими данными).
Шаг 3: таким образом злоумышленник собирает медицинскую информацию всех пользователей данного портала, среди которых есть и врачи.
Шаг 4: учетные данные врачей и администраторов, позволяют злодею добраться до всех пациентов.
В результате: мы смотрим очередную новость про «громкую утечку медицинских данных, в результате которой пострадали 100500 пользователей».
Бумажные медицинские карты и «медицинские книжки» уже давно не используются в мед. учреждениях. На смену бумажным носителям пришли электронные медицинские карты, содержащие всю историю обращений, описания всех болезней и процедур лечения пациента. Организации в сфере здравоохранения используют специальное программное обеспечение для управления медицинскими процедурами и хранения данных о пациентах.
Одним из таких приложений является OpenEMR – открытая платформа для ведения медицинской практики. Данное программное обеспечение является бесплатным (любая организация может совершенно бесплатно использовать этот продукт для своего бизнеса) и открытым (исходный код данного продукта доступен любому разработчику). Кроме того, это программное обеспечение имеет сертификат ONC Complete Ambulatory EHR, который выдает авторитетная организация в сфере здравоохранения. Именно все эти особенности обеспечили ее популярность данной платформы среди различных медицинских учреждений по всему миру. Достаточно взглянуть на карту, чтобы оценить распространенность этого «лакомого кусочка» для преступников, охотящихся за медицинской информацией.
Так вот к чему это все? В результате беглого анализа безопасности OpenEMR, выяснилось, что вполне реален следующий сценарий:
Шаг 1: злоумышленник внедряет вредоносный код на этапе регистрации на данном портале в качестве пациента.
Шаг 2: данный код попадает на главную страницу портала, и пользователь, который просматривает эту страницу, расстается со своими учетными данными (и как следствие, медицинскими данными).
Шаг 3: таким образом злоумышленник собирает медицинскую информацию всех пользователей данного портала, среди которых есть и врачи.
Шаг 4: учетные данные врачей и администраторов, позволяют злодею добраться до всех пациентов.
В результате: мы смотрим очередную новость про «громкую утечку медицинских данных, в результате которой пострадали 100500 пользователей».
Denis Makrushin
Уязвимости OpenEMR · Denis Makrushin
Бумажные медицинские карты и «медицинские книжки» уже давно не используются в мед. учреждениях. На смену бумажным носителям пришли электронные медицинские карты, содержащие всю историю обращений, описания всех болезней и процедур…
Всех, кто сегодня начинает учебу и тех, кто начинает обучать, поздравляю с Днем Знаний!
В этом году я тоже продолжаю движение «Application Security» вместе со студентами – будущими звездами индустрии информационной безопасности. Уже второй год подряд двигаюсь в открытом формате. Анонс открытых лекций, состоявшийся в прошлом году, остается актуальным и в этом:
“Разработав курс «Основы безопасности приложений» для изучающих информационную безопасность в НИЯУ МИФИ, мы решили сделать наши лекции открытыми для всех студентов любых российских ВУЗов.”
Студент, запрыгивай в чат этого канала, чтобы не пропустить лекции.
В этом году я тоже продолжаю движение «Application Security» вместе со студентами – будущими звездами индустрии информационной безопасности. Уже второй год подряд двигаюсь в открытом формате. Анонс открытых лекций, состоявшийся в прошлом году, остается актуальным и в этом:
“Разработав курс «Основы безопасности приложений» для изучающих информационную безопасность в НИЯУ МИФИ, мы решили сделать наши лекции открытыми для всех студентов любых российских ВУЗов.”
Студент, запрыгивай в чат этого канала, чтобы не пропустить лекции.
👍12❤1
Использование символьного выполнения для выявления вредоносного кода
На конференции BlackHat 2022 представлена интересная техника выявления вредоносного ПО и, в частности, экземпляров ransomware. Авторы предлагают обойти ограничения существующих методов динамического анализа ПО, которые плохо справляются с обфусцированными или модифицированными вредоносами, и применить движок символьного выполнения.
Символьное выполнение - метод анализа бинарного кода, при котором входные данные для целевой программы заменяются символами. В итоге анализатор будет использовать символьное выражение (формулу) вместо конкретных значений.
Этот метод используется для поиска ошибок в программах, но авторы исследования решили применить его для определения экземпляров ransomware. Выбрав три ключевых признака семплов рансомвары (энумерация файлов, операция над файлами, шифрование), исследователи применили технику символьного выполнения для детекта. Результаты: детект 95,60% рансомвары, 0% ложных срабатываний.
На конференции BlackHat 2022 представлена интересная техника выявления вредоносного ПО и, в частности, экземпляров ransomware. Авторы предлагают обойти ограничения существующих методов динамического анализа ПО, которые плохо справляются с обфусцированными или модифицированными вредоносами, и применить движок символьного выполнения.
Символьное выполнение - метод анализа бинарного кода, при котором входные данные для целевой программы заменяются символами. В итоге анализатор будет использовать символьное выражение (формулу) вместо конкретных значений.
Этот метод используется для поиска ошибок в программах, но авторы исследования решили применить его для определения экземпляров ransomware. Выбрав три ключевых признака семплов рансомвары (энумерация файлов, операция над файлами, шифрование), исследователи применили технику символьного выполнения для детекта. Результаты: детект 95,60% рансомвары, 0% ложных срабатываний.
Blackhat
Black Hat USA 2022
👍7
Общие техники, которые активно используют операторы троянов-вымогателей
Опубликован отчет с результатами анализа APT-группировок, которые используют трояны-вымогатели в ходе своих операций. Материал интересен для всех, кто выстраивает систему защиты от ransomware в инфраструктуре.
Ряд особенностей, отмеченных в отчете, можно использовать для детекта рансомвари:
* методы попадания в инфраструктуру у всех общие: человеческий фактор (фишинг), открытые сервисы (например, RDP) и множественные уязвимости (причем, известные);
* в процессе запуска все вредоносы используют командные и скриптовые интерпретаторы;
* для закрепления образцы всех семейств используют техники манипуляции учетными записями;
* для обхода средств защиты чаще всего используются стандартные средства ОС;
* обнаружение ресурсов: все без исключения семейства используют техники обнаружения новых ресурсов (сетевых шар, хостов, файлов, процессов и т.д.);
* коммуникация с серверами управления (Command and Control, C2): все образцы используют уровень приложений для коммуникации с C2, а некоторые пытаются осуществить эксфильтрацию (кражу) данных по этому же каналу;
* нарушение целостности данных: удаление бэкапов, выключение системных функция восстановления данных, остановка бизнес-приложений.
Аналитикам SOC на заметку: последние три особенности позволяют построить стратегию целенаправленного детекта ransomware в зараженной инфраструктуре.
Опубликован отчет с результатами анализа APT-группировок, которые используют трояны-вымогатели в ходе своих операций. Материал интересен для всех, кто выстраивает систему защиты от ransomware в инфраструктуре.
Ряд особенностей, отмеченных в отчете, можно использовать для детекта рансомвари:
* методы попадания в инфраструктуру у всех общие: человеческий фактор (фишинг), открытые сервисы (например, RDP) и множественные уязвимости (причем, известные);
* в процессе запуска все вредоносы используют командные и скриптовые интерпретаторы;
* для закрепления образцы всех семейств используют техники манипуляции учетными записями;
* для обхода средств защиты чаще всего используются стандартные средства ОС;
* обнаружение ресурсов: все без исключения семейства используют техники обнаружения новых ресурсов (сетевых шар, хостов, файлов, процессов и т.д.);
* коммуникация с серверами управления (Command and Control, C2): все образцы используют уровень приложений для коммуникации с C2, а некоторые пытаются осуществить эксфильтрацию (кражу) данных по этому же каналу;
* нарушение целостности данных: удаление бэкапов, выключение системных функция восстановления данных, остановка бизнес-приложений.
Аналитикам SOC на заметку: последние три особенности позволяют построить стратегию целенаправленного детекта ransomware в зараженной инфраструктуре.
securelist.ru
Омерзительная восьмёрка: техники, тактики и процедуры (TTPs) группировок шифровальщиков
Описание стадий атак вымогателей и инструментов, которые киберпреступники используют на каждой стадии, а также рекомендации по защите от целевых атак с использованием шифровальщиков
👍2
Обнаружен новый экземпляр рансомвари, написанный на Golang
И примечательно то, что Golang и Rust становятся популярными у разработчиков малвари. Кросс-платформенные языки программирования позволяют злодеям охватить больше операционных систем и таким образом скомпрометировать больше разнообразных корпоративных сред.
Кроме этого, подобную малварь трудно анализировать, потому что компилятор Go статически подключает необходимые библиотеки в бинарном файле. Итоговый бинарь получается настолько большим, что многие анализаторы и реверс инженеры просто поперхнутся.
И примечательно то, что Golang и Rust становятся популярными у разработчиков малвари. Кросс-платформенные языки программирования позволяют злодеям охватить больше операционных систем и таким образом скомпрометировать больше разнообразных корпоративных сред.
Кроме этого, подобную малварь трудно анализировать, потому что компилятор Go статически подключает необходимые библиотеки в бинарном файле. Итоговый бинарь получается настолько большим, что многие анализаторы и реверс инженеры просто поперхнутся.
Trend Micro
New Golang Ransomware Agenda Customizes Attacks
A new piece of ransomware written in the Go language has been targeting healthcare and education enterprises in Asia and Africa. This ransomware is called Agenda and is customized per victim.
👍2
Должен ли исследователь публиковать уязвимость в случае, если производитель не будет ее исправлять?
Этот вопрос стал причиной живой дискуссии на первом занятии моего курса в МИФИ. Да, даже в 2022 году ответ по-прежнему неочевиден. Особенно, если рассматривать нетривиальные ситуации. Например, уязвимость в устаревшей модели кардиостимуляторов, производитель которых снял устройства с поддержки.
На фото: конференция антивирусных аналитиков в Румынии CARO 2016. В программе докладов, посвященных различным технологиям защиты от малвари, я рассказываю об уязвимостях в IoT, которые никогда не будут исправлены производителем. А надо ли раскрывать эту информацию?
Этот вопрос стал причиной живой дискуссии на первом занятии моего курса в МИФИ. Да, даже в 2022 году ответ по-прежнему неочевиден. Особенно, если рассматривать нетривиальные ситуации. Например, уязвимость в устаревшей модели кардиостимуляторов, производитель которых снял устройства с поддержки.
На фото: конференция антивирусных аналитиков в Румынии CARO 2016. В программе докладов, посвященных различным технологиям защиты от малвари, я рассказываю об уязвимостях в IoT, которые никогда не будут исправлены производителем. А надо ли раскрывать эту информацию?
👍4
Летние исследования для security чемпионов
Проведем обзор опубликованных блогпостов, докладов и исследовательских материалов, которые вряд ли станут «исследованиями года», но несут в себе новые техники. Кто знает, какая из них может вдруг выстрелить и полностью поменять ландшафт угроз?
Сделал подборку интересных материалов в своей "хакерской" колонке. И заодно вернулся на страницы журнала после двух лет перерыва.
Проведем обзор опубликованных блогпостов, докладов и исследовательских материалов, которые вряд ли станут «исследованиями года», но несут в себе новые техники. Кто знает, какая из них может вдруг выстрелить и полностью поменять ландшафт угроз?
Сделал подборку интересных материалов в своей "хакерской" колонке. И заодно вернулся на страницы журнала после двух лет перерыва.
xakep.ru
Летние исследования для чемпионов Security. Колонка Дениса Макрушина
Три месяца лета позади, а значит, пора разгребать закладки в браузере и избранные посты, которые откладывались до появления рабочего настроения. Проведем обзор опубликованных блогпостов, докладов и исследовательских материалов, которые вряд ли станут «исследованиями…
👍2
Студент факультета или кафедры ИБ, который ищет тему для курсовой работы, просто посмотри на статистику распространения рансомвари:
* хронология развития этого типа малвари демонстрирует взрывной рост: от пары семейств в 2010 до 20+ семейств ежемесячно к 2017;
* число атак шифровальщиков удвоилось 2021 году в сравнении с 2020 годом;
* скорость разворачивания шифровальщика в скомпрометированной инфраструктуре увеличивается, что значительно снижает время, требующееся для реагирования на инцидент (в 2021 году у жертвы было 92 часа, чтобы спасти свои данные);
* среднее время простоя инфраструктуры и бизнес-процессов в результате атак выросло с 15 часов в 2020 году до 22 часов 2021 (время – деньги!);
* ущерб от атак шифровальщиков в 2021 году оценивался в 20 миллиардов долларов, а к 2031 году ожидается ущерб в 265 миллиардов.
На основе этих данных получаем рецепт хорошей темы для курсовой:
1. Находим злодея: берем наиболее острую проблему, которая мешает жить всем индустриям, пользователям.
2. Препарируем злодея: изучаем технические особенности, выделяем ключевые характеристики, ищем слабое место.
3. Создаем антидот и не забываем рассказать об этом в тексте работы.
* хронология развития этого типа малвари демонстрирует взрывной рост: от пары семейств в 2010 до 20+ семейств ежемесячно к 2017;
* число атак шифровальщиков удвоилось 2021 году в сравнении с 2020 годом;
* скорость разворачивания шифровальщика в скомпрометированной инфраструктуре увеличивается, что значительно снижает время, требующееся для реагирования на инцидент (в 2021 году у жертвы было 92 часа, чтобы спасти свои данные);
* среднее время простоя инфраструктуры и бизнес-процессов в результате атак выросло с 15 часов в 2020 году до 22 часов 2021 (время – деньги!);
* ущерб от атак шифровальщиков в 2021 году оценивался в 20 миллиардов долларов, а к 2031 году ожидается ущерб в 265 миллиардов.
На основе этих данных получаем рецепт хорошей темы для курсовой:
1. Находим злодея: берем наиболее острую проблему, которая мешает жить всем индустриям, пользователям.
2. Препарируем злодея: изучаем технические особенности, выделяем ключевые характеристики, ищем слабое место.
3. Создаем антидот и не забываем рассказать об этом в тексте работы.
👍6👏1
Проект Red Team: организация, управление, скоуп
Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.
Именно для того, чтобы сгладить эту асимметрию, индустрия ИБ разделила процессы на два полюса: оборонительные и наступательные. И раскрасила их в разные цвета — красный для атакующей стороны, синий — для защищающейся.
В этой статье на примере Red Team я расскажу об основных формальных и фактических различиях между командами, рассмотрю, с какими задачами сталкиваются их участники, и, возможно, даже помогу тебе определиться с «цветом», если ты только начинаешь свою карьеру в информационной безопасности или чувствуешь себя не на том месте.
Индустрия информационной безопасности асимметрична: атакующий находится в более удобном положении, чем специалист по защите. Атакованной стороне нужно быть эффективной всегда, 24/7, а нападающей достаточно быть эффективной лишь единожды. Кроме того, у атакующего есть возможность тщательно изучить свою жертву перед активной фазой атаки, в то время как другая сторона начинает изучение нарушителя уже во время этой атаки.
Именно для того, чтобы сгладить эту асимметрию, индустрия ИБ разделила процессы на два полюса: оборонительные и наступательные. И раскрасила их в разные цвета — красный для атакующей стороны, синий — для защищающейся.
В этой статье на примере Red Team я расскажу об основных формальных и фактических различиях между командами, рассмотрю, с какими задачами сталкиваются их участники, и, возможно, даже помогу тебе определиться с «цветом», если ты только начинаешь свою карьеру в информационной безопасности или чувствуешь себя не на том месте.
Denis Makrushin
Проект Red Team: организация, управление, скоуп · Denis Makrushin
В этой статье на примерах Red Team и Blue Team я расскажу об основных различиях между командами и задачами их участников.
Проект Red Team: роли и области экспертизы
Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.
В прошлом посте мы познакомились с ключевыми целями и показателями эффективности Red Team для процессов ИБ и бизнеса в целом. Мы рассмотрели особенности взаимодействия экспертов наступательной безопасности c Blue Team, нюансы ведения проектов и коммуникации во время работ. При этом мы практически не коснулись внутренней структуры красной команды. Раскрываем тему в этом материале.
Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной реализации kill chain и демонстрации результатов.
В прошлом посте мы познакомились с ключевыми целями и показателями эффективности Red Team для процессов ИБ и бизнеса в целом. Мы рассмотрели особенности взаимодействия экспертов наступательной безопасности c Blue Team, нюансы ведения проектов и коммуникации во время работ. При этом мы практически не коснулись внутренней структуры красной команды. Раскрываем тему в этом материале.
Denis Makrushin
Проект Red Team: роли и области экспертизы · Denis Makrushin
Красная команда имитирует действия атакующего, чтобы помочь оценить эффективность защитных мер и улучшить безопасность. В этой статье я разберу, как устроены такие команды и какие нужны области экспертизы для успешной…
Даже кликнуть не успеешь: скорость шифрования файлов троянами-вымогателями
Основная цель зловреда после попадания в корпоративную сеть: поиск ценных данных и немедленное нарушение их целостности. Причем сделать все это надо оперативно, чтобы защитное ПО или пользователь не успели спасти свои данные. Для этого шифровать надо быстро, надежно и желательно не потерять сгенерированный ключ где-то в оперативной памяти, чтобы аналитик или антивирус не смогли его извлечь.
Как показывает исследование, в ходе которого проводили измерение скорости шифрования различными троянами-вымогателям, для того, чтобы зашифровать 100000 файлов, самому быстрому вредоносу нужно 5 минут 50 секунд. Это много или мало?
Достаточно много, чтобы успеть обнаружить аномалию и спасти хотя бы часть файлов.
Основная цель зловреда после попадания в корпоративную сеть: поиск ценных данных и немедленное нарушение их целостности. Причем сделать все это надо оперативно, чтобы защитное ПО или пользователь не успели спасти свои данные. Для этого шифровать надо быстро, надежно и желательно не потерять сгенерированный ключ где-то в оперативной памяти, чтобы аналитик или антивирус не смогли его извлечь.
Как показывает исследование, в ходе которого проводили измерение скорости шифрования различными троянами-вымогателям, для того, чтобы зашифровать 100000 файлов, самому быстрому вредоносу нужно 5 минут 50 секунд. Это много или мало?
Достаточно много, чтобы успеть обнаружить аномалию и спасти хотя бы часть файлов.
Splunk
Gone in 52 Seconds…and 42 Minutes: A Comparative Analysis of Ransomware Encryption Speed | Splunk
With the release of SURGe's new ransomware research, Splunker Shannon Davis shares a closer look into measuring how fast ransomware encrypts files.
Вот уже в течение нескольких лет одной из интересных для меня тем является кибер-безопасность современной медицины. Результаты исследований были аккуратно сложены в три больших статьи:
1. «Ошибки умной медицины» - вводный материал, в котором описаны наиболее распространенные проблемы и последствия для медицинских учреждений, не готовых к кибер-атакам.
2. «Подключенная медицина и ее диагноз» - анализ ситуации внутри реальной медицинской организации с детальным описанием имеющихся уязвимостей и подробными рекомендациями по устранению обнаруженных проблем.
3. «A therapeutic Postmortem of Connected Medicine» - заключительный материал, в котором рассматриваются реально существующие в открытом доступе точки входа к ценным данным, а также приводятся примеры конкретных «вредоносов», которые в настоящий момент активны в медицинских учреждениях.
28 декабря 2019 года крупная организация США в сфере здравоохранения (United States Department of Health and Human Services) опубликовала документ, в котором детально описывается стратегия по защите медицинских организаций от кибер-угроз.
Это означает, что многочисленные исследования и неоднократное привлечение внимания к проблемам не напрасны. Кто знает, сколько жизней в будущем спасет данная инициатива, которую уже сегодня берут на себя исследователи.
1. «Ошибки умной медицины» - вводный материал, в котором описаны наиболее распространенные проблемы и последствия для медицинских учреждений, не готовых к кибер-атакам.
2. «Подключенная медицина и ее диагноз» - анализ ситуации внутри реальной медицинской организации с детальным описанием имеющихся уязвимостей и подробными рекомендациями по устранению обнаруженных проблем.
3. «A therapeutic Postmortem of Connected Medicine» - заключительный материал, в котором рассматриваются реально существующие в открытом доступе точки входа к ценным данным, а также приводятся примеры конкретных «вредоносов», которые в настоящий момент активны в медицинских учреждениях.
28 декабря 2019 года крупная организация США в сфере здравоохранения (United States Department of Health and Human Services) опубликовала документ, в котором детально описывается стратегия по защите медицинских организаций от кибер-угроз.
Это означает, что многочисленные исследования и неоднократное привлечение внимания к проблемам не напрасны. Кто знает, сколько жизней в будущем спасет данная инициатива, которую уже сегодня берут на себя исследователи.
Denis Makrushin
Ошибки “умной” медицины · Denis Makrushin
Как показали многочисленные исследования, “умные” дома, “умные” автомобили и “умные” города, не только приносят несомненную пользу человеку в быту, но и зачастую создают угрозу его безопасности. Речь не только об утечке…
Встречаем первую открытую лекцию в рамках курса «Основы Безопасности Приложений» НИЯУ МИФИ
Алексей Канахин, кандидат физико-математических наук в области физики полупроводников, разработчик железа и исследователь проблем приватности приложений машинного интеллекта, расскажет о методах защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Место: онлайн-трансляция в телеграм-канале @makrushind
Время: 18:00, 14 октября.
Запрыгивай на лекцию и присоединяйся к обсуждению!
Алексей Канахин, кандидат физико-математических наук в области физики полупроводников, разработчик железа и исследователь проблем приватности приложений машинного интеллекта, расскажет о методах защиты информации в эпоху машинного интеллекта и квантовых вычислений.
Место: онлайн-трансляция в телеграм-канале @makrushind
Время: 18:00, 14 октября.
Запрыгивай на лекцию и присоединяйся к обсуждению!
🔥7👍1