👌 Как построить Zero Trust?

Модные риск-ориентированные подходы в ИБ всем хороши, кроме необходимости ранжировать риски. 😎 Избежать субъективности и других сложностей, связанных с этим упражнением, поможет внедрение альтернативного подхода — Zero Trust. Но сказать это значительно проще, чем сделать. Кроме серьёзного пересмотра процессов, потребуется оценить полноту и полезность используемых СЗИ. Один из путей – сокращение количества поставщиков и разрозненных решений. За счет этого компания может разом закрыть целый ряд требований Zero Trust.
О том, какие пункты Zero Trust можно выполнить за счет внедрения XDR, в чем конкретно заключаются преимущества минимизации зоопарка вендоров и как добиться максимального повышения киберзащиты, кратко, но ёмко рассказала Евгения Лагутина в своей статье для BIS Journal.

🔜 Читать статью

#советы #zerotrust #XDR @П2Т

🤖 Почему GPT принципиально уязвимы

Брюс Шнаер, автор книг по прикладной криптографии, соавтор Blowfish и нескольких других криптоалгоритмов, сочно и с примерами объясняет, почему невозможно защитить генеративный ИИ от атак класса prompt injection.

Это важно знать, принимая решение, приспособить ли к своим ИИ-нуждам LLM, либо же ограничиться узкоспециализированным ML-решением. Особенно если на вход модели поступает что-то плохо контролируемое, вроде содержимого веб-страниц.

#Азбука_ИБ #ИИ #советы @П2Т

💎 Не пропустите! Самые интересные материалы мая

🔖Полезные советы по Incindent Response от Microsoft в их IR Guidebook

🔖Какие TTP злоумышленников чаще всего встречаются в реальных инцидентах

🔖Ландшафт угроз в РФ и СНГ - обширный отчёт

🔖Что такое Copilot+ Recall и почему от этой фичи MS подгорает у ИБ-экспертов

🔖Общие тенденции рынка инфостилеров и перепродажи учётных данных

🔖Видеоинтервью про XDR и решаемые ей проблемы ИБ

🔖Какие проблемы приносят постквантовые алгоритмы в Google Chrome

🔖Ransomware report 2023

Приятного чтения и просмотра!
#дайджест @П2Т

⏩ Интересные исследования APT и новости ИБ за неделю

Разбор атак через компрометацию подрядчика — пошаговое описание действий атакующих в расследованных нами инцидентах.

Анализ APT LilacSquid, атакующей организации во многих индустриях и частях света с 2021 года с целью промышленного шпионажа. Начальное проникновение проводят через уязвимые приложения, доступные по Интернету, развивают атаку фирменным модом QuasarRAT и open source инструментами.

Новый RAT на службе APT Andariel, южнокорейские компании они атакуют при помощи ВПО Dora в дополнение к ранее известным инструментам.

Приятные новости из полиции: в рамках международной операции Endgame была накрыта инфраструктура шести крупнейших дропперов: Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC, Trickbot. Кроме изъятия серверов, полиция арестовала 4 подозреваемых, поместила 8 в списки международного розыска и провела обыски в 16 локациях. Дропперы конечно, со временем вернутся, но атаки на "кормовую базу" первоначального доступа могут стать хорошей дополнительной тактикой в борьбе с вымогателями.

Два общих материала по инфостилерам: обзор применяемых в них принципов разработки и особенности самых популярных семейств инфостилеров.

На неделе Docker Hub заблокировал доступ с российских IP. С модерацией на нём было плохо, но на альтернативных площадках с образами, вероятно будет ещё хуже. Риск ВПО в цепочке поставок отечественного софта возрастёт.

Кстати, о ВПО в цепочке поставок: вредоносные пакеты для Python теперь распространяют в ссылках, которые содержатся в ответах на вопросы на Stackoverflow. Вредоносный пакет устанавливает на Windows-системы разработчиков стилер аккаунтов и крипты.

И ещё кстати: новая версия XZ Utils выпущена оригинальным мейнтейнером — из неё вычищены дополнительные фрагменты сомнительного кода.

Учитывая активное распространение ВПО для Linux, мы выпустили KVRT для этой платформы. Как и ранее на Windows, бесплатно можно просканировать систему и удалить всю найденную дрянь.

Cloudflare завела дэшборд, показывающий долю трафика в Интернете, защищённого квантово устойчивыми протоколами шифрования. Удивительно, но с начала года его доля поднялась до 15-20% в зависимости от дня недели. В конце прошлого года это были всего 2%.

OpenAI отчиталась о блокировке аккаунтов, которые применяли GPT для манипулирования общественными мнением. Удивление вызывает то, что в отчёте не упомянуты никакие активности вроде изготовления фишинговых писем и сайтов. Если их волнует только политическая агитация, это печально.

Печальный сказ о том, как ботнет Pumpkin Eclipse окирпичил 600 тысяч роутеров одного интернет-провайдера. Устройства пришлось физически заменять.

В Google Play прикрыли распространение банковского трояна Anatsa, который маскировался под 90 приложений-утилит, суммарно получивших 5,5 млн. установок.

#новости #дайджест @П2Т

🎁 Комплексная защита облачных сред

Облачные инфраструктуры сегодня применяются во всех секторах бизнеса и всех регионах страны, включая строго регулируемые отрасли. Комплексная защита облаков - от частных до публичных, является сложной и специфической задачей, кроме того всё больше компаний используют контейнерные среды для разработки приложений. Подобное многообразие технологий и сред требует комплексного и при этом специализированного подхода. Именно его предлагает «Лаборатория Касперского» в рамках нового решения Kaspersky Cloud Workload Security.

Что под капотом? Об этом поговорим на онлайн-мероприятии «Лаборатории Касперского» 6 июня!

Обсудим:
▶️ что нужно для безопасной миграции в облако;
▶️ как устроена Kaspersky Cloud Workload Security;
▶️ новые функции продуктов в составе решения: Kaspersky Container Security и Kaspersky Security для виртуальных и облачных сред;
▶️ демонстрация возможностей решения.

Регистрируйтесь прямо сейчас, чтобы не пропустить онлайн-трансляцию и демо!

Ждём вас в четверг, 6 июня, в 11:00 (МСК). Приходите!

Забронировать себе место ⟶

#события @П2Т

👌 Microsoft отключит NTLM

Продолжая систематическую работу по харденингу Windows (и одновременно внедряя туда спорные с точки зрения ИБ фичи 🤪), MS анонсировала поэтапный отказ от NTLM всех версий. Страница с объявлениями об устаревших функциях пополнилась информацией о том, что последними версиями, где NTLM будет активен, станут следующий релиз Windows и Windows Server.

Разработчикам рекомендовано заменить вызовы NTLM на вызовы Negotiate, которые по возможности проведут аутентификацию при помощи Kerberos, но при необходимости обратятся к NTLM в режиме совместимости. В большинстве приложений это требует отредактировать одну строчку — вызов AcquireCredentialsHandle.

Microsoft советует системным администраторам и ИБ-командам заблаговременно провести аудит инфраструктуры, чтобы понять масштаб и способы применения NTLM в инфраструктуре и своевременно перевести её на более современные методы аутентификации. Учитывая распространённость различных атак вроде pass the hash и NTLM relay, это решение очень давно назрело.

#новости #Microsoft #советы @П2Т

Жертвы Lockbit могут обратиться в ФБР за ключами расшифровки

На ИБ-конференции в Бостоне один из боссов ФБР отметил, что агентство получило 7000 ключей дешифровки после облавы на Lockbit, и они стараются связаться с известными жертвами, чтобы расшифровать их файлы. Жертвам рекомендовано обратиться за ключам расшифровки через сайт ic3.gov.

Учитывая, что облава была в феврале, и прошло более трёх месяцев даже с самых свежих на тот момент инцидентов, интересно, насколько эта инициатива будет практически полезна. Надеемся, ещё спустя пару-тройку месяцев поделятся и этой статистикой. 🧐

#новости @П2Т

✈️ Интересные новости ИБ и исследования APT за неделю

🖥 Подробная статистика по эволюции киберугроз в I квартале этого года: ПК, мобильные угрозы, примечательные инциденты, угрозы АСУ ТП.

🔌 Новая разновидность кибер-вымогателей — очищают и угоняют аккаунты Github.

CVE-2024-4577 в PHP для Windows является критической RCE, которую уже пытаются эксплуатировать. Patch now. Для тех, кто не может обновиться до исправленных версий 8.1.х-8.3.х, в адвайзори предлагается компенсирующее правило в mod_rewrite.

👮‍♀ Новые кибератаки на российские организации от группы ExCobalt, вероятно пересекающейся с Shedding Zmiy и Sneaking leprechaun. Целью атак является шпионаж, жертвами — госорганы и компании в промышленности, телекоме, ИТ.

🪟 Microsoft передумала активировать spyware ИИ-поиск Recall в автоматическом режиме. Эту неоднозначную функцию нужно будет включать самостоятельно. Также обещали дополнительно шифровать базы, но как это выглядит на практике, пока неизвестно.

👻 Исследование о том, как устроен китайский рынок поиска уязвимостей и баг баунти — полный документ о 80 страницах здесь, а более краткая выжимка от самого автора здесь.

Новая неделя — новые вредоносные пакеты в npm и PyPi.

Реже двух вышеупомянутых в новости попадает VSCode Marketplace, а на нём тоже неспокойно — исследователи нашли более 1000 расширений с известным вредоносным кодом и ещё 10 тысяч подозрительных расширений.

🎃 Свежая версия ESXi-шифровальщика от Mallox/TargetCompany делает две копии краденных данных. Даже у рансомварщиков есть бэкапы! 🤪

💾 Иногда албанские хакеры возвращаются: новая кампания основана на том, что пользователя просят вручную скопировать и вставить код в окно Powershell.

Разбор деятельности быстрорастущей группировки RansomHub, ранее видимо действовавшей под именем Knight.

Анализ нескольких APT кластера Crimson Palace. Правда, с нынешним состоянием азиатских APT, их атрибуция значительно затруднена — различать все эти APT41/TA428/REF5961 стало гораздо сложнее.

🔋 Криптомайнинговый ботнет CommandoCat атакует небезопасно сконфигурированные инфраструктуры Docker.

#дайджест #APT @П2Т

🗿 Уроки блокировки Docker Hub

Недавняя кратковременная блокировка Docker Hub для российских IP — это повод не для поиска прокси или сервисов-зеркал, а серьёзного анализа своих процессов получения и использования программного кода, будь то исходники, образы контейнеров или что-то ещё. В будущем нас наверняка ждут не только внезапная недоступность интернет-сервисов, но и новые атаки с «отравлением» репозиториев, переезд проектов на непроверенные хостинги и другие явления, потенциально компрометирующие цепочку поставок ПО.

Советы о комплексной защите от подобных угроз, особенно актуальные для любых компаний со внутренней разработкой ПО, собраны в нашем посте на блоге.

🔐 Читать и защищаться!

#советы #devsecops #devops @П2Т

✅ Гибридный SOC: почему, зачем и как

Строить SOC одними внутренними ресурсами слишком сложно и дорого, а внешний SOC не всегда можно допустить во все уголки инфраструктуры. Можно не выбирать среди этих крайностей, а построить гибридный SOC. Он оптимально сочетает инвестиции в операционную ИБ и результативность. Подробнее о всех нюансах и подводных камнях гибридного SOC рассказал Сергей Солдатов в интервью для AM Live:

🎬 Смотреть интервью

#видео #советы #SOC @П2Т

❇️ С 1 января госорганам, стратегическим и системообразующим организациям РФ запрещено не только использовать СЗИ из недружественных стран, но и получать от поставщиков из этих стран ИБ-сервисы. Это свежее дополнение к ранее подписанному Указу №250 вряд ли радикально изменит отечественный ИБ-ландшафт, где услуги и так оказывают в основном местные игроки, но может затруднить техподдержку и обновления ранее внедрённых ИТ-решений. Интересно, считается ли ИБ-сервисом получение обновлений безопасности для операционной системы или офисного пакета 🧐

Всю информацию по теме регулирования в ИБ, напомним, мы собираем на специальном Регуляторном Хабе.

#новости @П2Т

🗣 Присоединяйтесь к нам на VK Cloud Conf 24!

Облачные инфраструктуры непрерывно растут и эволюционируют, поэтому требования к их надёжности, безопасности, масштабируемости и экономичности тоже растут.
О том, как строить инновационные продукты на основе данных, какие перспективные подходы внедряют отечественные компании на основе лучших мировых практик, и как обеспечить отказоустойчивость и стабильную работу этих систем, поговорят представители крупнейших российских организаций на VK Cloud Conf 24.

Мы, конечно, приглашаем всех присоединиться к дискуссии «Облачная кибербезопасность: подходы, практики и инструменты» в 14:15, на которой об этой острой теме поговорят лидеры отечественного ИБ-рынка, включая нашего CTO Антона Иванова.

Конференция пройдёт в четверг, 20 июня, онлайн и офлайн.

⏩ Полная программа конференции и регистрация

#события @П2Т

👌 Интересные новости ИБ и исследования APT за неделю

✈️APT маскируется под геймеров: новое ВПО Disgomoji атакует Linux-серверы и преследует цели шпионажа, но получает команды через Discord, а сами команды выглядят как эмодзи. Обнаруженные атаки нацелены на госучреждения в Азии.

👾 Раньше боевые зиродеи считались прерогативой APT на госслужбе, но в последнее время всё чаще их применяют вымогатели: по новым сведениям, закрытая в марте CVE-2024-26169 в Windows Error Reporting, приводящая к повышению привилегий, применялась бандой Blackbasta как минимум за три месяца до разглашения. На момент публикации бюллетеня в марте эта дыра не считалась эксплуатируемой вживую.

Тем временем, для закрытой в апреле CVE-2024-26229 появился рабочий PoC — это тоже повышение привилегий, но через Windows CSC.

👀 Печально известная группа Scattered Spider/Octo tempest/UNC3944 расширила свою сферу деятельности и компрометирует приложения атакованной организации, используемые по модели SaaS. Это позволяет избежать внимания СЗИ, применяемых в периметре организации и извлекать значительные объёмы данных напрямую из атакованного облака в своё.

Тревожная статистика MFA в корпорациях: всего 9% крупных российских компаний администрируют свои домены, защищая панель управления 2FA, причём две трети из них используют простейшие одноразовые SMS. Надеемся, ваши админы не такие 😇

☝️ Уязвимости биометрических терминалов СКУД создают новые векторы атак на организацию. Открыть дверь иногда можно QR-кодом с простейшей SQL-инъекцией, а сам терминал заразить ВПО.

🔑 Разбор бэкдора Badspace/warmcookie, распространяемого через высокорейтинговые веб-сайты (в основном на Wordpress) и применяющего многочисленные трюки против песочниц и анализа.

А у бэкдора STR RAT исследователи отметили сезонность — он существует с 2020 года, но примерно раз в год получает функциональные обновления, после которых его начинают более активно применять злоумышленники.

✈️Разбор функциональных возможностей подпольных OTP-ботов, помогающих фишерам обходить 2FA.

#новости #APT @П2Т

🔔 Три уязвимости VMWare: планируйте патчи

Новый бюллетень VMWare VMSA-2024-0012 описывает две критических уязвимости с переполнением буфера в vCenter Server (CVE-2024-37079 и -37080, CVSS 9.8), и один дефект с повышением привилегий до root в vCenter Server (CVE-2024-37081, CVSS 7.8). По данным производителя уязвимости не эксплуатируются вживую, поэтому можно обновляться планово, с учётом особенностей обновления, описанных в FAQ. Обновлять нужно и VMware Cloud Foundation, а вот хосты ESXi трогать не придётся.
Но с учётом предыдущего опыта реальной эксплуатации дефектов в vCenter, откладывать патчи надолго нельзя.

#новости @П2Т