Интересный кейс. Сначала EDR удаляет ПО для осуществления звонков ☎️, которое играет критическую роль в бизнес-процессах без каких-либо объяснений. При этом позвонить 📞 вендору EDR теперь тоже сложно - звонить не с чего, ПО для звонков удалено 😊 ПО начинают проверять разными антивирусами и они ничего не обнаруживают 🤷. Тот же самый EDR, но на VirusTotal, тоже ничего не обнаруживает. И только спустя какое-то время факт наличия в обновлении ПО вредоносного компонента подтверждается.
Отсюда несколько вопросов:
1⃣ Вы же понимаете, что версии средств защиты от вредоносного ПО для обычной продажи и на VirusTotal "немного" разные и если одна обнаруживает что-то, это еще не значит, что другая тоже должна обнаруживать это же? Вы же даже не знаете, как настроено ПО на VT.
2⃣ Вы же понимаете, что VirusTotal, даже несмотря на несколько десятков средств защиты от вредоносного кода под капотом, не панацея и этот сервис может обнаруживать далеко не все?
3⃣ Вы же знакомы с тем, как функционирует ваш EDR и что он будет делать, когда он обнаружит вредоносную активность в критичном для вашего бизнеса ПО? Он удаляет это ПО? Помещает в карантин? Просто уведомляет о проблеме?
#soctech
Ну и чтобы два раза не вставать Снова про Tidal Cyber, которая вместе с институтом Cyentia выпустили аналитической отчет о средней температуре по больнице том, как должна выглядеть настоящая аналитика по ИБ 😊 Шутка. На самом деле в отчете проводится анализ использования техник MITRE ATT&CK в "дикой природе" согласно 22 различным публичным источникам (этакий мета-анализ чужих анализов). За основу была взята версия матрицы 12.1 (текущая - 14), что при достаточно активной и динамичной жизни хакерского сообщества не позволяет говорить о высокой актуальности сделанных выводов. Версия 12.1 была выпущена в октябре 2022 года и срок окончания ее актуальности наступил 24 апреля 2023-го года. Почему так долго проводился анализ не очень понятно 😴
🤓 Важное замечание. Источники все американские (только один из Европы - ENISA). Кроме того, популярность техники определялась по числу источников, которые ее упоминали, что заставляет нас зависеть от качества обнаружения техник каждым из источников, а этой информации в отчете вообще нет (кто что лучше детектит, то и становится популярным). Еще одним ограничением является то, что техники с первых шагов матрицы (разведка и разработка "кибероружия") очень сложно отслеживать и поэтому они, согласно отчету, кажутся редкоиспользуемыми, что совсем не так.
#soctech
Два года назад MITRE была выпущена бета-версия онтологии ИБ D3FEND, которая позволяет смаппить защитные техники в техники нападения. И вот на днях, после двух лет тестирования и доработок, увидела свет финальная версия 1.0.
Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.
#soctech
Читайте новость, запустив в фоне «До свидания, наш ласковый мишка!» или сцену из мультфильма про Карлсона «Он улетел, но обещал вернуться» 😢
Читать полностью…Готовлюсь к SOCtech, к мероприятию, от которого меня не отлучили и не заблокировали участие в нем, как некоторые. Буду на неделе постить всякое про обнаружение и реагирование с тегом #soctech
Прошлая неделя была достаточно богатой на публикацию различных отчетов о APT-группировках с указанием используемых ими техник и тактик:
1️⃣ Recorded Future выпустила небольшой обзор эволюции тактик и техник китайских группировок; без глубоких деталей - высокоуровневый анализ.
2️⃣ CrowdStrike выложила обзор иранской группировки Imperial Kitten, атакующей организации на Ближнем Востоке
3️⃣ Mandiant опубликовала обзор группировки Sandworm, которая атаковала АСУ ТП в Украине, что привело к потере электроснабжения
4️⃣ Лаборатория Касперского отличилась больше остальных, разродившись почти 400-страничным отчетом по азиатским группировкам и используемым ими техникам и тактикам. Среди описанных инцидентов есть и то, что имеет отношение к России и Беларуси.
5️⃣ Positive Technologies выпустило 2 отчета - "Актуальные киберугрозы: III квартал 2023 года" и "Киберугрозы финансовой отрасли: промежуточные итоги 2023 года" со свежим обзором техник и тактик, используемых хакерами
ОАЭ и Турция сообщили, что готовы запретить реэкспорт технологий двойного назначения в Россию 🚫 Еще ранее Казахстан и Грузия, а сейчас и Армения блокируют поставки многих товаров в нашу страну. Это не полностью лишает нас айфонов и мерседесов, но сильно осложняет их доставку до отечественного потребителя 🍑 А США и Евросоюз, действия которых мы сейчас и наблюдаем, вычисляют все незаконные каналы контрабанды продукции и блокируют их, повышая сложность поиска новых способов поставки и ее сроки.
И напомнило мне это кибербезопасность, но в зеркальном отражении. Если заменить Россию на корпоративную сеть, товары на киберугрозы, а каналы экспорта на вектора атак, то мы получим классическую задачу ИБ - снижение числа векторов проникновения усложняет и удлиняет путь атаки, увеличивая время на ее обнаружение и реагирование. И целиком все вектора вряд ли перекроют, но жизнь хакерам это усложнит сильно 👨💻
1984 год. В Литовскую ССР собираются импортировать компьютер Siemens 7536. И тут местный КГБ получает от агента под кодовым именем «Вильнюс» сообщение: оказывается, в Siemens (то есть в ФРГ) давным-давно знали, где именно планируется установить и использовать машину. И не где бы то ни было, а в святая святых — НИИ экономики и планирования республиканского Госплана. Причём иностранцы компьютер не только собирали, но и планируют обслуживать! Страшно представить, какие сюрпризы могут там оставить вражеские разведки, чтобы перехватить секретные данные об экономическом потенциале Литвы.
Что делать в этой ситуации? Не отказываться же совсем от современной техники — ввозить крайне необходимые компьютеры с Запада из-за санкций вообще-то не так просто. Но нельзя и просто полагаться на авось и добропорядочность западногерманской фирмы, что в компьютере не будет закладок.
Найдено элегантное решение: ставим машину в НИИ, но на ней можно обрабатывать только открытую информацию. Контролируем, чтобы это правило не нарушалось и никто не вздумал вводить секретные сведения. И, конечно же, следим за иностранцами, которые будет посещать Госплан (наверняка кто-то попробует снять информацию). И безопасно, и удобно!
История (в оригинале чуть менее драматичная, чем в моём пересказе) сегодня вновь становится актуальной. Особенно для тех, кто вопреки курсу на импортозамещение продолжает ждать поставок иностранного оборудования обходными путями через третьи страны. А вдруг в компаниях-производителях уже знают, для кого и для каких целей эти заказы? Ну, главное не обрабатывать на нём секретную информацию и поставить офицера для контроля!
Группировка Blackcat 🐈⬛ пишет о том, что компания по ИБ АСУ ТП Dragos 🐉 пополнила список их жертв и если выкуп не будет выплачен, то будут выложены в паблик данные о руководстве компании.
Странный кейс. Утечка через третьих лиц. То есть не факт, что Dragos вообще взломали. Может как в последнем кейсе с Okta - данные утекли через взломанного подрядчика и сам вендор вообще не при делах. В любом случае это уже не первый инцидент с Dragos. Недавно их уже ломали 👨💻
А с другой стороны, как поют в чатике по ИБ АСУ ТП (на мотив группы «Дюна»):
Наш Dragos взломан,
А кто не взломан?
Да тот кто сервер
И не видел никогда
(С) Alex Ivanov
ЗЫ. Этот кейс показывает, что можно быть сколь угодно защищенным, но взломать могут ваших контрагентов и поставщиков, а пострадаете вы. И отвечать надо быть готовым именно вам, а не тому, кого взломали.
Итальянский политик Маурицио Гаспарри на ТВ 📺 Всегда удивляли такие эфиры 😫 Неужели никто не видит этого косяка - ни телевизионщики (хотя им это может быть по приколу), ни помощники политика, ни его PR-служба?.. 🤷
Читать полностью…500 долларов за доступ к серваку на электростанции в Японии 🏮. Да, фиг поймешь, что за сервер, но… Когда говорят, что надо увеличивать стоимость атаки, при текущих ценах это выглядит смешно. Где-то это еще может сработать, но гораздо эффективнее будет просто удлинять путь атаки 🏃, увеличивая тем самым время на обнаружение и реагирование
ЗЫ. Главное, не путать стоимость атаки и стоимость уязвимости, которая продается для реализации атаки.
Пора вернуться к этой ссылке и раскрыть карты. Это фото из студии, где я участвовал в одном из эфиров запущенной 🟥 школы преподавателей кибербезопасности.
Ее основная цель — восполнить существующий разрыв между академическим сообществом и индустрией кибербезопасности через погружение действующих преподавателей вузов, работающих на кафедрах информационной безопасности и смежных технических специальностей, в тематику современных угроз и актуальных методов противодействия кибератакам.
Обучение в новом проекте Positive Education бесплатное.
Программа школы включает в себя два параллельных трека: для преподавателей вузов, а также для экспертов в сфере кибербезопасности, которые хотят преподавать и готовы делиться своими знаниями.
Если вы преподаватель или эксперт в сфере кибербезопасности и тоже хотите пройти обучение, то заполните заявку до 10 ноября на сайте проекта.
🏛️ "Госуслуги" будут постепенно избавляться от хранения персональных данных пользователей, заявил глава Минцифры Максут Шадаев.
🔸"Для улучшения качества обслуживания на "Госуслугах" мы всегда старались собрать максимальное количество данных для того, чтобы обеспечить удобное заполнение форм и т.д. Сейчас мы провозгласили другой подход, то есть в "Госуслугах" мы будем максимально избавляться от хранения данных, мы переходим на ведомственную, так называемую онлайн-витрину... Данные ведомств будут доступны через нашу систему электронного взаимодействия", – уточнил Шадаев.
🔸По его словам, теперь при входе в личный кабинет на портале "Госуслуг" персональные данные пользователей будут загружаться непосредственно из баз ведомств.
Ну что, американцы начинают разгонять тему вмешательства России (а заодно Ирана и Китая) в американские президентские выборы. Microsoft Digital Threat Analysis Center выпустил соответствующий отчет ✍️
Читать полностью…В международный день защиты информации, 30-го ноября, в Москве, в Кибердоме, пройдет конференция "Технологии SOC". Достойная программа, интересные спикеры, уютное место. У меня там будет два доклада:
🔤 Мониторинг атак 🔓 на подрядчиков: что брать под контроль на примере реальных кейсов 🛡
🔤 От чего зависит выбор технологий для SOC? 🛡 Составляем чеклист 🤕 на основе опыта участия в паре десятков проектов проектирования и аудитов SOC 🪙
Приходите 🤗
С учетом сделанных оговорок основные наблюдения:
1️⃣ Треть техник ATT&CK вообще не встречается в источниках
2️⃣ Лучше всего детектируются тактики "Первоначальный доступ" и "Обход защитных мер"
3️⃣ Использование действующих учетных записей и атаки на публично доступные приложения - самые популярные техники в рамках "первоначального доступа", что намекает нам на необходимость внедрения многофакторной аутентификации, WAF и непрерывного сканирования публичных приложений с целью устранения трендовых уязвимостей.
4️⃣ Однако, если смотреть выводы по основным мерам защиты, то MFA и ограничение web-контента находится в самом низу списка, что вызывает у меня вопросы (не бьется оно как-то с самыми популярными техниками первоначального доступа). Я понимаю, когда антивирус не вошел даже в десятку, но MFA?..
5️⃣ У каждого источника, используемого в отчете, свой Топ10 техник, что как бы намекает на то, что делать общие выводы по ним странновато.
6️⃣ Наиболее релевантные защитные меры против большинства выявленных техник - предотвращение исполнения, конфигурация ОС и контроль поведения на ПК. Иными словами - используйте EDR и наступит вам позитив.
7️⃣ Авторы пишут, что им не хватало данных по сегментам - отраслевым, размерам организаций, типам атакуемых активов (АСУ ТП или мобильные устройства) и т.п.
8️⃣ В конце не обошлось без рекламы Enterprise-версии Tidal Cyber. Когда я смотрел их Community Edition, описанную в предыдущей заметке, у меня тоже сложилось впечатление, что они таким образом продвигали свою "полную" и персонализированную версию. После прочтения их с Cyentia отчета я только укрепился в этом мнении.
#soctech
У матрицы MITRE ATT&CK все хорошо, кроме одного - вы каждый раз вынуждены ждать, когда MITRE два раза в год, в апреле и в октябре, сама добавит туда какие-то новые техники, вредоносное ПО, группировки и т.п. Иногда такие обновления приходят слишком поздно, иногда не приходят вовсе, так как далеко не все принимается командой MITRE к рассмотрению.
Для решения этой задача есть проект от MITRE Engenuity под названием Workbench, который позволяет самостоятельно расширять базу знаний MITRE ATT&CK. А есть и другой проект - от компании Tidal Cyber. В него вы также можете добавлять свои собственные знания (правда, в отличие от Workbench, который можно развернуть у себя, Tidal - это облачная и доступная всем история).
Уже сейчас этот проект содержит больше кампаний, группировок и вредоносного ПО, чем родная ATT&CK. Кроме того, Tidal Cyber расширили классическую матрицу новыми возможностями слоями. Например, можно сделать выборку по странам и секторам, на которые нацелены хакеры/техники/ВПО/кампании. А еще Tidal Cyber ведет репозиторий средств защиты разных вендоров (российских среди них нет), которые мапятся на MITRE ATT&CK. Ну и, конечно, можно добавлять свои техники, как в Workbench.
За счет своего формата, проект Tidal Cyber легко расширяем и позволяет строить на его основе различную аналитику, а также наполнять матрицу ATT&CK новыми смыслами. В бесплатной, community edition, версии, вы можете только расширить работу с самой матрией ATT&CK, добавляя туда новое ВПО, группировки, кампании, не дожидаясь, когда это сделает MITRE, а также маппить это на продукты. В коммерческой, Enterprise, версии, появляются новые возможности, основанные на персонализации, - создание индустриальных профилей атак и группировок, которые актуальны именно для вас, получение ежедневных рекомендаций по защите против новых техник, тактик и процедур, анализ возможностей ваших средств защиты применительно к составленному для вас профилю угроз, оценка текущего уровня защищенности и т.п.
#soctech
Начну неделю с кадровых новостей. Свою должность в Минцифры покидает Владимир Бенгин — глава департамента обеспечения кибербезопасности.
За время его работы с лета 2021 года в Минцифры и в госсекторе в целом заметно изменился подход к кибербезопасности — защите данных, интернет- и телефонному мошенничеству, безопасности КИИ и т.д. Во многом это именно его заслуга, и интересно, сохранит ли Минцифры свои позиции в ИБ после его ухода.
Пару недель назад на Github появился репозиторий для аналитиков SOC, который позволит им быстро погрузиться в тему Kubernetes. Сейчас он состоит из двух частей: модели угроз и наблюдениям для SOC (готовится и третья часть - чеклист по тем действиям, которые облегчат мониторинг и наблюдение за кластерами Kubernetes).
Раздел по модели угроз проработан и описан наиболее полно (каждый компонент на картинке выше описан достаточно неплохо). А вот раздел непосредственно по тому, что позволяет мониторить Kubernetes в SOC сейчас почти пустой. Ну разве что список логов перечислен и все. Ни списка событий, ни списка индикаторов компрометации, которые надо мониторить. Даже базовых вещей типа неудачных попыток аутентификации, необычные коммуникации между контейнерами, подами и контроллером нет. Тем более нет чего-то более специфического типа неожиданных изменений конфигураций подов, загрузка новых образов, всплески загрузки процессора, эскалация привилегий в кластере, необычный трафик на API-сервер, изменения в файловой системе и т.п. Может быть в будущем эта часть будет расписана более полно?..
#soctech
Глава кибербеза финансовой корпорации Morgan Stanley, Рэчел Уилсон, заявила, что командам ИБ надо фокусироваться на четырех R - Russia (России), ransomware (шифровальщикам), resiliency (устойчивости) и regulators (регуляторах). Приятно такое внимание к своей стране. Жаль, что оценивают нас не по достижениям в литературе, музыке, математике, физике или программированию...
Читать полностью…👍Все премьеры с конференции Positive Security Day, которая прошла в киноцентре «Октябрь», теперь доступны онлайн на нашем YouTube-канале!
Включайте плейлист и смотрите по порядку , чтобы узнать:
• какие тренды актуальны в мире ИБ,
• как сделать кибербезопасность результативной,
• как вам в этом помогут продукты Positive Technologies.
🎬 Ищите все видео по ссылке (без регистрации и SMS).
#PositiveЭксперты
#PositiveSecurityDay
Эта история повторилась спустя 25 лет, когда Siemens поставляла свое ПО для промышленной автоматизации на завод в Натанзе, участвующий в ядерной программе Ирана. Да-да, речь о пресловутом Stuxnet. Основной версией заражения завода 🏭 вредоносом с последующим выводом из строя около 1000 центрифуг является занесение его на инфицированной флешке. Однако я читал и о другой версии (правда, она не так популярна, так как бросает тень на Siemens), согласно которой, вредонос 🪱 изначально был внедрен в поставленное оборудование и ПО, так как Siemens знала, куда конкретно идет ее продукция.
Проработав 18 лет в Cisco могу подтвердить, что вендор всегда знает, кому поставляется его оборудование. О том же, кстати, говорил в своих разоблачениях и Сноуден, когда рассказывал об имплантах, которые АНБ внедряло в оборудование, поставляемое 📦 конкретным заказчикам. Эта информация не секретна и нет смысла внедрять что-то на конвейере, пичкая закладками абсолютно каждое изделие и повышая многократно вероятность обнаружения недокументированных возможностей. Гораздо эффективнее делать это точечно.
Об этом говорили в 1984-м году, как пишет Олег. Об этом писали ✍️ американцы, рассказывая о взрыве на трубопроводе в Сибири (якобы американцы знали, куда пойдет украденное советской разведкой ПО). Об этом говорилось в связи с инцидентом на заводе в Натанзе. Об этом же говорил и Сноуден. Так что стоит включить это в свою модель угроз. По крайней мере я, в своем курсе по моделированию угроз, про этот момент всегда рассказываю.
На Positive Tech Day я рассказывал о том, что у CISO обычно есть две морковки 🥕 - сзади и спереди. В первом случае CISO, да и вообще специалист по ИБ, делает что-то не потому что он хочет этого сам, а потому что его заставляют это делать, стимулируя наказаниями за невыполнение 👊
Во втором случае морковка не заставляет двигаться вперед, а мотивирует это делать, потому что мы хотим этого сами, мы стремимся к этому, хотим чего-то достичь (бабок, карьеры, известности и т.п.) 🏅 Это то, чему нас учит классика менеджмента.
Но есть и третья история, когда вы делаете что-то не из-за морковки, а потому, что вы хотите, чтобы о вас вспоминали хорошо, чтобы вы оставили след в душе тех, с кем вы работаете. И след этот позитивный. О CISO можно вспоминать 💬 как о чуваке, который только и делал, что вставлял палки в колеса и мешал людям делать их дело. А можно как о чуваке, который вообще ничего не делал, только просил деньги и раз в год ходил на Инфофорум. А можно сделать так, чтобы о CISO вспоминали хорошо, говоря о результате его деятельности если не с любовью, то с уважением и пиететом 😘
В последнем случае CISO и его команде не надо прикрывать жопу перед кем-то. Они не будут говорить "это не моя задача". Они понимают, что все в одной лодке - ИБ, ИТ, бизнес. И если что, то страдают все. И это то, чему нельзя научиться на курсах MBA и EMBA. Это воспитание и ничего другого. Можно болеть за дело, а можно идти по головам. "Каждый выбирает для себя", как поется в песне, слова которой приписываются то Булату Окуджаве, то Юрию Левитанскому 🤔
Один из вопросов, который регулярно всплывает в разных частных беседах и публичных дискуссиях - а сколько у нас "безопасников" и как вообще оценить это число? Сначала ты берешь число выпускников ИБ-специальностей и делишь их на 10 (у меня на курсе в институте было именно такое соотношение тех, кто пошел по специальности работать), а потом видишь статистику Минцифры или Минобра по данному вопросу 📈
Сначала ты смотришь на число участников какой-нибудь конфы по ИБ и видишь, что там в зале набирается 600-800 человек, максимум тысяча-полторы (без нагона студентов). А потом ты приходишь на PHD и там их на порядок больше. Сначала ты ориентируешься на какой-нибудь канал в Telegram, а потом смотришь на свои 20 тысяч подписчиков и задаешься сакраментальным вопросом: "Кто все эти люди?" 👻
Сначала ты смотришь на число просмотров какого-нибудь ИБ-эфира или подкаста (а там без накрутки обычно хорошо если несколько сотен просмотров / прослушиваний), а потом смотришь на ролики Секлаба, которые набирают десятки тысяч просмотров на YouTube или сотни тысяч в TikTok. А тут один из роликов достиг миллиона (!) просмотров. ОДИН МИЛЛИОН, глядь, просмотров! 😱 Вот как?! А самое главное, кто все эти люди, кто интересует ИБ и околоИБшными темами?
Вот и как в таких условиях оценивать "целевую аудиторию", если ты даже в порядке можешь ошибиться на 1-2-3 нуля. Непостижимая история. Если на ней зацикливаться 🤯 Но это же говорит и о ее перспективности и интересе к ней со стороны людей 👍
Американцы справедливо считают, что специалисты по чрезвычайным ситуациям 🌪 не являются экспертами в ИБ и в случае реализации событий с катастрофическими последствиями и имеющие компьютерную природу они не смогут адекватно справиться с инцидентом, еще больше увеличивая негативные последствия ⏳
Поэтому американское МЧС (FEMA) вместе с американской же ФСТЭК (CISA) разработали руководство, которое должно помочь специалистам по ЧС адекватно реагировать, особенно на отраслевые и масштабные киберинциденты 😂 Нельзя сказать, что это прям детальный playbook, но описание ролей, оценки последствий инцидентов, приоритизации и планирования мероприятий по реагированию, взаимодействия с владельцами систем, внутренние и публичные коммуникации... все это в документе есть; как и множество ссылок на различные руководства и тренинги по теме.
То, что по ту сторону баррикад активно изучают 👩🎓 средства защиты с целью их обхода - не секрет. И вот очередное доказательство - выложенный в Интернет Harmony EDR от Check Point с соответствующими рекомендациями.
И этот факт заставляет нас вспоминать, что ядром современного центра противодействия угрозам является не SIEM, не EDR, не NDR/NTA, а вся тройка вместе. У вас накрылись логи, вы видите активность на узле. У вас обходят EDR, вы видите распространение атаки и С2-коммуникации с помощью NTA. У вас зашифрован трафик - вы снова возвращаетесь к логам и активности на узлах.
Моя прелесть (с) Опись коллекции московского музея криптографии из 1200+ экспонатов. Прекрасная книга с отличными фотографиями и подробными историями многих коллекционных предметов на тему криптографической защиты информации, приватности и кибербеза 📕 Не знаю, остались ли еще экземпляры в книжном магазине при Музее криптографии, но возможно вам повезет, если вы поторопитесь 🏃
Читать полностью…А как дышал, как дышал... (с) Когда-то Госуслуги создавались, чтобы решить проблему неразберихи и несогласованности баз данных у разных ведомств и иметь единое хранилище информации о гражданине. Теперь мы возвращаемся на круги своя и портал госуслуг станет просто витриной, которая будет подтягивать неполные, несогласованные, необновляемые данные из баз данных разных ведомств...
Теряется централизация, исчезает единый ответственный. Теперь, если когда произойдет утечка, крайнего будет не найти и все ведомства будут кивать друг на друга. Цифровой профиль... Это была интересная идея и, несмотря на все заявления ФСБ в небезопасности такой схемы, Минцифры - единственное ведомство, кто мог бы ее реализовать. А теперь, видимо, все. Жаль...
Recorded Future выпустила аналитический отчет о развитии киберопераций Китая 🇨🇳, спонсируемых государством, и их развитии за последние годы. Американцы считают, что Китай стал более зрелым 👲 и скрытным, координирует свои действия в киберпространстве, активно использует как известные, так и неизвестные уязвимости 🐉, в том числе и в средствах защиты и сетевом оборудовании. Стремление оставаться незаметными затрудняет обнаружение китайских хакерских группировок 🐲
Читать полностью…Большинство планов по реагированию, не протестированных хотя бы на киберучениях, выглядит так, как на картинке 😊
Читать полностью…