MITRE Engenuity Center for Threat-Informed Defense (Center) анонсировал новый проект SMAP (The Sensor Mappings to ATT&CK Project), который еще больше облегчает специалистам по обнаружению инцидентов ИБ маппинг различных типов событий, регистрируемых различными популярными инструментами, с техниками из MITRE ATT&CK. За счет такого маппинга можно выявлять отдельные события или цепочки событий ИБ.
В настоящий момент в SMAP маппятся следующие инструменты регистрации событий:
1️⃣ Auditd
2️⃣ CloudTrail
3️⃣ OSQuery
4️⃣ Sysmon
5️⃣ WinEvtx
6️⃣ ZEEK (бывшая Bro)
Авторы SMAP считают, что проект поможет ответить на три животрепещущих вопроса, которые волнуют специалистов по ИБ разного уровня:
1️⃣ Какие известные техники могут быть обнаружены моими инструментами (из списка выше)?
2️⃣ Если я добавлю инструмент Х, то как изменятся мои возможности по обнаружению?
3️⃣ Я волнуюсь по поводу выпущенного TI-отчета и хочу убедиться, что в моей сети не было описанных индикаторов.
Добавлю, что в моей прошлой жизни, во время аудитов SOCов и анализа их возможностей, мы делали тоже самое в ручную с помощью ATT&CK Navigator. SMAP ускоряет эту работу, но пока только для описанных типов сенсоров для Windows, Linux, облаков AWS и сетевого трафика.
Несмотря на все заявления русскоязычной группировки ALPHV, что ее сайт имел проблемы с "железом", оказалось, что это были совсем иные проблемы, а именно действия спецслужб. Правда, ALPHV уже переехали на новую площадку. Это к разговору об эффективности блокировки доменов и ведения черных списков, за которые РКН и его ГРЧЦ получили на днях премию Рунета...
Когда блокировки и черные списки работают? Я вижу несколько условий для этого:
🔤 Закрытый от внешнего мира сегмент Интернет
🔤 Контроль всех хостеров и регистраторов
🔤 Блокировка VPN
🔤 Контроль всех коммуникаций за пределы России
🔤 Блокировка P2P-технологий типа Тора и т.п.
Как мы видим из действия награжденного за развитие Рунета РКН'овского ГРЧЦ и направления регулирования, мы активно движемся по этому списку и, возможно, в 2024-м году они будут реализованы полностью.
ЗЫ. Группировка ALPHV через 15 минут после захвата домена заявляет, что это ее старый домен. Через 2 часа Минюст США выпускает заявление, что они все-таки захватили сервера ALPHV. Через 2.5 часа хакерская группировка опровергает захват домена и угрожает американцам возмездием. Продолжаем наблюдать...
Кучно пошло. Продажа Информзащиты, санкции против Бизона, Инфотекса и Информзащиты (интересно, как бы цена компании упала, если бы покупатели знали о санкциях?), интерес регулятора к FACCT/Group-IB… Вся прогрессивная ИБ-общественность интересуется сакраментальным вопросом - почему Каспера обходят все санкции?.. ❓
Читать полностью…Банки, конечно, подзасрали мозги 🧠 своим ограниченным набором секретных слов, большинство которых крутится вокруг «девичья фамилия матери», вопроса, который гуглится по соцсетям на раз-два. Мы так привыкли к этому варианту, что даже если у нас есть свобода выбора, используем все равно его.
Если уж и использовать секретные слова, то подходить надо креативно ☝️Особенно слова с негативной коннотацией хороши. Вы вряд ли пишите везде то, что вам не нравится или с чем у вас связаны негативные воспоминания. Например, имя девочки в школе, которая вам отказала в танце на выпускном 🤐
ЗЫ. Новая фамилия вашей бывшей жены (мужа) тоже легко гуглится, но в остальном, есть достойные примеры 😂
Если подходить к задаче про шифровальный диск ☝️формально, то у нее есть три правильных ответа, так как этот диск принадлежал Enigma I и точно не мог принадлежать остальным шифровальным машинам, которые использовали буквы вместо чисел на диске. Но для этого вы должны были либо иметь коллекционное издание Музея криптографии, либо быть фанатом его экспозиции. А вот ответ про "Фиалку" скорее рассчитан на вашу логику.
ЗЫ. Почему-то часто вопрос с частицей «не» многие читают так, как будто «не» нет 🤷
Если вернуться к начальному кейсу с моделью атрибуции, то она там базируется на том, что кто-то уже поставил метку семплу на VirusTotal или в AlienVault. Но с таким подходом есть два нюанса:
1️⃣ Мы предполагаем, что кто-то проставил изначальную метку корректно и не сделал при этом ошибки. Но сами же авторы пишут, что в ряде семплов метки иногда указывают на совсем разные группировки, что уже заставляет задуматься в точности первичной идентификации.
2️⃣ В условиях, когда основные TI-платформы находятся в руках США, по версии которых основные кибер-угрозы исходят из Китая, России, Северной Кореи и Ирана, то о какой непредвзятости можно говорить?
3️⃣ Наконец, для огромного числа семплов метки вообще никто не проставлял. Например, возьмем песочницу/TI-платформу Cisco Secure Malware Analytics; там метки у загруженных семплов - огромная редкость (посмотрите на колонку Tag на скриншоте).
Вот и получается, что при наличии огромных баз семплов (тот же vx-underground продает свою коллекцию вредоносов на почти 30 миллионов семплов) большая их часть никак не маркирована и поэтому строить ML-аналитику на такой основе непросто.
На европейском BlackHat был интересный доклад от австрияков про применение ИИ для атрибуции хакерских группировок и кампаний. Авторы предложили метод ADAPT (Attribution of Diverse APT Samples), который базируется на достаточно очевидной, хотя и не без греха, идее. Они взяли 6455 семплов с VirusTotal и у AllienVault, которые приписывались 172 группировкам, проанализировали метки, используемые для маркировки APT, вытащили с помощью различных статических анализаторов типа FLOSS, Yara, OLEtools, LIEF и т.п. признаки, преобразовали их и затем кластеризовали.
Точность атрибуции кампаний составила от 91% и выше, а группировок - от 84%. Пока модель тестировалась на известных APT и кампаниях, но авторы трудятся сейчас на ADAPT 2.0, которая будет базироваться на живых данных реального мира.
А на Авито компании с лицензиями ФСБ на гостайну тоже продаются 😎
Какое-то гнездо разврата странное место. Сертифицированные СКЗИ продаются. Грамоты с подписью директора ФСБ или начальника 8-го Центра продаются. Компании с гостайной продаются. Может там и гостайна заодно продается?
Куда смотрит милиция? (с)
Странная продажа бизнеса Информзащиты (лицензиата ФСБ и ФСТЭК на минуточку) неизвестной (по крайней мере мне) управляющей компании, которая занимается закрытыми паевыми фондами 😱 Может у нас свой Thoma Bravo объявился?
ЗЫ. Кстати наличие лицензии ФСБ на деятельность в области шифрования делает предприятие стратегическим для целей нацбезопасности 😕 и инвестиции в него (как и смена владельцев, продажи долей и т.п.) - процедура непростая и может требовать согласования 🧐
ЗЗЫ. Это не ФГУП НПП Гамма.
MITRE родила очередной "продукт" - модель угроз EMB3D для встроенных устройств критической инфраструктуры. Базируясь на существующих фреймворках CWE, ATT&CK и CVE, EMB3D фокусируется именно на встроенных устройствах, которые встречаются в различных сферах и отраслях - нефтезаг, медицина, БПЛА, автомобили, спутники и т.п. Пока эту модель угроз не выложили в паблик - обещают сделать это в начале 2024-го года.
Читать полностью…https://github.com/onhexgroup/Conferences
"Conference slides
Blackhat Asia 2023
Offensivecon 2023
Blackhat USA 2023
Recon 2023
Blackhat Europe 2023"
Этот мемасик я придумал в начале 2021-го года. В этом году он разошелся как-то особенно хорошо и мне уже два десятка человек прислало его с пометкой «для твоего канала» 🤠
ЗЫ. Еще немножко мемасиков от меня
олег умел писать плейбуки
но это тщательно скрывал
не потому что было стыдно
а чтоб плейбуки не писать
Небольшое видео о философии кибербеза и самом важном, что в ней есть! А также о паре бутылок пива 🍻
Читать полностью…Поздравляя сегодня по смс, соцсети, телефону, мессенджеру и другим средствам коммуникаций своих бывших|действующих коллег с праздником, который обычно празднуют 20-го декабря, 🫡 помните, что тем самым вы раскрываете их контакту врагу, который по одной только фразе "Поздравляю" 🫡 может понять принадлежность абонентов/пользователей к ВЧК|ГПУ|НКВД|НКГБ|ОГПУ|МГБ|КГБ|АФБ|МБВД|МБ|ФСК|ФСБ (хотя, думаю, представителей первых органов госбезопасности уже и не осталось) 🫡 Так что поздравляю за всех 🫡
Читать полностью…ФСТЭК может ограничить использование софта бывшей Group-IB
https://www.vedomosti.ru/technology/articles/2023/12/19/1011732-fstek-mozhet-ogranichit-ispolzovanie-softa-bivshei-group-ib
Программные комплексы от Group-IB (с июля 2022 г. – FACCT) могут попасть под запрет, в них усмотрели угрозу безопасности субъектов критической информационной инфраструктуры (КИИ). Об этом рассказали «Ведомостям» два источника в компаниях в сфере кибербезопасности. Представитель FACCT уточнил, что действие сертификата ФСТЭК, который необходим для использования на объектах КИИ, было приостановлено.
Согласно реестру ФСТЭК, в отношении юрлица «Группа Айби ТДС» (F.A.C.C.T.) с 22 апреля 2016 г. действует лицензия на деятельность по технической защите конфиденциальной информации.
Но по продуктам этой компании Bot-Trek TDS и Group-IB Threat Hunting Framework (используются для выявления ботнетов и реагирования на киберинциденты) действие сертификатов средств защиты информации приостановлено 24 мая 2023 года.
По предположению представителя FACCT, запрос ФСТЭК к субъектам КИИ может быть связан с «текущей проверкой Bot-Trek TDS и Group-IB Threat Hunting Framework в рамках возобновления действия лицензии», что является «стандартной процедурой регулятора». Он также не исключил, что сама проверка ФСТЭК может быть вызвана уходом Group-IB из России.
В 11-ю статью европейского 🇪🇺 закона Cyber Resilience Act (CRA) хотят внести требование раскрытия вендорами госорганам в течении 24-х часов после начала использования в атаках непатченных уязвимостей.
ИБ-эксперты выступают против, считая, что государство будет использовать эти сведения для слежки или проведения разведки против неугодных.
В 12-й пакет европейских санкций включено несколько ИБ-компаний:
1️⃣ Бизон
2️⃣ Информзащита
3️⃣ Инфотекс
Если почитать описание Премии Рунета, то это «общенациональная награда в области высоких технологий и интернета. Поощряет выдающиеся заслуги компаний-лидеров и отдельных деятелей, внесших значительный вклад в развитие российского сегмента сети Интернет (Рунета)» и, как по мне, так ключевыми там являются слова «выдающиеся заслуги» и «значительный вклад» 🏆
Так вот к номинации «Информационная безопасность» 🛡 в этом году у меня есть вопросы с этой точки зрения. Там половина номинантов с трудом тянет на выдающийся и значительный вклад, как по мне. Часть вообще обычные продавцы продуктов и сервисов ИБ 🤷 А ведь есть те, кто всерьез достоин был приза, но не подался или их не подали. А жаль 😭
ЗЫ. В других номинациях было еще хуже. Как можно было наградить за развитие Рунета ГРЧЦ, который только и делает, что блокирует всех и вся?.. 🤠
Ура, день не пройдет зря, так как сегодня празднуется день основания Гостехкомиссии СССР (ФСТЭК является ее правопреемницей) (1973)
Читать полностью…Судя по направлению исследований бойцов из последней заметки, они достаточно активно занимаются атрибуцией хакерских группировок и кампаний, - за последние 8 лет достаточно интересные темы выступления на разных ИБ-конференциях. Но судя по тому, что они до сих пор копают одну и ту же тему с разных сторон, явных прорывов у них все-таки нет.
Читать полностью…Джо Салливан, бывший CISO Uber, выступая на прошлой неделе на BlackHat Europe, опираясь на свой опыт, предложил каждому CISO подготовить свой персональный план реагирования на инциденты, связанный с тем, что ваша деятельность на благо компании может быть повернута против вас. Ключевые положения плана отражены на слайде!
Читать полностью…MongoDB взломали. Пока говорят только об утечке некоторых данных по клиентам. Про ее облачную базу данных Atlas пока свидетельств никаких нет - расследование идет. Россиянам ничего не грозит, так как с начала СВО MongoDB прекратила обслуживать соотечественников и удалила все их данные из Atlas 🖕 Про возможную компрометацию конвейера разработки вообще не упоминают 👨💻
Читать полностью…Сейчас какой-то вал мошенничеств, базирующихся на очень простой схеме:
1️⃣ Фейковый начальник сообщает вам, что с вами свяжется сотрудник ФСБ или МВД и ему надо оказать содействие.
2️⃣ Фейковый сотрудник ФСБ, присылая вам свое фото с удостоверением в качестве "доказательства", просит помочь в поимке преступников с поличным и просит перевести деньги (иногда разными траншами и даже в разные банки).
3️⃣ Жертва под давлением "руководителя" и "сотрудника ФСБ", как зомби, выполняет все, что ей говорят, даже не усомнившись в том, что ее разводят.
Такое происходит сейчас везде - в госкомпаниях, частном бизнесе, промышленности, ИБ-компаниях, госорганах... Просто везде. Стоит включить такой сценарий в повышение осведомленности для сотрудников. И лучше не затягивать этот момент!
В свое время бытовала прекрасная поговорка, что лучший подарок - это книга 🎁. По мере цифровизации сферы книгоиздательства эта поговорка стала немного терять свою актуальность, так как дарить печатное издание при наличии электронного стало достаточно странно. Из этого правила есть два исключения:
🔤 Это ваша книга и вы хотите таким образом выразить свое уважение одаряемому
🔤 Это подарочное или коллекционное издание, которое просто приятно держать в руках, листать, смотреть прекрасные иллюстрации, иметь на книжной полке.
В области кибербеза у нас практически нет книг, которые приятно дарить. У меня в личной библиотеке около пятисот изданий по кибербезу и нет почти ни одного подарочного. Есть несколько книг с автографами, есть несколько редких "манускриптов", изданных очень небольшим тиражом в 2-3 сотни экземпляров. Коллекционное издание только одно, которое я сам с радостью получил и которое мог бы подарить (например, на Новый год 🎄). Речь идет о "Музей криптографии. Коллекция", о котором я уже писал.
Так что если вы мучаетесь вопросом: "Что подарить коллеге, который/которая трудится на ниве кибербеза?", то это издание станет хорошим выбором. В книжном магазине Музея криптографии еще можно найти этот подарок. Я, кстати, тут его пересматривал в очередной раз и у меня ассоциативно родилось несколько мини-квизов, которые я запущу в ближайшее время. Размять мозги и узнать что-то новое, что может быть лучше в долгие зимние вечера?.. 🤓
Отечественные разработчики NGFW, часто берут “iptables” и навешивают на него кучу функционала, не задумываясь о производительности комплексного решения и насколько компоненты вообще cочетаются между собой.
Читать полностью…У англичан тоже есть рождественский челендж. Центр спецсвязи Великобритании подготовил очередную криптографическую загадку. Может и Музей криптографии в этом году запустит наш, российский новогодний челендж с загадками по криптографии для пытливых умов?
Читать полностью…Ничего не имею против безопасности (часто даже за 😂), но презентовать мессенджер как «более защищенный, чем иностранные аналоги», - это абсолютно не понимать, как и зачем 99% людей пользуется мессенджерами.
ЗЫ. Тоже самое относится и к куче других ИТ-решений для обывателя