Когда: 24 апреля 2024 в 11:00 (МСК)
Рост числа и сложности угроз при постоянном дефиците ИБ-специалистов подталкивает компании к большей автоматизации процессов ИБ. Но на практике автоматизации поддаётся не всё, и далеко не всегда внедрения успешны. Какие процессы и сценарии ИБ российские компании смогли успешно автоматизировать?
Об этом поговорим на онлайн-конференции AM Live!
Встречаемся во среду утром: 24 апреля 2024 в 11:00 (МСК).
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Эксперты «Лаборатории Касперского» опубликовали отчёт об атаках, расследованных во всех частях света в 2023 году. Расследования проводились при оказании таких услуг, как реагирование на инциденты, цифровая криминалистика и анализ ВПО.
Общую статистику по географии инцидентов, самых атакуемых отраслях и любимых инструментах нападающих можно посмотреть в коротком видео
Самой тревожной тенденцией стал резкий рост числа атак, проводимых через поставщиков и подрядчиков (T1199). Этот вектор интересен злоумышленникам, поскольку компрометация одного поставщика часто приводит к дальнейшему заражению многих его клиентов. При этом на обнаружение атаки у конечных её жертв уходит больше времени, действия атакующих выглядят очень похоже на действия сотрудников подрядной организации. Половина таких инцидентов была обнаружена только после того, как стала очевидна утечка данных.
Рекомендации по защите от основных техник, используемых при проникновении в сеть и закреплении, разбор типичных сценариев развития атаки, списки самых популярных у атакующих уязвимостей и LOLBAS доступны в полной версии отчёта.
#статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
На международной Kaspersky Cyber Immunity Conference представили версию 2.0 нашей операционной системы для тонких клиентов на базе KasperskyOS.
Новые возможности автоматической настройки позволяют интегрировать тонкие клиенты в инфраструктуру компании всего за 2 минуты.
Появились расширенные возможности подключения:
Улучшена скорость доставки приложений и обновлён интерфейс — теперь есть возможность индивидуальной настройки для каждого пользователя и расширена система уведомлений.
Узнать больше про обновления: Kaspersky Thin Client | KasperskyOS
#видео @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Media is too big
VIEW IN TELEGRAM
Ответ на этот вопрос — в подробном отчёте «Аналитика по обнаружению и реагированию на инциденты», обобщающем более 430 тыс. событий безопасности в инфраструктуре наших клиентов, обработанных SOC Лаборатории Касперского.
Какие TTP атакующие использовали чаще всего, какая комбинация правил и методик обнаружения позволяет останавливать 74% инцидентов после одного единственного события безопасности, а главное — что делать организации, использующей решения MDR, для повышения своего уровня безопасности и security posture — читайте в полной версии отчёта.
P.S. Для тех, кто очень торопится
#статистика #советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️Снова геополитика перемешалась с ИБ: китайские исследователи спорят с атрибуцией по группе Volt Typhoon и утверждают, что это на самом деле криминальная группировка Dark Power.
Кстати, Ivanti снов закрыла 27 (!) багов в Avalanche.
#дайджест #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
В ответ на растущую сложность киберугроз множатся и усложняются сами средства защиты. Разрозненные ИБ-инструменты делают работу безопасников сложнее, расследования инцидентов занимают всё больше времени, а нанять нужных специалистов трудно. Как XDR поможет преодолеть эти вызовы? Об этом расскажем на вебинаре, посвящённом новой версии Kaspersky Symphony XDR 2.0:
Встречаемся в эту среду: 24 апреля 2024 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на вебинаре ⟶
#события @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Решение Kaspersky SD-WAN обновилось до версии 2.2. Оно значительно расширяет возможности команд ИБ и ИТ:
Выход новой версии — ещё один шаг в развитии транспортной базы для SASE (Secure Access Service Edge).
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Злоумышленники активно эксплуатируют особенность Github и Gitlab, которую некоторые называют багом. В любом публичном проекте можно завести отчёт о проблеме (issue) и приложить к нему вспомогательные файлы, описывающие проблему. Если приложить файлы с ВПО, но не завершить публикацию проблемы, то файл будет лежать на CDN Github по ссылке вида
github[.]com/owner/repo/files/id/filename
но владельцы репозитория не будут его видеть и не смогут удалить. О проблеме известно с марта, но она не решается, несмотря на то, что среди репозиториев, эксплуатируемых таким образом, находятся проекты самой Microsoft.
В GitLab — аналогичная проблема, вредоносные файлы можно подгрузить в черновик комментария к проекту, не публикуя комментарий. Файлы оказываются доступны по адресу
gitlab[.]com/owner/repo/uploads/filehash/filename
Очевидно, что злоумышленники получают тут не только хостинг на популярном и доверенном сайте, но и фишинговую ссылку очень убедительного вида, включающую именитые компании и проекты. Владельцы репозиториев ничего не могут с этим сделать, они даже не видят этот контент, и он доступен только по прямой ссылке на вредоносные файлы.
Пока Gitlab и Github не изменят политику по работе с вложениями в проблемы/комментарии, защищаться можно только повышением осведомлённости сотрудников, использованием allowlists для запуска приложений или селективной блокировкой загрузки файлов с github/gitlab.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи GReAT сосредоточились на социоинженерном аспекте этой атаки, подробно проанализировав личность и динамику участников операции по вытеснению мейнтейнера XZ Utils и троянизации пакета.
Помимо большой длительности атаки, интересен фокус атакующих на компрометации в процессе сборки — до этого такая техника была замечена в резонансном инциденте SolarWinds.
Самое печальное — вряд ли инцидент с XZ Utils единичен. Следы аналогичных атак на мейнтейнеров популярных проектов исследуются прямо сейчас и вероятно приведут к новым громким разоблачениям в скором будущем.
Все подробности — на securelist!
#APT #новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Securelist
Social engineering aspect of the XZ incident
In this article we analyze social engineering aspects of the XZ backdoor incident. Namely pressuring the XZ maintainer to pass on the project to Jia Cheong Tan, and then urging major downstream maintainers to commit the backdoored code to their projects.
Благодаря багбаунти-программе huntr, технологический стек для запуска и эксплуатации ML-моделей обзавёлся чем-то вроде «вторника патчей». Сводный бюллетень уязвимостей, закрытых в апреле, включает 48 дефектов в популярных инструментах MLops, включая PyTorch, BentoML, ZenML, MLflow, Gradio, FastAPI, и др. 16 уязвимостей имеют рейтинг критических, для некоторых доступен PoC.
Большинство критических уязвимостей приводят к выполнению произвольного кода или возможности прочитать/записать файлы на сервере. При этом их природа печально знакома исследователям веб-приложений: недостаточная защита от CSRF и SSRF, небезопасная десериализация объектов, SQL-инъекции. Только одна атака специфична именно для ML — это промпт-инъекция в llama_index.
Чемпионом в печальном зачёте по дырявости стало приложение anything-llm. В нём было обнаружено 9 уязвимостей, включая 3 критических. Их эксплуатация позволяет удалять данные других пользователей приложения, в том числе удалить все данные всех пользователей, повышать привилегии пользователя на атакованной машине, а также инициировать отказ в обслуживании.
Все проанализированные приложения относятся к open source. К сожалению, бурное развитие индустрии AI и конкуренция за скорейший выход новых моделей и сервисов практически исключают возможность внимательно отнестись к безопасности всего стека MLops. И пока топовые компании думают, как бы защититься от злого гения AGI, вся индустрия исправно плодит типовые ошибки класса MoveIT Transfer meets Ivanti Connnect Secure.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний:
Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции.
Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
👮 Несколько разборов штаммов ransomware, которые активно работают без резонанса в СМИ:
KageNoHitobito и DoNex, Cactus.
А вот новички Quilong, наоборот, хотят публичности и начали с публикации фото клиентов клиники пластической хирургии.
В мире open source опять
Redline stealer, Fletchen Stealer, IDAT.
Microsoft опубликовала исходники инструмента ICSpector, предназначенного для анализа конфигурации ПЛК.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Если не успевали в течение месяца, может хотя на майских заглянете
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
В некоторых организациях обновление до Chrome 124 и Edge 124 привело к масштабным сбоям. При попытке установления соединения через обновлённый браузер, оно обрывается на этапе рукопожатия TLS (ClientHello). Всё дело в квантовых компьютерах.
В число поддерживаемых алгоритмов согласования ключей для TLS и QUIC у Chromium начиная с версии 115 входит квантово устойчивый алгоритм Kyber768. Теперь он включён по умолчанию. Размер сообщения ClientHello из-за этой доработки оказывается слишком большим, и его не могут корректно обработать многие веб-приложения, прокси и межсетевые экраны.
Временное решение проблемы - отключить Kyber768 через настройки.
Но поскольку поддержка постквантовых алгоритмов уже включена во все мыслимые стандарты, долгосрочным решением является обновления несовместимых веб-серверов и ИБ-инструментов. Больше деталей о проблеме и ее решении собрано на специальном сайте tldr.fail.
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Chrome Enterprise
Chrome Enterprise Policy List & Management | Documentation
Chrome Enterprise policies for businesses and organizations to manage Chrome Browser and ChromeOS.
Интересно посмотреть, как этот сюжет будет развиваться далее. Ведь утечка API-ключей и токенов Oauth в принципе позволяла злоумышленникам подписывать чужие документы юридически значимой подписью. Говорят, доступа к документам не обнаружили, но расследование продолжается, поэтому сюрпризы возможны. Надо отметить, что пароли всем пользователям сбросили автоматически, а вот для Oauth и API только «координируют ротацию секретов». То есть неправомерный доступ возможно продолжается и сегодня.
#новости @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
www.kaspersky.ru
Взломан сервис электронных подписей Dropbox Sign
Как произошел взлом Dropbox Sign, какие данные утекли в процессе этой атаки и что делать пользователям сервиса, чтобы защититься от последствий взлома.
Легитимные учётные записи являются одним из основных векторов начального проникновения в организацию. Поэтому разработка и распространение инфостилеров, крадущих пароли, продолжает быть оживлённым теневым бизнесом.
#статистика @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
#дайджест @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
IR-Guidebook-Final.pdf
451.6 KB
Команда Incident Response из Microsoft собрала удобный набор шпаргалок по использованию различных неочевидных служб и логов Windows при расследовании инцидентов. Редмонд называет этот документ «руководством по IR», но это пожалуй слишком громко. Это именно набор советов. Но очень полезных для всех, кто собирает артефакты с Windows-машин:
Забирайте и пользуйтесь!
#советы @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM