🗣 Автоматизация в ИБ: а как на практике?

Когда: 24 апреля 2024 в 11:00 (МСК)

Рост числа и сложности угроз при постоянном дефиците ИБ-специалистов подталкивает компании к большей автоматизации процессов ИБ. Но на практике автоматизации поддаётся не всё, и далеко не всегда внедрения успешны. Какие процессы и сценарии ИБ российские компании смогли успешно автоматизировать?

Об этом поговорим на онлайн-конференции AM Live!

▶️ какие процессы легко автоматизируются, а где до настоящей автоматизации еще очень далеко;
▶️ выполнение каких регуляторных требований по ИБ можно автоматизировать;
▶️ как подготовиться к внедрению автоматизации, чтобы не автоматизировать хаос;
▶️ как измерить эффективность автоматизации ИБ;
▶️ примеры успешной автоматизации из российской практики.

👤 От «Лаборатории Касперского» выступит Игорь Таланкин, старший инженер по информационной безопасности.

Встречаемся во среду утром: 24 апреля 2024 в 11:00 (МСК).
Нужна предварительная регистрация.

Узнать о конференции и зарегистрироваться ⟶

#события @П2Т

🤔 ИБ-инциденты: уроки реагирования в 2023 г

Эксперты «Лаборатории Касперского» опубликовали отчёт об атаках, расследованных во всех частях света в 2023 году. Расследования проводились при оказании таких услуг, как реагирование на инциденты, цифровая криминалистика и анализ ВПО.
Общую статистику по географии инцидентов, самых атакуемых отраслях и любимых инструментах нападающих можно посмотреть в коротком видео ⬆️.

Самой тревожной тенденцией стал резкий рост числа атак, проводимых через поставщиков и подрядчиков (T1199). Этот вектор интересен злоумышленникам, поскольку компрометация одного поставщика часто приводит к дальнейшему заражению многих его клиентов. При этом на обнаружение атаки у конечных её жертв уходит больше времени, действия атакующих выглядят очень похоже на действия сотрудников подрядной организации. Половина таких инцидентов была обнаружена только после того, как стала очевидна утечка данных.

Рекомендации по защите от основных техник, используемых при проникновении в сеть и закреплении, разбор типичных сценариев развития атаки, списки самых популярных у атакующих уязвимостей и LOLBAS доступны в полной версии отчёта.

#статистика @П2Т

🔛 Новая версия Kaspersky Thin Client!
 
На международной Kaspersky Cyber Immunity Conference представили версию 2.0 нашей операционной системы для тонких клиентов на базе KasperskyOS.
Новые возможности автоматической настройки позволяют интегрировать тонкие клиенты в инфраструктуру компании всего за 2 минуты.
 
Появились расширенные возможности подключения:
🔘 к Citrix Workspace, VMware Horizon (по HTML5);
🔘 к отдельным бизнес-приложениям на инфраструктуре Microsoft Remote Desktop Services, Windows Server и терминальных серверах, работающих на базе Windows 10/11.

Улучшена скорость доставки приложений и обновлён интерфейс — теперь есть возможность индивидуальной настройки для каждого пользователя и расширена система уведомлений.

Узнать больше про обновления: Kaspersky Thin Client | KasperskyOS
 
📺 Подробнее об этом – из первых уст, от Андрея Суворова, директора по развитию бизнеса KasperskyOS! 🈁

#видео @П2Т

🚀 Как мы обнаруживаем кибератаки в нашем решении MDR?

Ответ на этот вопрос — в подробном отчёте «Аналитика по обнаружению и реагированию на инциденты», обобщающем более 430 тыс. событий безопасности в инфраструктуре наших клиентов, обработанных SOC Лаборатории Касперского.

👻 Ежедневно происходило не менее 2 критичных инцидентов, из которых 25% относились к целевым атакам.

Какие TTP атакующие использовали чаще всего, какая комбинация правил и методик обнаружения позволяет останавливать 74% инцидентов после одного единственного события безопасности, а главное — что делать организации, использующей решения MDR, для повышения своего уровня безопасности и security posture — читайте в полной версии отчёта.

🔜 Ну а ещё немного интересной статистики за 2023 год — в нашем видео!

P.S. Для тех, кто очень торопится и не может пока почитать отчёт, очень краткая выжимка рекомендаций: постоянно адаптировать детектирующую логику под особенности инфраструктуры, минимизировать возможности атакующих использовать LOLbins, регулярно инвентаризировать и по необходимости отзывать привелегированный доступ к ИТ-ресурсам, применять многоуровеновую защиту, проводить киберучения, внедрять threat hunting.


#статистика #советы @П2Т

➡️Интересные исследования APT и новости ИБ за неделю

📌  Итоги года по версии нашего сервиса MDR: классификация алёртов по критичности, индустрии, географии и конечно TTP атакующих.

📌 А вот разбор инцидентов, которые потребовали расширенного реагирования с привлечением экспертов Kaspersky. Резко возросло число атак через взломанных подрядчиков 😳.

⏳ Новая кампания DuneQuixote нацелена на шпионаж за ближневосточными организациями. Для этого используется имплант в памяти под названием CR4T и хорошо фильтрующие клиентов серверы С2.

⚡️Снова геополитика перемешалась с ИБ: китайские исследователи спорят с атрибуцией по группе Volt Typhoon и утверждают, что это на самом деле криминальная группировка Dark Power.

🐶 Анализ ransomware кампании Cerber, заражающей организации через уязвимости в сервере Confluence.

🤑 И англо-голландский анализ Akira, которых называют новой личиной банды Conti.

⭕️ Разбор опенсорсного кроссплатформенного троянца PupyRAT, его дорабатывают и применяют как преступники мелкого калибра, так и серьёзные APT.

⚙️ Обновлённый разбор билдера Lockbit 3.0 и тактик злоумышленников по его кастомизации под конкретную жертву.

👾 Новый банкер Soumnibot для Android, примечателен многочисленными техниками ухода от сканирования с помощью неверного манифеста.

🖱 Вечером в пятницу (традиционно для плохих новостей) MITRE отчиталась, что её взломали через дыру в правильно, Ivanti Connect Secure.  Расследование продолжается, но уже можно почитать подробный отчёт с разбором найденных этапов атаки (разложенном по ATT&CK) и рекомендации по харденингу инфраструктуры.

Кстати, Ivanti снов закрыла 27 (!) багов в Avalanche.

#дайджест #APT @П2Т

🗣 Как XDR отвечает на современные вызовы ИБ?

В ответ на растущую сложность киберугроз множатся и усложняются сами средства защиты. Разрозненные ИБ-инструменты делают работу безопасников сложнее, расследования инцидентов занимают всё больше времени, а нанять нужных специалистов трудно. Как XDR поможет преодолеть эти вызовы?  Об этом расскажем на вебинаре, посвящённом новой версии Kaspersky Symphony XDR 2.0:

▶️ изменения в Kaspersky Symphony XDR: обновлённые состав, архитектура и сценарии использования; 
▶️ новые возможности и особенности; 
▶️ преимущества Single Management Platform в составе решения.

Встречаемся в эту среду: 24 апреля 2024 в 11:00 (МСК).
Нужна предварительная регистрация.

Зарезервировать место на вебинаре  ⟶ 

#события @П2Т 

🌐Обновили SD-WAN — всё ближе к SASE!

Решение Kaspersky SD-WAN обновилось до версии 2.2. Оно значительно расширяет возможности команд ИБ и ИТ:

⏺ позволяет централизованно отправлять телеметрию NetFlow c CPE и упрощает детектирование аномалий в сетевом трафике SIEM-системой и Kaspersky CyberTrace;
⏺ улучшена интеграция с Kaspersky Unified Monitoring and Analysis Platform, Kaspersky Industrial CyberSecurity for Networks, а также Kaspersky Anti Targeted Attack;
⏺ появилась возможность управлять правилами файрволла и NAT на всех маршрутизаторах SD-WAN из единой консоли с использованием шаблонов;
⏺ реализованы настройка Direct Internet Access (DIA) и поддержка протокола PPPoE.

Выход новой версии — ещё один шаг в развитии транспортной базы для SASE (Secure Access Service Edge).

❕ Полный список улучшений и обновлённый обзор решения — уже у нас на сайте!

#новости @П2Т

👀 Особенность Github и Gitlab упрощает фишниг и хостинг ВПО

Злоумышленники активно эксплуатируют особенность Github и Gitlab, которую некоторые называют багом. В любом публичном проекте можно завести отчёт о проблеме (issue) и приложить к нему вспомогательные файлы, описывающие проблему. Если приложить файлы с ВПО, но не завершить публикацию проблемы, то файл будет лежать на CDN Github по ссылке вида
github[.]com/owner/repo/files/id/filename
но владельцы репозитория не будут его видеть и не смогут удалить. О проблеме известно с марта, но она не решается, несмотря на то, что среди репозиториев, эксплуатируемых таким образом, находятся проекты самой Microsoft.

В GitLab — аналогичная проблема, вредоносные файлы можно подгрузить в черновик комментария к проекту, не публикуя комментарий. Файлы оказываются доступны по адресу

gitlab[.]com/owner/repo/uploads/filehash/filename

Очевидно, что злоумышленники получают тут не только хостинг на популярном и доверенном сайте, но и фишинговую ссылку очень убедительного вида, включающую именитые компании и проекты. Владельцы репозиториев ничего не могут с этим сделать, они даже не видят этот контент, и он доступен только по прямой ссылке на вредоносные файлы.

Пока Gitlab и Github не изменят политику по работе с вложениями в проблемы/комментарии, защищаться можно только повышением осведомлённости сотрудников, использованием allowlists для запуска приложений или селективной блокировкой загрузки файлов с github/gitlab.

#новости @П2Т

👀 Опубликовали вторую часть анализа бэкдора в XZ Utils.

Исследователи GReAT сосредоточились на социоинженерном аспекте этой атаки, подробно проанализировав личность и динамику участников операции по вытеснению мейнтейнера XZ Utils и троянизации пакета.

Помимо большой длительности атаки, интересен фокус атакующих на компрометации в процессе сборки — до этого такая техника была замечена в резонансном инциденте SolarWinds.

Самое печальное — вряд ли инцидент с XZ Utils единичен. Следы аналогичных атак на мейнтейнеров популярных проектов исследуются прямо сейчас и вероятно приведут к новым громким разоблачениям в скором будущем.

Все подробности — на securelist!

#APT #новости @П2Т

🤯 AI Patch Thursday

Благодаря багбаунти-программе huntr, технологический стек для запуска и эксплуатации ML-моделей обзавёлся чем-то вроде «вторника патчей». Сводный бюллетень уязвимостей, закрытых в апреле, включает 48 дефектов в популярных инструментах MLops, включая PyTorch, BentoML, ZenML, MLflow, Gradio, FastAPI, и др. 16 уязвимостей имеют рейтинг критических, для некоторых доступен PoC.

Большинство критических уязвимостей приводят к выполнению произвольного кода или возможности прочитать/записать файлы на сервере. При этом их природа печально знакома исследователям веб-приложений: недостаточная защита от CSRF и SSRF, небезопасная десериализация объектов, SQL-инъекции. Только одна атака специфична именно для ML — это промпт-инъекция в llama_index.

Чемпионом в печальном зачёте по дырявости стало приложение anything-llm. В нём было обнаружено 9 уязвимостей, включая 3 критических. Их эксплуатация позволяет удалять данные других пользователей приложения, в том числе удалить все данные всех пользователей, повышать привилегии пользователя на атакованной машине, а также инициировать отказ в обслуживании.

Все проанализированные приложения относятся к open source. К сожалению, бурное развитие индустрии AI и конкуренция за скорейший выход новых моделей и сервисов практически исключают возможность внимательно отнестись к безопасности всего стека MLops. И пока топовые компании думают, как бы защититься от злого гения AGI, вся индустрия исправно плодит типовые ошибки класса MoveIT Transfer meets Ivanti Connnect Secure. 😞

#новости @П2Т

🆔 Пятьдесят оттенков угона DNS

Злоумышленники активно отслеживают ошибки в DNS-инфраструктуре уважаемых компаний:
🔵 истекающие вспомогательные домены;
🔵 устаревшие CNAME-записи;
🔵 доверенные домены в SPF-записях.

Оперативно выкупая освободившиеся домены и пользуясь ошибками конфигурации DNS, они по сути получают частичный доступ к легитимному основному домену атакованной компании. Это позволяет размещать вредоносные кампании на поддоменах легитимных организаций, рассылать спам с доменов с хорошей репутацией и вести другие теневые операции.
Подробный разбор каждой механики и советы по защите ИТ-инфраструктуры читайте в нашем посте на блоге.

#советы @П2Т

➡️Интересные исследования APT и новости ИБ за неделю

🦊 Обзор инструментов сбора и эксфильтрации данных APT ToddyCat, преимущественно атакующей организации в Юго-Восточной Азии для кражи конфиденциальной и оборонной информации.

🔓 Okta выпустила предупреждение о кратном росте числа атак credential stuffing с применением домашних прокси. Преимущественно стучатся в VPN и прочие сервисы удалённого доступа. Рекомендуют блокировать на WAF любые IP с низкой репутацией, применять аппаратные способы MFA. Напомним, мы недавно давали советы по этой же проблеме.

🐀 Новые атаки старых знакомцев ScarCruft/APT-C-28, шпионская кампания основана на ВПО RokRat.

💻 Microsoft переходит ко второй фазе отзыва небезопасных сертификатов Secure Boot, который необходим после появления UEFI-буткита BlackLotus.

👮 Несколько разборов штаммов ransomware, которые активно работают без резонанса в СМИ:
KageNoHitobito и DoNex, Cactus.
А вот новички Quilong, наоборот, хотят публичности и начали с публикации фото клиентов клиники пластической хирургии.

🍏 Обзор MacOS-импланта F_Warehouse, применяемого APT Lighthouse.

В мире open source опять всё спокойно нашли троянизированные пакеты, снова в npm, 25 штук.

🤖 Анализ новых версий популярных инфостилеров и загрузчиков:
Redline stealer, Fletchen Stealer, IDAT.

📬 Новые рекорды фишинга: трафик на фейковые домены почты США догнал и возможно перегнал трафик на оригинальный сайт 🤦‍♂️

Microsoft опубликовала исходники инструмента ICSpector, предназначенного для анализа конфигурации ПЛК.

🥱 Google в очередной раз отложил дату отключения сторонних куки, на сей раз на начало 2025 года.

#новости @П2Т

💎 Не пропустите! Самые полезные материалы апреля

Если не успевали в течение месяца, может хотя на майских заглянете 😉

🔖Сага с троянизацией XZ Utlis, включая влияние на русские сборки Linux (1, 2, 3)

🔖Новая CISO mindmap 2024

🔖Разбор опасных схем мошенничества с письмом/сообщением от босса.

🔖Видеодемонстрация Kaspersky Symphony XDR.

🔖Основные тренды ИБ по версии Gartner и куда вообще тратить деньги.

🔖Безопасно выглядящие ссылки на топ-репо в GitHub и как на них публикуют ВПО

🔖Как защититься от атак с применением домашних прокси.

🔖Способы эксплуатации доменов организации через ошибки в DNS.

#дайджест @П2Т

🤔 Квантовые компьютеры ещё не появились, но уже создают проблемы совместимости

В некоторых организациях обновление до Chrome 124 и Edge 124 привело к масштабным сбоям. При попытке установления соединения через обновлённый браузер, оно обрывается на этапе рукопожатия TLS (ClientHello). Всё дело в квантовых компьютерах. 😈

В число поддерживаемых алгоритмов согласования ключей для TLS и QUIC у Chromium начиная с версии 115 входит квантово устойчивый алгоритм Kyber768. Теперь он включён по умолчанию. Размер сообщения ClientHello из-за этой доработки оказывается слишком большим, и его не могут корректно обработать многие веб-приложения, прокси и межсетевые экраны.
Временное решение проблемы - отключить Kyber768 через настройки.
Но поскольку поддержка постквантовых алгоритмов уже включена во все мыслимые стандарты, долгосрочным решением является обновления несовместимых веб-серверов и ИБ-инструментов. Больше деталей о проблеме и ее решении собрано на специальном сайте tldr.fail.

#советы @П2Т

🤔 Разобрали имеющуюся информацию по взлому Dropbox Sign. Ключевой момент — сервис в значительной мере отделён от файлового сервиса Dropbox, поэтому если вы не пользовались именно функциями электронной подписи документов, скорее всего вы не затронуты этой утечкой.

Интересно посмотреть, как этот сюжет будет развиваться далее. Ведь утечка API-ключей и токенов Oauth в принципе позволяла злоумышленникам подписывать чужие документы юридически значимой подписью. Говорят, доступа к документам не обнаружили, но расследование продолжается, поэтому сюрпризы возможны. Надо отметить, что пароли всем пользователям сбросили автоматически, а вот для Oauth и API только «координируют ротацию секретов». То есть неправомерный доступ возможно продолжается и сегодня.

#новости @П2Т

👀 Сколько паролей ваших сотрудников гуляет по даркнету?

Легитимные учётные записи являются одним из основных векторов начального проникновения в организацию. Поэтому разработка и распространение инфостилеров, крадущих пароли, продолжает быть оживлённым теневым бизнесом.

🔥 В свежем отчёте Kaspersky Digital Footprint Intelligence разобраны основные тенденции рынка скомпрометированных учётных данных, очень рекомендуем ознакомиться. Число утечек из корпоративных сред растёт, а реагирование на них часто бывает неполным.

👽 При обнаружении скомпрометированного пароля недостаточно его просто сменить. Необходимо провести расследование и проверить подозрительные события на атакованном устройстве, чтобы исключить распространение ВПО или дальнейшую утечку информации, а также настойчиво потребовать у сотрудника проверить личные устройства на признаки компрометации.

#статистика @П2Т

✈️ Интересные новости ИБ и исследования APT за неделю

🤨 Технический анализ сложного модульного импланта Cuttlefish, который заражает SOHO-роутеры и на лету вылавливает в трафике пароли и другие секреты. ВПО способно подменять DNS- и HTTP-запросы, перехватывать трафик при обращении к серверам в интрасети, но особо интересуется доступами к популярным облачным сервисам.

🤔 Ежегодный отчёт по взломам и утечкам, Verizon DBIR, отмечает двукратный рост числа инцидентов и трёхкратный рост случаев, когда для проникновения использовалась эксплуатация уязвимостей. Львиная доля роста обеспечена атаками вымогателей. Интересно сравнить данные с нашим недавним отчётом по расследованию инцидентов — некоторые тренды очень схожи.

🐱 Детальный обзор деятельности кластера APT42, состоящего из таких подгрупп, как Charming Kitten, TA 453 и др. В своей шпионской деятельности APT умело комбинирует ВПО и социальную инженерию. Среди продвинутых социальных трюков — приглашение жертв на различные мероприятия и интервью. После установления доверительных отношений, жертве присылают убедительную фишинговую ссылку для выманивания пароля с обходом MFA. В дальнейшем интересные данные извлекаются из облачных сред Microsoft 365 или Citrix Apps. В разделе про ВПО описаны два свежих изделия группировки, TAMECAT и NICECURL.

✈️ Другие умелые фишеры, Kimsuky/APT43, освоили новые техники целевого фишинга, основанные на обходе слабых политик DMARC в атакованной организации.

🍄 Разбор деятельности MaaS DarkGate, которые отличились в этом году обходом предупреждений SmartScreen.

😞 Кибер-агентства «пяти глаз» выпустили предупреждение о защите «малых форм АСУ ТП» вроде городских водонапорных станций. Их, якобы, пытаются взламывать пророссийские хактивисты. Оставляя политическую часть за скобками, отметим, что панели HMI, торчащие в интернет и доступные через давно устаревшие версии VNC — это очень плохо и требует устранения, вне зависимости от того, в какой стране происходит. Рекомендации по харденингу вполне толковые и выполнимые.

🔜 Запутанный DNS-детектив про пассивную разведку мировой интернет-инфраструктуры при помощи Великого Самизнаетечьего Файрвола. Цели атакующих до конца не ясны, ясно только, что терпения и технологической грамотности им не занимать.

🔥 Эту новость мы не могли обойти — новые требования к ИБ автомобилей в Европе вынуждают производителей прекратить продажу на этом рынке ряда моделей, включая, например, Porsche Macan.

🤡 Новый релиз на Github: встречайте MS-DOS 4.0. 😂

#дайджест @П2Т

🗂 IR-рекомендации от Microsoft

Команда Incident Response из Microsoft собрала удобный набор шпаргалок по использованию различных неочевидных служб и логов Windows при расследовании инцидентов. Редмонд называет этот документ «руководством по IR», но это пожалуй слишком громко. Это именно набор советов. Но очень полезных для всех, кто собирает артефакты с Windows-машин:

⏺ проверка существования файлов и их SHA1 через AmCache;
⏺ проверка существования (и удаления) файлов по LNK и Jumplist;
⏺ контроль создания и запуска бинарников при помощи Prefetch;
⏺ изучение взаимодействия пользователя с папками и файлами через ShellBags;
⏺ проверка существования файлов и их связи между собой через Shimcache;
⏺ проверка запуска файлов и сетевого трафика через SRUM и UserAssist;
⏺ контроль аномальных доступов и горизонтального перемещения при помощи UAL.

Забирайте и пользуйтесь!

#советы @П2Т