Сунь-цзы писал:

...кто знает себя и знает противника, тот в ста победах не потерпит ни одного поражения; кто знает противника, но не знает себя, тот будет чередовать победу и поражение; кто не знает ни себя, ни противника, тот в любом сражении может получить сокрушительный удар

- это было актуально в V веке до н.э., актуально и сейчас.

Но почему-то мы часто слышим об отдельных запчастях - Threat Intelligence Platform (TIP), SIEM/SOAR/IRP, Vulnerability Management (VM), Attack Surface Management (ASM), но реже о Security Analytics Platform, автоматизирующей в себе управление данными об угроза - TIP (== знать противника), управление поверхностью атаки - ASM (== знать себя) и процессы операционной безопасности - SOAR.

Эксклюзивно для нас, читателей этого канала, поделюсь "санкционкой" - неплохой докой от Gartner про программу непрерывного управления поверхностью атаки (Continuous Threat Exposure Management). На нее можно опираться при построении собственного понимания о процессах ASM, но их автоматизацию следует рассматривать в рамках единой платформы Security Analytics, так как выход из ASM следует коррелировать как с данными о TI, так и с событиями телеметрии, летящей в SIEM/SOAR.

#vCISO

Вчера был День России, выходной, и я нашел время посмотреть интервью Такера Карлсона с Джефри Саксом (ссылка на TCN)
Про мировые конфликты, миссию ЦРУ и геополитику после окончания Холодной войны - для меня ничего нового, раньше все это уже знал из разных источников, однако, здесь все в одном интервью - удобно для интересующихся\сомневающихся.

Что конкретно меня задело:
1. Новые детали Карибского кризиса и история парня по фамилии Архипов, спасшего мир. Я добавил в список на почитать книжку "Gambling with Armageddon"
2. История происхождения COVID-19, как продукта биолабораторий. Ранее об этом уже проскакивала информация, однако, я ее интерпретировал как слухи, но здесь источник, по-моему, заслуживает доверия. В очередной раз посокрушался о том, что даже научные публикации имеют цель не донести информацию, а сформировать общественное мнение и поддержать требуемые нарративы. В общем, нам нужно многому учиться, чтобы море информации иметь возможность самостоятельно понимать где правда.

Отличный понятный американский английский, слушал на скорости 1.25-1.5, проблем с пониманием практически не было. К тому же в Интернете несложно найти траскрипт (первое, что мне выдал поисковик), можно почитать. В общем, рекомендую.

#история

Недавно появился довольно любопытный способ бокового перемещения, основанный на злоупотреблении механизмом, именуемым .NET Profilers.

Оригинальный ресерч можно почитать тут

Для неискушенных отмечу, что это специальная библиотека DLL, которая может использоваться в качестве отладчика, либо утилиты для диагностики процесса, работающего на платформе CLR. Сам механизм достаточно простой: библиотека подписывается на определенные события и CLR-платформа вызывает определенные функции в этой библиотеке при срабатывании этих самых событий (функции, которые дергаются, называются коллбеками).

Злоупотребление механизмом заключалось в том, что для загрузки этой DLL в процесс требуется установка определенных переменных среды :
- COR_ENABLE_PROFILING - в 1. То есть, включить механизм.
- COR_PROFILER - опциональный параметр, можно устанавливать левые данные. Передается в загружаемую DLL и содержит ClSID COM-класса. По задумке разработчиков, загружаемая DLL-библиотека может использовать это значение для проверки, нужную либу подгружает ли CLR. Так как эта библиотека может быть не той библиотекой без нужного функционала СОМ-сервера.
- COR_PROFILER_PATH - путь к подгружаемой DLL

Исследователями было обнаружено, что в качестве COR_PROFILER_PATH можно указывать путь в том числе и на WebDAV-шару, как следствие, в целевой процесс будет подгружена библиотека с удаленного сервера, что и позволит осуществить боковое перемещение.


Однако, в ходе тестов я обнаружил, что метод почему-то работает с одними .NETовскими процессами, а с другими нет. Казалось бы, почему?

Ответ прост — эти переменные среды характерны именно для .NET Framework. В случае, если атакуемый процесс сделан под .NET Core, то следует использовать иные переменные среды, а именно:
- CORECLR_ENABLE_PROFILING – устанавливаем в единичку
- CORECLR_PROFILER – ставим произвольное значение. GUID какой-нибудь левый засунуть можно.
- CORECLR_PROFILER_PATH – путь до Profiler DLL.

Подробнее можно почитать по ссылке на оригинальный ресерч и ресурсам ниже:
- https://docs.newrelic.com/docs/apm/agents/net-agent/other-installation/understanding-net-agent-environment-variables/
- https://learn.microsoft.com/en-us/dotnet/core/runtime-config/debugging-profiling
- https://learn.microsoft.com/en-us/dotnet/framework/unmanaged-api/profiling/setting-up-a-profiling-environment

Ребята из Luntry, профессионально занимающиеся безопасностью Кубера, рекомендовали ещё хороший материал по теме аудита. Информации много не бывает, тем более качественной, тем более от профессионалов

#mdr

Некоторое время назад мы обсуждали ограниченность и слабую практическую пригодность BAS, и говорили о том, что техники и их реализации надо брать не какие-то, а из реальной практики, хвалили подход, используемый в MITRE ATT&CK Evaluation и, в очередной раз, предлагали что-то подобное сделать в РФ.

Но вот, в канале коллеги обнаружил ссылку на замечательный репозиторий с реальными тестами. По-моему, отличный способ потестировать свой Detection Engineering

#mdr #vCISO

Вчерашний вечер провел под интервью Такера Карлсона с Павлом Дуровым. Интервью было очень интересным и многогранным, но в этой заметке я остановлюсь на том, что меня задело (психология так устроена, что в нас резонируют те идеи и мысли, которые совпадают с нашими) в плане ИТ, ИБ, инноваций и продуктового менеджмента, однако всем ИТшникам, безопасникам, разработчикам я настоятельно рекомендую с ним ознакомиться.

1. Действительно хорошие продукты нет необходимости маркетировать и продвигать. Ответ Павла на вопрос сколько тратится на маркетниг:

Zero dollars. We've never spent anything on acquiring users for marketing purposes. We never promoted Telegram on other social platforms in any way. This is very different from other apps. You could see them being promoted here or there. Telegram is different. All of our growth is purely organic, and We got to almost 900 million users without having to spend anything on ads to promote Telegram

... people love our product. What we realized pretty early on is that people are smart. People like to use good things, and they don't don't like to use inferior things

2. Надо очень аккуратно использовать open source библиотеки, с высокой вероятностью в них есть закладки

We got too much attention from the FBI, other security agencies, wherever we came to the US. To give you an example, last time I was in the US, I brought an engineer that is working for Telegram, and there was an attempt to secretly hire my engineer behind my back by cyber security officers or agents... They were curious to learn which open-source libraries are integrated to the Telegram's app on the client side, and they were trying to persuade him to use certain open-source tools that he would then integrate into the Telegram's code that, in my understanding, would serve as backdoors.

3. Google и Apple по части цензуры значительно обгоняют государственные институты

... the largest pressure towards Telegram is not coming from governments. It's coming from Apple and Google. When it comes to freedom of speech, those two platforms, they could basically sensor whatever you can read, access on your smartphone

4. Telegram - платформа, которая стремится сохранить независимость и непредвзятость, предоставляя равные возможности всем сторонам

... we think it's important to have this platform that is neutral to all voices because we believe that the competition of different ideas can result in progress and a better world for everyone... We believe that humanity does need a neutral platform like Telegram that would be respectful to people's privacy and freedoms.

5. Публичная компания, открытая для инвестиций теряет независимость, что очень важно для ИТ-компании, тем более ИБ

The reason I tried to stay away from venture capital money, at least the early stages of our development, is because we wanted to be independent..

6. Мы теряем свободу, чем больше зависим от собственности, примерно об этом я писал здесь

No land, no real estate, nothing. Because for me, my number one priority in life is my freedom

7. Если ты владеешь огромной социальной сетью, очень сложно сохранить независимость и непредвзятость. Слова Такера:

Because at some point, if you run something like this, you're a player in world politics. Whether you want to be or not, don't you think?

Ответ Павла:

We definitely don't want to be a player. We want to be a neutral platform that is impartial and doesn't take any side. But you're probably right. There's some role we have to play.

8. Про-правительственные закладки и доверие

It would sound funny, but I assume by default that the devices I use are compromised because you will still use an iPhone or an Android phone. Now, after experiencing what I experienced in the US, I have very limited faith in platforms developed in the US from a security standpoint

9. Изобретать и внедрять инновации - то, что характеризует лидера рынка.

We love the fact that Elon bought Twitter. We thought it was a great development for a number of reasons. First reason is just innovation. You could see X trying a lot of things. Some of them will turn out to be mistakes, some of them will work, but at least they're trying to innovate. That's something we didn't have outside of Telegram and a few other companies in this industry for the last 10 years. What you saw from the big players, they would rather copy the proven models the features that apps like Telegram launch and just scale them on a larger audience. These features will be pale reflections of what we built. But this was the the way those companies operate, still operate

#управление

PH Days Moscow A Meeting of the Adversary Minds

Как сказал кто-то остроумный:

наиболее смешные вещи делаются с серьезным лицом

Сегодня мы посмотрим как можно слепить "исследование киберугроз" из публично доступной программы конференции. Примером такого документа является вложение, доступное для свободного скачивания по этой ссылке (не доступно с IP-адресов РФ).

Фактически, в документе изложена следующая логика: некто на конференции слушали доклады PT и KL и поэтому получили знания, которые они смогут использовать во вред США, Израилю и НАТО. При этом авторы "исследования" не брезгают откровенным бредом, правда, прибавляя к описанию слово "Imagine":

Imagine a comprehensive training program where experienced Ravin Academy members teach recruits about advanced malware development

и "Suppose":

Suppose Ravin Academy obtains a sophisticated rootkit from Positive Technologies that is highly effective at evading detection. They could modify this rootkit to suit the needs of different Iranian cyber units

В целом, я считаю свое воображение вполне развитым, и давайте imagine и suppose, что я могу взмыть в небо, заслонить Солнце и перечисленные выше страны и организации окажутся в бесконечной тени.... Но можно ли меня в этом обвинять?

Ну что можно сказать:
1. каждый приписывает окружающим свои помыслы и действия: бессовестные и безнравственные обречены думать аналогично обо всех вокруг
2. поражает глубина "исследования" - собственного текста ребята написали только 8.5 стр (менее 10% ), остальное (в исследовании 101 стр) - список спикеров PHD и программа конференции. "Исследование" вполне себе характеризует потенциальное качество предложения компании treadstone71

#пятница

9 июля в 16 MSK, мой коллега Андрей Тамойкин из команды SOC Consulting на Brighttalk поделится нашим опытом построения процессов Detection Engineering-а в привязке к MITRE ATT&CK у наших заказчиков

Building and prioritizing detection engineering backlogs with MITRE ATT&CK

Какими бы патетическими помыслами мы не прикрывались, смена должности, промоушен, для многих важный элемент мотивации. С точки зрения работника промоушен может интерпретироваться как положительная оценка его усилий... хотя, лично мое мое мнение несколько иное, но оно не в общем тренде, поэтому мы вынуждены балансировать (красота, как известно, - лезвие бритвы между противоположностями), поскольку, мотивированный сотрудник должен получать желаемое!

Я рассматриваю возможность смены позиции как инструмент менеджера для достижения поставленных перед ним задач наиболее эффективным способом. Это моя, как менеджера, задача обеспечить оптимальное распределение задач и ответственности между членами команды, построить иерархию подчинения и внутренние бизнес-процессы взаимодействия. Как раз иерархия, задачи и ответственность - определяются должностью. Поэтому, никто иной, кроме как менеджер, не представляет как должно быть организовано его подразделение, какие должности с какими обязанностями у него должны быть. Менеджер - законодатель по части организационной структуры своего подразделения, потому что оргструктура - это его инструмент. Кадры же здесь - исполнитель, их задача организационно закрепить оргструктуру, созданную менеджером, которая, кстати, должна также учитывать и ожидания работников подразделения, поскольку нужно по-максимуму избежать демотивации из-за "неправильного" названия позиции.

Исходя из того, что оргструкура - инструмент менеджера для достижения максимальных результатов, несложно сделать несколько выводов:
- при смене команды (кто-то уволился, кто-то пришел) может меняться и оргструктура, поскольку приходят люди с новыми способностями и потребностями, и уже из новых людей надо добиться максимальной эффективности, не факт что прежний инструмент-оргструктура будет столь же эффективна
- и даже больше, оргструктура может меняться и чаще, поскольку люди развиваются, у них появляются новые способности и потребности, и менеджеру виднее как можно реорганизовать команду, чтобы достичь максимального результата
- параллели со смежными подразделениями важны, но не принципиальны, поскольку если соседнее подразделение сантехников использует разводной ключ для крепления труб - это не означает, что мое подразделение плотников должно такими же ключами забивать гвозди. В этой связи возражения Кадров, типа: "У нас нет такой позиции", - не выносят критики, надо сделать так, чтобы и подразделение сантехников, и плотников работали эффективно и результативно, поэтому, вполне нормально, что нужны разные инструменты-оргструктуры

Работа с людьми - дело тонкое, и нам нужны разнообразные инструменты, чтобы работа приносила результаты, эти инструменты должны быть гибкими, адаптивными, а гибкость и адаптивность оргструктуры нам могут обеспечить Кадры.

#управелние #vCISO

Некоторое время назад получило широкую популярность движение антипрививочников, которые выступали за отсутствие необходимости делать типовые прививки, типа КДС или от оспы. В целом, не надо быть медиком, чтобы догадаться, что именно благодаря современным прививкам многие болезни, такие как оспа, дифтерия, коклюш, столбняк, полиомиелит и много-много других ушли в прошлое, однако, мы, люди, падки на бред новизну, стремимся мыслить "современно", и у этого движения есть множество последователей... в итоге мы имеем рост заболеваемости заразой, о которой уже было и забыли

Нечто подобное можно наблюдать и в других отраслях, например, Алексей Викторович продолжает писать про ненужность антивируса , однако, не уточняет что вкладывается в понятие "антивирус" и из-за этого может возникнуть неправильная интерпретация его слов, поэтому я и пишу эту небольшую заметку, чтобы нам всем разобраться. В моем понимании того самого "антивируса" уже действительно нет, именно потому что он в таком виде, как о нем пишет Алексей Викторович, не нужен, я об этом писал. К сожалению, у Алексея нет возможности под заметкой спросить, поэтому спрошу здесь: С учетом утверждения "антивирусы не нужны", в итоге ненужность каких продуктов каких вендоров, доступных на рынке РФ, утверждается? Пишите ваше мнение в комментариях, обсудим!

#vCISO

Все кинулись в эзотерику, символизм, нумеристику, пытаются находить взаимосвязи событий и на их основе делать всякого рода выводы и прогнозы .... Попробуем быть в тренде и мы.

Памятник Ф.Э. Дзержинскому в Кисловодске расположен в туристической зоне: здесь недалеко до Каскадной лестницы в Национальный парк, соседние улицы - пешеходный проспект Ленина, также ведущий в Парк, ул. Герцена - самая дорогая улица в городе... Вокруг памятника всегда толпы туристов, а одноименная улица в районе памятника жестко запаркована автобусами и прочим экскурсионным транспортом.

Сам постоянно прохожу и проезжаю мимо, но только недавно я догадался до секрета столь повышенного, может, и неосознанного, внимания к персоне Феликса Эдмундовича: в его годах жизни представлены коды регионов - Ставропольского края (26) и Москвы (77) - согласитесь, это не случайно!

#пятница

Ребята из РТ упорядочили контент PHD2, так намного удобнее выбрать по интересам

Операционка Windows даёт возможность зарегистрировать как службу исполняемый файл или скрипт для закрепления в системе и обеспечить стабильность восстановления в случае его завершения. Но не только добрые IT-специалисты пользуются этим удобством.

Злоумышленники в своих атаках применяют для решения этой задачи легитимные утилиты, например NSSM, SRVANY из набора Microsoft Windows Resource Kit, или SRVANY-NG. Эти утилиты регистрируются в системе в качестве сервиса и берут на себя роль управления запуском, привилегиями, зависимостями и восстановлением исполняемого файла. А ещё эти утилиты позволяют скрыть целевой исполняемый файл или выполняемую команду в событии создания службы в журналах Windows — чтобы обойти детектирование со стороны SOC.

Как же их детектировать? Нужно мониторить не только события создания сервисов, но и ключи реестра, связанные с параметрами сервисов. Подробности — в статье Дмитрия Лифанова.

27 июня в гостях у Бизонов буду погружаться в контейнеры и Кубер. Кто будет, увидимся!

Что бы кто ни говорил об анализе рисков, при всех его минусах, альтернативы нет. А вообще, вся наша жизнь - это управление рисками. Интересно, что об этом расскажут коллеги, запланировал посмотреть. В записи - уж точно!

#vCISO

Психология так устроена, что мы лучше относимся к тому, что понимаем глубже. Поэтому, чтобы технологии внушали доверие, о них надо рассказывать - это и улучшит понимание (повысит доверие), а также может быть полезно для коллег по индустрии, может, они черпнут какие-то идеи для себя, а, может, в комментариях посоветуют что-то важное... Все мы в какой-то степени кузнецы своего счастья, так давайте будем ковать общее счастье вместе!

Для того, чтобы нам обсуждать Detection engineering в MDR нам надо понимать что мы вкладываем в понятия "хант", "событие", "алерт", "инцидент" и т.п.. Мы много про это говорим, но какого-то материала, на который можно было бы сослаться, я не нашел, поэтому подготовил соответствующую статью. Есть некоторая неуверенность, что я ничего незабыл, поэму не исключая возможность ее обновлений и дополнений.

Продолжение следует...

#MDR

Вопрос о том с чего начать новому CISO всегда интересен, я и сам много об этом писал, аж с 2014-ого года.

Очевидно, начать надо с аудита, но на что обратить внимание в первую очередь - есть варианты. Нам всегда проще выбирать то, что нам подходит, из какого-либо каталога (например, когда я работал архитектором безопасности в ИТ-проектах, я очень любил 53-ий NIST, поскольку это как раз и есть каталог контролей, из которого можно уже выбирать то, что мне релевантно). Поэтому полезно иметь множество различных взглядов на наиболее приоритетные направления, а уже стоя на плечах гигантов, нам будет проще составить программу самооценки.

Вот, ребята из Бизон продвигали свои услуги по аудиту. На мой взгляд из них (презентация во вложении, есть запись) вполне можно надергать идей для составления собственной программы self-assessment-а пришедшему в поле CISO.

Единственное, что я бы добавил - это получение некоторой уверенности в том, что в сети нет альтернативной жизни (а то знаете ли, если я занимаюсь профилактикой и веду ЗОЖ, это не значит, что я абсолютно здоров и нет необходимости в периодической диспансеризации). В этом поможет Compromise Assessment.

В таком случае, вроде, все сценарии покрыты:
- если нас будут ломать, то как? - расскажет пентест (или Security Assessment в общем случае)
- если нас уже сломали, то где они? - расскажет Compromise Assessment
- насколько у нас хорошо с профилактикой компьютерных атак? - поможет Compliance audit процессов на соответствие любимыми бестпрактисам

#vCISO

Вот какую мысль хочется обсудить в пятницу, о регуляторке и качестве сервиса. В общем случае compliance - хорошая тема, много где это представляет собой тот самый "волшебный пинок" которого не хватает, чтобы заставить инвестировать в безопасность какие-либо ресурсы.

Однако, если результат работ, чтобы не быть голословным, возьмем Security Assessment или Compromise Assessment, требуется для выполнения требований регулятора, заказчик будет заинтересован, очевидно, в выполнении требований регулятора! Получаем, что тогда как в нормальной жизни любой Assessment - это только начало, с точки зрения заказчика, выполняющего требования регулятора - это должно быть окончание: анализ проведен, вот отчет, требования выполнены.

Но только надо, чтобы отчет не содержал серьезных недочетов. Заказчик может потребовать (кто заказывает музыку, тот и танцует!) от поставщика убрать из отчета все, что может его как-то компрометировать перед регулятором (какие-либо уязвимости, найденные на проекте SA, вызванные плохой работой подразделения ИБ, или какие-либо инциденты, найденные на проекте CA, опять же пропущенные, ввиду инфантильности операционной ИБ). Но нормальный поставщик на подобную модификацию отчета никогда не согласится... и тут наш заказчик будет вынужден работать с "плохими" поставщиками, которые либо напишут в отчете все, что попросит заказчик, либо ничего не найдут в ходе своих работ, что с точки зрения результата - одно и то же.

В итоге мы получаем традиционную оборотную сторону: требования регуляторов создают почву для возникновения "плохих" поставщиков. Следует заметить, что с такими поставщиками очень сложно конкурировать, поскольку квалификация исполнителей там не важна, а, следовательно, невысока и себестоимость. Да и спрос на "сговорчивых" поставщиков, тоже есть, так как хочется, провести assessment и закрыть тему, и не думать о том, что любой assessment - это только начало

#vCISO #пятница

Борьба с ложными срабатываниями - залог повышения эффективности функционирования SOC. Работа эта бесконечна и никакие новые методы ее ведения не будут лишними. Метод, лежащий на поверхности - анализ комбинаций, которым мы открываем серию статей о Detection Engineering в рамках MDR. Первая публикация о статье была в канале нашего подразделения Security Services, подписывайтесь на канал и будете в курсе не только о том, что у происходит у нас в Defensive, но также что там у ребят из Offensive, у них там не менее интересно. Также привожу прямую ссылку на статью.

В целом, такой анализ комбинаций интересно посмотреть и в разрезе конкретных эндпоинтов, можно и ML-ку потренировать на таком анализе....

В общем, продолжение следует....

#MDR

Отличный пример того, как оседлать инфоповод: статья ни о чем, приведенные запросы Managed Threat Hunting - поиск уязвимых версий sshd (не самая подходящая задача для MDR 😂. )

Выводы: либо Полупальто не смогло воспользоваться готовым сплитом, либо аномалий для детекта по их телеметрии нет.

Раз уж пишу заметку, дам ссылку на оригинальную статью:
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
Ссылку на сплоит не буду выкладывать, он успел разбежаться по GitHub, ищи да обрящешь...

От себя добавлю, что 1) попытки поймать race condition в обработке сигнала в телеметрии будет выглядеть как, очевидно, множественные (ооочень много!) отправки сигналов от sshd к sshd, однако это не точный признак и сильно фолсит в определенных сценариях, 2) в логах sshd при попытках удалённой эксплуатации (именно этот сценарий в доступном на GitHub сплоите) будут таймауты - что-то типа «Timeout before authentication».

А вообще, завести даже готовый сплоит - непростая задача, к тому же, он только под х32, коих уже нигде нет, а по x64, складывается ощущение, и сами авторы не проэксплуатировали

#mdr