История с KIA напомнила старый добрый 2002-ой, когда мы с коллегой разбирались с HP-UX...
Тогда коллега выдал:
Помятуя классические труды по автомобильной безопасности (список приведу ниже), я не нахожу разумного объяснения зачем автопроизводители стремятся к управлению своими изделиями из Интернет 😢
Если вам интересна тема automotive security, то вот начальный список для ознакомления
Самая громкая работа в индустрии и отличное входное чтиво, чтобы понять: автомобиль - это обычная сеть с пачкой embedded железяк
Обо всем систематизированно, чтобы погрузиться в тему, можно почитать этот док (нужен VPN, во вложении)
И этот тоже (нужен VPN, прикладываю)
Про CAN в картинках
Основные проблемы автомобильной безопасности
#MDR #vCISO #automotive
Тогда коллега выдал:
Hewlett Packard делает замечательные принтеры.
Ну зачем они решили сделать операционную систему?!
Помятуя классические труды по автомобильной безопасности (список приведу ниже), я не нахожу разумного объяснения зачем автопроизводители стремятся к управлению своими изделиями из Интернет 😢
Если вам интересна тема automotive security, то вот начальный список для ознакомления
Самая громкая работа в индустрии и отличное входное чтиво, чтобы понять: автомобиль - это обычная сеть с пачкой embedded железяк
Обо всем систематизированно, чтобы погрузиться в тему, можно почитать этот док (нужен VPN, во вложении)
И этот тоже (нужен VPN, прикладываю)
Про CAN в картинках
Основные проблемы автомобильной безопасности
#MDR #vCISO #automotive
Telegram
SecAtor
Группа исследователей раскрывает критические уязвимости портала Kia, которые позволяли хакерам получать почти полный контроль над авто, выпущенными начиная с 2013 года.
Кстати, в 2022 эти же ребята препарировали уязвимости, затрагивающие более 15 миллионов…
Кстати, в 2022 эти же ребята препарировали уязвимости, затрагивающие более 15 миллионов…
🔥9👍1
Пароли в командных строчках
Пароли в командных строках – это небезопасно. Командные строчки логгируются в открытом виде (bash_history, powershell), в общем, не считаются конфиденциальной информацией, а, следовательно, операционные системы не обеспечивают для них должный уровень безопасности, как для пароля, поэтому наличие пароля в командных строках – это уязвимость, и в инфраструктурах с адекватными командами ИТ, скорее, аномалия. Тем не менее, по требованиям безопасности, можно ожидать пароли в командных строках, поэтому в решениях *DR может существовать какая-либо автоматика для маскирования паролей в командных строчках.
Понимая очевидную проблему безопасности в передаче пароля в командной строке, производители инструментов, тем не менее, предлагают такой функционал. И этим функционалом, в том числе, пользуются и злоумышленники, что позволяет их эффективно обнаруживать и расследовать, а иногда и нивелировать ущерб от их действий. Приведу пару случаев из практики.
Пароль атакующего для обнаружения скомпрометированных систем
В одном из инцидентов атакующий использовал подломанную сервисную УЗ(пароль, хороший, стойкий, случайный, в открытом виде был взят из конфигов) для сбора информации BloodHound-ом, команда выглядела примерно так:
В этом инциденте задачу обнаружения всех машинок присутствия атакующего я решил очень просто – поиском по командным строчкам, содержащим подломанный пароль. В целом, можно было искать и по подломанной УЗ, но находились еще и некоторые задачи по расписанию, куда пароль подсовывался более безопасным способом и поэтому не светился в командной строке, а вот пароль в открытом виде в строчку забивал только атакующий.
Описанный фокус работает и с другими излюбленными инструментами атакующих – psexec, paexec, impacket, rdesktop, evil-winrm и т.п.
Пароль атакующего для снятия последствий ущерба
Шифровальщики – тип инцидента №1 с которым приходят за расследованием. Про шифровальщики есть масса публикаций (ну..., можно Ладу послушать, например, там профиль SMB, но для общего понимания – то, что надо; и Канарейки про них постоянно пишут, ну больше всех публикаций, конечно же у ЛК, один из свежих), но надо понимать следующие современные особенности:
– Непосредственно работе шифровальщика предшествует человекоуправляемая атака
– Обычно начинают запускать шифровальщик, когда сеть уже поломана, например, взят домен и шифровальщика раскатывают групповыми политиками или через корпоративные системы инвентаризации и управления типа SCCM или какие-то управляющие сервера(для целей унижения любят использовать сервера управления систем безопасности, которые, очевидно, как и все, в домене, а следовательно, скомпрометированы)
– Часто шифруют легитимные инструментами, типа Bitlocker, VeraCrypt, Kryptor, DiskCryptor и т.п.
– Либо используют кастомизированные сборки популярных Babuk, Conti, LockBit, Chaos, Xorist и т.п., а если мешает EPP, то его выносят разными способами в рамках человекоуправляемости атаки (часто используются легитимные методы, так как нелегитимные - шумные и блокируются, поэтому пока вынесут, ребят успеют локализовать)
В одном из инцидентов злоумышленник для шифрования использовал Bitlocker, команда выглядела примерно так:
Пароль восстановления доступен непосредственно в командной строке...
#MDR
Пароли в командных строках – это небезопасно. Командные строчки логгируются в открытом виде (bash_history, powershell), в общем, не считаются конфиденциальной информацией, а, следовательно, операционные системы не обеспечивают для них должный уровень безопасности, как для пароля, поэтому наличие пароля в командных строках – это уязвимость, и в инфраструктурах с адекватными командами ИТ, скорее, аномалия. Тем не менее, по требованиям безопасности, можно ожидать пароли в командных строках, поэтому в решениях *DR может существовать какая-либо автоматика для маскирования паролей в командных строчках.
Понимая очевидную проблему безопасности в передаче пароля в командной строке, производители инструментов, тем не менее, предлагают такой функционал. И этим функционалом, в том числе, пользуются и злоумышленники, что позволяет их эффективно обнаруживать и расследовать, а иногда и нивелировать ущерб от их действий. Приведу пару случаев из практики.
Пароль атакующего для обнаружения скомпрометированных систем
В одном из инцидентов атакующий использовал подломанную сервисную УЗ
<...> Invoke-StandardCollector –c DcOnly –d domain.corp –prettyjson –nosavecache –ldapusername user_name –ldappassword user_passwordВ этом инциденте задачу обнаружения всех машинок присутствия атакующего я решил очень просто – поиском по командным строчкам, содержащим подломанный пароль. В целом, можно было искать и по подломанной УЗ, но находились еще и некоторые задачи по расписанию, куда пароль подсовывался более безопасным способом и поэтому не светился в командной строке, а вот пароль в открытом виде в строчку забивал только атакующий.
Описанный фокус работает и с другими излюбленными инструментами атакующих – psexec, paexec, impacket, rdesktop, evil-winrm и т.п.
Пароль атакующего для снятия последствий ущерба
Шифровальщики – тип инцидента №1 с которым приходят за расследованием. Про шифровальщики есть масса публикаций (ну..., можно Ладу послушать, например, там профиль SMB, но для общего понимания – то, что надо; и Канарейки про них постоянно пишут, ну больше всех публикаций, конечно же у ЛК, один из свежих), но надо понимать следующие современные особенности:
– Непосредственно работе шифровальщика предшествует человекоуправляемая атака
– Обычно начинают запускать шифровальщик, когда сеть уже поломана, например, взят домен и шифровальщика раскатывают групповыми политиками или через корпоративные системы инвентаризации и управления типа SCCM или какие-то управляющие сервера
– Часто шифруют легитимные инструментами, типа Bitlocker, VeraCrypt, Kryptor, DiskCryptor и т.п.
– Либо используют кастомизированные сборки популярных Babuk, Conti, LockBit, Chaos, Xorist и т.п., а если мешает EPP, то его выносят разными способами в рамках человекоуправляемости атаки (часто используются легитимные методы, так как нелегитимные - шумные и блокируются, поэтому пока вынесут, ребят успеют локализовать)
В одном из инцидентов злоумышленник для шифрования использовал Bitlocker, команда выглядела примерно так:
manage-bde -on C: -rp very_long_random_recovery_password -sk C:\ -s -used -RemoveVolumeShadowCopiesПароль восстановления доступен непосредственно в командной строке...
#MDR
🔥9👍3
Юрий Лотман. Комментарии к роману "Евгений Онегин"
Пушкин - наше все! Но большое видится на рсстоянье, а огромное можно рассмотреть только стоя на плечах гигантов. В Евгении Онегине Пушкин смог вместить невместимое, но для неподготовленного читателя многое остается непонятным. Юрий Михайлович Лотман - величайший исследователь творчества Пушкина, его публикации позволяют иначе взглянуть на знакомые с детства строки, понять новые смыслы, скрытые и не замеченные ранее, а его "Биография А.С. Пушкина" лучше раскроет поэта как личность, поведает о событиях его эпохи, что, безусловно, нашло отражение в произведениях.
Но сегодня я рекомендую к прочтению именно "Комментарии к роману "Евгений Онегин". Эти комметарии в свое время позволили мне по-новому взглянуть на произведение, лучше прочувствовать сюжет за счет раскрытия смыслов многочисленных намеков и упоминаний малоизвестных мне событий и современников автора и главного героя. Я не преувеличу, если сравню "Комментарии к роману..." с толковым словарем иностранного языка, являющимся единственным способом понять текст.
В подтверждение своих слов, приведу несколько цитат из "Комментариев к роману..." .
Я не отношусь к чтению, как к таймкиллеру, а стремлюсь извлекать информацию, которая будет полезной в будущем, а для этого нам нужно понимать о чем пишут, понимать что хотел передать автор.
#книги
Пушкин - наше все! Но большое видится на рсстоянье, а огромное можно рассмотреть только стоя на плечах гигантов. В Евгении Онегине Пушкин смог вместить невместимое, но для неподготовленного читателя многое остается непонятным. Юрий Михайлович Лотман - величайший исследователь творчества Пушкина, его публикации позволяют иначе взглянуть на знакомые с детства строки, понять новые смыслы, скрытые и не замеченные ранее, а его "Биография А.С. Пушкина" лучше раскроет поэта как личность, поведает о событиях его эпохи, что, безусловно, нашло отражение в произведениях.
Но сегодня я рекомендую к прочтению именно "Комментарии к роману "Евгений Онегин". Эти комметарии в свое время позволили мне по-новому взглянуть на произведение, лучше прочувствовать сюжет за счет раскрытия смыслов многочисленных намеков и упоминаний малоизвестных мне событий и современников автора и главного героя. Я не преувеличу, если сравню "Комментарии к роману..." с толковым словарем иностранного языка, являющимся единственным способом понять текст.
В подтверждение своих слов, приведу несколько цитат из "Комментариев к роману..." .
Большая группа лексически непонятных современному читателю слов в "Евгении Онегине"" относится к предметам и явлениям быта как вещественного (бытовые предметы, одежда, еда, вино и пр.), так и нравственного (понятия чести, специфика этикета, правила и нормы поведения) и социального (служебная иерархия, структура общественных отношений и пр.)
Исчерпать онегинский текст невозможно. Сколь подробно ни останавливались бы мы на политических намеках, многозначительных умолчаниях, бытовых реалиях или литературных ассоциациях, комментирование которых проясняет различные стороны смысла пушкинских строк, всегда остается место для новых вопросов и для поисков ответов на них. Дело здесь не только в неполноте наших знаний, хотя чем более трудишься над приближением текста к современному читателю, тем в большей мере с грустью убеждаешься в том, сколь многое забыто, и частично забыто бесповоротно. Дело в том, что литературное произведение, пока оно непосредственно волнует читателя, живо, то есть изменчиво. Его динамическое развитие не прекратилось, и к каждому поколению читателей оно оборачивается какой-то новой гранью. Из этого следует, что каждое новое поколение обращается к произведению с новыми вопросами, открывая загадки там, где прежде все казалось ясным
Одной из особенностей бытописания в ЕО, весьма существенной при комментировании романа, является то, что знание бытовых реалий необходимо для понимания текста даже тогда, когда они непосредственно не упоминаются или лишь мелькают в виде кратких отсылок, намеков на то, что было с полуслова понятно и автору, и современному ему читателю
Я не отношусь к чтению, как к таймкиллеру, а стремлюсь извлекать информацию, которая будет полезной в будущем, а для этого нам нужно понимать о чем пишут, понимать что хотел передать автор.
#книги
🔥12👍2
Пока не смотрел, но запланировал
Telegram
k8s (in)security
На нашем сайте стали доступны слайды и видеозапись вебинара "С чего начать защиту кластера Kubernetes?". Там мы постарались ответить на вопросы:
— Какие минимально-необходимые меры принимать для защиты кластера в моменте;
— Как постепенно наращивать уровень…
— Какие минимально-необходимые меры принимать для защиты кластера в моменте;
— Как постепенно наращивать уровень…
🔥4
Мой коллега, Владислав Тушканов (доклад про RAG был на offzone), руководитель нашей команды ML, кто доводит до практической реализации все наши бредовые идеи по применению ML/DL/AI в security operations, в своем канале, посвященном безопасности больших языковых моделей, опубликовал неплохую подборку материалов по базовым понятиям в безопасности LLM.
Возможно, нам и не надо сильно погружаться до сигмоидов и ReLu, но на общеинженерном уровне, хотя бы, чтобы не веселить аудиторию во время наших выступлений, нам надо быть в курсе, а начать можно с этой заметки Влада.
#ml
Возможно, нам и не надо сильно погружаться до сигмоидов и ReLu, но на общеинженерном уровне, хотя бы, чтобы не веселить аудиторию во время наших выступлений, нам надо быть в курсе, а начать можно с этой заметки Влада.
#ml
Telegram
llm security и каланы
AI Alignment Course: AI and the Years Ahead
Bluedot Impact, 2024
Материалы
Эта глава очевидно подготовительная: она посвящена введению в тему машинного обучения тех, кто пришел на курс с гуманитарным бэкграундом и вообще не представляет, как работает современный…
Bluedot Impact, 2024
Материалы
Эта глава очевидно подготовительная: она посвящена введению в тему машинного обучения тех, кто пришел на курс с гуманитарным бэкграундом и вообще не представляет, как работает современный…
🔥3❤2
Понятие инцидента - принципиально в операционной безопасности, которая крутится вокруг процесса Управления инцидентами. Даже если не брать во внимание, что невозможно управлять тем что точно не определено, различное понимание инцидента со стороны SOC и потребителей его услуг ведет к рассинхронизации их взаимных ожиданий.
В новом лонгриде порассуждал на тему что же такое инцидент, начав, как положено, с определения из ISO/ГОСТ, закончив некоторыми практическими примерами и соответствующими выводами.
#MDR #vCISO
В новом лонгриде порассуждал на тему что же такое инцидент, начав, как положено, с определения из ISO/ГОСТ, закончив некоторыми практическими примерами и соответствующими выводами.
#MDR #vCISO
Дзен | Статьи
Понятие Инцидента
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Все задачи ИБ так или иначе сводятся к управлению инцидентами, поэтому понятие инцидента - принципиальный вопрос, на который нужно...
🔥8👍4
Forwarded from Kaspersky Team
Из чего же, из чего же сделаны наши SafeBoard’исты 😎
Из мыслей, общения, кофейных пауз и верных решений!
Стажировка в Kaspersky — твой шанс проявить себя, прокачать скиллы и добавить в жизнь ещё больше полезного опыта 😇
Заявку можно подать на любые три направления и на fast track в команду IT Service Desk. Направления этого набора:
▫️DevOps;
▫️UI/UX-дизайн;
▫️анализ данных;
▫️анализ защищённости;
▫️локализация ПО;
▫️разработка C, C++, Java Script, Python, С#;
▫️системный анализ;
▫️тестирование (ручное; авто, Python; авто, С#);
▫️IT Service Desk (fast track) — для тех, кто хочет попасть к нам быстрее.
Тебя ждёт работа над реальными задачами, зарплата и компенсация питания, сауна и игровые комнаты 😊
Присоединяйся, если учишься на любом курсе, в любом вузе Москвы и МО или в Школе 21.
Подавай заявку до 27 октября.
Выбирай то, что нравится, и сделай это новой гранью своих возможностей 🙌
Из мыслей, общения, кофейных пауз и верных решений!
Стажировка в Kaspersky — твой шанс проявить себя, прокачать скиллы и добавить в жизнь ещё больше полезного опыта 😇
Заявку можно подать на любые три направления и на fast track в команду IT Service Desk. Направления этого набора:
▫️DevOps;
▫️UI/UX-дизайн;
▫️анализ данных;
▫️анализ защищённости;
▫️локализация ПО;
▫️разработка C, C++, Java Script, Python, С#;
▫️системный анализ;
▫️тестирование (ручное; авто, Python; авто, С#);
▫️IT Service Desk (fast track) — для тех, кто хочет попасть к нам быстрее.
Тебя ждёт работа над реальными задачами, зарплата и компенсация питания, сауна и игровые комнаты 😊
Присоединяйся, если учишься на любом курсе, в любом вузе Москвы и МО или в Школе 21.
Подавай заявку до 27 октября.
Выбирай то, что нравится, и сделай это новой гранью своих возможностей 🙌
👍2👎1
Покрытие MDR
Слабое место MDR – это покрытие, мы не видим там, где нас нет. Контроль покрытия – чтобы на всем объеме мониторинга был установлен и правильно сконфигурирован (все компоненты включены, настроен аудит ОС) агент – в ответственности потребителя.
Это связано с тем, что на стороне MDR, если наблюдается падение уровня телеметрии с хоста, или ее пропадание вовсе, мы не можем сказать связано ли это с инцидентом ИБ или следствие рабочих моментов, как замена компьютера пользователю, пользователь ушел в отпуск и выключил компьютер и т.п. ситуаций. На больших объемах мониторинга, в сотни тысяч эндпоинтов, подобные пропадания хостов из мониторинга – постоянный процесс и оформлять инцидент на каждый такой случай, даже при условии, что это можно делать полностью автоматически, без участия аналитика SOC, не представляется целесообразным.
В MDR есть моделька машинного обучения на аномалии, которая отслеживает в том числе и сценарии падения телеметрии по клиенту в целом. Здесь плохо работают жесткие пороги, так как количество активных хостов падает в нерабочее время, однако, ML с этими флуктуациями справляется удовлетворительно. Значительное падение телеметрии будет оформлено как инцидент с уточняющим вопросом о том, что происходит.
Более-менее объективным сценарием проверки работы MDR является анализ защищенности. С учетом описанной проблемы контроля покрытия, перед проведением анализа защищенности, одной из целей которого является проверка MDR, обязательно следует удостовериться, что объем анализа защищенности совпадает с объемом мониторинга MDR, т.е. на хостах в объеме пентеста установлены и правильно сконфигурированы агенты, а телеметрия с них долетает до облака (в Web-консоли MDR для каждого актива есть поле last seen/последнее появление).
Вообще, анализ защищенности проверяет защищенность объектов инфраструктуры, важным элементом защищенности является защищенность конечных точек, а наличие корректно работающего MDR – это элемент защищенности конечных точек. Отсутствие рабочего MDR на конечной точке, где он должен быть – несоответствие требованиям безопасности, а проводить пентест нужно все-таки для объектов, соответствующим внутренним compliance(грош нам с вами цена, если мы самостоятельно не можем проверить выполнение собственных требований на инф-ре, которую защищаем, и нам для этого нужен пентестер, да еще и внешний подрядчик!) , поскольку проверки наличия безопасной конфигурации можно провести в рамках более дешевых процессов, которые в обязательном порядке должны быть в любой корпорации, типа периодической инвентаризации активов с параллельным аудитом соответствия, что можно сделать любой корпоративной системой управления активами, от элементарных групповых политик и скриптов, до SCCM. А если в корпорации пока еще нет процесса Управления активами (Управления конфигурациями), можно и задуматься, нужен ли прямо сейчас пентест...
#MDR #vCISO #kaspersky
Слабое место MDR – это покрытие, мы не видим там, где нас нет. Контроль покрытия – чтобы на всем объеме мониторинга был установлен и правильно сконфигурирован (все компоненты включены, настроен аудит ОС) агент – в ответственности потребителя.
Это связано с тем, что на стороне MDR, если наблюдается падение уровня телеметрии с хоста, или ее пропадание вовсе, мы не можем сказать связано ли это с инцидентом ИБ или следствие рабочих моментов, как замена компьютера пользователю, пользователь ушел в отпуск и выключил компьютер и т.п. ситуаций. На больших объемах мониторинга, в сотни тысяч эндпоинтов, подобные пропадания хостов из мониторинга – постоянный процесс и оформлять инцидент на каждый такой случай, даже при условии, что это можно делать полностью автоматически, без участия аналитика SOC, не представляется целесообразным.
В MDR есть моделька машинного обучения на аномалии, которая отслеживает в том числе и сценарии падения телеметрии по клиенту в целом. Здесь плохо работают жесткие пороги, так как количество активных хостов падает в нерабочее время, однако, ML с этими флуктуациями справляется удовлетворительно. Значительное падение телеметрии будет оформлено как инцидент с уточняющим вопросом о том, что происходит.
Более-менее объективным сценарием проверки работы MDR является анализ защищенности. С учетом описанной проблемы контроля покрытия, перед проведением анализа защищенности, одной из целей которого является проверка MDR, обязательно следует удостовериться, что объем анализа защищенности совпадает с объемом мониторинга MDR, т.е. на хостах в объеме пентеста установлены и правильно сконфигурированы агенты, а телеметрия с них долетает до облака (в Web-консоли MDR для каждого актива есть поле last seen/последнее появление).
Вообще, анализ защищенности проверяет защищенность объектов инфраструктуры, важным элементом защищенности является защищенность конечных точек, а наличие корректно работающего MDR – это элемент защищенности конечных точек. Отсутствие рабочего MDR на конечной точке, где он должен быть – несоответствие требованиям безопасности, а проводить пентест нужно все-таки для объектов, соответствующим внутренним compliance
#MDR #vCISO #kaspersky
www.kaspersky.ru
Kaspersky Managed Detection and Response | Лаборатория Касперского
Непрерывный поиск, обнаружение и устранение угроз, направленных на ваше предприятие
👍8🔥5🤡1🥱1🍌1
Некоторые время назад Алексей Викторович в очередной раз поднимал вопрос о том, что информационная безопасность не работает в условиях отсутствия физической (ну, разве что криптография здесь смогла бы помочь).
В целом, на рынке можно найти варианты (раз, два, и т.п. или собрать самостоятельно)
А если серьезно, то у каждого CISO должен быть предусмотрен сценарий уничтожения критичной информации в случае потери физического контроля или попытке нарушения физической безопасности. Этот вопрос следует решать в рамках корпоративных программ BCP &DRP. Для серьезных случаев следует предусмотреть автоматику, которая уничтожит данные при обнаружении нелигитимного физического проникновения, по аналогии с криптексом из "Кода Да Винчи" . У меня был опыт разработки подобных мероприятий, и вот моменты, которые, как минимум, надо проработать:
- протестировать решение по экстренному уничтожению данных не так-то просто, поэтому надо придумать как получить уверенность, что в час Х система сработает как ожидается;
- надо продумать условия приведения системы в действие: если автоматически, то при наступлении каких ситуаций(например, физическое разрушение стен или дверей ЦОД) , если вручную, то кто это делает, и надо обеспечить, чтобы у него (них, так как это должна быть группа) всегда была возможность сделать свою часть задачи;
- - разумно иметь "мягкий" сценарий, а точнее, некоторую этапность, чтобы угробить не все сразу, а по частям, сохраняя для более мягких сценариев возможность восстановления;
- надо не забыть про бэкапы: если есть риск их компрометации, их тоже надо уничтожать;
- следует продумать сценарии обеспечения непрерывности (в CISSP, помню, много посвящено BCP&DRP): переключение на резервный холодный\горячий\мобильный\в глубь страны ЦОД, откуда работают сотрудники и т.п.;
- надо продумать сценарии "защиты от дурака", защиты от ложных срабатываний, цена ошибки здесь велика;
- надо подумать о конфиденциальности всей схемы (всего плана BCP), чтобы, по возможности, снизить риски отказа системы уничтожения данных при наличии инсайдера среди непосредственных участников: не должно быть исполнителя, кто бы мог единолично сорвать весь процесс;
- с тестирования начал, тестированием и закончим: все участники процесса должны хотя бы раз симулировать поведение во всех предусмотренных сценариях (от самого мягкого, до самого жесткого), чтобы в час Х каждый точно знал, что он должен делать.
#vCISO
В целом, на рынке можно найти варианты (раз, два, и т.п. или собрать самостоятельно)
А если серьезно, то у каждого CISO должен быть предусмотрен сценарий уничтожения критичной информации в случае потери физического контроля или попытке нарушения физической безопасности. Этот вопрос следует решать в рамках корпоративных программ BCP &DRP. Для серьезных случаев следует предусмотреть автоматику, которая уничтожит данные при обнаружении нелигитимного физического проникновения
- протестировать решение по экстренному уничтожению данных не так-то просто, поэтому надо придумать как получить уверенность, что в час Х система сработает как ожидается;
- надо продумать условия приведения системы в действие: если автоматически, то при наступлении каких ситуаций
- - разумно иметь "мягкий" сценарий, а точнее, некоторую этапность, чтобы угробить не все сразу, а по частям, сохраняя для более мягких сценариев возможность восстановления;
- надо не забыть про бэкапы: если есть риск их компрометации, их тоже надо уничтожать;
- следует продумать сценарии обеспечения непрерывности (в CISSP, помню, много посвящено BCP&DRP): переключение на резервный холодный\горячий\мобильный\в глубь страны ЦОД, откуда работают сотрудники и т.п.;
- надо продумать сценарии "защиты от дурака", защиты от ложных срабатываний, цена ошибки здесь велика;
- надо подумать о конфиденциальности всей схемы (всего плана BCP), чтобы, по возможности, снизить риски отказа системы уничтожения данных при наличии инсайдера среди непосредственных участников: не должно быть исполнителя, кто бы мог единолично сорвать весь процесс;
- с тестирования начал, тестированием и закончим: все участники процесса должны хотя бы раз симулировать поведение во всех предусмотренных сценариях (от самого мягкого, до самого жесткого), чтобы в час Х каждый точно знал, что он должен делать.
#vCISO
👍6🔥6
Старый добрый NTLM Realy, уже, вроде как, должен бы и не работать, однако, по-прежнему успешно используется атакующими. В заметке разобрал один из возможных сценариев с релеем через спуфинг wpad и как это можно детектить. В дальнейших заметках поговорим о том, почему предложенные способы обнаружения на практике работают не так, как хотелось бы.
А что касается Responder-а, то сценарий наловить NetNTLM хешей с последующими попытками их побрутить - всегда с нами, поэтому:
- все ненужные творения MS, вроде LLMNR и NBNS надо отключить (вообще, по принципу минимума полномочий, все ненужное лучше отключать)
- если нет возможности не использовать WPAD, полезно следить IDS-кой кто в сети пытается выдавать себя за WPAD-сервер (аналогично, полезно следить кто выдает себя за DHCP-сервер)
- если уж наловили хешей, то пароль должен быть сложный и не вечный (что бы не писал там NIST), чтобы поломать его было вычислительно сложно
#MDR
А что касается Responder-а, то сценарий наловить NetNTLM хешей с последующими попытками их побрутить - всегда с нами, поэтому:
- все ненужные творения MS, вроде LLMNR и NBNS надо отключить (вообще, по принципу минимума полномочий, все ненужное лучше отключать)
- если нет возможности не использовать WPAD, полезно следить IDS-кой кто в сети пытается выдавать себя за WPAD-сервер (аналогично, полезно следить кто выдает себя за DHCP-сервер)
- если уж наловили хешей, то пароль должен быть сложный и не вечный (что бы не писал там NIST), чтобы поломать его было вычислительно сложно
#MDR
Дзен | Статьи
NTLM Relay
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Протокол NTLM - старый, в нем великое множество архитектурных проблем, которые латаются с разной степенью успеха и надо бы его уже...
👍4🔥2
Мой коллега и друг, Игорь Таланкин, человек, непосредственно занимающийся разработкой контента коммерческого SIEM, а также очень плотно участвующий в технологическом развитии нашего SOC по части автоматизации и плейбуков, 9 октября примет участие в AM Live по практическому применению SIEM
#MDR
#MDR
Telegram
Anti-Malware
SIEM для продвинутых сценариев применения
09 октября 2024 - 11:00 (МСК)
Этот эфир AM Live перевернет ваше представления о возможностях российских SIEM. Мы не будет рассказывать о банальных вещах, анализировать рынок, а сосредоточимся только на критериях…
09 октября 2024 - 11:00 (МСК)
Этот эфир AM Live перевернет ваше представления о возможностях российских SIEM. Мы не будет рассказывать о банальных вещах, анализировать рынок, а сосредоточимся только на критериях…
🔥8👍3
Когда пользователи теряют токены с закрытыми ключами и их шифрованные данные\почтовые сообщения перестают читаться - это большая проблема:
- для самого пользователя, который навсегда утратил зашифрованную информацию
- для Компании, так как факт того, что зашифрованные письма могут читать только отправитель и получатель создает легальный канал утечки
- для Компании, так как доступ к почтовым перепискам может быть необходим в рамках регуляторных требований, как отраслевых, так и государственных
- для Компании, так как если пользователь шифрует данные и теряет ключ - это равносильно надежному удалению этих данных, их полной потере, потере доступности
С учетом описанного букета последствий и достаточно бытовой ситуации потери\утраты токена, сама идея использования криптографии ставится под сомнение. Решение здесь простое и старое, как сама идея PKI - депонирование ключей
#vCISO
- для самого пользователя, который навсегда утратил зашифрованную информацию
- для Компании, так как факт того, что зашифрованные письма могут читать только отправитель и получатель создает легальный канал утечки
- для Компании, так как доступ к почтовым перепискам может быть необходим в рамках регуляторных требований, как отраслевых, так и государственных
- для Компании, так как если пользователь шифрует данные и теряет ключ - это равносильно надежному удалению этих данных, их полной потере, потере доступности
С учетом описанного букета последствий и достаточно бытовой ситуации потери\утраты токена, сама идея использования криптографии ставится под сомнение. Решение здесь простое и старое, как сама идея PKI - депонирование ключей
#vCISO
Дзен | Статьи
Депонирование ключей
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Не всегда безопасность можно обеспечить навесными контролями, да и плохо работают навесные контроли, встроенная безопасность -...
👍4🔥1
komar.pdf
21.8 MB
Brian Komar. PKI and Certificate Security
Если вы - администратор корпоративной PKI от MS, то эта книга будет вам хорошим справочником и практическим советчиком.
#книги
Если вы - администратор корпоративной PKI от MS, то эта книга будет вам хорошим справочником и практическим советчиком.
#книги
👍5
Несмотря на то, что заметка про собеседования, в ней очень много полезного:
- как зрелые ИТ конторы понимают задачи лидера и что такое лидерство для них
- как формально можно подтвердить успешность своей менеджерской работы
- о том, что всегда полезно оценивать свое влияние на работу подразделения/компании
- есть полезные ссылки на справочники, которые, полезны и для целей собственного бенчмаркинга
#саморазвитие #управление
- как зрелые ИТ конторы понимают задачи лидера и что такое лидерство для них
- как формально можно подтвердить успешность своей менеджерской работы
- о том, что всегда полезно оценивать свое влияние на работу подразделения/компании
- есть полезные ссылки на справочники, которые, полезны и для целей собственного бенчмаркинга
#саморазвитие #управление
Telegram
Kali Novskaya
🌸FAANG собеседования. Behavioral 🌸
#собеседования
За последние года два я пособесилась в десяток компаний с сильным ML, и где-то ещё десяток не очень AI-native.
🌸Мой опыт
Прошла до конца в Meta, Snapchat, Spotify, HuggingFace, несколько стартапов.…
#собеседования
За последние года два я пособесилась в десяток компаний с сильным ML, и где-то ещё десяток не очень AI-native.
🌸Мой опыт
Прошла до конца в Meta, Snapchat, Spotify, HuggingFace, несколько стартапов.…
👍3🔥2
Относительно этого детекта немного добавлю деталей:
- основное событие телеметрии для него - Kerberos ticket metadata, присылающее информацию о сохраненных в памяти TGT и TGS. Ближайшая аналогия - klist
- детект сравнивает имя хоста из SPN с именем хоста, откуда взят билет (откуда пришло событие телеметрии). Аномалия заключается в том, что находится билет для сервиса на локальном хосте, т.е. имя хоста из SPN билета совпадает с именем хоста.
#MDR
- основное событие телеметрии для него - Kerberos ticket metadata, присылающее информацию о сохраненных в памяти TGT и TGS. Ближайшая аналогия - klist
- детект сравнивает имя хоста из SPN с именем хоста, откуда взят билет (откуда пришло событие телеметрии). Аномалия заключается в том, что находится билет для сервиса на локальном хосте, т.е. имя хоста из SPN билета совпадает с именем хоста.
#MDR
Telegram
purple shift
KRBUACBypass — это инструмент, позволяющий обходить механизм защиты User Account Control (UAC) в Windows, используя уязвимости в работе с билетами Kerberos. Атака основана на добавлении поддельной записи KERB-AD-RESTRICTION-ENTRY в сервисный билет, что позволяет…
👍5
Думаю, всем очевидно, что стандартизация имеет множество положительных сторон, но наиболее значимой, наверно, является расширение возможностей по интеграции и управлению этими интеграциями. В заметке рассмотрел простейший бенефит стандартизации имен серверов в корпорации для целей управления инцидентами.
#vCISO
#vCISO
Дзен | Статьи
Стандартизация имен
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Критичность инцидента зависит от критичности активов, затронутых инцидентом.
🔥3👍1
Теперь, когда мы разобрались с NTLM relay и как его теоретически можно обнаруживать по событию 4624, рассмотрим причины, почему на практике это работает плохо.
1. При аутентификации NTLM MS не гарантирует наличие IP-адреса, но, вроде как, обещает наличие NetBIOS имени. На практике это работает по-всякому: при аутентификации NTLM есть события в которых есть и IP и имя, где есть только IP (и нет имени!), и, конечно, где есть только имя (и нет IP). Картинки. Поскольку нам для успешного обнаружения нужны и IP и имя, для NTLM, в среднем, таких событий около 30-40%, т.е. на большей части событий предложенный детект построен быть не может.
2. В рамках логики обнаружения мы делаем резолв имени\адреса. Этот резолв может:
2.1. Ничего не вернуть, либо потому что для хоста нет записи в DNS, либо из-за какой-либо ошибки. Допустим в рамках корпоративного SOC обеспечить наличие в любой момент времени всех хостов в DNS можно, то на уровне внешнего поставщика SOC\MDR навести подобный порядок в инфраструктуре невозможно.
2.2. Вернуть другое имя\адрес, что на практике нередко, как минимум, по следующим причинам:
2.2.1. DNS-имя хоста не совпадает с NetBIOS-именем
2.2.2. Всяческие сценарии с крастерами\балансерами\шлюзами, когда на несколько нод с разными именами NetBIOS один адрес и\или одно DNS-имя
2.2.3. Иногда во внутренних сетях, видимо, для пущей безопасности, используются NAT. В этом случае хост имеет один IP-адрес, но в событии 4624, с аутентификацией с него, будет адрес после трансляции, который даже может nslookup-итья в какое-нибудь имя, сильно отличающееся от реального имени хоста-источника за NAT
2.2.4. Если у хоста несколько IP-адресов, то успех нашего детект зависит от того какие в итоге прописаны в файле DNS-зоны
Как уже отмечалось выше, если мы с вами внутренний SOC, и мы очень хотим ловить релеи менно по 4624, то при большой мотивации у нас есть возможность почистить фолсу для этого детекта, но успех составит, опять же, вынужден повториться, 30-40%, так как MS не гарантирует наличие IP-адреса в событиях аутентификаци по протоколам NTLM.
#MDR
1. При аутентификации NTLM MS не гарантирует наличие IP-адреса, но, вроде как, обещает наличие NetBIOS имени. На практике это работает по-всякому: при аутентификации NTLM есть события в которых есть и IP и имя, где есть только IP (и нет имени!), и, конечно, где есть только имя (и нет IP). Картинки. Поскольку нам для успешного обнаружения нужны и IP и имя, для NTLM, в среднем, таких событий около 30-40%, т.е. на большей части событий предложенный детект построен быть не может.
2. В рамках логики обнаружения мы делаем резолв имени\адреса. Этот резолв может:
2.1. Ничего не вернуть, либо потому что для хоста нет записи в DNS, либо из-за какой-либо ошибки. Допустим в рамках корпоративного SOC обеспечить наличие в любой момент времени всех хостов в DNS можно, то на уровне внешнего поставщика SOC\MDR навести подобный порядок в инфраструктуре невозможно.
2.2. Вернуть другое имя\адрес, что на практике нередко, как минимум, по следующим причинам:
2.2.1. DNS-имя хоста не совпадает с NetBIOS-именем
2.2.2. Всяческие сценарии с крастерами\балансерами\шлюзами, когда на несколько нод с разными именами NetBIOS один адрес и\или одно DNS-имя
2.2.3. Иногда во внутренних сетях
2.2.4. Если у хоста несколько IP-адресов, то успех нашего детект зависит от того какие в итоге прописаны в файле DNS-зоны
Как уже отмечалось выше, если мы с вами внутренний SOC, и мы очень хотим ловить релеи менно по 4624, то при большой мотивации у нас есть возможность почистить фолсу для этого детекта, но успех составит, опять же, вынужден повториться, 30-40%, так как MS не гарантирует наличие IP-адреса в событиях аутентификаци по протоколам NTLM.
#MDR
🔥8👍2
Никакая заметка и описание маршрута (основные факты приложены в комментарии к первой заметке о походе по р. Умба) не способны вместить полностью объем положительных эмоций и настроение, подаренное походом, поэтому в серии заметок я поделюсь фотографиями и видео.
Маршрут можно проследить в Strava, кроме первого дня (не заметил, что в тренировке "Рафтинг" не записывается маршрут), но далее все записано.
Далее перечислю ходовые дни, без учета дневок, которые заметны по датам)
День первый, 05.08: Стапель (мост через р. Умба, на пути из г. Апатиты) - п. Падун (сразу после прохождения)
День второй, 07.08: п. Падун - входная шевера п. Разбойник
День третий, 08.08: п. Разбойник - п. Семиверстный - Жемчужный плёс
День четвертый, 09.08: Жемчужный плёс - п. Карельский - п. Канозерский - Канозеро
День пятый, 11.08: Конец Канозера - Падун-на-Низьме
День шестой, 12.08: Падун-на-Низьме - Медвежий плес (антистапель)
По логистике:
- 03.08. Поезд Москва - Апатиты
- 04.08. Автомобиль от г. Апатиты до моста через р. Умба
- 13.08. Автомобиль от пос. Умба до г. Кандалакша
- 14.08. Поезд Кандалакша - Кемь, катер - Соловки
- 15.08. Соловки
- 16.08. Катер Соловки - Кемь, поезд Кемь - Москва
В водных походах огромное количество вещей. Компания у нас: два Рафтмастера К2, один Рафтмастер К4, три каяка. Вещей набирается на полный прицеп-фургон, поэтому основная часть (плавсредства, снаряжение) уходят транспортной компанией заблаговременно, а на поезде едет самое необходимое.
Продолжение следует...
#здоровье
Маршрут можно проследить в Strava, кроме первого дня (не заметил, что в тренировке "Рафтинг" не записывается маршрут), но далее все записано.
Далее перечислю ходовые дни, без учета дневок, которые заметны по датам)
День первый, 05.08: Стапель (мост через р. Умба, на пути из г. Апатиты) - п. Падун (сразу после прохождения)
День второй, 07.08: п. Падун - входная шевера п. Разбойник
День третий, 08.08: п. Разбойник - п. Семиверстный - Жемчужный плёс
День четвертый, 09.08: Жемчужный плёс - п. Карельский - п. Канозерский - Канозеро
День пятый, 11.08: Конец Канозера - Падун-на-Низьме
День шестой, 12.08: Падун-на-Низьме - Медвежий плес (антистапель)
По логистике:
- 03.08. Поезд Москва - Апатиты
- 04.08. Автомобиль от г. Апатиты до моста через р. Умба
- 13.08. Автомобиль от пос. Умба до г. Кандалакша
- 14.08. Поезд Кандалакша - Кемь, катер - Соловки
- 15.08. Соловки
- 16.08. Катер Соловки - Кемь, поезд Кемь - Москва
В водных походах огромное количество вещей. Компания у нас: два Рафтмастера К2, один Рафтмастер К4, три каяка. Вещей набирается на полный прицеп-фургон, поэтому основная часть (плавсредства, снаряжение) уходят транспортной компанией заблаговременно, а на поезде едет самое необходимое.
Продолжение следует...
#здоровье
👍16🔥7👏1🐳1