This media is not supported in your browser
VIEW IN TELEGRAM
Утечки - характеристика уровня Цифровизации!
Все много говорят о росте компрометаций и утечек, вот, например, видео в тему, утащенное у кого-то из сториз Телеги. Ну, а что это характеризует? Уровень цифровизации! Утечка означает, что бизнес-процесс оцифрован, а так как утекают практически любые данные, можно с уверенностью сказать, что цифровизация у нас близка к 100%, цель достигнута!
Как я отмечал на конференции Сбера 7 лет назад, наше стремление к тотальной цифровизации имеет и оборотную сторону. И проблема здесь концептуальная: цифровизация всегда увеличивает поверхность атаки. Информационные системы (ИС) очень сложны, поэтому чтобы как-то с ними справляться, мы разбиваем их на уровни, вроде, инфраструктуры и приложений, а каждый уровнь у нас содержит чудовищное количество компонентов, каждый из которых может, в свою очередь, переиспользовать другие компоненты, и все они поддерживаются и развиваются разными командами. Даже в функционально несложных ИС мы можем насчитать сотни и тысячи компонентов, где компрометация каждого - потенциальный риск взлома всей ИС, - этакая гипертрофированная цепочка поставок и повсеместные доверительные отношения... ну а как еще? Если нет возможности во всем разбираться самому (== все делать самостоятельно), приходится доверять поставщикам и партнерам, а по факту - фиксируем рост атак на цепочку поставок и доверительные отношения.
Что делать? Наверно, повторю то же, что писал про автоматизацию, но это не будет лишним.
1. цифровизировать нужно только то, где это принципиально необходимо
2. минимизировать количество зависимостей, тем более зависимостей от неконтролируемых разработок (например, не производимых в стране)
3. иметь наготове бэкап-план работы "без цифровизации", т.е. каждый цифровизированный процесс должен иметь BCP его работы в условиях когда цифровая его реализация невозможна (банально, нет света, связи, цифровые данные потерты)
4. чтобы п. 3 работал, полезно проводить учения, ну и DRP надо бы иметь, ибо, поработав с бумагой и карандашом, надо когда-то вернуться к привычной цифровой реализации
#управление #пятница #РФ
Все много говорят о росте компрометаций и утечек, вот, например, видео в тему, утащенное у кого-то из сториз Телеги. Ну, а что это характеризует? Уровень цифровизации! Утечка означает, что бизнес-процесс оцифрован, а так как утекают практически любые данные, можно с уверенностью сказать, что цифровизация у нас близка к 100%, цель достигнута!
Как я отмечал на конференции Сбера 7 лет назад, наше стремление к тотальной цифровизации имеет и оборотную сторону. И проблема здесь концептуальная: цифровизация всегда увеличивает поверхность атаки. Информационные системы (ИС) очень сложны, поэтому чтобы как-то с ними справляться, мы разбиваем их на уровни, вроде, инфраструктуры и приложений, а каждый уровнь у нас содержит чудовищное количество компонентов, каждый из которых может, в свою очередь, переиспользовать другие компоненты, и все они поддерживаются и развиваются разными командами. Даже в функционально несложных ИС мы можем насчитать сотни и тысячи компонентов, где компрометация каждого - потенциальный риск взлома всей ИС, - этакая гипертрофированная цепочка поставок и повсеместные доверительные отношения... ну а как еще? Если нет возможности во всем разбираться самому (== все делать самостоятельно), приходится доверять поставщикам и партнерам, а по факту - фиксируем рост атак на цепочку поставок и доверительные отношения.
Что делать? Наверно, повторю то же, что писал про автоматизацию, но это не будет лишним.
1. цифровизировать нужно только то, где это принципиально необходимо
2. минимизировать количество зависимостей, тем более зависимостей от неконтролируемых разработок (например, не производимых в стране)
3. иметь наготове бэкап-план работы "без цифровизации", т.е. каждый цифровизированный процесс должен иметь BCP его работы в условиях когда цифровая его реализация невозможна (банально, нет света, связи, цифровые данные потерты)
4. чтобы п. 3 работал, полезно проводить учения, ну и DRP надо бы иметь, ибо, поработав с бумагой и карандашом, надо когда-то вернуться к привычной цифровой реализации
#управление #пятница #РФ
👍8😁2🤔1
На выходных удалось немного найти время на интересное, делюсь полезными находками
1. Отличная серия онлайн-мероприятий о практическом использовании машобуча в кибербезе. Можно зарегистрироваться и принять участие (я зарегистрировался, но в итоге смотрел в записи).
Релевантные моим проиводственным интересам:
David Kennedy - AI-Assisted SOC Automation and Threat Analysis
Randy Pargman - AI-Assisted Malware Reverse Engineering
Jonathan Cran - Intelligent Threat Intel Tooling
Также, есть выпуски про Offensive и про риски и инфобез вообще - не смотрел
2. В продолжение прокачивания темы AI-агентов поизучал LangGraph: Build AI Agents and Chatbots with LangGraph - "галопом по Европам", но, в качестве быстрого погружения, курс неплох. В процессе выполнения лаб понял, что я не настолько здорово знаю Python, поэтому в ближайшее время решил подтянуть свои способности в питонизации (пишите, если интересно, какие курсы про Python я смотрел, с удовольствием поделюсь мнением), а затем, снова вернуться с AI-агентам, но уже поиграться с доступными локальными моделями.
Всем счастливой недели!
#саморазвитие #ml
1. Отличная серия онлайн-мероприятий о практическом использовании машобуча в кибербезе. Можно зарегистрироваться и принять участие (я зарегистрировался, но в итоге смотрел в записи).
Релевантные моим проиводственным интересам:
David Kennedy - AI-Assisted SOC Automation and Threat Analysis
Randy Pargman - AI-Assisted Malware Reverse Engineering
Jonathan Cran - Intelligent Threat Intel Tooling
Также, есть выпуски про Offensive и про риски и инфобез вообще - не смотрел
2. В продолжение прокачивания темы AI-агентов поизучал LangGraph: Build AI Agents and Chatbots with LangGraph - "галопом по Европам", но, в качестве быстрого погружения, курс неплох. В процессе выполнения лаб понял, что я не настолько здорово знаю Python, поэтому в ближайшее время решил подтянуть свои способности в питонизации (пишите, если интересно, какие курсы про Python я смотрел, с удовольствием поделюсь мнением), а затем, снова вернуться с AI-агентам, но уже поиграться с доступными локальными моделями.
Всем счастливой недели!
#саморазвитие #ml
YouTube
PromptorGTFO
Share your videos with friends, family, and the world
❤2🔥2
Forwarded from purple shift
В больших AD-лесах админы часто «забывают» или ошибочно настраивают списки контроля доступа (ACL), не желая заморачиваться с чётким разделением и выдачей прав. В таких списках могут оставаться широкие разрешения для Everyone/Authenticated Users/Domain Computers, причём с расширенными правами на чувствительные объекты.
Это не мелочь: именно список DACL в nTSecurityDescriptor определяет, кто и что может делать с объектом. Но есть проблема: такие списки прав указаны для каждого отдельного субъекта (нет одной таблички), GUID’ы прав нечитабельны, а определения дескрипторов безопасности (SDDL) тяжело смотреть глазами.
Наш эксперт Александр Родченко написал утилиту ParseJsonWithSDDLs для решения этой проблемы. Основная идея: показать, какими правами обладают «все», то есть достаточно большой и потенциально неограниченный круг субъектов (анонимы, аутентифицированные пользователи, все ПК и т.д). Другими словами, утилита отвечает на вопрос: «Есть ли у нас в домене какие-то объекты, с которыми может сделать что-то любой пользователь?»
Функционал, реализованный в программе:
— парсит SDDL из nTSecurityDescriptor, вычленяет «широкие» ACE и показывает их в удобном виде (читаемые имена субъектов и объектов, декодированные GUID расширенных прав);
— умеет сама выгрузить весь лес и трасты в JSON (LDAP paging + SecurityDescriptorFlagControl для DACL), если у вас нет готовых экспортов ваших доменов; в некотором роде это работа SharpHound с опцией "вместе с DACL", но в данном случае автор сам реализовал это в коде;
— даёт HTML-сводку и при желании CSV для дальнейшей аналитики/хантинга.
Что даёт использование утилиты?
Это закрывает типовой класс конфиг-дефектов, про которые Microsoft годами пишет в своих рекомендациях по безопасности AD. Прогоны такой утилитой часто приносят «бесплатные» находки перед аудитами и пентестами. Примеры находок приведены на скриншотах выше:
(1) объект, который может изменить любой ПК — и никто не не знает, для чего это нужно; у клиента это был объект, относящийся к системе корпоративной печати,
(2) очень странный объект групповой политики — это заявка на повышение привилегий в домене,
(3) очень неправильно настроенные разрешения создавать общие папки: на самом деле, дали возможность создать объект-корень FTRoot (новый namespace) и создать под ним любые FTDfs-объекты — ссылки (на любой сервер) и их Target-списки.
Утилиту можно скачать в репозитории автора на Гитхабе:
https://github.com/gam4er/DACLPlayground/tree/master
Это не мелочь: именно список DACL в nTSecurityDescriptor определяет, кто и что может делать с объектом. Но есть проблема: такие списки прав указаны для каждого отдельного субъекта (нет одной таблички), GUID’ы прав нечитабельны, а определения дескрипторов безопасности (SDDL) тяжело смотреть глазами.
Наш эксперт Александр Родченко написал утилиту ParseJsonWithSDDLs для решения этой проблемы. Основная идея: показать, какими правами обладают «все», то есть достаточно большой и потенциально неограниченный круг субъектов (анонимы, аутентифицированные пользователи, все ПК и т.д). Другими словами, утилита отвечает на вопрос: «Есть ли у нас в домене какие-то объекты, с которыми может сделать что-то любой пользователь?»
Функционал, реализованный в программе:
— парсит SDDL из nTSecurityDescriptor, вычленяет «широкие» ACE и показывает их в удобном виде (читаемые имена субъектов и объектов, декодированные GUID расширенных прав);
— умеет сама выгрузить весь лес и трасты в JSON (LDAP paging + SecurityDescriptorFlagControl для DACL), если у вас нет готовых экспортов ваших доменов; в некотором роде это работа SharpHound с опцией "вместе с DACL", но в данном случае автор сам реализовал это в коде;
— даёт HTML-сводку и при желании CSV для дальнейшей аналитики/хантинга.
Что даёт использование утилиты?
Это закрывает типовой класс конфиг-дефектов, про которые Microsoft годами пишет в своих рекомендациях по безопасности AD. Прогоны такой утилитой часто приносят «бесплатные» находки перед аудитами и пентестами. Примеры находок приведены на скриншотах выше:
(1) объект, который может изменить любой ПК — и никто не не знает, для чего это нужно; у клиента это был объект, относящийся к системе корпоративной печати,
(2) очень странный объект групповой политики — это заявка на повышение привилегий в домене,
(3) очень неправильно настроенные разрешения создавать общие папки: на самом деле, дали возможность создать объект-корень FTRoot (новый namespace) и создать под ним любые FTDfs-объекты — ссылки (на любой сервер) и их Target-списки.
Утилиту можно скачать в репозитории автора на Гитхабе:
https://github.com/gam4er/DACLPlayground/tree/master
👍4🔥1
SANS-SOC-Survey-2025-v2.pdf
4 MB
SANS SOC Survey 2025
Как-то мы пропустили, но в июле у SANS вышел их ежегодный обзор по SOC, из которого неплохо прослеживать чем сейчас болеет индустрия
В какой-то момент времени я приостановил чтение этих отчетов(разве что только в рамках подготовки к AM Live 😁) , ибо из года в год SOC-и воюют с одними и теми же проблемами: перегрузкой алертами, текучкой персоанала, нехваткой кадров, реактивностью и слабой интеграцией новых технологий, причем, 2025 не исключение, поэтому в этой заметке я подсвечу на что сам обратил внимание.
- 79% SOC-ов работают круглосуточно. Вопрос, на который не нашел ответ: "Как оставшиеся защищают свои инфраструктуры в нерабочее время?", - видимо, выключают все на ночь.
- 42% используют AI/ML-инструменты "из коробки" без настройки. В целом, этим объясняется низкая удовлетворенность машобучем, которая прослеживается на протяжении всех лет упоминания ML/AI в этом отчете. Мне подумалось, что это тот самый случай, когда, если что-то используешь бездумно, то его широкое распространение, напротив, имеет негативные последствия.
- 73% организаций разрешают удалённую работу. Все-таки, это можно считать победой кибербезопасности, ибо в 2025-м году удаленный доступ действительно можно сделать безопасным, а именно проблему ИБ я считаю основной в вопросе удаленной работы, что касается эффективности - писал здесь.
- 72% аналитиков полагаются на опыт и интуицию, а не на структурированные методы анализа TI - это просто вишенка на торте, причем, я тоже могу это подтвердить! За время работы SOC вырабатывается определенное "чутье", интуиция, работающие несравненно лучше любого продвинутого генеративного ИИ.
- по технологиям: EDR/XDR — лидер по удовлетворённости (~ рынок дозрел), а AI/ML - на последних местах (~ еще зеленый), SIEM - критически важен, но нередко используется неэффективно (~ повышение сложности требует вызревания UX).
- растет использование облаков
- развивается вопрос карьерного роста аналитиков SOC как инструмента удержания
В целом, направления развития понятны:
- ML/AI/DL, чтобы наконец-то выжать эффективность
- развитие кадров\карьерный рост\мотивация\удержание, выше писал про особую интуицию - это очень важно и такой опыт очень долго и дорого получать, важно чтобы такие профессионалы не терялись
#MDR
Как-то мы пропустили, но в июле у SANS вышел их ежегодный обзор по SOC, из которого неплохо прослеживать чем сейчас болеет индустрия
В какой-то момент времени я приостановил чтение этих отчетов
- 79% SOC-ов работают круглосуточно. Вопрос, на который не нашел ответ: "Как оставшиеся защищают свои инфраструктуры в нерабочее время?", - видимо, выключают все на ночь.
- 42% используют AI/ML-инструменты "из коробки" без настройки. В целом, этим объясняется низкая удовлетворенность машобучем, которая прослеживается на протяжении всех лет упоминания ML/AI в этом отчете. Мне подумалось, что это тот самый случай, когда, если что-то используешь бездумно, то его широкое распространение, напротив, имеет негативные последствия.
- 73% организаций разрешают удалённую работу. Все-таки, это можно считать победой кибербезопасности, ибо в 2025-м году удаленный доступ действительно можно сделать безопасным, а именно проблему ИБ я считаю основной в вопросе удаленной работы, что касается эффективности - писал здесь.
- 72% аналитиков полагаются на опыт и интуицию, а не на структурированные методы анализа TI - это просто вишенка на торте, причем, я тоже могу это подтвердить! За время работы SOC вырабатывается определенное "чутье", интуиция, работающие несравненно лучше любого продвинутого генеративного ИИ.
- по технологиям: EDR/XDR — лидер по удовлетворённости (~ рынок дозрел), а AI/ML - на последних местах (~ еще зеленый), SIEM - критически важен, но нередко используется неэффективно (~ повышение сложности требует вызревания UX).
- растет использование облаков
- развивается вопрос карьерного роста аналитиков SOC как инструмента удержания
В целом, направления развития понятны:
- ML/AI/DL, чтобы наконец-то выжать эффективность
- развитие кадров\карьерный рост\мотивация\удержание, выше писал про особую интуицию - это очень важно и такой опыт очень долго и дорого получать, важно чтобы такие профессионалы не терялись
#MDR
🔥7
npm debug and chalk packages compromised
Очередной эпичный supply chain через node.js
Разборы доступны здесь:
раз
два
История
а вот совсем недавно рассуждали 😢
#dev #vCISO #MDR
Очередной эпичный supply chain через node.js
Разборы доступны здесь:
раз
два
История
а вот совсем недавно рассуждали 😢
#dev #vCISO #MDR
www.aikido.dev
npm debug and chalk packages compromised
The popular packages debug and chalk on npm have been compromised with malicious code
👍2