Порвали два трояна
Про ИБ в бизнесе, промышленности и многом другом 💼
Главный канал Kaspersky: @kasperskylab_ru
Связь @KasperskyCrew
Главный канал Kaspersky: @kasperskylab_ru
Связь @KasperskyCrew
Рэйтынг TGlist
0
0
ТыпПублічны
Вертыфікацыя
Не вертыфікаваныНадзейнасць
Не надзейныРазмяшчэннеРосія
МоваІншая
Дата стварэння каналаJun 22, 2022
Дадана ў TGlist
Oct 19, 2024Апошнія публікацыі ў групе "Порвали два трояна"
18.04.202512:56
🟡 Как оптимизировать бюджет ИБ?
Вернулись к CISO Mindmap, чтобы оценить приоритеты ИБ с позиций экономической эффективности. Улучшить киберустойчивость организации и сэкономить бюджет помогут:
👍 консолидация ИБ-инструментов;
👍 автоматизация зрелых процессов;
👍 экономически эффективные решения в SOC.
А ещё проекты ИБ можно профинансировать в рамках более крупных процессов в компании, например внедрения генеративного ИИ.
Подробнее разобрали подходы в блоге.
#CISO #советы @П2Т
Вернулись к CISO Mindmap, чтобы оценить приоритеты ИБ с позиций экономической эффективности. Улучшить киберустойчивость организации и сэкономить бюджет помогут:
👍 консолидация ИБ-инструментов;
👍 автоматизация зрелых процессов;
👍 экономически эффективные решения в SOC.
А ещё проекты ИБ можно профинансировать в рамках более крупных процессов в компании, например внедрения генеративного ИИ.
Подробнее разобрали подходы в блоге.
#CISO #советы @П2Т
04.04.202513:33
🎯Ребята, мы?
#ИБ_мем @П2Т
#ИБ_мем @П2Т
Пераслаў з:
Солдатов в Телеграм
04.04.202507:58
Оценка возможностей команды - важнейший вопрос планирования ресурсного обеспечения SOC. С одной стороны необходимо, чтобы команда не простаивала, с другой стороны - чрезмерно большой объем будет приводить к перегреву и потере ключевых сотрудников.
Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.
И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.
Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.
Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.
#MDR
Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.
И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.
Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.
Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.
#MDR
03.04.202507:18
🚑 Свежий обзор киберугроз в секторе здравоохранения может навести страху на любого читателя (особенно того, кто не исключает, что однажды окажется в больнице). Хотя обстоятельный документ полон очевидных наблюдений наподобие «устаревшие ИТ-системы создают плодородную почву для кибератак», есть там и более практичная и менее банальная информация. Например:
▪️ средний ущерб от кибератаки в медучреждениях вдвое превышает средний ущерб по всем индустриям. Не в последнюю очередь — из-за жёстких регуляторных требований по реагированию на инцидент и утечку медицинских данных, но также из-за бОльшей вероятности, что жертва заплатит выкуп рансомварщикам. Ведь каждый час простоя ИТ-систем — это ухудшение прогноза для пациентов в больнице;
▪️ типичный американский госпиталь имеет 10-15 медицинских устройств в пересчёте на койку, и эти тысячи устройств в большинстве случаев подключены к телеметрии и удалённому доступу;
▪️ вообще на США приходится 51% атак на медучреждения, на втором месте Индия с Канадой, которым досталось по 4%;
▪️ значительные усилия вымогателей нацелены на компрометацию цепочки поставок. Специализированные услуги на стыке медицины и ИТ — ведение карт пациента, учёт выплат и страховок, цифровой рентген, УЗИ, КТ и МРТ — поставляет небольшое число фирм. Взлом любой из них сразу накрывает десятки и сотни медицинских учреждений, как наглядно продемонстрировал инцидент с Change Healthcare;
▪️ процент устаревшего оборудования, снабженного очень устаревшим ПО, остаётся значительным.
Рекомендации медицинским учреждениям даны по каждой из проблемных тем отдельно, но наибольший приоритет стоит уделить:
▪️ эффективной сетевой сегментации для снижения рисков, связанных с небезопасной и устаревшей медтехникой;
▪️ детальной подготовке к реагированию на инциденты, включая планирование, киберучения и backup/restore-учения;
▪️ регулярному аудиту прав доступа;
▪️ обучению всего медперсонала ИБ-гигиене;
▪️ поиску, анализу и защите доступных по сети носителей информации;
▪️ борьбе со слабыми и повторяющимися паролями, а также паролями, хранящимися в открытом виде;
▪️ включению вопросов ответственности за ИБ и обращение с ПД в договоры с подрядчиками и поставщиками ПО;
▪️ минимизации доступа подрядчиков к ИТ-системам в рамках принципа наименьших привилегий;
▪️ мониторингу и защите API при интеграции медицинских систем.
#CISO #советы @П2Т
▪️ средний ущерб от кибератаки в медучреждениях вдвое превышает средний ущерб по всем индустриям. Не в последнюю очередь — из-за жёстких регуляторных требований по реагированию на инцидент и утечку медицинских данных, но также из-за бОльшей вероятности, что жертва заплатит выкуп рансомварщикам. Ведь каждый час простоя ИТ-систем — это ухудшение прогноза для пациентов в больнице;
▪️ типичный американский госпиталь имеет 10-15 медицинских устройств в пересчёте на койку, и эти тысячи устройств в большинстве случаев подключены к телеметрии и удалённому доступу;
▪️ вообще на США приходится 51% атак на медучреждения, на втором месте Индия с Канадой, которым досталось по 4%;
▪️ значительные усилия вымогателей нацелены на компрометацию цепочки поставок. Специализированные услуги на стыке медицины и ИТ — ведение карт пациента, учёт выплат и страховок, цифровой рентген, УЗИ, КТ и МРТ — поставляет небольшое число фирм. Взлом любой из них сразу накрывает десятки и сотни медицинских учреждений, как наглядно продемонстрировал инцидент с Change Healthcare;
▪️ процент устаревшего оборудования, снабженного очень устаревшим ПО, остаётся значительным.
Рекомендации медицинским учреждениям даны по каждой из проблемных тем отдельно, но наибольший приоритет стоит уделить:
▪️ эффективной сетевой сегментации для снижения рисков, связанных с небезопасной и устаревшей медтехникой;
▪️ детальной подготовке к реагированию на инциденты, включая планирование, киберучения и backup/restore-учения;
▪️ регулярному аудиту прав доступа;
▪️ обучению всего медперсонала ИБ-гигиене;
▪️ поиску, анализу и защите доступных по сети носителей информации;
▪️ борьбе со слабыми и повторяющимися паролями, а также паролями, хранящимися в открытом виде;
▪️ включению вопросов ответственности за ИБ и обращение с ПД в договоры с подрядчиками и поставщиками ПО;
▪️ минимизации доступа подрядчиков к ИТ-системам в рамках принципа наименьших привилегий;
▪️ мониторингу и защите API при интеграции медицинских систем.
#CISO #советы @П2Т
02.04.202507:34
📌 CISO mindmap 2025
Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).
Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:
🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки,чистка зубов перед сном.
#советы #CISO @П2Т
Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).
Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:
🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки,
#советы #CISO @П2Т
01.04.202509:07
🗣 Практика MDR из первых рук
Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:
▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.
Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:
▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.
Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
01.04.202506:06
☀️ Полсотни уязвимостей в... солнечных батареях
Исследовательское подразделение Forescout выкатило монументальный отчёт об уязвимостях в инфраструктуре солнечной энергетики. Поскольку почти все солнечные панели — от стоящих на крыше частного дома до крупных ферм на пару мегаватт — подключены к инструментам телеметрии и управления нагрузкой, они подвержены всем типичным атакам, знакомым по другим дырявым устройствам IoT. В отчёте упомянуто минимум три крупных инцидента прошлого года, исходящих от всех групп атакующих: от хактивистов до шпионских APT.
Неприятно, когда ваша солнечная батарея подрабатывает в Mirai на полставки, но основной угрозой конечно является нарушение стабильности энергосистемы. Компрометация инверторов может привести к целенаправленному нарушению выработки электроэнергии и даже к массовым отключениям, достижимым при помощи класса атак load altering. Это может быть актуально для регионов с динамично растущей долей солнечной генерации, будь то Нидерланды или Забайкалье.
🔥 В отчёте упоминаются 93 ранее раскрытые уязвимости, которые в разной мере приводят к компрометации устройств, связанного с ними облачного сервиса и других компонентов, 80% имеют уровень серьёзности high и critical. Но исследователи не удовлетворились обзором литературы и занялись изучением панелей ведущих производителей, включая Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe и SMA.
У Sungrow, Growatt и SMA было выявлено 46 новых уязвимостей, включая жёстко заданные учётные данные, слабое шифрование, возможность перебора пользователей, и даже XSS и классическое переполнение буфера с RCE.
Основные выводы для тех, кто эксплуатирует любые солнечные батареи (крупнее калькуляторов и садовых фонарей):
🟢 относитесь к инверторам как критической инфраструктуре;
🟢 размещайте их в изолированных подсетях и обеспечьте постоянный мониторинг трафика и событий;
🟢 проводите аудит безопасности солнечных установок по аналогии с другой IT/OT-инфраструктурой;
🟢 выбирайте поставщиков с учётом соблюдения ими принципов безопасной разработки, прохождения регулярных пентестов и соответствия международным стандартам безопасности.
Для этого класса устройств есть подробные руководства по ИБ от NIST и американского Минэнерго.
#советы #угрозы @П2Т
Исследовательское подразделение Forescout выкатило монументальный отчёт об уязвимостях в инфраструктуре солнечной энергетики. Поскольку почти все солнечные панели — от стоящих на крыше частного дома до крупных ферм на пару мегаватт — подключены к инструментам телеметрии и управления нагрузкой, они подвержены всем типичным атакам, знакомым по другим дырявым устройствам IoT. В отчёте упомянуто минимум три крупных инцидента прошлого года, исходящих от всех групп атакующих: от хактивистов до шпионских APT.
Неприятно, когда ваша солнечная батарея подрабатывает в Mirai на полставки, но основной угрозой конечно является нарушение стабильности энергосистемы. Компрометация инверторов может привести к целенаправленному нарушению выработки электроэнергии и даже к массовым отключениям, достижимым при помощи класса атак load altering. Это может быть актуально для регионов с динамично растущей долей солнечной генерации, будь то Нидерланды или Забайкалье.
🔥 В отчёте упоминаются 93 ранее раскрытые уязвимости, которые в разной мере приводят к компрометации устройств, связанного с ними облачного сервиса и других компонентов, 80% имеют уровень серьёзности high и critical. Но исследователи не удовлетворились обзором литературы и занялись изучением панелей ведущих производителей, включая Huawei, Sungrow, Ginlong Solis, Growatt, GoodWe и SMA.
У Sungrow, Growatt и SMA было выявлено 46 новых уязвимостей, включая жёстко заданные учётные данные, слабое шифрование, возможность перебора пользователей, и даже XSS и классическое переполнение буфера с RCE.
Основные выводы для тех, кто эксплуатирует любые солнечные батареи (крупнее калькуляторов и садовых фонарей):
🟢 относитесь к инверторам как критической инфраструктуре;
🟢 размещайте их в изолированных подсетях и обеспечьте постоянный мониторинг трафика и событий;
🟢 проводите аудит безопасности солнечных установок по аналогии с другой IT/OT-инфраструктурой;
🟢 выбирайте поставщиков с учётом соблюдения ими принципов безопасной разработки, прохождения регулярных пентестов и соответствия международным стандартам безопасности.
Для этого класса устройств есть подробные руководства по ИБ от NIST и американского Минэнерго.
#советы #угрозы @П2Т
31.03.202507:12
⏩ Интересные исследования APT и новости ИБ за неделю
🟢Новая волна вредоносных рассылок российским организациям от группировки HeadMare: злоумышленники рассылают ВПО PhantomPyramid. Примечательно, что вложение является «полиглотом» — это склеенные вместе бинарный файл и небольшой ZIP.
🟢Финансовые киберугрозы по итогам 24 года: аэрокосмический рост (89%) попыток фишинга в сфере криптовалют, но первенство среди приманок всё равно держат сообщения от банков (42%).
🟡Поучительное чтение: разбор инцидента с проникновением APT WeaverAnt в сеть азиатского телеком-провайдера. Их неоднократно обнаруживали и пытались выгнать, но «муравьи» возвращались — и так четыре (!) года.
🟣Угрозы для open source всё усложняются — обнаружены два npm-пакета, которые при установке патчат другие установленные пакеты, добавляя обратный шелл.
🔵Промышленные организации во многих странах Азии стали жертвой операции SalmonSlalom — в результате целевого фишинга им установили FatalRAT. В качестве С2 применялись местные сервисы myqcloud и Youdao Cloud Notes.
🟣Ransomware-группировка Dragonforce продолжает атаковать конкурентов: следом за Mamona дефейсу подверглись BlackLock. Возможно, за кулисами более мудрёная история вроде перепродажи активов или exit scam.
🟢Технический анализ инструмента, применяемого вымогательскими группами Medusa, RansomHub, BianLian и Play для отключения СЗИ. Разобраны связи между этими группами.
🟣Новая RaaS: VanHelsing.
🔵Обзор PaaS-платформы Lucid, примечательной тем, что спам можно рассылать как через SMS, так и нативные для смартфонов iMessage и RCS.
🟠Анализ инструментария APT FamousSparrow (возможно, пересекающейся с Salt Typhoon и Earth Estries, но это не точно), включая две новые версии фирменного ВПО SparrowDoor
🔴Логический дефект песочницы, являющийся зиродеем и закрытый на неделе в Chrome, оказался применим и в Firefox. Для обоих браузеров доступны обновления.
🔴Разбор GorillaBot, относительно нового IoT-ботнета, применяемого в крупных DDoS-атаках.
🟣Целевые атаки на азиатских пользователей (Индия и Тайвань) с помощью Android-импланта PJobRAT.
🔵Редкая, но приятная новость: арестованы создатели Android-банкера Mamont, ставшего одним из лидеров в топе мобильных зловредов.
🪲Редкая, но неприятная новость: создателя HaveIbeenPwned Троя Ханта успешно скомпрометировали при помощи целевого фишинга и скачали список его почтовой рассылки на Mailchimp.
#дайджест #APT @П2Т
🟢Новая волна вредоносных рассылок российским организациям от группировки HeadMare: злоумышленники рассылают ВПО PhantomPyramid. Примечательно, что вложение является «полиглотом» — это склеенные вместе бинарный файл и небольшой ZIP.
🟢Финансовые киберугрозы по итогам 24 года: аэрокосмический рост (89%) попыток фишинга в сфере криптовалют, но первенство среди приманок всё равно держат сообщения от банков (42%).
🟡Поучительное чтение: разбор инцидента с проникновением APT WeaverAnt в сеть азиатского телеком-провайдера. Их неоднократно обнаруживали и пытались выгнать, но «муравьи» возвращались — и так четыре (!) года.
🟣Угрозы для open source всё усложняются — обнаружены два npm-пакета, которые при установке патчат другие установленные пакеты, добавляя обратный шелл.
🔵Промышленные организации во многих странах Азии стали жертвой операции SalmonSlalom — в результате целевого фишинга им установили FatalRAT. В качестве С2 применялись местные сервисы myqcloud и Youdao Cloud Notes.
🟣Ransomware-группировка Dragonforce продолжает атаковать конкурентов: следом за Mamona дефейсу подверглись BlackLock. Возможно, за кулисами более мудрёная история вроде перепродажи активов или exit scam.
🟢Технический анализ инструмента, применяемого вымогательскими группами Medusa, RansomHub, BianLian и Play для отключения СЗИ. Разобраны связи между этими группами.
🟣Новая RaaS: VanHelsing.
🔵Обзор PaaS-платформы Lucid, примечательной тем, что спам можно рассылать как через SMS, так и нативные для смартфонов iMessage и RCS.
🟠Анализ инструментария APT FamousSparrow (возможно, пересекающейся с Salt Typhoon и Earth Estries, но это не точно), включая две новые версии фирменного ВПО SparrowDoor
🔴Логический дефект песочницы, являющийся зиродеем и закрытый на неделе в Chrome, оказался применим и в Firefox. Для обоих браузеров доступны обновления.
🔴Разбор GorillaBot, относительно нового IoT-ботнета, применяемого в крупных DDoS-атаках.
🟣Целевые атаки на азиатских пользователей (Индия и Тайвань) с помощью Android-импланта PJobRAT.
🔵Редкая, но приятная новость: арестованы создатели Android-банкера Mamont, ставшего одним из лидеров в топе мобильных зловредов.
🪲Редкая, но неприятная новость: создателя HaveIbeenPwned Троя Ханта успешно скомпрометировали при помощи целевого фишинга и скачали список его почтовой рассылки на Mailchimp.
#дайджест #APT @П2Т
30.03.202510:18
🎚 Демо NFGW, краденые и бездарно слитые учётные данные, и другие полезные посты марта
Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗
🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.
Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.
#советы #дайджест @П2Т
Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗
🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.
Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.
#советы #дайджест @П2Т
Пераслаў з:
Евгений Касперский
28.03.202514:06
Почему надо обновлять не только Chromium.
Прямо вслед за новостью об уязвимости в Chrome и Chromium, свой браузер Firefox пропатчила Mozilla.
Да, Хромиума нет, а уязвимость, получается, есть (была), и она находилась в логике взаимодействия песочницы с ОС, которая у разных браузеров имеет (имела) схожую ошибку.
Напомню, мы недавно обнаружили дыру в Chrome и лежащем в его основе Chromium ( который также используется в Яндекс.Браузере, MS Edge и т.д.).
Уязвимость использовали в реальных атаках на цели в России, судя по всему, достаточно продвинутые хакеры.
В общем, обновляйте и Firefox тоже.
Прямо вслед за новостью об уязвимости в Chrome и Chromium, свой браузер Firefox пропатчила Mozilla.
Да, Хромиума нет, а уязвимость, получается, есть (была), и она находилась в логике взаимодействия песочницы с ОС, которая у разных браузеров имеет (имела) схожую ошибку.
Напомню, мы недавно обнаружили дыру в Chrome и лежащем в его основе Chromium ( который также используется в Яндекс.Браузере, MS Edge и т.д.).
Уязвимость использовали в реальных атаках на цели в России, судя по всему, достаточно продвинутые хакеры.
В общем, обновляйте и Firefox тоже.
28.03.202510:48
🗣 SOC-битва: коммерческий против гибридного
Когда: 2 апреля 2025 в 11:00 (МСК)
Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует регуляторным нормам? Все аспекты выбора между стопроцентно сервисной моделью SOC (MSSP) или гибридным вариантом, когда часть функций выполняет внутренняя команда, обсудят руководители ведущих SOC на онлайн-конференции AM-Live!
Детально разберёмся:
▶️ в отличиях гибридной схемы оказания услуг и полностью сервисного MSSP-подхода;
▶️ какой вариант SOC более востребован в РФ, и почему;
▶️ как влияют на выбор отраслевые и законодательные требования;
▶️ в обязательных условиях ответственности и SLA в контракте;
▶️ в затратах на запуск и поддержание SOC в обеих моделях;
▶️ как измерить эффективность гибридного и коммерческого SOC? Будут ли отличия в критериях?
👤 От «Лаборатории Касперского» выступит Сергей Солдатов, руководитель центра мониторинга кибербезопасности
Встречаемся в среду: 2 апреля 2025
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
Когда: 2 апреля 2025 в 11:00 (МСК)
Лёгкое масштабирование или глубокое знание защищаемой инфраструктуры? Зависимость от поставщика или бесконечная погоня за компетентными кадрами? Что дешевле, а что лучше соответствует регуляторным нормам? Все аспекты выбора между стопроцентно сервисной моделью SOC (MSSP) или гибридным вариантом, когда часть функций выполняет внутренняя команда, обсудят руководители ведущих SOC на онлайн-конференции AM-Live!
Детально разберёмся:
▶️ в отличиях гибридной схемы оказания услуг и полностью сервисного MSSP-подхода;
▶️ какой вариант SOC более востребован в РФ, и почему;
▶️ как влияют на выбор отраслевые и законодательные требования;
▶️ в обязательных условиях ответственности и SLA в контракте;
▶️ в затратах на запуск и поддержание SOC в обеих моделях;
▶️ как измерить эффективность гибридного и коммерческого SOC? Будут ли отличия в критериях?
👤 От «Лаборатории Касперского» выступит Сергей Солдатов, руководитель центра мониторинга кибербезопасности
Встречаемся в среду: 2 апреля 2025
Нужна предварительная регистрация.
Узнать о конференции и зарегистрироваться ⟶
#события @П2Т
27.03.202507:12
💻 ВПО с подписями Microsoft — уже в арсенале злоумышленников
В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.
Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.
При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.
Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.
#советы #Microsoft @П2Т
В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.
Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.
При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.
Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.
#советы #Microsoft @П2Т
26.03.202511:31
👀 Patch Wednesday: накопилось
Кроме вчерашнего 0day в Chrome, ответственным за управление уязвимостями стоит мобилизовать ИТ-команды для оперативного устранения нескольких разношёрстных, но серьёзных дефектов в корпоративном ПО:
IngressNightmare: 4 CVE в контроллере Ingress-NGINX, который активирован на 41% кластеров Kubernetes, видимых из Интернета. Цепочка четырёх уязвимостей коллективно тянет на CVSS 9.8 и в итоге приводит к RCE без аутентификации. Атакующие могут утащить все секреты, сохранённые в кластере и захватить его в целом. Обычно admission endpoint не стоит выставлять в публичный интернет, доступ к нему нужен только API-серверу K8s, тем не менее, по оценкам Wiz более 6500 корпораций сделали именно это.
CVE-2025-22230 (CVSS 7.8), обход аутентификации в VMWare tools, позволяет выполнять высокопривелегированные операции в гостевой VM на Windows.
Дыра без CVE в CrushFTP 11, позволяющая без аутентификации получать доступ к данным через порты HTTP(S). Вендор стыдливо упомянул о дефекте только в клиентской рассылке, но оперативно устранил дефект и обещал номер CVE попозже.
#новости #уязвимости @П2Т
Кроме вчерашнего 0day в Chrome, ответственным за управление уязвимостями стоит мобилизовать ИТ-команды для оперативного устранения нескольких разношёрстных, но серьёзных дефектов в корпоративном ПО:
IngressNightmare: 4 CVE в контроллере Ingress-NGINX, который активирован на 41% кластеров Kubernetes, видимых из Интернета. Цепочка четырёх уязвимостей коллективно тянет на CVSS 9.8 и в итоге приводит к RCE без аутентификации. Атакующие могут утащить все секреты, сохранённые в кластере и захватить его в целом. Обычно admission endpoint не стоит выставлять в публичный интернет, доступ к нему нужен только API-серверу K8s, тем не менее, по оценкам Wiz более 6500 корпораций сделали именно это.
CVE-2025-22230 (CVSS 7.8), обход аутентификации в VMWare tools, позволяет выполнять высокопривелегированные операции в гостевой VM на Windows.
Дыра без CVE в CrushFTP 11, позволяющая без аутентификации получать доступ к данным через порты HTTP(S). Вендор стыдливо упомянул о дефекте только в клиентской рассылке, но оперативно устранил дефект и обещал номер CVE попозже.
#новости #уязвимости @П2Т
25.03.202522:31
❗️ Зиродей в Chrome используется в атаках на российских пользователей
Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».
И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.
Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.
#APT #уязвимости @П2Т
Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».
И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.
Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.
#APT #уязвимости @П2Т
25.03.202522:31
Рэкорды
06.03.202507:48
8.3KПадпісчыкаў31.03.202523:59
200Індэкс цытавання21.11.202423:59
1.7KАхоп 1 паста14.12.202421:58
717Ахоп рэкламнага паста14.03.202523:59
8.68%ER12.03.202508:10
12.85%ERR02.04.202507:34
📌 CISO mindmap 2025
Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).
Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:
🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки,чистка зубов перед сном.
#советы #CISO @П2Т
Популярный постер о работе CISO обновился до свежей версии 2025 (блог, постер в PDF).
Изменения выделены цветом, но если вкратце, то основные направления, в которых ИБ-лидерам нужно совершенствовать безопасность организации таковы:
🟣полный цикл мер по защите применения генеративного ИИ: стандарты и политики, отбор допустимых моделей и провайдеров ИИ для различных департаментов и задач, включение в программы управления уязвимостями, обучение персонала;
🟣консолидация инструментов ИБ — либо в рамках моновендорного подхода, либо в философии best of the breed с упором на инструменты с хорошей API-интеграцией;
🟣запуск программы по идентификации и устранению ИБ-долга:
🟣конкретные меры подготовки к атакам ransomware — от учений по восстановлению резервных копий до программ повышения киберустойчивости и покупки кибер-страховки;
🟣выработка и переход к осмысленным метрикам ИБ, которые полезны в управлении рисками и понятны высшему руководству;
🟣кибер-гигиена: улучшение безопасности API, управление рисками в цепочке поставок, сокращение поверхности атаки,
#советы #CISO @П2Т
03.04.202507:18
🚑 Свежий обзор киберугроз в секторе здравоохранения может навести страху на любого читателя (особенно того, кто не исключает, что однажды окажется в больнице). Хотя обстоятельный документ полон очевидных наблюдений наподобие «устаревшие ИТ-системы создают плодородную почву для кибератак», есть там и более практичная и менее банальная информация. Например:
▪️ средний ущерб от кибератаки в медучреждениях вдвое превышает средний ущерб по всем индустриям. Не в последнюю очередь — из-за жёстких регуляторных требований по реагированию на инцидент и утечку медицинских данных, но также из-за бОльшей вероятности, что жертва заплатит выкуп рансомварщикам. Ведь каждый час простоя ИТ-систем — это ухудшение прогноза для пациентов в больнице;
▪️ типичный американский госпиталь имеет 10-15 медицинских устройств в пересчёте на койку, и эти тысячи устройств в большинстве случаев подключены к телеметрии и удалённому доступу;
▪️ вообще на США приходится 51% атак на медучреждения, на втором месте Индия с Канадой, которым досталось по 4%;
▪️ значительные усилия вымогателей нацелены на компрометацию цепочки поставок. Специализированные услуги на стыке медицины и ИТ — ведение карт пациента, учёт выплат и страховок, цифровой рентген, УЗИ, КТ и МРТ — поставляет небольшое число фирм. Взлом любой из них сразу накрывает десятки и сотни медицинских учреждений, как наглядно продемонстрировал инцидент с Change Healthcare;
▪️ процент устаревшего оборудования, снабженного очень устаревшим ПО, остаётся значительным.
Рекомендации медицинским учреждениям даны по каждой из проблемных тем отдельно, но наибольший приоритет стоит уделить:
▪️ эффективной сетевой сегментации для снижения рисков, связанных с небезопасной и устаревшей медтехникой;
▪️ детальной подготовке к реагированию на инциденты, включая планирование, киберучения и backup/restore-учения;
▪️ регулярному аудиту прав доступа;
▪️ обучению всего медперсонала ИБ-гигиене;
▪️ поиску, анализу и защите доступных по сети носителей информации;
▪️ борьбе со слабыми и повторяющимися паролями, а также паролями, хранящимися в открытом виде;
▪️ включению вопросов ответственности за ИБ и обращение с ПД в договоры с подрядчиками и поставщиками ПО;
▪️ минимизации доступа подрядчиков к ИТ-системам в рамках принципа наименьших привилегий;
▪️ мониторингу и защите API при интеграции медицинских систем.
#CISO #советы @П2Т
▪️ средний ущерб от кибератаки в медучреждениях вдвое превышает средний ущерб по всем индустриям. Не в последнюю очередь — из-за жёстких регуляторных требований по реагированию на инцидент и утечку медицинских данных, но также из-за бОльшей вероятности, что жертва заплатит выкуп рансомварщикам. Ведь каждый час простоя ИТ-систем — это ухудшение прогноза для пациентов в больнице;
▪️ типичный американский госпиталь имеет 10-15 медицинских устройств в пересчёте на койку, и эти тысячи устройств в большинстве случаев подключены к телеметрии и удалённому доступу;
▪️ вообще на США приходится 51% атак на медучреждения, на втором месте Индия с Канадой, которым досталось по 4%;
▪️ значительные усилия вымогателей нацелены на компрометацию цепочки поставок. Специализированные услуги на стыке медицины и ИТ — ведение карт пациента, учёт выплат и страховок, цифровой рентген, УЗИ, КТ и МРТ — поставляет небольшое число фирм. Взлом любой из них сразу накрывает десятки и сотни медицинских учреждений, как наглядно продемонстрировал инцидент с Change Healthcare;
▪️ процент устаревшего оборудования, снабженного очень устаревшим ПО, остаётся значительным.
Рекомендации медицинским учреждениям даны по каждой из проблемных тем отдельно, но наибольший приоритет стоит уделить:
▪️ эффективной сетевой сегментации для снижения рисков, связанных с небезопасной и устаревшей медтехникой;
▪️ детальной подготовке к реагированию на инциденты, включая планирование, киберучения и backup/restore-учения;
▪️ регулярному аудиту прав доступа;
▪️ обучению всего медперсонала ИБ-гигиене;
▪️ поиску, анализу и защите доступных по сети носителей информации;
▪️ борьбе со слабыми и повторяющимися паролями, а также паролями, хранящимися в открытом виде;
▪️ включению вопросов ответственности за ИБ и обращение с ПД в договоры с подрядчиками и поставщиками ПО;
▪️ минимизации доступа подрядчиков к ИТ-системам в рамках принципа наименьших привилегий;
▪️ мониторингу и защите API при интеграции медицинских систем.
#CISO #советы @П2Т
25.03.202522:31
❗️ Зиродей в Chrome используется в атаках на российских пользователей
Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».
И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.
Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.
#APT #уязвимости @П2Т
Эксперты Kaspersky GReAT обнаружили целевую атаку на представителей СМИ, образовательных учреждений и правительственных организаций, в которой жертв заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium (дефект получил номер CVE-2025-2783). Пользователей Windows после посещения сайта заражали ВПО предположительно с целью шпионажа. Для привлечения жертв использовался целевой фишинг, приглашающий на научный форум «Примаковские чтения».
И уязвимость, и ВПО отличаются высокой степенью изощрённости, поэтому вероятно за атакой стоит APT-группировка, спонсируемая государством. Подробности об атаке и IoC можно прочитать на Securelist, а технический разбор самой уязвимости в Chrome мы опубликуем, когда большая часть пользователей установит обновления.
Мы сообщили об уязвимости в Google и сегодня вышла обновлённая версия Chrome 134.0.6998.177/.178, которую мы рекомендуем незамедлительно установить. На всех компьютерах должно быть установлено надёжное защитное ПО. Решения Kaspersky успешно детектируют эксплойты, использованные в данной атаке.
#APT #уязвимости @П2Т
20.03.202507:32
👌 ИИ в SIEM: практические сценарии применения
Не любим размахивать руками в воздухе, поэтому сразу к делу — уже сейчас в KUMA, нашей SIEM, есть три ИИ-инструмента, которые значительно повышают производительность труда аналитика и эффективность внедрения SIEM в целом:
1️⃣▶️приоритизация алертов. Система AI asset risk scoring повышает приоритет предупреждений, которым сопутствует аномальное поведение ИТ-актива;
2️⃣▶️ускорение IR. Языковая модель, например, помогает мгновенно разобраться в конечной цели обфусцированных команд (пример с PowerShell на скриншоте);
3️⃣▶️поиск TI. Нечёткий поиск с помощью LLM позволяет найти и систематизировать релевантные данные киберразведки, располагая любым фрагментом начальной информации, вроде подозрительного имени файла или хэша.
Подробнее (и с примерами!) текущие сценарии использования и перспективы на будущее описаны у нас в блоге.
#советы #SIEM @П2Т
Не любим размахивать руками в воздухе, поэтому сразу к делу — уже сейчас в KUMA, нашей SIEM, есть три ИИ-инструмента, которые значительно повышают производительность труда аналитика и эффективность внедрения SIEM в целом:
1️⃣▶️приоритизация алертов. Система AI asset risk scoring повышает приоритет предупреждений, которым сопутствует аномальное поведение ИТ-актива;
2️⃣▶️ускорение IR. Языковая модель, например, помогает мгновенно разобраться в конечной цели обфусцированных команд (пример с PowerShell на скриншоте);
3️⃣▶️поиск TI. Нечёткий поиск с помощью LLM позволяет найти и систематизировать релевантные данные киберразведки, располагая любым фрагментом начальной информации, вроде подозрительного имени файла или хэша.
Подробнее (и с примерами!) текущие сценарии использования и перспективы на будущее описаны у нас в блоге.
#советы #SIEM @П2Т
Пераслаў з:Солдатов в Телеграм
04.04.202507:58
Оценка возможностей команды - важнейший вопрос планирования ресурсного обеспечения SOC. С одной стороны необходимо, чтобы команда не простаивала, с другой стороны - чрезмерно большой объем будет приводить к перегреву и потере ключевых сотрудников.
Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.
И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.
Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.
Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.
#MDR
Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.
И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.
Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.
Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.
#MDR
27.03.202507:12
💻 ВПО с подписями Microsoft — уже в арсенале злоумышленников
В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.
Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.
При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.
Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.
#советы #Microsoft @П2Т
В марте на Virustotal обнаружили многочисленные образцы ВПО, подписанные сертификатами, которые выпущены «Microsoft ID Verified CS EOC CA 01» со сроком действия всего трое суток. Такой сертификат можно получить, используя платформу Microsoft Trusted Signing для облачного подписания ПО.
Microsoft запустила Trusted Signing в прошлом году, видимо вдохновившись успехами Let's Encrypt. Цель — предоставить разработчикам недорогой, простой и безопасный способ подписывать свои программы. Подписание проводится в облаке, и разработчики никогда не распоряжаются самим сертификатом. При этом Редмонд подписывает не файл, а его хэш (digest signing), то есть не проверяет содержимое файла.
Короткоживущие сертификаты по задумке должны снизить масштаб проблемы в случае взлома. Когда сертификат истекает, ранее подписанные им приложения считаются легитимными и продолжают запускаться без всяких предупреждений. Но при обнаружении ВПО или иных проблем Microsoft отзывает сертификат-трёхдневку и всё, что разработчики подписали им за три дня, будет считаться недоверенным. Доступ к Trusted Signing стоит 10 долларов в месяц, и для злоумышленников это конечно гораздо лучше, чем хлопотать с кражей или покупкой полноценного EV-сертификата.
При этом сертификаты этого сервиса повышают репутацию подписанного файла для SmartScreen, наравне с EV-сертификатами. Неудивительно, что новыми сертификатами уже щеголяют образцы Lumma Stealer (VT) и других штаммов ВПО.
Microsoft заявила, что уже отозвала сертификаты у известных вредоносных кампаний, но внедрять более строгий фейс-контроль в своём УЦ, видимо, не планирует. Поэтому проверять и корректировать репутацию подписанных бинарников придётся на стороне SOC.
#советы #Microsoft @П2Т
30.03.202510:18
🎚 Демо NFGW, краденые и бездарно слитые учётные данные, и другие полезные посты марта
Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗
🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.
Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.
#советы #дайджест @П2Т
Собрали самое ценное и интересное за месяц — эти материалы помогут выстроить эффективные процессы и системы в ИБ. Если вы пропустили их в спешке, самое время почитать! 🤗
🟣Видео-демонстрация особенностей и возможностей нашего NGFW;
🟣любимые TTPs атакующих по статистике экспертов сервиса IR;
🟣сколько секретов на самом деле хранится в GitHub (а в Slack ещё больше);
🟣подробный, с 🔥 разбор деятельности Lazarus — от атак на ЦБ Бангладеш до кражи из Bybit;
🟣сколько корпоративных учёток нашлось в логах инфостилеров;
🟣где в разработке ПО копится техдолг, опасный для ИБ, и что с этим делать;
🟣откуда взялось свежее ВПО с цифровой подписью Microsoft;
🟣какими практически полезными ИИ-функциями можно воспользоваться в KUMA уже сейчас
🟣как оптимизировать сканирование огромных хранилищ файлов;
🟣прощание с uBlock и Skype, новая слежка Google и другие новости личной ИБ.
Бонус-трек: вредные opsec-советы по обсуждению секретных сведений в мессенджере Signal от редакции The Atlantic (часть 1, часть 2). А если серьёзно, в Signal есть удобная функция приватных псевдонимов, позволяющая пользователям не путать, кого из нескольких JG надо добавлять в чат.
#советы #дайджест @П2Т
Пераслаў з:
Kaspersky
21.03.202514:06
🐧Линуксоиды, уже поставили себе Kaspersky?
Если нет — собрали для вас самое главное в карточках, а подробности — в нашем блоге.
Полезные ссылки к карточкам:
▶️системные требования;
▶️инструкция по установке;
▶️справка Kaspersky для Linux.
Если нет — собрали для вас самое главное в карточках, а подробности — в нашем блоге.
Полезные ссылки к карточкам:
▶️системные требования;
▶️инструкция по установке;
▶️справка Kaspersky для Linux.
01.04.202509:07
🗣 Практика MDR из первых рук
Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:
▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.
Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
Критические инциденты, которые в прошлом году обработало наше решение MDR, в среднем требовали на 48% больше времени, чтобы их детектировать и полноценно описать. Сложность атак повышается, поэтому важно знать, как меняется фокус злоумышленников и их инструментарий. Уникальный шанс узнать об этом из первых рук — уже в этот четверг.
Сергей Солдатов, руководитель центра мониторинга кибербезопасности «Лаборатории Касперского», расскажет:
▶️ каков портрет злоумышленника и как атаки сгруппированы по типу и целям;
▶️ какие TTPs хакеры стали использовать чаще;
▶️ что и как сделать, чтобы своевременно выявить угрозу и защитить бизнес.
Встречаемся в четверг: 3 апреля 2025 в 11:00 (МСК).
Нужна предварительная регистрация.
Зарезервировать место на стриме ⟶
#события @П2Т
Увайдзіце, каб разблакаваць больш функцый.