Развиваем киберзащиту и измерям её эффективность
Задач в ИБ всегда больше, чем ресурсов и времени, поэтому критически важны правильная приоритизация задач и постоянный поиск способов работать эффективней и быстрей.
Помогаем вам по обоим направлениям!
1️⃣ Оцениваем эффективность защиты, опираясь на данные
Новый, комплексный подход к оценке основан на матрице покрытия MITRE ATT&CK. Вместо простого «да/нет» покрытие оценивается по нескольким факторам, что позволяет определить и широту, и глубину покрытия с учётом внедрённых в организации средств и мер ИБ. Инструмент помогает моделировать разные комбинации решений «Лаборатории Касперского», чтобы найти оптимальную конфигурацию и закрыть «слепые зоны».
2️⃣ Приоритизируем уязвимости
Центр анализа уязвимостей поможет превратить бесконечные CVE в управляемый список критичных угроз, позволяя фильтровать их по статусу эксплуатации, EPSS и другим практичным метрикам. Для уязвимостей построены связи с техниками ATT&CK и описаниями групп злоумышленников, эксплуатирующих каждый дефект.
3️⃣ Прокачиваем SOC
Новая версия нашей SIEM, KUMA 4.0 снабжена батареей практичных ИИ-технологий – от обнаружения попыток DLL Hijacking до помощи в разборе алертов. Новые дэшборды, синхронизация данных с помощью RAFT и интеграция с DFI ускоряют расследования и повышают эффективность работы аналитиков.
▶️ Прямо сейчас регистрируйтесь и подключайтесь, чтобы подробно изучить новшества KUMA на онлайн-стриме «Безопасность в четырех измерениях: что нового в KUMA 4.0?»
▶️ А все возможности Kaspersky Threat Landscape обсудим и покажем на стриме 30 октября в 11:00 (Вопросы по эффективности вашей защиты уже сейчас можно задать в чате сообщества).
#события @П2Т
Задач в ИБ всегда больше, чем ресурсов и времени, поэтому критически важны правильная приоритизация задач и постоянный поиск способов работать эффективней и быстрей.
Помогаем вам по обоим направлениям!
Новый, комплексный подход к оценке основан на матрице покрытия MITRE ATT&CK. Вместо простого «да/нет» покрытие оценивается по нескольким факторам, что позволяет определить и широту, и глубину покрытия с учётом внедрённых в организации средств и мер ИБ. Инструмент помогает моделировать разные комбинации решений «Лаборатории Касперского», чтобы найти оптимальную конфигурацию и закрыть «слепые зоны».
Центр анализа уязвимостей поможет превратить бесконечные CVE в управляемый список критичных угроз, позволяя фильтровать их по статусу эксплуатации, EPSS и другим практичным метрикам. Для уязвимостей построены связи с техниками ATT&CK и описаниями групп злоумышленников, эксплуатирующих каждый дефект.
Новая версия нашей SIEM, KUMA 4.0 снабжена батареей практичных ИИ-технологий – от обнаружения попыток DLL Hijacking до помощи в разборе алертов. Новые дэшборды, синхронизация данных с помощью RAFT и интеграция с DFI ускоряют расследования и повышают эффективность работы аналитиков.
#события @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤5👍3👏3
Хотя Security Analyst Summit открылся докладом о сложной шпионской APT, многие другие доклады конференции посвящены не менее изощрённым атакам с финансовой мотивацией.
Эксперты GReAT Омар Амин и Соджун Риу рассказали о неизвестных ранее подробностях атак группировки BlueNoroff/APT38/Stardust Chollima/TA444. В кампании GhostCall, где разработчиков и участников рынка криптовалюты и Web3 заражают вредоносным ПО под прикрытием конференц-звонков, документированы 8 (!) цепочек заражения. В них используется совершенно разное ВПО — от уже известного CosmicDoor до ранее не замеченного набора скриптов SilentSiphon. Примечательно, что в арсенале атакующих есть ВПО для всех основных платформ, но доминируют вредоносы для MacOS, поскольку жертвы обычно предпочитают именно эту ОС. В посте на Securelist также документирована менее известная кампания GhostHire, новая фаза которой вероятно началась в апреле. Здесь к разработчикам через Telegram приходят приходят фейковые рекрутёры и выдают им "тестовое задание" с сюрпризом, хранящееся на GitHub. Жертвы этих атак обнаружены в Индии, Турции, Австралии и других странах Европы и Азии.
Исследователь Та Данг Вин из VNPT Cyber immunity описал сложную атаку на вьетнамские компании финансового сектора. Две разные цепочки заражения, основанные на применении LOLBAS и COM Hijacking, приводят к развёртыванию ВПО SPECTRALVIPER. В нём применены несколько необычных способов обфускации и шифрования. Например коммуникации с С2 зашифрованы ключом на основе уникального пути, в котором хранится ВПО на компьютере конкретной жертвы.
Афанасиос Гиатсос дал практические рекомендации защитникам по анализу и мерам ИБ против набирающей обороты угрозы — троянизированных расширений Chrome. Кража данных расширениями весьма эффективна, учитывая изобилие SaaS-приложений, работающих в браузере. При этом автоматические обновления расширений и практика перепродажи и кражи популярных расширений усложняют применение обычных защитных мер вроде "белых списков".
Пол Паджарес из Интерпола поделился интересными фактами о прошедшей недавно Operation Serengeti 2.0 и практическими нюансами взаимодействия ИБ-фирм и правоохранительных органов при борьбе с международной киберпреступностью.
#theSAS2025 #APT @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍5❤2🤯2
🚖 Почти GTA
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
В этом году на Security Analyst Summit особое внимание уделяют автомобильной тематике. Целую сессию на конференции открыл Сергей Ложкин, которого привёз на сцену сам Янн Марденборо, прошедший карьерный путь от sim-racing до подиума Ле-Ман. Старенький Мерседес, который на протяжении всей сессии постепенно превращался в арт-объект, был единственной невзламываемой машиной в этот день. Почти все автомобили на дорогах уже очень цифровые, и от цифровых компонентов в них зависит почти всё. Евгений Касперский поделился историей из практики — в одной из поездок автомобиль пришлось бросить посреди Сибири, потому что на него неудачно установили обновление прошивки, и машина превратилась в дорогостоящий кирпич.
Злоумышленники могут сделать нечто подобное в большом масштабе, и это отнюдь не теория. Артём Зиненко из Kaspersky ICS CERT представил историю одного пентеста, в котором команда прошла путь от незакрытого сервиса Wiki у суб-субподрядчика крупного автопроизводителя до возможности централизованно разослать обновление прошивки десяткам тысяч автомобилей. Особенности головного модуля этих машин позволяют такому обновлению взаимодействовать через CAN-шину с основными механизмами авто — двигателем и тормозной системой.
Примечательна и работа команды сингапурских исследователей Джорджа Чена, Чи Пэня и Алины Тан. Изучив особенности нескольких популярных видеорегистраторов, они научились компрометировать эти устройства на лету, пользуясь дефектами в аутентификации Wi-Fi и системных сервисов видеорегистратора. Вредоносный код может автоматически инфицировать другие устройства поблизости, поэтому название "ботнет на колесах" действительно подходит этому проекту. Учитывая широкий доступ видеорегистраторов к таким данным, как геолокация в реальном времени, запись изображения и звука снаружи и внутри автомобиля, возможности для злоумышленников открываются гигантские.
Хотя автомобильная индустрия уделяет значительное внимание вопросам безопасности, устранить дефекты в ПО пока получается не всегда. Сергей Ануфриенко из Kaspersky ICS CERT завершил сессию обзором найденных его командой уязвимостей в различных ECU автомобиля, среди которых есть такие жемчужины как RCE в подсистеме телематики, срабатывающие при получении SIM-картой автомобиля специально сформированного SMS.
Системный обзор темы и советы автопроизводителям (и их поставщикам) есть на сайте ICS CERT.
#TheSAS2025 @П2Т
🔥8🤩3👍1👏1
Forwarded from Евгений Касперский
Дайджест SAS-2025.
По результатам голосования экспертов на конфе вот такие доклады первого дня получили наивысшую оценку:
1️⃣ Питер Гейсслер (независимый исследователь) об атаке на принтеры, а следом – и дальше на корпоративную сеть с помощью специального шрифта (точнее файла в формате TTF).
2️⃣ Наш Боря Ларин из команды GReAT про наследников Hacking Team – уже репостил.
3️⃣ Паоло Кавалия (компания Shielder) с докладом под названием «Влажная мечта банд-шифровальщиках» о 13 уязвимостях в менеджере привилегированного доступа (PAM-платформы) от Broadcom.
Вообще в первый день было 23 выступления, много было интересного. По традиции выступающие после доклада у нас выпивают на сцене, всего было выпито 59 рюмок (спикеров бывает больше одного + ведущий помогает).
На конференцию приехали 210 человек из 25 стран, включая ИБ-специалистов разнообразной специализации (реверс-инженеры, пентестеры, исследователи безопасности автомобилей, промышленных и бытовых умных устройств и т.д.), правоохранители, в том числе из Интерпола, представители бизнеса, а также журналисты. И один автогонщик, с которым я и Володя Дащенко на сцене обсудили вопросы автокибербеза. И выпили с капота старого мерседеса, да.
Мы делаем SAS всегда с элементом хулиганства, в этот раз оформлена конференция в стиле игры GTA: Vice City, которая, оказывается, вышла в свет ровно 23 года назад (29.10.2002). Я не играл, но оформление игры и нашей конференции оцениваю положительно:-).
Мерседес S-класса 1998 года купили тут, в Таиланде, если что. Завтра попробуем на нём тут проехать по округе, надеюсь, не подведёт, будут фото и видео:-)
По результатам голосования экспертов на конфе вот такие доклады первого дня получили наивысшую оценку:
Вообще в первый день было 23 выступления, много было интересного. По традиции выступающие после доклада у нас выпивают на сцене, всего было выпито 59 рюмок (спикеров бывает больше одного + ведущий помогает).
На конференцию приехали 210 человек из 25 стран, включая ИБ-специалистов разнообразной специализации (реверс-инженеры, пентестеры, исследователи безопасности автомобилей, промышленных и бытовых умных устройств и т.д.), правоохранители, в том числе из Интерпола, представители бизнеса, а также журналисты. И один автогонщик, с которым я и Володя Дащенко на сцене обсудили вопросы автокибербеза. И выпили с капота старого мерседеса, да.
Мы делаем SAS всегда с элементом хулиганства, в этот раз оформлена конференция в стиле игры GTA: Vice City, которая, оказывается, вышла в свет ровно 23 года назад (29.10.2002). Я не играл, но оформление игры и нашей конференции оцениваю положительно:-).
Мерседес S-класса 1998 года купили тут, в Таиланде, если что. Завтра попробуем на нём тут проехать по округе, надеюсь, не подведёт, будут фото и видео:-)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7👍3🤩2
Cloudflare опубликовали монструозный обзор (
Основная новость в статье — более половины трафика живых людей, который проходит через Cloudflare, защищено постквантовыми алгоритмами согласования ключа. Среди серверов на топ-100k доменов, уже 39% поддерживают ПКШ, хотя всего полгода назад было 28%.
А заканчивается обзор достаточно простой рекомендацией — постквантовое согласование ключей в инфраструктуре надо внедрять уже сейчас, а вот сертификаты на базе ПКШ пока к внедрению не готовы из-за зоопарка стандартов и высоких вычислительных расходов. Тем не менее, нужно готовить инфраструктуру к их внедрению, используя актуальные версии ПО, автоматизируя управление сертификатами и поддерживая конфигурации серверов, которые способны работать одновременно как с доквантовыми, так и постквантовыми сертификатами в зависимости от поддержки на стороне клиента.
#CISO @П2Т
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4👍2👏1💯1