Избранное про ИБ

Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡

Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.

Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘Базовая программа повышения осведомленности
🟣Программа изменения поведения (персонала)
🟡Программа культуры безопасности персонала
🔴Комплексная программа культуры безопасности

В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе специалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉)

p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍

#awareness #roadmap #maturity #behavior

Недавно с большим удивлениям для себя открыл что для container-specific OS тоже есть CIS Benchmarks! Конкретно сейчас это есть для: Bottlerocket и Talos. В глаза сразу сильно бросается разница в количестве пунктов по сравнению с ОС общего назначения. В то же Talos их всего около 20. Думаю, что даже и не стоит говорить какой тип ОС проще довести до более защищенного состояния, но есть своя специфика ;)

Краткий гайд как защищать устройства стоящие на границе сети от Австралийского регулятора ASD. Откровений нет, немного добавлено контекста в стандартные меры. https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/network-hardening/mitigating-strategies-edge-devices-executive-guidance

https://ttps.ai

Интересная матрица атак и TTP для Gen AI

Каждая атака описана и приведены ресёрчи по технике.

Есть описания митигаций, которые можно также применить под разный ландшафт.

А ещё они крутышки и пилят свой док по LLMSecOps, только я вам об этом не говорил (это релиз 0.0.7)🤫🤝. Нужно время чтобы почитать его как следует.

Кстати, приближается месяц повышения осведомлённости в ИБэ, т.е. октябрь🔔
И всё тот же институт SANS объявил, что в этом году необходимо уделить внимание вопросу безопасного использования искусcтвенного интеллекта📚
Для этого был подготовлен набор материалов, среди которых можно найти шаблон политики использования ИИ в организации, видеоролик об использовании ИИ и набор инфографики, демонстрирующий преимущества и риски использования ИИ. Можно взять за основу для разработки своих обучающих плакатов.
p.s. Ниже прикрепил архив с этими материалами без "тяжелого" видеоролика и фонов для зума.

#awareness #ai #training #infographics

CI/CD Attack Diagram

В развитии недавнего поста - диаграмма* атак на CI/CD на примере GitHub. Для каждого шага работы CI/CD описываются актуальные "сценарии провала", по некоторым из которых даны линки на статьи с подробными описаниями соответствующих атак и утилитами для их автоматизации.

Автор схемы - John Stawinski IV (именно так он именует себя на личном сайте) - с 2023 года сосредоточен на исследованиях атак на CI/CD в компании Praetorian.

*Фрагмент соответствующей схемы на ваших экранах

#ci #scheme

Security Templates

Сегодня без сложных постов, уязвимостей и исследований. Вместо этого мы хотим поделиться парой полезных шаблонов!

Первый из них — шаблон моделирования угроз по STRIDE для Miro от самого Head of Product Security Miro. Этот шаблон наглядно демонстрирует процесс моделирования угроз и включает сопутствующие диаграммы, которые помогают на каждом этапе составления списка угроз.

Второй — это целый набор шаблонов от Robert Auger. Роберт делится материалами, которые помогали ему на его пути в построении программ bug bounty, управления уязвимостями, внешнего пентеста и реагирования на инциденты. Во всех своих шаблонах Роберт опирается на свой опыт в таких компаниях, как PayPal, eBay, Box, Workday и Coinbase. В качестве примера к посту приложена упрощенная диаграмма процесса bug bounty. Еще нам в целом понравился чеклист в подготовки построения процесса vulnerability management, который также учитывает AppSec-процессы. По нему хорошо можно проследить попытку автора передать именно свой личный опыт.

#templates #process

⚖️ Некоторые выводы из решения Пресненского районного суда Москвы от 30.01.2024 по делу №2-907/2024 (Петрова vs ООО "СК Энмув Рус"):
🔸в трудовых отношениях обработка ПД ведется в рамках исполнения трудового договора, закона, и не могла ставиться под условие получения согласия на обработку ПД, иное приводило бы к невозможности заключения и исполнения договора, соблюдения требований закона;
🔸работодатель вправе передавать ПД и поручать их обработку третьим лицам в рамках преследования собственного законного интереса, если при этом не нарушаются права и свободы работников как субъектов ПД, т.е. возможность передачи ПД для надлежащего выполнения обязанностей работодателя не может ставиться под условие получения согласия работника, иное приводило бы к существенному ограничению прав работодателя как юридического лица;
🔸хранение документов, в том числе архивное, может осуществляться не только в бумажном, но и в электронном виде, ПД уволенных работников должны сохраняться в течение установленных сроков хранения документов и сведений, в том числе, в электронном виде в информационных системах;
🔸частичная утрата кадровых документов не свидетельствует о нарушении прав работника, т.к. сами по себе копии документов не являются ПД, а выступают, в первую очередь, в качестве источников и материальных носителей ПД - отсутствие бумажных документов не свидетельствует об утрате ПД как таковых.

Harnessing LLMs for Automating BOLA Detection

Одна из самых распространённых уязвимостей в веб-приложениях — это broken access control. На сегодняшний день SAST и DAST бесполезны при их поиске, и всем известно, что выявление таких уязвимостей решается исключительно ручным тестированием с помощью плагинов для Burp, таких как Autorize, AuthMatrix, Authz.

Однако, недавно мы наткнулись на статью от Unit42 (Palo Alto Networks) о том, как они автоматизировали поиск уязвимостей типа broken object level authorization (BOLA) с помощью ИИ. В качестве входных данных используется спецификация OpenAPI, после чего механизм ищет потенциально уязвимые API, где происходит обращение к объектам (например, username, email, teamId, invoiceId, visitId). Далее строится дерево зависимостей между этими эндпоинтами и формируются тестовые кейсы, в которых инструмент пробует различные сценарии обращения к объектам на основе имеющихся доступов двух пользователей. Если один из пользователей имеет доступ к объектам другого, то существует высокая вероятность наличия уязвимости BOLA.

Звучит достаточно интересно и логично автоматизировать такого рода тестирования! В результате исследователи обнаружили уязвимости в Grafana (CVE-2024-1313), Harbor (CVE-2024-22278) и Easy!Appointments (целых 15 CVE). Они также отметили, что эксперименты показывают: обратная связь от людей постоянно улучшает точность и надёжность ИИ.

В конце статьи также много полезных ссылок на смежные исследования Unit42.

P.S. Кстати, вот еще один прекрасный пример поиска CVE с помощью LLM - анализ вылетов на предмет полезности при фаззинге браузера.

#ai