3side кибербезопасности

☄️ Приглашаем на наш вебинар «Serverless: трюки и советы на практике» совместно с Yandex Cloud 16 июля в 19:00 по Алматы вы погрузитесь в тему Serverless и на практике узнаете возможности бессерверной архитектуры. ➖ Yandex Cloud в Казахстане. Расскажем, что из себя представляют сервисы Yandex Cloud на базе дата-центра в Казахстане, а также о планах по дальнейшему развитию платформы. Обсудим, какие преимущества и возможности может дать партнерство с Yandex Cloud локальному бизнесу. ➖ Serverless подход к архитектуре. Разберем основы и принципы Serverless: какие задачи он решает, и как его применение позволяет оптимизировать процессы разработки и развертывания приложений. ➖ Способы применения Serverless: для чего подходит, а для чего не годится. Проанализируем различные сценарии, рассмотрим, кому подходит этот подход, а кому — нет. Обсудим плюсы и минусы и разберем, что такое cloud native. Поделимся рекомендациями по выбору подходящей архитектуры в зависимости от специфики задач. ➖ Воркшоп по сервисам Яндекса для Serverless. Проведем практическую работу с триггерами для Yandex Cloud Functions, показывая, как эффективно использовать их для автоматизации процессов. Поделимся методами оборачивания всего этого в инфраструктуру как код (IaC), чтобы обеспечить повторяемость и управляемость настроек. 👉 Регистрируйтесь здесь Ссылку пришлем в день вебинара. Поделитесь с коллегами и приходите сами. До встречи 🤝 @DevOpsKaz

Обнаруженная критическая уязвимость в VEEAM снова показывает, что возможно все. Забавно, но один наш бывший друг, работая в VEEAM, утверждал, что подобное невозможно в принципе. И приводил три основных пункта: 1. У нас такое качество кода/разработки и ревью, что любые серьезные уязвимости никогда не пройдут. 2. Пентесты/внешние исследователи не нужны, у нас разрабы сами умеют проверять свой код! 3. Ты просто не сталкивался с высокой культурой работы с кодом, поэтому и думаешь, что тут что-то такое могут найти! В самом VEEAM проблем нет, только если проблемы с настройкой серверов, но они на стороне клиента, или нашего облака. И вот оно как обернулось, уязвимость к тому же поражает своей простотой! Злоумышленник отправляет данные для входа, указывая,что проверять их нужно у него же! А сервис VEEAM это принимает за чистую монету и не проверяет, куда его отправили, возвращается к злоумышленнику же с вопросом "этого можно пускать?". Вот так можно выписать себе же доступ к системе. Хочется спросить — ну и где были все эти опытнейшие разработчики с высочайшей культурой работы с кодом? А ситуация, на самом деле, очень простая: все ошибаются. Чем меньше степеней защиты, тем больше шансов, что критическая ошибка уйдет в релиз — это, в общем, правда жизни. А нам вспоминается прикол с одного из мест работы одного из фаундеров 3side, когда очень опытный разраб, отвечая на вопрос о том, почему он заливает изменения сразу в прод, с лицом опытного сапера ответил: "меня учили не ошибаться". Место работы, кстати, считалось "системно значимым" — если вы понимаете, о чем мы. Такие дела.

Шифровальный блицкриг - захват сети за 2 дня Американские исследователи из Mandiant (приобретена Google в 2022 году) выкатили очень серьезное исследование тенденций мирового рынка кибервымогателей. Само исследование по ссылке, а пока ключевые выводы: - количество инцидентов растет, количество известных утечек очень существенно растет, появляется большое количество ранее неизвестных семейств криминального ПО - в трети случаев, шифрование было запущено в течение 48 часов после получения атакующими первоначального доступа. То есть за 2 суток успевают разломать все и получить нужные права. - В 76% случаев запуск шифровальщиков происходит во внерабочее время, самое “горячее” время, 3 часа ночи. - бум шифровальщиков начался после 2019 года количество утечек резко возросло в 2023 году. - с 2022 года атакующие стали уделять гораздо больше внимания всем остальным ОС - Linux, VMware ESXi. Плюс Unix, MacOS и прочие - хоть Windows и все еще доминирует. - 15% запусков шифровальщиков происходят в течение дня после начала атаки, еще треть - в течение 2 суток. А теперь важно: далеко не факт, что на такие атаки SOC вообще полноценно отреагирует, а третья линия может просто не успеть подключиться. Про подобную тактику мы рассказывали тут. Грубо говоря, взлом происходит "с пятницы на воскресенье", пока основные линии SOC еще не включились в работу. Но нашим ощущениям, запуск за сутки после получения первичного доступа - это скорее запуск шифрования “на удачу”, без поиска бекапов, и поиска наиболее критичных данных для компании. Ведь по ощущениям, и развить атаку до прав администратора дома, и саботировать бекапирование, и выделить самые критичные данные за одни сутки - крайне сложно. Вывод: мы считаем, что проблема кибервымогателей становится все более массовой, а схема RaaS от разделения ролей приходит к максимизации "покрытия" числа жертв с упором на скорость атаки. Интересная тенденция - и, как мы и говорили, скоро МСП+ станут типичной целью.

SEQuest - социальный redteam фестиваля PHDays! Мы это сделали! Первый конкурс по социальной инженерии в истории PHDays, да и любых конференций по кибербезопасности. Крутых технических конкурсов всегда было достаточно, как и в этом году — $natch. AI CTF, Web3 Hack, IDS Bypass и легендарная 2drunk2hack. Но раньше не было ни одного ИБ-шного конкурса, где бы не требовались бы технические навыки. Есть такая штука — социотехническое тестирование, в котором большую роль играет социальная инженерия. Идея была в том, чтобы оценить "устойчивость" организации к попыткам не технологических, а социальных атак. Почему мы называем это redteam? Потому что это и был классический redteam — противодействие нашим участникам со стороны организаторов фестиваля было полностью настоящим, а скрытность давала преимущества. А после сдачи каждого задания, сторону защиты оперативно информировали и дообучали. Делать что-то впервые всегда особенно сложно. Например, мы пытались предугадать, сколько же будет участников? Думали 30-40 человек, оказалось более 200! Думали, что хотя бы одно задание решит человек 10, на деле их было более 30. Одни задания мы считали более сложными, чем другие, но в реальности все было ровно наоборот. В итоге, все задания были решены, но ни один участник не решил их все! Правила в ходе конкурса старались дополнять по-минимуму, бОльшую часть узких мест они закрывали и в первоначальной редакции, добавлялись лишь нюансы, хоть и важные. С верификацией решений тоже вышло все прозрачно, хоть и из-за количества участников у стенда регулярно набиралась очередь. Обратная связь от участников и комьюнити получилась шикарная, конкурс и ожидаемо привлёк к себе внимание и получил восторженные отзывы. В целом можем сказать, что первый блин ну точно не комом, хотя нам совершенно точно есть куда расти и есть над чем работать. От себя хотим сказать огромное спасибо организаторам фестиваля за терпение и поддержку, участникам за участие, волонтерам за помощь и всем причастным просто за то, что вы есть! А подробный разбор заданий, и способов успешного их решения участниками будет в отдельной статье!

Есть ли DevSecOps в Самаре? На Positive Tech Day 18 июня он точно появится! 🙂 В Самаре впервые пройдет конференция Positive Tech Day от Positive Technologies, на которой соберутся топовые эксперты компании по безопасной разработке — они выступят на треке «DevSecOps на Волге», где расскажут об Application Security. Так что если у вас еще не было планов на июнь — сохраняйте дату, приходите бесплатно послушать доклады и задать вопросы! Будет полезно как новичкам, так и тем, что уже давно в теме. 🤔 На «DevSecOps на Волге» вы узнаете: • из чего состоит практика безопасной разработки и как ее внедрить; • как защитить конвейер CI/CD и ничего не испортить; • как выбирать и применять AppSec-инструменты; • как выстроить взаимодействие между людьми, чтобы DevSecOps работал. Участие бесплатное по предварительной регистрации.

Отвечавшего за ИБ экс-заместителя губернатора Смоленской области мошенники развели на 6,5 млн рублей В этой новости "прекрасно" все. Но мы скорее бы хотели подчеркнуть одну вещь — если сейчас "топов" и прочих ЛПР разводят скорее ради денег, то скорее они могут стать вполне привычным вектором атаки на бизнес. Если не на инфраструктуру, то на критические процессы внутри компании. И осталось до этого момента год-два. Почему даже связанные с ИБ люди становятся жертвами атак? Да тут много причин — и "правило 7%", и просто человеческая природа. Тем более, безопасники могут быть особенно подвержены эффекту сверхуверенности, что раз мы понимаем что это и как работает, то на нас уж оно точно не сработает! На деле, же все иначе чем больше этот эффект проявлен у человека, тем выше вероятность того, что он станет жертвой мошенника. Почему? Он будет нечувствителен к контексту. Одно из проявлений такого эффекта: опытные водители в два раза чаще попадают в аварии по сравнению с теми, кто имеет более низкий стаж и возраст. Опытные пловцы чаще тонут. Здесь та же самая история.

Как за 10 лет киберкриминал создал разумный и эффективный рынок нелегальных услуг? Прочитали тут небольшую гостевую лекцию для одного чудесного ВУЗа. О том, какие бывают хакеры, что такое RAAS, как работает криминальная индустрия и что со всем этим делать. Постарались достаточно коротко и интересно. Ну, и немного про актуальную повестку)

TGStat ответственнее Telegram Помните вот этот пост и статью на Habr, о том, что некоторые возможности Telegram позволяют очень эффективно проводить фишинг в мессенджере? В качестве примера, в этой статье я продемонстрировал перехват аккаунта на популярном сайте аналитики для Telegram-каналов TGstat. Тогда я осознанно не высказывал никаких претензий к создателям сайта, ведь как по мне, основной фикс должен был быть на стороне мессенджера, а сайт использовал лишь не совсем безопасные функции. Но Telegram отказались что либо исправлять и вводить дополнительные меры защиты. А вот TGstat отреагировали на статью! И теперь их бот высвечивает предупреждение, указывает имя аккаунта, под которым происходит вход, чтобы пользователь точно знал, что происходит. А также бот требует не только переход по ссылке, как раньше, но и нажатия кнопки внутри него. Это значительно усложняет фишинг, команде TGstat мое большое уважение! Они оказались ответственнее, чем мессенджер, который постоянно трубит, что безопасность - его главный приоритет.

Мы еще опубликуем подробный отчет о phdays, но пока можем сказать, что это было потрясающе масштабно. SEQuest прошел не без проблем, но мы точно увидели, как должно выглядеть «кибериспытание» для социо-инженера.

Всем привет! Сегодня - день российского предпринимателя! Поздравляем всех коллег и причастных, желаем успехов, адекватных контрагентов и всего самого наилучшего! А еще возможности не отвлекаться от своего дела на проблемы кибербеза. А если все таки приходится - всегда есть мы) P.S. Команда 3side заканчивает сегодня свою работу на phdays и возвращается в обычный режим. Про фестиваль мы еще напишем, но пока это вау!