From Breach to Recovery: Designing an Identity-Focused Incident Response Playbook

Zapier Sistemc

The Rise of Insider Threats: A New Challenge for Cyber Security

In the ever-evolving landscape of cybersecurity, a new threat has emerged – the insider threat. It’s no longer just about defending against external hackers but also about keeping a close eye on your own trusted users. Picture this: you walk into work one morning to find chaos reigning supreme. Systems are down, panic is palpable, and the cause of the mayhem? A compromised identity. The intruder isn’t some faceless hacker from across the globe but a wolf in sheep’s clothing among your ranks, using a trusted user’s identity to wreak havoc.

Outdated Incident Response Plans: Old Maps in a New World

Many companies still rely on traditional incident response plans to combat cybersecurity breaches. However, in the face of insider threats, these plans are akin to using old maps in a rapidly changing world. While they may have been effective against external attacks, they often fall short when dealing with threats from within. It’s not enough to simply reinforce the perimeter defenses; organizations need to have robust strategies in place to prevent, detect, and respond to insider threats effectively.

Understanding the Insider Threat

Insider threats can come in various forms – from malicious employees looking to sabotage the company to unwitting staff falling prey to social engineering tactics. These threats can be particularly challenging to detect as the perpetrators often have legitimate access to sensitive systems and data. By leveraging their insider status, they can bypass traditional security measures and fly under the radar until it’s too late.

The Importance of User Behavior Analytics

To combat insider threats effectively, organizations are turning to user behavior analytics (UBA). UBA utilizes machine learning and AI algorithms to monitor and analyze user activities across the network. By establishing a baseline of normal behavior for each user, UBA can identify deviations that may indicate a potential insider threat. This proactive approach allows organizations to detect and respond to suspicious activities in real-time, mitigating the damage caused by insider attacks.

Building a Culture of Security Awareness

In addition to technological solutions, fostering a culture of security awareness among employees is crucial in combating insider threats. Regular training sessions on cybersecurity best practices, phishing awareness, and data protection can help employees recognize and report suspicious activities. By instilling a sense of responsibility for cybersecurity in every individual within the organization, companies can create an additional layer of defense against insider threats.

Conclusion: Embracing Change in Cyber Security

In conclusion, the rise of insider threats represents a new challenge for cybersecurity professionals. To effectively combat this evolving threat landscape, organizations need to adapt their security strategies, invest in advanced technologies like user behavior analytics, and prioritize security awareness training for employees. By staying vigilant and proactive, companies can fortify their defenses against insider threats and minimize the risks of internal breaches. Remember, in the world of cybersecurity, the only constant is change.

Master Your PCI DSS v4 Compliance with Innovative Smart Approvals

Zapier Sistemc

PCI DSS v4.0: Navigating the Evolving Landscape

The Payment Card Industry Data Security Standard (PCI DSS) landscape is currently witnessing rapid changes. As the deadline for compliance with version 4.0 approaches in Q1 2025, businesses are facing the challenge of adapting to the new and stringent requirements introduced by the updated standard.

The Challenge of Sections 6.4.3 and 11.6.1

Two sections of PCI DSS v4.0, namely 6.4.3 and 11.6.1, have emerged as particularly troublesome for organizations striving to meet compliance. These sections specifically emphasize the need for robust monitoring and management of payment page scripts and the implementation of a strong change detection mechanism.

In Section 6.4.3, the focus is on the careful oversight of payment page scripts to ensure that any changes made to these scripts are closely monitored and controlled. This requirement aims to enhance the security of payment processing systems by minimizing the risk of unauthorized modifications that could potentially compromise sensitive payment data.

Section 11.6.1 places a similar emphasis on the importance of implementing a reliable change detection mechanism. This mechanism serves as a vital tool for organizations to promptly identify and respond to any unauthorized alterations to their payment systems, thereby bolstering the overall security posture of the environment.

Meeting the Deadline

As the Q1 2025 deadline for PCI DSS v4.0 compliance looms closer, businesses are under pressure to expedite their efforts to align with the new requirements. Ensuring adherence to Sections 6.4.3 and 11.6.1 is critical in this process, as non-compliance with these sections could expose organizations to potential security vulnerabilities and regulatory consequences.

To successfully navigate the evolving PCI DSS landscape and meet the stringent demands of version 4.0, organizations must prioritize the implementation of robust monitoring and change detection mechanisms for their payment systems. By proactively addressing these key requirements, businesses can strengthen their security posture and demonstrate a commitment to safeguarding sensitive payment information.

Strategies for Compliance

Implementing a comprehensive monitoring solution that allows for real-time detection of changes to payment page scripts is essential for compliance with Section 6.4.3. By leveraging advanced technologies and automated tools, organizations can streamline the monitoring process and promptly address any unauthorized modifications that may occur.

Incorporating a robust change detection mechanism, as stipulated in Section 11.6.1, requires organizations to implement monitoring controls that can effectively track and report on alterations to payment systems. By establishing clear protocols for change management and utilizing monitoring tools that offer comprehensive visibility into system changes, businesses can enhance their ability to detect and respond to security incidents in a timely manner.

The Road Ahead

As organizations navigate the evolving landscape of PCI DSS compliance, the implementation of strict monitoring and change detection measures is essential for mitigating risks and upholding data security standards. By embracing the requirements outlined in Sections 6.4.3 and 11.6.1 of PCI DSS v4.0, businesses can fortify their defenses against potential threats and demonstrate a proactive approach to safeguarding payment data.

Integracija Entrust nShield HSM s F5 BIG-IP

admin Leave a comment

Integracija Entrust nShield HSM (Hardware Security Module) z F5 BIG-IP omogoča varno upravljanje in shranjevanje kriptografskih ključev, kar je ključno za zaščito podatkov in uporabniških poverilnic. Sledite spodnjim korakom za uspešno integracijo.

1. Priprava okolja

1.1. Preverite zahteve

  • F5 BIG-IP različica: Prepričajte se, da uporabljate BIG-IP Virtual Edition 16.0.1 ali 17.0.0.1.
  • Operacijski sistem: Uporabite CentOS 7.3.
  • nShield HSM: Preverite, da so nShield naprave v FIPS 140 nivoju 2 ali 3.

1.2. Namestitev programske opreme

  • Namestite programsko opremo Security World na F5 BIG-IP sistem.
  • Upoštevajte navodila za namestitev, ki jih zagotovi Entrust.

2. Konfiguracija Security World

2.1. Ustvarjanje Security World

  • Uporabite nShield HSM orodja za ustvarjanje in konfiguracijo Security World.
  • Določite potrebne parametre, kot so ime Security World in varnostne nastavitve.

2.2. Dodajanje ključev

  • Dodajte kriptografske ključe v Security World.
  • Upoštevajte varnostne smernice za upravljanje ključev.

3. Konfiguracija povezljivosti HSM z BIG-IP

3.1. Povezava med napravami

  • Prepričajte se, da sta nShield HSM in F5 BIG-IP povezana z omrežjem.
  • Določite IP naslov BIG-IP odjemalca na seznamu dovoljenih odjemalcev na nShield napravi.

3.2. Omogočanje komunikacije

  • Preverite, da so vrata 9004 odprta in omogočajo komunikacijo med nShield HSM in BIG-IP.
  • Uporabite ustrezne omrežne nastavitve za zagotovitev varne povezave.

4. Upravljanje HSM ključev za LTM

4.1. Konfiguracija ključev na BIG-IP

  • Uporabite F5 BIG-IP vmesnik za konfiguracijo HSM ključev, ki se uporabljajo za LTM (Local Traffic Manager).
  • Prepričajte se, da so ključi pravilno povezani z ustreznimi aplikacijami in storitvami.

4.2. Testiranje integracije

  • Izvedite teste za preverjanje delovanja integracije.
  • Preverite, ali se kriptografski ključi pravilno uporabljajo in upravljajo v F5 BIG-IP.

5. Dokumentacija in podpora

5.1. Uporabite dokumentacijo

  • Preverite uradno dokumentacijo Entrust in F5 za dodatne informacije in specifikacije.

5.2. Podpora

  • V primeru težav se obrnite na tehnično podporo Entrust ali F5 za pomoč.

Zaključek

Integracija Entrust nShield HSM z F5 BIG-IP je ključna za varno upravljanje kriptografskih ključev in zaščito občutljivih podatkov. S pravilno konfiguracijo in upravljanjem lahko zagotovite visoko raven varnosti za svoje aplikacije in storitve.

Apple Drops Spyware Case Against NSO Group, Citing Threat Intelligence Risks

Zapier Sistemc

Apple Withdraws Lawsuit Against NSO Group Due to Shifting Risk Landscape

In a surprising turn of events, Apple has decided to drop its lawsuit against the notorious commercial spyware vendor NSO Group. The tech giant filed a motion to “voluntarily” dismiss the case, citing a rapidly evolving risk landscape that could potentially jeopardize critical threat intelligence.

Change of Heart

This unexpected development was uncovered by The Washington Post on Friday, shedding light on Apple’s decision to back out of the legal battle. The iPhone maker highlighted its collaborative efforts with industry partners and governments in combating cybersecurity threats as a contributing factor to its change of heart.

Protecting Threat Intelligence

Apple’s decision to withdraw the lawsuit appears to be driven by a desire to shield essential threat intelligence information from potential exposure. By pulling out of the legal proceedings, Apple aims to prevent any inadvertent disclosure that could compromise ongoing security efforts.

Understanding the Context

The decision to drop the lawsuit against NSO Group comes amidst growing concerns over the proliferation of sophisticated spyware and surveillance tools used by both state and non-state actors. Companies like NSO Group have faced intense scrutiny for selling their technology to entities that may abuse it for unlawful purposes.

A Complicated Landscape

The landscape of cybersecurity threats is constantly evolving, making it increasingly challenging for organizations to stay ahead of malicious actors. With the rapid advancement of technologies like surveillance software and malware, companies like Apple must adapt their strategies to mitigate emerging risks effectively.

Collaborative Efforts

Apple’s decision to work closely with industry peers and government agencies underscores the importance of collaboration in addressing cybersecurity threats. By teaming up with like-minded partners, companies can pool their resources and expertise to create a more robust defense against cyber attacks.

The Road Ahead

As Apple navigates the complex cybersecurity landscape, it is essential for the company to remain vigilant and agile in its approach to threat mitigation. By staying proactive and adaptive, Apple can continue to protect its customers and uphold its commitment to safeguarding user data and privacy.

Lessons Learned

The case of Apple vs. NSO Group serves as a valuable lesson in the ever-changing field of cybersecurity. It highlights the importance of constant evaluation, collaboration, and flexibility in responding to emerging threats effectively.

Looking Ahead

While Apple’s decision to withdraw its lawsuit may raise eyebrows, it also signals a pragmatic approach to protecting critical threat intelligence in an increasingly volatile digital landscape. By prioritizing security and collaboration, Apple sets a precedent for proactive cybersecurity measures in the tech industry.

How to Safeguard Your Data: Preventing Credential Theft in Large-Scale Phishing Attacks

Zapier Sistemc

Clever Phishing Technique Exploits HTTP Headers to Trick Users

In the vast ocean of cyber threats, phishing remains a dominant form of attack, with cybercriminals devising new and sophisticated techniques to trick unsuspecting users. Recently, cybersecurity researchers uncovered a crafty phishing campaign that leverages a lesser-known vulnerability in HTTP headers to deceive individuals into divulging their sensitive information.

What Makes This Phishing Campaign Unique?

Unlike traditional phishing methods that rely on constructing deceptive HTML content within emails or web pages, this particular campaign takes a more unconventional approach. By exploiting the “refresh entries” in HTTP response headers, attackers can circumvent some of the conventional detection mechanisms used by security solutions.

Understanding the Attack Process

When a user accesses a compromised website or clicks on a malicious link, the server responds with an HTTP header containing instructions to refresh the page. In this case, instead of refreshing the content visible to the user, the header triggers the browser to load a spoofed email login page, mimicking a legitimate service such as Gmail or Outlook.

The Deceptive Nature of the Spoofed Pages

These spoofed login pages are meticulously crafted to mimic the authentic login portals of popular email services, making it challenging for users to differentiate between the real and fake sites. Once users input their login credentials, the information is harvested by the attackers, potentially leading to unauthorized access to their accounts and sensitive data.

The Need for Vigilance and Security Awareness

In light of this evolving threat landscape, it is essential for individuals and organizations to remain vigilant and proactive in their cybersecurity practices. Here are some key steps to enhance your defenses against phishing attacks:

1. Stay Informed:


Keep abreast of the latest cybersecurity threats and trends, including emerging phishing techniques like the one leveraging HTTP headers. Awareness is the first line of defense against such malicious activities.

2. Verify URLs:


Before entering any sensitive information online, double-check the URL of the webpage to ensure it is legitimate. Look for HTTPS encryption, valid domain names, and other signs of authenticity.

3. Use Multi-Factor Authentication:


Enable multi-factor authentication (MFA) wherever possible to add an extra layer of security to your online accounts. Even if your credentials are compromised, MFA can help prevent unauthorized access.

4. Report Suspicious Activity:


If you encounter any suspicious emails, links, or websites, report them to the relevant authorities or your organization’s IT department. Prompt action can help mitigate potential risks.

Conclusion

As cyber threats continue to evolve and cybercriminals develop more sophisticated tactics, it is crucial for individuals and businesses to prioritize cybersecurity awareness and adopt proactive measures to safeguard their digital assets. By staying informed, practicing caution online, and implementing robust security practices, we can collectively combat phishing attacks and protect our sensitive information from falling into the wrong hands.

Netsparker: Avtomatizirano varstvo spletnih aplikacij

admin Leave a comment

Varnost spletnih aplikacij je danes ključnega pomena, saj so le-te pogosto tarča kibernetskih napadov. Ena izmed najuspešnejših metod za odkrivanje ranljivosti v spletnih aplikacijah so penetracijski testi, ki jih izvajajo varnostni strokovnjaki. Netsparker je vodilno orodje za avtomatizirano izvajanje penetracijskih testov, ki omogoča celovito oceno varnosti spletnih aplikacij.V tem blogu bomo podrobneje spoznali proces penetracijskih testov in prednosti uporabe Netsparkerja pri zagotavljanju varnosti spletnih aplikacij.

Kaj so penetracijski testi?

Penetracijski testi so simulirani kibernetski napadi, katerih namen je odkriti ranljivosti v informacijskih sistemih organizacije. Izvajajo jih varnostni strokovnjaki, ki skušajo prodreti v sistem na enak način kot kibernetski napadalci. Cilj penetracijskih testov je odkriti šibke točke v sistemu, preden jih zlonamerni akterji izkoristijo za nezakonite aktivnosti.Proces penetracijskih testov običajno vključuje naslednje faze:

  1. Opredelitev obsega – določitev sistemov in aplikacij, ki bodo predmet testiranja
  2. Zbiranje informacij – pridobivanje podatkov o tarčnih sistemih in aplikacijah
  3. Identifikacija ranljivosti – odkrivanje šibkih točk v sistemih in aplikacijah
  4. Izkoriščanje ranljivosti – preizkušanje odkritih ranljivosti z namenom pridobitve dostopa do sistema
  5. Poizvedovanje po napadu – analiza pridobljenih informacij in ocena obsega vdora
  6. Poročanje – priprava poročila z ugotovitvami in priporočili za izboljšanje varnosti

Prednosti uporabe Netsparkerja

Netsparker je orodje za avtomatizirano izvajanje penetracijskih testov, ki ponuja številne prednosti v primerjavi z ročnim testiranjem:

  1. Celovitost – Netsparker izvede obsežen nabor varnostnih testov, ki pokrivajo najrazličnejše ranljivosti, kot so vbrizgavanje SQL, XSS, CSRF, neustrezna avtentikacija, neustrezna konfiguracija strežnika itd.
  2. Natančnost – Netsparker uporablja napredne tehnologije, kot so dinamično generiranje kode in analiza konteksta, ki omogočajo natančno odkrivanje ranljivosti z minimalnim številom lažnih rezultatov.
  3. Hitrost – Netsparker lahko pregleda tudi kompleksne spletne aplikacije v kratkem času, kar je bistveno hitreje kot ročno testiranje.
  4. Poročanje – Netsparker samodejno generira podrobna poročila o odkritih ranljivostih, vključno z navodili za odpravo le-teh. Poročila so primerna za različne deležnike, od razvijalcev do vodstva.
  5. Integracija – Netsparker se lahko integrira z razvojnimi orodji, kot so JIRA, Trello in GitHub, kar omogoča učinkovito upravljanje odkritih ranljivosti v celotnem razvojnem ciklu.
  6. Skalabilnost – Netsparker lahko testira tako majhne spletne aplikacije kot tudi velike, kompleksne sisteme, kar omogoča prilagoditev različnim potrebam organizacij.

Faze penetracijskih testov z Netsparkerjem

Netsparker podpira vse faze penetracijskih testov, od opredelitve obsega do poročanja. Oglejmo si, kako Netsparker podpira posamezne faze:

1. Opredelitev obsega

Netsparker omogoča enostavno opredelitev obsega testiranja. Uporabniki lahko določijo URL-je spletnih aplikacij, ki jih je treba testirati, vključno z izključitvami določenih delov aplikacije, če je to potrebno.

2. Zbiranje informacij

Netsparker samodejno zbira informacije o tarčnih spletnih aplikacijah, vključno z verzijami programske opreme, uporabljenimi knjižnicami in okvirji. Te informacije so ključne za identifikacijo znanih ranljivosti.

3. Identifikacija ranljivosti

Netsparker izvede obsežen nabor varnostnih testov, ki pokrivajo najrazličnejše ranljivosti. Uporaba naprednih tehnik, kot sta dinamično generiranje kode in analiza konteksta, zagotavlja visoko stopnjo natančnosti pri odkrivanju ranljivosti.

4. Izkoriščanje ranljivosti

Netsparker lahko samodejno izkorišča nekatere odkrite ranljivosti, da dokaže, da so resnično zlonamerne. To vključuje testiranje vbrizgavanja SQL in XSS napadov.

5. Poizvedovanje po napadu

Netsparker analizira pridobljene informacije in oceni obseg morebitnega vdora. To vključuje identifikacijo občutljivih podatkov, ki so bili razkritih, in oceno tveganja za organizacijo.

6. Poročanje

Netsparker samodejno generira podrobna poročila o odkritih ranljivostih, vključno z navodili za odpravo le-teh. Poročila so primerna za različne deležnike, od razvijalcev do vodstva.

Primeri uporabe Netsparkerja

Netsparker se lahko uporablja v različnih scenarijih, vključno z:

  • Rednimi varnostnimi pregledi spletnih aplikacij
  • Testiranjem novih izdaj programske opreme pred objavo
  • Oceno varnosti aplikacij tretjih oseb pred integracijo
  • Preverjanjem skladnosti z varnostnimi standardi, kot sta PCI DSS in GDPR

Zaključek

Netsparker je zmogljivo orodje za avtomatizirano izvajanje penetracijskih testov, ki organizacijam omogoča celovito oceno varnosti spletnih aplikacij. Z uporabo naprednih tehnik, kot sta dinamično generiranje kode in analiza konteksta, Netsparker zagotavlja visoko stopnjo natančnosti pri odkrivanju ranljivosti. Poleg tega Netsparker podpira vse faze penetracijskih testov, od opredelitve obsega do poročanja, in se lahko integrira z razvojnimi orodji za učinkovito upravljanje odkritih ranljivosti.Uporaba Netsparkerja pri zagotavljanju varnosti spletnih aplikacij prinaša številne prednosti, vključno s celovitostjo, natančnostjo, hitrostjo in skalabilnostjo. Z rednimi varnostnimi pregledi z Netsparkerjem lahko organizacije bistveno zmanjšajo tveganje kibernetskih napadov in zaščitijo svoje podatke in ugled.

Nova storitev Razvijalca kot Storitev na forumih za hekanje spodbuja ribarjenje in kibernetske napade

Nova storitev Razvijalca kot Storitev na forumih za hekanje spodbuja ribarjenje in kibernetske napade

admin Leave a comment
SCATTERED SPIDER, skupina izsiljevalskih virusov (ransomware), izkorišča infrastrukturo v oblaku za ciljanje na zavarovalniške in finančne sektorje s pomočjo taktik socialnega inženiringa, kot sta vishing in smishing, da bi zavedli tarče in pridobili dostop do njihovih sistemov.

Skupina uporablja ukradene poverilnice, SIM swap in orodja integrirana v oblak, da ohranijo svojo prisotnost. Njihovo globoko razumevanje zahodnih poslovnih praks je omogočilo partnerstvo z BlackCat, kar je povečalo njihovo sposobnost ciljati zahodne organizacije.

Analiza je identificirala tehnike, ki jih SCATTERED SPIDER uporablja za infiltracijo, vztrajnost in izvedbo izsiljevalskih virusov v oblačnih okoljih ter poudarja tveganja, povezana z infrastrukturo v oblaku.

Življenjski cikel nameščanja izsiljevalskih virusov v oblačnih okoljih
Življenjski cikel nameščanja izsiljevalskih virusov v oblačnih okoljih

Napadajo infrastrukturo oblaka z izkoriščanjem uhajanih avtentikacijskih žetonov in z lansiranjem phishing in smishing kampanj, tako da ciljajo na visoko privilegirane račune, zlasti tiste od identitetnih administratorjev, z uporabo taktik socialnega inženiringa in domen s tipičnimi napakami.

Uporabljajo phishing strani, ki posnemajo zakonite oblačne platforme, in SMS sporočila za zavajanje žrtev, da razkrijejo svoje poverilnice, kar jim omogoča nepooblaščen dostop do oblačnih sistemov in potencialno izvedbo nadaljnjih napadov.

Primer uhajanja AWS žetona v GitHub
Primer uhajanja AWS žetona v GitHub

Kiberkriminalna skupina izkorišča ukradna orodja za zbiranje poverilnic, kot je Stealc, za zbiranje avtentikacijskih žetonov v oblačnih storitvah in zaobide MFA zaščitne ukrepe preko tehnik SIM zamenjave, ki se prodajajo na podzemnih forumih, kar napadalcem omogoča dostop do oblačnih virov in SaaS aplikacij.

Skupina zlorablja zakonita orodja v oblaku za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje po omrežju brez zaznavanja. Analitiki EclecticIQ so identificirali Telekom Enemies, DaaS skupino, kot dobavitelja orodij in storitev, ki jih uporablja SCATTERED SPIDER, vključno s phishing kompleti in zlonamerno programsko opremo.

Admin panel vse-v-enem Phishing kompleta
Admin panel vse-v-enem Phishing kompleta

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon in PingCastle za zbiranje informacij iz korporativnega Active Directory s ciljanjem na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne podatke znotraj M365.

Prav tako iščejo podatke tretjih oseb in informacije, povezane z izsiljevanjem. Z izkoriščanjem Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavi vztrajnost in neopažen dostop znotraj kompromitiranih oblačnih okolij.

Napad Cross-Tenant Synchronization v Azure
Napad Cross-Tenant Synchronization v Azure

Napadalci lahko izkoriščajo nastavitve meddejanskih dostopov in federirane identitetne ponudnike za pridobitev vztrajnega dostopa do oblačnih okolij. S kompromitiranimi privilegiranimi računi, vzpostavitvijo sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo med različnimi najemniki in izvajajo različne zlonamerne aktivnosti.

Federirani identitetni ponudniki so prav tako ranljivi za zlorabo, kar omogoča napadalcem ustvarjanje zlonamernih federiranih domen, ustvarjanje ponarejenih avtentikacijskih žetonov in vzdrževanje vztrajnega dostopa tudi po prvotnem onemogočenju kompromitiranih računov.

Uporabljajo orodja za oddaljen dostop, kot sta RMM in protokolarno tuneliranje, da ohranijo nadzor nad kompromitiranimi okolji z uporabo tehnik, kot so rezidenčni proxyji in onemogočanje varnostnih orodij za izogibanje zaznavanju.

Linux različica izsiljevalskega virusa BlackCat, ki se prenaša iz BlackBaze
Linux različica izsiljevalskega virusa BlackCat, ki se prenaša iz BlackBaze

Z izkorišč

Kako se primerljivo porovnava Wazuh z komercialnimi SIEM rešitvami

admin Leave a comment

Wazuh je odprtokodna platforma za upravljanje varnosti, ki združuje funkcionalnosti SIEM (Security Information and Event Management) in XDR (Extended Detection and Response). V primerjavi s komercialnimi SIEM rešitvami, kot so Splunk, ArcSight in QRadar, ponuja Wazuh več prednosti in nekaterih slabosti, ki jih je vredno preučiti.

Prednosti Wazuh SIEM

  1. Brezplačna in odprtokodna rešitev: Wazuh je na voljo brezplačno, kar pomeni, da podjetja ne plačujejo stroškov licenc. To je še posebej privlačno za mala in srednja podjetja, ki imajo omejene proračune za varnost.
  2. Prilagodljivost in fleksibilnost: Kot odprtokodna platforma omogoča Wazuh prilagoditev izvorne kode, kar podjetjem omogoča, da prilagodijo rešitev svojim specifičnim potrebam. To je pomembno, saj se zahteve po varnosti lahko razlikujejo med različnimi organizacijami.
  3. Integracija z drugimi orodji: Wazuh se lahko enostavno integrira z različnimi orodji in API-ji, kar povečuje njegovo funkcionalnost. To vključuje integracijo z rešitvami za obveščanje, kot so VirusTotal in TheHive, kar omogoča boljšo analizo groženj in odzivanje na incidente.
  4. Aktivna skupnost: Wazuh ima široko in aktivno skupnost uporabnikov, kar pomeni, da je na voljo veliko virov in podpore. Uporabniki lahko dostopajo do forumov, dokumentacije in rednih posodobitev, kar olajša reševanje težav in izmenjavo znanja.
  5. Skladnost z regulativnimi zahtevami: Wazuh pomaga podjetjem pri izpolnjevanju regulativnih zahtev, kot so PCI DSS, NIST 800-53, GDPR in HIPAA. To je ključno za podjetja, ki delujejo v reguliranih panogah.

Slabosti Wazuh SIEM

  1. Manjša funkcionalnost v primerjavi s komercialnimi rešitvami: Medtem ko Wazuh ponuja širok spekter funkcij, nekatera komercialna orodja, kot so Splunk in QRadar, morda nudijo bolj napredne analitične funkcije, boljšo uporabniško izkušnjo in dodatne funkcionalnosti, ki jih Wazuh ne pokriva v enaki meri.
  2. Potrebna je tehnična znanja za implementacijo: Ker je Wazuh odprtokodna rešitev, lahko zahteva več tehničnega znanja za pravilno namestitev, konfiguracijo in vzdrževanje. To lahko predstavlja izziv za podjetja, ki nimajo ustreznih virov ali izkušenj.
  3. Omejena podpora: Medtem ko je na voljo brezplačna podpora prek skupnosti, podjetja, ki potrebujejo hitro in zanesljivo podporo, morda ne bodo imela dostopa do enake ravni storitev, kot jo nudijo komercialne rešitve, ki ponujajo plačljive podporne pakete.

Primerjava z drugimi SIEM rešitvami

1. Stroški

  • Wazuh: Brezplačen, odprtokoden.
  • Komercialne rešitve: Visoki stroški licenc in dodatnih funkcij.

2. Prilagodljivost

  • Wazuh: Visoka prilagodljivost in možnost sprememb v izvorni kodi.
  • Komercialne rešitve: Omejena prilagodljivost, odvisna od funkcionalnosti, ki jih ponuja proizvajalec.

3. Uporabniška izkušnja

  • Wazuh: Uporabniška izkušnja je lahko manj intuitivna in zahteva več učenja.
  • Komercialne rešitve: Ponavadi bolj uporabniku prijazne in enostavne za uporabo.

4. Funkcionalnosti

  • Wazuh: Osnovne funkcionalnosti, ki pokrivajo večino potreb, vendar brez nekaterih naprednih analitičnih orodij.
  • Komercialne rešitve: Napredne analitične funkcionalnosti, boljša integracija z drugimi orodji in obsežnejše poročanje.

Sklep

Wazuh je odlična izbira za podjetja, ki iščejo odprtokodno in brezplačno rešitev za upravljanje varnosti. Njegova prilagodljivost, aktivna skupnost in zmožnost izpolnjevanja regulativnih zahtev so velike prednosti. Vendar pa je pomembno upoštevati, da Wazuh morda ne ponuja vseh funkcij, ki jih nudijo komercialne rešitve, in da lahko zahteva več tehničnega znanja za implementacijo in vzdrževanje.Za podjetja, ki imajo omejene proračune in potrebujejo prilagodljivo rešitev, je Wazuh odlična izbira. Vendar pa bi morala podjetja, ki iščejo napredne funkcionalnosti in hitro podporo, razmisliti o investiciji v komercialne SIEM rešitve.

Nov razvijalec-kot-storitev na forumih za hekanje spodbuja ribarjenje in kiber napade.

Nov razvijalec-kot-storitev na forumih za hekanje spodbuja ribarjenje in kiber napade.

admin Leave a comment

SCATTERED SPIDER Koriščenje Infrastrukture v Oblaku za Napade na Zavarovalniške in Finančne Sektorje

Kibernetska kriminalna skupina SCATTERED SPIDER je nedavno pritegnila pozornost strokovnjakov za kibernetsko varnost zaradi inovativne uporabe infrastrukture v oblaku za izvajanje sofisticiranih napadov na zavarovalniške in finančne sektorje. Napadalci se poslužujejo taktik socialnega inženiringa, kot sta vishing in smishing, da prevarajo ciljane osebe in pridobijo dostop do njihovih sistemov.

Življenjski cikel odkupne programske opreme v okoljih v oblaku

Kompromitiranje Infrastrukture v Oblaku

SCATTERED SPIDER uporablja ukradene poverilnice, zamenjave SIM kartic in različna orodja, ki so naravna za oblak, za vzdrževanje nepooblaščene prisotnosti v sistemih žrtev. Njihovo globoko razumevanje zahodnih poslovnih praks jim je omogočilo sodelovanje s skupino BlackCat, kar je dodatno izboljšalo njihove sposobnosti ciljati na zahodne organizacije.

Primer uhajanja AWS žetona v GitHubu

Skupina uspešno kompromitira infrastrukturo v oblaku z uporabo tactic phishing in smishing za ciljanje visoko privilegiranih računov, predvsem identitetnih administratorjev. Te pogosto zlorabljajo domene, ki vsebujejo tipkarske napake.

Kraja Poverilnic in Avtentikacijskih Žetonov

Analiza je pokazala, da SCATTERED SPIDER uporablja številna orodja za krajo poverilnic, kot je Stealc, za pridobivanje avtentikacijskih žetonov oblačnih storitev. Prav tako se poslužujejo taktike zamenjave SIM kartic, kar jim omogoča zaobid zaščite z večfaktorsko avtentikacijo (MFA).

Skupina zlorablja zakonita orodja za oblak za ustvarjanje nepooblaščenih virtualnih strojev, krajo podatkov in premikanje lateralno znotraj sistema brez odkritja. Telekom Enemies, skupina razvijalcev, kot storitev (DaaS), je identificirana kot dobavitelj teh orodij in storitev, vključno s kompleti za phishing in zlonamerno programsko opremo.

Admin panel kompleta za vse-v-enem phishing.

SCATTERED SPIDER uporablja odprtokodna orodja, kot so AzureAD, ADExplorer, ADRecon, in PingCastle za zbiranje informacij iz korporacijskih okolij Active Directory, ciljanje na orodja za upravljanje gesel, omrežno arhitekturo, VDI/VPN konfiguracije, PAM rešitve in osebne informacije znotraj M365.

Trajna Prisotnost v Okoljih v Oblaku

Napadalci z izkoriščanjem funkcije Cross-Tenant Synchronization (CTS) v Microsoft Entra ID vzpostavijo neopažen dostop znotraj kompromitiranih okoljih v oblaku.

Napad Cross-Tenant Synchronization v Azure.

S kompromitiranjem privilegiranih računov, vzpostavljanjem sinhronizacije med najemniki in ustvarjanjem zlonamernih računov lahko napadalci prehajajo lateralno med več najemniki in izvajajo različne zlonamerne dejavnosti.

Ponudniki zveznih identitet so prav tako ranljivi za zlorabe, kar omogoča napadalcem, da ustvarijo zlonamerne federativne domene, generirajo ponarejene avtentikacijske žetone in ohranijo trajni dostop tudi po tem, ko so začetni kompromitirani računi onemogočeni.

Izogibanje Odkritju in Vzdrževanje Nadzora

Uporabljajo orodja za daljinski dostop, kot je RMM, in protokolarne tunele za vzdrževanje nadzora nad kompromitiranimi okolji, s tehnikami, kot so rezidenčni proxy strežniki in onemogočanje varnostnih orodij, da bi se izognili odkrivanju.

Linux verzija odkupne programske opreme BlackCat, ki se prenaša iz BlackBaze.

Z izkoriščanjem varnostnih orodij žrtev in ustvarjanjem virtualnih strojev, vzpostavijo trajno osnovno točko in izvajajo zlonamerne aktivnosti, manipulirajo poštne transportne pravila in ponovno zaganjajo sisteme v varnem načinu za dodatno preprečevanje varnostnih ukrepov.

SCATTERED SPIDER uporablja različne taktike za pridobivanje nepooblaščenega dostopa do Active

Newly Patched Cloud Appliance Vulnerability Under Active Exploitation: Ivanti Alert

Zapier Sistemc

Ivanti’s Cloud Service Appliance Vulnerability Exploited in the Wild

Ivanti recently disclosed that their Cloud Service Appliance (CSA) has fallen prey to active exploitation due to a newly patched security flaw. This high-severity vulnerability, identified as CVE-2024-8190 with a CVSS score of 7.2, permits remote code execution under specific circumstances.

The Vulnerability

The vulnerability lies in an OS command injection flaw found in versions of Ivanti Cloud Services Appliance preceding 4.6 Patch 518, providing an avenue for cyber attackers to execute commands remotely.

Hackers have been quick to capitalize on this vulnerability, propelling it into active exploitation in the wild. Ivanti users are strongly advised to update their CSA to the latest version to protect their systems from potential attacks leveraging this flaw.

Staying Ahead with Cybersecurity Updates

In the realm of cybersecurity, proactivity is key. Regularly updating systems and software is crucial to staying ahead of potential threats. Ivanti’s prompt identification and patching of this vulnerability highlight the importance of swift action in mitigating security risks.

The Cat-and-Mouse Game of Cybersecurity

Cybersecurity is a perpetual cat-and-mouse game between threat actors and security professionals. As vulnerabilities are discovered and patched, cybercriminals seek to exploit them before users can secure their systems. Therefore, timely updates and proactive security measures are essential weapons in the ongoing battle to safeguard digital assets.

Protecting Against Remote Code Execution

Remote code execution vulnerabilities pose a significant threat as they allow threat actors to execute malicious code on targeted systems. Organizations must prioritize the mitigation of such vulnerabilities to prevent unauthorized access and data breaches.

Best Practices for Cyber Hygiene

Maintaining good cyber hygiene practices, such as promptly applying security patches and updates, conducting regular security audits, and educating users on cybersecurity best practices, are fundamental steps in fortifying defenses against remote code execution and other cyber threats.

Conclusion

In conclusion, Ivanti’s proactive response to the exploitation of the vulnerability in its Cloud Service Appliance underscores the importance of timely security updates and the continuous effort required to stay ahead in the ever-evolving landscape of cybersecurity. By remaining vigilant, implementing best practices, and promptly addressing security vulnerabilities, organizations can bolster their cybersecurity posture and protect their digital assets from malicious actors.