Про Microsoft Digital Defense Report 2022 (2/2).
Теперь на что можно обратить внимание.
1. Неплохая схема "Understanding the ransomware economy" на 11 странице и вообще раздел про рансомварь норм. "Существуют отдельные организации, которые создают вредоносные программы, получают доступ к жертвам, развертывают программы-вымогатели и ведут переговоры о вымогательстве". Занимательно.
По нашей теме: "В 68% затронутых организаций не было эффективного процесса управления уязвимостями и исправлениями, а высокая зависимость от ручных процессов по сравнению с автоматическим исправлением привела к критическим уязвимостям. Производственная и критическая инфраструктура по-прежнему испытывает трудности с обслуживанием и исправлением устаревших систем операционных технологий (OT)."
Лол, а в 32% затронутых организаций был эффективный VM процесс и все равно пошифровали? Я бы на такие посмотрел. 🙂 Рекомендации по борьбе с рансомварью не сказать, что какие-то новые, но в целом толковые.
2. На 26 странице раздел про атаки на роутеры неплохой со схемами атак.
3. Раздел "Nation State Threats" это один сплошной фейспалм. Но, закрыв глаза на недоказуемые геополитические набросы, можно выделить интересное по нашей теме. "Ключевой тактикой [атак] стало выявление и быстрое использование незакрытых уязвимостей. Быстрое развертывание обновлений безопасности является ключом к защите." "В среднем требуется всего 14 дней, чтобы эксплойт стал доступен в дикой природе после того, как информация об уязвимости была публично раскрыта". Это выглядит как манипуляция, т.к. для подавляющего большинства уязвимостей ни эксплуатации вживую, ни эксплоитов не появляются. Но допустим.
4. Вынесу как отдельный пункт признание МS на странице 39, что относительно новая политика Китая, регулирующая порядок раскрытия информации об уязвимостях, самым положительным образом сказалась на информированности китайских государственных структур. Там конечно приводятся всякие голословные обвинения в offensive активностях, которые внимания не заслуживают. А вот то самое китайское "Положение об администрировании уязвимостей безопасности сетевых продуктов" внимание очень даже заслуживает, надо будет его отдельно разобрать. Если американцы так возмущаются, значит хорошие сапоги, надо брать (с).
5. Рекомендации относительно 0day уязвимостей неплохие. "Уделите особое внимание исправлению уязвимостей нулевого дня сразу же после их выпуска; не ждите, пока цикл управления исправлениями будет развернут. Документируйте и инвентаризируйте все аппаратные и программные активы предприятия, чтобы определить риски и быстро определить где нужно патчить."
6. Страница 53. "Нам срочно нужна последовательная глобальная система, в которой приоритет отдается правам человека и которая защищает людей от безрассудного поведения государства в Интернете." Лол, лучше б напомнили кто MS17-010 не зарепортил, а использовал втихую, и у кого потом EternalBlue утек. 🙃
7. На 64-ой странице рекомендации по IOT снова про патчинг. "Обеспечьте надежность устройств, установив исправления, изменив пароли по умолчанию и порты SSH по умолчанию." "Как и в других системах, в прошивке устройств IoT/OT широко использовались библиотеки с открытым исходным кодом. Однако устройства часто поставляются с устаревшими версиями этих компонентов. В нашем анализе 32 процента образов содержали не менее 10 известных уязвимостей (CVE), оцененных как критические (9,0 или выше). Четыре процента содержали не менее 10 критических уязвимостей старше шести лет."
8. На странице 97 пишут, что браузеры тоже не патчат "Изучив критическую уязвимость, затронувшую 134 версии набора браузеров (set of browsers), мы обнаружили, что 78 процентов, или миллионы устройств, по-прежнему используют одну из уязвимых версий через девять месяцев после выпуска исправления."
