MKD-CIRT National Centre for Computer Incident Response

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Агенцијата за национална безбедност споделува нови насоки за да им помогне на организациите да го ограничат движењето на противникот на внатрешната мрежа со усвојување на принципи на рамка со нулта доверба.

Безбедносната архитектура со нулта доверба бара строги контроли за пристап до ресурсите на мрежата, без разлика дали се тие внатре или надвор од физичкиот периметар, за да се минимизира влијанието на прекршувањето.

Во споредба со традиционалниот модел на ИТ безбедност, кој претпоставува дека има доверба во се и секого на мрежата, дизајнот со нулта доверба претпоставува дека веќе постои закана и не дозволува слобода во мрежата.

Унапредувањето на зрелоста на нулта доверба се врши постепено со решавање на различни компоненти, или столбови, кои актерите за закана можат да ги искористат во нападот.

Седумте столбови на архитектурата со нулта доверба
извор: Агенција за национална безбедност

НСА денеска објави упатство за нулта доверба за компонентата на мрежата и околината, која ги опфаќа сите хардверски и софтверски средства, ентитети кои не се лица и протоколи за интеркомуникација.

Моделот со нулта доверба обезбедува длабинска мрежна безбедност преку мапирање на протокот на податоци, макро и микро сегментација и софтверски дефинирани мрежи.

За секоја од нив, организацијата мора да достигне одредено ниво на зрелост што им овозможува да продолжат да градат според принципите на нулта доверба.

„Столбот за мрежа и животна средина ги изолира критичните ресурси од неовластен пристап со дефинирање на пристап до мрежата, контролирање на протокот на мрежа и податоци, сегментирање на апликациите и оптоварувањата и користење на шифрирање од крај до крај“ National Security Agency  (PDF)

Мапирањето на протокот на податоци започнува со идентификување каде и како се складираат и обработуваат податоците. Напредната зрелост во овој случај се постигнува кога организацијата има целосен инвентар и видливост на протокот и може да ги ублажи сите сегашни, нови или аномални рути.

Преку макро сегментација, организациите можат да го ограничат страничното движење на мрежата со создавање мрежни области за корисниците во секој оддел.

Како пример, на некој во сметководството не му треба пристап до мрежниот сегмент посветен на човечките ресурси, освен ако не се бара експлицитно, така што актерот за закана би имал ограничена површина на напад на која треба да се сврти.

Со микро сегментација, управувањето со мрежата е поделено на помали компоненти и се спроведуваат строги политики за пристап за ограничување на страничните текови на податоци.

NSA објаснува дека „микро сегментацијата вклучува изолирање на корисниците, апликациите или работните текови во поединечни мрежни сегменти за дополнително да се намали површината на нападот и да се ограничи влијанието доколку се случи прекршување“.

Повеќе грануларна контрола врз микро сегментацијата се постигнува преку компонентите за мрежно дефинирани со софтвер (SDN), кои можат да обезбедат приспособливо безбедносно следење и предупредување.

SDN овозможува контролирање на рутирање на пакети од централизиран контролен центар, обезбедува подобра видливост во мрежата и дозволува спроведување на политики за сите мрежни сегменти.

За секоја од четирите компоненти во столбот на мрежата и животната средина на архитектурата со нулта доверба, НСА опишува четири нивоа на зрелост, од подготвителниот чекор до напредната фаза каде што се спроведуваат опсежни контроли и системи за управување за да се овозможи оптимална видливост, следење, и да се обезбеди раст на мрежата.

Дизајнирањето и изградбата на средина со нулта доверба е сложена задача која бара систематски да помине низ фази на зрелост.

Правилно направено, резултатот е архитектура на претпријатие што може да се спротивстави, идентификува и одговори на заканите кои се обидуваат да ги искористат слабостите.

НСА го објави првиот водич за рамката со нулта доверба во февруари 2021 година (Embracing a Zero Trust Security Mode ), кој го опишува моделот и предностите на принципите зад него.

Во април 2023 година, агенцијата објави упатство за достигнување на зрелоста на корисничката компонента во рамката со нулта доверба – Advancing Zero Trust Maturity Throughout the User Pillar.

Извор: bleepingcomputer

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

GitHub стандардно овозможи заштита од push за сите јавни складишта за да спречи случајно изложување на тајни како што се токени за пристап и клучеви API при туркање нов код.

Денешното соопштение доаѓа откако компанијата  introduced push protection во бета верзија пред речиси две години, во април 2022 година, како лесен начин да се спречи автоматски протекување на чувствителни информации. Функцијата стана generally available за сите јавни складишта во мај 2023 година.

Заштитата со притиснување проактивно спречува протекување со скенирање за тајни пред да се прифатат операциите „git push“ и блокирање на обврските кога ќе се открие тајна.

GitHub вели дека функцијата за тајно скенирање автоматски го спречува протекувањето на тајните со тоа што ќе забележи над 200 типови на токени и обрасци од над 180 даватели на услуги (клучеви API, приватни клучеви, тајни клучеви, токени за автентикација, токени за пристап, сертификати за управување, ингеренции и повеќе).

„Оваа недела го започнавме ширењето на притисната заштита за сите корисници. Ова значи дека кога ќе се открие поддржана тајна при секое притиснување на јавното складиште, ќе имате опција да ја отстраните тајната од вашите обврски или, доколку сметате дека таен сеф, заобиколете го блокот“, рекоа Ерик Тули и Кортни Клесенс од GitHub .

„Можеби ќе бидат потребни една или две недели за да се примени оваа промена на вашата сметка; може да го потврдите статусот и да се пријавите рано во поставките за безбедност и анализа на кодот“.

Дури и со стандардно вклучена заштита при притисок за сите јавни складишта, корисниците на GitHub можат да го заобиколат автоматизираниот блок за извршување. Иако не се препорачуваат, тие можат целосно да ја деактивираат заштитата со притискање во нивните безбедносни поставки.

               Заштита од туркање во акција (GitHub)

Организациите што се претплатени на планот на GitHub Enterprise можат да користат GitHub Advanced Security, која ги штити чувствителните информации во приватните складишта. Ова, исто така, додава пакет од други функции за тајно скенирање, како и скенирање на код, предлози за кодови управувани од вештачка интелигенција и други способности за безбедност на статички апликации (SAST).

„Случајното протекување на клучеви на API, токени и други тајни ризикуваат прекршување на безбедноста, оштетување на репутацијата и правна одговорност во зачудувачки размери“, велат Тули и Клаесенс.

„Само во првите осум недели од 2024 година, GitHub откри над 1 милион протечени тајни на јавните складишта. Тоа е повеќе од десетина случајни протекувања секоја минута“.

Повеќе детали за користење на заштита од притискање од командната линија или дозволување притиснување на некои тајни се достапни на оваа  GitHub documentation page.

Како што извести BleepingComputer во последниве години, откриените ингеренции и тајни доведоа до повеќекратни прекршувања со големо влијание [ 1 , 2 , 3 ].

Извор: (bleepingcomputer.com)

Достапно на / Dispozicion në: Albanian (Albanian) English (English)

Безбедносна ранливост е откриена во приклучокот LiteSpeed ​​Cache за WordPress што може да им овозможи на неавтентицираните корисници да ги зголемат своите привилегии.

Следена како CVE-2023-40000 , ранливоста беше адресирана во октомври 2023 година во верзијата 5.7.0.1.

„Овој приклучок страда од неавтентицирана ранливост зачувана на целата локација [прекрстено скриптирање] и може да дозволи секој неавтентициран корисник да краде чувствителни информации за, во овој случај, ескалација на привилегијата на страницата на WordPress со извршување на едно барање HTTP“, истражувачот на Patchstack, рече  Rafie Muhammad.

LiteSpeed ​​Cache , кој се користи за подобрување на перформансите на страницата, има повеќе од пет милиони инсталации. Најновата верзија на приклучокот во 6.1, која беше објавена на 5 февруари 2024 година.

Безбедносната компанија на WordPress рече дека CVE-2023-40000 е резултат на недостаток на дезинфекција на влезот на корисникот и escaping output . Ранливоста е вкоренета во функција со име update_cdn_status() и може да се репродуцира во стандардна инсталација.

„Бидејќи товарот на XSS е поставен како известување за администраторот и известувањето за администраторот може да се прикаже на која било крајна точка на wp-admin, оваа ранливост може лесно да се активира од секој корисник што има пристап до областа wp-admin“, рече Мухамед.

Обелоденувањето пристигнува четири месеци откако Wordfence откри уште еден пропуст на XSS во истиот приклучок (CVE-2023-4372, CVSS резултат: 6.4) поради недоволна дезинфекција на влезот и бегство на излезот на атрибутите обезбедени од корисникот. Беше адресирано во верзијата 5.7.

„Ова им овозможува на автентицираните напаѓачи со дозволи на ниво на соработник и повисоки да инјектираат произволни веб-скрипти на страниците што ќе се извршуваат секогаш кога корисникот пристапува до инјектираната страница“, рече Иштван Мартон .

Извор: thehackernews