网络快照:找到横切ATT&CK复杂吗?映射到需要帮助吗?有一个应用程序!

了解一个新工具,流线横切ATT&CK映射。此外,已知的漏洞仍然是一个主要的网络风险——问问LastPass。同时,发现为什么SaaS数据保护仍然是困难的。另外,看看美国国家网络安全策略。和更多!

深入六事介意3月10日当周的顶部。

1 -在横切ATT&CK框架?新中钢协工具旨在帮助决策者

你用横切ATT&CK来帮助你更好的发现和应对网络攻击?如果是这样,您可能想要查看一个新工具旨在帮助网络小组对手行为映射到这个流行的框架。

是一个免费的工具web应用程序称为决策者组织必须自己主机。美国网络安全基础设施安全机构(CISA)创建与国土安全系统工程和发展研究所(HSSEDI)和斜接。

^{(来源:中国钢铁工业协会,2023年3月)}

决策者是旨在帮助网络捍卫者,威胁情报分析员和安全研究人员更有效地使用横切ATT&CK框架和有效,从而了解攻击者的行动更快,更准确地说,根据中钢协。

“决策者使映射快速而准确的通过引导问题,一个强大的搜索和筛选功能,购物车功能,允许用户导出结果常用格式,“读取中国钢铁工业协会的声明。

在同伴的博客,邦妮荡妇,中钢协的生产联合网络防御合作,解释许多横切ATT&CK用户经历困难的对手行为映射到框架。因此,决策者是易于使用和理解“以最少的技术语言”。

得到更多的细节,请查看决胜局简报这讲解员的视频。

关于斜方ATT&CK的更多信息:

• 主教法冠ATT&CK主页
• ”横切ATT&CK框架是什么?”(TechTarget)
• ”横切ATT&CK框架的角色变化”(社会网络)
• ”中钢协更新横切ATT&CK映射框架”(成立)
• ”主教法冠ATT&CK框架:理解攻击方法”(社会网络)

视频

主教法冠ATT&CK框架(斜方)

Threat-Informed防御是什么?(斜方)

TechTarget横切ATT&CK:好处和挑战()

从岁2 -站得住脚的报告强调了威胁,已知的漏洞

他们是众所周知的唾手可得的网络世界:漏洞补丁的披露几个月和几年前一直是可用的,但许多组织还没有固定的。

因为攻击者继续利用这些已知的大量缺陷,站不住脚的安全响应团队(SRT)使他们在其最新发布的“威胁环境报告”(TLR)。

具体来说,SRT名单上排名第一的漏洞2022的这些缺陷,其中一些可以追溯到2017年,包括安全性bug在Microsoft Exchange, Zoho ManageEngine产品和从Fortinet VPN解决方案,Citrix和脉冲安全。

“我们不能强调足够:威胁演员继续寻找成功与已知的和可利用的漏洞证明组织未能修复或修复成功,”报告写道。

为什么这个问题持续下去?站得住脚的首席安全官员和研究主管罗伯特·胡贝尔在报告中解释说,安全团队漏洞修复的原因有多个,包括大量的孤立的网络安全工具,提供一个有限的、支离破碎的攻击表面。

因为脆弱性管理(VM)再也不能在真空中进行,组织必须建立一个风险管理计划,允许组织执行基于风险的工作流。

“接触管理提供了实施风险减少整个组织,提供了一个未来的愿景我们不再看到五岁的漏洞继续利用“精选”集合的攻击者播放列表,“Huber写道。

得到更多的细节,你可以查看完整的报告,读一个SRT博客和参加一个网络研讨会3月16日上午11点PT / 2点等。

你还可以找到站得住脚的TLR的报道帮助网络安全,社会网络,我的技术决策,BetaNews的和政府通讯。

3 -说到已知的漏洞,没有矫正…

更多的细节出来了去年的大规模的密码管理器LastPass违约,并从岁新信息强化了的危险,离开unremedied已知的漏洞。

这里是最新的:攻击者破坏LastPass DevOps的家用电脑工程师利用丛媒体服务器的一个已知的漏洞。丛披露了错误在2020年5月,在这段时间里,它还打补丁的发布一个新版本的软件。错误(cve - 2020 - 5741)据报道,丛由站得住脚的2020年3月。

时的攻击,据说LastPass工程师还没有安装丛更新也没有任何的其他后续更新丛发布为产品在临时的问题。

“不幸的是,LastPass员工从来没有升级软件激活补丁。供参考的版本,解决这种利用约75版本前,“丛代表对个人。

让所有的细节关于两起事件,导致数据破坏,包括窃取客户密码加密,读取最新的事后剖析从LastPass上周发表的。

同时,细节的具体丛的脆弱性,这并不是提到的LastPass更新,被丛几个技术出版物公开证实,包括个人电脑,黑客新闻和ReviewGeek。

关于LastPass问题的更多信息:

• ”LastPass后叶子长为商业客户的待办事项清单”(网络安全潜水)
• ”LastPass说黑客窃取客户密码金库”(TechCrunch)
• ”LastPass违反公开美国违约通知法律如何让消费者陷入困境”(CyberScoop)
• ”LastPass披露泄露密码金库安全专家正在被撕裂”(边缘)
• ”LastPass不应该信任你的密码”(主板)

视频:

解剖学的威胁:2022 LastPass违约是由于已知丛软件漏洞(成立)

LastPass事件更新2023年3月:简单的错误(劳伦斯系统)

LastPass黑客事件更新(笨蛋技术播客网)

4 -报告:组织与SaaS斗争数据保护

保护软件即服务(SaaS)的数据仍然是一个挑战很大程度上归因于组织的缺乏了解是谁负责和如何去做。

SaaS疲软数据保护正逐步成为一个更大的问题是组织提高他们的采用和使用SaaS应用程序,依靠他们越来越重要的业务流程。

这是根据企业战略集团(ESG)“SaaS的数据保护”研究中,基于一项调查的近400名IT人员在美国和加拿大熟悉和/或SaaS数据保护技术决策负责。

主要结论包括:

• 33%的组织依靠他们SaaS供应商专门为保护他们的SaaS数据
• 55%失去了SaaS数据在过去的12个月
• 两个SaaS数据丢失的主要原因是SaaS服务中断(35%的受访者)和网络攻击(34%)
• 保护SaaS应用程序是一个首要5 89%的IT组织未来12 - 24个月

“不要混淆服务正常运行时间与你恢复被损坏的数据的能力。根据我们的研究,很明显,许多it专业人员并不真正理解角色和职责实际上是什么,”克利斯朵夫伯特兰写的环境、社会和治理分析师TechTarget的文章“为基于saas的应用数据保护是一项正在进行中的工作”。

^{(来源:企业战略集团的“SaaS的数据保护”的报告,2023年2月)}

伯特兰的一些数据保护建议SaaS的客户包括:

• 明确什么属于你的责任,你的供应商的责任
• 了解业务和合规SaaS服务中断或数据丢失的后果
• 有存储备份和恢复你的SaaS应用程序,特别是那些用于关键业务流程

有关详细信息,查看报告信息和查看报告的总结页面。

获得更多的信息关于SaaS安全:

• ”SaaS安全风险和挑战”(ISACA)
• ”SaaS云客户管理的最佳实践”(云安全联盟)
• ”云安全:三件事InfoSec领导人需要知道分担责任模型”(成立)
• ”最佳实践谈判SaaS SLA”(TechTarget)
• ”云安全基础知识:保护你的Web应用程序”(成立)

视频

6步骤SaaS安全(史蒂夫·墨菲)

解开SaaS安全企业(RSA会议)

5 -住在云安全的话题…

在最近的一次站得住脚的网络研讨会对违反安全政策评估多重云环境,我们在他们的主要调查参与者云合规问题和云安全审计方法。检查结果!

^{(40研讨会与会者站得住脚的调查在2023年2月)}

^{(57研讨会与会者站得住脚的调查在2023年2月)}

6 -美国国家网络安全计划旨在使科技厂商更负责任

白宫公布了期待已久的国家网络安全战略,35页政策文件的调用将更多的网络防御责任转移到系统运营商和技术提供商得到最多关注。

白宫国家最终用户——个人、小企业,基础设施运营商,以及州和地方政府——目前携带太多的负担对于网络风险缓解,他们在有限的资源和其他优先事项。

“一个人的瞬间判断失误,使用过时的密码,或错误的点击可疑链接不应该国家安全后果,”白宫的声明中表示。

相反,当谈到保护数据和安全关键系统,责任应该是“最有能力和最好的演员”在公共和私人部门——即系统所有者和经营者,以及技术提供商。

文档专门调用软件制造商,说他们应该承担法律责任,当他们释放所开发的产品或服务没有遵循安全最佳实践。

总的来说,国家网络安全战略确定了五根柱子增强网络安全的美国“数字生态系统”:

• 保护关键基础设施
• 演员破坏和瓦解的威胁
• 形成市场力量驱动安全性和弹性
• 投资于一个有弹性的未来
• 建立国际伙伴关系

有关更多信息,请查看国家网络安全战略文档以及白宫简报以及覆盖企业安全技术,黑暗的阅读,内部网络安全,结合和CyberScoop。

视频

Biden-Harris政府的国家网络安全战略(战略与国际问题研究中心)

拜登政府推出新的网络安全策略(雅虎财经)