Пост Лукацкого
@alukatsky
Есть такая компания Trellix, появившаяся как результат слияния FireEye и McAfee Enterprise, купленных Symphony Technology Group. Так вот ИБ-компания официально заявила, что ее хакнули с последующим неавторизованным доступом к части исходного кода продуктов. Как по мне, так выглядит как подготовка плацдарма к будущем отступлению на следующую позицию – "не к части, а ко всему репозиторию исходного кода".
Компания заявила, что сразу привлекла внешних forensic-экспертов и уведомила правоохранительные органы. Но это стандартная формулировка для инцидентов, где компания еще не готова раскрывать технические детали: как вошли, через чью учетку, какой репозиторий, какие продукты, сколько времени был доступ и была ли утечка данных. Trellix также утверждает, что пока не видит признаков воздействия на процесс выпуска и распространения ПО. Это, безусловно, важно, но на фоне всего остального тоже выглядит как временная отмазка. Компания говорит, что на текущий момент не нашла доказательств того, что произошла supply chain-атака через подмену кода или обновлений.
В условиях когда публично не раскрыты: дата начала доступа, дата обнаружения, способ проникновения, тип репозитория, затронутые продукты, объем кода, наличие секретов/API-ключей/токенов, были ли затронуты CI/CD, build-системы, issue tracker, артефакты сборки или внутренние документы, серьезно и в деталях обсуждать этот инцидент рано.
Но для ИБ-компании с 50 тысячами клиентов и 200 миллионов защищаемых ПК, – это, конечно, недопустимое событие. У , по крайней мере, такая ситуация включена именно в список таких событий. Риски тут не только в том, что кто-то "подсмотрел код" и узнал чужую интеллектуальную собственность. Для атакующего исходники ИБ-вендора могут быть полезны, чтобы:
искать уязвимости в продуктах
понимать внутреннюю логику детектирования
искать способы обхода защитных механизмов
анализировать архитектуру агентов, консолей, коннекторов и механизмов обновления
искать случайно попавшие в репозитории секреты, токены, ключи, внутренние URL, учетные данные
готовить будущую supply chain-атаку, даже если сейчас подмены кода не было.
В России клиентов Trellix уже не должно было остаться, а вот для читателей из стран СНГ или более далеких государств, разумно было бы сейчас не паниковать, а запросить у вендора закрытый customer advisory: какие продукты затронуты, были ли в репозиториях секреты, проверялись ли CI/CD и ключи для подписи кода, проводилась ли ротация токенов, есть ли IoC, нужно ли обновлять агенты/консоли, и будет ли выпущен независимый отчет по результатам инцидента.
#инцидент #проблемыибкомпаний #supplychain #devsecops
Компания заявила, что сразу привлекла внешних forensic-экспертов и уведомила правоохранительные органы. Но это стандартная формулировка для инцидентов, где компания еще не готова раскрывать технические детали: как вошли, через чью учетку, какой репозиторий, какие продукты, сколько времени был доступ и была ли утечка данных. Trellix также утверждает, что пока не видит признаков воздействия на процесс выпуска и распространения ПО. Это, безусловно, важно, но на фоне всего остального тоже выглядит как временная отмазка. Компания говорит, что на текущий момент не нашла доказательств того, что произошла supply chain-атака через подмену кода или обновлений.
В условиях когда публично не раскрыты: дата начала доступа, дата обнаружения, способ проникновения, тип репозитория, затронутые продукты, объем кода, наличие секретов/API-ключей/токенов, были ли затронуты CI/CD, build-системы, issue tracker, артефакты сборки или внутренние документы, серьезно и в деталях обсуждать этот инцидент рано.
Но для ИБ-компании с 50 тысячами клиентов и 200 миллионов защищаемых ПК, – это, конечно, недопустимое событие. У , по крайней мере, такая ситуация включена именно в список таких событий. Риски тут не только в том, что кто-то "подсмотрел код" и узнал чужую интеллектуальную собственность. Для атакующего исходники ИБ-вендора могут быть полезны, чтобы:
искать уязвимости в продуктах
понимать внутреннюю логику детектирования
искать способы обхода защитных механизмов
анализировать архитектуру агентов, консолей, коннекторов и механизмов обновления
искать случайно попавшие в репозитории секреты, токены, ключи, внутренние URL, учетные данные
готовить будущую supply chain-атаку, даже если сейчас подмены кода не было.
В России клиентов Trellix уже не должно было остаться, а вот для читателей из стран СНГ или более далеких государств, разумно было бы сейчас не паниковать, а запросить у вендора закрытый customer advisory: какие продукты затронуты, были ли в репозиториях секреты, проверялись ли CI/CD и ключи для подписи кода, проводилась ли ротация токенов, есть ли IoC, нужно ли обновлять агенты/консоли, и будет ли выпущен независимый отчет по результатам инцидента.
#инцидент #проблемыибкомпаний #supplychain #devsecops
Trellix
Important Update From Trellix
🔥 15
❤ 9
😱 5
👍 3
🫡 1
3 26 6.6K
Обсуждение 3
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram