cover of episode Defensive Security Podcast Episode 285
People
A
Andrew Kelly
J
Jerry Bell
Topics
Jerry Bell:本集中讨论了多个网络安全事件,包括攻击者从暴露的 Git 配置文件中窃取云凭据、利用 Microsoft SharePoint 中的远程代码执行漏洞、不断发展的恶意软件技术以及对供应商进行网络安全尽职调查的重要性。这些事件突显了秘密管理、自动更新和健全风险管理实践在应对日益增长的网络威胁方面的挑战。 Andrew Kelly:同意 Jerry Bell 的观点,并补充说,组织在基础设施即代码和代码中对秘密管理的关注度不足,导致秘密泄露问题反复出现。攻击者利用窃取的云凭据进行的活动正在从加密货币挖掘转向更具价值的活动。将包含秘密的 Git 配置文件与公共访问隔离是不够的,应该将这些秘密视为放射性物质。应该使用按需获取秘密的系统,而不是依赖于容易出错的配置文件。应该定期扫描公共攻击面以查找暴露的秘密。 Andrew Kelly:同意 Jerry Bell 的观点,并补充说,将外部暴露的 Windows Web 服务器连接到内部活动目录是一个安全风险,应该采用更好的分段和最小权限原则。许多组织的活动目录架构是由于过去做出的决策而导致的,并且很难更新和修复。许多公司更倾向于使用管理型安全解决方案来降低风险,而不是解决根本问题。企业领导者对 IT 风险的思考方式与 2005 年不同,因为攻击者现在以工业规模运作。 Jerry Bell:同意 Andrew Kelly 的观点,并补充说,恶意软件正在使用禁用 Windows 事件日志、PowerShell 利用和注册表项修改等技术。监控日志以查找安静的传感器对于检测恶意活动至关重要。一些恶意软件使用基于时间的规避技术来规避沙箱检测。对自动更新系统的信任度是一个问题,应该对自动更新进行有计划的、有条理的部署。对供应商进行网络安全尽职调查对于降低风险至关重要,许多供应商使用过时的防火墙和其他安全措施。供应商安全评分卡等工具并不完美,并且可能难以获得可靠的信息。

Deep Dive

Chapters
The discussion focuses on the theft of 15,000 cloud credentials from exposed Git config files, emphasizing the importance of secure secrets management and the potential industrialization of such attacks.
  • Organizations systematically include Git config files in their web directories, leading to credential exposure.
  • Malicious actors use open-source tools to seek out and exploit these vulnerabilities.
  • The stolen credentials can be used for various malicious activities, including hosting illegal content and mining cryptocurrencies.

Shownotes Transcript

In this episode of the Defensive Security Podcast, we discuss the theft of cloud credentials, the exploitation of SharePoint vulnerabilities, evolving malware techniques, and the importance of cyber due diligence for suppliers. They reflect on the challenges of managing secrets, the implications of auto-updates, and the need for robust risk management practices in the face of increasing cyber threats.

Links: