Three of the four most exploited vulns were zero days, all were in cybersecurity products (Palo-Alto, Ivanti Connect Secure, Ivanti Policy Secure and Fortinet). In most of the cases documented, it was ransomware groups running rings around security vendors, ie the security vendors were the cause of the victims woes due to defective products.Ach. Ach was. Das ist ja grauenhaft! Hätte uns da nicht jemand warnen können?!
Eine andere Sache, über die ich mich seit Jahren lustig mache, ist wie die Leute alle teures Monitoring-Equipment kaufen, und dann keiner die Logs davon liest. Googles Beobachtung ist, dass man über eine Woche zwischen Einbruch und dem Ransomware-Einschlag hat, in dem man die Eindringlinge finden könnte, wenn man denn die Logs lesen würde. Liest man aber nicht.
Und mit Security hat das natürlich auch nichts zu tun, wenn man Eindringlinge findet. Security wäre, sie vom Eindringen abzuhalten. Aber hey, whatever. Auf mich hört ja immer keiner.
Der nächste Mython, mit dem Google abräumt, ist "KI"-Phishing. Phishing spielt eine immer geringere Rolle, mit oder ohne "KI". Das sind alles Katzenminze-Kindermobiles für "Entscheider", damit die was attraktives haben, das ihre Aufmerksamkeit auf sich zieht.
Desweiteren stellt sich völlig überraschend raus, das wenn du Daten über die Angreifbarkeit deiner Produkte und Infrastruktur in die Cloud hochlädst, zu Jira und co, dass Angreifer das dann lesen und deine Produkte und Infrastruktur mit dem gewonnenen Wissen penetrieren.
Lasst euch nicht von dem ganzen MFA-Scheiß blenden. Das ist auch ein Katzenminze-Kindermobile. Die Frage sollte nicht sein, ob ihr MFA an dem Clouddienst aktiviert habt, sondern wieso ihr überhaupt diesen völlig überflüssigen, schädlichen, kostspieligen und Angreifern helfenden Clouddienst betreibt.
Mir ist auch völlig unklar, wieso alle Leute glauben, ein VPN zu brauchen. Das ist Perimetersicherheit, das ist als Konzept vollständig diskreditiert. Ich habe kein VPN und meine Firma auch nicht.
Update: Dieses Zero-Day-Gefasel geht mir auch zunehmend auf den Sack. Bei seriösen Anbietern gibt es keine Zero-Days, weil die keine Software einsetzen, bei der Sicherheitslücken im Umlauf sind, die der Hersteller noch nicht sofort gepatcht hat, und seriöse Firmen rollen Patches zeitnah aus. Eine "Security-Firma", die jemals in ihrer Geschichte einen Bug so lange wegignoriert hat, bis er extern ausgenutzt wird, sollte nie wieder einen Cent von irgendjemandem sehen.
Update: Ich glaube ja, dass wir hier neue Begrifflichkeiten brauchen. 0day ist ja ein Begriff aus der Hackerszene. Er bezeichnet Exploits für Sicherheitslücken, die so frisch sind, dass der Hersteller nichts von ihnen weiß. Der Hersteller der Software, die man exploiten will.
0day heißt nicht, dass Microsoft seit Jahren leugnet, dass das ein Bug ist, oder dass Ivanti keinen Patch hat, weil ihnen die Sicherheit und das Überleben ihrer Kunden voll am Arsch vorbeigeht.
Im Sprachgebrauch bei Nicht-Hackern hat sich das aber komplett gewandelt und 0day heißt "war halt schlechtes Wetter, kann keiner was für". Da ist das rein exkulpativ und wird auch für andere Situationen verwendet. Warum schlage ich neue Nomenklatur vor? Weil Hersteller 0day zur Exkulpation verwenden, und von außen kannst du das ja nicht sehen, ob der Hersteller von dem Bug wusste und ihn bloß nicht fixen wollte, oder tatsächlich nichts davon wusste. Meiner Erfahrung nach schieben alle Hersteller eine riesige Bugwelle aus bekannten Bugs in ihrem Bugtracker vor sich her, und die Wahrscheinlichkeit dafür, dass ein Bug tatsächlich unbekannt ist, ist sehr nahe Null. Schlimmer noch: Wenn es tatsächlich vorkommt, dass ein Bug dem Hersteller unbekannt war, dann kann das eigentlich nur heißen, dass der Hersteller absichtlich nicht hingeguckt hat, weil er Kundenreports nicht als Bugs versteht, sondern als Vertriebskanal für "Support"-Abofallen. Das sollte man nicht belohnen, indem man sagt, dass das dann wohl ein 0day war. Nein. Das war Herstellerversagen.