Пост Лукацкого @alukatsky Channel on Telegram

Пост Лукацкого

@alukatsky

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики.

Канал личный - мой работодатель никак не влияет на то, что здесь публикуется.

Рекламу не размещаю!!!

Пост Лукацкого (Russian)

Добро пожаловать на канал "Пост Лукацкого"! Здесь вы найдете уникальный контент про кибербезопасность от Алексея Лукацкого, известного также как @alukatsky. Этот канал предлагает вам его мысли, полезные ссылки, комментарии к текущим событиям, а также юмор и мемасики.

Что делает этот канал особенным, так это то, что он личный. Алексей Лукацкий утверждает, что его работодатель никак не влияет на то, что публикуется здесь. Это означает, что вы можете быть уверены в том, что получаете информацию из первых рук, без внешних влияний.

Алексей Лукацкий также обещает, что на его канале не будет никакой рекламы. Это значит, что каждый пост будет нацелен исключительно на информационное наполнение и удовлетворение вашего интереса к кибербезопасности.

Не упустите возможность подписаться на этот уникальный канал и быть в курсе всех актуальных событий в мире кибербезопасности! Подписывайтесь на "Пост Лукацкого" уже сегодня!

Пост Лукацкого

12 Jan, 06:21

Произошло знаменательное событие у меня на сайте lukatsky.ru 🤠 - число заблокированных и удаленных спам-комментариев в блоге превысило число легальных комментариев - 18921 vs 18081 🎆

А так как я обычно пробегаю глазами прилетающий спам ❗️ на предмет ложных срабатываний, то обнаружил сегодня волну из сообщений (первая картинка), которые рекламируют аутентификатор для игровой платформы Steam 🎮

Уж не знаю, что меня дернуло проверить эту ссылку (с соблюдением всех мер безопасности), но сайт steamauthenticator[.]ru выглядит как сделанная на коленке за пару минут страница для распространения вредоносного кода у любителей компьютерных игр Ну и проверка на virustotal показала, что да, похоже оно так и есть. Так что будьте бдительны! Ну а кто хочет покопаться в файле, то велкам 👍

#фишинг #малварь
2,701
Пост Лукацкого

11 Jan, 07:24

Ситуация с 1-м января непростая, надо признать. Все ждали, что вот-вот и заказчики побегут пачками покупать отечественные средства защиты информации. И, наверное, так бы и произошло, если бы не рост ключевой ставки и некоторая стагнация в экономике. Ну и, конечно, СВО, на которую государство тратит немалые деньги. Все это привело к тому, что мы попали в очень непростую ситуацию и хуже всего, как мне кажется, регуляторам. Ведь формально (с точки зрения 166-го и 250-го Указов), все должны были не только отказаться от закупок иностранного ПО, но и перейти на отечественные средства защиты информации уже с 1-го января.

Но не перешли (многие). И вот что теперь делать регуляторам, которые придут с проверкой к субъекту КИИ, который не выполнил требование 250-го Указа? Наказать? Даже если бы существовала норма в КоАП или УК за нарушение Указа (разве что невыполнение обязательных требований по защите информации в КоАП), то все же понимают, что выполнить его будет все равно нельзя. И выдав предписание, оно не будет выполнено. То есть мы сами себя загнали в тупик. И ведь авторы 250-го Указа, ставя такие сроки, понимали, что он недостижим, но цель была благая, - перевести российских заказчиков на рельсы импортозамещения. И вот на рельсы они встали, но даже до первой станции не доехали, не говоря уже о конечной.

И что делать? Вопрос риторический, а вот последствия нет. Проверяющие-то не могут руководствоваться благими намерениями - они обязаны проверять соблюдение требований законодательства и наказывать за несоблюдение. Но наказание имеет смысл, когда можно исправить нарушение. А если нельзя?

#регулирование #мем #суверенитет
5,309
Пост Лукацкого

10 Jan, 18:28

Интересная аналогия кибербеза и человеческого тела SOC как мозг 🧠, SIEM как глаза 👀, кости как инфраструктура 💪, потоки данных как кровь 🩸... Что-то в этом есть. Но органы на схеме задействованы не все 🍑

#мем
5,273
Пост Лукацкого

10 Jan, 14:31

Американцы 🇺🇸 решили сделать ИБ ближе к народу и придумали помечать безопасные продукты специальным знаком качества. Правда, не все, а только умные беспроводные устройства, попадающие в зону контроля FCC (Федеральной комиссии по коммуникациям). Программа добровольная и уже даже выбрали 11 компаний, которые будут ставить "печать" на безопасные продукты 🎖 "Все" участники рынка радостно приветствуют инициативу, а я могу заранее сказать, чем это все закончится, по шагам:
🔤 Сначала взлетят цены на "безопасные" продукты, так как "обычная гренка не может стоить 8 евро, а крутон может"! В конце концов, затраты на сертификацию надо же как-то отбивать. Ничего личного, только бизнес ↗️
🔤 Торговые сети с радостью будут продавать такие же, но более дорогие продукты, убирая все остальные на дальние полки, что приведет к гонке за печать, а не за безопасность.
🔤 Какой-нибудь умный, и конечно же, безопасный, пылесос взломают и будут через него подглядывать за женщинами 👀
🔤 На вендора взломанного вендора подадут в суд за нарушение приватности, но он отмажется, заявив, что у него всего защищено и вот печать есть. Аккредитованные органы отмажутся, так как они "всего лишь проверяют по правилам, установленным FCC". А FCC вообще регулятор и наказать его нельзя 😠
🔤 Потом сломают кардиостимулятор, автомобиль, фитнес-трекер, умный счетчик, умные весы и еще кучу "умного" всего, так как это привлечет хакеров со всего мира, которые захотят показать, кто сильнее, и выступить с этим на очередном DEFCON.
🔤 Интерес к программе угаснет, как он угас к десятку аналогичных программ, логотипы которых показаны выше ☝️ и которые все были "trusted" или "secured".
🔤 В итоге инициатива "умрет", пополнив собой "кладбище печатей безопасности", на котором есть и отечественные инициативы в том числе.
🔤 Российские депутаты решат, что в России надо создать такую же инициативу для людей, для защиты детей и для защиты персональных данных от мошенников и преступников 🤬
🔤 В США спустя лет пять опять родится схожая инициатива!

Так вижу 🔮 А пока на прошедшей выставке электроники CES представили умный кабель для зарядки на базе ИИ (AI powered charging cable)...

#оценкасоответствия
5,563
Пост Лукацкого

10 Jan, 09:24

Правительство утвердило Концепцию государственной системы противодействия преступлениям, совершаемым с помощью информационно-коммуникационных технологий 👺 Я немного это событие прокомментировал для Коммерсанта, но так как туда вошло не все, то хочу тут чуть раскрыть это событие 📰

Хочу сначала сказать, что любые действия, направленные на улучшение информационной безопасности в стране, я могу только приветствовать 🙂 Особенно это касается защиты пожилых людей и детей, привлечения деятелей культуры для повышения осведомленности граждан в области кибербезопасности, упомянутые в Концепции. Важным направлением является разработка нового программного обеспечения для более эффективного расследования компьютерных преступлений 🎩

Также уделено внимание освещению этих вопросов в СМИ, организации новых научных исследований и разработок (НИОКР), а также защите следователей и экспертов, которые в рамках своей деятельности могут ненамеренно нарушать действующие режимы тайн 🤕 Последнее особенно актуально в контексте принятой статьи 272.1 УК РФ, которая может наказать экспертов по ИБ за анализ утечек ПДн. Особенно сейчас, после последних крупных инцидентов, все ринулись скачивать семплы и проверять там свои ФИО, что может рассматриваться как уголовное преступление 🙂

На поляну кибербеза выходит МВД и на ней становится слишком тесно. Много регуляторов в сфере ИБ в отсутствие единой политики обеспечения информационной безопасности в стране, что может создать дополнительные проблемы. Мы же помним русскую пословицу про семь нянек и дитя без 👁

Самое главное, что на реализацию концепции пока не заложено ни копейки, а все должно быть из текущих бюджетов 🤑 Однако эти средства не были заранее предусмотрены, а бюджетирование на 2025 год уже завершено. И за чей счет привлекать деятелей культуры? 🤔 Или это будет теперь "платой" за очередную голую вечеринку? А остальные инициативы? Новое ПО, реклама в СМИ, НИОКРы и т.п. Где деньги, Зин (с) 🤑

Одно удивляет, к основным мероприятиям в финале Концепции относится всего три:
1️⃣ Профилактика компьютерных преступлений
2️⃣ Совершенствование законодательства
3️⃣ Выработка инструментария для возмещения причиненного ущерба.

Но пока рано наводить критику. Все станет понятно летом, когда будет представлен детальный план реализации Концепции ✔️ Это позволит понять, какие конкретные шаги для успешного внедрения концепции, будут предприняты государством,
какие органы исполнительной и законодательной власти будут это реализовывать, а также на какие средства будет это все реализовываться 🚶‍♂️ Пока же получается, что разные регуляторы тянут одеяло на себя...

#регулирование #МВД #киберпреступность
5,961
Пост Лукацкого

10 Jan, 04:41

3821000 человек в округе Лос-Анджелеса получили сообщение ⚠️ о возможной эвакуации из-за пожаров, которые Калифорния не видела уже много-много лет. Я как-то в отпуске возвращался из Лас-Вегаса в Лос-Анджелес на машине и тоже столкнулся с пожаром на подъезде к городу 🔥 Запомнились дикие пробки, перекрытия многих дорог, постоянная перестройка маршрута, нервотрепка и страх 🔥 Но тогда эвакуцию целого региона не объявляли. Но пост не об этом.

Я вдруг подумал, что это ведь не только эвакуация людей с их домашними животными и скарбом, который они смогут погрузить в машину 🚗 Это еще и "определенные" сложности для бизнеса, который может потерять свою собственность, свои ЦОДы, свое оборудование, свои данные... Готовы ли бизнесмена Лос-Анджелеса к такому повороту событий? Есть ли у них регламенты на такие ситуации (а пожары, правда, не такие сильные, в этой части США достаточно популярны)? 🤔 Что должны эвакуировать американские ИТшники в случае реализации такого недопустимого события природного явления? А что должны делать ИБшники? Брать подмышку NGFW и бежать? Срочно копировать логи SIEM в облако Amazon (хорошо бы оно было не в том же городе)? Wipe'ить все сервера из-за угрозы мародерства? 🤔

Схожая история была в Курской области, когда туда проникли украинские войска 💪 Да, природа явления совсем другая, но набор действий для ИТ и ИБ должен быть схожий. Какой? Вы готовы к такому повороту (не дай, Бог, конечно)? Попробуйте провести мозговой штурм 🤔 или бизнес-игру "Что если?" и посмотрите на результаты - они будут интересными. Я такое уже проводил и местами реакция людей меня удивляла. Ведь как мы помним, "один раз - это случайность, два раза - совпадение". А что если такая история произойдет в третий раз (на самом деле, постоянно происходит)? Вы готовы?.. ✔️

#модельугроз #непрерывность
6,527
Пост Лукацкого

09 Jan, 18:05

Выбирая "best practices" по ИБ для своей организации, помните, что лучшие практики могли создаваться в условиях, отличных от конкретно вашей ситуации! 🐊 И то, что для других "лучшее", вас может сделать аутсайдером, а то и вовсе привести к реализации угрозы 💥

Та же история с различными стандартами, которые похожи на "мировые рекорды" в ИБ. Но к ним стремятся далеко не все. Поэтому когда стандарт является рекомендательным, на него можно ориентироваться, но не пытаться реализовать все. Но если его делают обязательным, то вот тут-то и начинаются проблемы с нехваткой бюджетов, очковтирательством и прочим блудняком, который приводит только к худшим результатам... 🤹 Baseline же придумали не просто так 💡

#bestpractice
6,813
Пост Лукацкого

09 Jan, 14:39

CAPTCHA становится все сложнее для человека, но не для ИИ 🧠, который щелкает все эти усложнения как орешки. И в чем тогда смысл? Хотя если задача этой капчи привить тягу к искусству?.. 🤔

#аутентификация
6,942
Пост Лукацкого

09 Jan, 09:37

Иногда хочется быстро понять, что там регулятор напридумывал или составить высокоуровневую схему 📇 какого-либо стандарта или книги. Этакий SmartReading, но по нормативке или литературе, когда вряд ли когда попадет в этот сервис.

Есть простой вариант решения этой задачи. Сначала вы суммаризируете интересующий вас текст с помощью ИИ, который вам и код для майндкарты сгенерит 🗺 А потом уже вы засовываете этот код в какой-нибудь markmap.js. Вуаля, задача решена. Базовое представление у вас есть, а дальше вы уже сможете погружаться в детали, если захотите 💡

Вот так выглядит майндкарта проекта нового приказа ФСТЭК, о котором я уже писал и предложения в который собираются до 11 января (я свои уже отправил) 🛫 Я как раз задействовал ChatGPT для суммаризации текста и формирования карты, а markmap.js уже для визуализации. Полная версия 👇 в PDF (никаких оплат через Patreon / Boosty - все бесплатно и без регистрации).

#ФСТЭК #регулирование
7,986
Пост Лукацкого

09 Jan, 04:40

Знаете, специалистов по ИБ часто называют людьми, говорящими «нет» 🙅‍♂️, за что их не любят и стараются обходить стороной, даже тогда, когда от ИБ нужна резолюция на тот или иной проект. В итоге, это «нет» 👎 часто приводит к реализации негативных последствий, которых можно было бы избежать, если бы ИБ и ее руководители чаще говорили «да» или хотя бы могли объяснить причину своего отказа. Наткнулся тут на статью "How to Say "No" Well", которую немного пересказал и дополнил какими-то своими мыслями

#ciso
7,645
Пост Лукацкого

08 Jan, 18:12

Чтобы не забылось... В 2022 году президент объявил об отказе от Болонской системы образования 🙅‍♂️ Была надежда на возврат к советской системе, но нет. В 2023-м сначала вышел 343-й Указ Президента, а затем и Постановление Правительства №1302 про пилотный проект ✈️ по изменению уровней профессионального образования, который заключался в том, что вместо бакалавриата и магистратуры сделали базовое высшее (4-6 лет обучения вместо 4-х) и специализированное высшее образование (1-3 года обучения вместо 2-х).

Каких-то особых изменений по сравнению с прошлым подходом я не заметил 🤷‍♀️ Разве что стандарт образования может сам ВУЗ, участвующий в пилотном проекте, разработать ✍️ Первоначально, в список специальности, которые подлежали переходу на новую схему, ИБ включена не была, что позже исправили, приняв в марте 2024-го Постановление Правительства №369, которое учитывало две ИБшных специальности - 10.03.01 "Информационная безопасность" и 10.05.02 "ИБ телекоммуникационных систем" 🛡 Судя по тому, как среагировали на это пилотные ВУЗы, для первой специальности оставили 4 года обучения, а для второй сделали 5,5.

Госдума вчера поддержала идею перевода уже не шести ВУЗов на эту схему, а всех - с 1 сентября 2026 года Посмотрим, что из этого выйдет. С одной стороны, самостоятельная разработка образовательных стандартов без указующего перста УМО по ИБ, - это хорошо. Никто не будет тянуть качество образования вниз 📉 С другой, смущают критерии эффективности образования по новой схеме, предложенные в ПП-1302. Их всего "на троечку":
1️⃣ Средний балл ЕГЭ и количество олимпиадников 🤠
2️⃣ Вовлеченность работодателей в образовательный процесс (непонятно, как считают) и % студентов, прошедших практику у работодателей (главное, чтобы не считали тех, кто просто подрабатывает, независимо от ВУЗа)
3️⃣ Уровень удовлетворенности студентов (думаю, будет 146%) 🤮

Посмотрим, во что выльется вся эта история. Действительно, на новые рельсы 🛤 высшее образование встанет или все останется как было 🤔 Главное, что не 9 лет надо учиться на ИБшника 🤣

#обучение
7,405
Пост Лукацкого

08 Jan, 11:59

Интересно, чем он ключ держит? 🤔 Не в новогоднюю же ночь они логотип рисовали 🖼 Хотя в последнее время все как-то второпях и на коленке. Вот что значит девиз "Omne impossibile videtur impossibile" у одной из хакерских группировок? 🤔 Он бессмысленный.

"Все невозможное кажется невозможным"... Ну бред же. Тут либо "только" пропущено и тогда должно быть "omne impossibile nisi impossibile videtur", либо и вовсе имелось ввиду "omne quod videtur impossibile esse potest", то есть "все что кажется невозможным, возможно". Но это если бы я придумывал что-то этакое, чтобы показать свою ученость 👩‍🎓 А так выглядит, как будто студент медицинского вуза, прогуливавший латынь...

#хакеры
6,752
Пост Лукацкого

08 Jan, 06:48

Но чтобы это была не просто очередная новость, несколько рекомендаций (да, местами очевидных) по снижению риска повтора аналогичной ситуации на стороне пользователей:

1️⃣ Тщательная проверка источников получения ПО. Используйте средства защиты только из проверенных и хорошо зарекомендовавших себя источников. Изучите их историю, активность сообщества и репутацию разработчиков. Тут все было с Github, но в других кейсах может быть и иначе.

2️⃣ Оценка популярности и поддерживаемости ПО. Чем больше активных пользователей и чем чаще выпускаются обновления, тем выше вероятность оперативного устранения уязвимостей. Хотя давняя история с HeartBleed, когда в популярной библиотеке OpenSSL пару лет не могли найти уязвимость, говорит, что и это не панацея.

3️⃣ Своевременное обновление. Регулярно проверяйте и обновляйте средства защиты до последних стабильных версий, содержащих исправления уязвимостей. Главное, не повторять кейс CrowdStrike и следовать "канареечному" подходу (обновление по частям).

4️⃣ Использование LTS-версий. Для критически важных систем выбирайте версии с долгосрочной поддержкой (LTS), которые получают стабильные обновления безопасности.

5️⃣ Проверка кода на уязвимости. Если возможно, проводите независимую проверку исходного кода open source решений перед их использованием. По крайней мере в отношении критически важного ПО. И не думайте, что ИБ-решения более защищенные, чем обычное прикладное или системное ПО.

6️⃣ Оценка компонентов и зависимостей. Средства защиты могут включать сторонние библиотеки, которые также должны регулярно проверяться на наличие уязвимостей (например, с использованием инструментов для анализа зависимостей или соответствующих фидов).

7️⃣ Сегментация. Разделяйте среды, в которых работают защитные инструменты, чтобы ограничить потенциальный ущерб. Например, запускайте сканеры в изолированных контейнерах или на виртуальных машинах.

8️⃣ Минимизация привилегий. Убедитесь, что защитные средства работают с минимально необходимыми правами доступа, а еще лучше в определенные технологические окна, чтобы иметь возможность видеть отклонения от определенного расписания и другие аномалии.

9️⃣ Логирование и аудит. Настройте запись действий всех средств защиты, чтобы отслеживать потенциально вредоносное поведение. Интеграция DevSecOps в SOC - не самая изученная тема, кстати.

1️⃣0️⃣ Мониторинг активности. Используйте системы мониторинга SIEM/XDR/метапродукты для выявления аномальной активности со стороны самих средств защиты. Кто контролирует контролеров?!

1️⃣1️⃣ Проверка резервных копий. Регулярно тестируйте резервные копии систем, чтобы быть готовыми восстановить работу в случае инцидента.

1️⃣2️⃣ Разработка плана реагирования. Имейте четкий план действий на случай, если обнаружится уязвимость или компрометация средства защиты. У вас, кстати, текущий план реагирования покрывает инфраструктуру ИБ?

1️⃣3️⃣ Пентесты и Red Team. Регулярно проводите проверки используемых средств защиты, включая их роль в инфраструктуре. И не ограничивайтесь только проверкой SOCа.

1️⃣4️⃣ Bug Bounty. Если средство используется в больших масштабах, запустите программу Bug Bounty, чтобы привлекать исследователей для поиска уязвимостей (ну или убедитесь, что используемое вами решение участвует в какой-то программе Bug Bounty).

1️⃣5️⃣ Активное участие в сообществах. Подпишитесь на рассылки и каналы безопасности, связанные с используемыми инструментами, чтобы оперативно узнавать об уязвимостях в них.

1️⃣6️⃣ Поддержка связей с разработчиками. Если вы используете open source решения, участвуйте в обсуждениях и уведомляйте разработчиков об обнаруженных проблемах. Помогайте другим пользователям не наступить на грабли, с которыми столкнулись вы сами.

1️⃣7️⃣ Не полагайтесь на одно решение. Используйте несколько уровней защиты и разнообразие инструментов, чтобы снизить риск единой точки отказа. Тем более, что в сегменте open source сканеров уязвимостей, таких решений полно.

1️⃣8️⃣ Оценка альтернатив. Регулярно пересматривайте используемые решения и сравнивайте их с альтернативами.

#управлениеинцидентами #opensource
7,045
Пост Лукацкого

08 Jan, 06:46

Никогда такого не было и вот снова (с) А используемые вами средства защиты входят в область анализа защищенности? Вот тут пишут, что в популярном сканере уязвимостей Nuclei, имеющем 2+ миллиона скачиваний с Github, обнаружили уязвимость CVE-2024-43405 (CVSS 7.4), которая позволяет злоумышленникам выполнять вредоносный код на локальной системе.

Сканер использует специальные подписанные шаблоны в формате YAML, которые описывают проводимые проверки и тесты. И вот механизм проверки подписи шаблонов и был обойден, позволяя злоумышленникам подсовывать собственные вредоносные шаблоны со всеми вытекающими (а POC выглядит очень банально). Уязвимость актуальна для ПО начиная с версии 3.0.0 и до 3.3.2, включая пользователей как CLI, так и SDK.

PS. Схожая история была в конце декабря с Mobile Security Framework (MobSF).

#уязвимость #devsecops #средствазащиты #доверие #opensource
6,700
Пост Лукацкого

07 Jan, 18:06

Какой интересный инструмент нашел - CISO Assistant 🆘 Позволяет вам бесплатно реализовать функцию GRC, поддерживая более 70 различных фреймворков по ИБ и управлению рисками. Местами есть ооочень нестандартные и малоизвестные. А вот российских нет 🤷‍♀️ Но можно добавлять свои собственные через соответствующий каталог и синтаксис.

За 0 любых денег 🪙 можно развернуть у себя на ноутбуке или на локальном сервере. В профессиональной версии можно получить уже SaaS-версию и приоритетную поддержку, помощь с подключением собственного фреймворка, поддержку организационных иерархий, диаграммы Ганта, анализ ущерба и т.д. Но и бесплатная версия выглядит вполне себе... 🙂

#CISO #GRC #opensource
6,864
Пост Лукацкого

07 Jan, 12:43

ЗГД по ИБ делится в LinkedIn своим опытом прохождения обучения для соответствия требованиям 250-го Указа. Особенно хороши комментарии, которые, кстати, показывают, кто реально способен быть ЗГД (то есть входить в топ-менеджмент), а кто нет. Ну и сам вопрос, конечно, сформулирован предельно неконкретно, так как отсутствуют важнейшие исходные данные, необходимые для принятия решения и, в данном случае, ответа на вопрос теста.

#обучение #CXO
6,978
Пост Лукацкого

06 Jan, 17:47

Знаете, я в юности профессионально занимался туризмом 🏕, а став немного постарше, даже увлекался выживанием, вплоть до хождения в одиночные походы в горы и тайгу. Потом, уже в Cisco, регулярно проходил ERT-тренинги по оказанию первой помощи 👩🏻‍🚒 в различных ситуациях.

А сегодня вот наткнулся в Интернете, что британских солдат учили, что если они заблудились в джунглях, то им нужно не паниковать, а сесть и выпить чашку чая ☕️ Схожий совет (по сути, не по форме) давался и во время тренингов по первой помощи, так как непродуманные и хаотичные действия могут только навредить 😱 Ну и в книжках по выживанию писали аналогичное. Все их объединяет одно - нельзя паниковать 😱

Тоже можно сказать и про реагирование на инциденты 🆘 Если уж вы не проходили предварительные тренинги на киберполигоне, где ваши действия доводят до автоматизма, то просто возьмите за правило - сесть и выпить чашечку вкусного кофе или ароматного чая, в течение чего набросать план своих первоочередных действий. И пусть это будет не так 😱 А хотя бы так или так 🤣

ЗЫ. Но скажу вам, в реальности, чтобы приготовить чашку чая в тайге во время ливня или при -36 градусах (а были у меня такие истории), надо сильно помучаться. В мороз чуть проще - дрова-то все равно сухие, и запалить сушняк для кипячения воды - не бином Ньютона. В ливень, даже при +20, это не в пример геморройнее... ☕️

#управлениеинцидентами
6,973
Пост Лукацкого

06 Jan, 12:28

Возвращаясь к разговору о телеметрии. Если не брать в расчет историю с личными устройствами, а посмотреть на средства ИБ, которые собирают большой объем данных для своевременной идентификации угроз, изучения их поведения и на основе этих данных обновления механизмов защиты. Без этой информации система не сможет адекватно реагировать на новые угрозы или повышать эффективность защиты от уже известных.

Иногда слышу опасения, что такую телеметрию нельзя передавать вендору, потому что... что? Иностранным производителям средств защиты эти данные раньше передавались, не задумываясь. Облачные средства защиты так вообще только так и работают. А тут вдруг опасения... В любом случае для управления ими давно уже придуманы вполне конкретные меры:

1️⃣ Анонимизация и агрегирование данных. Собираемая телеметрия может быть предварительно анонимизирована, чтобы исключить привязку данных к конкретным пользователям или системам. Например, внутренние IP-адреса могут быть хэшированы, а персональные данные удалены.

2️⃣ Сбор только релевантной информации. Вендор может собирать минимально необходимую информацию для целей безопасности, избегая данных, не относящихся к киберзащите (например, содержимого файлов, личной переписки и т. п.).

3️⃣ Декларация прозрачности. Предоставление заказчику полного перечня собираемой информации и объяснение, как она используется, помогает снять недоверие. Можно предложить инструменты мониторинга и аудита для проверки процесса сбора данных. Правда, по моему опыту, последним никто не пользуется. Но знание, что такая возможность есть, снимает многие подозрения.

4️⃣ Локальное хранение и первичная обработка. Все данные сначала остаются внутри инфраструктуры заказчика, и только агрегированные метрики или триггеры угроз (например, хэши, индикаторы компрометации) передаются для обработки за ее пределы.

5️⃣ Шифрование и управление доступом. Передача и хранение данных осуществляется только в зашифрованном виде, а доступ к информации строго контролируется. Это исключает утечку данных даже в случае компрометации канала передачи информации.

6️⃣ Соответствие требованиям законодательства. Вендор может подтвердить соблюдение всех применимых стандартов и требований (например, ФСТЭК или Банка России, а также глобальных регуляторов и нормативов GDPR, CCPA, SOC2), чтобы гарантировать заказчику соответствие его ожиданиям в области приватности и конфиденциальности.

7️⃣ Возможность отказа или настройки уровней телеметрии. Заказчику предоставляется возможность отключить передачу определенных типов данных или настроить уровень детализации информации, что повышает доверие к процессу.

В общем, проводя аналогию, вопрос уже звучит не как «Передавать телеметрию или нет», а как «Как это сделать наиболее безопасным образом?»

#доверие #средствазащиты
6,738
Пост Лукацкого

06 Jan, 06:37

Очередной подводный кабель (Между США и Тайванем) какие-то нехорошие люди оборвали ✂️ Обвиняют китайцев. В конце декабря перерезали подводный кабель между Финляндией и Эстонией (в октябре 2023 года такое уже было) , а в середине ноября оборвали два подводных интернет-кабеля между Литвой и Швецией и между Финляндией и Германией ✂️ Обвиняют русских и китайцев, чьи суда были замечены рядом (северокорейцев и иранцев было бы странно в этом обвинять применительно к Балтийскому морю). А год назад, возможно хуситы, перерезали подводные Интернет-кабеля в Красном море. На фоне блокировок Роскомнадзора изнутри страны вероятность быть отрезанным от многих ресурсов Интернета становится все выше и выше ✂️

Да и хрен с ними, скажете вы и... будете неправы. Во-первых, у нас же мировой Интернет тоже пока еще доступен преимущественно через Европу 🌍 То есть обрезание кабелей касается и нас. А раз так, то стоит лишний раз провести ревизию того, что у вас завязано на всякие зарубежные сервисы 🌐 И речь не только об очевидных типа разных SaaS или TI, но и, например, DNS, NTP и т.п. С одной стороны вроде это проблема операторов связи - обеспечить вам связность сети, а с другой - спасение утопающих - дело рук самих утопающих 🚠

ЗЫ. Шутки про сохранение Интернета на дискетке скоро перестанут быть шутками... 😂

ЗЗЫ. Спасибо подписчику за ссылку на свежий кейс.
6,909
Пост Лукацкого

05 Jan, 18:15

Ну что, не устали еще от праздников? Тогда вот вам обновленная коллекция книг из серии "Для чайников" 📚 любезно предоставленная Ильей Борисовым (VK). По сравнению с ссылкой, которую давал я, Илья добавил ряд новых книг и обновил ранее выложенные на более новые редакции. Читаем, просвещаемся, повышаем свою стоимость на рынке труда... 📖

#книги #обучение
7,662
Пост Лукацкого

05 Jan, 14:58

Посмотрел я первую серию "Киберслава", российского анимационного киберпанка 😂, про которую уже дважды писал и все ждал, когда же его выпустят. Ну что сказать... Ничего не скажу. Разве что, мне не очень понятно, откуда в славянской мифологии появилась семитская Лилит? 🤔 Но подождем хотя бы третьей серии, чтобы делать выводы.
7,605
Пост Лукацкого

05 Jan, 12:19

Apple, известная своим слоганом "Privacy. That's iPhone" (в моем вольном переводе "Приватность. Это про iPhone"), попала в очередной скандал, закончившийся согласием выплатить штраф в 95 миллионов долларов за... нарушение приватности (удивительно, что кто-то еще верит в наличие такого явления, как приватность). А все оказалось просто - подрядчики Apple имели доступ, конечно же без согласия, к данным Siri, среди которых были и конфиденциальные переговоры и т.п. Помимо штрафа Apple может заплатить по 20 долларов каждому покупателю, кто покупал совместимые с Siri устройства с 17 сентября 2014 по 21 декабря 2024 года (я, похоже, стану богаче баксов на 200). Ну и там еще маячит другой штраф в 1,5 миллиарда долларов за нарушение закона о прослушке (Wiretap Act).

Но вообще история не про Apple и не про очередное доказательство трех очевидных фактов:
1️⃣ Приватности не существует!
2️⃣ Нарушение конфиденциальности (как одного из достигаемых ИБ свойств) в странах с развитой судебной системой обходится дорого.
3️⃣ Данные - это новая нефть и компании, имеющие доступ к данным своих пользователей-физлиц, будут и дальше наращивать возможности по сбору этой информации.

Мой пост же на самом деле о взрыве Cybertruck. В расследование очень быстро "вмешался" Илон Маск, который удаленно разблокировал Cybertruck для правоохранительных органов и предоставил им видео с зарядных станций, которые грузовик посетил, чтобы отследить передвижение транспортного средства. По сути, генеральный директор Tesla поделился имеющейся в его распоряжении телеметрией, которая помогла эффективнее проводить расследование инцидента. Кто-то сделает вывод, что здесь, как и в случае с Apple, нарушена приватность автовладельца. Кто-то посчитает, что это совсем разные истории, так как речь идет расследовании преступления, а не о массовой истории. В любом случае, вопрос получения доступа производителей к телеметрии, собираемой их средствами, сегодня уже не может быть однозначно решен в пользу клиента. Нужно искать баланс ⚖️

ЗЫ. Кстати, наблюдая одним новогодним глазом за происходящим в Америке, не отпускает мысль, что там может что-то в ближайшую пару недель произойти. Наезд автомобиля на людей, очередная стрельба в Нью-Йорке, а потом в Вашингтоне, массовые НЛО, разговоры о том, что Байдену надо 5-го числа подать в отставку и тогда Камалла Харрис автоматически станет 47-м президентом США, взрыв CyberTruck...
7,577
Пост Лукацкого

05 Jan, 06:34

Тут Руслан подкинул ссылку на прикольный сервис Teach Me Anything, который генерит в реальном времени короткое (до 2 минут) видео, раскрывающее суть интересующих вас терминов и концепций 👨‍🏫 Я решил дать этому сервису непростую задачу, попросив его объяснить мне, что такое "недопустимые события" и "результативная кибербезопасность". Использовал я англоязычные термины для этих понятий 😱 На удивление, сервис TMA вполне неплохо справился с задачей. Ну насколько это можно было сделать за 2 минуты, конечно. Google Learn может дополнить этот сервис более глубоким погружением в ту или иную тему 💡

ЗЫ. Регистрация не требуется. Сервис генерит все на английском языке.

#обучение #ИИ
7,283
Пост Лукацкого

04 Jan, 17:37

Давно я что-то карточек не делал, подумал я... и сделал 🤠 На самом деле, просто экспериментировал 🧑‍💻 с LLM по созданию картинок с эмоциями для одного и того же лица. А уж карточки - это побочный результат, не пропадать же ему 🎣

#фишинг #awareness
6,020
Пост Лукацкого

04 Jan, 12:16

Вот смотрю я на некоторые каналы по ИБ и задаюсь вопросом - нахрена они существуют и кто их читает? Один пост в день про несвежую новость, которую уже все обсосали с разных сторон. И ладно если бы в каналах была аналитика или нестандартный взгляд, но нет. Просто пересказ уже известного. И несколько тысяч подписчиков. Не понимаю 🤷‍♀️

Ну да пост не про это. Посмотрел рейтинг ИБ-каналов у Алексея Комарова 📈 Предположу, что Алексей собрал почти все, что есть в российском Телеграм-пространстве (там есть каналы даже на пару десятков человек); ну или большую его часть (хотя вот в списке ИБ-чатов нет многих чатов Positive Technologies, а в списке каналов нет ESCalator) 📱

Интересно, можно ли на основе этого рейтинга делать вывод о количестве специалистов по ИБ в стране? 🧮 С одной стороны, версия, что нормальный специалист по ИБ подписан хотя бы на один канал в Telegram, не лишена оснований. Можно было бы предположить, что самый популярный канал "Утечки информации", на который подписано 123 тысячи человек, и задает верхнюю границу такого числа ИБшников в стране 🔝 Но, во-первых, на него подписаны не только специалисты по кибербезу, а во-вторых, не все специалисты по ИБ подписаны на него. Я вот из первой двадцатки подписан только на 6 каналов, а из всех 180 только на 27 🧮

Если ориентироваться на формулу расчета числа специалистов (моя новогодняя фантазия после сауны и кофе с коньяком), которая выглядит следующим образом:

Число специалистов по ИБ = (общее число подписчиков на все каналы / доля подписанных) / коэффициент подписок, где
- доля подписанных - это % специалистов по ИБ, которые подписаны на все каналы (для простоты можно посчитать это значение равным 100%, но в реальности оно будет другим (у некоторых каналов оно может быть и 80%, то есть на них подписаны не все ИБшники, а где-то условно 120%, когда на канал подписаны не только все ИБшники)
- коэффициент подписок - это число каналов, на которые подписан среднестатистический специалист по ИБ


Получается, что общее число подписчиков на все каналы у нас равно на момент написания заметки 1 693 696 человек, включая ботов и граждан сопредельных республик, интересующихся, что у нас происходит, которых в формуле я не учитываю. Тогда при доле подписанных в 100% и коэффициенте подписки в 27 каналов (если меня принять за среднестатистического специалиста 🤠) мы получим верхнюю границу в 62729 специалистов по ИБ в России. При числе подписок в 6 каналов и доле подписанных в 80% (не все есть в Telegram, что странно, но допустим), верхняя граница вырастает до 282 283 специалистов по ИБ.

Но предположу, что все-таки значение в 62 тысячи ближе к истине. А вы что думаете? 🤔

#мысли
5,786
Пост Лукацкого

04 Jan, 06:40

Никогда такого не было и вот снова (с) Некорректное обновление 🔄 агентов сканера безопасности Nessus компании Tenable, распространенное 31 декабря, привело к тому, что защитное ПО перестало функционировать, а для его переустановки надо было вручную сбросить все настройки, залив после этого либо раннюю, либо последнюю версию обновления Nessus, но опять же вручную 🧑‍💻

Это, конечно, не июльский инцидент с Crowdstrike, но в очередной раз поднимает вопрос о наличии правильной стратегии обновления ПО 🤔 Особенно в новогоднюю ночь 🔥

#инцидент #devsecops
6,051
Пост Лукацкого

03 Jan, 23:22

Американцы ввели санкции против ИБ-компании... К счастью не российской, а китайской 🇨🇳 Это Integrity Technology Group, про которую я писал в сентябре и которая, если верить спецслужбам США, стоит за APT-группировкой Flax Typhoon или, по крайней мере, предоставляет им инфраструктуру для проведения атак. Что-то американцы долго тянули с введением ограничений, 3,5 месяца ... К выборам что ли?...
6,360
Пост Лукацкого

03 Jan, 18:08

А вы когда целуетесь, закрываете глаза? 👀 На самом деле и этот вопрос тоже имеет отношение к ИБ. В одном исследовании психологи выяснили, что женщины и мужчины часто закрывают глаза во время поцелуя 👨‍❤️‍💋‍👨 потому, что глаза мешают нашему мозгу полностью обрабатывать тактильные ощущения, возникающие при касании губ, и тем самым притупляют их, заставляя наше чувство осязания уйти на задний план 😚

Исследователи сделали вывод, что системы безопасности, использующие именно "тактильный" канал передачи сигналов тревоги (например, вибрацию телефона 📳), могут привести к их пропуску, если в данный момент человек, который этот сигнал получает, концентрируется на экране/мониторе (актуально для аналитиков SOC, специалистов ситуационных центров и т.п.)

Точно такая же проблема, называемая психологической слепотой 🧑‍🦯 (я о ней писал в 2017 году), происходит когда мы сосредотачиваем усилия на наблюдениях за чем-то, что полностью засасывает нас и наше внимание, и это может сделать остальные объекты незаметными, а иногда и неслышимыми для нас 🙉

ЗЫ. Вывод: хотите продлить удовольствие во время секса - не закрывайте глаза! увеличить шансы, что аналитики SOC не пропустят важный сигнал тревоги - используйте разные органы чувств каналы коммуникаций - визуальный, тактильный, слуховой (вкус и обоняние пока в деятельности ИБ не задействуются) 📟
6,474
Пост Лукацкого

03 Jan, 13:53

Последние пару недель стала очень сильно бросаться в глаза беспрецедентная волна взломов операторов связи и Интернет-провайдеров по всему миру - в США, в Австралии, в России... 📡

Сначала американцы на самом высоком уровне заявили, что все крупнейшие операторы связи 🌍 страны были взломаны китайской группировкой Salt Typhoon 🇨🇳, которая перехватывала сообщения и прослушивала звонки интересующих ее граждан США, преимущественно находящихся в Вашингтоне и окрестностях (там, кстати, Пентагон и Форт Мид, штаб-квартира АНБ, "в окрестностях" 🇺🇸). И хотя сообщение CISA об этом было еще в ноябре, а первые разговоры начались парой месяцев ранее, волна 🌊 пошла только в последних числах декабря, когда CISA опубликовала руководство по защите мобильных коммуникаций, а декадой ранее - руководство по мониторингу и усилению защиты коммуникационной инфраструктуры 🐉

🤔 Интересно, учитывая, что в России 🇷🇺 схожее оборудование на инфраструктуре связи, что и у всех операторов по миру, то у нас кто-нибудь проверял нахождение китайцев внутри наших сетей связи? 🚠 Мы хоть и "друзья навек", но до поры до времени, пока это выгодно обеим сторонам.

Кстати, о России. В Даркнете 🎩 сейчас наблюдаются предложения по продаже данных взломанных российских Интернет-провайдеров, часть из которых перед этим столкнулась с DDoS-атаками с сопредельного государства, а после с простоями в работе (где-то речь идет об уничтожении инфраструктуры) 💥

На фоне победных реляций о том, что Интернет в России достиг самых удаленных уголков страны, лично я в последний месяц постоянно сталкиваюсь со снижением скорости и качества Интернет ⛓️‍💥 То картинки не подгружаются, то скорость низкая, то VPNы подглючивают, то СМС или звонок не проходят. Мало нам было блокировок РКН и ограничений работы с российских IP на зарубежных сайтах. Теперь вот еще и хакеры, тьфу, не дают нормально серфить 🖥 и прослушивают 📞 всех и вся. Как дальше жить 😱

В качестве рекомендаций могу посоветовать одним глазком взглянуть на бюллетени CISA ☝️, более активно применять шифрование данных при передаче по каналам связи, поменять все пароли на сетевом оборудовании, которое вы арендуете у провайдера, и отключить возможность его удаленного доступа (если договор это позволяет). А то ведь, взломав вашего оператора связи, хакерам будет несложно и к вам нагрянуть, канал-то доверенный... 🤔
6,300
Пост Лукацкого

03 Jan, 07:27

Кто-то с ужасом ждет вступления в силу закона об оборотных штрафах, кто-то потирает руки, уже подсчитывая барыши от продаж очередных проектов по 152-ФЗ. Ну я решил посмотреть на это с точки зрения иностранного бизнеса, который уже не первый год живет в схожих условиях и уже накопил интересные цифры, к которым можно присмотреться:

1️⃣ 63% организаций планируют включить потенциальные штрафы и расходы на инциденты с данными в стоимость своих продуктов и услуг, подняв их для клиентов. В прошлом году таких компаний было на 10,5% меньше.

2️⃣ В 2024 году среднее время восстановления после инцидентов с данными составило 7,3 месяца, что на 25% больше ожидаемого времени. Для компаний, планирующих урезание бюджетов ИБ, этот показатель еще хуже - 10,9 месяцев.

3️⃣ 94% компаний, столкнувшихся с действиями шифровальщиков, привели не только к утечке данных, но и в 94% к простоям бизнеса, а в 40% к его остановке.

4️⃣ 66% жертв утечек данных публично раскрыли информацию об инцидентах, и только 30% сделали это ограниченному кругу лиц, пострадавших от инцидента.

5️⃣ Треть организаций не может обнаруживать утечки в момент инцидента и узнают об этом только в момент истребования выкупа или опубликования хакерами украденной информации, что говорит о нехватке адекватных инструментов для обнаружения соответствующих угроз и отсутствии стратегии борьбы с ними. В среднем компании используют сегодня 51 различное средство защиты, но несмотря на это, в 51% таких организаций фиксировали утечки данных.

Ни в коем случае не призываю немедленно бросать подледную рыбалку, катание на лыжах, лепить снеговика или чистить дорожки от снега, но, возможно, пришло то время, когда стоит выделить денёк-другой и подсчитать, что больше, - цена бездействия или стоимость ИБ-программы в компании. Конечно, с учетом множества факторов, таких как правоприменение, стоимость перестройки бизнес- и иных процессов, наличие неформальных контактов в правоохранительных и надзорных органах и т.п.
3,958
Пост Лукацкого

02 Jan, 15:44

Разрабатывая систему ИБ, которая взаимодействует с пользователями, учитывай не свои культурные предпочтения, а своей целевой аудитории!

ЗЫ. Пересматривал фотографии из Японии 🍱 и навеяло 😊
5,032
Пост Лукацкого

01 Jan, 21:08

История с CyberHaven обрастает новыми подробностями. Оказалось, что скомпрометировано было не только их расширение в Chrome Web Store, но еще три с половиной десятка расширений с общим числом пользователей - 2.600.000. Все инциденты начались одинаково - фишинговый e-mail разработчикам расширений, выглядящее как будто сообщение от Google, в котором говорится, что расширение нарушает политики Google и может быть удалено из магазина расширений. При переходе по ссылке пользователь попадает на страницу с вредоносным OAuth-приложением, которое запрашивало права доступа на управление Chrome Web Store.

Включенная многофакторная аутентификация не помогает, так как авторизация OAuth ее не требует (это не значит, что MFA бесполезна; просто 100% гарантии она не дает). Google Advanced Protection тоже не спасает от этой атаки; правда и учетная запись Google не компрометируется. После получения доступа к учетной записи разработчика, злоумышленники модифицируют расширение для броузера, вносят в него вредоносные файлы, крадущие данные, и заново заливают в Chrome Web Store. На данный момент неизвестно, кто стоит за данной атакой.

Среди скомпрометированных расширений (обратите внимание, что среди них есть и ИБ-расширения):
🔤 AI Assistant - ChatGPT and Gemini for Chrome
🔤 Bard AI Chat Extension
🔤 GPT 4 Summary with OpenAI
🔤 Search Copilot AI Assistant for Chrome
🔤 TinaMInd AI Assistant
🔤 Wayin AI
🔤 VPNCity
🔤 Internxt VPN
🔤 Vidnoz Flex Video Recorder
🔤 VidHelper Video Downloader
🔤 Bookmark Favicon Changer
🔤 Castorus
🔤 Uvoice
🔤 Reader Mode
🔤 Parrot Talks
🔤 Primus
🔤 Tackker - online keylogger tool
🔤 AI Shop Buddy
🔤 Sort by Oldest
🔤 Rewards Search Automator
🔤 ChatGPT Assistant - Smart Search
🔤 Keyboard History Recorder
🔤 Email Hunter
🔤 Visual Effects for Google Meet
🔤 Earny - Up to 20% Cash Back
🔤 Where is Cookie?
🔤 Web Mirror
🔤 ChatGPT App
🔤 Hi AI
🔤 Web3Password Manager
🔤 YesCaptcha assistant
🔤 Bookmark Favicon Changer
🔤 Proxy SwitchyOmega (V3)
🔤 GraphQL Network Inspector
🔤 ChatGPT for Google Meet
🔤 GPT 4 Summary with OpenAI

Помните, что удаление вредоносного расширения из Chrome Web Store не означает завершение инцидента, так как если он продолжает оставаться на компьютере пользователя, который успел его установить, то расширение продолжает свое черное дело в части кражи данных с ПК.

ЗЫ. А как вы проверяете, какие плагины и расширения устанавливают себе ваши пользователи?
7,247
Пост Лукацкого

01 Jan, 13:23

Пока мы тут проводили нас тупивший и встретили наступивший год, у закокеанских коллег сейчас два больших шухера в ИБ, обсуждаемые на самом высоком уровне (что может привести и к геополитическим последствиям в отношениях США и Китая). Первый - это взлом 🔓 чуть ли не всех крупнейших операторов связи с последующим прослушиванием всех телефонных переговоров интересующих китайцев лиц. Второй инцидент продолжает историю с взломом ИБ-компании BeyondTrust в начале декабря 🤕

Оказалось, что украденный API-ключ привел к взлому Минфина США (он же Казначейство) и несанкционированному доступу к ряду их ПК и затем к данным, которые, по официальным сведениям, не отнесены ни к гостайне, ни к служебной информации (unclassified в американском варианте). Об этом инциденте американцы, в соответствии с требованиями FISMA и меморандумом OMB 24-04) уведомили заинтересованные лица (по тексту становится понятно, почему "Голос Америки", написал, что название этой группировки - Advanced Persistent Threat 😂). В письме про китайскую атрибуцию ни слова, но все как один утверждают именно это 🐲

Деталей кейса пока нет (обещают в течение 30 дней представить), но интересно, что Минфин классифицировал инциденте как серьезный (major), что согласно OMB 24-04 означает одно из двух:
1️⃣ ущерб национальной безопасности, международным отношениям, экономике США, свободам гражданам (то есть недопустимое событие в нашей терминологии) или
2️⃣ инцидент с персональными данными более 100 тысяч человек, который может привести к п.1.
То есть на словах у них "все ОК, нечего волноваться", а на деле может быть все серьезней 🐉

Интересное наблюдение 👀 Если посмотреть внимательно временную шкалу от BeyondTrust. Подозрение на инцидент был зафиксировано 2 декабря. Подтвержден он был 5 декабря, а Минфин был уведомлен об этом только 8-го, спустя три дня. То есть у злоумышленников было минимум 6 дней (если их обнаружили сразу, как они начали действовать) на кражу данных у американского казначейства. Такая себе оперативность...

ЗЫ. В моей копилке это уже шестой взлом казначейств по всему миру, а уж взломов ИБ-компаний и не счесть.
6,124
Пост Лукацкого

01 Jan, 00:37

Есть компании, которые просто пишут код. Есть те, кто создает NGFW. Третьи же компании защищают страну. А вы бы в какой хотели трудиться?!

С нас тупившим ушедшим и с наступившим пришедшим годом змеи! 🐍 Продолжаем праздновать и философствовать!
6,236
Пост Лукацкого

31 Dec, 13:37

кто не рискует тот рискует
без инцидентов жизнь прожить
и пить шампанское в укромном
и безопасном уголке 🥂
6,919
Пост Лукацкого

31 Dec, 10:46

«Голос Америки» уже не торт 🎂
6,805
Пост Лукацкого

31 Dec, 02:55

Кибербойцы и защитники цифровых бастионов, читатели канала и почитатели его автора, соратники, друзья, товарищи и коллеги! Поздравляю вас с наступающим 2025 годом! 🎉 Уходящий високосный год был, мягко говоря, как межсетевой экран прошлого поколения — все время что-то ломалось, приходилось латать и надеяться, что патчи все-таки сработают. Но мы все справились: удержали цифровые форты, спасли данные и, возможно, даже выспались хоть пару раз за год 😖

2025-й обещает быть еще тем «хакатоном» — новые угрозы, вызовы и горящие жопы тикеты 🔥, но давайте честно: вы же уже натренировались успевать за всем этим марафоном, правда? Желаю, чтобы в этом году ваши инструменты и системы работали стабильнее, чем карта "Мир" заграницей и Wi-Fi на ИБ-конференциях, инциденты были реже утреннего кофе, а кортизол отступил под натиском дофамина, серотонина и эндорфина! 🥰 Если вы не знаете, что означают последние три слова, то пусть у вас будет просто больше позитива 👍

Пусть ваши SOCи будут эффективными, пароли у пользователей — крепкими, как хороший коньяк, а недопустимые события обходили вас, как файлы .exe мимо macOS 🧑‍💻 Не мешайте вашему бизнесу расти и развиваться, вы же не Роскомнадзор, в конце концов. И главное — находите время на отдых, на родных и близких, на свое развитие 😘

С Новым годом! 🎄 Пусть он будет безопасным, счастливым и с минимумом сбоев. Ну, или хотя бы с хорошими бэкапами 😎

Ваш, почти как антивирус, но нужнее, Алексей Лукацкий 🤠, который уходит в новый год с позитивом в сердце, звездным небом над головой и моральным законом коньяком внутри меня... Не теряйте меня! Вернусь уже в первых числах января, так как ИБ не спит никогда! 🔥
6,602
Пост Лукацкого

30 Dec, 14:47

Охота в творческом порыве
Отбросив седину назад
Сказать «пошло оно всё на хер»,
И взяв коньяк уйти в закат 🥃

Вот вы, посмотрев на картинку, подумали, хвастаться будет и итоги подводить, хотя обещал не делать этого. Но нет! Картинка нужна для другого.

Из нее можно сделать вывод, что в канале все отлично, растет аудитория, растет индекс цитирования, число постов немаленькое… 🤟 Чем-то напоминает дашборды ИБ, которые тоже показывают рост обнаруженных инцидентов, рост уволенных за утечки, рост бюджетов, ноль нарушения нормативки и т.п. А с ИБ при этом все хуже ситуация и инциденты все равно приводят к недопустимому 🍑

Вот и с каналом также. При положительной динамике цифр, читает канал на постоянной основе всего 9% его читателей (за что вам огромное спасибо). 49% его замьютили, 31% погружаются в заметки лишь эпизодически, что говорит о том, что моя способность писать опережает вашу способность/желание читать 🧑‍💻 Да, я пишу для себя, то, что интересно мне, но в последнее время, чего уж греха таить, стал заложником регулярности. Вбил себе в голову, что надо обязательно все заметки писать в одно и тоже время, начиная каждый день в 7.40мск и потом каждые 3,5 часа что-то публиковать, выходя на 5 постов в рабочий день и 4 в выходные. И бывало так, что посты вымучивались 🚽, а это недопустимо!!!

Буду пересматривать подход к публикациям, но не в ущерб исходной идее канала ✍️ Как минимум введу теги. Ну и частоту скорее всего понижу, как и регулярность сменю. Я, конце концов, не Селигман и не Павлов, чтобы приучать 🐶 всех к определенной периодичности. Регулярно задумываюсь про тегирование 🏷 прошлых постов, но как посмотрю на 10+ тысяч публикаций, так руки и опускаются. Хотя можно ИИ натравить. Но тогда все посты будут иметь пометку о редактировании, а я следовал принципу, что вносить изменения в написанное неправильно. Накосячил - надо отвечать 🙏

Так что есть над чем поразмышлять в новогодние праздники… Одно могу сказать точно - писать не перестану, рекламу размещать не буду (кроме проектов, в которые вовлечен и о которых хочу рассказать, а это преимущественно ПТ, ничего не поделаешь) ✍️
6,178
Пост Лукацкого

30 Dec, 10:37

Удостоверяющие центры ломают не только у нас. Вот и итальянский 🇮🇹 InfoCert, сертифицированный eIDAS-провайдер доверенных цифровых услуг для всей Европы 🇪🇺, возможно столкнулся с взломом и утечкой персональных данных 5,5 миллионов своих клиентов. А вы говорите доверие… 🖕
5,980
Пост Лукацкого

30 Dec, 06:40

Понимаю, что все уже режут ингредиенты для оливье, ставят охлаждать брют и просекко, смазывают лыжи (в хорошем смысле этого слова), колят дрова для камина или растапливают баньку, то есть всеми силами готовятся отметить Новый год (или Хануку, тут у кого как) 🔥 Но кибербез - штука круглогодичная и незнающая перерывов и выходных. Вот и ФСТЭК в последний рабочий день года вбросила проект нового приказа, который распространяется не только на ГИС, а на любые информационные системы госорганов, госучреждений и ГУП, и заменяет собой 17-й приказ ФСТЭК 2012-го года (вступает, в случае принятия, с 1 сентября 2025 года) 🤭

После беглого просмотра я хочу обратить внимание на ряд интересных моментов: 😱
1️⃣ Основная цель защиты информации в госоргане - недопущение наступления негативных последствий (событий), а не борьба с всеми угрозами. Недопустимые события Негативные последствия определяет вы. Пример списка негативных последствий есть на сайте ФСТЭК.
2️⃣ Подрядчики 🦌 госорганов обязаны выполнять требования по защите, описанные в политике ИБ. Это должно быть зафиксировано в договоре с подрядчиками. По идее госорган для подрядчиков может написать отдельную политику ИБ, но можно распространить на них и свою политику
3️⃣ Госорганы должны иметь (и контролировать) перечень разрешенного и (или) запрещенного ПО и проводить мероприятия по контролю конфигураций информационных систем, что подсказывает, что надо дружить с ИТ и вообще, что ИБ не может быть достигнута только классическими мерами ИБ.
4️⃣ Госорган должен раз в 6 месяцев проводить оценку текущего состояния защиты информации и его сравнение с нормированными показателями, установленными ФСТЭК ⚖️ Раз в 2 года должна проводиться оценка показателя уровня зрелости мероприятий по ИБ. Информация об оценках этих показателей должна направляться в ФСТЭК в течение 5 дней с окончания измерения 🛍
5️⃣ Госорган обязан обеспечивать ИБ при использовании искусственного интеллекта и даже немного написано про необходимости защиты датасетов, моделей и инфраструктуры для них 🧠
6️⃣ Устранение критических уязвимостей 🗡 должно быть обеспечено в течение 24 часов, высокого уровня опасности - в течение 7 дней. Для этого о них надо оперативно узнавать.
7️⃣ Защита ПК требует мониторинга и анализа процессов и событий, то есть речь, как по мне, идет о решениях класса EDR.
8️⃣ При мониторинге угроз можно использовать ИИ. Это необязательно, но уже неплохо, что это явно упомянуто.
9️⃣ Ежегодный отчет о результатах мониторинга надо направлять в ФСТЭК 🚗 То есть если госорган не попадал под КИИ или 250-й Указ, то он раньше результаты мониторинга никому не отправлял, даже в ГосСОПКУ. Теперь это надо делать, как минимум, в ФСТЭК. Пока раз в год, но лиха беда начало.
1️⃣0️⃣ Если есть своя разработка, то должны быть реализованы мероприятия по безопасной разработке в соответствие с ГОСТом 👨‍💻
1️⃣1️⃣ Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т.п.). Для систем 1-го класса защищенности - это 24 часа. Это прям заранее напрячься надо, чтобы соблюсти такой SLA.
1️⃣2️⃣ Контроль уровня защищенности обеспечивается либо автоматизированными решениями класса BAS, либо пентестами/Red Team, либо на киберполигонах. Отчет по результатам должен также направляться в ФСТЭК 🚚

В целом, ФСТЭК начинает более активно контролировать процесс ИБ в государственных организациях. Если раньше это происходило только во время аттестации и серьезных публичных инцидентов 🔥, то сейчас они требуют присылать им регулярно сведения об оценке и контроле защищенности, а также и уровне зрелости ИБ в организации (см.ниже). То есть спуску регулятор своим подопечным не даст 🙅‍♂️ И он вступает на ту же поляну, где раньше были только ФСБ (мониторинг) и Минцифры (непрерывность). Гонка за кибербез усиливается! 🚗

‼️ Важно! Регулятор явно не пишет 🧑‍💻, что надо применять такие-то и такие-то классы средств защиты информации, отдавая это на откуп операторам/владельцам защищаемых систем. Но описанные в новом приказе меры и процессы должны быть реализованы 🫡
7,868
Пост Лукацкого

29 Dec, 18:39

Так как в личку я получил несколько сообщений с просьбой прокомментировать событие конца ноября про соглашение 🟥 и НКЦКИ, то вместо меня ситуацию прокомментирует сам НКЦКИ. Если вкратце и не ходить по ссылке, то соглашение переподписано.
7,205
Пост Лукацкого

29 Dec, 15:13

Вы когда говорите, что выстроили процесс управления идентификацией в компании, имеете ввиду все типы Identity или только проверку подлинности людей - работников и гостей организации? 🤝
7,548
Пост Лукацкого

29 Dec, 11:37

В декабре 2024 года венчурная компания YL Ventures опубликовала прогнозы относительно наиболее перспективных секторов кибербезопасности в 2025 году. По мнению компании, управляющей активами ИБ на сумму $800 млн., основные направления, которые будут доминировать в следующем году, включают:

1️⃣ Использование искусственного интеллекта (AI) для оптимизации кибербеза. Ожидается, что ИИ будет активно применяться для улучшения различных аспектов кибербезопасности, таких как SecOps, управление идентификацией и доступом, тестирование на проникновение, анализ угроз и управление рисками. Стартапы, разрабатывающие решения для безопасного внедрения ИИ в корпоративную среду, получат значительные возможности для роста.

2️⃣ Развитие операционной безопасности (SecOps). Тут все вроде и так понятно. Атак все больше, людей не хватает, нужна автоматизация и вот это вот все.

3️⃣ Безопасность не-человеческих идентификаторов (Non-Human Identity Security). С увеличением числа машинных идентификаторов (ключи API, токены OAuth, сервисные учетные записи и т.п.), которые уже превосходят человеческие в соотношении 45 к 1, возрастает необходимость в их защите. Недавние инциденты, такие как взлом Snowflake и кража исходного кода New York Times, подчеркивают уязвимость в этой области. Ожидается, что 60% организаций планируют инвестировать в безопасность не-человеческих идентификаторов в 2025 году.

4️⃣ Эволюция облачной безопасности. С усложнением облачных сред появляются новые векторы угроз, требующие инновационных решений и стимулирующие дальнейшее развитие этого сектора.

5️⃣ Современные системы предотвращения утечек данных. С переходом на удаленную работу и увеличением объемов данных возрастает риск утечек. Современные (ключевое слово) DLP-решения, адаптированные к новым условиям, становятся критически важными для защиты информации в распределенных и гибридных рабочих средах.
7,406
Пост Лукацкого

28 Dec, 18:36

Наткнулся тут на статью, которая перечисляет афоризмы по ИБ, которые используются, преимущественно, американскими ИБшниками.

1️⃣ "S в IoT означает безопасность". Намёк на то, что в Интернете вещей (IoT) безопасность зачастую отсутствует (ирония в том, что "S" там вообще нет).

2️⃣ "Если не выдерживаешь жары, уходи с кухни". Призыв справляться с давлением и не избегать трудных задач.

3️⃣ "Пароли как нижнее бельё: ими нельзя делиться, нельзя оставлять на виду, и их нужно регулярно менять". Напоминание о важности ответственного обращения с паролями.

4️⃣ "Глупость нельзя запатчить". Указание на то, что человеческий фактор остаётся главной угрозой в безопасности.

5️⃣ "Данные — это новая нефть, а утечки данных — новые разливы нефти". Сравнение ценности данных с нефтью и утечек данных с экологическими катастрофами.

6️⃣ "Соответствие требованиям — это не безопасность". Напоминание, что выполнение регуляторных норм не означает настоящей защиты.

7️⃣ "Хакеру достаточно быть правым один раз, а защитнику нужно быть правым всегда" (так называемая дилемма ИБшника). Подчёркивает неравенство в борьбе между атакующими и защищающимися.

8️⃣ "Надежда — не стратегия". Намёк на необходимость действовать и планировать, а не полагаться на везение.

9️⃣ "Кибербезопасность — это путь, а не пункт назначения". Указывает на то, что обеспечение безопасности — это постоянный процесс.

1️⃣0️⃣ "Ваши пользователи — ваше самое слабое звено". Напоминание, что сотрудники часто становятся причиной киберинцидентов.

А вы какие афоризмы по ИБ знаете?
7,708
Пост Лукацкого

27 Dec, 18:37

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России 🇷🇺 запускает чат-бот @cyberpolicerus_bot, который помогает в стрессовых ситуациях - потеря денег, взлом аккаунта, кража паролей и т.п. В случае таких мошеннических действий, совершенных в Интернет, бот может подсказать, что делать в сложившейся ситуации 📱
2,543
Пост Лукацкого

27 Dec, 15:06

Позвонили вчера журналисты ✍️ и попросили дать комментарий на тему "Власти рассматривают вариант отключения россиян от зарубежного Интернет и штрафов за попытки обхода такого ограничения". Ну я малость прифигел и попросил уточнить, не ослышался ли я. Журналист решил уточнить, что речь идет о том, что РКН хочет штрафовать граждан за использование VPN ✔️ И вновь я попросил назвать источник такой новости. В ответ услышал, что некий анонимный ИТ-эксперт, отвечавший на вопросы hi-tech.mail[.]ru предположил, что такой гипотетический сценарий возможен 🤦‍♂️

Я отказался комментировать техническую возможность реализации такого сценария, высказанного непонятно кем и непонятно зачем 🤠 Тем более, что ноги растут у этой фантастики из проекта приказа РКН о регистрации всех пользовательских устройств, подключающихся к Интернет. Гораздо интереснее другое.

Мы семимильными шагами идем в сторону полного отказа от анонимности в сети 🎭 Действия и проекты нормативных актов, увидевших свет за последние несколько недель, только доказывают этот неприятный факт. Регистрация всех пользовательских устройств, передача геолокации в Гостех, вынос VPN-сервисов из AppStore, блокирование VPN-сервисов и мессенджеров со сквозным шифрованием... 📱 Тут даже первоклассник сделает только один вывод - государство хочет не только блокировать распространение неугодной информации, но и понимать, кто обходит эти запреты. Блокировка Интернета из этого не следует, но появление новых штрафов в перспективе?.. Почему бы и нет. Бюджет-то надо наполнять, а с кого, как не с граждан собирать 💡 Все эти разговоры про защиту детей или повышение качества жизни граждан в отдаленных районах, - это все для бедных. "Имеющий уши да услышит, имеющий глаза да увидит" 😕

Что же касается передачи геолокации государству и поднявшегося шума об очередных нарушениях прав граждан на частную жизнь, разочарую, - это и так делалось и делается 🌎 По запросу. Особенно во время массовых скоплений людей, всяких манифестаций, парадов и т.п. Так что ничего нового... 📍

ЗЫ. Картинка рисовалась для другого, но так как на ней РКН вышел достаточно реалистичный, то я ее и тут решил использовать 🤠
3,451
Пост Лукацкого

27 Dec, 11:31

Ирония судьбы... Компания, борющаяся с взломами, сама пострадала от этого 🔓 Cyberhaven разослала своим клиентам (публично пока молчит, но кто ж такое может утаить-то) информацию о продвинутой целевой атаке (как водится, все началось с банального фишинга) на себя. Некто атаковал сотрудника ИБ-компании с помощью... фишинга 🎣 Сотрудник был непростым, так как имел доступ к Chrome Web Store, куда выкладывался плагин Cyberhaven Chrome extension к браузеру, являющийся частью решений компании по классификации данных и защите от утечек. Этот плагин и был подменен злоумышленниками 📱

Масштаб инцидента пока не очень понятен - для расследования пригласили Mandiant 🇷🇺 Сам вредоносный плагин был удален из магазина спустя 60 минут после подмены, и компания не сообщает, сколько пользователей успело его скачать 🖥 Судя по комментариям компании, вредоносный плагин способен как минимум перехватывать сессии аутентификации и куки, отправляя их на специально созданный фишинговый домен, похожий по написанию на настоящий (cyberhavennext[.]pro вместо cyberhaven[.]com) 🔗

В качестве рекомендаций Cyberhaven советует: 🧐
1️⃣ Обновить плагин до последней версии
2️⃣ Обновить все пароли, незащищенные FIDOv2
3️⃣ Аннулировать и обновить все токены для API
4️⃣ Мониторить логи в поисках любой аномальной активности.

Что я могу отметить в этом кейсе:
1️⃣ Атаки на цепочку поставок все еще на коне и ломают даже ИБ-компании.
2️⃣ Приглашать внешние компании для расследования становится нормой, даже если взломали ИБ-компанию и она вроде как и сама способна провести анализ инцидента.
3️⃣ Компания не скрыла факт инцидента, но и стала про него кричать на всех углах, пообещав поделиться деталями и телеметрией позже.
4️⃣ Фишинг остается основным первичным вектором.
5️⃣ ИБ-компании являются интересной мишенью и лакомым кусочком для любого злоумышленника за счет более высокого доверия к решениям ИБ-компании и формированию иллюзии их защищенности, что повышает шансы на успешную компрометацию, как самой компании, так и ее клиентов.
4,256
Пост Лукацкого

27 Dec, 08:02

Я тут принимал участие в исследовании "Дипфейки: риски и возможности для бизнеса" 🎭, которое проводили ФРИИ и Минцифры России при помощи Социологической мастерской Задорина (группа Циркон). Исследование было выложено и я подумал, что оно может быть интересно широкому кругу специалистов по ИБ 🛡 Все-таки дипфейки, по моему скромному мнению, в следующем году может стать серьезной угрозой для многих проектов, в которых государство будет навязывать использование ЕБС.
4,823
Пост Лукацкого

27 Dec, 04:40

Знаете, есть у МТС такой сервис, - "Защитник", который должен спасать вас от звонков мошенников и спамеров 📞 Но, как и у любого "несигнатурного" средства защиты, у него бывают ложные срабатывания, когда он блокирует вполне себе легальные звонки 🚫 Например, он постоянно отсекает все звонки от Skyeng, считая их спамерскими. Но это еще полбеды - вы всего лишь не узнаете о том, что у вас кончились деньги на счете и пора пополнять занятия своего ребенка с преподавателем.

Гораздо серьезнее, когда вам блокируют звонки, используемые различными сервисами для аутентификации 🔕 Ведь сейчас - это достаточно популярная схема, когда для получения доступа к бесплатному Wi-Fi вам надо пройти проверку подлинности и вам либо присылают одноразовый код в виде СМС, либо просят указать последние 4 или 6 цифр номера телефона, с которого вам только что позвонили 📞 Реже, но бывает, когда вам в течение звонка озвучивают одноразовый код.

Так вот - "Защитник" от МТС часто вас "защищает" так, что вы не получаете звонков с "одноразовых" номеров 📞, которые используют такие сервисы для своей работы (весь же смысл, что они постоянно меняются) 📞 И МТС рассматривает их как спамерские звонки и блокирует. Вот вчера он мне опять заблокировал звонки из Skyeng, а сегодня - звонок из аптеки, которая таким образом проверяла мое участие в программе лояльности и право на скидку 📞

А уж сколько звонков до меня просто не доходит, но я об этом просто не знаю? 🤔 В общем, все эти попытки автоматически блокировать что-то даже не спрося тех, кому это что-то адресовано, такой себе вариант. Я бы еще понял, когда есть 100%-я уверенность в том, что звонящий номер телефона - мошеннический. Но когда такой уверенности нет, на каком основании его блокируют? И кто возмещает потери, если таковые были понесены из-за отказа оператора связи пропускать звонок? 🫵

ЗЫ. Все как в советском мультфильме: "А вы и есть за меня будете?.."

ЗЗЫ. Сейчас говорят о том, что операторы связи еще и прослушивать все переговоры начнут и, если обнаружат признаки мошенничества, будут прерывать разговор в его середине. Ну тоже, такое себе решение...

ЗЗЗЫ. С другой стороны, МТС, в отличие от РКН, по маске не блокирует и диапазоны не «рубит» 💡
5,579
Пост Лукацкого

26 Dec, 18:37

Если на новогодние праздники у вас не планируется организации круглосуточной смены аналитиков SOC и в аутсорсинговый SOC вы тоже свои системы "на охрану" не сдаете, то хотя бы резервные копии всего самого важного сделайте. Чтобы звон оливье в новогоднюю ночь принес вам радость, а не манждраж от того, что вас могут взломать, а вы не готовы!
5,551
Пост Лукацкого

26 Dec, 15:04

Помните июльский взлом ИБ-компании Аванпост? Была надежда, что компания, как это делали другие ответственные игроки рынка, опубликует детали проведенного расследования (а оно было проведено). Однако, увы, этого так и не случилось 🤷 В подведенных вчера итогах года компрометация инфраструктуры упомянута не была, зато было в Топ10 попала другая новость, а именно проведение анализа защищенности некоторых продуктов у компании F.A.C.C.T. 🔍 Как минимум, вопрос с возможным повторением "кейса SolarWinds" можно считать закрытым. Правда, у компании были планы выходить на Bug Bounty, но пока этого не случилось (может в следующем году?).

Зато компания начала публиковать информацию об уязвимостях на своем портале техподдержки и в Банке данных уязвимостей ФСТЭК России, а позавчера анонсировала появление журнала регистрации событий безопасности ✍️ (а до этого его не было?). Так что можно признать, что взлом положительно повлиял на безопасность продуктов компании и зрелость процессов безопасной разработки, что неплохо 👏 Может и другие вендора извлекут из этого уроки. Хотя антикризисный PR, как по мне, отработан на двоечку, - обещания так и не были реализованы.

ЗЫ. А смысл мемасика в канале Аванпоста я так и не догнал 🤔
5,627
Пост Лукацкого

26 Dec, 11:36

Группировка "Кибердраконы" 🐲 (Cyb3r Drag0nz) заявила вчера о взломе газоперерабатывающего завода в Турции (не наш ли это газ?), а сегодня о взломе компании по водоснабжению в той же Турции. Просто "Драконы" (Dragon RaaS) взломали иранскую компанию ABFA, занимающуюся водоснабжением (но фраза "взлом канализации со всеми вытекающими" заиграла новыми красками) 🐉 И если раньше такие кейсы были единичными и за ними "гонялись" специалисты по ИБ, чтобы включить в свои страшилки презентации, то сегодня это стало обыденностью, о которой уже и говорить скучно 😴

Я когда готовился к выступлению на Тюменском форуме (ТНФ) и собирал кейсы взлома нефтяных 🛢 и газовых компаний по всему миру за 2024 год, где-то на третьем десятке остановился. Это действительно превращается в рутинную историю. Изолированных сред уже давно нет, архитектура и софт АСУ ТП уже не являются секретом, а значит у хакеров становится больше возможностей по взлому компаний из этой сферы критической инфраструктуры 🏭 И думаю, что число таких кейсов будет становится все больше и больше, по мере нарастания геополитической напряженности, а также увеличения активности по борьбе с хакерами и шифровальщиками. Ставки будут только возрастать... ↗️
5,717
Пост Лукацкого

26 Dec, 08:05

Полтора года назад я писал про то, почему появился термин "недопустимые события" и какой был смысл вводить новую сущность при имеющихся "угрозе" и "риске". Ну так вот та же история происходит и по ту и по эту стороны океана. Для описания событий, имеющих кибер-природу и приводящих к катастрофическим последствиям, там тоже не используют то, к чему многие привыкли.

Один из самых популярных терминов - это "киберкатастрофа" (на английском его пишут по-доброму - cyber cat 🐱). Если погуглить его, то вы увидите, что он очень активно применяется для описания явлений, к которым надо привлечь внимание руководителей - корпораций, отраслей, государств. А "заманить" их на "риски", "угрозы" и тем более "компьютерные атаки" невозможно. Так что в следующий раз, когда захотите критиковать этот термин, подумайте о заложенном в него смысле, а не только о составляющих его буквах.

Я как раз добрался до всякого интересного в этой части и буду постить помаленьку - там есть прям очень интересные выкладки, расчеты каскадных потерь, свои базы данных киберкатастроф и даже фреймворки их описывающие. Есть над чем поразмышлять, чтобы понять, что ИБ давно уже может встать вровень с природными явлениями и технологическими катастрофами. Главное, начать думать об этом соответствующим образом.

ЗЫ. Таблица на картинке - это пример расчета различных потерь в краткосрочной и долгосрочных потерь для одного из сценариев киберкатастрофы для США, Великобритании, Германии и Японии. Обратите внимание на то, как это все влияет на фондовый рынок, инфляции, курсы валют, облигации и т.п.
5,338
Пост Лукацкого

26 Dec, 04:40

А вот вам еще десятка тенденций, но уходящего года и в области шифровальщиков. Учитывая, что они регулярно встречаются и в России, то этот список будет более интересен, чем прошлый Топ10.

1️⃣ Схемы с двойным и тройным воздействием
Атаки перешли от простого шифрования данных к вымогательству с утечкой данных и угрозами, включая DDoS-атаки. В России к этому добавляется еще и уничтожение инфраструктуры. Эти методы станут в 2025 году стандартом, что требует укрепления стратегий защиты данных и подходов к реагированию.

2️⃣ Распространение Ransomware-as-a-Service (RaaS)
RaaS-модели позволяют менее квалифицированным злоумышленникам запускать атаки, предоставляя готовые инструменты и поддержку. Группы LockBit и BlackCat сделали RaaS популярным, предлагая инструкции и маркетинговую поддержку. Можно прогнозировать увеличение атак на малый и средний бизнес из-за доступности таких услуг.

3️⃣ Эксплуатация украденных данных
Киберпреступники всё чаще крадут данные перед шифрованием, увеличивая шансы на получение выкупа. Ужесточение регулирования в разных странах, включая и оборотные штрафы в России, усиливает риски утечки данных с последующим требованием выкупа за неопубликование факта слива информации.

4️⃣ Использование 0-day уязвимостей и фишинга
Группировки шифровальщиков всё чаще используют 0-day уязвимости и целевые фишинг-атаки. Можно прогнозировать рост проектов по цифровизации увеличивает поверхность атак.

5️⃣ Техника "жить за счёт сети" (LotL)
Злоумышленники используют встроенные инструменты, такие как PowerShell, чтобы избежать обнаружения. Можно прогнозировать расширение таких техник требует внедрения расширенных средств обнаружения атак и аномалий (EDR).

6️⃣ Атаки на критическую инфраструктуру
Основные мишени — энергетика, здравоохранение, государственные учреждения. Можно прогнозировать, что геополитическая нестабильность увеличит число таких атак.

7️⃣ Шифровальщики в промышленности
Увеличение атак на производственные линии и цепочки поставок. Можно прогнозировать, что внедрение и интеграция IoT в промышленности увеличивает уязвимость организаций.

8️⃣ Снижение среднего выкупа, но увеличение косвенных и вторичных потерь
Средний выкуп снизился до $569,000, но косвенные затраты выросли. Поэтому непрямые затраты останутся основным фактором при расчете ущерба (вспоминаем кейс с Коста-Рикой или UnitedHealth Group).

9️⃣ Эволюция шифровальщиков
Появились сложные варианты, такие как BlackCat или Akira, который использовал многоуровневое шифрование, усложняющее восстановление. Можно прогнозировать, что будут развиваться варианты, нацеленные на облачные сервисы и гибридные workspace.

1️⃣🅾️ Международное сотрудничество
Совместные операции, такие как между ФБР и Европолом, привели к прекращению функционирования крупных группировок. Можно прогнозировать, что злоумышленники будут адаптироваться, но совместные усилия правоохранительных органов продолжат оказывать сдерживающий эффект для хакерских групп, но только на Западе.
5,032
Пост Лукацкого

25 Dec, 19:05

Долгие годы работы в транснациональной компании сделали меня терпимым к разным явлениям и проявлениям нашей жизни. Я привык говорить «афроамериканец» вместо «негра». Я привык, что ездят «в» Украину, а не «на». Я привыкал говорить «blocklist», а не «blacklist». Я привык, что для американцев война 1812-го года, это совсем не то, что для нас и европейцев. Я спокойно и даже с юмором отношусь к радужным месячникам, но в них не участвовал и не участвую. И я привык, что у меня два Рождества - одно, которое празднует вся наша необъятная страна, и второе, которое празднует Европа, Америка и ряд других стран, где у меня много друзей и знакомых, и где 🟥 сейчас ведет бизнес. Да, иностранцам сложно объяснить, как Рождество может быть после Нового года, и что в России есть еще Старый Новый год. Но этим и хороша работа в компании, которая не ограничена только границами одной страны!

С праздником всех, кто празднует Рождество! И было бы неправильно не поздравить тех, кто празднует Хануку, начало которой совпало в этом году с Рождеством! Не болейте! И будьте в безопасности!

ЗЫ. Ну и уже ставшее классикой видео про русских хакеров, взломавших Рождество!
5,706
Пост Лукацкого

25 Dec, 11:37

В 2022 году Коста-Рика столкнулась с серией разрушительных кибератак, организованных группировками Conti и Hive, что привело к значительным экономическим потерям и нарушению работы государственных учреждений, включая сектор здравоохранения. Это был первый случай, когда страна объявила чрезвычайное положение в результате кибератаки, а ущерб от нее составил 2,4% от ВВП страны! 😔

Атака группировки Conti:
1️⃣ В ночь с 17 апреля 2022 года кибергруппа Conti запустила серию атак на около 30 государственных учреждений Коста-Рики, включая Министерство финансов, Министерство науки, инноваций, технологий и телекоммуникаций, Национальный метеорологический институт и другие.
2️⃣ Conti потребовала выкуп в размере 10 миллионов долларов США, угрожая обнародовать украденную информацию, включая налоговые декларации граждан и данные компаний.
3️⃣ Вынужденное отключение компьютерных систем, используемых для декларирования налогов и управления импортом и экспортом, приводило к ежедневным потерям в размере около 30 миллионов долларов США для промышленного сектора.
4️⃣ Коста-Рика обратилась за помощью к США, Израилю, Испании и Microsoft (странный набор) для борьбы с атакой.
5️⃣ 8 мая новый президент страны Родриго Чавес Роблес объявил о введении чрезвычайного положения (спустя 2 недели с начала атаки), рассматривая кибератаку как акт терроризма.
6️⃣ 11 и 26 июня соответственно была восстановлена работа систем Минфина и таможни, спустя 2 месяца с начала атаки.

Атака группировки Hive:
1️⃣ После атак Conti, в конце мая 2022 года, уже группировка Hive нацелилась на Коста-Риканский фонд социального обеспечения (CCSS), что привело к отключению критически важных систем, включая Единую цифровую медицинскую карту (EDUS) и Централизованную систему сбора данных.
2️⃣ Hive удалось вывести из строя около 800 серверов и 9 тысяч пользовательских терминалов, что серьезно нарушило предоставление медицинских услуг.
3️⃣ Атака на CCSS привела к сбоям в работе медицинских учреждений, затруднив доступ к медицинским данным и усложнив оказание медицинской помощи населению. Только 45% лабораторий функционировало нормально; 96% больниц работало в условиях реализации кризисного плана, 19% рентгенографических кабинетов не работало, а 37% аптек не функционировало должным образом.
4️⃣ Несмотря на масштаб атаки, президент CCSS Альваро Рамос Чавес заявил, что базы данных с конфиденциальной информацией не были скомпрометированы, хотя по меньшей мере 30 из 1500 серверов учреждения были заражены программой-вымогателем. В атаке Conti утечка данных все-таки состоялась.

Такие вот дела. А вы говорите, кибератаки - это несерьезно и неинтересно для руководителей компаний, отраслей и целых стран 😨
5,761
Пост Лукацкого

25 Dec, 04:40

Отчет, упомянутый вчера утром, перечисляет возможные последствия от инцидентов ИБ, которые давно перестали быть лишь технической проблемой. Их влияние проникает в самые разные аспекты работы компаний, экономики и даже целых отраслей. Отчет показывает, как именно последствия кибератак могут разрушить привычный порядок вещей.

Финансовые сложности:
1️⃣ Увеличение времени оборачиваемости денежных средств, что ограничивает доступ к финансированию текущих операций.
2️⃣ Уменьшение дивидендов для акционеров и снижение их доверия к компании.
3️⃣ Сокращение числа держателей корпоративных облигаций из-за утраты привлекательности активов.
4️⃣ Отрицательная доходность фондового рынка и снижение цен на акции, усиливаемые короткими продажами.

Удар по инвестициям и инновациям:
5️⃣ Сокращение инвестиций в исследования и разработки, что ограничивает развитие новых технологий и продуктов.
6️⃣ Падение продаж, которое может продолжаться до трех лет после инцидента, влияя на долгосрочные перспективы компании.

Нарушения в цепочках поставок:
7️⃣ Прерывание логистических цепочек и снижение эффективности взаимодействия с партнёрами.
8️⃣ Распространение экономических потерь по цепочкам поставок, затрагивающее широкий круг компаний и отраслей.

Экономический и социальный эффект:
9️⃣ Экономические потери для потребителей компаний, ставших жертвами атак, включая рост цен и снижение доступности услуг.
1️⃣0️⃣ Нарушение страновых товарных потоков, что может подорвать международные экономические отношения.
1️⃣1️⃣ Снижение доверия потребителей к цифровой экономике в целом, затрудняющее её дальнейший рост.

Репутационные и доверительные риски:
1️⃣2️⃣ Подрыв репутации компаний, из-за чего восстановление имиджа становится многолетним процессом.
1️⃣3️⃣ Снижение доверия к компаниям как со стороны потребителей, так и партнёров.

Кибератаки — это не просто утрата данных или временные сбои. Как отмечает автор отчета, это фундаментальный вызов для бизнеса, влияющий на финансы, репутацию, инновации и даже доверие к цифровой экономике данных. Чтобы минимизировать последствия, компаниям важно не только укреплять свои механизмы ИБ, но и прорабатывать стратегии восстановления. Ведь чем быстрее компания сможет преодолеть киберкризис, тем меньше окажется долгосрочный ущерб для её бизнеса и экономики в целом.
5,923
Пост Лукацкого

24 Dec, 18:28

Также и многие компании недооценивают последствия от кибератак, как и пассажиры, ждущие поезда на зимнем перроне ☃️ Думают, что не заденет и все такое.
6,102
Пост Лукацкого

24 Dec, 15:01

Очередная десятка тенденций в сфере кибербеза. Сразу надо отметить, что это Топ10 у иностранцев - в России больше половины из этого списка вряд ли станет трендом:
1️⃣ Использование ИИ злоумышленниками. Киберпреступники будут активно применять искусственный интеллект для создания сложных атак, включая генерируемые с помощью ИИ фишинговые кампании и использование дипфейков для обмана.

2️⃣ Увеличение числа уязвимостей нулевого дня. Частота и эффективность атак с использованием неизвестных ранее уязвимостей возрастут, требуя от организаций проактивных мер и постоянного мониторинга дыр и фактов их использования.

3️⃣ ИИ как основа современной кибербезопасности. Искусственный интеллект станет неотъемлемой частью систем безопасности, помогая в обнаружении угроз, реагировании на инциденты и формировании стратегий защиты.

4️⃣ Усложнение вопросов приватности данных. Компании столкнутся с необходимостью соблюдения множества региональных и локальных требований по защите персональных данных, что потребует интеграции этих требований в их стратегии безопасности.

5️⃣ Расширение облачных сервисов и связанных рисков. С еще большим увеличением использования облачных технологий возрастет и количество атак на них, что потребует усиленной защиты облачных инфраструктур.

6️⃣ Рост числа атак на цепочки поставок. Злоумышленники будут чаще нацеливаться на поставщиков и партнеров, чтобы получить доступ к более крупным целям, что делает безопасность цепочек поставок критически важной.

7️⃣ Усиление атак на устройства Интернета вещей (IoT). С увеличением числа подключенных устройств возрастет и количество атак на них, требуя от производителей и пользователей усиленных мер ИБ.

8️⃣ Повышение значимости киберстрахования. Компании будут чаще обращаться к киберстрахованию для минимизации финансовых рисков, связанных с кибератаками, что приведет к росту этого рынка.

9️⃣ Развитие концепции нулевого доверия (Zero Trust). Модели безопасности, основанные на принципе "никогда не доверяй, всегда проверяй", станут стандартом для защиты корпоративных сетей и данных.

1️⃣0️⃣ Аутсорсинг кибербезопасности. Многие организации будут передавать функции кибербезопасности внешним специалистам, чтобы обеспечить высокий уровень защиты в условиях растущих угроз и нехватки кадров.

Если бы меня спросили, что из этого будет применимо у нас, то я бы назвал числа 1, 2, 6 и, может быть, 10. А все остальное мимо. Но... если вдруг Трамп забудет про данные вчера обещания купить Гренландию, отобрать Панамский канал и присоединить к США Канаду, и реально поспособствует прекращению СВО, то может к концу года и остальные темы у нас могут начать реализовываться 🤔
6,109
Пост Лукацкого

24 Dec, 11:33

В декабре 2024 года ИБ-компания BeyondTrust обнаружила две уязвимости в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS), с помощью которых осуществляется удаленная техническая поддержка по модели SaaS. Эти дыры позволяли неавторизованному злоумышленнику удаленно выполнять команды операционной системы от имени пользователя сайта через специально сформированный клиентский запрос. В результате было скомпрометировано, как утверждается, ограниченное число клиентов.

Уязвимости возникли из-за недостаточной проверки входных данных в компонентах PRA и RS, что позволило злоумышленникам получить доступ к ключу API и за счет этого внедрять и выполнять произвольные команды на сервере, включая и сбор паролей для локальных учетных записей приложений. Это указывает на пробелы в процессе разработки и тестирования безопасности программного обеспечения.

BeyondTrust уже не поможешь, а вот остальным можно дать следующие рекомендации для предотвращения подобных инцидентов в будущем:
🔤 Усиление процессов безопасной разработки (SDLC). Интегрировать практики безопасного кодирования и регулярного анализа уязвимостей на всех этапах разработки.
🔤 Регулярное обновление и патчинг систем. Обеспечить своевременное применение обновлений безопасности для всех продуктов и систем, как облачных, так и локальных.
🔤 Проведение регулярной, а лучше непрерывной оценки защищенности. Организовать периодические проверки и тестирования на проникновение для выявления и устранения потенциальных уязвимостей с перспективой выхода на Bug Bounty.
🔤 Обучение сотрудников. Проводить регулярное обучение разработчиков и специалистов по безопасности современным методам защиты и реагирования на инциденты, а также SecDevOps.
🔤 Внедрение многоуровневой защиты. Использовать дополнительные механизмы безопасности, такие как системы обнаружения угроз (IDS/WAF/NGFW) и средства мониторинга активности (SIEM/NDR/CDR), для своевременного выявления и предотвращения атак.
5,922
Пост Лукацкого

24 Dec, 08:02

А раньше атаки на больницы 🏥 считались зашкваром, а в Женевской конвенции так это и вовсе запрещено. Но кого это волнует 🤌
6,321
Пост Лукацкого

24 Dec, 04:40

У Александра утащил ссылку на интересный отчет про экономику кибербезопасности для развивающихся рынков от Всемирного банка, который разбит на три части:
1️⃣ Ландшафт угроз
2️⃣ Экономика инцидентов ИБ
3️⃣ Рынок ИБ.

Первый раздел не очень интересен (лично для меня), так как там ну очень уж высокоуровневые данные по инцидентам в разных странах со срезами по отраслям и т.п. Возможно, для страховых компаний или для регуляторов это может быть интересно, но не для отдельных компаний. Третья часть тоже слишком абстрактна ☕️

Второй раздел оказался более интересным. Там даются интересные цифры (тоже уровня стран, но зато про деньги, экономику и т.п. Например, если бы развивающиеся страны снизили число инцидентов ИБ и из верхнего квартиля попали в нижний, то их ВВП (и речь про президента России) вырос бы на 1,5%! 🤔 Это очень интересные расчеты, показывающие насколько ИБ стала влиять на экономику страны. Автор отчета пишет, что один из рассмотренных инцидентов привел к снижению ВВП страны на 2,4% (это просто маленький пушной зверек какой-то 🤯).

Более 40% инцидентов замалчиваются (в России так и больше), что сумму потерь делает еще выше 😫 В отчете повторяется вывод из отчета ExtraHop, что гораздо больше потерь от инцидентов носит непрямой характер и они часто превышают прямые финансовые потери, которые видит жертва в первые дни после инцидента 😃 Об этом же говорят и кейсы с MGM Grands, Caesars Palace, United Health Group, Medibank и т.п., которые в своих финансовых отчетах указывали суммы, в разы, а то и на порядки превышающие сумму выкупа шифровальщикам 🧐

Еще одной интересной частью является обзор всех имеющихся исследований по теме влияния инцидента ИБ на курс акций компаний 📊 В зависимости от временного интервала и региона (преимущественно США) этот показатель скачет от 0,3 до 6,78 процента, но в среднем - около 1,5 процентов 📉

Еще три экономических наблюдения авторов отчета:
1️⃣ Инвестиции в кибербезопасность обусловлены соображениями экономии. Однако, в отличие от других проектов по экономии средств, отдача от инвестиций в кибербезопасность не поддается количественной оценке 🤑
2️⃣ Компании переводят убытки от киберинцидентов в рост цен, который принимают на себя потребители 😮
3️⃣ Отсутствие прозрачности в отношении частоты и серьезности кибер-инцидентов и низкая осведомленность общественности влияют на эффективность рынка!
6,686
Пост Лукацкого

23 Dec, 18:34

Один плохой мальчик взломал сайт Интернет-магазина и списал баллы лояльности у десятков пользователей, оплатив ими себе товары. Когда его поймали, он заявил, что идентифицирует себя как белого хакера 👺 и поэтому не виновен; следователь его отпустил. А потом его подстерегли пострадавшие пользователи сайта, избили и выбили все зубы 🦷 Уходя, они забрали зубы с собой, заявив, что идентифицируют себя как зубных фей 🧚

Мораль: не важно как ты себя идентифицируешь, важно, на месте у тебя зубы или нет какая у тебя аутентификация.

ЗЫ. Любые совпадения с реальными историями и персонажами случайны!
7,905
Пост Лукацкого

23 Dec, 15:04

Ничто не выдавало в этом «сообщении от WB» 🛒 фишинговую рассылку 🙅‍♂️ Будьте бдительны 👋

ЗЫ. Спасибо коллеге, что поделился сим образчиком.
8,700
Пост Лукацкого

23 Dec, 11:38

Многие компании сейчас не испытывают острой необходимости в найме директора по информационной безопасности 😎 (хотя многим и требуется замгендира по ИБ, но отношение к этой роли небизнесовое, а скорее "для галочки"), но им важно заранее определить роль CISO, включая планы по развитию нынешнего руководителя службы ИБ до уровня квалифицированного CISO 🧐 Данный подход предполагает формирование образа "идеального" CISO. Почему именно "идеального", а не просто "оптимального"? Потому что современный CISO должен быть мастером на все руки, совмещая в себе множество компетенций — своего рода "целое стадо единорогов". Этот профиль часто оказывается слишком амбициозным и служит скорее основой для обсуждения роли CISO и его команды, чем реальной инструкцией к действию 🫡

Поиск идеального CISO представляет собой серьёзную задачу 🔍 Для выполнения этой роли необходим крайне специфический набор навыков, а количество специалистов, соответствующих этим критериям, минимально. Более того, вероятность того, что такой специалист окажется доступным для найма и будет готов присоединиться к конкретной компании, практически равна нулю 🥲

В таких условиях компаниям стоит быть гибкими и готовыми рассматривать возможность привлечения внешнего кандидата, что вполне разумно для любой руководящей позиции. Однако зачастую внутри компании уже есть руководитель службы безопасности, обладающий частью необходимых навыков и глубоким пониманием внутренних процессов. Этот специалист может стать отличной основой для формирования "идеального" CISO в будущем, если инвестировать в его развитие.

Что же такое "идеальный CISO"? Ниже 👇 вы найдете описание такой роли.
6,067
Пост Лукацкого

23 Dec, 08:01

А я же говорил, что бывают внезапные выступления... Вот, думал, что все, курс по моделированию угроз будет финальным в этом году, но нет. Позвали на митап по рискам "Операционные риски 2024-2025. Новогодняя дискуссия" 😬

Он для директоров по операционным рискам финансовых компаний и что я там делаю, я не знаю 😂 Особенно учитывая мою "любовь" к рискам. Но так как, среди прочего, заявлен разбор прогресса в управлении рисками данных, новых технологий и кибербезопасности, а также прогнозы по трансформации бизнес-моделей, цифровизации и регуляторным изменениям, то может и мне что удастся сказать позитивного, не ругающего риски ИБ 🤣

ЗЫ. Нейросеть так видит директоров по операционным рискам. Какой-то сексизм прям... 👼

ЗЗЫ. Участие бесплатное, но количество физических мест, как обычно, ограничено. Зато будет трансляция 🍿
6,080
Пост Лукацкого

23 Dec, 04:40

10 вещей, которые специалист по кибербезопасности должен успеть сделать до Нового года: 🔥
1️⃣ Провести инвентаризацию активов. Убедитесь, что все учетные записи, устройства, и системы учтены, а неиспользуемые или устаревшие отключены. Это как генеральная уборка, но в киберпространстве
2️⃣ Пересмотреть правила паролей. Обновите свои пароли и убедитесь, что коллеги делают то же самое. В Новый год с новым паролем. И никакого password2025!, лучше уж KerfwrbqUtybqRfrJyDctEcgtdftn (вы же прочитали, что там зашифровано?) 😉
3️⃣ Проверить резервные копии. Перепроверьте, что резервные копии работают корректно, а восстановление данных занимает меньше времени, чем приготовление оливье 🎄
4️⃣ Настроить праздничный автоответчик на почте. "Я вне офиса, но хакеры пусть знают, что я всегда на страже!" Не забудьте чувство юмора и будьте вежливыми 🧑‍💻
5️⃣ Заручиться поддержкой руководства на будущий бюджет. Убедите топ-менеджмент в важности инвестиций в кибербезопасность. Используйте фразу: "Сколько стоит незащищенный Новый год?" 🙏
6️⃣ Устроить праздничную фишинговую атаку. Проведите шуточное фишинговое тестирование среди сотрудников с забавным сценарием. Например, письмо с темой "Срочно: Премия за лучший рождественский свитер!" 😎
7️⃣ Обновить системы и патчи. Убедитесь, что все обновления установлены, чтобы не оставлять уязвимостей для хакеров, которые тоже любят "подарки" 🫡
8️⃣ Написать письмо Деду Морозу. Попросите стабильности в IT-системах, защиты от ransomware, умных пользователей, которые не кликают на подозрительные ссылки, а также снижения ключевой ставки 👍
9️⃣ Создать чек-лист кибербезопасности для друзей и семьи. Помогите близким защитить их гаджеты и аккаунты. Ведь Новый год — это время заботы 🥰
1️⃣0️⃣ Устроить "киберелку". Организуйте командное мероприятие с коллегами: квест или викторину на тему кибербезопасности. Обязательно наградите победителей сувенирами в виде флешек и антивирусных лицензий, даже если они уже и не нужны! 🤣
6,674
Пост Лукацкого

22 Dec, 21:04

Презы с BlackHat Europe 2024 выложили в одно место - https://github.com/onhexgroup/Conferences/tree/main/BlackHat_Europe_2024_slides
6,313
Пост Лукацкого

22 Dec, 18:31

Две тенденции вижу я. CAPTCHA становится сложнее. И это вам не "вертикальные реки" выбирать даже 🤔 И не краски осени. Сначала появилась свинья, которую надо было тыкать пальцами в жопу, потом вот такое 🤔 Теперь очередная напасть - надо понять, что имел ввиду художник, совместив две части картины 🤔 Хорошо, что они Кандинского или еще какого абстракциониста не выбрали в качестве примера 🤔

Вторая тенденция печальнее - такие капчи стали "поднимать" при заходе на сайт 🖥 Я еще главной страницы не увидел, а у меня уже челендж, который бывает сложно со смартфона в машине пройти 🤦‍♂️ 3-4 раза ошибся и все, желание посещать сайт пропадает. Интересно будет как-нибудь увидеть цифры потерь от ухода клиентов, не поборовших механизм защиты сайта от них. Ой, не от них, а от хакеров, ведь такую капчу включают для защиты от плохих парней, которые увеличили число атак на российские компании. И сравнить цифры потерь от атак с цифрами потерь от ухода клиентов 🤠 И какой результат будет хуже 🤔
6,528
Пост Лукацкого

22 Dec, 14:47

У MITRE вышла стабильная, первая версия их фреймворка D3FEND. Идея ее достаточно простая. Мы имеем матрицу MITRE ATT&CK, которая содержит является базой зданий по техникам и тактикам тех, кто атакует системы (хоть пентестеры, хоть киберпреступники). И по многим техникам матрица содержит описание того, как ее выявлять (раздел Source или Detection). Но что с отражением и нейтрализацией этих техник? Ведь в зависимости от платформы методы могут быть совсем разные. Смотреть в раздел Mitigation? Он очень высокоуровневый и скорее описывает классы защитных мер, но без их детализации.

MITRE D3FEND как раз и предназначен для того, чтобы закрыть этот пробел. Он увязывает защитные меры с техниками, базируясь на исследованиях о применимости той или иной меры в различных условиях. Авторы пишут, что они проанализировали более 500 патентов в области ИБ с 2001 по 2018 годы, а также много других источников данных, которые и позволили собрать вместе все разрозненные сведения в единую онтологию, позволяющую разрабатывать архитектуры ИБ.

Вместе с D3FEND 1.0 MITRE выпустила и специальные визуальный конструктор D3FEND CAD, который позволяет визуализировать работу с новым фреймворком. И это не просто матрица, которая была и раньше, но инструмент, который позволяет построить граф/диаграмму защиты своих ИТ-активов.

Ну и как это часто бывает у американцев, они вместе с новым фреймворком по ИБ, выпускают его маппинги (сопоставления) с уже известными на тот момент стандартами. В частности по D3FEND доступны сопоставления с NIST 800-53 Rev.5 и с DISA CCI. Связки D3FEND и ATT&CK тоже, конечно, доступны. На закономерный вопрос, почему такие странные матрицы сравнения (со стандартами ИБ для военных и для госухи) отвечу - заказчиком D3FEND была АНБ. Отсюда и специфика, что не делает этот инструмент менее интересным.
7,506
Пост Лукацкого

22 Dec, 10:37

Интересный кейс коллега и товарищ скинул. Если вкратце, то история такая (ею поделился руководитель компании на своем канале YouTube). Интернет-магазин по продаже премиальных гитар 🎸, в том числе и очень дорогих, столкнулись с DDoS-атакой, за которой последовал взлом сайта 🔓 После было проникновение в админку магазина, набор в корзину музыкальных инструментов стоимостью по 300-700 тысяч рублей, обнуление цены, и добавление мелких товаров на несколько сотен рублей 🛒 После была осуществлена оплата пяти заказов, реальная стоимость которых составляет под десяток миллионов, а фактическая - всего пару тысяч рублей. Увидев утром такую ситуацию, владельцы магазина обнулили заказы и думали, что на этом можно расслабиться, но не тут-то было 🤷‍♀️

На следующий день от "разгневанных" клиентов, чьи заказы были обнулены, стали поступать претензии и угрозы 😠 Позже прилетело предписание из Роспотребнадзора (в одностороннем порядке заказ нельзя аннулировать - закон это запрещает). Затем был суд и претензии со стороны коллекторов 😈 Гитарные боссы подали кучу жалоб в прокуратуру, Роспотребнадзор, полицию, но все безрезультатно, - жалобы были остановлены без движения.

История пока продолжается. А я хотел бы обратить внимание на ряд моментов:
1️⃣ Я не судья, но налицо явное мошенничество, которое начиналось с обычной DDoS-атаки (хотя у меня нет полной уверенности, что DDoS связан с последующими событиями), а затем продолжилось взломом админки сайта по продаже гитар 🎸
2️⃣ Схема извлечения прибыли из атаки не быстрая, но достаточно эффективная, показывающая знание российского правоприменения 🇷🇺 Пока следствие да суд встанут на сторону пострадавших, коллекторы и Роспотребнадзор выжмут из них по максимуму. И если у них нет серьезной финансовой подушки, то там и до недопустимого события банкротства недалеко 🤑
3️⃣ Нечасто жертвы придают огласке такие кейсы. Руководитель признает, что у них не было нормальной ИБ (похоже и ИТ не было), что и послужило причиной взлома 🤔 Кстати, в данном кейсе даже навороченной системы защиты не надо было иметь. Достаточно было внедрить многофакторку на админку CMS, настроить права доступа к папкам и файлам сайта, выбрать надежный пароль к админке и к СУБД и выполнить еще ряд несложных настроек по ИТ-харденингу 🖥 Но увы...
6,712
Пост Лукацкого

22 Dec, 06:40

А у нас вышел очередной, новогодний выпуск Positive Research, который можно скачать на сайте журнала 📰 В этот раз он полностью посвящен всему, что связано с багхантингом, онлайн-полигоном, кибербитвой, белыми хакерами и тренировками red team и blue team. Есть в журнале и бонус - в печатную версию вложена матрица MITRE ATT&CK, чтобы на стенку вешать (многие такое любят) 🪧
7,332
Пост Лукацкого

21 Dec, 18:33

13 лет прошло, угроза только растет 😊 На многих закрытых мероприятиях, куда меня заносит судьба, служба или призвание, многие выступающие перед началом своих выступлений внимательно смотрят на меня и говорят: "Алексей, вот этого писать у себя не надо!" Забавные люди. Если бы я писал все, что знаю, за мной бы уже давно пришло и забрали бы прям в процессе написания очере
7,483
Пост Лукацкого

21 Dec, 14:47

19 декабря РКН внес 😈 в реестр организаторов распространения информации 12 коммуникационных сервисов 📱 (мессенджеров), обеспечивающих защищенные соединения (как правило, со сквозным шифрованием), а именно:
🔤 WhatsApp (США)
🔤 Skype (США)
🔤 Wire (Швейцария)
🔤 Element (Великобритания)
🔤 KakaoTalk (Южная Корея)
🔤 Session (Астралия)
🔤 DUST (США)
🔤 Pinngle SafeMessenger (Армения)
🔤 Status (Швейцария)
🔤🔤 Keybase (США)
🔤🔤 Trillian (США)
🔤🔤 Crypviser (Германия).

Все указанные сервисы должны теперь выполнять "пакет законов Яровой" и хранить переписку пользователей, предоставляя ее по запросу российских спецслужб 🇷🇺 Кроме того, ОРИ обязаны установить в своей инфраструктуре оборудование СОРМ для непрерывного доступа к коммуникациям со стороны правоохранительных органов 🇷🇺 Отказ от выполнения указанных норм может повлечь за собой блокировку сервиса на территории России 🇷🇺

Почему именно сейчас (тот же Telegram был внесен в реестр ОРИ в 2017-м)? Хрен знает. Выборы прошли, вроде особо нечего опасаться. Но в любом случае держим в голове, что массовой анонимности в стране потихоньку приходит конец 🍑 Если еще и вспомнить проект приказа РКН по идентификации всех пользовательских устройств доступа к Интернет 🌍
8,399
Пост Лукацкого

21 Dec, 08:37

Channel photo updated
0
Пост Лукацкого

21 Dec, 06:40

Россия наращивает международное сотрудничество и подписывает два межправительственных соглашения в области кибербезопасности с достойными партнерами - Северной Кореей и Зимбабве. Ну а что, с кем еще подписывать?.. ✍️
7,456
Пост Лукацкого

20 Dec, 18:39

Ничего святого у русских хакеров из «Святой лиги» - пивную Хугарден ddos’ят 🍺 Главное, чтобы коньячные заводы и винокурни не трогали 🥃 А то на молоко переходить придется 🍼
7,367
Пост Лукацкого

04 Dec, 05:27

Ну и опять про цвета, но в другом контексте. Чуть больше года назад я писал про важность цветоведения 🎨 в ИБ, то есть анализа процесса восприятия и различения цвета на основе систематизированных сведений из физики, физиологии и психологии 🧪 В нем, среди прочего, учитывается, что носители разных культур по-разному воспринимают цвет объектов. Например, в России «зеленоглазое» такси 🚕 значит свободное. А вот в Японии с точностью наоборот - красный цвет сигнализирует о готовности таксиста принять пассажира. Та же фигня с выключателями: включить - это красный, выключить - зеленый 🍡

К чему это? А все к тому, что проектируя графический интерфейс средств защиты 🛡 или материалы для повышения осведомленности в области ИБ надо учитывать психологию восприятия цветов 🚥 той аудитории, на которую рассчитан ваш «продукт». Иначе можно добиться прямо противоложного эффекта, чем ожидалось сначала 🤔

Вроде очевидная мысль, но человеческое «я лучше знаю» часто портит всю малину. Мы опираемся на собственный опыт, полученный в одних условиях и транслируем его на совершенно другие. Я вот почти две недели в Японии, а к выключателям так и не привык, постоянно путаюсь. Потому что сила привычки.

Из той же серии письмо справа налево в консолях управления и дашбордах средств защиты в арабских странах 🕋 или хиджаб/никаб/паранджа/бурка в системах биометрической аутентификации в мусульманских государствах🥷
3,513
Пост Лукацкого

03 Dec, 14:47

В Японии 🇯🇵 интересные платежные терминалы - цифры на пинпаде показываются не последовательно от 1 до 0, а в случайном порядке, который каждый раз меняется, снижая вероятность подсматривания или использования тепловизора.

Я в России таких не видел еще 💡 Первый раз даже затупил, стал нажимать по привычке, опираясь на мышечную память 🫵 А тут бац, PIN is incorrect. Присмотрелся внимательно к пинпаду, думал розыгрыш. А оно вон как… 📍
6,505
Пост Лукацкого

03 Dec, 08:26

В 1950-м году буддийский 🧘‍♀️ монах-ученик совершил поджог Золотого павильона храма Кинкаку-дзи в Киото, что подсказывает нам что раньше такого не было, как важно учитывать угрозу со стороны инсайдеров и привилегированных лиц, имеющих возможность сделать что-нибудь плохое в рамках своих прав доступа 💥

Давайте перенесем историю с монахом-учеником 🧘 на современные рельсы и представим, что речь идет о джуне, который кодит во внутренней разработке под задачи компании 🧑‍💻 Как обеспечить защиту среды, в которой он трудится, чтобы он случайно или намеренно не наделал всяких нехороших дел? 🔥 При этом он использует в работе кучу всяких разных инструментов - Kubernetes, Docker, Git, MongoDB, Jenkins, OpenShift, Redis и т.п.

Вот вам парочка полезных ссылок с чеклистами ✔️ по харденингу среды разработки, в которой используются разные инструменты:
🔤 DevSecOps Guides
🔤 DevSec Hardening Framework

Ссылки честно утащил у Светы, подумав, что очередные философствования скучны, а так хоть какая-то польза 😎
6,929
Пост Лукацкого

03 Dec, 04:31

Channel photo updated
0
Пост Лукацкого

03 Dec, 02:15

Лежу я тут, значит, в японском онсэне и размышляю о судьбах Родины в целом и российского рынка ИБ в частности 🤔 А тут как раз новость выходит про покупку консорциумом Cyberus компании F.A.C.C.T., что показалось мне некоей знаковой историей, так как продолжила череду наметившихся у нас в стране M&A-сделок в сегменте кибербеза 🛡 Если в 2023-м году у нас было очень мало таких сделок и мы с трудом дотягивали до классического 1% от 500 сделок в мире, то в этом году мы можем совпасть с тенденцией, отмеченной SentinelOne на RSA Conference.

Я с ходу могу назвать уже с десяток сделок, которые либо уже произошли, либо находятся в стадии обсуждения 🤝, которые лишний раз подтверждают то, что я говорил в начале 2022 года и что схоже с девизом фильма "Горец" "Останется только один". У нас, конечно, останется не один, но вряд ли больше 3-4 крупных игроков ИБ ⚰️ У меня даже список был из 4-х компаний первого эшелона и примерно столько же второго. И вот сначала Group-IB (я ее помещал в условный второй эшелон) покидает Россию, разделившись на две компании - российский F.A.C.C.T. и сингапурскую Group-IB. А потом первую покупает группа инвесторов во главе с Юрием Максимовым 🔝

Другие компании из первой когорты тоже не стоят на месте и в течение года объявляли или еще объявят о поглощениях менее крупных игроков 🍿 Где-то никаких публичных анонсов нет, но поменялись собственники или акционеры 🤝 Часть игроков второй четверки уже тоже поменяло собственников за последний год. Про компании за пределами первой десятки и говорить не приходится 🤷‍♀️

Главное, чтобы мы не пошли по пути "трех ОС", которые обещает поддерживать Минцифры. Учитывая, что у нас с десяток своих разработчиков операционных систем, а главный ИТ-регулятор "любимыми" назвал только трех, то у остальных судьба незавидная в текущих условиях 😔 Под них никто не будет в приоритетном порядке писать ПО. И включать в планы покупок их тоже вряд ли кто будет. В итоге конкуренция если и будет, то очень условная, так как вполне возможен картельный сговор и негласное деление рынка между тройкой игроков (мы видели схожие схемы в других секторах экономики) 📞

Не хотелось бы, чтобы это повторилось и в части ИБ-решений. Если уж небольшие игроки и будут продаваться крупным китам, то только под влиянием рыночных факторов, а не действий регулятора. Нам и так хватает руководящей длани власть предержащих, которые не очень дают рынку развиваться, постоянно меняя правила игры не в лучшую сторону 🖕

Ну а что касается покупки F.A.C.C.T., то судя по комментариям в Интерфаксе, делается это для объединения и продвижения российского кибербеза зарубежом 🌎, чем преимущественно и занимается консорциум Cyberus.
7,944
Пост Лукацкого

02 Dec, 14:59

В результате действий телефонных мошенников покончила жизнь самоубийством экс-судья Таганского суда Москвы Наталья Ларина 👩🏼‍⚖️ В результате привычной схемы "фейковый босс" жертва рассталась с деньгами (своими и взятыми в кредит), а спустя несколько дней она покончила с собой. Силовики во всем обвинили молодых дропов, часть из которых была вынуждена признать свою вину в том, что они продали свои банковские карты за 10 тысяч рублей. А так как иницииаторов звонков не нашли, то кто-то же должен сидеть... 😡
 
По версии экс-судьи, которые она изложила в заявлении в полицию, "председатель Таганского суда Михаил Строганов" 🧑🏻‍⚖️ в присущей ему манере, в первой коммуникации поинтересовался ее делами и чем она занимается, а также порекомендовал сотрудничать с ФСБ, которая сейчас выявляет группу мошенников и террористов 👮 Далее в игру включился "сотрудник ФСБ", который своими "жалобами" председателю суда заставлял экс-судью оправдываться и торопиться 🇷🇺 Деньги судьи (всего миллион рублей накоплений и чуть меньше миллиона, взятых в кредит) были якобы спасены от перевода террористам и экстремистам, а на самом деле просто разошлись по картам дропов, которых привлек один из обвиняемых, который также как и сами дропы, не знал никого из своего "боссов" 🥷
 
В качестве подтверждений Наталье Лариной отправляли сфальсифированные документы с пугающе правдоподобными подписями и печатями, которые она приложила вместе с заявлениями в полицию. Экс-судья была уверена, что общается с сотрудниками 👮‍♀️, так как с ней общались "в свойственной силовикам манере". В течение нескольких дней экс-судью довели до ручки, - она сменила все гаджеты, боясь прослушки, замки в квартире, не отпускала дочь в школу, опасаясь, что ее выкрадут, заявляла, что за ней следят. В итоге судья не выдержала и покончила с собой, оставив одну несовершеннолетнюю дочь 😔
7,506
Пост Лукацкого

02 Dec, 07:51

Что должны чувствовать калининградские полицейские, задержавшие Wazawaka и предъявившие ему обвинения в совершении компьютерных преступлений, видя, что только за сведения, способствующие поимке, в США полагалось 10 миллионов долларов?! 😠
7,366
Пост Лукацкого

02 Dec, 02:18

Япония 🇯🇵 в чем-то парадоксальная страна, которая показывает, что обычно делают США 🇺🇸 с «побежденными» странами или теми, кто попал под контроль старшего брата.

После ковровых бомбардировок ✈️ во Второй мировой войне с применением напалма, которые уничтожили больше японцев, чем в Хиросиме и Нагасаки 💣, японцы «легли» под оккупационный протекторат американцев, которые навязали островному государству все - от смены Конституции и американизации культуры до военных баз и полной поддержки всех американских инициатив

Вообще, Япония - это пример страны, которая попалась на социальный инжиниринг масштаба государства. Иначе я не могу никак объяснить тот факт, что американцы, сбросившие атомную бомбу и уничтожившие по разным оценкам от полумиллиона до миллиона человек, смогли убедить своих жертв, что это было сделано во их благо, а жертвы приняли это и с радостью упали в объятия агрессора 🤠

С Китаем ситуация иная 🇨🇳 Они вторая по числу погибших во Второй мировой войне страна после СССР, мнение которой также не было учтено во время подписания Сан-Францисского мирного договора (им должен был официально отойти Тайвань и Пескадорские и Парасельские острова, а СССР 🇷🇺 должны были официально достаться Южные Курилы и Сахалин, чего не произошло, так как американцы отказались вносить эти пункты в мирный договор, несмотря на Ялтинское соглашение) 😠 В итоге Китай превратился в бельмо на глазу у американцев и их "партнеров", что мы видим и в мире кибербезопасности.

Например, недавно Sekoia опубликовала отчет про экосистему хакерского подполья 🐲 Китая, за которым стоит государство. И Orange не стала стоять в стороне - тоже выпустила свое исследование. Аналогичные отчеты выпускаются не только на уровне частных компаний, но и государств. Например, США с партнерами из "Пяти глаз" в начале года выдали в свет соответствующее исследование, обвиняющее Китай 🐉 в кибератаках на закоеанскую КИИ. А на днях, на CYBERWARCON американская разведка опять обвинила китайцев в атаке на свои КИИ 🏭

А причем тут Япония, спросите вы? А вот новость - альянс "Пяти глаз" впервые встретился за пределами своих стран, в Японии (а вы думаете, что я там делал ☺️), чтобы обсудить не только растущую угрозу со стороны Поднебесной, в том числе и в области кибератак и кибершпионажа, но и использовании страны Восходящего солнца 🍱 в качестве базы для ведения разведывательной деятельности против Китая. Япония взяла под козырек 🫡

Не буду говорить, что Китай - белые и пушистые, и никого не атакуют. Но все же нередко американцы с «партнерами» бездоказательно обвиняют неугодные страны с целью формирования образа врага 👿 А вот свои спецоперации в киберпространстве и операции своих «друзей» они не замечают и не подсвечивают. И чем дальше, тем будет только хуже.
7,022
Пост Лукацкого

01 Dec, 15:42

Иногда странное прилетает в личку… 📱 Затер название компании, чтобы не позорить ее.

Вообще, как мне кажется, мы вновь наступаем на грабли с Digital Marketing 🤬 В начале 2022-го вдруг выяснилось, что большинство сервисов рассылок было украинскими, что повлекло за собой цунами 🌊 писем с политическими и антивоенными лозунгами. Потом история повторилась с Telegram-ботами 🤖

Теперь маркетинг узнал, что надо уметь в SMM, и стали нанимать, кто побогаче, людей в штат, кто победнее - брать на аутсорсинг агентства или фрилансеров 👶 А они же прямые как угол в 90 градусов и просто начинают долбиться ко всем в личку, даже не понимая, к кому они стучатся 🥊 Или используют сервисы, которые им удобны, но которые защищены как рисовые стены-перегородки в японских рёканах (то есть никак) 😵

Тут вина, конечно, на обеих сторонах, но на заказчиках в первую очередь. Кому как не им должно быть лучше известно, к кому можно и нужно стучаться в личку, а где и морду виртуальную могут набить 👊 И требования по ИБ надо формулировать и требовать исполнения. А иначе нахлебаемся… 🔓
7,154
Пост Лукацкого

01 Dec, 08:47

РБК - красавчики, продолжают рекламу VPN пускать у себя на главной странице… Ну или они не в курсе 🤤
7,791
Пост Лукацкого

30 Nov, 12:27

Ура!!! После долгих раздумий я решил добавить комментарии к каналу 📱 Уж не знаю, что из этого получится, но посмотрим. Чатик называется «Дискуссии у Лукацкого». Подключу туда бота для удаления криптоскама и иного спама ❗️ - пусть за меня разгребает все это...

Не шалите, а то ⛔️

ЗЫ. Да, канал по-прежнему бесплатный, рекламу не размещаю (кроме проектов, в которых сам и участвую в том или ином виде). В бустинг канала до стопиццоткакогото уровня, который позволяет владельцу управлять показываемой рекламой, я не верю. В нашей ИБ-тусовке этого уровня достичь нереально ☹️ Кросс-постинг (похвали меня, а я похвалю тебя) не делаю, но репосты интересного мне практикую. По-прежнему благодарен подписчикам, присылающим мне всякое разное интересное поИБ. Не все из этого укладывается в политику канала и мной постится, но часто да 🙏
7,782
Пост Лукацкого

30 Nov, 06:30

Я вроде как и в отпуске, но ИБ не отпускает все равно и я везде ее вижу. Вот, например, сад камней Рёан-дзи в Киото, в который приехал Стив Джобс, когда ему сообщили о смертельном диагнозе. В нем расположено 15 камней 🪨 и считается, что с какой бы точки ни рассматривал посетитель сада эту композицию, пятнадцатый камень всегда оказывается вне поля его зрения, так как загорожен другими камнями 👁

Полностью наблюдать все камни можно, только с высоты птичьего полета, вознесясь над садом 🕊 и посмотрев на него сверху. Считается, что увидеть все 15 камней может только «достигший просветления» 🧘 Менее просветленные должны осознать свою неполноценность и невозможность знать и видеть все

Какие уроки можно извлечь для ИБ? Я для себя выделил несколько:
1️⃣Сад камней - это хорошая аналогия для корпоративной инфраструктуры. Не стоит думать, что ты настолько просветленный, что знаешь все в своем хозяйстве.
2️⃣ Один человек не способен увидеть все. Два уже могут. Резервируйте ИБ-персонал и разделяйте между ними зоны контроля.
3️⃣ «Воспарить» можно и над инфраструктурой - нужен только соответствующий инструментарий, позволяющий управлять активами и мониторить все в ней происходящее 🍱 В противном случае мы действительно не будем что-то видеть, чем и воспользуются плохие парни 🥷
4️⃣ Чтобы увидеть больше, смотреть на инфраструктуру надо с разных точек; как минимум, снаружи и изнутри сети 🔭
5️⃣ Не надо все время куда-то бежать - надо всегда находить время, чтобы сесть и подумать!
8,014
Пост Лукацкого

30 Nov, 00:02

С профессиональным праздником, леди и джентльмены, коллеги, соратники, товарищи, господа и друзья! 🎉 Пусть неучи празднуют день специалиста по безопасности 12 ноября, но мы-то знаем, что настоящий день ИБшника, празднующийся с 1988-го года, - это сегодня, 30 ноября! 🥳 С чем вас и поздравляю! Попробую сегодня среди изобилия сакэ 🍶 и сливового вина, различных сортов пива и местного виски, найти нормальный коньяк и подниму бокал за этот праздник! 🍸
9,409
Пост Лукацкого

29 Nov, 12:40

Очередной анализ мирового рынка ИБ; от Canalys. Все растёт, что закономерно ↗️ Однако больше всего вырос сегмент исправления (remediation) - аж на 145%. По логике вещей речь идет о реагировании на инциденты и восстановлении после них, что тоже вполне объяснимо 🛡

На втором месте - услуги MDR, которые растут в 10 раз быстрее, чем тот же Managed SOC/SIEM 🔭 И это тоже закономерно - все хотят не только обнаруживать угрозы, но и реагировать на них В идеале, круглосуточно и руками профи.
8,081
Пост Лукацкого

29 Nov, 07:18

Если почитать и послушать различных чиновников и политиков, то по их мнению искусственный интеллект 🧠 - это очень страшно и опасно, его уже используют все хакеры и киберармии мира, и поэтому ИИ надо если не запретить, то ограничить. Что тут правда, а что вымысел? 🤔 Попытались разобраться, выпустив соответствующее исследование по использованию ИИ на темной стороне - с различными примерами и прогнозами на следующий год 🔮

Если вкратце, то "не так страшен черт, как его малюют". В области генерации фишинга и дезинформации, включая дипфейки, ИИ и правда используется очень и очень активно 🧑‍💻 А вот в остальных сферах (поиск уязвимостей, написание вредоносного кода, моделирование угроз для атак на свои жертвы, создание цифровых двойников жертв и т.п.) плохие парни только нащупывают варианты применения ИИ и пока о прорывах и масштабировании говорить рано 🤔 Но это пока. Технологии развиваются очень быстро. Думаю, в следующем году, когда придет пора обновлять исследование, ситуация поменяется в худшую сторону 🤔
7,702
Пост Лукацкого

28 Nov, 23:00

В Японии особенная «культура землетрясений». Они тут происходят с незавидной регулярностью. Старожилы утверждают, что трясет раз в 2-3 дня, но не сильно, на 1-2 балла, что почти незаметно 🥷 Но вереница очень серьезных встрясок по 8-9 баллов привела к тому, что я бы назвал культурой землетрясений.

Во-первых, дома 🏘 теперь строят по специальным сейсмоустойчивым стандартам, а электрические кабеля не закладывают в землю, а вешают над землей. Во-вторых, регулярно проводятся учения среди населения по правилам поведения в экстренных ситуациях. В-третьих, в портовых городах 🏙 на многих столбах вешают предупреждения о том, какая высота выше уровня моря в этом месте, что важно для оценки возможности быть застигнутым цунами 🌊.

В гостиницах, по локальному ТВ 📺 показывают ролики с правилами эвакуации (некоторые советы для меня оказались в новинку, например, забраться не только под стол, но и встать в проем двери при земной встряске, а также надеть прикрепленный к двери полиэтиленовый мешок на голову для защиты от задымления). Наконец, все приезжающие в Японию автоматически получают на свои смартфоны предупреждения о землетрясениях (если оно происходит, конечно).

Это очень сильно напоминает то, что могло бы быть сделано и по кибербезу, если бы государства всерьез рассматривали эту угрозу и считали ее опасной для граждан 🫵 Ведь при всех разговорах о том, что человек - это главная ценность, все мероприятия и законы направлены на бизнес (причем в формате "запретить и заблокировать", а не "помочь и направить", а не граждан 😠

Когда в регионе отключают электричество по причине кибератаки (такие кейсы были), никто не думает оповестить об этом граждан 🔋 В лучшем случае администрация напишет о технических работах у себя на сайте. В худшем - вас предупредят о том, что электроснабжение восстановлено. Я на даче регулярно получаю такие сообщения, то есть после наступления проблемы, а не до. Ровно по этой причине я у себя на даче поставил систему резервного электроснабжения (без подключения к Интернет), которая дает мне возможность не напрягаться по поводу ставших регулярных из-за окружающей застройки отключений 🔋

Не видит государство киберугрозы в качестве недопустимых для себя событий ☹️ То есть на словах-то да, но на деле… Ждет когда бабахнет? И кто будет виноват? А кто расхлебывать последствия? ☹️
7,963
Пост Лукацкого

28 Nov, 14:08

Японский банк Shikoku 😀 очень необычно подошел к вопросу демонстрации своей ответственности за результат, который они обещают клиентам. Все сотрудники банка кровью 🩸 подписали соглашение, что если кого-то из них уличат в мошенничестве с клиентскими деньгами 🤒, то они сначала добровольно расстанутся со своим имуществом в пользу пострадавших, а затем расстанутся с жизнью в рамках ритуала сеппуку (у нас его часто называют харакири) 😠

Я подумал, что разработчикам средств ИБ тоже можно было уйти от привычного «AS IS» и начать что-то гарантировать ✍️ своим клиентам, которые доверились производителям средств защиты и доверили им самое ценное, что у них есть кроме жизни - деньги, информацию, данные, воспоминания (в личных фото и архивах)… 🛡

Можно начать с публичного выхода на Bug Bounty, потом с удаления из лицензионного соглашения набившего оскомину «вендор не несет ответственности…», потом можно и про страхование ответственности перед клиентами подумать. Чем не ответственный подход к ИБ?.. 🤔 Тогда может и результат с ИБ будет лучше!
8,112
Пост Лукацкого

28 Nov, 08:40

Эфир тут вышел, в котором я задаю вопросы про Bug Bounty коллегам из Ozon и Wildberries 🛒, а также с платформы Standoff Bug Bounty 365. И он оказался очень в тему! 🐞

Помните историю про жительницу Красноярска, которая нашла баг при заказе товаров на Wildberries и вместо того, чтобы сдать его в Bug Bounty, она решила воспользоваться случаем и обмануть маркетплейс 😡 В Омске идентичная история приключилась. И тоже грозит десяточка 👮

А все почему? Лучше нарушать правила законно, еще и зарабатывая на этом. А как сделать так, чтобы повысить шансы на выплаты и за какие баги платят больше 🤑, мы и говорим в видео 👇
8,234
Пост Лукацкого

21 Nov, 11:37

Возвращаясь к атаке на домены, упомянутой вчера утром, Infoblox дает ряд иных, более сложных рекомендаций для владельцев доменов, регистраторов и других участников экосистемы DNS, направленных на предотвращение атак типа Sitting Ducks 🦆, связанных с неправильной конфигурацией DNS. Вот основные рекомендации:

Для авторитетных DNS-провайдеров (это не те, которые в законе, а те, которые Authoritative DNS):
🔤 Случайные имена серверов имен. При создании нового домена давать владельцам случайные имена серверов (NS), которые требуют изменения на уровне регистратора.
🔤 Уникальность серверов имен. Гарантировать, что вновь назначенные серверы имен не совпадают с предыдущими назначениями.
🔤 Фиксация серверов имен. Не позволять владельцам доменов изменять назначенные серверы имен после их установки.
🔤 Отчетность о "нерабочих" запросах. Сообщать о доменах с неработающим делегированием регистраторам и TLD-организациям, чтобы те могли изменить делегацию до устранения проблемы.
🔤 "Запасные" серверы имен. Создавать "серверы последней надежды" для обработки запросов к неработающим делегированиям, снижая эффективность атак.
🔤 Сотрудничество с сообществом. Упростить процессы взаимодействия с аналитиками угроз для быстрого выявления и устранения активных атак.
🔤 Фильтрация массовых регистраций. Разработать механизмы для выявления и блокировки учетных записей, создающих множество бесплатных доменов.

Для регистраторов:
🔤 Подтверждение DNS-услуг. Требовать от пользователей подтверждения настройки DNS перед публикацией делегирования серверов имен.
🔤 Мониторинг зон. Периодически проверять зоны на наличие сбойного/неработающего делегирования и уведомлять пользователей об их исправлении.
🔤 Изменение делегирование. Удалять или перенаправлять сбойное/неработающее делегирование на безопасные серверы (например, sinkhole).
🔤 Обучение пользователей. Информировать клиентов о рисках неправильного делегирования серверов имен.

Для государственных организаций и регуляторов:
🔤 Долгосрочные решения. Исследовать уязвимости в управлении DNS и разработать стандарты для их устранения. Тут непочатый край работ для Минцифры.
🔤 Строгие требования к провайдерам. Обеспечить, чтобы провайдеры, которыми пользуются организации, могли защищать домены от атак Sitting Ducks.

🤔
1,602
Пост Лукацкого

21 Nov, 08:04

Помните в мифах Древней Греции была история про царя Мидаса, который получил "дар" от богов, - все, к чему бы он не прикасался, превращалось в золото 🥇 Но это же стало и проклятием, так как в драгоценный металл превращалась и любые еда и питье. В итоге царь 👑 Мидас чуть не умер от голода. Вот наши министерства часто получают такой "дар", но их идеи превращают все окружающее не в золото 💩

Вот Минцифры хочет обязать ИТ- и ИБ-компании, для подтверждения своего статуса и получения льгот и различных аккредитаций и отсрочек, отправлять своих сотрудников преподавать в российских ВУЗах 🫵 Сама по себе идея, когда практики идут делиться знаниями в ВУЗы, - отличная и мной целиком и полностью поддерживается, но... 👩‍🎓

Как обычно есть ряд "но". До преподавания, особенно в наших ВУЗах с их бюрократией (я знаю о чем говорю) надо дозреть. Это во-первых. Во-вторых, любая инициатива из-под палки превратится в обязаловку, результат которой будет так себе 🫵 И это не говоря про отсутствие у многих ИТ-компаний технической базы, свободных ресурсов, оторванных от работы, и, наконец, нехватка преподавательского опыта (а плохой препод хуже никакого).

Примерно такого же уровня инициатива Минцифры, согласно которой все российские предприятия должны будут делиться обезличенными (за свой счет) персональными данными всех своих клиентов и сотрудников с государством, которое создаст специальное "озеро данных" ✈️ Изначальная идея этого законопроекта была совсем иной, но позже превратилась в фактическое изъятие данных у бизнеса. Не за горами тот день, когда государство обяжет делиться с ним не только персональными, но и иными данными 😠
3,292
Пост Лукацкого

21 Nov, 04:40

Статья в блоге SANS (нужен VPN) исследует роль женщин 🦸‍♀️ в русскоязычной киберпреступности. Хотя об этой теме говорят редко, авторы из SANS совместно со специалистами из Analyst1 и Intel 471 подчеркивают, что женщины могут играть более значимую роль, чем принято считать 🧮, особенно в стратегических и коммуникационных аспектах преступной деятельности.

Миф о невидимости женщин

В русскоязычных киберпреступных кругах принято считать, что женщины играют незначительную роль или вовсе не участвуют ☹️ Однако на практике это не так. Женщины часто работают в поддерживающих или логистических ролях, таких как управление финансами или взаимодействие с жертвами. К слову, женские голоса при обзвоне 📞 жертв стоят дороже мужских 🙌

Женщины 👵 иногда выступают как ключевые фигуры в операциях, занимая роли координаторов или «мозгов» киберопераций 🤯 Были зафиксированы случаи, когда женщины возглавляли мошеннические схемы или управляли группами хакеров. Вспомним хотя бы Ольгу Комову из Узбекистана 🇺🇿, экстрадированную в США.

Роли женщин в преступных схемах, выделяемые авторами:
🔤 Социальная инженерия. Использование женских профилей для фишинга или обмана 🥹
🔤 Финансовые операции. Управление кошельками криптовалют, отмывание денег и обработка платежей ↔️
🔤 Коммуникация. Переговоры с жертвами или внутреннее администрирование групп 💬
🔤 Меньше внимания со стороны правоохранительных органов. Женщины менее заметны для расследований, так как многие воспринимают киберпреступность как мужскую сферу 👮‍♂️

В заключении авторы статьи призывают специалистов по кибербезу и правоохранительные органы пересмотреть стереотипы 🤰 о роли женщин в киберпреступности. Женщины могут быть важной частью преступных сетей, и игнорирование этого факта может усложнить расследования и борьбу с преступностью 🔍
4,202
Пост Лукацкого

20 Nov, 18:33

Если вдруг я когда-нибудь буду нанимать людей в LinkedIn, то вот такие сообщения сразу пойдут в корзину 🗑 Я понимаю, что вам пофиг, но меня прям подбешивает 😠, когда человек в поиске работы даже не удосужился поменять стандартный текст в LinkedIn 📱, из которого даже не понять, ты мужик или баба (по фото это тоже не всегда понятно, к сожалению).

И дело отнюдь не в сексизме, а в том что соискатель не включил мозг (а в ИБ критическое мышление это прям must have), чтобы адаптировать текст под представление себя в лучшем свете, но при этом рассчитывает, что будущий работодатель будет тратить свое время на него. Не будет! Ну или отношение будет соответствующим.

ЗЫ. И нет, я, мать его, не хочу просто общаться в Линкедин с непонятным чуваком, который не понимает, чего хочет, - найти работу или собеседника 😡
5,025
Пост Лукацкого

20 Nov, 15:00

Меня зовут NGFW. Я появился на свет в блестящем стерильном цехе, где инженеры с трепетом и вниманием собирали, паяли, крутили каждую мою деталь. Они верили, что я — не просто очередной межсетевой экран, а революция, новый стандарт, герой, который сможет защитить мир от зла цифровой эпохи. Они называли меня "детищем будущего", и я гордо нес эту ношу.

Мои родители — заботливые и умелые инженеры и эксперты кибербеза, борющиеся за результат, — забрали меня домой. Там я впервые увидел стойку, блестящий "дом", который станет моим Олимпом, с которого я буду следить за многоголовыми гидрами киберпространства, отрубая их головы до того, как они даже начнут проявлять свою агрессию. Они с нежностью подключали кабели, настраивали правила и проверяли мои способности. Я ощущал их любовь и гордость: они были уверены, что я справлюсь с любыми задачами и я не подведу их!

Но радость длилась недолго. Мир оказался жесток.

Едва я приступил к работе, как услышал недовольное шипение соседей по серверной. Старые UTM-железки и предыдущие поколения МСЭ начали шептаться за моей спиной. Они называли меня выскочкой, хвастуном, покрасневшим от натуги новичком, который ничего не понимает и не умеет.

"Посмотрите на этого младенца," — шептал старенький IPS, закутавшийся в дырявое полупальто. — "Он думает, что сможет обрабатывать трафик на полной скорости даже с сотнями тысяч правил и сигнатур. Наивный!"

"Его пичкают обещаниями отказоустойчивости, а мы-то знаем, как это работает в реальном мире," — добавил хмурый старый маршрутизатор с отвисшими сиськами.

“Да я стоял у истоков и никто не посмеет меня сдвинуть с пьедестала” - визжал посиневший от натуги файрвол, брызжа термопроводящей пастой.

Но я молчал. Я был уверен в себе, в своей миссии. Ведь я знал, что могу больше, чем просто фильтровать пакеты.

Когда система впервые столкнулась с интенсивным трафиком, который едва не сломил старые устройства, я остался спокоен. Мой код, оптимизированный для этой задачи, даже не использовал процессор и легко выдерживал нагрузку, анализируя каждый байт и применяя все правила с точностью хирурга. Мои братья-"близнецы", с которыми мы рука об руку стояли в кластере, тут же подключились к работе, продолжая защиту, как единое целое. Мы работали как слаженная команда, поддерживая друг друга, разделяя нагрузку и не пропуская все то плохое, что навалилось на нас со всех сторон.

Моя настоящая сила заключалась в том, что я понимал язык современных приложений. Когда другие NGFW могли лишь угадывать, что происходит внутри трафика, я знал наверняка. Я видел не просто "пакеты", я видел смысл — каждое приложение, каждую сессию, каждую угрозу, скрывающуюся под маской легитимного запроса; даже когда они шифровались от всех, думая, что это спасет их от обнаружения.

И знаете, что самое приятное? Я доказал свою состоятельность. У меня есть сертификат от регулятора. Это как получить золотую медаль на Олимпиаде в мире кибербезопасности. Это значит, что я не просто хорош, я официальный, проверенный и признанный.

Теперь, когда я слышу шепот недовольства в серверной, я не обращаю на него внимания. Моя цель — защищать. Я знаю, что буду работать надежно, быстро и эффективно, несмотря на любые угрозы. Я буду расти, адаптироваться и становиться лучше, сохраняя безопасность своих "родителей".

Я — NGFW. И я не боюсь ни критики, ни угроз. У меня есть миссия, и я с ней справлюсь! 🔥
5,453
Пост Лукацкого

20 Nov, 11:34

Ух ты, ёшкин кот… Кто-то создал реестр фейков и регистрирует их. Если они они за это еще и деньги получают, то это идеальная бизнес-модель. Знай себе, синтезируй фейки, и считай денежку. Работа-мечта. Чуть-чуть до ведения реестра порносайтов не дотягивает по интересности 😎

Чтож у нас за любовь реестры на все создавать?.. 🤔 Вон и РКН недавно отчитался о регистрации очередной утечки ПДн россиян. Бороться не получается, так хоть регистрировать. Потом можно заочный чемпионат мира по утечкам или фейкам устроить и выиграть в непростой борьбе 💪
7,338
Пост Лукацкого

20 Nov, 08:03

В последние пять лет злоумышленники захватили десятки тысяч доменов, включая известные бренды 📱, некоммерческие организации и государственные учреждения, из-за недостаточной проверки права собственности на домены со стороны DNS-провайдеров. Компания Infoblox сообщает, что с 2018 года было скомпрометировано около 70 000 доменов 😲, и более 800 000 остаются уязвимыми для атак типа "Sitting Ducks" 🦆

Эти атаки 🦆 используют неправильные конфигурации у регистраторов доменов и недостаточные меры безопасности у DNS-провайдеров, что позволяет злоумышленникам перенаправлять трафик на вредоносные ресурсы. Проблема была выявлена еще в 2016 году, но остается малоизвестной, что позволяет киберпреступникам 🎩 продолжать эксплуатацию уязвимости. Infoblox рекомендует владельцам доменов и DNS-провайдерам усилить меры безопасности, чтобы предотвратить подобные атаки 🌐

Рекомендации для владельцев доменов:
🔤 Использование двухфакторной аутентификации. Включите MFA для доступа к учетной записи регистратора, чтобы повысить уровень защиты.
🔤 Регулярное обновление контактной информации. Убедитесь, что контактные данные, указанные у регистратора, актуальны, чтобы получать важные уведомления.
🔤 Мониторинг активности домена. Следите за изменениями в настройках домена и оперативно реагируйте на подозрительные действия. А то будет вот так...
🔤 Использование надежных паролей. Создавайте уникальные и сложные пароли для учетных записей, связанных с управлением доменом.
🔤 Ограничение доступа. Предоставляйте доступ к управлению доменом только доверенным лицам и минимизируйте количество пользователей с административными правами.

Рекомендации для регистраторов доменов:
🔤 Внедрение двухфакторной аутентификации. Предоставьте клиентам возможность использовать MFA для защиты их учетных записей, а лучше включите ее по умолчанию. У меня включена!
🔤 Обучение клиентов. Информируйте владельцев доменов о рисках и мерах безопасности, с которыми они могут столкнуться и которые, соответственно, надо предпринять для защиты своих доменов. Мой регистратор такое присылает; нечасто, но шлет все-таки.
🔤 Мониторинг и уведомления. Обеспечьте систему оповещений о подозрительной активности, связанной с доменами клиентов. Такого не видел ни разу.
🔤 Обеспечение безопасности инфраструктуры. Регистраторы должны поддерживать высокий уровень безопасности своих систем, чтобы предотвратить компрометацию данных клиентов.
🔤 Резервный канал уведомлений. Подумайте об использовании в особых ситуациях (смена владельца домена, e-mail или пароля админа) резервного канала уведомлений (например, по номеру телефона), так как основной способ может быть изменен хакерами.

Следуя этим рекомендациям, владельцы доменов и регистраторы могут значительно снизить риск захвата доменов злоумышленниками.
5,290
Пост Лукацкого

20 Nov, 04:40

Вчера, на конференции Ведомостей и Билайна, Максут Шадааев анонсировал странное - новую версию государственной антифрод-платформы, которая будет, среди прочего, содержать слепки голосов мошенников 🗣 Я всемерно поддерживаю усилия Минцифры в деле борьбы с киберпреступностью, но данная инициатива выглядит мягко говоря не очень.

Даже если оставить в стороне вопрос признания человека мошенником (без суда?) 🥷 и обработки биометрии без согласия (признаем это математической сверткой и все), то как быть с тем, что мошенники сегодня все чаще используют синтезированные с помощью ИИ голоса, а не живых людей 🤖 К тому моменту, как Минцифры запустит новую систему, а это будет нескоро, процесс генерации виртуальных "сотрудников служб безопасности банка" или "работников соцпомощи" встанет на поток и база биометрических слепков голосов вообще потеряет смысл 🤖

Я еще могу понять сбор биометрических образцов всяких алиментщиков, злостных неплательщиков штрафов и других нарушителей, которым таким образом можно отрубать связь в реальном времени, мотивируя их отдать долги государству 🤑 Ну или отслеживать оппозиционеров, иноагентов и других диссидентов. Но ловить так мошенников? Непонятное...
5,662
Пост Лукацкого

19 Nov, 18:37

Одно название, но какие разные концепции 🍷 И только паб "ключ" (Pub Key) выбивается на общем фоне 🗝 Надо на ближайшей РусКрипто такое замутить 🥃
5,554
Пост Лукацкого

19 Nov, 15:03

Мне кажется УМО по ИБ давно пора разогнать, о чем я не раз уже говорил 🫵 Абсолютно бессмысленное сборище людей, которые узурпировали тему кибербезного высшего образования в стране и не дают ему никаких шансов соответствовать современным реалиям 👎 Вот и Дмитрий про это пишет, препарируя федеральный государственный образовательный стандарт по ИБ 👊

В США вообще нет высшего образования по ИБ. Есть компьютерные науки и куча специализаций в них, включая и вопросы кибербеза. И это, как по мне, правильно 🫠 Нужен хороший инженерный фундамент и дальнейшее погружение в различные специализации, а не вот это вот все... ИБАСы, КОИБАСы, ИБТКС, ИАСБ и всякие ОТЗИ непонятные. Показуха одна, движуха ненужная и никакого результата. Если повезет с преподом, то шансы есть. Или если сам студент попадется активный. Но в среднем, образование у нас по-прежнему в большом долгу 👨‍💻

ЗЫ. На закономерное замечание в мой адрес: "А сам-то ты что сделал для образования?" отвечу - дважды участвовал в формировании ФГОСов ✍️ Все бестолку. В итоге бросил это дело, не видя смысла тратить на него время и усилия ⛔️
6,053
Пост Лукацкого

19 Nov, 11:32

Интересная статистика по поводу использования в Рунете отечественных TLS-сертификатов от НУЦ и зарубежных от разных центров сертификации, преимущественно бесплатных Let's Encrypt 🛡 Последних аж 95%, а число сайтов, перешедших за полгода на отечественные сертификаты безопасности от национального удостоверяющего центра, увеличилось с 0,26 до аж 0,32% 🖥

Чиновники только и делают, что генерят что-то новое, какие очередные нацпроекты и федпрограммы, напрочь забывая про реализацию и поддержку старого, уже принятого 😕 Интересно, в канале Минцифры последний пост про возможность получения российских TLS-сертификатов датирован сентябрем 2022 (!) года 🫵 НУЦ/ГУЦ упоминаются только в контексте включения их в сферу действия программы Bug Bounty. Если уж само министерство не очень заинтересовано ☹️ в продвижении этой темы, то откуда же российскому бизнесу про это знать и быть заинтересованным в импортозамещении TLS?.. 🤨
19,847
Пост Лукацкого

19 Nov, 06:55

Сегодня, по приглашению "Ведомостей" и "Билайн Бизнес", буду выступать 🎤 в 15.40 на межотраслевой конференции "Безопасность клиента на первом месте" в пресс-центре "Россия сегодня" 📈 Рассказывать буду искусственный интеллект и его связь с кибербезопасностью как с позитивной, так и с негативной стороны 🧠 Онлайн-трансляция тоже будет на сайте мероприятия. Помимо моего выступления там будет несколько дискуссионных сессий про кибербезопасность и доверие (начало в 10 утра).
5,733
Пост Лукацкого

19 Nov, 04:40

Иранские 🇮🇷 хакеры из группировки TA455, также известной как APT35 или Charming Kitten, начали применять тактики, аналогичные методам северокорейских 🇰🇵 киберпреступников, для атак на работающих в аэрокосмической отрасли, а именно использовать поддельные предложения о работе для распространения вредоносного программного обеспечения SnailResin.

На что стоит обратить внимание:
1️⃣ Фальшивые рекрутеры и поддельные компании. Хакеры создают поддельные профили на LinkedIn 📱, которые выглядят очень профессионально и связаны с фиктивными компаниями. Эти профили используются для установления доверительных отношений с жертвами 🛸
2️⃣ Вредоносные документы и ссылки. Жертвам отправляются вредоносные ZIP-файлы, маскирующиеся под документы, связанные с работой, такие как описания вакансий или тесты для оценки знаний и навыков. Эти файлы содержат вредоносное ПО SnailResin 💾
3️⃣ Трудности в обнаружении. Вредоносные файлы плохо обнаруживаются антивирусами, а использование обычных платформ, таких как LinkedIn, позволяет хакерам обходить традиционные средства защиты, включая фильтры на МСЭ и на почтовых серверах для отсеивания фишинговых писем 👩‍💻
4️⃣ Сложная инфраструктура управления и контроля. Хакеры используют Cloudflare для маскировки своих управляющих C2-доменов, затрудняя их отслеживание и блокирование. При этом коммуникации с C2 шифруются, а элементы C2 размещаются на GitHub, что позволяет маскировать вредоносный трафик под легитимный 📱

Интересно, что ровно такую же тактику ранее использовали северокорейские хакеры в рамках кампании "Operation Dream Job", проводимой такими группами как Lazarus и Kimsuky из страны, возглавляемой Ким Чен Ыном 🇰🇵 Очень уж схожие техники, включающие социальную инженерию с поддельными рекрутерами и загрузку вредоносных файлов 🦠 Кстати, первоначально SnailResin связывали именно с северокорейскими группами, что вызвало путаницу относительно его происхождения. Эксперты предполагают, что Северная Корея могла поделиться своими методами и инструментами с иранскими хакерами 🇮🇷

Эта новая кампания подчеркивает не только рост изощренности атак иранских хакеров, но и усложнение атрибуции "плохих парней", которые научились маскироваться друг под друга. Вот и Китай 🇨🇳 недавно обвинил американцев, что это последние скрываются под Volt Typhoon, а вовсе не Поднебесная 🐉 И кому теперь верить?..
5,840
Пост Лукацкого

18 Nov, 18:37

Очередные обвинения русских|китайских|северокорейских|иранских хакеров 🥷 Опять без серьезных доказательств и атрибуции... 🤷‍♀️
5,918
Пост Лукацкого

18 Nov, 15:02

Национальный институт стандартов и технологий США (NIST) опубликовал отчет NIST IR 8517 "Hardware Security Failure Scenarios. Potential Hardware Weaknesses", в котором описал 98 сценариев отказов и сбоев, связанных с уязвимостями аппаратного обеспечения 📝

Эти сценарии показывают, как недостатки в проектировании и реализации различных аппаратных компонентов могут быть использованы злоумышленниками для обхода мер безопасности, получения доступа к конфиденциальным данным или нарушения работы систем и, как следствие, реализации негативных, местами, катастрофических, последствий 💥

NIST подчеркивает необходимость интеграции мер безопасной разработки 👨‍💻 на ранних этапах создания аппаратного обеспечения, поскольку исправление аппаратных ошибок после производства значительно сложнее, чем программных уязвимостей 🔸
6,128
Пост Лукацкого

18 Nov, 11:35

Еще один эксперимент, но уже в другую сторону. Под видом социального исследования останавливались люди на улице и им предлагали записать их голос, чтобы показать, как легко его можно подделать 🎭 А теперь представьте, что это был не эксперимент? И что вас действительно мошенники попросят сделать то, что на видео? Поведетесь?.. 🤥

ЗЫ. Спасибо товарищу за присланную ссылку.
7,278
Пост Лукацкого

18 Nov, 08:03

Чем отличается платформа по ИБ, которая позволяет разным продуктам одной компании, работать как единое целое, от просто набора продуктов, выпускаемых одним вендором? Наличием онтологии, которая увязывает все обрабатываемые сущности воедино. Например, данные об уязвимостях 🗡 с использующими их событиями безопасности, которые, в свою очередь, объединяются в атаки или цепочки атак, учитывая при этом критичность активов, используемые им компоненты (ПО, железо и т.п.), патчи, защитные меры, последствия и т.п. 🛡

А без этого мы имеем просто набор продуктов и ничего более. Никакого синергетического эффекта от их использовании нет. Никакой дополнительной пользы тоже (разве что скидки при приобретении) 🛡 А вот наличие онтологии позволяет гораздо оперативнее реализовывать не только взаимодействие между продуктами, по мере их включения в платформу, но и даже реализовать разработку новых продуктов на стыке существующих 🔓
6,482
Пост Лукацкого

17 Nov, 18:34

Фишинг в конверте

Швейцарские власти обнаружили кампанию распространения трояна Coper/Octo2, но не по электронной, а по обычной почте. Национальный центр кибербезопасности сообщил, что по стране рассылаются письма якобы от Федерального офиса метеорологии и климатологии (MeteoSwiss). Получателям предлагается установить по QR-коду новое приложение для получения предупреждений о чрезвычайных погодных условиях (Severe Weather Warning App). В реальности на устройства на Android устанавливается вредонос Octo2, собирающий данные из 328 приложений, в том числе из сервисов онлайн-банкинга. На телефоне вредоносная программа не особо старательно мимикрирует под легитимное правительственное приложение Alertswiss.

Octo2 распространяется по сервисной модели, кампании с её использованием обнаруживались в самых разных регионах. Как отмечают исследователи, вторая версия появилась в 2024 году после утечки исходного кода Octo.

Использование QR-кодов в атаке — ещё один пример попыток применения квишинга в физическом мире, как и участившиеся в западных странах случаи подделки QR-кодов для оплаты парковки.
5,952
Пост Лукацкого

17 Nov, 14:47

Сейчас популярны всякие OSINT-челенджи в Интернете, когда вам дают фотографию 📸 и просят определить местоположение, в котором она была снята 🗺 Так вот в советское время, конечно, технологии были другие, но OSINT-челенджи тоже проводились 👀

Вот, например, загадка из советских времен 🇷🇺 Мы ее бурно обсуждаем в Cisco'вском чатике сейчас и я подумал, что она могла бы развеять хмурое ноябрьское воскресенье и у вас, заняв на какое-то время. Итак, взгляните на картинку, и ответьте на 8 вопросов:
1️⃣ Какое время дня изображено на рисунке?
2️⃣ Раннюю весну или позднюю осень изображает рисунок?
3️⃣ Судоходна ли эта река?
4️⃣ В каком направлении течет река: на юг, север, запад или восток?
5️⃣ Глубока ли река возле берега, у которого стоит лодка?
6️⃣ Есть ли поблизости мост через реку?
7️⃣ Далеко ли отсюда железная дорога?
8️⃣ На север или юг летят журавли?

ЗЫ. За, казалось бы, простотой загадки скрывается достаточно много всего. В первую очередь такие истории развивают внимательность 👀, что очень важно для специалистов по ИБ, особенно аналитиков SOC ☝️

ЗЗЫ. Говорят, эту картинку показывали при приеме на службу в КГБ 🫡 Но я такого не помню 😂
15,045
Пост Лукацкого

17 Nov, 10:37

⚔️ Индустрия ИБ пошла в контратаку!

Помните свежую историю с Sophos, которая вставляла импланты в свои МСЭ 🤬, которые были скомпрометированы якобы китайскими хакерами, для отслеживания последних? Тут схожая история нарисовалась. В ноябре 2024 года исследователь по кибербезопасности Кристиан Корнеа (Cristian Cornea) разработал поддельный конструктор программ-вымогателей под названием "Jinn Ransomware Builder" 👎

Он выложил этот инструмент на форуме BreachForums и предлагал всем желающим очень вкусные 😋 возможности функции для создания кастомизированного вредоносного ПО, включая поддержку нескольких языков программирования, недетктируемость, полную конфигурируемость и многие другие ценности, так востребованные хакерами 🧑‍💻

Однако в код "джина из бутылки" 🧞 были встроены скрытые механизмы, позволяющие Корнеа отслеживать и собирать данные о хакерах, пытающихся использовать этот инструмент для своих целей. В результате более 💯 злоумышленников, скачавших и запустивших "Jinn Ransomware Builder", непреднамеренно раскрыли свои IP-адреса и другую идентифицирующую информацию.

Если бы кто-то разработал и выложил некий инструмент ИБ, то такой эксперимент подчеркнул бы риски использования непроверенных инструментов, скачанных из Интернет ⬇️ В истории с Jinn Ransomware Builder продемонстрировано, что киберпреступники тоже люди, ничто человеческое (особенно халява) им не чуждо и что против них можно использовать те же методы, что и они против обычных пользователей и компаний. Контратака в действии! ⚔️
7,550
Пост Лукацкого

16 Nov, 18:28

Кстати, да 😅
7,230
Пост Лукацкого

16 Nov, 14:47

🍃 А вот это более симпатичная капча, чем надоевшая "отметьте все картинки с пожарными гидрантами" или "отметьте все картинки с пешеходными переходами". Отмечать краски осеннего леса гораздо приятнее... Безопасность должна приносить радость, а не выбешивать 👿
6,562
Пост Лукацкого

14 Nov, 18:27

У вас также?
2,930
Пост Лукацкого

14 Nov, 15:04

Организовывал тут ряд забавных упражнений для шевеления мозговых извилин, расширения кругозора и погружения в кибербез под бокал красного 🍷, что в простонародье именуется квизом. Среди прочего задал вопрос про минимальную длину пароля, которая считается сейчас надежной 💪 И ответ меня обескуражил несказанно, показав как далеко еще нам до состояния всеобщей кибербезопасности. Неслучайно, кража, утечка или подбор паролей входит в Топ3 причин инцидентов ИБ по всему миру. А вы говорите... 🤠
3,894
Пост Лукацкого

14 Nov, 11:37

Борясь с APT, шифровальщиками, хакерами "в погонах" и другими страшными субъектами, не забывайте и про инсайдеров... 😡 Их больше, а ущерб от их действий может быть не меньше, чем от виртуальных "Джеймсов Бондов" и "Робин Гудов"... 🇷🇺
4,811
Пост Лукацкого

14 Nov, 08:02

⚠️ За сегодня уже две десятка вот таких вот сообщений в Даркнете. Кто-то нашел дыру в МСЭ и начал ее эксплуатировать в разных странах и организациях - Ирак, Франция, США, Норвегия, Китай, Канада, Тайвань, Италия и т.п., продавай доступ в инфраструктуру уязвимых компаний. Обновляйтесь!!! 🔄
5,860
Пост Лукацкого

14 Nov, 04:40

Индонезия 🇮🇩 входит в пятерку стран по числу утечек данных, что и обусловило мое очередное выступление, которое я посвятил защите данных. Как ни странно, но я ни разу не упомянул аббревиатуру DLP в этом выступлении, кроме как в названии ☹️ А все потому, что почти все последние нашумевщие утечки не могли бы быть обнаружены и заблокированы этим классом защитных средств ⛔️

Тут нужны совсем иные подходы и, что интересно, почти все используемые традиционных решения по ИБ (NTA, EDR, SIEM, NGFW, WAF и др.) могут быть использованы для обнаружения первых сигналов и индикаторов утечек структурированных и неструктурированных данных. Собственно об этом я и рассказывал... 🤠

Не забыл и упомянуть историю с Джеком Текшейрой, которому как раз присудили 15 лет за утечку данных через игровые сервера Discord 📱, что достаточно сложно отслеживается с технической точки зрения и требует немного иных подходов при мониторинге. А уж кейс с Goldman Sachs 📱 вообще уникален, как мне кажется, и тоже показывает, что есть немало каналов, которые компания просто не в состоянии мониторить, и надо выстраивать защиту данных немного иначе - с контроля доступа к ним, понимания мест хранения и обработки данных, автоматической классификации и приоритизации данных и т.п. А уж мониторинг - это вишенка на торте 🍰
5,635
Пост Лукацкого

13 Nov, 18:25

Кстати, полоски у тигра также уникальны, как и у зебры 🐅 Это чтобы уж совсем закончить историю с звериной биометрией 🐯
5,699
Пост Лукацкого

13 Nov, 15:03

В Индонезии бум шифровальщиков 🏠, которые наносят значительный ущерб частным и государственным организациям. Поэтому моя очередная презентация в Джакарте была посвящена именно этой проблеме. Но говорил я не о том, как предотвращать атаки ransomware (на эту тему выступал мой коллега, Володя Гриднев), а о том, что делать, когда вы уже столкнулись с зашифрованными данными и требованием выкупа 🫢 Какова последовательность действий в этом случае, когда надо, а когда не стоит платить вымогателям, то есть все те вопросы, о которых мы часто не думаем, считая, что "с нами этого не произойдет" 😅
5,615
Пост Лукацкого

13 Nov, 11:33

Рисунок носа животных также является биометрическим фактором! 🐽

Продолжим уроки по занимательной биометрии. Нос 🐽 животных также является их уникальной характеристикой, которую можно использовать в качестве их неизменного в течение времени идентификатора, который еще и удобно мониторить и отслеживать. Впервые обнаружили уникальность звериного носа в 1921 году и с тех пор ее пытаются использовать для идентификации животных в сельском хозяйстве 🐄

Но если раньше снять отпечаток носа было непростой задачей, то с появлением высокоточной оптики и компьютерного зрения, это стало сделать гораздо проще, а главное - безболезненно для животных, которым не надо протыкать уши для вживления туда RFID-меток или навешивания идентификационных бирок 🐽
5,611
Пост Лукацкого

13 Nov, 08:01

Несмотря на все попытки Роскомнадзора ограничить работу российских специалистов по ИБ зарубежом 😠, продолжаю нести благую весть иностранным коллегам из дружественных стран. Вчера отчитал три презентации в Индонезии 🇮🇩, одну из которых посвятил взгляду на киберпреступность с точки зрения рыночных принципов и экономических законов. По итогам не только получил много положительных отзывов и оценок 5️⃣ уровня "мы и не думали смотреть на киберпреступность под таким углом", но и приглашение выступить с лекциями в местном университете 👨‍🏫

Особенно хорошо зашли примеры индонезийских взломов, которые произошли 🔓 в ночь перед выступлением, на которых можно было демонстрировать то, о чем я говорил и какие предсказания делал. Тем более, что Индонезию, как быстрорастущую экономику, атакуют достаточно активно 🤕

ЗЫ. Кстати, вы знаете, что является очень лакомой целью для хакеров на Бали? Вот и я не знал до своей поездки. Нет, это не кассовые терминалы у бара на берегу океана 🏖️ и не сайты по бронированию байков. Все гораздо интереснее и серьезнее!
5,522
Пост Лукацкого

13 Nov, 04:40

Тут опять зашла дискуссия, зачем я каждый раз делаю новые презентации и почему нельзя использовать одну и ту же по несколько раз. Я уже писал, что вопрос не в презентации, а в отношении к делу. А сейчас я подумал, что ровно та же логика применима и к разработке ПО 🧑‍💻, и вообще почти к любой деятельности, к которой можно относиться по разному. Можно делать по принципу "на отвали" или "я делаю то, что мне сказали и в пределах моей зарплаты" 😠 А можно хотеть оставить после себя след и чтобы тебя вспоминали добрым словом и тебе было не стыдно за результаты своего труда ни сейчас, ни потом.

Я сам когда-то работал разработчиком средств защиты информации, а после поработал в трех ИБ-компаниях, занимавшихся созданием решений по кибербезу, и поэтому у меня есть свое видение того, когда ИБ-продукт превращается в нечто уникальное и запоминающееся ❤️

Когда кто-то создает ИБ-продукт не потому, что ему сказали написать вот этот код, а потому что ему не хочется стыдиться своего творения, происходит магия 😍 Исчезают различные условности, так как вся команда сидит в одной лодке и трудится ради общего дела. Им плевать на должности и трудовой распорядок "с 10 до 18" 👨‍💻 Они никогда не скажут "так ведь оно работает, чего еще надо". Они не будут сваливать все на других и говорить "это не моя задача" и "мне за это не платят" 🤦‍♂️ Они не будут прикрывать свою жопу, ссылаясь на "эту фичу мы запланировали только в релизе следующего года и сейчас комититься на нее мы не будем" ⛔️

Они не боятся встречаться с сейлами и заказчиками, не чтобы пропустить мимо ушей все говно, которое на них льется за то, что они сделали, а чтобы действительно понять, что надо сделать, чтобы от продажи и пользования продуктом все получали удовольствие. Они никогда не скажут сейлам, которых они видят только на корпоративах, "да все равно купят - у них же нет выбора" 😫 Команда разработчиков, создающая продукт мечты, в конце концов, никогда не скажет сейлам, что они тут не главные, а их задача только продавать то, что им дали. Все, блин, в одной лодке сидят и все должны быть заинтересованы в результате (мы же за результативный кибербез в конце концов), а не почивать на недосягаемом Олимпе и считать себя белой костью, а не "вот этими вот всеми"...

Как бы пафосно это не звучало, но таким командам не только не хочется краснеть за результаты своего труда, но и хочется рассказать своим детям в старости, что они были частью команды, создавшей продукт мечты, который все вспоминают только с теплом и добротой Я же не многого прошу? Почему у нас так мало ИБ-продуктов мечты? 🥺
5,312
Пост Лукацкого

12 Nov, 18:33

А вы знали, что у австралийских коал и у человека отпечатки пальцев неотличимы друг от друга? 🤒

Эти австралийские 🇦🇺 родственники вомбатов известны не только тем, у них раздвоенный пенис и два влагалища (у самцов и самок соответственно), но они одни из немногих млекопитающих, кроме приматов, имеющих папиллярные узоры 👍 на подушечках пальцев, которые даже под электронным микроскопом неотличимы от человеческих 🐨 Австралийские ученые считают, что данная особенность коал увеличивает цепкость их конечностей. Коалы питаются листьями эвкалипта и благодаря папиллярному узору на "пальцах" собирать такие листья гораздо удобнее 🐨

ЗЫ. А вы, если используете аутентификацию по отпечаткам пальцев, включили подмену со стороны коал в свою модель угроз? 😂
5,778
Пост Лукацкого

12 Nov, 15:03

А вот и Halliburton 🛢 отчиталась за свой третий финансовый квартал, не забыв упомянуть и затраты, связанные с реагированием на инцидент, произошедший с ними в августе этого года. Убытки 🤑 составили 35 миллионов долларов, но не стоит думать, что это все и что сумма удвоится, как я это упоминал в посте про финансовую отчетность MicroChip. Дело в том, что Halliburton еще разгребает последствия инцидента и отчетность затрагивает очень небольшой временной отрезок - с 21 августа, когда они обнаружили инцидент 🔓 до 30 сентября, когда у них закончился финансовый квартал.

В отчетности нефтяная компания пишет, что они предпринимают все необходимые усилия, но не могут гарантировать 😰, что не будет новых последствий от инцидента, имеющих материальную форму, которые скажутся и на финансовой отчетности 📉 Также они пишут о возможных рисках, связанных с претензиями регуляторов, а также исками со стороны клиентов, которые могли пострадать от инцидента ⚖️ В любом случае стоит посмотреть на итоговую годовую отчетность, чтобы понять полный масштаб бедствия от инцидента, который, по моим прикидкам, выльется им в 80-100 миллионов долларов 💰
5,586
Пост Лукацкого

12 Nov, 11:31

Почему бы не принять закон о размещении на ИТ-продуктах, которые в течение 3-х и более месяцев не устраняют свои уязвимости, каких-нибудь страшных фотографий с катастрофическими последствиями, к которым может привести использования уязвимого ПО или железа? 😵
6,060
Пост Лукацкого

12 Nov, 08:01

Американский производитель микроэлектроники MicroChip 🔸, столкнувшийся в августе с инцидентом ИБ, приведшим к простою некоторых своих бизнес-процессов и производств, опубликовал финансовую отчетность за второй финансовый квартал, указав в нем размер своих затрат на управление инцидентом 💰 Они составили 21,4 (1,3 из них административные расходы) миллиона долларов, что составляет 1,4% от валовой прибыли компании за полгода 🤑

Обычно, если посмотреть на финансовые отчеты других компаний, то можно сделать вывод, что в отчете за следующий квартал, будет схожая сумма, что должно составить на круг около 40 миллионов долларов. Немало получается, хотя до UnitedHealth с их 1,8 миллиарда им еще далеко 🫵 Правда, тут есть нюанс. UnitedHealth показывал в отчетности не затраты на инцидент, которые очень легко посчитать, а потери от падения продаж. У MicroChip падение 📉 от год к году колоссальное (больше 50%), но вряд ли его можно объяснить только инцидентов с шифровальщиком Play. Так что будем посмотреть... 👀
5,947
Пост Лукацкого

12 Nov, 04:40

Британская компания по кибербезопасности Sophos опубликовала подробности многолетнего противостояния с китайскими хакерскими группами, поддерживаемыми государством 👲 С 2018 года Sophos сталкивалась с серией атак, направленных на эксплуатацию уязвимостей нулевого дня в своих продуктах, особенно в межсетевых экранах 🤬 Хакеры применяли различные методы, включая пользовательские руткиты, загрузчики в памяти и уникальные UEFI-бутикиты, а также использовали украденные VPN-учетные данные для обеспечения постоянного доступа, что, среди прочего, позволило 🇨🇳 успешно взломать офис Sophos в Индии через уязвимое настенное устройство. Sophos отметила, что эти атаки демонстрируют высокую адаптивность и ресурсы, которыми располагают злоумышленники.

Но интересно в этой истории другое 🆕 Для отслеживания действий злоумышленников компания использовала собственные импланты, что позволило выявить их инструменты и тактики ⚪️ Эти импланты позволяли Sophos наблюдать за действиями злоумышленников, собирая информацию об их инструментах, методах и тактиках. Это дало возможность компании выявлять и анализировать новые уязвимости и методы атак, используемые хакерами 🏃‍♂️

Импланты были разработаны для скрытого мониторинга активности хакеров. Они собирали данные о попытках эксплуатации уязвимостей, методах проникновения и инструментах, применяемых злоумышленниками Благодаря этим имплантам Sophos смогла выявить и нейтрализовать несколько сложных атак, включая использование ранее неизвестных эксплойтов и вредоносного ПО ☁️ Компания также обнаружила связь между различными группами хакеров и их методами, что позволило более эффективно противодействовать угрозам.

Использование таких имплантов ♥️ поднимает вопросы об этичности и законности подобных методов со стороны ИБ-компании. Однако Sophos утверждает, что пошла на этот шаг после серьезных консультаций с юристами, а все действия были направлены исключительно на защиту клиентов и улучшение безопасности продуктов, соблюдая при этом все соответствующие законы и нормы ☁️
5,991
Пост Лукацкого

11 Nov, 18:31

Когда ты мучаешься, раз 20 задавая новый пароль 😮 и не понимая, почему приложение его не принимает, и только потом поняв, что ты на автомате уже вводишь пароли длиной более 18 символов, а приложение не принимает больше 16-ти... 🤦‍♂️
6,140
Пост Лукацкого

11 Nov, 15:01

А вы знали, что черно-белые полоски у зебр 🦓 имеют такой же уникальный рисунок, как и отпечатки пальцев? 👍

Пока ученые не могут договориться о том, какую функцию эти полоски выполняют, защиту от назойливых мух, терморегуляцию или защиту от хищников 🦓 Но одно известно точно - рисунок у каждой зебры свой собственный, отличный от других. И если бы зебры создали свое государство и у них была бы своя ЕБС, то они могли спокойно использовать свой окрас в качестве фактора биометрии! 🎭
6,223
Пост Лукацкого

11 Nov, 11:30

Федеральное министерство юстиции Германии 🇩🇪 разработало закон, который защитит исследователей безопасности, которые обнаруживают и сообщают о недостатках безопасности поставщикам ИТ-продукции. Проект исключает уголовную ответственность для специалистов, которые предупреждают производителей и, в конечном счете, общественность об уязвимостях ИБ 😵 Тем самым, Германия демонстрирует, что она заинтересована в формировании безопасной среды у себя в стране 🙏

Для того, чтобы исследование безопасности попало под действие защиты закона, должны быть выполнены определенные критерии, что логично. Во-первых, действия исследователя должно быть направлены на выявление уязвимостей или риска безопасности в ИТ-системе, то есть иметь правильную мотивацию 🗡 Во-вторых, исследователь, который обнаружит недостаток, должен иметь намерение сообщить об уязвимости тем, кто несет ответственность за решение проблемы ✉️ Наконец, эксперты должны иметь доступ к анализируемой системе только в целях выявления уязвимости. По сути речь идет о схожей концепции, которую российские законодатели называют "легализацией белых хакеров" 👨‍💻

Попутно проект нового немецкого закона предлагает наказание от трех до пяти месяцев тюрьмы за кражу данных, а также иные преступные кибердеяния, мотивированные желанием заработать на этом, или те, которые приводят к значительному финансовому ущербу 🤑
6,050
Пост Лукацкого

11 Nov, 08:05

Город Коламбус, что в американском Огайо, летом этого года обнаружил взлом 🔓 своей инфраструктуры вымогателями из Rhysida, которые украли данные более полумиллиона жертв и выложили их в даркнете после отказа штата выплачивать выкуп. Но интересен этот кейс другим, а именно случившимся в августе скандалом, когда выяснилась, что администрация города подала в суд 👨🏿‍⚖️ на независимого ИБ-исследователя Дэвида Лероя Росса (он же Коннор Гудволф), который опроверг заявления мэра Коламбуса, который утверждал, что "ви фсё врёте" данные, выложенные хакерами, зашифрованы и вообще повреждены и, следовательно, никакой угрозы жителям города нет 🤥 Росс опроверг это заявление, показав, что чиновник лжет своим гражданам и избирателям.

Прокуратура Коламбуса подала иск на 25 тысяч долларов, который на днях и отозвала. Но Россу по-прежнему запрещено обсуждать в паблике данную утечку, что, в целом, его устраивает 😤 Хотя он и выражает недовольство действиями городских чиновников, которые попытались заткнуть рот добросовестному исследователю в области кибербезопасности и которые, предсказуемо, наткнулись на волну возмущения от ИБ-общественности, которая посчитала действия администрации Коламбуса нарушением права на свободу слова 🤬

По мере роста числа инцидентов с утечками попыток заткнуть рот 👊 специалистам по ИБ будет все больше, как и сопротивления со стороны ИБ-сообщества, которое вполне может перенять практику операторов ransomware и запустить свои анонимные площадки, на которых публиковать сведения о компаниях, замалчивающих проблемы безопасности 🤐 Если, конечно, на законодательном уровне не разрешить исследователям ИБ заниматься исследованиями, а компаниям, не занимающимся своей безопасностью, им не мешать 🤔
5,905
Пост Лукацкого

11 Nov, 04:40

На прошедшем в Екатеринбурге "Форуме будущего" Валентин Богданов, генеральный директор УЦСБ, на секции про импортозамещение, где я упомянул про 40 российских NGFW, сказал, что их уже под 50, что повергло меня в шок 🤬 50 NGFW в одном государстве - это же сколько ресурсов тратится зря вместо того, чтобы сфокусироваться на еще никем не охваченных нишах отечественного ИБ? 🤔 Ведь очевидно, что из этих 50 продуктов выживут от силы 3-4 компании; ну 5-6, если кто-то окучит какой-нибудь крупный холдинг или госкорпорацию и будет "жить" за счет одного-двух, но очень крупных заказчиков (такие примеры на рынке тех же российских VPN есть) 🍿

Но до этого счастливого (для тех, кто сделает ставку на правильного вендора) момента надо еще дожить 🏝 Поэтому интересно смотреть, на что делают акцент разработчики российских МСЭ следующего поколения. Кто-то упирает на то, что они уже скоро 20 лет делают МСЭ и поэтому у них есть опыт (хотя обычный FW и NGFW - это как сравнивать AV и EDR, морскую свинку и кабана) 💻 Кто-то говорит про скорости в стопиццот гигабайт (забывая про то, что NGFW - это все-таки про кибербез) 🚀 Кто-то акцентирует внимание на сетевом функционале, кластеризации, отказоустойчивости и т.д. Кстати, если вам интересно, на что делает акцент 🟥 в своем PT NGFW, то у вас есть возможность увидеть это воочию на лонче, который пройдет 20 ноября на стадионе VK, а также в онлайн.

А я тут наткнулся на документ, в котором NGFW (правда, не отечественный) оценивается с точки зрения финансов 💰 Была взята уже ставшая классикой в ИТ/ИБ методика Forrester TEI, которая любой продукт раскладывает с точки зрения возвратности инвестиций (ROI), срока окупаемости, NPV и других, знакомых финансовым директорам показателей 🛍 А вот к преимуществам этого, уже недоступного в России и постоянно ломаемого в последнее время NGFW, авторы документа отнесли совсем не то, на что часто делают акцент у нас: 💵
1️⃣ Улучшенная производительности сети и ИБ
2️⃣ Эффективность команды сетевиков
3️⃣ Улучшения в продуктивности конечных пользователей
4️⃣ Эффективность команды ИБ.
То есть речь идет о росте эффективности подразделений компании за счет внедрения NGFW, что является уже прерогативой COO (Chief Operations Officer) 🪣

Но в целом, интересно, конечно, наблюдать за тем, как у нас изменяется рынок кибербезопасности и на что он ориентирован; интересно сравнивать его с тем, что происходит в других странах. Например, Китай 🇨🇳 сейчас ориентирован на локальный рынок и из 3500 ИБ-вендоров мы знаем от силы 3-4, которые занимаются географической экспансией. Израильские вендоры, наоборот, имеют явно экспансионную стратегию 🇮🇱 Американские компании работают преимущественно на свой рынок (все-таки это 40% мирового), но при возможности активно идут и в регионы, где сильны позиции США 🇺🇸 Россия в этом плане очень похожа на Поднебесную, но с одним существенным отличием. Китайский рынок больше нашего и там есть куда расти еще долго. У нас 🇷🇺 львиная доля вендоров хочет сорвать низковисящие фрукты, не задумываясь о будущем и о том, что понадобится 2-3 года на запуск продукта, прежде чем он начнет приносить прибыль. Поэтому те десятки вендоров, кто сейчас сделал ставку только на NGFW, могут сильно проиграть на длинной дистанции, проиграв NGFW-битву, но не имея туза в рукаве 🃏, то есть не диверсифицируя разработку своего портфеля. Особенно если потом они захотят выйти за пределы России, где конкуренция в разы сильнее 🐉
5,280
Пост Лукацкого

10 Nov, 18:29

Скоро на всех компьютерах страны 😂
7,131
Пост Лукацкого

10 Nov, 14:47

Зачем Озон без моего ведома сделал мой профиль публичным и разрешил всем желающим увидеть мои предпочтения в покупках, а то и мои покупки, я не очень понимаю 🤔 Но галку о том, что мой профиль открытый, я снял, что было, кстати, не так уж и просто сделать ввиду неочевидности места, где это настраивалось.

Помню один банк тоже так невзначай автоматически включил мое согласие на сдачу моей биометрии в ЕБС. Хорошо, что я вовремя заметил и отменил передачу ⛔️ Зато после отключения видимости профиля, мобильное приложение теперь на видном месте показывает баннер с предложением все-таки отменить свое решение и сделать профиль опять открытым для всех 😠

⚠️ Следите за профилями в используемых вами сервисах и приложениях. Цели и интересы их разработчиков часто отличаются от ваших 🤔 Там, где вы хотите приватности, они, наоборот, за раскрытие полного набора данных о вас! Будьте внимательны! ⚠️
7,223
Пост Лукацкого

10 Nov, 10:37

Сижу, ужинаю... 🍔 Смотрю, в Whatsapp значок непрочитанного сообщения. Захожу, вижу пропущенный звонок 📱 Я вообще на звонки в мессенджерах не отвечаю (для этого телефон есть), но тут звонок с кенийского 🇰🇪 номера, что, учитывая нашу географическую экспансию, меня заинтересовало.

Захожу в профиль звонящего и что же я вижу?.. Молодая четырехпалая азиатка (из Кении, ага) с раскосыми глазами... 🎭 Мошенники могли бы и чуть лучше готовить свои профили, а не думать, что попросив ИИ сгенерить симпатичную мордашку, можно сразу поймать незадачливую жертву на удочку 🎣
6,458
Пост Лукацкого

10 Nov, 06:40

Google 🌐 выкатила новый обучающий сервис на базе ИИ - Learn About, который выглядит достаточно интересно при первом приближении. Это не обычный поиск, когда вы сами должны задавать наводящие вопросы и получать в поисковой выдаче список все новых и новых ссылок. И это не аналог ChatGPT 📱, с которым вы можете общаться, задавая интересующие вас вопросы по теме. В обоих случаях, вы должны уже что-то знать в интересующей вас области или сначала прочитать все, что вам выдал поиск или ChatGPT и потом уточнять область дальнейшего поиска 🔍

Learn About действует иначе - вы задаете тему, а дальше вам система начинает набрасывать контент в разной форме - текст, картинки, видео. Сначала для поверхностного изучения, потом можно погружаться все глубже и глубже При этом система сама выдает вам список возможных дополнительных вопросов, которые могут вас заинтересовать (видимо, на базе все той же поисковой выдачи, но уже обработанные с помощью ИИ) 🧠 Форма подачи контента также последовательна. Это не очень удобно, так как человек обычно изучает тему по схеме звезда - в центре объект исследования, а затем в стороны расходятся "лучи" с уточняющими вопросами и все большим погружением в область изучения 📇

Я попробовал использовать сервис Learn About для погружения в тему кибербеза 🤔 Ну что сказать, впечатления неоднозначные. Если мне нужно получить поверхностную картинку для достаточно базовых или атомарных понятий (аутентификация, криптография и т.п.), то система работает, представляя собой некую интерактивную Википедию 📱 Но стоит либо попробовать погрузиться чуть глубже в какие-то специфические темы (типа закладки в ПО или bug bounty), как Google уходит в тину и говорит, что он не может ничем помочь 🤐 В сложных темах (я попробовал "покопаться" в security governance) Google плывет и выдает очень поверхностный, а местами и вовсе некорректный, материал 🔍

Особо забавно выглядит история, когда Google Learn About начинает выводить запрошенную информацию, а потом удаляет ее и "говорит", что ничем не может помочь... При этом обычный поиск все это по-прежнему выдает... Ох уж это толерантность американского бигтеха 🤠
6,340
Пост Лукацкого

09 Nov, 14:47

А вот тут еще одно интервью 🎙 Вообще-то оно про российские тренды, куда мы идем, что с нами всеми будет, как мы без Youtube и сильная ли в России отрасль кибербеза, но так уж сложилось, что в заголовок поставили то, что было актуально на момент записи 🤷‍♀️
5,795
Пост Лукацкого

09 Nov, 10:37

Подписчик прислал (спасибо 🙂) очередной образчик мошеннических уловок. Они новую спецслужбу придумали - служба внешней разведки Федеральной службы безопасности (СВР ФСБ) 🤦‍♂️ Еще ФСО добавить в название и будет бинго 🤦‍♂️

ЗЫ. Вот тут мошенники под ФСТЭК маскируются гораздо профессиональнее. Хорошо, что таких мало.
6,016
Пост Лукацкого

09 Nov, 06:40

Расти, спикер, расти

Как стать спикером в ИТ и причем здесь PR

В гараж PR машины между командировками, постами и блогами ворвался Алексей Лукацкий, чтоб рассказать о пути самурая спикера и о тонкостях взаимодействия с PR-специалистами.

Бизнес-консультант по информационной безопасности Positive Technologies, ex-Cisco, ex-Информзащита имеет стаж публичных выступлений более 2⃣7⃣ лет, раздает в месяц по 2⃣0⃣ комментов в СМИ, спикерит или модерит на 2⃣0⃣0⃣ ивентах в год!

И если вы еще сидите — ведет телеграм-канал на 2⃣7⃣ тыс. подписчиков, пишет книги и неистово бложит.

Мы поговорили о роли PR, выяснили, зачем пиарщику морковка, как влияет спикерство на зарплату, какие журналисты и организаторы мероприятий залетели в бан у Алексея и как писать тексты, чтоб пиарщики не правили 😇

Читать интервью на VC.ru
Читать в телеге

#интервью
5,944
Пост Лукацкого

05 Nov, 21:17

А тут вот опять, в день выборов американского президента, пишут на BreachForums про взлом АНБ 🇺🇸 Мол, утекло все из телеком-оператора AT&T, который в свою очередь был взломан в результате атаки на Snowflake ❄️ Интересно, это продолжение сентябрьской истории или что-то новое?...
2,158
Пост Лукацкого

05 Nov, 18:30

Всеобщая ИТзация всей страны, обучение хакерству с младых ногтей 👶, пентестерские курсы из каждого утюга - это важно и хорошо. Главное не забывать вкладывать в голову учащихся не только технические знания, но и правильные посылы и смыслы, для чего это все! А то вырастим на свою голову хакеров 🧑‍💻 А в мире столько выборов не найдется, сколько у нас хакеров будет.

ЗЫ. Вы, кстати, за кого - за Дональда или Камаллу? 🇺🇸
3,446
Пост Лукацкого

05 Nov, 15:04

К упомянутому ранее Gartner PIPE Framework краткое описание, что входит в этот фреймворк 👨‍🏫 Ну и сам документ Gartner 👇, если вам вдруг интересно, как можно из обычных антифишинговых 🎣 симуляций накрутить вот такое ☝️
4,130
Пост Лукацкого

05 Nov, 11:32

Schneider Electric взломали и украли данные. Опять! ⚠️ В июне 2023-го это была группировка cl0p. В феврале 2024-го - это уже была Cactus. В ноябре 2024-го (вчера) HELLCAT. Как-то уж слишком часто это происходит с лидером АСУТПстроения 🏭

Хорошо, если там просто стащили данные и не было никаких закладок, как в кейсе с SolarWinds. Все-таки внедрение импланта в код - это непростая операция, далекая от типичных действий большинства группировок, связанных с шифровальщиками ⚪️ Плохо, если украденные данные содержат сведения, которые, в случае опубликования, помогут плохим парням реализовывать больше атак 🤕
5,318
Пост Лукацкого

05 Nov, 08:02

При всем богатстве техник и тактик в MITRE ATT&CK комбинаций, которые бы применялись на практике, - ограниченное число 📇 Знание этих комбинаций, или путей/цепочек атак, позволяет ускорить обнаружение инцидентов и реагирование на них. Но где взять такие цепочки? 🔗 Из бюллетеней TI их не составишь, так как обычно там только атомарные техники, которые надо еще уметь составлять в правильные комбинации. Раньше вариантов было только два - выстроить собственное TI-подразделение или опираться на экспертизу в области цепочек в ИБ-продуктах (например, по этому пути развивается MaxPatrol O2) 🛡

🆕 И вот недавно MITRE Engenuity’s Center for Threat-Informed Defense анонсировал проект Technique Inference Engine, который как раз облегчает движение по первому пути. В рамках этого проекта собраны существующие цепочки атак 🔗, что позволяет по одной или нескольким техникам предсказать возможные следующие шаги злоумышленника 🔮 В основе проекта ML-модель, обученная на соответствующих данных из 6236 TI-отчетов от OpenCTI, TRAM (позволяет вытягивать индикаторы из TI-отчетов с помощью LLM ), Adversary Emulation Library, Attacks Flow и других проектов MITRE и MITRE Engenuity 🔓

‼️ Важно ‼️ Не стоит думать, что этот инструмент раз и навсегда решит проблему с предсказанием следующих действий злоумышленников. Я провел простой эксперимент - взял свежее описание по группировке PhaseShifters и загнал техники оттуда в TIE. Нет, в ответ я не получил название группировок 🇷🇺, которые используют схожий набор (для этого можно было бы использовать сервис MITRE CARET). Я получил список из 20 техник, которые могли бы еще быть использованы, так как встречались в других инцидентах вместе с введенными мною. Но что делать с этим списком? Все равно не обойтись без понимания того, что делать с этими техниками, то есть без своего TI вам не обойтись. Но список возможных вариантов TIE сужает, что немало 👨‍💻

ЗЫ. Из интересного - можно самостоятельно и локально поиграться и с моделью и с датасетом с помощью Python Notebook 🧑‍💻 - предоставлены все необходимые ресурсы.

ЗЗЫ. Но цепочки проект все-таки не строит 🤷‍♀️

ЗЗЗЫ. И помните, что не все существующие техники попадают в ATT&CK.
5,025
Пост Лукацкого

05 Nov, 04:40

Когда ко мне пришли в личку один раз с вопросом: «Мне 35/43/51 — хочу перейти в ИБ из другой профессии», я ответил, как смог в рамках Telegram-канала 📱 Когда пришли второй раз — я тоже ответил в личке. Но когда идентичных вопросов стало больше трех, я решил, что надо вынести мой ответ в паблик, разбив его на части...
5,585
Пост Лукацкого

04 Nov, 18:31

Вчера по поселку бегали дети 😀 по домам, "пугали" людей и, следуя традициям Хеллоуина, кричали "Сладость или гадость" 🍭, закрыв тем самым то ли Тыквенный спас, то ли «Ночь таинственных историй», то ли американский праздник, который у нас скоро запретят, как чуждый тонкой и ранимой русской душе.

А я вдруг подумал, что скоро они повзрослеют и начнут просить не конфеты, а цифровые "вкусняшки" - биткойны, стейблкойны и другие элементы современной жизни молодежи. В наше время, когда все за ЗОЖ 💪, а дети с малых лет погружаются в цифру, конфеты просить уже как-то некомильфо.

ЗЫ. Кстати, если кто собирал все таинственные истории по моим соцсетям, то их было 1️⃣🅾️
5,986
Пост Лукацкого

04 Nov, 14:43

Благая весть о кибербезе в святом месте, в храме 🥺 Заучить как «Отче наш»!
5,997
Пост Лукацкого

04 Nov, 10:37

Неожиданный поворот. Вендор в области аутентификации решил, что никому в голову не придет придумывать себе логин длиной больше 52 символов и поэтому не стал включать в тесты этот сценарий. А зря… Оказалось, что при наличии такого логина (более 52 символов) можно было вообще не вводить пароль (если, конечно, не была включена MFA) 🤦‍♂️
6,000
Пост Лукацкого

04 Nov, 06:40

Александр подкинул ссылку на интересное исследование Gartner, в котором они ставят под сомнение текущие практики повышения осведомленности, основанные на персональном опыте и обучении 👨‍🏫 Согласно американским аналитикам существует проблема восприятия киберрисков - несмотря на усилия, направленные на повышение осведомленности о киберрисках, поведение пользователей зачастую остается небезопасным 💅 Поэтому многие мероприятия по изменению корпоративной культуры, чтобы ИБ воспринималась более серьезно и побуждала к действиям, оказываются неэффктивными.

А все потому, что пользователи часто не ощущают прямых последствий своих действий, что позволяет им принимать решения, не уделяя должного внимания безопасности 👋 Зачастую инцидент влияет не на них напрямую, а на компанию и то, опосредованно. Это требует внедрения новых подходов, которые будут создавать у сотрудников ощущение личной ответственности за их действия 🤔

Gartner рекомендует менять стиль коммуникации, чтобы акцентировать на личных последствиях от реализации инцидентов ИБ и использовать подход Gartner PIPE (practices, influences, platforms and enablers) для создания программы по укреплению культуры безопасного поведения 😛 При этом рекомендуется "давить" не персонально на каждого сотрудника, а через социальные группы, которые своим примером должны показывать "как правильно" 😠

Несколько тактик коммуникаций для привлечения внимания к кибербезу от Gartner:
1️⃣ Связь действий с последствиями. Донесение до сотрудников четкой связи между их действиями и результатами. Пример: "Если клиенты доверяют нам свои данные, мы получаем больше заказчиков, а вы получаете зарплату и премии/бонусы" или "Атака шифровальщика стала причиной того, что мы не достигли бизнес-показателей и мы не сможем получить премию" 🤑
2️⃣ Использование корпоративных ценностей. Соотнесение сообщений о безопасности с уже существующими корпоративными ценностями, такими как безопасность, качество или финансовая стабильность 🧐
3️⃣ Социальное давление. Использование сообщений, которые акцентируют внимание на том, что риск может затронуть других людей, что побуждает к более ответственному поведению. Например, "Утечка персональных данных может разрушить жизнь вашего коллеги" 🫵
4️⃣ Персонализация. Демонстрация возможных последствий для самих сотрудников или их близких. Пример: "После кражи моей цифровой личности я чувствовал себя беспомощным" 👨‍👩‍👧‍👦
5️⃣ Фан и запоминаемость. Использование юмора и узнаваемых мемов для того, чтобы сообщения лучше запоминались. Пример: "Смешной цифровой двойник бывает только в фильме "Приключения Электроника", в реальной жизни это может кончиться гораздо хуже" (про Электроника это уже моя придумка) 🖕
6️⃣ Изменение культуры обхода правил. Часто сотрудники применяют обходные пути для упрощения работы, что подрывает безопасность. Необходимо менять культуру, чтобы сотрудники видели ценность в соблюдении мер безопасности, и минимизировать трения в работе с системами безопасности ❤️
5,702
Пост Лукацкого

03 Nov, 18:35

Вас тоже бесит, когда друзья, пришедшие к вам домой, просят пароль от вайфая, но у них не айфон 📲, а точка доступа, на которой приклеен пароль, у вас где-то на антресолях закопана?..
5,701
Пост Лукацкого

03 Nov, 14:47

В одной иностранной организации были следующие KPI для оценки уровня ИБ на уровне всей организации:
1️⃣ % топ-менеджеров, у которых в персональных целях (MBO/OKR/KPI) были определены и задокументированы цели в области кибербезопасности, за достижение которых бонус платился, а за недостижение - нет
2️⃣ % соблюдения политик безопасности (отсутствие нарушений, все исключения одобрены и т.п.)
3️⃣ Количество инцидентов
4️⃣ Разница между планируемыми и фактическими показателями при выполнении мероприятий по ИБ, а также инвестиций в кибербез
5️⃣ % сотрудников, прошедших соответствующую оценку для определения эффективности пройденного ими обучения (то есть оценивается не факт обучения, а что оно дало пользу)
6️⃣ Количество проведенных киберучений
7️⃣ Сотрудничество с ФБР и государственными агентствами и службами (специфическая метрика)
8️⃣ Наличие разработанных планов обеспечения непрерывности ведения деятельности (COOP/ОНВД)

Первая - прям хорошая метрика, которая с одной стороны вовлекает топов в ИБ, а с другой - мотивирует их достигать результата. А если у топа от выполнения целей ИБ зависит бонус, он точно напряжет всех, чтобы ИБ выполнялась. Главное, цели выбирать правильно и установить контроль, чтобы не было очковтирательства.
5,614
Пост Лукацкого

03 Nov, 10:37

Три интересных новости попались мне относительно искусственного интеллекта. Во-первых, в Японии 🇯🇵 осудили первого человека, которого обвинили в использовании ИИ для разработки вредоносного кода 🦠 Ему дали 3 года и на 4 года отстранен от должности. Однако полиция считает, что никакого вреда обвиняемый своим творением нанести не успел. Но сам факт заслуживает внимания. Тем более, что в сентябре исследователи HP уже писали об обнаружении ими в "дикой природе" вредоноса, предположительно написанного с помощью ИИ. Скоро фишки вредоносов с распознаванием образов (OCR) на базе ИИ на борту (как, например, в случае с Rhadamanthys) покажутся нам детским лепетом.

Вторая новость связана с проектом AI Honeypot 🍯, который должен ответить на вопрос - как активно используется ИИ при проведении атак. Созданная ловушка содержала явные уязвимости, что не могло не привлечь к ней внимание плохих парней, которых по ходу препарировали, пытаясь выяснить, есть ли среди них роботы 🤖 Что интересно, из полутора миллиона атак всего 6 было отнесено к, вероятно, инициированными ИИ-агентами.

А вот третьему исследованию я уделю больше внимания. В нем проанализировали 243 инцидента, связанных с безопасностью ИИ 🧠 в период с 2015 по 2024 годы. Результаты оказались неожиданными - большинство из них - не специфические для ИИ атаки, а обычные проблемы кибербезопасности, которые затрагивают компании и программное обеспечение, работающие с ИИ:
🔤 Около 89% инцидентов были демонстрациями исследователей или легальными проверками, а не реальными атаками злоумышленников 🔓
🔤 Только 17,7% составляют настоящие атаки, специфические для ИИ
🔤 Инъекция через запросы, включая случай с чат-ботом Chevrolet
🔤 Манипуляция моделями, как в инцидентах с ChatGPT или HuggingFace
🔤 Вмешательство в данные для обучения, как, например, в истории с ByteDance или Protiviti
🔤 Adversarial (ну это известная классика).
🔤 Большая часть (82,3%) инцидентов связана с традиционными уязвимостями в ИИ-программном обеспечении, которые ошибочно называют "уязвимостями ИИ"
🔤 Утечки данных, например, инциденты с Clearview AI и Removal.ai
🔤 Хищение ресурсов, как в случае с Anyscale Ray
🔤 Ошибки конфигурации облаков, которые привели к утечке данных , как в кейсе Replicate AI
🔤 Проблемы с безопасностью API, как, например, в инцидентах Vanna SQL или Google Coude Vertex AI.

Исследователи сделали три основных вывода:
1️⃣ Доминирование традиционных уязвимостей. Распространенные проблемы включают доступ к файловым системам, уязвимости аутентификации и проблемы с API. Например, инцидент с Anyscale Ray в 2024 году показал, как через незащищенную точку доступа API были скомпрометированы ресурсы на почти один миллиард долларов 💰
2️⃣ Растущее число атак, специфичных для ИИ. Хотя такие атаки пока редки, их количество увеличивается. Примеры включают инъекцию команд (например, случай с чат-ботом Chevrolet в 2024 году) и кражу датасетов и ML-моделей 🤒
3️⃣ Наибольшая угроза — инфраструктурные уязвимости. Сюда входят хищение ресурсов, утечки данных и ошибки конфигурации облаков. Например, в мае 2024 года контейнерный реестр Replicate AI был открыт для загрузки вредоносных файлов 🤒

Обнаружено, что уязвимости в программных фреймворках для разработки ИИ стали частым явлением. Злоумышленники также создают вредоносные модели ИИ, надеясь на их загрузку другими пользователями. Это тенденции этого, 2024 года 🔮

Основной вывод из этих трех новостей можно сделать один - компании могут неправильно ⚠️ распределять свои ресурсы, сосредотачиваясь на экзотических угрозах ИИ, игнорируя базовые проблемы безопасности, связанные с отсутствием процесса управления уязвимостями и безопасной разработки. Это ведет к ложному ощущению новизны и отвлекает от решения фундаментальных проблем 🛡 И хотя специфические атаки на ИИ реальны и их число растет, именно традиционные уязвимости пока остаются основной угрозой для компаний.
5,476
Пост Лукацкого

03 Nov, 06:40

Ну что, тема ИБ идет в массы. Вот и на Минаев Live теперь ▶️ Да, не Дудь, не Бузова и не иные популярные блогеры и тиктокерши, но уже движение в правильном направлении ➡️
5,446
Пост Лукацкого

02 Nov, 15:03

Оно, конечно, ничего нового, но тут в одной статье вывели 10 ключевых проблем, с которыми сейчас сталкиваются CISO. Не так чтобы там были какие-то откровения, но вдруг вы о чем-то не знали, а для вас это проблема или она станет таковой в ближайшее время:
🔤 Расширяющийся ландшафт угроз. Увеличение количества и сложности атак, а также существенное расширение ИТ/ОТ-инфраструктуры.
8️⃣ Изменяющаяся среда. Необходимость оперативно адаптировать защиту под постоянно изменяющиеся требования бизнеса, поддерживая его развитие и не мешая ему.
🔤 Рост регуляторных требований. Многочисленные и часто конфликтующие требования законодательства.
🔤 Риски третьих сторон. Уязвимости поставщиков и участников цепочек поставок, которых компании не контролируют напрямую.
🔤 Ответственность за результат. Растущая персональная и юридическая ответственность CISO за защиту данных.
🔤 Безопасность ИИ. Необходимость защищать данные и инфраструктуру при использовании и развитии технологий ИИ.
🔤 Угрозы, связанные с ИИ. Использование ИИ злоумышленниками для усиления атак.
🔤 Ограниченные ресурсы. Нехватка кадров и финансов на фоне дефицита специалистов.
🔤 Роль безопасности в организации. Безопасность по-прежнему воспринимается как технический аспект, а не часть бизнеса.
🔤🔤 Операционное совершенство. Поддержание необходимого уровня безопасности и быстрая адаптация к новым угрозам и технологиям.

И хотя эта статья была опубликована в американском издании, эти проблемы актуальны и для нас, даже 6-я.
5,758
Пост Лукацкого

02 Nov, 11:33

🔄 Вышла новая версия ATT&CK v16, в которой MITRE сосредоточила свои усилия на создании баланса 🎮 между интересами разных категорий специалистов по ИБ. Обновлений сделано достаточно много и среди них:
1️⃣ Обновления для облачных сред. В новой версии реанимирована облачная матрица, включающая теперь четыре платформы - IaaS, SaaS, Identity Provider и Office Suite (Azure, AD, Google Workspace и Office 365 были удалены), что обеспечивает ясное различие функций, например, Azure AD теперь входит в Identity Provider. Это помогает улучшить навигацию и обеспечить практическое применение для специалистов по мониторингу 👀

2️⃣ Нововведения в техниках. Добавлены новые техники, такие как T1496.004, где злоумышленники могут использовать скомпрометированные приложения SaaS для отправки спама ❗️ и истощения ресурсов. Также появилась техника T1666, описывающая изменение иерархии облачных ресурсов, чтобы уклониться от защитных механизмов 💭 Помимо них добавлены T1546.017: Event Triggered Execution: Udev Rules и T1558.005: Steal or Forge Kerberos Tickets: Ccache Files, а также T1557.004: Adversary-in-the-Middle: Evil Twin, T1213.004: Data from Information Repositories: Customer Relationship Management Software и T1213:Data from Information Repositories: Messaging Applications. Всего было добавлено 19 новых техник (только в Enterprise), внесены изменения в более чем 100 техник.

3️⃣ Обнаружение и защита. В v16 добавлено более 200 примеров псевдокода, помогающего обнаруживать 🔍 многие из описанных техник - для выполнения (85 примеров), доступа к учетным данным (120 примеров псевдокода) и работы с облаком (26 примеров). Также внедрен скрипт на Python для быстрого извлечения псевдокода обнаружения 🔎

4️⃣ Новая защитная мера. Out of Band Communication для обеспечения безопасности в случае компрометации сети 🕊

5️⃣ Киберразведка. Обновлены данные о 6 кампаниях и об 11 группах 🇷🇺 В раздел Software добавлено описание 33 новых инструментов, используемых злоумышленниками. Теперь в матрицу включено описание 844 инструментов, 186 групп и 42 кампаний 🇺🇸

6️⃣ Инфраструктура и инструменты. Представлен новый сервер TAXII 2.1, который позволяет пользователям развернуть его в своих организациях. TAXII 2.0 будет закрыт в декабре, и пользователи должны будут перейти на новую версию для получения актуальных данных.
5,744
Пост Лукацкого

02 Nov, 08:03

В свежем исследовании "Insights and Current Gaps in Open-Source LLM Vulnerability Scanners: A Comparative Analysis" проводится анализ существующих сканеров уязвимостей в различных LLM 🧠 Было протестировано 15 сканеров - CyberSecEval, HouYi, JailBreakingLLMs, LLMAttacks, Garak, Giskard, Prompt Fuzzer, PromptInject, Prompt-foo, LLMCanary, Agentic security, PyRIT, LLMFuzzer, PromptMap и Vigil-llm и затем из них выбирали тех, кто соответствовал трем критериям: 👉
1️⃣ Качество базы тестов
2️⃣ Частота обновлений
3️⃣ Открытый код с активным комьюнити.

В итоге в финальную выборку вошли всего 4 сканера 🤕 - Garak, Giskard, PyRIT и CyberSecEval, которые тестировали 35 атак, разбитых на 5 категорий, включая джейлбрейк и написание вредоносного кода. Тестировали эти сканеры против 4 LLM - Meta LLaMA 3, Cohere Command-R, OpenAI GPT-4o и Mistral Small 📱

У каждого из 4-х сканеров были выявлены свои преимущества. Например, Garak имеет невысокую кастомизацию, чего не скажешь о PyRIT, который позволяет редактировать все инструкции, но при этом требуют глубоких знаний prompt engineering. Giskard идеален для тестирования в динамичном окружении с минимальным ручным вмешательством. CyberSecEval при этом хорош при тестировании LLM, помогающих в написании кода 🧑‍💻

Если вы развернули у себя в компании собственную LLM, хоть и на базе какой-нибудь LLaMA, то при проведении тестов на проникновение стоит включить в scope и ее. Это подсказывает не только здравый смысл, но и направления развития ИБ-регуляторики в нашей стране 🤔
5,824
Пост Лукацкого

02 Nov, 04:40

Издание Politico продолжает подбрасывать дровишки в разгорающийся хакерский скандал, о котором я написал вчера и который, по всей видимости, выходит далеко за пределы страны 🇮🇹 и затрагивает такие государства, как Израиль, Ватикан, Великобританию и Литву. По данным утечек из полицейских прослушек 📞, миланская фирма Equalize, занимающаяся частными расследованиями, использовалась для взлома государственных баз данных и получения конфиденциальной информации о финансовых операциях и следственных делах. Среди клиентов компании оказались израильские спецслужбы и Ватикан, что подтверждается записями телефонных разговоров, попавшими в руки итальянских СМИ 📰

Основным фигурантом дела является IT-консультант Нунцио Самуэле Калауччи, который, по утверждению следователей, управлял этой операцией. В феврале 2023 года он встречался с двумя израильскими 🇮🇱 агентами в офисе компании в Милане для обсуждения задания на сумму в €1 миллион. Целью операции был взлом 🔓 данных ряда российских целей, включая близкого соратника президента Путина, а также отслеживание финансовых потоков, связанных с ЧВК Вагнер. Итоговые данные предполагалось передать Ватикану 🇻🇦

❗️Сюр какой-то. Евреи нанимали хакера, ломавшего Пентагон в составе Anonymous, для взлома соратника Путина и ЧВК Вагнер для передачи этих данных Ватикану?!!...❗️

Причины участия Ватикана 🛐 и израильских спецслужб остаются неясными, но их присутствие значительно расширяет масштаб расследования. Израильское посольство в Риме отказалось от комментариев, а Ватикан 💒 не ответил на запрос журналистов Politico. Я бы тоже, если честно, на такую пургу не ответил бы. Ну нахрена Израилю нанимать частника в Италии? У них же своих квалифицированных ребят немало 🥷

Также интересно, что израильские представители предлагали обмен информацией, включая оригинальные документы по скандалу с подкупами в Европарламенте, известному как Qatargate 🇪🇺 Кроме того, они предлагали данные, которые могли бы помочь компании Eni в защите ее интересов, связанных с контрабандой иранского газа 🇮🇷

❗️Сюр номер два. Ладно, найм хакера за деньги. Это я еще могу понять. Но когда израильские спецслужбы предлагают обмен секретными документами с частником?!.. Это вообще как? ❗️

Политики Италии выразили серьезное беспокойство по поводу международного масштаба скандала 💥 Сенатор Иван Скалфаротто заявил, что вовлеченность иностранных акторов добавляет стратегические риски для страны. Министр иностранных дел Антонио Таяни 😱 назвал произошедшее "недопустимым" и приказал создать рабочую группу для защиты министерства и посольств Италии. Следствие также расширяется на Великобританию и Литву - в материалах упоминаются сервера в этих странах и потенциальные действия хакеров из английского Колчестера 🇬🇧

ЗЫ. Если первая статья в Politico вызвала у меня удивление, но в целом она укладывалась в мою картину мира, то нынешний журналистский опус ✍️ как-то уже выходит за рамки очевидного и вероятного. Слишком уж неправдоподобно все это звучит. Но внимание явно притягивает. И, возможно, уводит его от чего-то другого, что хотят скрыть в Италии... 🤔
6,122
Пост Лукацкого

01 Nov, 18:33

Надо признать, что в среде специалистов так до сих пор и не пришли к единому мнению насчет различий между пентестом и red team... ⚖️ Поэтому одни, реализуют пентест, который выходит за рамки стандартных практик, а другие запустив фишинговую атаку, уже называют это red team'ингом. Но нужен ли тут стандарт, описывающий минимально необходимый набор действий хотя бы при пентесте?.. У меня нет на этот вопрос ответа. Как рекомендации вполне может быть ✍️

Но тогда уж и вообще попробовать четко зафиксировать все варианты оценки защищенности, их предназначение, предполагаемые результаты, области действия и т.п. 😵 А то помимо пентестов и red team'инг, у нас еще есть bug bounty, инструментальная проверка защищенности, аудиты, APT bug bounty и т.п., к которым еще иногда добавляют то слово "непрерывный", то "next generation"... 🤕
6,009
Пост Лукацкого

01 Nov, 15:03

Я достаточно давно выступаю на позиции, что рынок киберпреступности 🥷 - это такой же рынок, как и все остальные, и живет он по обычным экономическим законам. Он перенимает все самое лучшее из мира легального, отбрасывает все неудобное и неэффективное, выкристализовывая только то, что позволяет зарабатывать деньги 🌐 А деньги можно зарабатывать либо путем привлечения все новых и новых клиентов, либо удержанием старых, которым надо показывать какую-то ценность, формировать доверие к себе. И на нелегальные и преступные продукты и сервисы это тоже распространяется 🎩

И вот новый пример - черный рынок 👺 (правда, наркотиков, не киберпреступности) вводит механизм "тайного покупателя", которые будут следить за качеством предлагаемых "продуктов" и "хорошие" продавцы будут помечаться в даркнете соответствующей иконкой 💰, подтверждающей качество продукции, которой можно "доверять". Думаю, что такая история может быстро перетечь и на рынок киберпреступности, где продавцы также борются за покупателя 🟦
4,985
Пост Лукацкого

01 Nov, 11:33

В Италии 🇮🇹 разразился крупный скандал, связанный с утечкой конфиденциальных данных высокопоставленных политиков, включая президента Серджо Маттарелла и экс-премьера Маттео Ренци. Главный обвиняемый — 44-летний IT-консультант Нунцио Самуэле Калауччи, который ранее заявлял о взломе Пентагона в составе группы Anonymous 🥷

Работая с командой программистов над базами данных для Министерства внутренних дел, он использовал ночное время для кражи приватной информации через уязвимости в серверах 😵 Утром - ты честный и пушистый, а ночью - гроза Интернета. Когда на недавнем интервью для CyberYozh меня спрашивали, много ли известно случаев, когда ИБшники уходят на темную сторону, я сказал, что нет, немного, но они есть. Этот кейс из таких. Как и недавний кейс с индийским CISO, приторговывающим данными своего работодателя 📱

По данным следствия, утечка данных осуществлялась с помощью вируса, позволяющего удаленно контролировать серверы, и при участии инсайдеров 🔺 Калауччо работал на компанию Equalize, возглавляемую бывшим полицейским Кармине Галло 👮‍♂️, который и руководил этой схемой и использовал данные для шантажа и продажи. С 2019 года по март 2024 года группа заработала более €3,1 млн. Тут, конечно, странная сумма звучит. Всего 3 миллиона? За пять лет, которые промышляли преступники? Кто-то что-то недоговаривает 🤐

Скандал вызвал резонанс в политическом мире. Министр иностранных дел Антонио Таяни назвал случившееся "угрозой демократии", а глава Сената Игнацио Ла Русса заявил о своем шоке и негодовании 😱 Политическая оппозиция требует проведения парламентского расследования и объяснений от премьер-министра Джорджи Мелони, так как информация утекла из Министерства внутренних дел 😱

А ведь совсем недавно, свеженазначенный глава всея ИБ Италии Фраттази называл именно Россию главной угрозой кибербезопасности страны. Эвона как получилось неудобно - в своем глазу бревна не увидать... Кроме того, партия "Братья Италии" 🇮🇹 призвала к ужесточению законодательства и повышению наказаний за киберпреступления, а национальное управление по защите данных запустило специальную группу для анализа безопасности баз данных страны. Может еще чего интересного найдут...
5,293
Пост Лукацкого

01 Nov, 04:40

Известный на Западе специалист по ИБ Айра Винклер (Ira Winkler) написал открытое письмо руководству ISC2, которая управляет сертификацией CISSP, и которая подверглась критике за неверное представление данных о рынке труда в области кибербезопасности 🤮 Директор ISC2, Дебра Тейлор 🤢, ссылаясь на доклад 2023 Workforce Study, заявила, что миру требуются более 1 миллиона специалистов по кибербезопасности, но анализ данных показал, что этот разрыв не отражает реальные вакансии.

Айра Винклер подробно анализирует ситуацию с ISC2, приводя следующие доказательства:
💀 Несоответствие данных. Ссылаясь на данные из отчета ISC2, автор отмечает, что информация о разрыве в 4,8 миллиона специалистов не отражает реальные вакансии. В документе говорится, что этот разрыв — это оценка потребности в людях, необходимых для защиты организаций, а не фактические вакансии ⚖️
💀 Стагнация на рынке труда. ISC2 сама признала, что прирост специалистов в глобальном масштабе составил всего 0,08% за год, что противоречит заявленному росту спроса 📊
💀 Значительная потеря рабочих мест. В Северной и Латинской Америке, а также в Европе потеряно около 60 000 рабочих мест, что свидетельствует о стагнации или даже снижении спроса на специалистов 📉
💀 Малый шрифт и недосказанность. ISC2 включила дисклеймер о том, что это лишь оценка потребности, а не реальный спрос на специалистов, но специально сделала это мелким шрифтом.
💀 Реакция сообщества. Автор приводит мнения бывших членов совета и сотрудников ISC2, которые поддержали его критику и выразили недоверие к организации.
💀 Риск репутации. Упоминается, что данная ситуация привела к обсуждению возможности коллективного иска, что подтверждает серьёзность проблемы 😱

Эти аргументы показывают, что ISC2 продвигает недостоверные данные о рынке труда, что наносит ущерб её репутации и вводит в заблуждение потенциальных кандидатов. Айра Винклер считает это либо неэтичным поведением, либо некомпетентностью ISC2 и предлагает прекратить вводящую в заблуждение практику
5,294
Пост Лукацкого

31 Oct, 18:35

Фишинг с глубокого озера

Говорят, что в глубинах цифрового озера обитают опасные существа 😱 Их зов трудно услышать, но они пленяют тех, кто оказался неосторожен. Эти сирены фишинга шлют заманчивые письма, притворяясь надёжными коллегами или давно потерянными друзьями. Их слова – словно песня, обещающая доступ к сокровенным данным, безмятежный доступ к скрытым файлам 😘

Ты видишь письмо, думаешь, что это просто запрос или уведомление. Но как только нажимаешь на ссылку, цифровая сирена 🤔 хватает тебя, утягивая в тёмные воды, из которых уже нет выхода. Она впивается в твою информацию, вытягивая всё, что было сокрыто, и оставляя после себя только пустоту. Лишь эхо её зловещей мелодии, шёпот слов, которые предостерегают: "Не все данные стоят твоей доверчивости…" 👋
5,584
Пост Лукацкого

31 Oct, 15:01

Вампир-вымогатель: плати или останешься в темноте

Он пришел без предупреждения 🧛, заблокировав каждый файл, каждый доступ, словно замок захлопнулся и все ключи потеряны. Рансомвэр-вампир 😈 Его холодное дыхание ощущалось в каждом углу системы. "Плати, или твои данные останутся в темноте навсегда," – шептал он, не оставляя ни малейшего шанса на спасение. Единственная надежда – выкуп, но кто знает, что еще он потребует?.. 👅
5,575
Пост Лукацкого

31 Oct, 11:33

Крипто-вампир: он высосет все твои средства

Глубокой ночью, когда город погружался во мрак, он 🧛‍♂️ подкрадывался к тем, кто доверил свои средства виртуальному миру. Крипто-вампир 🧛‍♀️ В одно мгновение ты видел все свои активы в кошельке, но следующее нажатие – и твои средства начинали истекать, словно кровь под клыками вампира 🧛 Один за другим токены исчезали, пока вампир не насытился. И на экране появилась надпись: "Твои средства – теперь мои…" 🦇
5,743
Пост Лукацкого

31 Oct, 08:03

Кибер-зомби: пароли из прошлого

Они говорили, что слабые пароли давно ушли в прошлое 🙅‍♂️ Но в ночи, среди шорохов старых серверов, снова и снова появлялась тень. Старые, забытые логины, заполненные легкодоступными паролями, вылезали из самых глубоких архивов системы. 123456... password... qwerty… Привычные слова 😮 внезапно превратились в двери для цифровых зомби, которые поднимались из прошлого и безмолвно атаковали. Зомби паролей шли бесконечным потоком, пока не разрушали каждый замок, подчиняя себе всё 📍
5,984
Пост Лукацкого

31 Oct, 04:40

Призрак утечки данных

В темноте тихого офиса, когда все сотрудники уже ушли домой, в воздухе повисла странная тишина 😄 Серверная комната, обычно наполненная ровным гулом техники, вдруг замерла. Охранник, проверяющий помещения, уже собирался выключить свет, как вдруг заметил мерцающее свечение, словно тени данных ожили 👻

Тихо, будто сквозь сеть, возник силуэт – нечто прозрачное и зловещее 👻 Это был Призрак утечки данных. Он скользил между серверами, касаясь экранов холодными, невидимыми руками, и в его призрачных пальцах появлялись странные символы – пароли, документы, личные переписки. Он тащил эти фрагменты данных за собой, будто нити паутины, оставляя за собой цифровые следы, едва видимые глазу ☠️

"Что ты хочешь?!" – крикнул охранник, дрожащим голосом наблюдая, как файлы буквально утекают сквозь призрака, исчезая в цифровом небытие 👻

Но Призрак утечки данных не ответил 👻 – он был занят. Его безликое лицо озарила жуткая улыбка, пока он скрывался в темноте, оставляя за собой пустые экраны и полное отсутствие конфиденциальности. Только пустое эхо его зловещего шепота: "Никакие пароли тебя не спасут…" 👻

PS. Госдума тут решила провести ребрендинг Хеллоуина, переименовав его в "Ночь таинственных историй". Тот редкий случай, когда идея депутатов навела меня на что-то положительное. Решил написать несколько таинственных историй, разделив их между своим Telegram (https://t.me/alukatsky), VK (https://vk.com/id95181438), Instagram (https://www.instagram.com/alexeylukatsky/) и Facebook (https://www.facebook.com/alexey.lukatsky). Кто соберет их все?
6,115
Пост Лукацкого

30 Oct, 11:33

Интересно, эксперты «в полях» 👨‍💻 и ученые-теоретики 🧑‍🔬 имеют разную оценку того, какие угрозы на базе ИИ наиболее вероятны и опасны. Депутаты Ученые на первое место ставят дипфейки 🎭, а реалисты не включают их даже в десятку 🤔
6,112
Пост Лукацкого

30 Oct, 08:03

Из моих виртуальных дневников. 9 лет назад. Хорошая ведь идея 💡 Но тогда к ней никто не был готов. А сейчас, после WAF-дня в Кибердоме (независимого тестирования WAF без предварительного согласования результатов с вендорами 🤬), можно было бы и попробовать. Дать на вход набор кода и вперед 👉
6,571
Пост Лукацкого

30 Oct, 04:40

< Какое будущее ждет защитников цифрового мира

В октябре в Дубае прошла крупнейшая IT-выставка Ближнего Востока — GITEX GLOBAL 2024. Свои технологии представляли сотни компаний со всего мира, в том числе и Positive Technologies 😉

Робоголова Йорик, летающие автомобили, китайский и индийский кибербез — о том, что было показано на выставке, специально для Positive Hack Media рассказал Алексей Лукацкий.

🤖 Смотрите экскурсию и узнавайте, к каким киберугрозам нам стоит готовиться в будущем (и, на самом деле, в настоящем)!

@PositiveHackMedia
6,168
Пост Лукацкого

29 Oct, 18:31

А мы тут прикольную визуализацию по защите инфраструктуры замутили 🛡 Кто придет на минский Positive SOCcon в первых рядах (тираж, как обычно, ограничен), тот получит физическое воплощение этой визуализации 💎
6,501
Пост Лукацкого

29 Oct, 15:03

В третьем квартале 2024 года инвестиции в стартапы в области кибербезопасности значительно сократились 📉 Общий объем финансирования составил $2,1 млрд, что на 51% меньше, чем $4,3 млрд во втором квартале. Число сделок также упало до 116, что является самым низким показателем с 2013 года. Отсутствие крупных сделок и сезонные колебания усугубили спад 📉. Инвесторы по-прежнему заинтересованы в отрасли, но рост интереса к ИИ отвлекает внимание от кибербезопасности (а если ИИ в ИБ). Особенно сильно падение коснулось израильских стартапов (удивительно) 🇮🇱 Аналитики ожидают, что инвестиции восстановятся в будущем, но это потребует времени.

ЗЫ. А в другом отчете написано, что многие публичные ИБ-компании отказываются от своей публичности и переходят в разряд частных компаний, что дает им больше возможностей по развитию и меньше контроля извне. Но и меньше заемных денег на развитие. Так что тоже непростой вопрос...
6,286
Пост Лукацкого

29 Oct, 11:34

Как и планировалось, Delta 🛩 подала иск к CrowdStrike за сбой, связанный с неудачным обновлением ПО ИБ-компании 👨‍💻, и понесенными потерями в полмиллиарда долларов, которые получились в результате отмены 7000 рейсов с 19 по 24 июля, которая затронула 1,3 миллиона пассажиров ✈️

Авиакомпания официально насчитала, что она недосчиталась 380 миллионов долларов за возврат средств клиентам 🤑 за отмененные рейсы и еще 170 миллионов было потрачено на восстановление. 50 миллионов долларов было сэкономлено за счет простоя самолетов ✈️ При этом против Delta сейчас начато расследование, а также предъявлено несколько исков, например, вот. Так что потери на круг могут быть еще больше 💸

При этом CrowdStrike считает, что они несут ответственность не более, чем за 10 миллионов. И вообще, это Delta сама виновата 🖕, что отказалась от помощи CrowdStrike. И понять CrowdStrike можно - против них сейчас много исков возбуждено, например, раз, два, три. И если каждому платить запрошенное, то можно прикрывать лавочку

Но кейс интересен не суммой, а тем, что при любом исходе он может последствия на ИБ-отрасль. Если CrowdStrike 🦃 будет признана виновной, то этот прецедент поднимет вопрос об ответственности всех ИБ- и ИТ-компаний при похожих инцидентах. А вот если суд встанет на сторону CrowdStrike, то у клиентов может начаться отторжение к ИБ-продукции. Так что будем посмотреть 🤔

ЗЫ. Обратите внимание, что Delta посчитала не только потери, но и выгоды от инцидента (в виде экономии на топливе). Это хорошо иллюстрирует, что любой инцидент несет не только негативный окрас, но может иметь и положительные последствия.
6,188
Пост Лукацкого

29 Oct, 08:04

⚠️ Выявленные уязвимости могут быть устранены только путем физической замены десятков тысяч светофоров в Голландии, что произойдет не раньше 2030 года ⚠️

Тут отчет выпустили, в котором сообщается, что десятки тысяч светофоров в Нидерландах 🇳🇱 оказались уязвимыми для хакеров. Исследование, проведенное компанией Cybersprint, выявило слабые места в системе управления дорожным движением, которые могут позволить злоумышленникам взломать светофоры и изменить их работу 🚦 Основные проблемы связаны с отсутствием обновлений, использованием слабых паролей и уязвимостями в программном обеспечении. Эти уязвимости могут привести к серьезным последствиям для безопасности дорожного движения, включая создание аварийных ситуаций 💥

Эксперты предупреждают, что, хотя прямых атак на светофоры пока не зафиксировано, потенциальный риск для инфраструктуры остается высоким 🔝 Специалисты по кибербезопасности рекомендуют муниципалитетам и операторам усилить защиту систем, обновить программное обеспечение и внедрить более строгие требования к паролям 🛡

Светофоры и другие элементы дорожной инфраструктуры 🚧 становятся все более уязвимыми по мере их интеграции с интернетом, что открывает новые возможности для хакеров. В отчете подчеркивается необходимость улучшения киберзащиты в сфере критически важной инфраструктуры 🔓 Без своевременных мер по защите устройств и регулярных проверок безопасности проблемы могут привести к значительным перебоям в работе транспортных систем 🚑
5,948
Пост Лукацкого

29 Oct, 04:40

Не могу не поделиться записью своего выступления на GITEX Global 2024 🍃, которая подтверждает то, что я написал после своего выступления в Сан-Паулу (Бразилия). Не надо бояться, надо пересиливать себя и тогда перед вами откроется истина, которая звучит очень просто - не важно как вы говорите на иностранном языке, важно - умеете ли вы пользоваться инструментами искусственного интеллекта 😂

ЗЫ. Правда, это истина справедлива пока только для записанных видео или для онлайн-трансляций - в остальных случаях язык все-таки знать надо.
5,959
Пост Лукацкого

28 Oct, 15:04

Хочу отметить, что в пакете спутникового ТВ 📡 каналы ВГТРК так и не появились. А уже прошло три недели с момента атаки на ресурсы телерадиокомпании. В приложении KION той же компании каналы присутствуют 🤔 Анализ форумов и чатов техподдержки по другим нашумевшим кейсам последнего времени показывает, что компании восстанавливают свои основные функции не менее 10 дней, а некоторые и поболе
6,304
Пост Лукацкого

28 Oct, 11:29

Trellix провела опрос руководителей ИБ и выяснила, что 84% CISO считают, что их роль следует разделить на две части: техническую и бизнес-ориентированную 🤔 Это связано с увеличением ответственности, включая управление рисками, соблюдение регуляторных требований и взаимодействие с советом директоров. Жаль, что не очень понятно, тех, кого опрашивали хотели бы стать теми, кто общается с бизнесом, или теми, кто занимается техническими вопросами? 🧐

93% директоров по ИБ отметили, что регулирование помогло их карьере, но 79% считают, что поддерживать темп происходящих изменений невозможно. Думая, что и в России 🇷🇺 многие бы согласились с этим. 91% опрошенных ожидают, что рост обязанностей приведет к высокой текучести кадров среди CISO. Ну это старая песня - про сокращение числа CISO, высокую текучку говорят давно...
6,338
Пост Лукацкого

28 Oct, 08:02

Проект CVE на днях отпраздновал свое 25-летие, начав с 321 записи в 1999 году и достигнув почти 29 тысяч в год в 2024-м (велик шанс, что в этом году будет достигнута планка в 30 тысяч записей). Проект хороший, но последние события (да-да, я про исключение мейнтейнеров Linux, работающих в подсанкционных компаниях) показывают, что все разговоре о свободе и благе для всех заканчиваются, когда речь заходит о геополитике. Когда я 9 лет назад выступал на тему "А что если нас завтра отключат от CVE?" многие поднимали меня на смех, но вот уже 2024 год и многие прогнозы сбываются.

Китайцы пилят свою базу, европейцы начали тоже, у нас есть БДУ... Видимо мы вплотную подошли к тому моменту, когда балканизация ИТ будет неизбежна. Это один из сценариев развития, который предсказывается разными аналитиками, и он все ближе. США, Китай, Россия - три больших блока, которые создают свое - свои операционки, свое железо, свои средства защиты, свои open source проекты (как бы странно это не звучало), свои базы знаний... Еще немного и протоколы у всех будут свои. Ну или выход в зарубежных Интернет только при наличии визы разрешения.
6,360
Пост Лукацкого

28 Oct, 04:40

Если почитать различные доктринальные документы по кибербезопасности, выпущенные в США и Европе, то можно увидеть, что основными источниками угроз кибербезопасности называются 4 страны - Китай 🇨🇳, Россия 🇷🇺, Северная Корея 🇰🇵 и Иран 🇮🇷 Про группировки, которые якобы происходят из этих государств пишут многие, но вот мне никогда не встречались исследования ситуации с кибербезопасностью внутри этих стран. Кто атакует их самих? Ведь не может быть так, чтобы они не представляли интереса для других государств или группировок.

И если ситуацию с ИБ внутри России я знаю достаточно неплохо; про Китай тоже можно найти материалы, то вот про остальные две страны сведений практически нет 🤷‍♀️ Тем интереснее мне было увидеть отчет "Iran's cybersecurity threatscape for 2021-H1 2024" (на английском), выпущенный нашей компанией 🟥, который впервые поднимает завесу тайны и раскрывает некоторые интересные кейсы и примеры инцидентов и атак в Иране, а также действий кибергруппировок против этой ближневосточной страны 🕌
6,215
Пост Лукацкого

27 Oct, 18:23

В издательстве «Бомбора» в конце года должна выйти книга 📖 известного специалиста в области информационной безопасности Адама Шостака (Adam Shostack), которая вышла в прошлом году и в оригинале называется «THREATS. What Every Engineer Should Learn from Star Wars» 🛸 На Хабре опубликован обзор этой книги от ее переводчика, человека с сорокалетним стажем в области ИТ и перевода.

Так как я давно интересуюсь темой моделирования угроз, а Шостак является одним из самых известных специалистов в этой сфере, написавшим ✍️ до последней книги еще как минимум одну, а также сотворившего множество статей и презентаций, то я ознакомился с книгой Адама еще в оригинале. Не могу сказать, что я со всем согласен, что он пишет 🤓 И не все моменты он прям так уж подробно и понятно разъясняет. Но в любом случае его книга занимает достойное место в моей виртуальной библиотеке.

Так что рекомендую следить за анонсами издательства и купить книгу по мере ее выхода 🤑 Ну или я про это напишу, когда узнаю о выходе книги. Все-таки "издательство предполагает, а Байден располагает". Перевод и публикация книг американских авторов - сейчас занятие непростое и непредсказуемое 🤷‍♀️

ЗЫ. Помню кейс, когда одна отечественная компания перевела 10 стратегий построения SOC Циммермана на русский язык, но так и не смогла опубликовать его, не получив разрешения от правообладателя 🖕 А уже выложенные переведенные главы даже пришлось удалить с сайта. Сейчас, может быть, можно уже было бы и выложить этот перевод вновь, но тут решать тем, кто переводил ✍️
5,618
Пост Лукацкого

27 Oct, 14:47

Запись вчерашнего прямого эфира CyberTalks для канала CyberYozh. Планировалась на 1-1,5 часа максимум, а проговорили 2,5 часа про 🛡, 🔓 и всякое разное.
5,756
Пост Лукацкого

27 Oct, 10:37

А вот новая матрица от автора Russian APT Tool Matrix и Ransomware Tool Matrix 😷 На этот раз про уязвимости, используемые шифровальщиками в рамках заражения, закрепления в системе, повышение привилегий, распространения по внутренней сети 🗡
6,451
Пост Лукацкого

27 Oct, 06:40

Ирландский "Роскомнадзор" оштрафовал LinkedIn на 310 миллионов евро 💶 за незаконный анализ поведения пользователей и целевую рекламу в их адрес. Это в 6 раз больше недавнего штрафа для Marriott 🤑 К слову сказать, это 2,5% от оборота LinkedIn за весь прошлый год.

Но при всей своей величине 💶, эта сумма не дотягивает до рекорда и даже не входит в пятерку самых больших штрафов за нарушение GDPR, которая выглядит так:
1️⃣ Meta (2023) - 1,2 миллиарда евро 📱
2️⃣ Amazon (2021) - 746 миллионов евро 📱
3️⃣ Meta/Instagram (2022) - 405 миллионов евро 📱
4️⃣ Meta/Instagram/Facebook (2023) - 390 миллионов евро 📱📱
5️⃣ TikTok (2023) - 345 миллионов евро 📱

Во всех случаях, кроме Amazon, отличился ирландский регулятор по приватности. Текущий кейс с LinkedIn 📱 занимает шестое место в общем зачете и пятое по размеру штрафа у "ирландцев" 🇮🇪

В Топ10 лидером по штрафам является Meta 📱, которую нахлобучили уже в совокупности на 2,5 миллиарда евро. И учитывая, что это не первый, не второй и не третий раз, а компания все не извлекает уроки, то выводов я делаю два - либо архитектура решений Meta настолько сложна, что не может быть перестроена под выполнение требований GDPR (что все-таки вряд ли), либо стоимость получаемых бигтехом данных превышает все понесенные штрафы. И последнее заставляет лишний раз задуматься 🤔
6,160
Пост Лукацкого

26 Oct, 18:22

Никогда не "трогайти" ИТшников и ИБ-админов 🧑‍💻

ЗЫ. Спасибо подписчику за ссылку 🤝
7,212
Пост Лукацкого

26 Oct, 16:05

CyberTalks: Истории про мошенников, утечки данных и принуждение к безопасности | Алексей Лукацкий x Павел Хавский

🌐 Прямой эфир 20:00 UTM + 3

💬 Наш Гость - Алексей Лукацкий, стаж в ИБ 30-лет, ну кто таким еще может похвастаться? Сегодня обсудим самые яркие истории о мошенничестве и утечках, страхах пользователей и новые требования к безопасности.

Что в эфире:

🟡Как изменились мошеннические схемы?
🟡Почему быть мошенником становится всё труднее?
🟡Истории из 90-х, когда вирусы на дискете заражали компании этаж за этажом.
🟡Почему некоторые ИБ-специалисты выбирают «тёмный путь»?
🟡Утечки данных: какие из них самые страшные и почему критично не оставлять цифровой след?
🟡Насколько агрессивным стало принуждение к безопасности и чем оно грозит бизнесу?

Проводим субботний вечер с пользой в компании с образованными людьми, а не с бутылкой
5,965
Пост Лукацкого

26 Oct, 14:47

А вот и вся презентация Сергея Хуторцева. Она весьма любопытна.
5,829
Пост Лукацкого

24 Oct, 11:31

Интересная новость - Рамблер&Co запустил программу bug bounty 🤑 для проверки своей защищенности. Можно было бы про это не писать, так как с момента, когда Яндекс запустил первую в России программу Bug Bounty более 10 лет назад, это уже становится нормой и компаний, вышедших на платформы поиска уязвимостей за вознаграждение уже немало (а в приватных программах так и того больше).

Но данный кейс интересен тем, что холдинг Rambler&Co 🖥 объявил вознаграждение не за поиск атомарных уязвимостей в своих приложениях и сервисах, и не за обычное проникновение в рамках пентеста 🤕, а за реализацию недопустимых событий, определенных компанией. За их реализацию компания платит в настоящий момент 3 миллиона рублей 💸

Интересно было бы увидеть результаты по этой программе; хотя она пока и в приватном режиме работает. Может быть к весеннему PHD 🏟 что-то появится и тогда можно будет даже собрать отдельную панельку (а мы уже программу начали формировать) - все-таки компаний, который вышли на Bug Bounty именно на недопустимые события уже не одна, не две, и даже не три. Есть о чем поговорить 💯
1,579
Пост Лукацкого

24 Oct, 08:02

Интересное исследование, которое показывает влияние инцидентов с утечками данных на стоимость акций публичных компаний. В целом подтверждается давнее исследование Гордона-Лёба про +-2%. Но срок восстановления курса после инцидента существенно вырос - раньше он измерялся днями, а сейчас месяцами. Хорошо пойдет в копилку бизнес-ориентированной ИБ, когда надо показывать топ-менеджменту (если компания публичная, конечно, и работает на конкурентном рынке) реальное влияние ИБ на бизнес-показатели.
2,674
Пост Лукацкого

24 Oct, 08:02

Как утечки данных влияют на стоимость акций на фондовом рынке 📈📉

Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.

Основные выводы:
➡️После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.

Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.

#breach #business #stock
2,672
Пост Лукацкого

24 Oct, 04:40

Сегодня я весь день на "Форуме Будущего" в Екатеринбурге, где у меня будет визионерский доклад про ближайшее будущее кибербеза ☝️, продолжающий прошлогодний рассказ здесь же, а также, по приглашению друзей из компании УЦСБ, модерация трех дискуссионных панелей про технологический суверенитет, ИБ и искусственный интеллект, а также культуру ИБ. Приходите на ИБ-трек - тут точно скучно не будет 🆗
3,961
Пост Лукацкого

23 Oct, 18:28

⚠️ Компанию Check Point оштрафовали за сокрытие факта своего взлома!

Интересное дело. Комиссия по ценным бумагам США (SEC) оштрафовала 4 компании - Unisys, Avaya, Mimecast и Check Point за обман сокрытие факта инцидента ИБ, который произошел у каждой из компаний в результате взлома SolarWinds в 2019-м году 🔓 Иными словами, их подломали в результате компрометации SolarWinds. Интересно, что сами компании подтвердили SEC факт взлома, но публично это отрицают 🤐 Тот же Check Point говорит, что они не нашли доказательств своего взлома, но не стали спорить с Комиссией по ценным бумагам и просто откупились от нее за 1 миллион долларов 💰

Unisys, Avaya, Mimecast и Check Point оштрафованы на 4 и 1 миллиона, а также 990 и 995 тысяч долларов соответственно 🤑 Unisys заплатила больше всех, потому что не только скрыла факт инцидента, но и сознательно принизила его размер 🤐 заявив о том, что "ничего не было". В реальности у нее украли гигабайты данных через внедренную в SolarWinds программную закладку. У Avaya украли корпоративную переписку и часть файлов из облачного хранилища, о чем она скромно умолчала 🤐 У Mimecast украли код и зашифровали часть учетных записей 😬 С Check Point меньше всего ясности - в объяснениях SEC они отделались общими словами и оспаривать штраф регулятора не хотят. Почему? Проще заплатить и идти работать дальше? Или лучше не идти в суд за правдой, чтобы не всплыли неприятные детали взлома? В общем, понятно, что ничего не понятно.

Кейс SolarWinds еще долго будет аукаться и самой компании и ее клиентам, а также клиентам ее клиентов... Ну а мы в очередной раз получаем подтверждение, что ломают всех, даже ИБ-компании, которые также, как и все, зависят от подрядчиков 💡 А как вы контролируете своих подрядчиков?
5,683
Пост Лукацкого

23 Oct, 15:02

Очередная модель зрелости SOCов ↗️ На этот раз от Accenture. Вполне очевидные переходы с первого до второго уровня - от мониторинга периметра до использование централизованного сбора логов и событий и даже построения Data Lake 👩‍💻 Третий уровень вопросов не вызывал бы, если бы не четвертый - автоматизация и продвинутая аналитика. Где-то они меняются местами, так как проводить более глубокий анализ иногда проще, чем реализовать автоматизацию ⚙️

На пятом уровне появляется обнаружение цепочек атак, полная автоматизация, обнаружение инсайдеров 🙂 Последний момент, кстати, интересный, - обычно SOCи и средства мониторинга фокусируются на внешнем враге, на APT. А тут предлагается взглянуть еще и вовнутрь 👀
5,243
Пост Лукацкого

23 Oct, 11:38

Ситуация с потерей логов Microsoft 📱 напомнила о необходимости усиленного внимания к журналам регистрации, особенно после прошлогоднего инцидента с взломом почтовых аккаунтов в США китайскими хакерами. Тогда Microsoft подверглась критике за то, что не предоставляла достаточного доступа к облачным логам для клиентов без премиум-аккаунтов Microsoft Purview Audit 🤑 Это могло бы позволить обнаружить взлом раньше. В ответ на критику Microsoft расширила доступ к логам для всех пользователей и увеличила период их хранения с 90 до 180 дней.

Но что делать, чтобы такая история не повторилась или как снизить ущерб в случае ее повтора? 🤔 Я бы начал со следующих шагов:
1️⃣ Создание резервных копий журналов регистрации. Клиенты должны рассмотреть возможность сохранения резервных копий логов в независимых хранилищах для избежания потерь при сбоях в облачных сервисах. Правда, это увеличит расходы на переход в облака, но тут придется выбирать.
2️⃣ Мониторинг логов в реальном времени. Использование решений для контроля состояния облачных сервисов в реальном времени поможет оперативно выявлять подобные сбои и предотвращать последствия или снижать их масштаб.
3️⃣ Увеличение времени хранения логов. Клиентам рекомендуется увеличивать периоды хранения логов для долгосрочного анализа и повышения безопасности. Правда, это не спасет от их потери, но по крайней мере позволит иметь длинную историю до и после.
4️⃣ Регулярные аудиты безопасности. Постоянный мониторинг настроек безопасности и доступности журналов позволит своевременно выявлять проблемы и избегать их в будущем.
5️⃣ Отказаться от сервисов Microsoft 🤔

Вообще, переход в облака, это не такая уж и простая история, как кажется на первый взгляд. Если добиваться схожего уровня сервиса и гарантий, как и в on-prem, то экономии может и не случиться (если ее рассматривать в качестве основного мотиватора перехода в облака) В будущем организациям стоит уделять внимание правильной настройке сборщиков логов и использовать имеющиеся облачные и on-prem возможности мониторинга для максимальной защиты своих данных и инфраструктуры 👀
5,260
Пост Лукацкого

23 Oct, 08:06

В начале сентября 2024 года Microsoft 📱 потеряла облачные логи безопасности за несколько недель, на которые клиенты компании обычно полагаются для обнаружения киберугроз 🔍 Microsoft уведомила пострадавших клиентов о том, что инцидент не связан с какой-либо угрозой безопасности (конечно, верим), но его последствия все же оказались ощутимыми 💥

Согласно публичному отчету Microsoft , причиной инцидента стал сбой в работе внутреннего агента мониторинга компании. Ошибка была вызвана, когда компания попыталась устранить другую ошибку в службе сбора логов (бабка за дедку, дедка за репку). Примерно с 23:00 UTC 2 сентября 2024 года агент мониторинга начал неправильно загружать данные журналов на внутреннюю платформу компании 💭 Это привело к частичному отсутствию указанных журналов для ряда сервисов Microsoft.

Несмотря на попытки компании исправить ситуацию, дважды перезапуская агент или сервер для восстановления сбора данных, часть логов была безвозвратно утеряна 🗑 К 5 сентября команда разработчиков Microsoft внедрила временное решение, которое помогло частично восстановить работу, но не позволило полностью восстановить все утраченные данные 👏

Проблема привела к возможной неполноте данных журналов в следующих сервисах:
1️⃣ Azure Logic Apps (платформенные логи)
2️⃣ Azure Healthcare APIs (платформенные логи)
3️⃣ Microsoft Sentinel (оповещения безопасности)
4️⃣ Azure Monitor (диагностические настройки)
5️⃣ Azure Trusted Signing (неполные логи SignTransaction и SignHistory)
6️⃣ Azure Virtual Desktop (логи в Application Insights)
7️⃣ Power Platform (различия данных в отчетах)
8️⃣ Microsoft Entra (логи входа и активности)

Дополнительно были затронуты логи, проходящие через Azure Monitor и интегрированные в такие продукты безопасности, как Microsoft Sentinel, Microsoft Purview и Microsoft Defender for Cloud. Это повлияло на способность клиентов анализировать данные, обнаруживать угрозы и генерировать оповещения о безопасности 🤦‍♂️
4,969
Пост Лукацкого

23 Oct, 04:44

Если верить исследованиям, компьютерные игры 🎮 улучшают когнитивные способности человека, но почти не влияют на его психическое состояние. Физические упражнения, наоборот, улучшают психическое здоровье, но никак не влияют на когнитивные возможности 🥊 "Игры будущего", прошедшие в Казани, комбинировали оба вида соревнований, позволяя развивать обе стороны человеческого организма 🕹

А что если объединить CTF/киберполигоны с пейнтболом? Не сделает ли это специалистов SOC более внимательными и быстрыми на реакцию? 🤔 Готовы к такому на майском PHD3 в следующем году?
5,518
Пост Лукацкого

22 Oct, 18:38

Русский нейминг, бессмысленный и беспощадный 🤦‍♂️

ЗЫ. Рекламой не считать 😊
6,643
Пост Лукацкого

22 Oct, 15:37

Тут подогнали презентации с SOCtech. Если вы там не были, то есть на что посмотреть. Я вот сижу, смотрю...

PS. Заодно и презентации с Positive Security Day подогнали; вдогонку к видео.
6,849
Пост Лукацкого

22 Oct, 11:32

Не скажу, что белорусский ОАЦ подгадывал выпуск своих рекомендаций по ИБ к минскому SOCcon, но я увидел этот документ в Интернете буквально на днях. Разбит на 5 частей:
1️⃣ Ответственные лица
2️⃣ Требования по ИБ для общедоступных ПДн и общедоступной информации, а также критически важных объектов (проектирование, создание, аттестация СЗИ и защита при выводе из эксплуатации)
3️⃣ Мониторинг ИБ и реагирование на инциденты
4️⃣ Взаимодействие с ОАЦ (по аналогии с российской ГосСОПКОЙ)
5️⃣ Функционирование национального CERT и локальных CSIRT от SOC
6,362
Пост Лукацкого

22 Oct, 08:04

На GITEX было прикольное ИБшное место - Cyber Escape Room, где вас запускали в помещение, закрывали за вами дверь и давали 30 минут на то, чтобы выйти из закрытой комнаты 🚪 Квиз, но ИБшный, так как решать надо было чисто ИБшные задачки - найти PIN, взломать пароль и т.п. 🤒 Параллельно давались и ложные приманки - фишинговые ссылки и т.п. Но реализация оказалось не так чтобы серьезной - выход был найден за 12 минут. Но сама затея вполне себе прикольная. Думаю, на PHD попробовать такое реализовать 💡
6,001
Пост Лукацкого

22 Oct, 04:40

CISA добавила в список трендовых уязвимостей новую дыру CVE-2024-23113 в МСЭ Fortinet, которая позволяет выполнять удаленные команды и код без аутентификации. В России таких устройств было 444 еще несколько дней назад - сейчас "всего" 143 (в Беларуси - 38, в Казахстане - 226, в Узбекистане - 66, в Кыргызстане - 6, в Армении и Грузии - 35 и 53 соответственно). Всего же уязвимых устройств Fortinet в мире сейчас больше 86 тысяч. Думаю в Даркнете сейчас появится немало предложений по доступу в скомпрометированные через данную уязвимость компании и организации.

Цифры по России подтверждают исследование ЦСР, в котором говорится, что в России все еще используются решения иностранных вендоров, а продукция Fortinet входит в 10-ку самых распространенных.
6,795
Пост Лукацкого

21 Oct, 18:32

Мне тут прислали письмо ✉️ с предложением подать заявку на соискание Премии Рунета (там есть категория по информационной безопасности) 🏆 Все бы ничего, но есть одна странность - чтобы подать заявку на премию, которая присуждается за вклад в развитие российского сегмента сети Интернет, надо заплатить деньги 🤑 Это примерно как "независимый" рейтинг корпоративных ИБ-каналов в Telegram, в который предлагают попасть за копейку малую 🤑 Мне кажется орги слово "вклад" не так трактуют 😂

Я уж как-нибудь обойдусь; тем более, что у меня уже есть Антипремия Рунета, полученная в 2011-м году и свежая "За заслуги в сфере Интернета". Замечу, бесплатно! А платить и не "выиграть" странно. Но если платить и выиграть, то будет ли это вклад в развитие Интернет или вклад в карман организаторов премии? 🤠 Хорошо, что я платную рекламу не размещаю в канале, а то я бы плодил премии каждый день - "За вклад в безопасный понедельник", "За вклад в доверительный вторник", "За вклад в обеспечение надежной среды", "За вклад в четверг без фишинга" и "За вклад в субботнее утро без похмелья" 🏆
6,218
Пост Лукацкого

21 Oct, 15:04

Стажер в компании ByteDance 📱, Кейю Тянь, на протяжении двух месяцев саботировал проект по разработке нейросетей, умышленно внося ошибки в код 🧑‍💻, что привело к серьезным задержкам и срыву проекта. Его действия нанесли ущерб как команде разработчиков, так и репутации компании, а также вызвали бурную дискуссию на тему, поднятую еще Маяковским, "Что такое хорошо и что такое плохо" 🤔

Из интересного:
💀 Вредоносный код. Тянь загружал Pickle-файлы с скрытым вредоносным кодом, который содержал вирусы и выполнялся случайным образом. Это запутывало команду, так как ошибки возникали стихийно и не поддавались объяснению.
💀 Нарушение работы PyTorch. Тянь получил доступ к библиотеке PyTorch и регулярно вносил мелкие изменения в ее код, что приводило к сбоям в работе нейросетей. Разработчики не проверяли исходный код библиотеки, из-за чего задачи продолжали завершаться с ошибками, а эксперименты давали некорректные результаты.
💀 Манипуляции с чекпоинтами. Он изменял или удалял файлы чекпоинтов, которые сохраняют промежуточные состояния нейросетей во время обучения. В результате этого важные данные пропадали и не могли быть восстановлены.
💀 Участие в митингах. Тянь активно участвовал в командных встречах, где узнавал о планах команды по устранению багов, а затем создавал новые ошибки. Благодаря этому он оставался незамеченным на протяжении долгого времени.
💀 Обнаружение. В конечном итоге Тянь был разоблачен через анализ логов. Его действия привели к двум месяцам безрезультатной работы тридцати разработчиков, что сорвало сроки и привело к потерям для компании.
💀 Последствия. Хотя Тянь был уволен, его университетские наставники не предприняли против него дисциплинарных мер и не осудили его деструктивных действий.

Что можно сказать в качестве выводов и какие рекомендации можно было бы дать, если бы спросили меня (но меня не спросили):
1️⃣Внедрение строгого контроля кода. Инцидент подчеркивает важность регулярного аудита и проверки кода, особенно в крупных проектах с критической важностью для бизнеса. Недостаток контроля позволил одному человеку причинить значительный ущерб команде и проекту.
2️⃣Прозрачность и документирование изменений. Все изменения в ключевых библиотеках и компонентах проекта должны быть тщательно отслеживаемы и проверяемы, чтобы избежать подобных ситуаций.
3️⃣Повышение безопасности и доверия внутри команды. Участие стажера в саботаже подчеркивает необходимость тщательного подбора сотрудников и создания механизмов раннего выявления подозрительных действий.
4️⃣Обучение и ответственность. Работодатели и университеты должны уделять внимание воспитанию этики среди студентов и сотрудников, чтобы предотвратить деструктивные действия в будущем.

У нас на грядущей через 10 дней SOCcon в Минске будет как раз тема интеграции двух направлений - SOC и AppSec/DevSecOps. Ну а пока я задам сакраментальный вопрос - у вас же такой кейс предусмотрен в модели угроз? 🤔
6,342
Пост Лукацкого

21 Oct, 11:35

Выложили тут новый open source инструмент под названием EDRSilencer 😴, который действует очень изящно, - он не пытается обойти или отключить средства защиты ПК, а просто обнаруживает процессы, отвечающие за работу EDR, и использует кастомные правила Windows Filtering Platform (WFP) для блокирования коммуникаций между агентом EDR и сервером управления 🤬 И все! Агент думает, что он отправляет сигналы тревоги, но сервер их не получает, а посему не способен среагировать должным образом и ИБ не знает, что узел скомпрометирован 👨‍💻

Бороться с этим можно путем мониторинга двух событий с ID 5155 и 5157, которые как раз показывают, что WFP блокирует приложения и соединения 📱 Дополнительно, нужно еще отслеживать имя приложения, чтобы отсечь реальную сработку фильтра от работы EDRSilencer. Как вариант, можно также использовать EDR, у которого логика работы реализована на самом агенте, а не на сервере управления. Таких решений не так много, но есть 🤔

На текущий момент EDRSilencer позволяет "отключить" такие решения как:
1️⃣ Microsoft Defender for Endpoint and Microsoft Defender Antivirus
2️⃣ Elastic EDR
3️⃣ Trellix EDR
4️⃣ Qualys EDR
5️⃣ SentinelOne
6️⃣ Cylance
7️⃣ Cybereason
8️⃣ Carbon Black EDR
9️⃣ Carbon Black Cloud
1️⃣0️⃣ Tanium
1️⃣1️⃣ Palo Alto Networks Traps/Cortex XDR
1️⃣2️⃣ FortiEDR
1️⃣3️⃣ Cisco Secure Endpoint (Formerly Cisco AMP)
1️⃣4️⃣ ESET Inspect
1️⃣5️⃣ Harfanglab EDR
1️⃣6️⃣ TrendMicro Apex One

У вас же предусмотрено это в модели угроз? Вы знаете, как проверить, что средства защиты работают и передают телеметрию в SIEM или на сервер управления? 🤔
6,800
Пост Лукацкого

21 Oct, 08:02

Американские агентство по кибербезопасности и инфраструктуре (CISA) и Федеральное бюро расследований (ФБР) 🇺🇸 выпустили совместное руководство, посвященное опасным практикам в области продуктовой ИБ. Документ направлен на разработчиков программного обеспечения, чьи продукты функционируют в критической инфраструктуре, хотя его советы могут применяться ко всем разработчикам 🧑‍💻 Итак, горячая десятка плохих практик выглядит так:
🔤 Использование языков программирования, небезопасных для работы с памятью, например, таких как C или C++.
🔤 Использование пользовательских данных в SQL-запросах, что увеличивает риск SQL-инъекций.
🔤 Использование пользовательских данных в командах операционной системы, что также увеличивает риск инъекций.
🔤 Использование паролей по умолчанию.
🔤 Наличие известных уязвимостей.
🔤 Использование уязвимого открытого ПО.
🔤 Отсутствие многофакторной аутентификации, что увеличивает риск взлома.
🔤 Отсутствие возможности сбора доказательств и артефактов для анализа атак, например, журналов изменений конфигураций и сетевой активности.
🔤 Несвоевременная публикация CVE.
🔤🔤 Отсутствие политики раскрытия уязвимостей, позволяющей специалистам сообщать об уязвимостях и не бояться юридических последствий.

В самом документе также даны более детальные описания указанных практик, рекомендации по борьбе с ними и ссылки на дополнительные материалы 🗡
6,422
Пост Лукацкого

20 Oct, 18:35

Получили на орехи

Утечка данных, как способ заработать на антикризисе компаний

Любопытный прецедент с антикризисом в формате data breach settlement, что по факту означает «и нашим, и вашим». Ореховая компания Green Valley, спустя 2 года после утечки данных выплатит своим клиентам по 400$, а тем, чьи утекшие данные были использованы в мошеннических схемах, еще плюс 4000$. Итого, 4400$ на нос, кажется вам повезло, если вы — жертва утечки, хохочет таблоид The Sun.

Производитель пекана из Аризоны расщедрился не просто так. После признания киберинцидента в 2022 году, Green Valley ответственно дропнула своим клиентам уведомления, что, мол, данные ваши могли утечь, меняйте пароли, приносим извинения, масштаб проблемы устанавливается. Казалось бы, все правильно сделала. Но ушлые американские граждане по-своему поняли, в чем польза орехов 🤣

Почуяв запах хрустящего доллара, они запилили коллективный иск Green Valley. Главная претензия полна драмы — вы могли предотвратить или уменьшить последствия утечки, приняв разумные меры кибербезопасности, но не сделали этого. Как жи так?

Спустя 2 года, производитель пекана так и не признал вины в утечке, но согласился заплатить неустойку истцам для урегулирования ситуации. Такая практика называется data breach settlement: компания платит клиентам компенсацию, те в ответ отказываются от судебных претензий, win-win. Главное, успеть до даты икс и прислать подтверждение, что ты жертва утечки и любви к орехам. И можно норм подзаработать на прибавку к социальному пособию и продолжать заниматься ничегонеделаньем. Сплошная польза!

#антикризис
1,515
Пост Лукацкого

20 Oct, 06:39

Знаете, в России наблюдается 👀 явление под названием «гастарбайтеры», то есть пришлые из других стран люди, предлагающие различные commodity-услуги типа водитель такси 🚕, уборщица, дворник, продавец в магазине, младший медперсонал и т.п. Они недорого стоят и хотя качество их работы часто не очень высоко, их услугами пользуются многие, считая приемлемым баланс «качество-цена» ⚖️

И вот на GITEX 🇦🇪 я заметил схожую картину - на рынок ИТ и ИБ заходят агрессивные индусы, пакистанцы, китайцы и начинают демпинговать, предлагая сетевое оборудование, прикладное ПО, решения по кибербезу, аутсорсинг ИТ и т.п. То есть речь не просто об аутсорсинге разработки, а о предоставлении «ИТ-гастарбайтерами» более высокоуровневых решений 🧑‍💻 И дальше все будет как и в обычной жизни - сначала американские компании будут свысока посматривать на этих "выскочек", считая, что им ни за что не подвинуть лидеров с пьедестала 💪 Потом начнется жесткая конкуренция, а все, поздно 🆘 Стоимость разработки несопоставима у двух миров и доминировать может начать не США. А потом качество может и подтянется. И тогда, для защиты своих позиций США начнут применять явно нерыночные методы конкурентной борьбы, но это будет уже потом и не факт, что это даст свой эффект ⛔️ А пока очень интересно нам будет в ближайшее время.

ЗЫ. К слову, ни Китай, ни Индия не включены в список недружественных стран.😔

ЗЗЫ. К России это наблюдение тоже применимо.
4,093
Пост Лукацкого

19 Oct, 18:34

А месячник кибербеза все еще идет...
4,160
Пост Лукацкого

19 Oct, 18:34

«Не открывайте вложения с подозрительными расширениями»: основы ИБ для госслужащих от Минцифры

Министерство цифрового развития подготовило рекомендации по информационной безопасности для госслужащих. Советы для чиновников изложены в трёх памятках:
— Меры по обеспечению информационной безопасности;
— Рекомендации по защите учётных записей;
— Правила защиты от мошенников.

Рекомендации появились в Консультанте вчера и сопровождаются письмом врио директора Департамента обеспечения кибербезопасности Минцифры Евгения Хасина от 17 сентября. Министерство рассматривает эти памятки в русле программ по повышению цифровой грамотности — в данном случае среди чиновников.

Что касается рекомендаций, то большинство не вызывают никаких вопросов. Но не все. Допустим, совет ставить сложный пароль без пояснений не очень полезен, а призыв менять его раз в квартал уже не считается хорошей идеей. Так, в свежих рекомендациях по паролям NIST предлагает пойти навстречу пользователям и наоборот не требовать от них регулярной смены пароля.

Также можно обсудить, чего в рекомендациях нет. Мне в глаза бросился важный совет, который часто дают на тренингах: если вы заметили что-то подозрительное или у вас есть вопросы, обращайтесь в отдел ИБ организации (вот контакт). Конечно, письмо, очевидно, разослано в разные организации, и отделы эти будут разные, но общий совет всё равно можно было дать, а то сейчас по памяткам складывается впечатление, что госслужащие предоставлены сами себе.

Но, наверно, главный вопрос — будет ли польза от рекомендаций в таком формате? Что с ними в лучшем случае сделают в организации? Разошлют по почте? Распечатают и повесят листочки A4 на доске объявлений? Компании, проводящие тренинги по ИБ, много думают над тем, как сделать так, чтобы обучающиеся действительно усвоили материал, а их поведение стало более безопасным. В этом плане памятки не выглядят особо убедительными. Лучше сразу направлять госслужащих на тематический раздел на Госуслугах.
4,257
Пост Лукацкого

19 Oct, 14:47

Помните видео про фотографию ребенка, которую с помощью ML превратили в живое и повзрослевшее лицо, которое стало говорить со своими родителями про риски цифровой приватности? Вот оно и на русском языке (даже в чуть более полном варианте, чем английский вариант, выложенный у меня) 👨‍👩‍👧‍👦
5,402
Пост Лукацкого

19 Oct, 10:37

На днях вебинар был, где была показана диаграмма 📊, на оси X которой представлены разработчики ПО по распространенности уязвимостей в их продуктах среди корпоративных активов. Пр оси Y отображается скорость устранения этих уязвимостей. Достаточно интересный срез, подтверждающий тезис, что безопасность определяется не числом уязвимостей, а скоростью реагирования на них и устранения 💡
4,828
Пост Лукацкого

19 Oct, 06:40

Не, ну а что, почему бы для облегчения жизни пользователей, которые сбрасывают сами пароли, не сделать пароль по умолчанию, такой же как и сам e-mail. Это удобно и легко запомнить. И мало кого волнует, что теперь можно сбросить пароль любого пользователя и легко войти в его учетную запись 🤦‍♂️
4,920
Пост Лукацкого

18 Oct, 15:01

Виртуальный обман: IT-компания подделала сертификаты ради контракта с SEC

🏢 Глава IT-компании Дипак Джейн обвиняется в мошенничестве при заключении контракта с SEC. Компания предоставила поддельный сертификат Tier 4 для своего дата-центра, выданный несуществующей организацией Uptime Council.

💰 SEC заключила контракт на $10,7 миллионов, который действовал с 2012 по 2018 год. В ходе его выполнения обнаружились серьезные проблемы с системами безопасности, охлаждения и электропитания дата-центра.

⚖️ Джейну грозит до 10 лет тюрьмы за каждый эпизод мошенничества и до 5 лет за ложные показания. Адвокаты утверждают о невиновности клиента, подчеркивая отсутствие потери данных SEC.

#мошенничество #кибербезопасность #сертификаты #данныевопасности

@CyberStrikeNews
5,031
Пост Лукацкого

18 Oct, 12:15

Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡

Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.

Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘Базовая программа повышения осведомленности
🟣Программа изменения поведения (персонала)
🟡Программа культуры безопасности персонала
🔴Комплексная программа культуры безопасности

В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе специалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉)

p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍

#awareness #roadmap #maturity #behavior
4,966
Пост Лукацкого

18 Oct, 08:01

А я тут в Дубае проводил квиз по ИБ. Но это был новый совсем формат для меня. Во-первых, на английском языке, что для человека, которого не взяли в Касперского (после 10+ лет работы в американской компании) по причине незнания языка было челенджем. Во-вторых, это был не командный квиз, как я проводил обычно, а индивидуальный. Наконец, я использовал специальную платформу для этого. В итоге получилось прям хорошо, что позволяет мне надеяться, что я этот опыт смогу масштабировать и на другие регионы и проводить такие ИБ-квизы не только за пределами России, но и внутри страны на многочисленных мероприятиях, которые проводит 🟥
5,438
Пост Лукацкого

18 Oct, 04:40

А вот еще ождин образчик писательского искусства - книга "ИБ-пророк", где собраны 22 уникальных прогноза от экспертов в области информационной безопасности, в которых они поделились своим видением развития отрасли на ближайшие три года. К числу пророко, ё, отнесли и меня, чем я с радостью и воспользовался, высказав свое видение на развитие ИБ в части всего лишь одного вопроса - изменения отношения бизнеса к ИБ 🧐
5,400
Пост Лукацкого

17 Oct, 15:01

А мы выпустили уже четвертый Positive Research 📖 На этот раз выпуск содержит статьи по мотивам лучших докладов киберфестиваля PHD2 🟥
6,002

2025 All Right Reserved

Disclaimer: The content displayed on this website is solely provided by the respective Telegram channels. We hold no ownership or responsibility for the content shared by these channels.