11690
Трансляция блога и Твиттера Алексея Лукацкого (@alukatsk), а еще репосты из Телеграмма и публикация уникальных материалов
А вот и анонс SOC Tech появился. В прошлом году эта конфа, организованная впервые, была посвящена обнаружению и реагированию на инциденты с подрядчиками (supply chain attack) 🔍 В этом году организаторы хранят интригу по поводу заглавной темы. Ну и я раскрывать секретов и поднимать завесу тайну тогда не буду. Но должно быть интересно 💃
Читать полностью…
После PHD2 мы получили массовые запросы на передачу архивов курса по базовому кибербезу 🛡, чтобы положить их в корпоративную библиотеку для обучения собственных сотрудников на рабочих местах. За 9 дней с момента выкладывания первого ролика из серии, на VK его посмотрели уже более 100 тысяч раз 😲 Делюсь ссылками на оба курса, которые мы выложили в формате SCORM для загрузки их в свои LMS:
👩🏫 Базовая кибербезопасность
👩🏫 Личная кибербезопасность
ЗЫ. Ссылки ☝️ ведут на портал Positive Education. А ссылки на эти видео на 📱 ptsecurity">вот
На ИТ-конференции, в понедельник, неизвестные создали фальшивую точку доступа 👴 и заманивали на нее ничего не подозревающих участников. Именно поэтому, когда меня спрашивают в рамках курса по персональному кибербезу, как защитить Wi-Fi (не домашний), моя первая рекомендация всегда касается полного отказа от беспроводного доступа.
В большинстве городов он не нужен - LTE 📡 работает достаточно неплохо и полностью заменяет необходимость подключаться к непонятным точкам доступа. Да, создать фейковую базовую станцию тоже можно, но все-таки это требует бОльших ресурсов, чем фальшивый 👎 Wi-Fi.
А уж на ИТ/ИБ-конференциях подключаться к беспроводной сети?.. Я даже на PHD2 не подключался к нему, помня прежние фокусы и конкурсы, которые там устраивались, а потом кто-то выкладывал на Хабре или Секлабе статью с унизительным разбором паролей и посещаемых безопасниками сайтов 🍓
В мире насчитывается около 1,3 миллиарда человек с различными видами ограниченных возможностей, к наиболее часто встречающимся из которых относятся сложности передвижения 👨🦽, нарушение зрения или слуха, а также сложности с обучением и мышлением. У Microsoft 📱 был интересный доклад на RSAC, где они рассказывали, как надо включать специалистов по доступности в команды разработки, включая и службы ИБ 😮
Возьмем в качестве примера CAPTCHA. Попробуйте закрыть глаза и найти все картинки с пожарными гидрантами или автобусами. Если это CAPTCHA без голосовой поддержки, то у вас не получится 🤖 и вы не сможете войти в нужную систему. А во время COVID-19 вы пробовали проходить биометрическую аутентификацию по лицу в маске? 🎭 А представляете с какими сложностями сталкиваются люди с утраченными конечностями или атритром рук при прохождение аутентификации по геометрии ладони? 🖐
Microsoft рекомендует следующее:
1️⃣ Необходимо включать сразу несколько методов ввода той или иной информации (голос, клавиатура, касание...), например, в подсистемах аутентификации.
2️⃣ Предлагайте альтернативы или удлиняйте таймеры для решения задач с CAPTCHA, например. Не все способны их решать мгновенно ✍️
3️⃣ Не блокируйте пользователей за нестандартные взаимодействия с системой; возможно это их особенность связана с ограниченными возможностями.
4️⃣ Следуйте руководствам Web Content Accessibility Guidelines (WCAG), которые описывают правила проектирования систем для людей с ограниченными возможностями.
5️⃣ Используйте понятный и простой язык, не жаргон 😱
6️⃣ Поясняйте иконки, используйте alt на сайтах для подписи картинок, текстовые метки для цветовых маркировок (например, в SIEM надо не только красным и зеленым помечать события, но и подписывать их "опасно" и "норма", вводя новую колонку) 🎮
7️⃣ Пользователи должны иметь возможность сообщать о проблемах с доступностью 💬
Вопрос ценообразования по ту сторону баррикад, конечно, очень занятная история. Вот берем три примера (на первом слайде с моего выступления на PHD2). Во всех трех случаях продается доступ к устройствам Fortinet 💻 В первом случае доступ стоит 0,003% от оборота компании, в третьем - 0,006%, а во втором - 0,00004%. Почему такое отличие? И как вообще коррелирует оборот компании от стоимости уязвимости/эксплойта/доступа? Плохие парни переходят на "оборотную модель" раньше РКН, но по аналогии с GDPR? 🤑
На второй картинке стоимость близка первому и третьему кейсу - 0,008% от оборота в 12,5 миллиардов долларов. В абсолютных значениях, по текущему курсу биткойна, - это около 1 миллиона долларов. Интересная картина, конечно... Надо попробовать подсобрать стоимости продаваемых доступов 🦺 и сопоставить с оборотами жертв; возможно будет какая-то корреляция. Ну а пока я бы, оооочень условно, ориентировался бы на усредненное значение в 0,006% от оборота, как сумма, в которую обходится продажа доступа в современную компанию 💸
Жертва из кейса ☝️, конечно, попыталась пояснить, что все требования законодательства она выполнила 😅 и все необходимые сертификаты и лицензии у нее есть, но этим она сама себя загоняет в угол, как мне кажется. Во-первых, иметь сертификаты на все средства защиты сегодня физически невозможно 😯 А, во-вторых, признавая выполнение защитных мер и наличие лицензий, компания сама признает, что она готовилась к атакам. Откуда же тогда непреодолимая сила? 🤦♂️ Тем более, что требования регуляторов (ФСТЭК и ФСБ) позволяют защититься от шифровальщиков, если их правильно исполнять.
В общем, будем посмотреть... Интересный кейс. Если им удастся это провернуть, то у компаний-жертв инцидентов ИБ, появится прекрасная отмазка помимо "это не у нас, ви фсё врёте" 🍿
ЗЫ. И, как всегда, спасибо подписчикам, которые подкинули этот кейс 🤝
Интересная концепция "пяти P", которая предлагает фокусироваться в первую очередь на обеспечении пяти ключевых направлений ИБ в любой организации, которые позволяют сильно поднять уровень ИБ в организации:
1️⃣ 🔤assword (пароли). Выбирайте надежные пароли и используйте многофакторную аутентификацию.
2️⃣ 🔤rivilege access (привилегированный доступ). Ограничьте число людей, имеющих привилегированный доступ, а также поставьте их на дополнительный мониторинг.
3️⃣ 🔤atching (патчи). Вовремя обновляйтесь!
4️⃣ 🔤hishing (фишинг). Защищайтесь от основного вектора реализации атак - фишинга.
5️⃣ 🔤entests (пентесты). Проверяйте на практике, как вы защищены!
Когда у вас конь не валялся в ИБ и надо с чего-то начать, эти 5 пунктов могут вполне себе быть той точкой отсчета, которая обеспечит правильное движение в сторону защищенной организации.
Proton, тот который за самую безопасную и анонимную почту ✉️, выдал данные своего пользователя правоохранителям. Telegram заблокировал украинские каналы, в которых обменивались данными целей для атак дронами. РКН начал блокировать VPN-сервисы и протоколы 🚠 У авторов одной из вредоносных программ отозвали SSL-сертификат... Любая централизация и перекладывание решаемой задачи на чужие плечи может привести к тому, что по решению властей это может прекратить свое существование очень быстро, а личности стоящих за исходной задачи будут раскрыты 🎭
И это заставляет меня задуматься о том, что злоумышленники 👺 могут перестать использовать простые и очевидные пути решения своих задач (обычная почта или мессенджер, глобальные УЦ, популярные VPN-сервисы и т.п.) и начнут "пилить" собственные решения 👨💻, активно использовать P2P-архитектуры, многократно усложняя свое обнаружение и нейтрализацию...
А вот вам некоторое количество нового контента по безопасности машинного обучения, искусственного интеллекта и LLM, а также соответствующих фреймворках (упомянул все хайповые словечки):
🔤 Документ английского NCSC, показывающий, какие риски есть в ИИ
🔤 Отчет о будущих атаках с большими языковыми моделями
🔤 Презентации вчерашней конференции "Технологии доверенного искусственного интеллекта"
🔤 Видеозаписи трека AI Track на PHD2
🔤 Запись доклада "Применение ИИ в атаках" с PHD2
🔤 Фреймворк, для построения процесса безопасной разработки ML
🔤 Фреймворк по безопасности ИИ от Snowflake
Помимо публичной программы на PHD2, было у меня еще там несколько закрытых мероприятий (по приглашению). Одно из них - выступление для международной аудитории на английском языке. Вот что мне нравится в 🟥, так это постоянные челенджи; начиная от подготовки программы бизнес-трека и заканчивая выступлениями на языке, на котором "я не говорю" 😱
Работая в американской компании выступать на английском мне почти не приходилось. А в российской компании это становится уже нормой. И заставляет прокачивать навыки английского, что полезно и для защиты от деменции 😂, и для расширения круга общения, и для изучения новых культур, с которыми Позитив сейчас активно работает.
Ну а в презентации я по традиции рассказывал про результативный кибербез, про определение недопустимых событий, про доказательство этого факта, а также про то, как этого достичь за счет или увеличения времени атаки (TTA) или снижения времени реагирования (TTR) 🛡
Вчера, на PHD2 я выступал с рассказом про бизнес-модель современной киберпреступности. Видео с этого выступления уже выложено на сайте мероприятия. Скоро выложим и все презентации!!!
Читать полностью…
Ответы на вчерашние визуальные анаграммы:
1️⃣ Код (от док)
2️⃣ Утечка или учетка (подходит оба варианта)
На PHD2 был организован конкурс по социальному инжинирингу - участники должны были проникнуть в закрытые части фестиваля и выполнить ряд других заданий. И вот кто-то пытался ходить по PHD2 с моим фейковым бейджем 🎭, но бдительные коллеги очень быстро раскусили мошенника! Сам бейдж изготовлен достаточно качественно, а вот его носитель совсем не похож на меня 🪞 А еще недавно под моим именем кто-то пытался участвовать в онлайн-мероприятии и писать всякие гадости в чате...
ЗЫ. Выкладываю сейчас, чтобы ни у кого не было соблазна сделать себе еще один 🥷
ЗЗЫ. Напомнило фрагмент фильма "Дайте жалобную книгу" 😊
А вот кому еще постер про open source проекты в области Security Operations Center (SOC) из свежего Positive Research. Так как найти его на PHD2 было непросто, то выкладываю в электронном виде!!! Картинка 👇 в хорошем качестве.
Читать полностью…
Хотели когда-нибудь написать книгу ✍️ и принести ее маме или папе и подарить, увидев в глазах родительскую гордость и восхищение? А может быть вас переполняют знания, которые вы хотите делиться, но не знаете, как это сделать? Приходите в 15.50 на главную сцену PHD2, где мы с коллегами будем обсуждать лайфхаки книгоиздания с теми, кто уже написал ✍️ и издал свои книги по ИБ - Олег Скулкин, Алексей Усанов, Владимир Ульянов и ваш покорный слуга!
Хотите автографы авторов? Приносите написанные ими книги с собой! 📚 А за хорошие вопросы участники дискуссии даже могут подарить вам свои нетленные творения с автографами!
Есть несколько вопросов, которые задаются ❓ из года в год и при этом не имеют однозначного ответа. Это "сколько тратить на ИБ от ИТ бюджета", "кому должна подчиняться ИБ?" 😦 и, конечно же, "какой должна быть структура подразделения ИБ". Вот тут вам пример службы ИБ в зависимости от масштаба компании. Конкретные подразделения скрываются на схеме за ролями их руководителей 🫡
ЗЫ. A&E - это Architecture & Engineering.
В ИБ очень важно понимать и учитывать контекст... Иначе можно наломать дров! 💡
Читать полностью…
Парадокс тренингов по личному кибербезу для больших начальников. Ты им про зеродеи, зероклики, АНБ, обходы UAC, написание кастомных вредоносов, многоходовые кампании… 🇺🇸 А они тебя постоянно спрашивают: «А как защитить телеграм от угона?» 📱, «А правда ли, что ФСБ меня слушает?» (правда 😂), «А вот мне позвонил майор 👮♀️, что спросить, чтобы понять, что это мошенник?»… 🎩
Утрирую, конечно. В реальности все немного не так. Однако разрыв в знаниях между аудиторией и спикером обычно огромен. Второй уже давно ушел вперед и ему, как правило, неинтересно в стопицотый раз рассказывать то, что он маме рассказывал несколько лет назад, а первые все еще топчатся на месте и не знают, как запоминать пароли по правилам, которые для них установили их ИБшники 🤦♂️
Все-таки в любом тренинге важны не знания тренера как профессионала, сколько умение донести информацию правильным образом, на правильном языке, по много раз повторяя одно и тоже. Это особый труд и умение 👨🏼🏫👩🏫
Люблю такое ❤️ Не скучные, безликие блокноты из соседнего «Комуса», а что-то осмысленное и с полезным контентом. Сидишь на обучении, строчишь ✍️ заметки, а на подкорку пишется - «включи второй фактор в Telegram», «обновляй не только ОС, но и приложения и плагины к ним», «поменяй стандартный пароль у WiFi-роутера»… ℹ️
Сейчас обдумываю ежедневник для CISO с полезным контентом на каждый день. Если все сложится удачно, то будет прям неплохо 🔜
ЗЫ. К курсу по личному кибербезу этот блокнот отношения не имеет - курс проходит в онлайне, а блокнотик имеет вполне конкретную физическую форму 🗒
Попала мне тут в руки новая версия руководства по курсу "Как построить процесс управления уязвимостями". Я и про первую версию отзывался восхитительно, а уж во второй добавили еще больше практического контента, еще больше визуала, еще больше нового материала. Прям приятно в руках держать - увесистое издание, тянет на целую книжку.
Читать полностью…
Интересная история... Питерская компания столкнулась с шифровальщиком 🤒, который очень серьезно накрыл весь бизнес, заставив генерального директора компании даже опубликовать ✍️ официальное уведомление о невозможности компанией исполнять принятые на себя обязательства 😠 При этом компания ссылается на п.3 ст.401 Гражданского Кодекса, которая гласит, что
"лицо, не исполнившее или ненадлежащим образом исполнившее обязательство при осуществлении предпринимательской деятельности, несет ответственность, если не докажет, что надлежащее исполнение оказалось невозможным вследствие непреодолимой силы, то есть чрезвычайных и непредотвратимых при данных условиях обстоятельств."😠
Интересная история. Депутат Хинштейн обратился в Генпрокуратуру с просьбой инициировать иск о взыскании в пользу государства 60% акций башкирского оператора связи «Уфанет» 📡, а также о запрете продажи этих акций их владельцами, которые якобы проживают заграницей и имеют антироссийские взгляды. Депутат утверждает, что «Уфанет» имеет стратегическое значение, поскольку у компании есть лицензии ФСБ и ФСТЭК в сфере криптографической и технической защиты информации 🤦♂️
Ну ахренеть теперь... Если некто, владеющий ИБ-компанией, решит уехать из страны 😭, предварительно продав свой бизнес, государство у него этот бизнес может отжать?! "Прелестно-прелестно", как говорилось в мультфильме про попугая Кешу. Так вот и помогают развитию рынка ИБ в стране - один росчерк депутатского пера ✍️ и те, кто хотел получить лицензию ФСБ и ФСТЭК теперь 10 раз подумают, стоит ли. А без этого стартап у нас существовать не может.
⚠️ "Сухогруз врезался в опору моста в Ростове-на-Дону" ⚠️ "У СДЭКа уже второй день сбой: посылки не отправляются"…
Если сегодня я прочту где-нибудь про неработающие светофоры, порно на рекламных баннерах, отключение электроэнергии или останов прокатного стана на металлургическом предприятии, то я буду серьезно подозревать, что кто-то продолжает Standoff, но вышел за рамки scope 🖥 Это ровно те сценарии, которые отрабатывались на 13-й кибербитве 🗡
Почему количество инцидентов, количество источников данных и количество уязвимостей - это плохие метрики ИБ для тимлидов и руководителей 📊 и как вообще выстраивать безопасность, не имея собственной службы ИБ?.. Об этом в статье по мотивам доклада Моны Архиповой, которая также участвовала и в одной из самых первых дискуссий бизнес-трека PHD2. Докладу уже больше 4-х лет, но своей актуальности он по многим пунктам не потерял 🤔
Читать полностью…
Александр Леонов использовал сервис Suno AI для создания видео-клипа по PHD2. Просто огонь... Я не думал, что сейчас это вышло на такой уровень автоматизации... 🧠 Я прям залип на ролике, который передает атмосферу завершившегося четырехдневного киберфестиваля 🥳 Да, тексту песни, конечно, далеко до лучших образчиков советской песенной поэзии, но все вместе прям ууух 👍
Читать полностью…
Хакер, ставший сотрудником ФСБ 👮, у нас был. Теперь вот выясняется про хакера, ставшего сотрудником МВД 🇷🇺 Интересные повороты судьбы 😡 Если вы не можете вспомнить, кто такой Ермаков, то вот вам подсказка.
Читать полностью…
Что случается, когда 6️⃣ мужчин, работающих в разных компаниях и знающих друг друга не один десяток лет, вдруг решаются поговорить про будущее 🔮 российской отрасли кибербеза? А получается финальная дискуссия бизнес-трека PHD2 с участием Эльмана Бейбутова (PT), Владимира Бенгина (Солар), Айдара Гузаирова (Инностейдж), Руслана Иванова (ITKey), Муслима Меджлумова (BI. ZONE) и под моей чуткой модерацией 🔥 И так как она последняя, то мы хотим немного пошалить, приняв эстафету от прошлогодней Магнитки и ее антипленарки. Но тогда мы начинали мероприятие, а сейчас будем заканчивать.
Но разговор пойдет серьезный - о том, чего ждать российским заказчикам от российских же ИБ-вендоров в ближайшие 2-3 года! А это, безусловно, важно для выстраивания корпоративной стратегии ИБ!!! 💯 Жду всех в 17.00 на главной сцене!!!
Как я уже писал, в 10 утра я буду выступать на главной сцене PHD2 с погружением в мир киберпреступности 🥷, но не с точки зрения его ценообразования (про это был доклад от коллег из Касперского в техническом треке), а с точки зрения бизнес-модели его существования 💸 Я уже про бизнес-модель рассказывал, применительно к деятельности ИБшника. Теперь наступило время посмотреть на ту же самую схему, но с точки зрения киберпреступников. Что характерно, модель вообще не меняется. Ее знание позволяет окидывать взглядом всю картинку целиком!!! ☕️
Читать полностью…
НКЦКИ окажет «скорую помощь» жертвам кибератак
На PHDays в рамках сессии «Сервисы кибербезопасности от государства для граждан» представитель НКЦКИ Алексей Новиков анонсировал новый сервис, который Национальный координационный центр будет оказывать организациям, столкнувшимся с компьютерными атаками — аналог медицинской скорой помощи.
По словам Алексея Новикова, инфраструктура, созданная для обеспечения устойчивости Рунета, позволяет в том числе видеть и предотвращать распространение заражений на национальном уровне. Однако пока не все организации готовы реагировать на предупреждения, что против них действуют злоумышленники.
НКЦКИ работает над сервисом по оказанию «скорой помощи» жертвам кибератак. Планируется, что помощь будет оказываться на бесплатной основе для проведения первичных мероприятий по реагированию на инциденты. НКЦКИ поможет локализовать атаку: определить скомпрометированный системы, ограничить распространение и спланировать дальнейшие работы. Организации смогут обращаться за этим сервисом, выполнив определённый набор сервисов включая предоставление логов и другой информации.
Помимо собственных усилий НКЦКИ рассчитывает на помощь российских ИБ-компаний в предоставлении такой услуги.