"Да SIEM стоит конских денег, если нашу всю инфраструктуру покрывать и все события собирать!" 🤑 Думаю вы такое часто слышали, а может и сами произносили. И это правда! Если пытаться все загнать в SIEM, то это будет стоить целый табун денег. Только зачем? 🤔 Зачем все засовывать в SIEM и переплачивать за лицензии на EPS и хранилища данных? Чтобы что? И вот это ключевой вопрос 💡 Иногда достаточно задать его себе и все встанет на свои места.

Окажется, что часть обработки событий можно отдать на уровень сенсоров (те же NTA/NDR), часть на уровень систем управления ими (те же EDR/XDR), а часть нужна только для того, чтобы выполнять требования регулятора, а не заниматься повседневной ИБ 🤪 И когда это понимаешь, сразу вырисовывается высокоуровневая архитектура, где между сенсорами и SIEM у вас появляется брокер данных, который и маршрутизирует данные по определенным заданным правилам - что-то в SIEM, что-то сразу в LMS на долговременное хранение. И все, и волки сыты, и овцы целы ☕️

Читать полностью…

1,5 года назад я описывал графовую базу данных для сбора 🫴 всякой информации об ИБ, которую я лично использую. И тогда же я предположил, что этот формат очень неплох для аналитиков SOC, которые могут в таком формате хранить данные по расследованиям, группировкам и связанной информации. И вот кто-то расписал ✍️ как эту задачу решать на Obsidian.

Читать полностью…

AttackGen - инструмент, который транслирует с помощью LLM «непонятные» TTP из MITRE ATT&CK в понятные хакерские сценарии 🤔

Читать полностью…

Google выпустил модель угроз для постквантовой криптографии. Когда А.П.Баранов на РусКрипто использовал фразу «фантазийная криптография», я подумал, что он, в контексте высказанной им мысли, просто использовал слово «фантазия» как синоним «непонятно как работает». А теперь я уже и не уверен 🤔 У Google в модели угроз термин «фантазийная криптография» (fancy cryptography) тоже используется 🔐

Читать полностью…

Бесплатный курс по облачной ИБ от Рича Могула

Читать полностью…

Вот не понимаю я такой статистики. Зачем сравнивать и ориентироваться на прошлогодние значения числа утечек ПДн? Ну составляет текущий объем утечек 40% от прошлогоднего (а утечка 500 миллионов ПДн "имени Роскомнадзора" до сих пор никем не подтверждена). И что? Это плохо? Это хорошо? 🤔 Это вообще не ориентир. Вообще может сложиться впечатление, что у нас с защитой персданных ситуация становится только хуже, но это не так ☹️

Я сторонник "экономического" взгляда на ИБ и могу сказать, что ситуация с защитой становится лучше. Об этом говорит рост цен на пробив 🤑 В свое время, для одного банка мы внедряли программу измерения эффективности ИБ и все-все-все метрики свели к одной - стоимость пробива данных по клиенту на черном рынке. Свести ее к нулю невозможно, но вот добиваться постоянного повышения вполне. И если цена на черном рынке растет, то значит банк реально усложняет жизнь хакерам и инсайдерам. Вот и отчет DLBI показывает, что оно так и происходит, а значит определенные усилия дают свой эффект 💪

Но число же опубликованных утечек стало больше! Да, стало. Но это вообще не показатель. Нельзя сравнивать число утечек до СВО и после - это вообще две разных Вселенных, живущих по своим законам. Раньше взломы были преимущественно финансово мотивированными, а сейчас ломают все, что в зоне .RU 🇷🇺 А так как всякие мелкие конторы, интернет-магазины и т.п. по-прежнему защищены из рук вон плохо, то и результат мы имеем такой, какой все видят, - число публичных утечек растет. И оно будет расти 📈

И математику тут в лоб не надо применять. Если у вас в прошлом году было 200 утечек, а в этом 250, это не значит, что рост составил 25%. Если взять рейтинг 4000 крупных предприятий по Интерфаксу, то в прошлом году у вас утекли данные 5% компаний, а в этом - 6,25%. 1,25% - это много? А сколько утечек было в компаниях именно из этого рейтинга? 5 в прошлом и столько же в этом году? И можно ли тогда вообще говорить о взрывном росте утечек?

Вот и получается, что у нас ситуация немного отличается от того, что лежит на поверхности, и от того, по чему судят депутаты и сенаторы, внося очередную инициативу по ужесточению, запрету, ограничению, увеличению штрафов и т.п. "ТщательнЕе надо" (с) как говорил Жванецкий 🤓

Читать полностью…

Крымское МВД поставит ростовые фигуры полицейских рядом с банкоматами для профилактики киберпреступности. ҟҟ

Читать полностью…

А Тинькофф молодцы 👍 И оплату найденных багов в Bug Bounty подняли в 2,5 раза, до 1 миллиона, и CTF в тессеракте объявили. То есть и свои продукты безопаснее делают, и исследователей привлекают, и молодежь развивают.

Ну и чтобы уж второй пост не писать, 🟥 тоже новые продукты на Bug Bounty вывела - Maxpatrol SIEM и VM. Сумма вознаграждения за найденные уязвимости также составляет до 1 миллиона рублей 😳 А в кибербитве Standoff 13, которая стартует в мае, на кону 7,5 миллионов рублей.

Если бы такое предлагали, когда еще я учился, то может быть бы мне багхантером. Я ведь тоже искал способы обхода средств защиты - Secret Net сносил с компа, продукты ISS (еще до ее покупки и убиения IBM'ом) обходил и все такое. И все бесплатно, пользы общей для. А так бы мог заработать на этом. И хотя кандидат в президенты страны от коммунистов носился с лозунгом "Поиграли в капитализм и хватит", могу сказать, что капиталистический подход Bug Bounty - любой труд должен быть оплачен, мне нравится больше субботников с красным кумачом 🧣

Читать полностью…

Ну а чтобы вы не чувствовали себя обделёнными интеллектуальными играми 🎮, вот вам три картинки, в которых зашифрованы анаграммы по криптографии. Анаграммы даны по возрастанию сложности 📈

Напомню, что анаграмма - это слово, перестановка букв которого дает другое слово 🎮 Раньше использовалась как метод тайнописи, с чем связано много разных забавных историй и казусов. Про них я как-нибудь расскажу потом, а у вас есть возможность угадать, что же скрыто в данных трех картинках. Правильные ответы дам в конце дня или на выходных! 🕹

Так-то у вас должно получиться минимум 2 слова, представляющих собой анаграмму, но ответом считается только одно слово, имеющее отношение к криптографии 💡

ЗЫ. А если вы не любитель интеллектуальных игр, то можете почитать про то, как сложность требований регуляторов приводит к тому, что на прошедших выборов многие избирательные комиссии применяли несертифицированные СКЗИ, используя неквалифицированные сертификаты, что является нарушением, приводит к неквалифицированной электронной подписи и, крамольную мысль выскажу, делает бюллетени нелегитимными 🤨

Читать полностью…

Вот, собственно, и сами рассекреченные материалы, за которые спасибо Музею криптографии! 🙏 А у нас квиз в самом разгаре 🕹

Читать полностью…

Сервис FlightRadar запустил карту атак на GPS (GPS Jamming). Видимо, описанная ранее история с нарушением работы систем радионавигации набирает обороты. А если мы ее экстраполируем на любые устройства с GPS (БПЛА, беспилотный транспорт, станки и даже мобильные телефоны), то сразу становится понятно, что это тема непростая. И в обычных компаниях ее могут "повесить" на ИБ.

Читать полностью…

Сегодняшний день на РусКрипто 2024 🤒 подарил новый термин от Баранова Александра Павловича "фантазийная криптография" и заявление от него же, что

"вся наша криптография основана на непонимании, как она работает"

😯

и добавлении, что

"квантовая криптография - это вторая тема, которую мы не понимаем, но полагаемся на нее и активно продвигаем".

Это, конечно, сильные заявления от человека, почти 20 лет фактически руководившего криптографической службой в стране 🇷🇺

Ну а я пока готовлю интеллектуальный криптографический квиз "Игра в имитацию", который пройдет уже завтра. Места во всех 8-ми командах уже расписаны, но, возможно, парочка мест еще найдется. В этом году прямо аншлаг на возможность размять мозги 🧠 и расширить свой кругозор!!!

Читать полностью…

Читал я тут курс по ИБ для собственников и владельцев бизнеса 🧐 из совершенно разных сфер экономики - от строительства до ритейла (не госы). И могу сказать, что тема недопустимых событий, ответственности CISO за результат, бизнес-взгляда на ИБ и т.п. очень хорошо воспринимается топами и прям находит у них отклик. Сначала они скептически смотрят на тему ("Опять будут пугать штрафами и мифическими угрозами"), а после смотрят совсем по-другому. Ну и отзывы это подтверждают - средняя оценка 9,5 (по 10-балльной шкале) 👍 Похоже нащупал и контент, и форму подачи. Но есть еще куда развиваться.

Читать полностью…

На досуге подрабатываю ИБ-дизайнером в виду отсутствия оных в реальной жизни 🎨 Обратились тут за консультацией, как мол, привлечь молодежь на кафедры ИБ. А то, говорят, цитаты из речи гаранта про будущие поколения и важность кибербезопасности, а также проброс к цитате Ленина про "учиться, учиться и учиться" не дают должного эффекта.

А я что, мне не сложно нагенерить кучу идей (вот чего-чего, а генерить идеи - это мое; в отличие от их реализации). Вот один из плакатов быстренько сваял "из того что было". А чего, не все знают, что история инфобеза насчитывает тысячелетия, в отличие от ИТ, которые могут похвастаться только тем, что отсчитывают свою историю от Ады Лайвлес и Чарльза Беббиджа 🧮 Родословная от дочери Байрона - это солидно, но заниматься тем, что еще Рамзес II привечал, вдвойне лучше.

ЗЫ. Да, если вы думаете, что я шучу про Древний Египет, то нет. Вот тут я рассказывал несколько историй из истории 🤓 Ну и в курсе про введение в ИБ тоже.

Читать полностью…

Интересный кейс подсмотрел у Алексея Мунтяна. История началась в 2018-м году, а закончилась только в февраля этого года. Один итальянский 🇮🇹 банк столкнулся в период с 11 по 21 октября 2018 года с атаками на свою систему мобильного банкинга, что повлекло за собой к утечке персональных данных клиентов банка. Банк был оштрафован и на этом историю можно было бы закончить, но тогда и писать было бы не очень (у кого данные не утекали?) 🏦

Но...в процессе расследования выяснилось, что в это же самое время у пострадавшего банка был пентест 🛡 со стороны компании NTT Data в соответствие с заключенным договором. Пентест длился с 1 по 26 октября 2018-го года. При этом сами инструментальные работы проводились с 1 по 12 октября, подготовка отчета шла с 13 по 22 октября, а уточнение представленной информации и отправка финального отчета - с 23 по 26 октября ✉️

Но дальше выяснились пикантные детали - NTT Data привлекла к проведению пентеста субподрядчика, что было явно запрещено договором. NTT Data не уведомила банк о субподряде 🤐 Субподрядчик нашел уязвимости, которые были использованы в атаке на банк, 10 октября 😵 19 октября он сообщил об этих уязвимостях в NTT Data, которая, в свою очередь, проинформировала банк об этих уязвимостях только 22 октября (уже после утечки ПДн). При этом в договоре с NTT Data было требование немедленного уведомления о критических уязвимостях ⏱

NTT Data стала оправдываться 🧑🏻‍⚖️ тем, что у нее был заключен договор не с банком, а с его материнской компанией, что он должен был все проклассифицировать, прежде чем отправлять данные об уязвимостях, что он был загружен 🤓 и поэтому был субподряд, что субподрядчик - "честный человек", что NTT Data добропорядочная компания и никогда никого не обманывала и GDPR не нарушала, что она вообще не знала 🤷‍♀️ об утечке и об атаках на банк, так как не оказывала услуг мониторинга ИБ, а только пентесты... Но суд во внимание это все не принял и наказал NTT Data на 800 тысяч евро.

А теперь, внимание, вопросы: ❓
1️⃣ Не напоминает ли это все историю с будущими оборотными штрафами за инциденты с ПДн?
2️⃣ То, что банк хакнули через уязвимости, выявленные в ходе пентеста, это совпадение?
3️⃣ А вы, привлекая пентестеров на работы, четко описываете все такие кейсы в договоре?

Читать полностью…

Немцы выкатили список APT, которые активны в Германии 🇩🇪

Читать полностью…

В Сиднее 🌏 на прошлой неделе закончился Gartner Security & Risk Management Summit, на котором консалтинговая компания, ушедшая из России, дала ряд прогнозов 🔮 по ИБ, которые, если отбросить конкретные цифры, вполне применимы и у нас. Так что стоит взглянуть на то, куда Gartner рекомендует смотреть всему миру и то, что можно включить в свою стратегию развития 🗺

Читать полностью…

Полезный проект - What2Log, который описывает минимальный, идеальный и экстремальный состав событий ИБ для регистрации в Linux Ubuntu и Windows (7 и 10), а также позволяет выбрать нужные и сгенерить готовый скрипт, который позволит вам включить нужные события 💡

Читать полностью…

😱 Что вы будете делать, если вашу компанию взломают?

🅰️ Бегать по кругу с паническим «А-а-а-а-а-а-а-а-а!»
🅱️ Пытаться что-то сделать, вспоминая все, что знаете о кибербезопасности.
©️ Действовать по заранее разработанному плану.

Понятно, что хотелось бы выбрать последний вариант, но как составить этот самый план? Об этом вам расскажет на вебинаре 26 марта в 14:00 Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

Он посоветует, к чему стоит подготовиться заранее, и поделится чек-листом действий, которые нужно предпринять решительно и оперативно, чтобы минимизировать денежные потери и репутационные риски.

Регистрируйтесь, готовьте ваши вопросы и подключайтесь онлайн.

#PositiveЭксперты
@Positive_Technologies

Читать полностью…

Утром читал спецкурс по киберугрозам в рамках Russian Internet Governance Forum (RIGF) и среди прочего высказал мысль, что любой конфликт в реальном мире будет находить свое отражение в виртуальном пространстве. И вот ☝️очередное подтверждение этому - индийская кибергруппировка будет пытаться найти заказчиков, стоящих за терактом в «Крокус Сити Холле»

Читать полностью…

А CISA вновь обновило свое руководство по DDoS-атакам. Последний раз они это делали в сентябре. Добавили категоризацию DDoS-атак, новую визуализацию и переписали меры в зависимости от этапа жизненного цикла DDoS (как предотвратить, как убедиться, что под атакой, как реагировать, что делать потом).

Читать полностью…

Берите идею на вооружение - крымские полицейские плохого не посоветуют!Если что, то у меня ростовая кукла уже готова! 🤡 Правда, пока она пугает только меня, когда я приезжаю на дачу и забываю, что она стоит у входа и выглядывает из окна. Это реально страшно, в ночи увидеть себя в окне 😱 Но может она и воров еще пугает. По крайней мере, соседей справа и слева уже обнесли, а меня не трогают.

Читать полностью…

Все-таки у "народных избранников" есть сложности с арифметикой 🧮 А как иначе можно трактовать продолжающуюся эпопею с законопроектом по страхованию утечек ПД. Я уже приводил цифры, прозвучавшие на заседании Совета Федерации, посвященного этой теме. Средний объем утечки в России - 2,5 миллиона записей. Если поделить максимально возможную сумму предлагаемого оборотного штрафа в 500 миллионов рублей на 2,5, то мы получим 200 рублей на одну запись.

Больше этой суммы просто нет смысла (даже в самом худшем сценарии развития) выплачивать компенсации, страховаться, оформлять банковскую гарантию, иметь резервный фонд и т.п. А граждан, чьи данные утекли, эта сумма не устроит. Бизнесу не только не выгодно, но и нецелесообразно идти в эту историю, так как платить штраф тупо проще 🤑 (даже если предположить, что суд сразу накажет оперативно и по максимуму, что маловероятно).

Законы экономики никто не отменял и даже депутатам и сенаторам это не под силу. Пока реальные потери (а не их мифическая возможность) от неделанья чего-то не будут превышать выгоды от неделанья, бизнес не поднимется со стула 🙌 Дайте ему налоговые льготы, снижение ставок страхования, отнесение затрат на ИБ и страхование на себестоимость, а не затраты из прибыли... Вот тогда можно уже с калькулятором в руках сравнивать альтернативы. А пока это разговор слепого с глухим 😠

Читать полностью…

Подогнали видео моих двух выступлений в Кыргызстане на темы (на каждую по 17 с небольшим минут):
1️⃣ "Способы проникновения в банковскую инфраструктуру и методы противодействия им" (презентация по ней)
2️⃣ "SOC на минималках. Основные защитные меры, закрывающие большинство угроз" (презентация по ней).

Читать полностью…

19 февраля кем-то был создан в Телеге ✈️ канал, который тупо копирует все мои посты отсюда 🤠 И в названии канала моя фамилия использована. Ко мне отношения он не имеет (ссылку давать не буду, чтобы не рекламировать). Допускаю, что сделан мошенниками, желающими выдать себя за меня 😈 Будьте бдительны 🎭 у меня канал только один - /channel/alukatsky

Читать полностью…

Звонит мне человек, представляется генеральным директором одного небольшого финтеха на 50 программистов (ИБ своей нет) и рассказывает душераздирающую историю, как их пошифровали и требуют выкуп. И вопрошал он меня, что делать в такой ситуации?

А я немного 🤏 впал в ступор, так как объяснить гендиру в кризисной ситуации по телефону последовательность действий, когда у тебя нет тех, кто это будет реализовывать, тот еще челендж. Если, конечно, не отделываться общими фразами и не начинать с похожего на рекламу «Обратитесь к нам, мы вам поможем».

В итоге родилась идея чеклиста и вебинара по тому, что делать, если вас у вас первые признаки инцидента. Вебинар пройдет 26 марта в 14.00. Забейте себе пару часиков в календаре, а ссылку я пришлю позже.

Примерный план вебинара:
1️⃣ Какие действия необходимо предпринять руководству компании в случае инцидента?
2️⃣ На что важно обратить внимание в первую очередь?
3️⃣ Кого надо привлекать для реагирования на инциденты?
4️⃣ Стоит ли вести переговоры с вымогателями и уведомлять регуляторов об инцидентах?
5️⃣ Привлекать или нет внешние компании по ИБ для расследования инцидентов?
6️⃣ Каким рекомендациям стоит следовать и в какой последовательности?

Читать полностью…

Если к докладу на ИБ-конференции без потери смысла можно в начало добавить «Гарри Поттер и», а в конце «на блокчейне», то можно с уверенностью утверждать, что мы имеем дело с вполне определенной питерской ветвью научной ИБ-школы! 😎

Читать полностью…

В привлечении в ИБ молодежи не надо быть формалистами - надо давить на болевые точки нашей смены. Например, чего боится молодой пацан 18-ти лет, который выпустился из школы? 😱 Армии!!! Хотя, скорее этого боятся его родители, так как они знают, чего опасаться, а юноша, у которого еще молоко на губах не обсохло, нет. А чего может хотеть здоровый парень с бушующим тестостероном? 😎 Вот это и надо выносить на плакаты, которые развешивать на стенах приемной комиссии!

Если уж мы говорим в ИБ о том, что надо говорить на одном языке с бизнесом, то надо трактовать это шире. Говорить на одном языке надо с целевой аудиторией. В данном случае это абитуриенты! И не надо бояться. А то вот это все скучное "если хотите попасть на специальность 10.04.01, соберите мочу в баночку и сдайте ее в окно 27Б", уже порядком поднадоело 🤠

ЗЫ. У меня, кстати, и другие идеи для плакатов есть 🫵

ЗЗЫ. Был бы у меня дизайнер нормальный, я бы завалил этот мир офигенным визуалом. Но увы, поразъехались по Сербиям да Таиландам, бары себе завели, работать не хотят. Вот и приходится полагаться только на себя да ИИ супостатский ✨

Читать полностью…

У боязни дырок есть научное название - трипофобия 😱. Поэтому все ИБшники в чем-то немного трипофобы, а в чем-то борцы с трипофобией. Поэтому, если вас девушка или юноша, с которыми вы хотите познакомиться, спросят: "А ты кем работаешь?", можно смело, с налетом таинственности, ответить "Я доктор трипофобии" и загадочно улыбнуться 😱 Это придаст вам веса в глазах окружающих!

ЗЫ. Не забудьте добавить, что у вас отсрочка от армии и льготная ипотека. Тогда зависть ценность ваша в глазах других взлетит на недосягаемую высоту.

Читать полностью…

В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.

Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁

Читать полностью…