Ну где тебя 🟥 еще так встретят и проводят? Только в Бразилии 🇧🇷 И хотя я не попал на день рождения компании, который празднуется сегодня в Москве, в Бразилии мы тоже отметили как смогли 💃

Читать полностью…

20 августа Верховный суд оставил решение нижестоящих инстанций о тюремном заключении 😡 Илья Сачкова без изменений, посчитав, что оснований для пересмотра дела нет ☹️ В резолютивной части приговора говорилось, что в деле имеются вещественные доказательства, включая визитки сотрудников ФБР, сотрудников посольств США и Великобритании в РФ и сотрудников британского МИД 🇺🇸

Официально заявляю, что после того, как я это прочитал в прошлом году, я сразу уничтожил все визитки, которые у меня были от сотрудников различных посольств, которые бывали в офисе Cisco по роду службы, а также от сотрудников АНБ и ФБР 🇺🇸, которые [визитки, а не сотрудники] у меня скопились после многократного посещения RSA Conference и других мероприятий, на которых указанных сотрудники выступали 👮

Читать полностью…

Интересно, кстати, как организован CISO Forum в Бразилии 🇧🇷 Единственный keynote-доклад (от меня) и потом одни дискуссионные панельки. И в первый день точно такая же история. Никакой рекламы, никаких спонсорских «мы платим - вы должны включить наш доклад про мегасуперпупернгфв» 🤬 Про продукты вообще ничего нет. Респект и уважуха оргам 🙂

Читать полностью…

Как-то я смотрел выступление Джеки Чана на церемонии получении Оскара и думал: "Вот ведь классный чувак, давно в Голливуде, но до сих пор говорит по-английски так себе и не парится на эту тему. Он делает то, что он считает нужным и не заморачивается, насколько хорошо или плохо он при этом говорит по-английски. Его ведь понимают!" 😱

Меня достаточно долгое время напрягал мой английский. Да что говорить, он до сих пор меня напрягает. Я реально не чувствую себя уверенным, когда выступаю на не родном для меня языке, который я и учить-то стал уже после института, когда попал в Cisco (до этого у меня было 8 лет немецкого в школе), то есть в зрелом возрасте 😛 Но я влезаю во все международные инициативы 🟥 именно потому, что иначе я не смогу перестать бояться. Не бояться выступать, с этим у меня нет проблем. И не бояться оказаться вне повестки ИБ, с этим тоже нет сложностей (я вообще понял за годы в ИБ, что мы можем дать фору иностранцам по многим вопросам, так как опережаем их в обеспечении практической, результативной ИБ).

Позитив, даже не Cisco, дал мне возможность не бояться говорить на иностранном языке. Это офигенное ощущение, когда ты выступил на знакомую тебе тему и она зашла аудитории 🎆 Да, ты косячил с временами и спряжениями, но это не так важно. Я выступал не перед native speakers. Для них английский - такой же не родной, как и для меня. И в любой стране мира, где мне доводилось выступать очно или онлайн, я могу сказать, что все очень лояльны к тебе, так как мало кто родился со знанием английского. Арабы, бразильцы, чехи, поляки, норвеги, испанцы... Все они учились английскому также как и я (ну или почти также). Даже многие англичане снимают шляпу (не мою 🤠) перед теми, кто изучает их язык, так как у нас есть коренное отличие от них - они знают только один язык, свой, английский, а все остальные знают как минимум два языка - свой родной и английский. И это не мы плохо говорим - это они вообще не говорят ни на каком языке, кроме своего. То есть это не нам должно быть стыдно, что мы плохо говорим на английском, а им, что они не говорят на русском, португальском, испанском, немецком, чешском, сербском и т.п.

Так что не надо бояться выступать - на другом языке, перед незнакомой аудиторией, на не до конца изученную тему (хотя тему лучше изучить, конечно). Вы тем самым пересиливаете себя и свой страх. А это дорогого стоит! Ну а после выступления и выпить не грех, снять стресс и расслабиться, что я и сделал после своего выступления в Бразилии 🇧🇷

Читать полностью…

Прекрасный пост на Хабре о том, как мой коллега, Алексей Усанов, написал книгу ✍️ по реверс-инжинирнгу встраиваемых систем. Помните дискуссию на PHD2, где мы обсуждали в узком кругу ИБ-писателей зачем и как писать 📝 книги (эфир тоже можно посмотреть)? Так вот Алексей раскрыл эту тему в статье еще шире. Так что если вы стояли перед выбором, писать или нет, то прочитав мысли Алексея у вас отпадут все сомнения ✍️

Читать полностью…

Первый визит в Южную Америку, первое выступление в Южном полушарии на английском, первый полет на A380, впервые такие приключения с организацией выступления русской компании в Бразилии... Ну что ж, с почином...

ЗЫ. И пусть кусают локти те, кто не взял на меня на работу из-за того, что я не знаю английского 😂 Бразильцев это совершенно не смущает 🤝

Читать полностью…

Если вдруг меня примут американские спецслужбы 🇺🇸 и начнут на полиграфе выпытывать, был ли я в ГРУ, то смело могу отвечать, что да, был, решал вопросы кибербезопасности 🛡 И ни один полиграф не поймает меня на неуверенном ответе или попытке увильнуть ;-) ☺️

Читать полностью…

Я, конечно, победил 🤼 хакеров на киберполигоне, но у меня три вопроса:
🔤 Почему для трояна есть только варианты «пометить» и «пропустить», но нет «заблокировать» или «удалить»? ❌
🔤 Почему анализ статистический, а не статический?
🔤 Почему рекламируются продукты ушедших из России американских компаний? 🤔

Читать полностью…

Ждем роста кибератак от хактивистов на Францию…. ✈️ (они уже начались). Руслан у себя высказался про сложившуюся ситуацию и склонен согласиться с его взвешенным мнением. А я только отмечу одно - любая централизованная система коммуникаций, неподконтрольная какому-либо государству, рано или поздно вызывает вопросы к ней со стороны разных государств и спецслужб 😕 А за вопросам следует желание контролировать. И если владелец платформы делает вид, что сигналов не понимает или прямо говорит, что он за свободу слову, то извините, ждите последствий 😡

Если вам кто-то впаривает абсолютно надежный и безопасный мессенджер и его название не Anom, Phantom Secure, Sky ECC или EncroChat, то я бы 10 раз задумался 🤔 А с указанными названиями и думать нечего - там и так все понятно. Но лично мне ясно одно - примерно так, как сейчас авторы шифровальщиков начинают писать собственные криптографические подсистемы, так скоро появятся децентрализованные или очень непубличные и на малые группы пользователей защищенные мессенджеры. И бороться с ними будет гораздо сложнее, чем с популярными средствами коммуникаций 👀

Читать полностью…

Австралийский Medibank провел в четверг звонок с инвесторами, где, помимо прочего, рассказал о последствиях кибератаки, о которой я уже как-то писал. Итак, страховая компания, столкнувшаяся с шифровальщиком:
➖ Ожидает совокупные расходы на модернизацию своей системы ИТ-безопасности в размере 85 миллионов американских долларов за 3 года (126 миллионов австралийских долларов). В результате атаки годовой бюджет на ИБ вырос в 40 раз! 👇
➖ Потратила 40 миллионов австралийских долларов в 2024-м году на обновление ИТ-систем (в прошлом году было потрачено чуть больше денег на это)
➖ Могла получить штраф в размере фантастических 21,5 триллионов долларов, если бы суд по максимуму наказал компанию, но итоговая сумма штрафа была существенно ниже.

Для информации: до атаки шифровальщика Medibank тратил на свою ИБ всего 1 (один) миллион австралийских долларов (это менее 60 миллионов рублей), на ИТ-бюджет - 4-5 миллиона; и это при годовом доходе Medibank в 7,1 миллиарда долларов. Число сотрудников Medibank составляет 3291 человек, а штат ИБ - всего 13 специалистов.

Читать полностью…

"Амеравиация" (она же Federal Aviation Administration, FAA) выпустила проект новых требований по кибербезопасности самолетов ✈️, которые учитывают новые угрозы для авиации и должны помочь повысить уровень защищенности бортов от целенаправленных воздействий, которые могут быть реализованы через:
➖ бортовое ПО (Field Loadable Software)
➖ ноутбуки специалистов поддержки
➖ сети аэропортов и авиакомпаний
➖ публичные сети
➖ Интернет
➖ беспроводные сенсоры самолетов
➖ мобильные сети
➖ USB-устройства
➖ спутниковые коммуникации
➖ мобильные компьютеры and портативные electronic flight bags (EFBs)
➖ системы навигации, например, GPS.

Интересно, для МС-21, Ту-204/214, SSJ, Ил-114 есть такие же требования по кибербезу? ✈️

ЗЫ. И будет у нас тогда вот так ✈️

Читать полностью…

В Cisco был (и есть, но в России недоступен) классный сервис - dcloud, который позволял не только тестировать различные средства защиты компании, но и обучаться на виртуальном стенде, проходя различные сценарии атак и реагируя на них правильным образом 👨‍💻 При этом dcloud работал без участия специалистов Cisco и не требовал их привлечения. Вы просто заходили на сайт, бронировали время, запускали в нужное время браузер, заходили в dcloud, где уже была развернута виртуальная среда, эмулирующая обычную ИТ-инфраструктуру многих компаний. И дальше вы могли на этом цифровом двойнике экспериментировать, отрабатывать навыки и все такое 🧑‍💻 Очень полезный и целиком автоматический сервис был.

И вот на днях схожую историю, но в чуть более упрощенном режиме и без привязки к конкретным вендорам, запустила американская CISA. Речь о сервисе "Try CYBER", где можно попробовать решить шесть разных заданий в зависимости от роли специалиста по ИБ 🛡 Под каждое задание разворачивается виртуальный стенд, в котором вы и резвитесь за отведенное вам небольшое время. Достаточно интересный опыт 🤔

Я все жду, когда мы киберполигон Standoff 365 доведем до такого состояния, чтобы можно в нем было обкатывать свои навыки без помощи со стороны менторов ⏳ Я бы с удовольствием в такую историю влез; в Cisco я регулярно в dcloud разные сценарии тестировал.

ЗЫ. Зайти на Try CYBER можно только с американских, вроде, IP-адресов. У меня, по крайней мере, с европейского VPN не получилось, только с американского 🇺🇸

Читать полностью…

Gartner тут разродился очередной ежегодной кривой развития 25 прорывных технологий, которые группируются в 4 ключевых блока:
🔤 Автономный искусственный интеллект
🔤 Продуктивность разработчиков
🔤 Пользовательский опыт
🔤 Кибербезопасность, ориентированная на человека, и приватность.

Эта кривая, это дистиллят, как пишет сам Gartner, из более чем 2000 технологий и различных фреймворков, из которых выбрана самая мякотка 💎 и которые должны быть знакомы каждому человеку, считающему себя на короткой ноге с технологиями. Эти технологии, если ничего не произойдет, должны иметь трансформационный эффект на горизонте ближайших 10 лет 🌱

С точки зрения кибербеза Gartner разумно пишет, что:

"Методы обеспечения безопасности слишком часто исходят из того, что люди могут вести себя абсолютно безопасно. Но когда сотрудники должны сделать выбор между безопасностью и бизнес-требованиями, они часто выбирают второе, иногда обходя слишком строгий контроль безопасности."

и сразу добавляет, что:

"Ориентированная на человека безопасность и приватность неразрывно вплетает их в цифровой дизайн организации."

К прорывным технологиям такого рода аналитики относят доверие к искусственному интеллекту, mesh-архитектуру ИБ, цифровую иммунную систему, защиту от дезинформации, федеративное машинное обучение и гомоморфное шифрование 🤔

Читать полностью…

Американцы новые кибер-санкции подогнали против компаний:
➖ Digital Security
➖ Софт Плюс
➖ Cloudrun
➖ Digital Compliance
➖ Кибер Сервис
➖ Machine Learning Labs
и их руководство:
➖ Илью Медведовского
➖ Дмитрия Евдокимова
➖ Евгению Климину
➖ Дмитрия Частухина
➖ Глеба Чербова
➖ Таранджита Камбо.

Санкции выглядят странновато, но, видимо, больше уже некого санкционировать... 🤔

🔄 UPDATE: в список также попали Диасофт, ЦФТ, Крибрум, 27-й ЦНИИ МинОбороны, Центр речевых технологий, "Сфера", Норникель Сфера, Норникель Спутник, БазАльт, МТС РЕД (Серенити), а также ряд других компаний, занимающихся биометрией и искусственным интеллектом.

Читать полностью…

АНБ с партнерами разродилось руководством по лучшим практикам регистрации событий 📝 и обнаружению угроз, которое дает рекомендации по тому, как:
1️⃣ регистрировать события в АСУ ТП
2️⃣ регистрировать события в мобильных решениях
3️⃣ регистрировать события в облаках
4️⃣ безопасно хранить логи и передавать их по сети в централизованное хранилище
5️⃣ централизованно собирать и анализировать логи
6️⃣ обеспечивать целостность логов
7️⃣ обнаруживать отдельные виды угроз
8️⃣ и какие события и параметры событий фиксировать в логах
9️⃣ работать с временными метками и многое другое.

Всего 16 страниц, которые дают очень хорошее погружение в тематику. А для желающих больших деталей, даны ссылки на дополнительные стандарты и руководства по ведение журналов регистрации событий ✍️

Читать полностью…

Рассказывал в Бразилии 🇧🇷 про результативную кибербезопасность, недопустимые события и вот это вот всё. После подошел CISO крупной компании и говорит:

О, Боже! Наконец-то я услышал то, что мне нужно. А то ко мне приходили ребята из Big4, приносили простыни со своими реестрами рисков и пытались всучить их оценку. А я понимаю, что к моменту, когда они закончат оценивать, мне надо будет начинать все заново и более того, появятся новые риски, и все начинать сначала; и так по кругу.

Так что тема понятна и вполне заходит 😎 Вторая дискуссия была с девушкой из страховой компании, которая пыталась убедить, что топы любят цифры, Excel’вские расчеты, актуарные таблицы, вероятности и вообще, чем больше цифр, тем лучше 🧮 И вообще топы тупенькие и неправильно оценивают последствия от кибератак.

Тут мы, конечно, немного зарубились с ней на тему восприятия последствий от кибератак и того, для чего собственно нужны сложные калькуляторы и цифры - для продажи страховых продуктов или для погружения топов в тему ИБ. И вроде как мы пришли к некой срединной линии, где наши взгляды сошлись 🤝 Но тему недопустимых событий для страхового бизнеса еще надо, конечно, дорабатывать.

Читать полностью…

В американском ИБ-издании на редкость неплохой материал по российскому рынку Bug Bounty 🤑 Автор пишет, что HackerOne, BugCrowd, Intigriti вышвырнули русских багхантеров со своих платформ, а американские бигтехи типа Apple и др. отказываются платить русским за найденные у них уязвимости, что и привело к предсказуемому росту рынка Bug Bounty в России 🇷🇺

Упоминается первая программа Bug Bounty от Яндекса, начавшаяся в 2012-м году. Есть информация о трех крупнейших платформах - BugBounty[.]ru, Stnadoff 365 Bug Bounty 🟥 и BIZONE Bug Bounty, а также о суммах выплат, которые, по мнению автора, сопоставимы с тем, что платились на HackerOne. Не обойдена вниманием и тема Минцифры, которая вышла на BugBounty со своими ГИСами. Также дается небольшой экскурс в уголовное законодательство в контексте истории с легализацией белых хакеров 👨‍💻

В заключении автор пишет, что у российской экосистемы Bug Bounty большое будущее 💪, так как эти платформы будут привлекать 🫴 не только российских багхантеров, которых только сейчас насчитывается около 20 тысяч, но и исследователей из других юрисдикций, которые с высокой степенью вероятности могут попасть под очередные санкции США. Это приведет к тому, что уязвимости в западных продуктах будут продаваться не вендорам на иностранных платформах, а в России, что, потенциально, может означать, что их покупателями станут российские спецслужбы, что создаст дополнительные угрозы шпионажа для Запада 😕 Ну и по аналогии с недавно вышедшей статьей о том, что иностранцам надо присматривать за Astra Linux, автор предлагает присматривать и за российским рынком Bug Bounty 😮

Читать полностью…

Оказалось, что в Бразилии вообще мало кто рассказывает про кибербез, так как это сделали мы 🤹‍♂️ Не только нестандартная тема (ИБ с точки зрения бизнеса), но и сама подача, оформление были очень хорошо восприняты аудиторией. И это при том, что на весь первый день CISO Forum было всего две англоязычных презентации - моя и еще одна спикера, девушки, которая отвечала на вопросы модератора (без презентации); все остальное было на бразильском языке 🇧🇷

Люди тут скучают по нормальным, а не согласованным строгим корпоративным PR и маркетингом, скучным презентациям с кучей ограничений, выверенными нейтральными картинками из фото-стоков... 🤠 Ну а я особо не заморачивался - взял тему оценки защищенности и провел аналогии с футболом, который в Бразилии введен чуть ли не в религиозный культ. Зашло на ура! 🎆

ЗЫ. В итоге организаторы попросили "на бис" выступить и во второй день 😂

ЗЗЫ. Мой вам совет: ваша целевая аудитория - это слушатели, а не ваш маркетинг.

Читать полностью…

Выложено видео нашего вебинара "Как измерить эффективность SOC", презентацию с которого я выкладывал чуть раньше 🧮

Читать полностью…

Главврач 👀 уфимской больницы, ссылаясь на законодательство о безопасности и борьбе с терроризмом, распорядился установить видеокамеру 👀 в гинекологическом кабинете. Теперь-то стало понятно, где террористы и экстремисты закладывают взрывные устройства, прячут килограммы наркотиков, нарушают законодательство о криптографии и снимают порнофильмы 🤦‍♂️

Читать полностью…

Если посмотреть внимательно на текст предъявленных Павлу Дурову обвинений, то из 12 пунктов три (3) касается нарушения владельцем Telegram законодательства Франции по криптографии, а именно:
🔤 Предоставление криптологических, а не просто криптографических, услуг, направленных на обеспечение функций конфиденциальности без соответствующего декларирования (у нас бы сказали лицензирования)
🔤 Предоставление криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления
🔤 Импорт криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления.

Отмечу, что в России существуют схожие с французским законодательством требования по импорту и экспорту шифровальных средств и, так как Telegram не считался отечественным, то к нему и у нас должно было применяться схожее тому, что действует в стране-хозяйке недавних летних Олимпийских игр. Интересно, если бы Дуров прилетел в Россию, его бы по прилету ждала такая же судьба?.. 🤔

Читать полностью…

США 🇺🇸 подали иск против технологического института Джорджии и исследовательской корпорации Джорджии за невыполнение требований Министерства обороны США в области кибербезопасности. Кроме того, "обвиняемые" сфальсифицировали результаты проведенной оценки уровня своей ИБ, чтобы показать свое соответствие и получить "вкусные" контракты МинОбороны 🇺🇸 Информация об этом была доведена до сведения американского Минюста, который еще в 2021-м году запустил новую инициативу, в рамках которой все желающие могут сообщить об обмане со стороны получателей государственных контрактов, которые сознательно:
➖ используют или предоставляют некачественные продукты или сервисы ИБ
➖ нарушают стандарты и регламенты ИБ
➖ отказываются от непрерывного мониторинга ИБ и уведомления об инцидентах ИБ 🤬

И таких дел у Минюста США уже несколько, что говорит о серьезности намерений американских надзорных органов строго следить за тем, как обеспечивается безопасность данных и систем, владельцем которых является государство.

Читать полностью…

Ох, незамутненные такие... 🇨🇳 Раньше приходили за зеродеями или вредоносами. Теперь вот данные по LinkedIn им подавай. А когда отказываешь, обижается, и просит контакты самых лучших хакеров, чтобы вместе атаковать американцев... 👨‍💻

Читать полностью…

Что-то меня эта реклама триггерит. Нетолерантная она какая-то… 🤠

Читать полностью…

ИБ-компания Cado Security столкнулась с атакой typosquatting, когда злоумышленники, готовящие атаку против клиентов компании (а может и самих сотрудников), создали похожий домен cadosecurlty[.]com (а вы заметили разницу с написанием реального домена?), а заодно и аккаунт в соцсети X (бывший Twitter). Также, эти же злоумышленники создали фишинговые домены для атак на компании ClickUp (ciickup[.]com), Scribd (scrib3[.]com) и других, менее известных в России.

Cado, идентицифировав атаку, сразу сделала следующее:
1️⃣ Информировала своих сотрудников о попытке атаки
2️⃣ Провела поиск на почтовом сервере всех сообщений, исходящих с вредоносного домена, а также включила мониторинг и блокировку новых сообщений с него
3️⃣ Сообщила о проблеме регистратору доменов.

Я бы к этому списку добавил уведомление специализированных компаний, занимающихся борьбой с фишингом, типа Google или Phishtank, а в России, соответственно, - ИС "Антифишинг", НКЦКИ или проект "Нетоскоп" КЦ домена .ru/.рф, а также, если вы являетесь субъектом КИИ или финансовой организацией, то в центр ГосСОПКА или ФинЦЕРТ.

Читать полностью…

На фоне новости о том, что Microsoft 📱 с октября вводит обязательную многофакторную аутентификацию для пользователей Azure, Microsoft Entra и Intune, нашел прикольную визуализацию по дизайну защищенных систем 🛡

Читать полностью…

Коллеги из PT ESC решили провести шуточный опрос про любимое APT-животное, предложив много разных вариантов на "волчью" тему 🐺 А мне тут надысь попалось описание индийский группировки CyberVolk, стоящей за одноименным шифровальщиком, символом которой является тот самый серый хищник из детских сказок, который может укусить за бочок 🐺

В очередной раз задумался о том, что отсутствие единых подходов к наименованию хакерских группировок может сыграть злую шутку со специалистами по безопасности. Возьмем того же волка 🐺 С легкой руки CrowdStrike, которая использует название классов животных для APT-групп, ассоциируя их с разными странами, медведи теперь ассоциируются с Россией, драконы 🐉 с Китаем, леопарды с Пакистаном, а волки - это группировки из Турции 🇹🇷 Компания "Бизон" тоже взяла на флаг волчью тему, но привязывает ее не к стране происхождения группировки, а к ее мотивации. Волки - это финансово мотивированные хакеры 🤑 Оборотни и гиены при этом хакеры, спонсируемые государствами, и хактивисты соответственно. Интересно, что для хактивистов CrowdStrike зарезервировала в качестве животного тотема шакала, Palo Alto называет их "девами" (Virgo), а TrendMicro и вовсе ветром 🌬

И отсюда начинается путаница. Возьмем, к примеру, группировку, названную "Бизоном" Red Wolf. У того же F.A.C.C.T. (и Group-IB), где раньше трудились некоторые коллеги из компании, чье имя ассоциируется с животным, которого тот же CrowdStrike использует для обозначения хакерских группировок из Вьетнама (да, вы правы, речь идет о бизоне, которого в Северной Америке называют Buffalo 🦬, а это общее название группировок из страны, в которой когда-то была база советских подводных лодок (Камрань), эта же группировка называется RedCurl. Почему? Не знаю. Trend Micro называет эту же группировку Earth Kapre (TM все группировки, занимающиеся шпионажем, называет Earth, в то время как Бизон их называет "оборотнями"). И таких примеров масса. Например, APT 26, которая также известная как Turbine Panda 🐼, Shell Crew, WebMasters, KungFu Kittens. Или APT15, которая другими компаниями называется Vixen Panda, Mirage, Ke3chang и Nylon Typhoon. А Gallium - это Softcell, она же Phantom Panda, она же Alloy Taurus, она же Granite Typhoon 🥷

И так во многих случаях - вместо того, чтобы использовать уже известное имя, компания придумывает новое, в соответствие со своей классификацией. Например, в 2019 Cisco Talos выявил группировку Sea Turtle 🐢, которую спустя время обнаружили Microsoft, CrowdStrike, PwC и другие, назвав уже известную группировку так же Teal Kurma, Marbled Dust, Silicon, UNC1326, Cosmic Wolf 🤔 В итоге сотни группировок превращаются в тысячи и отслеживать разные наименования становится той еще задачей (например, как у немцев сделано в отношении группировок, активно действующих против Германии 🇩🇪).

А все потому, что сначала исследователи Shinigami42/what-a-cluster-how-industry-groups-and-names-threat-activity-clusters-0c65a7128162">определяют "кластеры активности” 🎮, наборы вредоносных действий, которые связывают с определенными угрозами или нарушителями. Эти кластеры определяются на основе различных данных, таких как техники атак, инфраструктура, используемые инструменты, цели, мотивация и т.п. Схожие параметры дают возможность объединить атаки в кластеры, а затем в группировки. Однако проблема заключается в том, что разные компании и исследователи называют одни и те же кластеры по-разному, что и приводит к путанице 😃

Возможно стоит подумать об унификации подхода в именовании и классификации для облегчения анализа и координации разных компаний, исследователей, регуляторов и центров мониторинга и реагирования на угрозы. Или это утопия? 😕

Читать полностью…

В отчете "2024 State of Ransomware Report" от Malwarebytes говорится, что большинство атак шифровальщиков происходит с часа ночи до пяти утра, когда айтишники спят и видят сны. А тут, бац, вторая смена (с) 😴

Я такой кейс часто на штабных киберучениях рассматриваю. А вы пока можете сами себе задать вопрос: "Как мы реагируем на инцидент, который начинается в 3 часа ночи и который требует реагирования?" И вариантов ответа на него не так уж и много:
1️⃣ Круглосуточно работающий собственный SOC
2️⃣ Аутсорсинг функции обнаружения и реагирования в нерабочее время во внешний SOC
3️⃣ Обучение дежурной ИТ-смены реагированию на типовые сценарии/кейсы
4️⃣ Внеурочная работа ИБ и вызов в любое время дня и ночи, прописанные в трудовом договоре (с соответствующей компенсацией)
5️⃣ Автоматизация ИБ, а в идеале и автопилот.

Читать полностью…

Тут классическая карта уровней Cyber Threat Intelligence (стратегический, тактический, операционный) и процесса обмена информацией по угрозам, каждый из которых разбит на элементы:
1️⃣ Аудитория для TI
2️⃣ Инструменты анализа
3️⃣ Фокус в анализе
4️⃣ Форма результата анализа
5️⃣ Частота репортинга

ЗЫ. Ничего сверхестественного и нового, просто еще одна визуализация. Юрген - молодец!

Читать полностью…

Продолжаю постить картинки/фреймворки Юргена 😊 В этом посте будет еще один фреймворк, посвященный на этот раз моделированию угроз, после чего можно будет плавно перейти в разработку сценариев обнаружения угроз (use cases) 🤔

В данном случае на вход подается информация о защищаемом бизнесе, архитектуре предприятия и его ИТ-инфраструктуры, а также данные по имеющимся рискам и практикам управления ими 💎 Затем, в зависимости от выбранного подхода моделирования (от нарушителя, от защищаемых активов, от приложений) предлагается составить перечень ✔️ исходных данных (в каждом случае он будет свой). С точки зрения моделирования не учтен как минимум один из подходов - data-centric, то есть на основе защищаемых данных. Ну а потом уже даются подсказки, какие из существующих методик оценки угроз, стоит использовать в том или иной сценарии 💬

Не могу сказать, что эта картинка отвечает на все вопросы моделирования, особенно, если вы этим процессом не занимались. За ней должна скрываться целая методология, которая описывает, какой из подходов выбрать и, как следствие, какой из имеющихся фреймворков по оценке угроз применять. Где-то STRIDE/DREAD подойдет, а где-то лучше сработает PASTA, где-то MITRE TARA (я про нее писал), а где-то и вовсе нужны Raindance или PyTM.

Читать полностью…