Пост Лукацкого

25 января 2024 16:04

Очередная "версия" "интервью" 🎤 Тинькова на тему кибербеза, но более длинная (даже затянутая, я бы сказал) и по большему числу вопросов ИБ, включая нормативку, компании, людей, инциденты (даже утечку у Альфы уже потроллили), ИБ-продукты и т.п. 🤔

Пост Лукацкого

25 января 2024 12:31

Если вдруг вам интересно, то рынок средств моделирования угроз к 2030-му году достигнет значения в 2,4 миллиарда долларов США (в 2022-м он составлял 800 миллионов долларов) при ежегодном росте в 15,2%!

Пост Лукацкого

25 января 2024 05:40

Пока HPE призналась, что ее хакнула «Полуночная метель» (она же APT29, она же Cozy Bear), взломавшая пару недель назад Microsoft, я немного пофилософствовал на тему, есть ли у нас регуляторы, отвечающие за развитие отрасли ИБ, или они только отвечают за реализацию государственной политики?..

Пост Лукацкого

24 января 2024 19:14

Вот и нас такое может ждать. Наверное… Хотя кого у нас очернять? Основной кандидат и вероятный победитель 🏆 вне досягаемости и проводить такие операции против него бессмысленно 🤦‍♂️

Пост Лукацкого

24 января 2024 12:35

Генеральный директор HP в интервью на полях Давоса, на вопрос, какого рожна они блокируют принтеры 🖨 с неофициальными картриджами, ответил буквально следующее: "Мы сталкивались с тем, что в картридж можно внедрить вирус, который через картридж попадает в принтер, а затем и в локальную сеть".

Оставим в стороне корректность этого заявления, массовость 😂 таких историй, а также усилия (их отсутствие) со стороны HP по предотвращению реализации такой возможности в принципе. Просто задам классический вопрос - у вас в модели угроз это предусмотрено? Вы проводите спецпроверки и специсследования покупаемых картриджей и как вообще вы проверяете их подлинность? В конце концов, если такое возможно для пиратских картриджей, то почему такое невозможно в легальных? Подумайте об этом на досуге!

Пост Лукацкого

24 января 2024 09:04

У нас не так часто появляются крупные новые мероприятия по кибербезопасности, поэтому я не мог не написать про 4 новых конференции, объединенных единой концепцией, но посвященных 4-м разным темам внутри ИБ. Речь о "Территории безопасности: все pro ИБ", в рамках которой 4 апреля 2024 года на единой площадке (HYATT REGENCY PETROVSKY PARK) пройдут 4 отдельных мероприятия, каждое со своей программой и спикерами:
1️⃣ PRO расследования инцидентов 🕵️‍♂️
2️⃣ PRO обнаружение угроз 🔍
3️⃣ PRO управление уязвимостями 🕳
4️⃣ PRO безопасную разработку 👨‍💻

Идейный вдохновитель нового мероприятия знаком всем, кто посещал московский CISO Forum. Теперь эта команда организовывает "Территорию безопасности". У меня на ней будет модерация пленарки одной из 4-х конференций и проведение мастер-класса по процессу обнаружению угроз.

Пост Лукацкого

23 января 2024 19:24

- У нас инцидент! Давайте обрежем доступ в Интернет.
- Я бы не стал, это может повлечь негативные последствия для нас.
- Пофиг. Режем…
- …
- Почему у меня нет доступа к SIEM? Нас атаковали!
- Нет. Просто у нас SIEM в облаке, а мы отрубили доступ в Интернет!
- Почему мне никто не сказал?..

Пост Лукацкого

23 января 2024 12:40

Пример того, как должен выглядеть сайт по криптографии - http://cryptography.ru/ Не вычурно, спокойный дизайн, лаконично, без сложных формул 🤘

Пост Лукацкого

23 января 2024 05:40

Термин «нормализация отклонений» ввела Дайян Воган (Diane Vaughan), обсуждая катастрофу «Челленджера» 🚀 (вы помните, что это?). В условиях отсутствия недопустимого оно превращается со временем в норму.

В ИБ такое происходит сплошь и рядом. Когда у тебя долгое время не происходит инцидентов, сначала легкие, а потом и более опасные нарушения 😦 политик ИБ становятся в порядке вещей 👿 Именно поэтому киберучения в любой форме (от штабных до фишинговых симуляций) так важны 🤓

Пост Лукацкого

22 января 2024 15:58

Плохие парни осваивают ML и предлагают заказную разработку на его основе (хорошо, что про DevSecOps в предложении ни слова). А ты 🫵 уже осваиваешь все это, чтобы быть на одной волне с теми, кто тебя атакует?

Пост Лукацкого

22 января 2024 09:01

Минцифры тут отчиталось о результатах деятельности Национального технологического центра цифровой криптографии в 2023 году. Как по мне, хотя я известный критик наших регуляторов, ничего конкретного в пресс-релизе Министерства нет. На сайте центра в разделе "наши проекты" так вообще полная пустота (даже про "мультисканер", который запустили еще до появления Центра цифровой криптографии, ни слова).

Пост Лукацкого

21 января 2024 19:37

Запилил на сайте раздел "Мои ближайшие выступления", куда потихоньку включаю те мероприятия, на которых планирую выступать 🎙 или модерировать. Пока у нас только начало года - так что планы не очень обширны, но зато уже есть подтвержденные даты аж на сентябрь 🍁

Пост Лукацкого

21 января 2024 12:12

За 1️⃣0️⃣ лет наука в России серьезно продвинулась вперед. Раньше угрозы оценивали по хакерским конфам, теперь по форумам в Интернете. Пора возвращать присуждение кандидата наук «по совокупности заслуг» и всем специалистам по Threat Intelligence дать корочку к.т.н.

Это, к слову, решит множество важных государственных задач. Мы станем страной 🔣1️⃣ по числу кандидатов наук, а они порадуют своих мам (а родителей надо регулярно радовать). А вот уровень энтропии из-за возросшего числа кандидатов не изменится (ни в какую сторону), то есть и тут польза!

ЗЫ. Дважды входил в реку под названием «кандидатская» и дважды так и не переплыл ее. Но за диссертациями по ИБ приглядываю.

Пост Лукацкого

20 января 2024 19:06

Они сговорились? То «Полуночная метель», теперь вот «Холодная река». Они и правда думают, что в России так холодно 🥶 А следующее что, «Лебединое Ледяное озеро» или «Снежная карусель»?

Пост Лукацкого

20 января 2024 12:12

CISA и ФБР выпустили предупреждение, что китайские дроны за счет имеющихся уязвимостей позволяют шпионить за критической инфраструктурой США, а также сливать данные китайцам 🚰

Ни одного доказательства не приводится, но упоминаются китайские законы, которые обязывают китайские 🇨🇳 же компании сотрудничать со спецслужбами 👲 из Поднебесной и сливать им все - данные, уязвимости и т.п.

Как по мне, так можно заменить слово БПЛА из предупреждения на любое другое устройство из Китая 🐲 - законы все равно те же самые.

Пост Лукацкого

25 января 2024 14:24

Для информации: конференция ФСТЭК пройдет 14-го февраля в Москве в рамках ТБ-Форума. Ждите официальных анонсов ⏳

Но если вы на Уральский форум едете (14-16 февраля) в Екатеринбург, то вам не повело 😭 конфу ФСТЭК вы не посетите. И для кого-то это непростой выбор. Правда, при условии, что в этом году на конференции ФСТЭК действительно будут выступления от ФСТЭК, а не как в прошлом году, когда их было всего одно или два.

Пост Лукацкого

25 января 2024 09:05

Минцифры выпустило годовой обзор работы систем "Антифишинг", которая занимается мониторингом фишинговых 🎣 сайтов и утечек персональных данных. Но это только название этой системы - в реальности, судя по представленной статистике 📈, она боролась преимущественно с деструктивным и запрещенным контентом, - таких ресурсов было выявлено 42% от общего числа. В 4 раза меньше было фишинговых ресурсов и в 14 раз меньше - с утечками ПДн.

С точки зрения фишинговых ресурсов 🖥 больше всего страдали в 2023-м году Тинькофф, Вайлдберрис и Телеграм ✈️. Технических деталей, как был организован фишинг, в отчете, к сожалению не дано. Ни слова про редиректы, персонализацию, фишинг-киты и т.п. информацию. Без этого, практическая польза от отчета не очень высока, к сожалению. Надеюсь, что в 2024-м году этот отчет будет содержать не только отчетные цифры, которыми хорошо хвалиться, но и конкретные рекомендации, что делать, чтобы не попасться на удочку мошенников 👎 или что делать, если вы столкнулись с фишинговыми ресурсами.

ЗЫ. ГРЧЦ тоже поделился результатами своей работы за прошлый год с точки зрения борьбы с киберугрозами. Меня там только одно смутило - они тоже борются с фишингом. Две структуры Минцифры делают одно и тоже? Зачем?

Пост Лукацкого

24 января 2024 19:14

В Нью-Хэмпшире демократы, которые должны голосовать на президентских праймериз, получили звонок от фейкового Джо Байдена. Голос американского президента был воссоздан при помощи ИИ. Послушать запись можно здесь.

В коротком звонке Байден просил воздержаться от голосования:

🤖📞 Что за чушь! Вы знаете ценность демократического голосования, наши голоса учитываются. Важно, чтобы вы сохранили свой голос для ноябрьских выборов. Нам понадобится ваша помощь в выборе кандидатов от демократов. Голосование в этот вторник только поможет республиканцам в их стремлении снова избрать Дональда Трампа. Ваш голос имеет значение в ноябре, а не в этот вторник. Если вы хотите, чтобы вас удалили из списка будущих вызовов, пожалуйста, нажмите "2" сейчас.

Далее в голосовом сообщении был указан номер Кэти Салливан, бывшего председателя Демократической партии Нью-Хэмпшира. Она назвала сообщение фейком и попросила привлечь к ответственности тех, кто создал и распространил его. Звонок, по словам демократов, очевидно создан с целью очернить имидж партии и президента.

Представитель предвыборного штаба Трампа сказал журналистам NBC, что “это не мы, мы не имеем к этому никакого отношения”.

Пост Лукацкого

24 января 2024 16:03

Эксперты предсказуемо скептически 🤦‍♂️ отнеслись к интервью гендиректора HP про закладки в картриджах для принтеров 🖨, посчитав, что если такое и возможно, то только на уровне государственных хакеров. Зато желание HP заработать бабла 🤑 на продаже своих картриджей по конским ценникам считывается на раз-два.

ЗЫ. Вот с 3D-принтерами ситуация иная - там такие риски есть, но не на уровне картриджей, а на уровне загружаемых моделей, в которые можно вносить несанкционированные изменения и, если такой принтер печатать орган тела 💗, здание или какую-нибудь деталь, то последствия могут быть очень и очень серьезными.

Пост Лукацкого

24 января 2024 10:38

«Мать всех утечек», о которой многие написали вчера, и которая содержит персданные 26 миллиардов (!) человек, - это не более чем компиляция 👎 ранее утекших баз. Ничего нового там нет 👎

Пост Лукацкого

24 января 2024 05:40

Сегодня/вчера австралийцы обвинили россиянина в причастности к инциденту со страховой компанией Medibank. Он, конечно же, все отрицает, но ему никто не верит. А я решил посмотреть на инцидент с Medibank с точки зрения финансовых последствий от него и во что обошлась компании утечка персданных и отказ от выплат вымогателям. И там получилась очень интересная картина, частично подтверждающая мою статью про финансовое измерение инцидента ИБ.

Пост Лукацкого

23 января 2024 16:02

Думаю, все помнят красивую пузырьковую диаграмму, отображающую самые крупные утечки данных. Так вот есть такая же, но по атакам шифровальщиков. Все актуальные, со свежайшими данными, вплоть до января 2024 года.

Пост Лукацкого

23 января 2024 08:57

Роскомнадзор, борясь в прошлом году с 🌈 пидарасами, принес в казну 50 миллионов рублей 💸 И это чуть ли не больше, чем все назначенные им штрафы за нарушение закона о персданных за все время существования ФЗ-152 😲 Видя такой успешный успех, стоило бы переориентировать бы весь этот орган надзора на более прибыльную для бюджета России (что сейчас очень актуально) тематику и пусть все региональные управления по персданным займутся тем, где пользы больше, хотя критерии отнесения к объекту контроля такие же нечеткие и непонятные 🌈

ЗЫ. На картинке отзыв на Amazon, показывающий, что всегда найдутся те, кому нравится борьба с греховным «вредным» и запрещенным.

Пост Лукацкого

22 января 2024 19:12

Интересная математическая задача в этой рождественской песне про ИБ. Сколько эксплойтов, зеродеев, бекдоров и ключей шифрования было отправлено любимым?

Пост Лукацкого

22 января 2024 12:36

Мне, в контексте новостей о центре цифровой криптографии, вдруг вспомнился интересный проект японской NTT на базе так называемого шифрования 🗝 на базе атрибутов (attribute-based encryption, ABE), в котором закрытый ключ зависит от атрибутов пользователя (должность, место жительства, тип учетной записи, уровень привилегий и т.п.). Эта схема, предложенная на Eurocrypt в 2005-м году и получившая в 2020-м награду 🏆 IACR Test-of-Time, позволяет более эффективно шифровать данные не на персональных ключах пользователей, а на групповых ключах шифрования, что позволяет более гибко предоставлять доступ к защищаемой информации.

Это интересный метод, который уже начинает тестироваться на практике, как считают, может существенно помочь решить проблему с приватностью данных, в том числе и персональных. Например, пользователь может получить доступ не ко всем данным в БД, а только к своим данным, зашифрованным на "его" ключе. Или вы открываете доступ к городским видеокамерам, использующим ABE-шифрование, и жители получают доступ только к камерам своего дома, района, школы их детей, а ко всем остальным доступ закрыт 🚫 Очень гибкая и интересная схема. А еще можно выложить на исследовательский портал данные, к которым получат доступ только те, кто входят в группу, занимающуюся соответствующим проектом и никто более.

Интересный проект был реализован в рамках ABE-хакатона, инициированного NTT в 2022-м году. С видеокамер 📹 собирались данные, на которых, с помощью ИИ, распознавались лица и различные объекты. Потом лица размывались (blur) для соблюдения законодательства по персональным данным, а метаданные изображений и объектов на них шифровались с помощью ABE и таким образом хранились. И доступ к лицам людей и объектам на видео получали только уполномоченные лица 🫡, а не все желающие. На хакатоне было и много других проектов - от RBAC-доступа в банковской среде к более фокусному ABE-доступу, доступ разных сотрудников работодателя к персданным других работников, билеты и физический доступ к транспортным услугам 🎟, защита медицинских данных, умные GDPR-камеры и т.п.

Интересно, наш Центр цифровой криптографии занимается схожими историями?

Пост Лукацкого

22 января 2024 05:40

В 2003-м году NIST выпустил руководство SP800-55 "Метрики безопасности для информационных систем". В 2008-м было выпущено серьезное обновление (Rev 1), которое было переименовано в "Руководство по измерениям информационной безопасности" 📏 И вот пару дней назад NIST выпустил очередное обновление этого документа 🧮

Это не финальная версия, но она уже отличается от проекта 2022 года. После получения замечаний и предложений было принято решение разделить его на две части, расширив и углубив каждую часть. Первая описывает качественные и количественные измерения 📐, дает основы анализа данных, описывает базу по моделированию размера ущерба 🕯 и вероятности наступления негативных последствий, а также рассматривает с разных сторон процесс разработки, выбора и приоритизации метрик и измерений ИБ 🛍 Вторая часть сфокусирована на создании и управлении программой измерения ИБ в организации.

ЗЫ. Предложения и замечания собираются до 18-го марта. Значит итоговый документ появится к концу этого года.

Пост Лукацкого

21 января 2024 16:33

Часы Судного дня сейчас установлены ближе всего к полуночи за всю историю этого проекта (90 секунд до конца света 💥). Но интересно, что несмотря на рост числа кибератак ☄️ на атомные объекты и даже остановки реакторов из-за них, это никогда не становилось причиной перевода стрелок; к счастью 🛡

Пост Лукацкого

21 января 2024 07:40

У традиционных SIEM, архитектура которых создавалась совсем в другое время, существует целый ряд проблем, которые заставляют задуматься об их будущем:
1️⃣ Отсутствие простой и отчуждаемой от вендора процедуры разработки/добавления коннекторов к нужным источникам данных
2️⃣ Невозможность отдачи собранных данных в другие системы для анализа
3️⃣ Проприетарные формат базы данных и API, не позволяющие использовать аналитикам привычные им инструменты работы с собранной информацией
4️⃣ Устаревшие форматы БД, приводящие к ее разбуханию, что приводит либо к росту стоимости SIEM, либо к необходимости приоритизации собираемых событий и подключаемых источников и, потенциально, пропуску инцидентов
5️⃣ Немасштабируемые технологии поиска данных, приводящие к сложности ретроспективного анализа даже на среднесрочном горизонте в 30+ дней
6️⃣ Ориентация только на структурированные данные
7️⃣ Монолитная архитектура, не разделяющая уровни сбора, хранения и анализа данных.

Я не говорю, что SIEMам всё, кирдык. Скорее стоит ждать нового класса|поколения решений, которые лишены описанных недостатков не полностью, а скорее частично. Что-то уже появляется на мировом рынке, что-то проявляется у нас... Завершил объемную статью ✍️ про возможное разноплановое будущее SIEM. Скоро опубликую...

Пост Лукацкого

20 января 2024 16:34

Тут опубликовали мою статью "Что ждет кибербез в год Темного Лося?", в которой я в расширенном формате описал то, что может ждать нас с точки зрения ИБ. Разумеется писал не прям обо всем, но удалось переложить на бумагу мысли про:
🔤 Новые угрозы
✔️ Вокруг грядущих выборов
✔️ Атаки на базе ИИ
✔️ Квантовые компьютеры
✔️ Вайперы (не путать с вейперами) и шифровальщики
✔️ Шпионские кампании
✔️ Атаки на подрядчиков и MFT
✔️ Рост числа ветеранов кибервойн
✔️ Рост атак на КИИ
✔️ Атаки на уровне ниже ОС
✔️ Атаки на спутники и БПЛА
✔️ Уязвимостей станет больше
🔤 Технологии кибербеза
✔️ Унифицированный мониторинг угроз и реагирование (TDIR)
✔️ Непрерывный анализ защищенности (CTEM)
✔️ Машинное обучение в ИБ
✔️ Рост автоматизации
✔️ NGFW
✔️ Рост зрелости DevSecOps
✔️ Zero Trust
🔤 Регуляторики и разного совсем чуть-чуть

Пост Лукацкого

20 января 2024 07:40

Небольшой скандальчик с JPMorgan. Их представительница заявила в Давосе, что они сталкиваются с 45 миллиардами 😲кибератак в день. Это сразу же повлекло за собой кучу мемов в Интернете и удаление одиозных заявлений из бизнес СМИ. Но мы же помним про «эффект Стрейзанд». В общем, Интернет в шоке 😂 После этого заявления про 75 миллионов компьютерных атак на сайт Президента в год выглядит уже вполне себе.

ЗЫ. Дама из JPMorgan также заявила, что у них инженеров больше, чем в Google и Amazon. На вопрос «Зачем» она ответила «Потому что мы должны» 🤓

ЗЗЫ. В 2019-м году в JPMorgan заявляли, что тратят на ИБ 600 миллионов долларов ежегодно! 6️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣, мать их, долларов!