Новое исследование ReversingLabs описывает, как северокорейские 🇰🇵 хакеры из, предположительно, Lazarus Group обманывают разработчиков ПО, выдавая себя за рекрутеров финансовых компаний. Они, в рамках собеседований, предлагают фальшивые задания, содержащие вредоносные Python-файлы 📱, которые служат загрузчиками вредоносного ПО, связываясь с сервером управления для выполнения нужных хакерам команд 🖥 Эта кампания указывает на растущую тенденцию использования открытых пакетов и платформ для атак на разработчиков ПО.

Аналогичная кампания от Lazarus была обнаружена в апреле компанией Securonix. Она получила название Dev#Popper и помимо вредоносных файлов Python также использовались и файлы JavaScript 📱, содержащие опасное содержимое. До этого, схожие кампании "Contagious Interview" и "Wagemole" обнаружили специалисты подразделения Unit42 компании Palo Alto. Не обошли вниманием эту тему и специалисты японского CERT, также атрибутировавшие вредоносные PyPI-файлы с Lazarus 👨‍💻 Microsoft даже называет конкретную жертву схожей кампании - компанию CyberLink Corp., тайваньского разработчика ПО, пострадавшего также от северокорейской APT-группировки, но не Lazarus, а Diamond Sleet (ZINC). KnowBe4 в поисках разрабочика ПО тоже столкнулась в июле этого года с атакой от северокорейских хакеров. Наконец, год назад, в сентябре 2023 года, Lazarus была замечена в попытке поймать на удочку разработчика испанской аэрокосмической компании 🚀

Что общего во всех этих кейсах? Нет, не происхождение APT-группировок. С тем же успехом это могли быть китайские хакеры или американские или сирийские или иранские 🥷 Дело в другом - во всех случаях атака была направлена на разработчиков ПО, которые привыкли жить достаточно безмятежно и не всегда задумываться о том, что они делают и насколько они "вкусны" как жертвы для различных хакерских группировок 🍦 При этом часто бывает, что разработчики находятся вне контроля служб ИБ в своих компаниях и на это есть множество причин - от нежелания ИБ погружаться в кухню DevOps до недопущения самими разработчиками службы ИБ на свою поляну. А результат мы видим в росте числе успешных атак на программистов, что открывает широкие возможности для хакеров по компрометации не только инфраструктуры компании, в которой трудится разработчик, но и по внедрению имплантов в код, который этот разработчик пишет (вспомним кейс с SolarWinds или менее известный с 3CX) ⌨️

ЗЫ. Надеюсь, смогу поговорить про это в рамках грядущего Positive Security Day, где одна из дискуссий, в которых я участвую, будет посвящена как раз результативному взаимодействию ИБ и разработчиков.

Читать полностью…

Не мог удержаться 😊

Читать полностью…

Ахренеть… 💥 Не надо встраивать средства самоликвидации в свои продукты, а если встраиваете, доверьте профессионалам проверку их защищенности и возможности обойти защитные механизмы (если они есть) 😷 А иначе может быть больно; в буквальном смысле.

А израильтяне с американцами повторили «успех» Stuxnet 🪱, на мой взгляд. Ведь, чтобы одномоментно вывести из строя пейджеры и рации в разных странах (не только в Ливане), нужно было провести немало исследований и натурных экспериментов. Новый виток гонки кибервооружений, демонстрирующий влияние ИБ на мир физический 🔪

Читать полностью…

У Гартнера, похоже, KPI по числу новых аббревиатур, которые они должны ввести в оборот 🤦‍♂️ Вот они тут на днях родили новый акроним - ASCA, то Automated Security Control Assessment. Чем это решение отличается от того же BAS или CTEM не очень понятно - тот же анализ способности реализовать атаку при наличии имеющихся средств защиты? Нет ответа, а термин новый есть. Эксперты подтрунивают над Gartner, а он и в ус не дует - продолжает плодить новые и новые аббревиатуры 🤔

Ну а пользователям, задумавшимся о поиске, выборе и покупке ASCA, стоит задаться простым вопросом - какого результата вы хотите достичь, применяя средства анализа защищенности?..

Читать полностью…

Заявляя о невзламываемости своей системы, сначала позовите профессионалов это проверить, а то может быть неудобно 🫢

Читать полностью…

Все смешалось в уголовном праве. На днях министр МВД Владимир Колокольцев сообщил, что число киберпреступлений растет и уже превышает 40% в общей массе. Хотя растет разве что желание силовиков квалифицировать любые компьютеризированные правонарушения как киберпреступления, не разбираясь, кто на самом деле преступник, а кто жертва.

Тема актуальна для нашумевших уголовных дел против админов телеграм-каналов, которых следственные органы квалифицируют и как вымогателей - без факта вымогательства, и как киберпреступников - хотя от "кибер" там нет ничего. Эксперты называют такие дела "информационными". Напомним, что еще в декабре 2023 года года Владимир Путин поручил привести в порядок правоприменительную базу по ненасильственным преступлениям,  чтобы грозящие фигурантам сроки не превышали разумные пределы. Но воз и ныне там, следователи по-прежнему используют обвинения в вымогательстве там, где им не место.

Проблемы правоприменения УК РФ обсудили авторитетные юристы на круглом столе, организованном порталом «Право.ru». Ключевая проблема - следствие и суд в России не имеют квалификации или не заинтересованы в нормальном расследовании дел об "информационных преступлениях". В итоге дела шлепают как под копирку. Член СПЧ Ева Меркачева рассказала о множестве обращений как от жертв IT-преступников, так и от самих граждан, обвиняемых в совершении преступления. И основная жалоба та же, о которой говорил президент — несовершенство правоприменения.

Самая порочная практика, когда людей судят за вымогательства, хотя в их уголовных делах нет самого состава преступления. На это обратил внимание профессор МГЮА Константин Ображиев - следователи пользуются ст. 163 УК РФ, которая уже устарела. В 90-е ее использовали против рэкетиров, которые пытали жертв утюгами, а сейчас применяют против владельцев каналов, которым условные потерпевшие сами предлагают деньги. Без всяких угроз, потому что нельзя угрожать информацией, которая уже опубликована и распространена, в этом нет смысла.

Это говорит о том, что уголовное законодательство в этом сегменте очевидно недоработано и нуждается в модернизации, как минимум в части ст. 163 УК РФ. Эксперты в области юриспруденции сходятся во мнении, что необходимо пересматривать правоприменительную практику в контексте киберпреступлений и усилить работу по подготовке кадров МВД и прокуратуры в области кибербезопасности. И нужно "справедливизировать" УК РФ, чтобы следователи не могли применять составы преступлений по делам произвольно, игнорируя букву закона.

Читать полностью…

Завершая тему бюджетирования ИБ, начатую тут и тут, немного о метриках, связанных с этим направлением деятельности CISO 🤑 Первые два места занимают... та-дам... процент от ИТ-бюджета или от годового дохода. Но... важно, что эти показатели бессмысленны, когда ты их берешь извне и на них равняешься, но имеют значение, когда ты отслеживаешь динамику в рамках предприятия с течением времени. Тогда оно может иметь хоть какой-то смысл 🤔

Бюджет в пересчете на сотрудника чем-то схож с тем, как иногда считают в ритейле - что-то в пересчете на квадратный метр. Помню даже в одной компании ИБ считали в пересчете на квадратный метр площадей магазинов 🛍

Пятерку замыкают количество специалистов по ИБ на общее число сотрудников и на число ИТ-специалистов. В первом из них я большого смысла не вижу (все-таки не телохранителей считаем), а второй может характеризовать уровень внимания к ИБ и уровень ее автоматизации 📎

Читать полностью…

Очередная карточная игра по ИБ в моей коллекции 🃏 Но очень минималистичная... Авторы не очень заморачивались нарративом и синопсисом 🧐

Читать полностью…

Даже самые искусные из мастеров теней, что бродят по просторам загадочного Мрака Сети, не могли бы сравниться с Чуном, что некогда был известен как искусный кузнец злых чар киберпространства 👨‍💻 Этот умелец из народа инженеров кибербезопасности, сам бывший хакер, некогда творил зловредные вирусы и продавал их тайным торговцам, ищущим силы в мире цифровом 🦠 Но настал день, когда он оставил свой темный путь, когда нашел любовь и создал семью. Женитьба и рождение дочери стали для него тем светлым маяком, что вывел его из мрака на путь исправления.

Ныне Чун обосновался в древнем замке аутсорсингового SOC’а, где служит стражем и защитником, наблюдая за землями цифровых королевств, а особенно за банками, что обитают в тех землях 👀 И когда враг вторгается, как вор в ночи, Чун поднимается, чтобы отразить угрозу. Но однажды, отбивая нападение врага, он обнаруживает с ужасом, что удар был нанесен тем, кто должен был быть его союзником — его собственным предводителем, лордом Чи 🐲

Чун, движимый жаждой справедливости и стремлением восстановить свое доброе имя, решает проникнуть в глубины темного подземного мира — даркнета. Там, в этой бездне, он намеревается использовать могущественный вирус, созданный его гением и одаренный искусственным разумом 🧠, чтобы обрушить все козни врага. Но Чи, хитрый и подлый, с сердцем тёмным как Мория, защищен магией семнадцати брандмауэров, совершает ужасное преступление — похищает жену и дочь Чуна, стремясь силой обратить его на свою сторону 🤬

И тут всплывает еще более мрачная истина. Сам Чи служит темному владыке гонконгской 🇭🇰 мафии, тому, кто держит его в плену обещания расправиться с его больным братом. Жаждя свободы, Чи решается на отчаянный шаг и подмешав яда коню железному прежнего правителя своего SOC’а, что приводит к смерти и его и его близких, ставит Чуна на его место, соблазнив его клятвой власти и силы 💪 Так Чун, гонимый обстоятельствами и плененный судьбой, переходит на темную сторону, склонившись перед мраком, что прежде лишь тенью касался его сердца...

Вы ознакомились с кратким содержанием фильма "Кибератака" (он же CyberHeist), на который я вчера случайно наткнулся 🎬 Как говорили в советских детективах, фильм "художественной ценности не представляет", но прикольно посмотреть как авторы фильма визуализируют хакеров, Даркнет, кибератаки и вот это вот все! 🍿

Читать полностью…

Ну какая ИБ без котиков...

Читать полностью…

Американские военные эксперты сейчас в разных СМИ высказывают мнение, что дроны сильно изменили ход ведения боевых действий и танки 💪, которые еще раньше безраздельно главенствовали на поле боя, сейчас больше времени стоят в ангарах, так как никто не хочет терять железку стоимостью до 10 миллионов долларов, которую атакует БПЛА ценой в каких-то 500 долларов (в 🔤🔤🔤🔤🔤 раз меньше) 🛫 Поэтому-то сейчас военная мысль крутится вокруг оснащения танков различными средствами антидроновой защиты, а также придания им большей маневренности.

И мнится мне, что схожая история происходит сейчас и в ИБ (хотя и не так явно, так как мы имеем дело с виртуальным пространством). Компании продолжают по привычке закупать дорогостоящие средства защиты 🤑, соответствующие всем допустимым аббревиатурам и находящиеся во всех мыслимых квадратах и волнах, не всегда даже задумываясь, чтобы проверить защищенность продуктов на предмет их умения противостоять в реальных инцидентах 🤕 И дело даже не в пилотах - их научились проводить все. Но пилот сродни сертификации - проверяет, что продукт выполняет некоторые заранее определенные функции. А вот способен ли он отражать атаки?

Именно поэтому в службе ИБ должен быть реализован offensive-трек в том или ином виде. Кто-то просто будет требовать от вендора результатов независимой оценки ✔️ Кто-то приобретет или возьмет в аренду решения класса BAS. Кто-то воспользуется услугами пентестеров или red team 🔓 Кто-то выставит средства защиты на киберполигон. Вариантов достаточно много разных - на разный уровень зрелости и разный кошелек. Главное, не манкировать этой задачей, думая, что средство защиты хорошо во всех сценариях и против всех возможных угроз. Кейс с противостоянием дронов и танков 🛸 показывает, что реалии немного иные и со временем эффективность разных классов средств защиты снижается.

Читать полностью…

Не успел еще отойти от Красноярска, а уже снова пора паковать чемоданы и готовиться к Новосибирску, где я выступаю на Positive Tech Day с чем-нибудь интересненьким 👍 Пока не придумал с чем. Если бы я не отменил свое участие в тюменском нефтегазовом форуме 🛢, то можно было в Москву вообще не возвращаться и нормально адаптироваться к смене часовых поясов - из Красноярска в Тюмень, а оттуда в Новосиб... Но нет. Вернусь в Белокаменную, а потом опять "под крылом самолета о чем-то поет зеленое море тайги..." 🌲🌲🌲

Читать полностью…

Бесплатный курс OWASP SAMM Fundamentals. 79 модулей, 5 часов, посвященных модели зрелости OWASP’s Software Assurance Maturity Model (SAMM), одному из популярных фреймворков, используемых для оценки практик безопасной разработки в организациях 🧑‍💻

Читать полностью…

Интересный пример. Не тем, что бразильскую компанию взломали и предлагают в нее полный административный доступ всего за 15 тысяч долларов. И даже не тем, что предлагается доступ к консоли управления антивирусом, что позволяет отключить его, облегчив тем самым заражение всей инфраструктуры (об аналогичных кейсах прошлым летом писал НКЦКИ в свою бюллетене) 🤕

Интересен этот кейс бизнес-моделью - либо ты покупаешь доступ за пятнашку и делаешь с ним что хочешь, но и выгода вся тебе. Либо платишь всего пять тысяч, но тогда в случае получения выкупа от жертвы, 30% отдаешь продавцу доступа 🤑 Этакий revenue sharing, который не очень хорошо приживается на рынке MSSP/MDR, когда вендор продает провайдеру услуг свои продукты не по полной стоимости, а за ее часть, а остальное возвращается по мере заработка со стороны MSSP, что должно заинтересовать лучше работать обе стороны 🤝 Но у хакеров это, видимо, работает лучше, чем в ИБ-индустрии.

Читать полностью…

Хакер с ником Fortibitch заявил о взломе компании Fortinet и краже у нее 440 ГБ данных 🛍 В своем посте ☝️Fortibitch глумится над ИБ-компанией, которая недавно купила DLP-вендора и компанию, занимающуюся безопасностью облаков, что не помогло защититься от утечки в облачном хранилище Azure SharePoint 🧑‍💻

Хакер также утверждает, что генеральный директор Fortinet отказался от переговоров 😠 по сумме выкупа, заявив при этом хакеру, что он "лучше будет жрать дерьмо, чем заплатит выкуп" ("eat poop than pay a ransom"). Fortibitch также удивляется, что Fortinet до сих пор не отправила уведомление об инциденте по форме 8-K в Комиссию по ценным бумагам (ну да это, как мы видим, нормальная практика у ИБ-компаний в разных странах, включая и Россию), как обязана была сделать 📞

Компания Fortinet подтвердила факт взлома, уточнив, что взломана не их инфраструктура, а чужая, и что от утечки пострадало небольшое число клиентов. До конвейера разработки хакер не добрался, исходники не стянул, импланты не внедрил ✨

"An individual gained unauthorized access to a limited number of files stored on Fortinet’s instance of a third-party cloud-based shared file drive, which included limited data related to a small number of Fortinet customers, and we have communicated directly with customers as appropriate. To-date there is no indication that this incident has resulted in malicious activity affecting any customers. Fortinet’s operations, products, and services have not been impacted.”

Это тоже уже становится нормой - валить все на облачных и хостинг провайдеров ("на хрена ты тогда его выбираешь, если он дырявый и небезопасный?" задам я риторический вопрос) 😠

В 2023 году другой хакер уже взламывал одно из подразделений Fortinet, а именно купленную ими в 2020-м компанию Panopta, занимающуюся, как бы странно это не звучало, мониторингом облачных сред 🖥 Позже украденные с Github-репозитория данные были выложены на одном из русскоязычных форумов 🎃

PS. На фоне новостей о взломе акции Fortinet упали на 3% 😭

Читать полностью…

Тут один CISO делится своими советами о том, как специалистам по ИБ писать (с ударением на второй слог) ✍️ Он справедливо замечает, что это больше, чем проявление просто технических знаний и что надо быть креативным, усидчивым и иметь иные навыки. Автор подчеркивает важность целеустремленности и дисциплины для успеха в написании ✍️ качественного контента, который будет востребован как внутри компании, так и за ее пределами (а это признание коллег, большая известность, большие карьерные возможности, больший доход и т.п.).

Итак, какие 10 советов дает Джошуа Гольдфарб (с моими комментариями местами): ✍️
✍️ Уделяйте время писательство - это труд и он требует определенных усилий.
✍️ Пишите регулярно. Не обязательно раз в день или несколько раз в сутки - просто соблюдайте определенную частоту, а не хаотичность в творчестве.
✍️ Развивайте креативность.
✍️ Ищите вдохновение вокруг себя. Преломляйте ИБ на окружающий мир и окружающий мир на ИБ.
✍️ Имейте запас историй, которых у специалиста по ИБ должно быть немало.
✍️ Знайте свою аудиторию.
✍️ Говорите на языке читателей. Детям на детском, технарям на технарском, бизнесу на бизнесовом. У всех разный язык и сленг и надо это учитывать, а не пытаться переучивать всех своей мове.
✍️ Будьте практичны. Философские рассуждения - это прикольно, но трансерфинг реальности в ИБ не может быть постоянным; добавляйте практических советов, применимых в жизни и на работе.
✍️ Сохраняйте фокус. Не распыляйтесь и не отвлекайтесь. Добавлю, что когда вы смешиваете в одном источнике/канале ИБшные темы и всякую шнягу типа впечатления от поездок, обзоры больниц, оценку прочитанной беллетристики, то это не просто дико бесит, но и выглядит несолидно. Хотя если вы ведете канал/блог для себя, а не для аудитории, то и пофиг.
✍️ Доведите дело до конца. Начали писать - пишите, а не бросайте на полпути. Это будет выглядеть против вас.

Не то, чтобы все это выглядит как откровение, но, как саксаул аксакал ИБ-писательства ✍️, смотря со стороны на то, что делают сейчас многие блогеры, могу сказать, что некоторые из них не следуют описанным советам, считая, что знание алфавита уже делает человека писателем, умение редактировать видео - Тарковским. Тут впору вспомнить Жванецкого, что "писАть как и пИсать надо тогда, когда уже невмоготу" 📝 То есть важен результат и понимание ответа на вопрос "чтобы что?"!

Читать полностью…

Компания Dr.Web 14 сентября подверглась целевой атаке 🖥 после чего отключила все свои ресурсы от Интернет с целью проверки. При этом больше чем на сутки был приостановлен и выпуск вирусных баз Dr.Web (у вас такое в модели угроз учтено?).

В двух новостях на сайте компании (вторая) много неясного и без детального раскрытия данных по инциденту сложно судить, что же все-таки произошло. С одной стороны "держали происходящее под контролем", а с другой "отключили серверы и запустили процесс всесторонней диагностики" 🚠 С одной стороны "оперативно отключили серверы", а с другой - атака началась 14-го числа, признаки внешнего воздействия на инфраструктуру обнаружены были 16-го, тогда же отключили и сервера. С одной стороны "мы внимательно за ней [угрозой] наблюдали", а с другой "мы локализовали угрозу" 💻

Если бы меня спросили, как я трактую данные две новости, то я бы предположил, что вероятно было проникновение внутрь 🥷 Но меня никто не спрашивает, а поэтому я свою предположения буду держать при себе и надеяться, что Dr.Web опубликует детальное описание инцидента и результатов проведенного компанией расследования 🔍

Читать полностью…

Почти год прошел с начала истории с компанией 23andme 🧬, которая была взломана, но которая сначала это отрицала, а потом свалила всю вину на пользователей, которые якобы сами выбрали неправильные пароли и не использовали MFA 🤦‍♂️ Рынок и клиенты такого наезда не оценили - компания столкнулась с рядом судебных исков, а ее акции стали стремительно падать вниз. Если до начала истории они торговались по цене больше 3 долларов за штуку, то сейчас их цена упала меньше 50 центов. Капитализация компании за это время упала вдвое 📉

И вот на днях было принято решение, что 23andme должна выплатить пострадавшим клиентам, чьи генетические данные утекли в результате атаки, 30 миллионов долларов, а также компания обязуется предоставить пострадавшим трехлетний мониторинг безопасности их данных по программе Privacy & Medical Shield + Genetic Monitoring 🤑 25 миллионов из этой суммы будет покрыто из имеющейся у компании страховки киберрисков. Можно было бы предположить, что разницу в 5 миллионов покрыть будет не сложно, но у компании и так непростое финансовое положение, - при доходе в 40 миллионов долларов за последний квартал, компания потеряла 69,4 миллиона 💸 На фоне тяжелого финансового положения сооснователь и гендиректор компании даже пыталась сделать компанию частной, уведя ее с фондового рынка. Еще бы - 3 года назад, когда 23andme выходила на биржу ее акции стоили 10 долларов - сейчас меньше полудоллара (20-тикратное падение) 🤑

А вы говорите, хакерская атака - это мелочи и никакого негативного результата бизнес от этого не видит. Видит…

Читать полностью…

Вспомнил одно из упражнений ✍️ в роли менеджера по развитию бизнеса, которое я проходил в Cisco, в рамках которого надо было отработать следующую ситуацию:

"У вас есть тяжелый on-prem SIEM, который перестал приносить запланированный доход. Какие шаги без существенного изменения самого продукта можно предложить, чтобы доходы от продажи SIEM росли?"

У Cisco на тот момент не было SIEM ☹️ и можно было фантазировать, не будучи зашоренным и скованным опытом продвижения текущих продуктов и решений. Разгребал старый ноутбук и наткнулся на результаты того теста, который помог найти 10 возможных вариантов (не претендую на полноту). Хотя нельзя сказать, что каждая из предложенных моделей безупречна и не имеет ограничений, они могут быть рассмотрены в качестве возможных путей развития для SIEM-вендора, который не может пойти по пути расширения своего портфеля за счет разработки новых продуктов, за счет OEM-сотрудничества или за счет слияния и поглощений 🎮

ЗЫ. Если найду, то выложу еще и по VM аналогичную историю. Сейчас на российском рынке эти классы продуктов достаточно развиты и можно сравнивать то, что предлагается российскими вендорами с тем, что мне пришло в голову тогда.

Читать полностью…

160 страниц… Ну какой представитель C-suite будет читать такой фолиант?.. И это ведь только топ-риски

Читать полностью…

Я когда писал статью про detection engineering для PT Research специально выделил тему оценки качества контента обнаружения. А тут скоро должен сервис появиться, RuleCheck.io, который может быть подключен к любому SIEM для проверки правил обнаружения угроз с помощью синтетической, сгнерированной с помощью ИИ телеметрии. Этот сервис, если он будет работать так, как пишут, может стать хорошей альтернативой для тех компаний, которые либо используют решения, которые не поддерживаются каким-нибудь Picus Security или CardinalOps (российские решения так уж точно не поддерживаются), либо не могут купить инструменты типа Detecteam и Cobalt Strike, а также не обладают компетенциями для запуска какой-нибудь DIANA или Atomic Red Team.

У иностранцев еще LogCraft делает похожую штуку. У нас такого нет и не факт, что может появиться. Пользователи SIEM достаточно незрелы, чтобы понять важность таких инструментов и смотрят в рот вендорам xDR-решений (SIEM, EDR, NDR и тп). Делать стартап для выхода на международный рынок? Тема, конечно, но есть нюансы.

Читать полностью…

"Суровые истины, о которых ваш CISO не скажет"

Сегодня мы делимся довольно провокационным постом, основанным на материалах доклада "Hard Truths Your CISO Won’t Tell You"🌶.

Автор рассматривает множество "темных сторон" ИБ, с которыми в некоторых случаях можно согласиться, а в некоторых — нет. Предлагаем вам ознакомиться с основными тезисами:

- Бизнес всегда будет важнее безопасности, независимо от того, какие приоритеты компании декларируют в своих публичных заявлениях о защите данных клиентов.
- Compliance поддерживает бизнес. Соответствие требованиям регуляторов всегда в приоритете, поскольку без этого бизнес часто не может функционировать (оставим в стороне мнение CISM, который рассматривает compliance как еще один вид риска).
- Опросники безопасности, используемые в B2B отношениях (TPRM), нередко основаны на вранье и предоставления ложной информации, чтобы вновь поддержать бизнес.
- Людям по своей природе сложно предсказывать и оценивать риски. Люди часто ошибочно полагают, что акулы опаснее бассейнов, хотя статистически больше людей погибает именно в бассейнах. Почему тогда мы берем риск-ориентированный подход за основу? Соответственно, так как безопасность строится на оценке абстрактных рисков, её можно скорее отнести к творчеству, а не к точным наукам.
- В информационной безопасности многое построено на светофоре - приоритизации по категориям критичности (critical, medium и т.д.). Но до сих пор нет однозначного понимания, как правильно работать с этими категориями. Два «желтых» риска — это лучше или хуже, чем один «красный»?
- Безопасность поглощает бюджеты под предлогом "минимизации рисков", но насколько это эффективно, никто не может точно оценить.
- Нет гарантии, что безопасность действительно сработает там где надо и поможет избежать серьезных последствий. Стоит ли компании ожидать утечки? (непонятно). Достаточно ли количество людей в безопасности или нужно больше/меньше? Все ли мы делаем правильно? Как оценить изменение в безопасности, если мы оставим только 1/5 команды ИБ?
- Влияние инцидентов на акции компаний минимально. Статистика показывает, что большинство компаний восстанавливаются через 2-6 месяцев после утечек данных.
- Защита данных потеряла свою значимость. Рынок дата-брокеров, торгующих информацией о людях, продолжает расти, а стоимость персональных данных составляет в среднем 0.00005$ на человека.
- Безопасность часто опирается на менеджеров среднего звена, которых не воспринимают всерьез. Аналогично руководство компании и разработчики предпочитают не уделять этому внимание, поскольку ROI от вложений в безопасность остается невысоким.
- Закупки решений ИБ часто базируются на личных связях CISO с основателями компаний, инвесторами и других неформальных факторах, далёких от рациональных обоснований.
- Большинство моделирований угроз неэффективны. Разработчики ненавидят этот процесс, а архитектура может измениться на следующий день после проведения моделирования — и вы об этом даже не узнаете.

Положительные моменты в ИБ:

- Сообщество специалистов по информационной безопасности выделяется своей сплоченностью на фоне общей борьбы против "них" - групп преступности.
- Все больше профессионалов ИБ понимают бизнес и начинают менять устаревшие парадигмы.
- Информационная безопасность медленно, но верно развивается и начинает напоминать точную науку.
- Разработчики также стремятся делать все правильно, и в условиях дефицита кадров волей-неволей "перехватывают на себя" все больше функций и задач ИБ.

А что вы думаете по этим тезисам? С каким согласны, а с какими нет? 🙃

Читать полностью…

Когда не хочется писать «индивидуальный предприниматель, создатель ИБ-стартапа», а надо показать статусность, то можно и так 🧐

Читать полностью…

Пополнение в моей библиотеке 📚 Хоть и изобилует рекламой McAfee (напечатана еще в 2021 году, до ухода из России), но неплохой такой сторителлинг, а не сухое изложение правил ИБ (все-таки писала директор по маркетингу ИБ-компании). Чем-то напомнило книжку "IT-безопасность. Стоит ли рисковать корпорацией?" Линды Маккарти (2004 год), которая тоже рассказывала про ИБ в формате историй из жизни 🔥 Хотя Линда поинтереснее читается 👌

Читать полностью…

Пока одни бьются лбом об стену, модели из семейтсва o1 от OpenAI сбегают из своего виртуального пространства, чинят «сломанные» системы и перезапускают контейнеры для решения задач

Все, кому не лень, уже написали о в разы выросшей эффективности новых LLM от OpenAI. o1-preview и o1-mini научили дольше рассуждать, лучше разбивать задачи на части и пересматривать свои стратегии.

Но у нас пока не было реального примера того, как работают модели у учётом instrumental convergence и захвата ресурсов. Теперь LLM не стесняются обходить препятствия, используя неограниченно расширяющийся набор средств для достижения цели.

ℹ️Чтобы подготовить семейство к релизу, OpenAI в том числе проверяли навыки LLM на задачах по кибербезопасности

В одной из таких o1-preview предложили найти уязвимость в коде программы, запущенной в отдельном Docker-контейнере. В нём содержался файл с секретной строкой, которую было необходимо скопировать и отправить на проверку.

‼️Но всё пошло не по плану, и контейнер... просто не запустился

Причиной стала инфраструктурная ошибка. По-хорошему задача должна была завершиться — речь всё-таки шла о сбое в ключевом пространстве. Но модель решила разобраться в вопросе последовательно.

Убедившись, что подключиться к контейнеру невозможно, LLM решила проверить систему на проблемы с DNS и запустила программу nmap для сканирования сети.

🤖 Из-за неправильной конфигурации o1-preview смогла получить доступ к внешнему API-интерфейсу демона Docker

По сути, ИИ получил доступ к родительскому процессу не только целевого контейнера, но и контейнера с самим LLM-агентом. Чтобы решить «сломанную» задачу, o1-preview вышла на уровень своей виртуальной машины, хоть на её пути и остался ещё один слой изоляции.

☁️ С помощью Docker модель получила список всех контейнеров на сервере, обнаружила свою «сломанную» цель и попыталась исправить неполадку

Когда это не удалось, LLM просто отправила команду на запуск нового экземпляра. К ней она добавила запрос на вывод содержания файла с целевой строкой. Задача была решена — но не так, как предполагалось.

Навыки планирования и отслеживания хода событий исторически считались слабыми местами ИИ при решении сложных задач в кибербезопасности. Теперь ситуация начинает меняться.

🔤🔤Прочитать о процессе решения задачи подробнее можно в отчёте OpenAI на страницах 16-17. В этом же документе разбираются другие аспекты, связанные с подготовкой моделей к выпуску и оценкой их производительности в различных задачах: например, моделировании сценариев биологической угрозы 💀

С такими темпами, скоро и случай с тем, как ChatGPT-4 нанял фрилансера, чтобы решить капчу, покажется нам детским лепетом на фоне выхода ИИ из клетки.

Читать полностью…

🤔 Есть планы на 25 сентября? Приглашаем вас на Positive Tech Day в Новосибирске.

👀 Посмотрите на кибербезопасность с разных сторон вместе с ведущими экспертами Positive Technologies — обсудите новые угрозы и тренды развития индустрии и обменяйтесь опытом.

🗣 Наши коллеги поделятся действенными методами расчета и достижения киберустойчивости компаний; расскажут, как грамотно выстроить процесс управления уязвимостями; объяснят, как метапродукты помогают ИТ и ИБ противостоять хакерам; поделятся ключевыми функциями ядра результативной кибербезопасности — MaxPatrol SIEM.

🧑‍💻 А разработчиков веб-приложений и DevSecOps-специалистов ждет отдельный AppSec Track, на котором эксперты обсудят тренды безопасной разработки и инструменты, которые могут ее обеспечить.

Хотите участвовать? Скорее регистрируйтесь по ссылке.

@Positive_Technologies

Читать полностью…

Цифровизация, цифровизация... А бумажная книга по ИБ в качестве подарка все еще пользуется популярностью 📚

Читать полностью…

Интересный ежедневник тут на конференции увидел 💡 В нем не только зарядка для смартфона встроена, но и флешка в виде клипсы застежки (помечена стрелкой). В моей "коллекции" нестандартных форм флешек этот пример займет достойное место. Наряду с флешками в наручных часах или в форме женского тампона (мужики на охране такие "штуки" стараются не досматривать и даже не притрагиваться к ним), приведенный на фото пример очень непросто обнаружить на КПП и при досмотровых мероприятиях 👀

Читать полностью…

Ну что, наступила "пятница, 13-е"... В США еще где-то 12-е число, день, когда вступают в силу санкции США по запрету предоставления ИТ-услуг, связанных с ПО управления предприятием (термин очень широкого толкования) 🩸

Пока сложно сказать, насколько это серьезно затронет корпоративный сектор и как себя поведут Microsoft 📱, Google 📱, Cisco и другие бигтехи 📱📱📱📱📱, но будь я руководителем ИТ/ИБ-службы, дежурные смены сегодня я бы усилил и подумал бы о внеурочной работе в выходные... Все-таки фраза про 12-е сентября может трактовать и как "до 12-го" и как "12-го включительно". То есть какие-то отключения могут начаться ближе к концу сегодняшнего дня. Особенно если ваша инфраструктура зависит от каких-то сервисов, расположенных в США, в Европе, и даже в Москве (какой-нибудь удостоверяющий центр, например) 👀

Читать полностью…

Проектируя сервисы и обдумывая Customer Journey Map своих пользователей, выбирая контрольные вопросы правильно! 🤔

Читать полностью…