Начну неделю с кадровых новостей. Свою должность в Минцифры покидает Владимир Бенгин — глава департамента обеспечения кибербезопасности.
За время его работы с лета 2021 года в Минцифры и в госсекторе в целом заметно изменился подход к кибербезопасности — защите данных, интернет- и телефонному мошенничеству, безопасности КИИ и т.д. Во многом это именно его заслуга, и интересно, сохранит ли Минцифры свои позиции в ИБ после его ухода.
Пару недель назад на Github появился репозиторий для аналитиков SOC, который позволит им быстро погрузиться в тему Kubernetes. Сейчас он состоит из двух частей: модели угроз и наблюдениям для SOC (готовится и третья часть - чеклист по тем действиям, которые облегчат мониторинг и наблюдение за кластерами Kubernetes).
Раздел по модели угроз проработан и описан наиболее полно (каждый компонент на картинке выше описан достаточно неплохо). А вот раздел непосредственно по тому, что позволяет мониторить Kubernetes в SOC сейчас почти пустой. Ну разве что список логов перечислен и все. Ни списка событий, ни списка индикаторов компрометации, которые надо мониторить. Даже базовых вещей типа неудачных попыток аутентификации, необычные коммуникации между контейнерами, подами и контроллером нет. Тем более нет чего-то более специфического типа неожиданных изменений конфигураций подов, загрузка новых образов, всплески загрузки процессора, эскалация привилегий в кластере, необычный трафик на API-сервер, изменения в файловой системе и т.п. Может быть в будущем эта часть будет расписана более полно?..
#soctech
Глава кибербеза финансовой корпорации Morgan Stanley, Рэчел Уилсон, заявила, что командам ИБ надо фокусироваться на четырех R - Russia (России), ransomware (шифровальщикам), resiliency (устойчивости) и regulators (регуляторах). Приятно такое внимание к своей стране. Жаль, что оценивают нас не по достижениям в литературе, музыке, математике, физике или программированию...
Читать полностью…👍Все премьеры с конференции Positive Security Day, которая прошла в киноцентре «Октябрь», теперь доступны онлайн на нашем YouTube-канале!
Включайте плейлист и смотрите по порядку , чтобы узнать:
• какие тренды актуальны в мире ИБ,
• как сделать кибербезопасность результативной,
• как вам в этом помогут продукты Positive Technologies.
🎬 Ищите все видео по ссылке (без регистрации и SMS).
#PositiveЭксперты
#PositiveSecurityDay
Эта история повторилась спустя 25 лет, когда Siemens поставляла свое ПО для промышленной автоматизации на завод в Натанзе, участвующий в ядерной программе Ирана. Да-да, речь о пресловутом Stuxnet. Основной версией заражения завода 🏭 вредоносом с последующим выводом из строя около 1000 центрифуг является занесение его на инфицированной флешке. Однако я читал и о другой версии (правда, она не так популярна, так как бросает тень на Siemens), согласно которой, вредонос 🪱 изначально был внедрен в поставленное оборудование и ПО, так как Siemens знала, куда конкретно идет ее продукция.
Проработав 18 лет в Cisco могу подтвердить, что вендор всегда знает, кому поставляется его оборудование. О том же, кстати, говорил в своих разоблачениях и Сноуден, когда рассказывал об имплантах, которые АНБ внедряло в оборудование, поставляемое 📦 конкретным заказчикам. Эта информация не секретна и нет смысла внедрять что-то на конвейере, пичкая закладками абсолютно каждое изделие и повышая многократно вероятность обнаружения недокументированных возможностей. Гораздо эффективнее делать это точечно.
Об этом говорили в 1984-м году, как пишет Олег. Об этом писали ✍️ американцы, рассказывая о взрыве на трубопроводе в Сибири (якобы американцы знали, куда пойдет украденное советской разведкой ПО). Об этом говорилось в связи с инцидентом на заводе в Натанзе. Об этом же говорил и Сноуден. Так что стоит включить это в свою модель угроз. По крайней мере я, в своем курсе по моделированию угроз, про этот момент всегда рассказываю.
На Positive Tech Day я рассказывал о том, что у CISO обычно есть две морковки 🥕 - сзади и спереди. В первом случае CISO, да и вообще специалист по ИБ, делает что-то не потому что он хочет этого сам, а потому что его заставляют это делать, стимулируя наказаниями за невыполнение 👊
Во втором случае морковка не заставляет двигаться вперед, а мотивирует это делать, потому что мы хотим этого сами, мы стремимся к этому, хотим чего-то достичь (бабок, карьеры, известности и т.п.) 🏅 Это то, чему нас учит классика менеджмента.
Но есть и третья история, когда вы делаете что-то не из-за морковки, а потому, что вы хотите, чтобы о вас вспоминали хорошо, чтобы вы оставили след в душе тех, с кем вы работаете. И след этот позитивный. О CISO можно вспоминать 💬 как о чуваке, который только и делал, что вставлял палки в колеса и мешал людям делать их дело. А можно как о чуваке, который вообще ничего не делал, только просил деньги и раз в год ходил на Инфофорум. А можно сделать так, чтобы о CISO вспоминали хорошо, говоря о результате его деятельности если не с любовью, то с уважением и пиететом 😘
В последнем случае CISO и его команде не надо прикрывать жопу перед кем-то. Они не будут говорить "это не моя задача". Они понимают, что все в одной лодке - ИБ, ИТ, бизнес. И если что, то страдают все. И это то, чему нельзя научиться на курсах MBA и EMBA. Это воспитание и ничего другого. Можно болеть за дело, а можно идти по головам. "Каждый выбирает для себя", как поется в песне, слова которой приписываются то Булату Окуджаве, то Юрию Левитанскому 🤔
Один из вопросов, который регулярно всплывает в разных частных беседах и публичных дискуссиях - а сколько у нас "безопасников" и как вообще оценить это число? Сначала ты берешь число выпускников ИБ-специальностей и делишь их на 10 (у меня на курсе в институте было именно такое соотношение тех, кто пошел по специальности работать), а потом видишь статистику Минцифры или Минобра по данному вопросу 📈
Сначала ты смотришь на число участников какой-нибудь конфы по ИБ и видишь, что там в зале набирается 600-800 человек, максимум тысяча-полторы (без нагона студентов). А потом ты приходишь на PHD и там их на порядок больше. Сначала ты ориентируешься на какой-нибудь канал в Telegram, а потом смотришь на свои 20 тысяч подписчиков и задаешься сакраментальным вопросом: "Кто все эти люди?" 👻
Сначала ты смотришь на число просмотров какого-нибудь ИБ-эфира или подкаста (а там без накрутки обычно хорошо если несколько сотен просмотров / прослушиваний), а потом смотришь на ролики Секлаба, которые набирают десятки тысяч просмотров на YouTube или сотни тысяч в TikTok. А тут один из роликов достиг миллиона (!) просмотров. ОДИН МИЛЛИОН, глядь, просмотров! 😱 Вот как?! А самое главное, кто все эти люди, кто интересует ИБ и околоИБшными темами?
Вот и как в таких условиях оценивать "целевую аудиторию", если ты даже в порядке можешь ошибиться на 1-2-3 нуля. Непостижимая история. Если на ней зацикливаться 🤯 Но это же говорит и о ее перспективности и интересе к ней со стороны людей 👍
Американцы справедливо считают, что специалисты по чрезвычайным ситуациям 🌪 не являются экспертами в ИБ и в случае реализации событий с катастрофическими последствиями и имеющие компьютерную природу они не смогут адекватно справиться с инцидентом, еще больше увеличивая негативные последствия ⏳
Поэтому американское МЧС (FEMA) вместе с американской же ФСТЭК (CISA) разработали руководство, которое должно помочь специалистам по ЧС адекватно реагировать, особенно на отраслевые и масштабные киберинциденты 😂 Нельзя сказать, что это прям детальный playbook, но описание ролей, оценки последствий инцидентов, приоритизации и планирования мероприятий по реагированию, взаимодействия с владельцами систем, внутренние и публичные коммуникации... все это в документе есть; как и множество ссылок на различные руководства и тренинги по теме.
То, что по ту сторону баррикад активно изучают 👩🎓 средства защиты с целью их обхода - не секрет. И вот очередное доказательство - выложенный в Интернет Harmony EDR от Check Point с соответствующими рекомендациями.
И этот факт заставляет нас вспоминать, что ядром современного центра противодействия угрозам является не SIEM, не EDR, не NDR/NTA, а вся тройка вместе. У вас накрылись логи, вы видите активность на узле. У вас обходят EDR, вы видите распространение атаки и С2-коммуникации с помощью NTA. У вас зашифрован трафик - вы снова возвращаетесь к логам и активности на узлах.
Моя прелесть (с) Опись коллекции московского музея криптографии из 1200+ экспонатов. Прекрасная книга с отличными фотографиями и подробными историями многих коллекционных предметов на тему криптографической защиты информации, приватности и кибербеза 📕 Не знаю, остались ли еще экземпляры в книжном магазине при Музее криптографии, но возможно вам повезет, если вы поторопитесь 🏃
Читать полностью…А как дышал, как дышал... (с) Когда-то Госуслуги создавались, чтобы решить проблему неразберихи и несогласованности баз данных у разных ведомств и иметь единое хранилище информации о гражданине. Теперь мы возвращаемся на круги своя и портал госуслуг станет просто витриной, которая будет подтягивать неполные, несогласованные, необновляемые данные из баз данных разных ведомств...
Теряется централизация, исчезает единый ответственный. Теперь, если когда произойдет утечка, крайнего будет не найти и все ведомства будут кивать друг на друга. Цифровой профиль... Это была интересная идея и, несмотря на все заявления ФСБ в небезопасности такой схемы, Минцифры - единственное ведомство, кто мог бы ее реализовать. А теперь, видимо, все. Жаль...
Recorded Future выпустила аналитический отчет о развитии киберопераций Китая 🇨🇳, спонсируемых государством, и их развитии за последние годы. Американцы считают, что Китай стал более зрелым 👲 и скрытным, координирует свои действия в киберпространстве, активно использует как известные, так и неизвестные уязвимости 🐉, в том числе и в средствах защиты и сетевом оборудовании. Стремление оставаться незаметными затрудняет обнаружение китайских хакерских группировок 🐲
Читать полностью…Большинство планов по реагированию, не протестированных хотя бы на киберучениях, выглядит так, как на картинке 😊
Читать полностью…Ассоциация больших данных выступила с инициативой разработки и последующего внедрения добровольного отраслевого стандарта защиты персональных данных в качестве одного из механизмов ухода от оборотных штрафов или их снижения. Авторы стандарта 👇 вводят 26 критериев, каждый из которых должен оцениваться по приведенной в проекте стандарта методике.
Ряд критериев может принимать значения только 0 или 1, а у некоторых возможна градация от 0 до 1 с шагом 0.1, 0.2, 0.3 и т.д. (логика там не очень прослеживается, почему для одного критерия градация из двух значений, для другого из пяти, для третьего из 6, а для четвертого из семи, а для какого-то из восьми).
В зависимости от уровня защищенности, типа обрабатываемых персональных данных и количества записей с ними, определяется одна из 4-х категорий операторов персональных данных, которые должны достичь соответствующего значения эффективности защиты ПДн (>6, >10, >14 и >18 баллов).
В целом, идея введения такого стандарта понятна и ее можно приветствовать, если бы не одно но. Почти все предлагаемые защитные меры уже прописано в обязательном для всех операторов ПДн 21-м приказе ФСТЭК (в приказе их даже больше). Если внедрить стандарт АБД, то получится, что операторы сами признают, что они не выполняли 21-й приказ или делали его по принципу на отвали. Такое себе решение...
ЗЫ. Тут больше надо думать о том, как мотивировать (или стимулировать) выполнять 21-й приказ, а не придумывать новые, добровольные требования.
ЗЗЫ. Скорее предлагаемый стандарт описывает процедуру оценки зрелости реализации 21-го приказа (если туда добавить остальные меры защиты). Я про это 7 лет назад писал ✍️
Эффективное управление уязвимостями требует коррелировать различные источники информации - известные уязвимости, патчи, списки разрешенного и запрещенного ПО, активность хакеров. И все это применительно к конкретному ПО, которое надо идентифицировать с помощью уникального идентификатора и системы управления, построенной вокруг него.
Американское агентство CISA выпустило документ, посвященный решению этой задачи и пригласило экспертов до 11 декабря высказать свои замечания в его отношении. Нам высказывать американцам нечего, но вот критически посмотреть на этот документ и перенять оттуда ключевые идеи можно. Особенно в контексте усилий ФСТЭК по безопасной разработке и управлению уязвимостями, и усилий Минцифры по управлению отечественным ПО через соответствующий реестр, фонд алгоритмов и программ, а также свой государственный Git. А там и до требований к SBOM недалеко...
Читайте новость, запустив в фоне «До свидания, наш ласковый мишка!» или сцену из мультфильма про Карлсона «Он улетел, но обещал вернуться» 😢
Читать полностью…Готовлюсь к SOCtech, к мероприятию, от которого меня не отлучили и не заблокировали участие в нем, как некоторые. Буду на неделе постить всякое про обнаружение и реагирование с тегом #soctech
Прошлая неделя была достаточно богатой на публикацию различных отчетов о APT-группировках с указанием используемых ими техник и тактик:
1️⃣ Recorded Future выпустила небольшой обзор эволюции тактик и техник китайских группировок; без глубоких деталей - высокоуровневый анализ.
2️⃣ CrowdStrike выложила обзор иранской группировки Imperial Kitten, атакующей организации на Ближнем Востоке
3️⃣ Mandiant опубликовала обзор группировки Sandworm, которая атаковала АСУ ТП в Украине, что привело к потере электроснабжения
4️⃣ Лаборатория Касперского отличилась больше остальных, разродившись почти 400-страничным отчетом по азиатским группировкам и используемым ими техникам и тактикам. Среди описанных инцидентов есть и то, что имеет отношение к России и Беларуси.
5️⃣ Positive Technologies выпустило 2 отчета - "Актуальные киберугрозы: III квартал 2023 года" и "Киберугрозы финансовой отрасли: промежуточные итоги 2023 года" со свежим обзором техник и тактик, используемых хакерами
ОАЭ и Турция сообщили, что готовы запретить реэкспорт технологий двойного назначения в Россию 🚫 Еще ранее Казахстан и Грузия, а сейчас и Армения блокируют поставки многих товаров в нашу страну. Это не полностью лишает нас айфонов и мерседесов, но сильно осложняет их доставку до отечественного потребителя 🍑 А США и Евросоюз, действия которых мы сейчас и наблюдаем, вычисляют все незаконные каналы контрабанды продукции и блокируют их, повышая сложность поиска новых способов поставки и ее сроки.
И напомнило мне это кибербезопасность, но в зеркальном отражении. Если заменить Россию на корпоративную сеть, товары на киберугрозы, а каналы экспорта на вектора атак, то мы получим классическую задачу ИБ - снижение числа векторов проникновения усложняет и удлиняет путь атаки, увеличивая время на ее обнаружение и реагирование. И целиком все вектора вряд ли перекроют, но жизнь хакерам это усложнит сильно 👨💻
1984 год. В Литовскую ССР собираются импортировать компьютер Siemens 7536. И тут местный КГБ получает от агента под кодовым именем «Вильнюс» сообщение: оказывается, в Siemens (то есть в ФРГ) давным-давно знали, где именно планируется установить и использовать машину. И не где бы то ни было, а в святая святых — НИИ экономики и планирования республиканского Госплана. Причём иностранцы компьютер не только собирали, но и планируют обслуживать! Страшно представить, какие сюрпризы могут там оставить вражеские разведки, чтобы перехватить секретные данные об экономическом потенциале Литвы.
Что делать в этой ситуации? Не отказываться же совсем от современной техники — ввозить крайне необходимые компьютеры с Запада из-за санкций вообще-то не так просто. Но нельзя и просто полагаться на авось и добропорядочность западногерманской фирмы, что в компьютере не будет закладок.
Найдено элегантное решение: ставим машину в НИИ, но на ней можно обрабатывать только открытую информацию. Контролируем, чтобы это правило не нарушалось и никто не вздумал вводить секретные сведения. И, конечно же, следим за иностранцами, которые будет посещать Госплан (наверняка кто-то попробует снять информацию). И безопасно, и удобно!
История (в оригинале чуть менее драматичная, чем в моём пересказе) сегодня вновь становится актуальной. Особенно для тех, кто вопреки курсу на импортозамещение продолжает ждать поставок иностранного оборудования обходными путями через третьи страны. А вдруг в компаниях-производителях уже знают, для кого и для каких целей эти заказы? Ну, главное не обрабатывать на нём секретную информацию и поставить офицера для контроля!
Группировка Blackcat 🐈⬛ пишет о том, что компания по ИБ АСУ ТП Dragos 🐉 пополнила список их жертв и если выкуп не будет выплачен, то будут выложены в паблик данные о руководстве компании.
Странный кейс. Утечка через третьих лиц. То есть не факт, что Dragos вообще взломали. Может как в последнем кейсе с Okta - данные утекли через взломанного подрядчика и сам вендор вообще не при делах. В любом случае это уже не первый инцидент с Dragos. Недавно их уже ломали 👨💻
А с другой стороны, как поют в чатике по ИБ АСУ ТП (на мотив группы «Дюна»):
Наш Dragos взломан,
А кто не взломан?
Да тот кто сервер
И не видел никогда
(С) Alex Ivanov
ЗЫ. Этот кейс показывает, что можно быть сколь угодно защищенным, но взломать могут ваших контрагентов и поставщиков, а пострадаете вы. И отвечать надо быть готовым именно вам, а не тому, кого взломали.
Итальянский политик Маурицио Гаспарри на ТВ 📺 Всегда удивляли такие эфиры 😫 Неужели никто не видит этого косяка - ни телевизионщики (хотя им это может быть по приколу), ни помощники политика, ни его PR-служба?.. 🤷
Читать полностью…500 долларов за доступ к серваку на электростанции в Японии 🏮. Да, фиг поймешь, что за сервер, но… Когда говорят, что надо увеличивать стоимость атаки, при текущих ценах это выглядит смешно. Где-то это еще может сработать, но гораздо эффективнее будет просто удлинять путь атаки 🏃, увеличивая тем самым время на обнаружение и реагирование
ЗЫ. Главное, не путать стоимость атаки и стоимость уязвимости, которая продается для реализации атаки.
Пора вернуться к этой ссылке и раскрыть карты. Это фото из студии, где я участвовал в одном из эфиров запущенной 🟥 школы преподавателей кибербезопасности.
Ее основная цель — восполнить существующий разрыв между академическим сообществом и индустрией кибербезопасности через погружение действующих преподавателей вузов, работающих на кафедрах информационной безопасности и смежных технических специальностей, в тематику современных угроз и актуальных методов противодействия кибератакам.
Обучение в новом проекте Positive Education бесплатное.
Программа школы включает в себя два параллельных трека: для преподавателей вузов, а также для экспертов в сфере кибербезопасности, которые хотят преподавать и готовы делиться своими знаниями.
Если вы преподаватель или эксперт в сфере кибербезопасности и тоже хотите пройти обучение, то заполните заявку до 10 ноября на сайте проекта.
🏛️ "Госуслуги" будут постепенно избавляться от хранения персональных данных пользователей, заявил глава Минцифры Максут Шадаев.
🔸"Для улучшения качества обслуживания на "Госуслугах" мы всегда старались собрать максимальное количество данных для того, чтобы обеспечить удобное заполнение форм и т.д. Сейчас мы провозгласили другой подход, то есть в "Госуслугах" мы будем максимально избавляться от хранения данных, мы переходим на ведомственную, так называемую онлайн-витрину... Данные ведомств будут доступны через нашу систему электронного взаимодействия", – уточнил Шадаев.
🔸По его словам, теперь при входе в личный кабинет на портале "Госуслуг" персональные данные пользователей будут загружаться непосредственно из баз ведомств.
Ну что, американцы начинают разгонять тему вмешательства России (а заодно Ирана и Китая) в американские президентские выборы. Microsoft Digital Threat Analysis Center выпустил соответствующий отчет ✍️
Читать полностью…В международный день защиты информации, 30-го ноября, в Москве, в Кибердоме, пройдет конференция "Технологии SOC". Достойная программа, интересные спикеры, уютное место. У меня там будет два доклада:
🔤 Мониторинг атак 🔓 на подрядчиков: что брать под контроль на примере реальных кейсов 🛡
🔤 От чего зависит выбор технологий для SOC? 🛡 Составляем чеклист 🤕 на основе опыта участия в паре десятков проектов проектирования и аудитов SOC 🪙
Приходите 🤗
Когда прошлой весной ломали Cisco, то началось все тоже с персонального аккаунта Google. В истории с Okta тот же первоначальный вектор
Читать полностью…Федеральная торговая комиссия США (FTC) ввела требование, аналогичное ЦБшному, об уведомлении некредитными финансовыми организациями 🏦 обо всех инцидентах с данными клиентов и других событиях безопасности. Но при совпадении общей идеи, есть и существенные отличия. Во-первых, сообщать надо не обо всех инцидентах, а если они затронули более 500 клиентов. Во-вторых, на уведомление дается 30 дней, а не 24 часа как у нас ⏳
Основание для такого требования - закон Грэмма-Лича-Блайли (GLBA), принятого еще в 1999-м году. Наконец, в документе, который вводит FTC, как это часто водится у американцев, подробно расписана мотивация, почему было принято такое решение, какие и кем были поданы возражения и т.п. То есть никаких непонятных процедур и требований - все достаточно четко и понятно. И даже если вы с ними не согласны, то вы все равно имеете ответ на вопрос "почему" ❓
И ИБ-компании страдают от шифровальщиков. На этот раз производитель решений по ИБ для IoT
Читать полностью…