Обновил заметку про обучение аналитиков SOC, добавив еще два курса для специалистов по мониторингу, которые можно пройти в России 🧑‍💻

Читать полностью…

Правильный ответ вчерашнего утреннего квиза - Panasonic. Да, когда я это узнал, а это данные патентного бюро Японии за период с 2000 по февраль 2024 года, я тоже был удивлен 😳 Но в реальности, у них действительно много всяких проектов вокруг Internet of Things, где они что-то делают с точки зрения ИБ. Например, VERZEUSE™ for Runtime Integrity Checker для защиты автомобилей 🚗 от кибератак. Есть решения для безопасности цепочек поставок и т.п. Всего 2️⃣6️⃣2️⃣0️⃣ патентных заявок!!!

Допускаю, что там много всякой мелочевки среди этих двух с половиной тысяч заявок, но патентование - это важная штука для международных компаний ☝️ Лучше уж затраты на патент, чем на патентных троллей или конкурентов, обвиняющих тебя в краже интеллектуальной собственности, как в недавнем кейсе Wiz, которую хочет купить Google за 20+ миллиардов долларов (и кто знает, как судебное разбирательство Wiz и Orca повлияет на эту сделку) 🌐

Читать полностью…

Британец рассказал, что он и его жена смогли отговорить дочь ставить камеру, чтобы заснять зубную фею под предлогом того, что это нарушает GDPR (Общий регламент по защите данных). Фею нельзя снимать во время выполнения работы без её согласия. В комментарии пришёл официальный аккаунт Управления информационного комиссара и подтвердил информацию.

К слову о том, как адвокаты напрягают своих детей.

Читать полностью…

Зашел на сайт называется... Владельцы его пекутся о моей приватности и поэтому продают данные 1568 партнерам. И кнопки "Reject all" нет 🤠 И зачем я включил европейский VPN?..

Сидел бы на американском VPN 🛡 - вообще не видел бы таких предупреждений. У них же нет своего GDPR и уведомлять клиента о том, что его персданные хотят 🫵 получить тысячи (без преувеличения) компаний, не надо. Поэтому серфишь в Интернете безмятежно ✨ И в российском сегменте Интернет все тоже самое. Ну требует РКН плашку всплывающую про куки показать, да и пофиг. Кто на нее вообще обращает внимание. А тут волнение одно, пульс учащается, сердцебиение начинается, одышка... Одни мучения от этой вашей приватности. То ли дело другие страны 🌐

Читать полностью…

🔴На новой гостевой форме «Рубина» вшиты имена и фамилии каждого болельщика, которые покупали абонементы за последние пять лет

Так казанский клуб решил поблагодарить фанатов, которые были с «Рубином» не только во время успехов, но и ходили на матчи команды в ФНЛ 👏🏻

⚫️ Футбол России

Читать полностью…

Фраза:

"Мы уверяем наших заказчиков, что CrowdStrike функционирует нормально и эта проблема не затронула наши системы, обслуживающие платформу Falcon" ("We assure our customers that CrowdStrike is operating normally and this issue does not affect our Falcon platform systems"),

звучит из уст CrowdStrike (на странице с описанием кейса) особенно цинично. А всех ее клиентов она затронула и у них все функционирует не нормально! 😡

Интересно, что CrowdStrike 🦅 был одной из немногих ИБ-компаний, которая предложила своим клиентам гарантию выплаты до 1 миллиона долларов 🤑 (зависит от числа купленных лицензий на CrowdStrike Falcon) в случае взлома их систем, защищенных решениями CrowdStrike 🐦 Ирония судьбы - обещать выплатить 1 миллион долларов, если по вине CrowdStrike клиентов взломают, но вчерашний кейс с выходом из строя и простоем систем по вине CrowdStrike под данный страховой случай не попадает 😅

Читать полностью…

Офигенные дни для отрасли ИБшного маркетинга, PR и просто любителей пошутить 🤡 Кто-то отрывается в создании мемасиков, кто-то дает комментарии СМИ (я вчера побывал на трех прямых эфирах на ТВ и радио, дал с десяток комментов 🎙 для бизнес- и отраслевых СМИ в России и на Ближнем Востоке, а еще случайно выступил на английском в прямом эфире ТВ, хотя предполагалась запись и на русском 💪).

Очень непростые дни у PR и антикризисного комитета CrowdStrike, которые отбиваются от журналистов, блогеров и других инфлюенсеров, стараясь дать выверенные ответы, которые не уронят акции Crowdstrike еще больше 📉 (в пике было -21%) и не повлекут многомиллиардные иски, которые уже планируются 👩‍⚖️ Это офигенная школа для любого пиарщика, но не знаю, хотел бы я в этот момент быть в такой компании 🤔 это вам не мемасики генерить 🤠

Читать полностью…

Также Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных с покушением на Дональда Трампа, извержении вулкана в Исландии, выбросившихся на берег в Испании китов, уязвимостей CVE-2021-3773 и CVE-2024-38211, а также о сотнях других событий, которые происходят в мире, но которые не имеют никакого отношения к Роскомнадзору!

Читать полностью…

Тут в SOCовском чатике задали вопрос: "Хочу писать все события на Linux. С помощью чего это лучше делать?" 👨‍💻 В отношении SIEM это тоже часто звучащая дилемма - какие события писать в SIEM? Все или выборочно? Если все, то нужно иметь немаленького размера ЦОД, чтобы хранить все события в течение длительного времени. И за лицензию на SIEM надо переплачивать, если схема лицензирования подразумевает оплату за объем хранения. А это приводит к разрастанию совокупной стоимости SIEM 🤑

Отчет SANS по SOCам дает нам ответ и на этот вопрос. Максимальное число ответивших на этот вопрос респондентов (152) шлют в SIEM все, что они покрывают системой мониторинга 👀 На втором месте (110) те, кто собирает в SIEM события на основе риск-ориентированного подхода, стараясь в качестве основы для выборки событий взять серьезность угроз, подлежащих обнаружению и реагированию.

Третье и четвертое место с незначительным отрывом друг от друга (40 и 38 респондентов) заняли сбор событий только с приоритетных (я бы сказал целевых/ключевых) систем и сбор событий в зависимости от use case / detection engineering 💡 Лично мне больше нравится как раз последний подход, так как он позволяет сбалансировать финансовые затраты с эффективностью мониторинга ИБ. Хотя, конечно, если у вас куча денег, то можно писать все, лить в озеро данных и там уже анализировать по мере необходимости 🙌

Читать полностью…

Подписчик, за что ему спасибо, прислал фрагмент интересной переписки с мошенниками, которые предлагают практически 100%-й 💯 выигрыш на аукционе на поставки средств защиты информации на электронной торговой площадке 🛒 А потом всплыл другой кейс - с мошенничеством с торговыми ботами 🤖 И мне показалось, что можно эти две истории объединить, что я и сделал. И это в копилку историй, когда чисто инфраструктурная ИБ и даже защита от ботов в WAF не всегда помогает.

Читать полностью…

Какими возможностями по реагированию на инциденты меньше всего удовлетворены ИБшники? В пятерку входят:
1️⃣ Реверс-инжиниринг вредоносного ПО. Да и хрен с ним - отдайте это специализированным компаниям. Все равно удержать такого специалиста будет не под силу 99% компаний. Им просто не найдется такого количества интересной работы и он все равно свалит.
2️⃣ Обманные технологии. Ну тут вообще без комментариев. Вы сначала базовые компоненты SOC внедрите, EDR и NTA, а уж потом о deception/decoy/honeypot думайте...
3️⃣ Отслеживание кампаний и атрибуция угроз. А на кой она вообще нужна? В большинстве случаев лишнее это.
4️⃣ Реверс-инжиниринг железа. Заказчикам - это вообще не надо, не потянут они такую лабу. Я имею представление о "железной" лабе Позитива и могу уверенно говорить, что это как реверсингом малвари, только дороже во много раз.
5️⃣ Реагирование на основе пдейбуков. Ну еще бы, вы пробовали автоматизировать плейбуки с помощью no code/low code конструкторов в SOAR? Поэтому некоторые вендора либо GenAI начинают использовать для автоматизации создания плейбуков и работы по ним, а некоторые и вовсе идут в сторону автопилота.

А еще на этой гистограмме показано, как их НЕ НАДО делать 🤦‍♂️ Ну кто для отрицательных значений использует зеленый, а для положительных - красный? (красный - он для позитивных 🥰) Надо было с точностью до наоборот все делать: красный для "не удовлетворен", а зеленый - для "удовлетворен". Всему этих американцев учить надо... 🫵

Читать полностью…

А вот кому европейского 🇨🇭 взгляда на то, как устроен китайский 🐉 рынок CTFов, программ Bug Bounty и иных способов прокачки хакерских скиллов в Поднебесной? 🖥

Читать полностью…

Разные российские ИБ-каналы пишут про закрытие ❌ офиса Лаборатории Касперского в США и предполагают, что сотрудников теперь перевезут в другие офисы компании (ага, граждане США так и побегут сотрудничать с подсанкционными юрлицами 😲) или что их наймет Сбер (ага, субъект КИИ наймет граждан США 😮).

А я просто опубликую прощальное письмо ЛК своим заокеанским клиентам. Прежде чем читать его, включите финальную песню Олимпиады-80 "До свиданья, наш ласковый мишка!", которая созвучна нынешним событиям, в том числе и в контексте Олимпиады в Париже 🧸

Читать полностью…

И хотя основные метрики оценки эффективности SOC 👀 остаются неизменными:
1️⃣ Среднее медианное время на реагирование (MTTR)
2️⃣ Среднее медианное время на обнаружение (MTTD)
3️⃣ % покрытия мониторингом
4️⃣ % расследованных сигналов тревоги
5️⃣ Соотношение true и false positive,
в этом году в отчете SANS SOC Syrvey 2024 в топ попали и три качественные метрики:
6️⃣ Загрузка аналитиков SOC
7️⃣ Качество расследования (ошибки, нехватка информации, преждевременное закрытие тикетов и т.п.)
8️⃣ Качество Threat Intelligence (аккуратность, своевременность, покрытие и т.п.)

Не могу согласиться с правильностью всех выбранных метрик, но движение в сторону оценки качества могу только приветствовать 🙂

Читать полностью…

Хотите удалить информацию о себе из разных web-сервисов, но не знаете как и не хотите тратить время на поиск правильных ссылок для удаления? Вот вам сервис justdelete.me для этого! 🗑 Российских сервисов там я не нашел, но западных в избытке. И если вы решили патриотично махнуть рукой ✋ иностранцам и не оставлять им свои персданные, то вперед. Правда, надо сразу сказать, что у некоторых сервисов такой возможности нет вообще, а у некоторых удаление является непростой процедурой. Но дорогу осилит идущий... 🚶‍♂️

Читать полностью…

Был я тут на мероприятии по искусственному интеллекту, где компании делились своим опытом и проектами, в которых демонстрировалась польза от ML для бизнеса 🧠 А я же человек занудный и стал спрашивать про защиту датасетов, контроль их целостности, безопасность моделей от манипуляций, проверку источников для скачивания моделей и другие неудобные вопросы ❓ А ответов-то у коллег и не было. Не думают они про это, считая, что все плюсы ИИ перевешивают все остальное. А я и не спорю, но и про ИБ забывать не стоит, чтобы в результате неконтролируемых манипуляций над ИИ-инфраструктурой не получить обратный эффект 🥴

Вот и Gartner тут говорит, что 30% компаний, внедривших у себя ИИ, столкнулись с атаками на свою ИИ-инфраструктуру. Причем как изнутри, так и снаружи 🤬 И здесь бы ИБ подсуетиться, а не выносить этот сегмент из под своего контроля, как это часто бывает. Но подсуетиться грамотно, с учетом специфики ИИ-разработки, а не "тупого" применения сертифицированных средств защиты от НСД в инфре, для этого непредназначенной.

Читать полностью…

Попробовал подсобрать главное, что известно про инцидент с CrowdStrike. Что случилось, причем тут Azure, кто пострадал, когда все восстановится, каков ущерб 💥, а что в России, импортозамещение рулит, можно ли было предотвратить, почему это произошло, а может это хакеры, реакция хакеров 👨‍💻 на инцидент, как отреагировали регуляторы, как сделать, чтобы это не повторилось, что будет дальше... Вот вопросы, которые я рассмотрел в заметке ✍️

Читать полностью…

Пока все осмысливают решение Байдена об отказе от участия в президентских выборах, в конце дня воскресенья нельзя не написать о зубной фее 🧚

Читать полностью…

Очередной образчик кейса "фейковый босс" 🥷 Сначала вам пишет якобы начальник, который сообщает, что надо помочь ФСБ расследовать важное дело. А потом к вам приходит этот самый сотрудник 👮 и, конечно, для доказательства своей личины, показывает приказ с девятизначным номером, подписанный "посредством зашифрованного Канала Связи". Но что-то выдавало в письме то, что это фейк 😊 Но я не буду, как в банках, показывать 10 признаков фальшивых купюр. А то "плохие парни" быстро научатся клепать "более настоящие" приказы... 👮‍♀️

Читать полностью…

Спасибо подписчику, приславшему ссылку на историю с "Рубином"

Читать полностью…

Новые технологии — новые способы развода

Мошенники сейчас активно используют искусственный интеллект в своих целях. Уже можно подделать голос человека и сгененрировать от его имени голосовое сообщение, чтобы выманить деньги от его знакомых.

VIce нашёл скамеров и предложил им составить список новых схем с применением технологий. Для понимания, вот вам портрет одного из «источников»: бухгалтер из Лондона, который любит заниматься интернет-мошенничеством «на фрилансе». А список вышел такой:

1️⃣ Голосовой чат-бот под видом врача

Один источник рассказал, что он с товарищами создал чат-бота, которому «скормил» сотни часов лекций, интервью и подкастов известных психотерапевтов. А затем стал искать реальных клиентов, создав вымышленному психотерапевту лендинг с поддельными рекомендациями и наградами. Терапевт принимал только аудиозвонки — но многих клиентов это не останавливало.

2️⃣ Продажа несуществующих товаров

Другой мошенник генерирует с помощью ИИ фотореалистичные изображения товаров и выставляет их на платформах объявлений с предоплатой. По его словам, это различные бытовые вещи: ИИ генерирует ему детскую кровать в стиле звёздных войн, причудливую мебель с обивкой, на которой изображены коты, и прочие фантазийные вещи. В каких-то случаях вещь уходит клиенту — правда совсем не та, что на картинке. В других — не отправляется совсем ничего.

3️⃣ Бесплатный Wi-Fi в мышеловке

Фейковые сети Wi-Fi популярны как никогда, особенно в туристических местах. Мошенники создают сеть Wi-Fi без пароля, маскируют её под сеть близлежащего Starbucks — и доступ к конфиденциальной информации у них в руках.

4️⃣ Оплата по QR

Мы уже так привыкли к QR-кодам — расплачиваться в магазинах и кафе, переводить чаевые, читать дополнительную информацию о продуктах и услугах. Так вот, мошенники находят способ незаметно приклеить изображение своего QR-кода рядом с кассой, паркоматом, на заправке. Фишинговый сайт запросит данные об оплате — и вуаля.

5️⃣ Виртуальные экскурсии

Ещё в пандемию особой популярностью стали пользоваться различные онлайн-туры, чтобы не выходя из дома погулять по древним достопримечательностям и музеям. Один из мошенников создал сайт, который предлагает подобное за небольшую плату. Экскурсии там правда есть — найденные в интернете рандомные лекции об известных местах. Получается своеобразный win-win: покупатель получил какую-никакую экскурсию, а мошенник — данные его банковской карты.

Читать полностью…

Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных со сбоем после обновления ПО CrowdStrike

Читать полностью…

Тут иногда возникает вопрос: "А зачем вообще фокусироваться на чужих отчетах со статистикой по ИБ?" А все просто. 97% всех ИБшников не всегда уверены в своих решениях и хотят убедиться, что они что-то делают правильно, что так делают и другие. Поэтому статистика - это некий ориентир 📌

Если вы попадаете "в большинство", то можно не переживать - большинство не может ошибаться (на самом деле может) 🥇 Если в меньшинство, то не надо сразу думать, что вы аутсайдер; хотя это и возможно. Но может вы просто консерватор и пока еще не делаете всё, как все. А может вы в числе инноваторов и делаете что-то, что станет мейнстримом попозже. Вспомните кривую инноваций (она же кривая принятия, она же кривая Роджерса) - она хорошо показывает эту идею 💡

Поэтому я и уделил столько внимания отчетам SANS по SOCам и автоматизации последние пару дней. Кстати, если вы просто смотрели на эти циферки 📈 и мои комментарии к ним в моем канале, то вы обычное большинство. Если вы хотите почитать сами отчеты, а "их есть у меня", - вы ранние последователи и хотите попробовать что-то, чего еще не делает большинство 😇 Ну а если вы инноватор, то сдам вам ссылку (https://drive.google.com/drive/folders/1dx3hblisYUno9_u1CmS-2jlaSGbBFZyP) на все сырые данные по отчету по SOCам, которые вы можете загрузить в Jupiter Notebook и сами поработать с ними, провести анализ, поискать взаимозависимости и т.п. 🤓

Читать полностью…

Т-Банк открыл доступ к своей фрод-рулетке «Ловушка для мошенников» 📞 Хотите развести разводил? Устали играть в сервис общения с вымогателями ChatGPT? Попробуйте пообщаться с живыми преступниками 📞 Добавь адреналина, отточи разговорные навыки, разбавь серые будни…

ЗЫ. Надеюсь сайт настоящий 🎭

Читать полностью…

В Cisco'вском чатике пару дней назад зашел разговор о NGFW 🤬 и двое коллег, вдруг, поделились тем, что их компании скоро выпускают NGFW, которые "прям огонь" и всех порвут на рынке. Интересно, что в сегодняшнем списке TAdviser этих вендоров нет, хотя сами компании прям на слуху 🤨

А вчера имел беседу, в рамках которой прозвучала мысль, что надо по примеру Минцифры, которое официально поддерживает только 3️⃣ операционные системы, и ИБ-регуляторам (или тому же Минцифры) поддержать только три NGFW из 40 создаваемых в России, а остальные и запретить можно, чтобы не распылять ресурсы разработчиков на проекты, которые никто не поддерживает 🤔 Интересная идея. Полдня думал, кто же может претендовать на оставшиеся 2 позиции поддерживаемых государством NGFW?.. Пока нет явных кандидатов ⏳

Но идея ограничить число разрабатываемых средств защиты каким-то вменяемым числом не дает мне покоя... Если она пройдет на уровне Григоренко, то жить станет веселее... Всем 😵‍💫

Читать полностью…

Больше инструментов в SOCе - больше ресурсов требуется на анализ и реагирования, что приводит к задержкам в реакции на действия хакеров ⏳ Конечно, хочется иметь много всяких игрушек внутри SOCа, но это и имеет свою обратную сторону, повышая и затраты на внедрение и эксплуатацию, и требования к персоналу, и требования к необходимости автоматизации, и... что уж греха таить, вероятность пропуска инцидента и реализации им негативных последствий для бизнеса 🎮 Согласно отчету SANS по автоматизации, больше всего времени отжирают облачные и сетевые сигналы тревоги, а также алерты от средств управления аутентификацией. Учитывайте это при проектировании SOC 💡

Читать полностью…

Когда 🟥 спрашивают: "А чего вы свой SOAR не пилите?", ответ на самом деле очень простой и он хорошо отражен в результатах последнего отчета SANS по автоматизации ИБ. Дело не в том, что SOAR написать сложно (на самом деле достаточно легко), а в том, как его будут применять на практике. Три критических преграды при использовании SOAR согласно опросу SANS:
1️⃣ Встроенные интеграции. Их либо нет к нужным продуктам, либо они слишком универсальные, либо они сложны в настройке, либо просто нет доступа к управляемым средствам защиты ⌛
2️⃣ Контент плейбуков. На встроенные плейбуки в SOAR обычно без слез не взглянешь - их переписывать и переписывать, что превращает идею автоматизации в тыкву. Ситуация примерно как с контентом обнаружения для SIEM - больше половины пилят контент самостоятельно 🎮
3️⃣ Простота внедрения. Ну тут все понятно и не требует особо пояснения. Прежде чем вы автоматизируете процесс SecOps, вы потратите кучу времени на внедрение всех компонентов, их настройку, доработку плейбуков и т.п. 🔄

Поэтому-то у PT и появился MaxPatrol O2, который иногда называют NG SOAR или "SOAR на максималках", но это не совсем корректное сравнение. Там заложен иной принцип автоматизации, чем в SOAR ⚙️ Но про это я писать не буду - это же не рекламный канал 😏

Читать полностью…

Помимо отчета SANS SOC Survey 2024, мне тут в руки попал отчет SANS по автоматизации ⚙️ ИБ, который неразрывно связан с темой SOCов. Так вот основных три проблемы на пути полного использования возможностей SOC:
1️⃣ Слабая автоматизация и оркестрация. 65% времени SOC уходит на ручные классификацию инцидентов и расследование при автоматическом обнаружении и также ручном реагировании (иногда, правда, используется SOAR).
2️⃣ Нехватка квалифицированного персонала (поэтому спасением опять же будет автоматизация).
3️⃣ Неполный охват инфраструктуры мониторингом.

Интересные данные 👇 по тому, что уже автоматизировано в реагировании на инциденты ИБ у респондентов, а что планируется автоматизировать в ближайшие 18 месяцев. Предсказуемо, в Топ3 процессов, которые избавились от ручного труда, входят:
1️⃣ Борьба с фишингом ❗️
2️⃣ Обогащение данных
3️⃣ Работы с фидами Threat Intelligence.

Хуже всего автоматизированы:
1️⃣ Управление рисками и compliance
2️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики 💻
3️⃣ Анализ и исследование вредоносного ПО.

Среди того, что будет автоматизировать большинство респондентов:
1️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики
2️⃣ Анализ и исследование вредоносного ПО ⚠️
3️⃣ Управление кейсами.

Читать полностью…

Я не мог пройти мимо этой статистики OPSWAT относительно антивирусной защиты, которую я так глубоко и нежно люблю ❤️ Хотя я уже знаю, что мне скажут коллеги. Мол там среди логотипов нет того самого, единственного 🤐

Читать полностью…

Не используйте в качестве графического пароля линию своего маршрута от дома до работы в навигаторе...

Читать полностью…