IBM выпустил ежегодный отчет "Cost of a Data Breach Report 2024", который смотрит на проблему утечек немного с другой точки зрения - с точки зрения различных их цены - временной, финансовой, людской и т.п. В чем-то цифры бьются с тем, что мы недавно выпустили, но в остальном там другой срез проблемы, из которого я обращу внимание на некоторые моменты:
1️⃣ Лидерство по средней стоимости утечки 14-й год подряд занимает США, что не удивительно. На втором месте Ближний Восток, у которого существенный рост средней стоимости за прошедший год. Страны Европы, Канада и Япония продолжают топ10, который замыкает Латинская Америка. Последние три страны в Топ15 - это Южная Африка, Индия и Бразилия.
2️⃣ Самые дорогие утечки по отраслям распределяются так - здравоохранение, финансы, промышленность, технологический сектор и энергетика. Везде рост стоимости кроме медицины - там идет спад на 11% по сравнению с прошлым годом.
3️⃣ Медианное время обнаружение утечки составляет 194 дня (меньше 204 в прошлом году), а время локализации - 64 (против 73 в 2023-м). Общее время составляет 258 дней, что является самым низким значением за последние 7 лет.
4️⃣ Цена потери бизнеса (включает потери доходов из-за простоев, репутационный ущерб, уход клиентов) и реагирования на утечку (кредитный мониторинг, организация call center для пострадавших, штрафы и т.п.) выросла на 11% по сравнению с прошлым годом.
5️⃣ Основные вектора, приводящие к утечкам - фишинг и украденные или скомпрометированные учетные записи. В пятерку также входят ошибочные конфигурации облаков, неизвестные уязвимости и компрометация бизнес email (BEC). Для каждого из причин в отчете указаны временные показатели на обнаружение и реагирование. Обнаружение и реагирование на утечки из-за украденных или скомпрометированных учеток происходит дольше всего - 292 дня. Быстрее всего это делается для утечек из-за 0Day - 252 дня.
6️⃣ Человеческие ошибки и ИТ-сбои является причинами утечек в 45% случаев (22% и 23%); оставшиеся 55% - это атаки или злоупотребления.
7️⃣ Атакующие раскрывают факт утечки в 24% (они же обходятся дороже всего и на них дольше всего реагирование), третьи лица - в 34%, а оставшиеся 42% приходятся на обнаружение силами службы ИБ, что подразумевает наличие соответствующих плейбуков для работы с внешними лицами.
8️⃣ Активное использование ИИ и автоматизации для обнаружения и реагирования на утечки встречается всего у 31% компаний. Но это же позволяет снизить стоимость утечки и среагировать быстрее, чем в случае отсутствия ИИ и автоматизации.
9️⃣ Интересно, что утечка влияет на стоимость продуктов и услуг пострадавшей компании, перекладывая цену утечки на плечи клиентов. 70% компаний считает, что утечка существенно влияет на ухудшение бизнес-показателей.
1️⃣0️⃣ Полное восстановление после утечки занимает не менее 100 дней у 78% жертв (трети компаний требуется 150 дней).
1️⃣1️⃣ Больше всего на снижение стоимости утечки влияет обучение персонала, использование ИИ, SIEM, планирование управлением инцидентами, шифрование, Threat Intelligence и DevSecOps. Влияет, но меньше всего, - MSSP, назначение CISO, надзор со стороны топ-менеджмента компании, средства защиты данных (вот это сюрприз) и ассистенты на базе GenAI.
1️⃣2️⃣ Увеличивает стоимость утечки сложность системы ИБ, нехватка персонала и взлом подрядчиков (для каждого пункта в отчете приведены свои стоимостные показатели).
1️⃣3️⃣ Среднее время уведомления регулятора составляет 72 часа - для половины компаний. Для 34% это время еще больше.
1️⃣4️⃣ Больше всего инвестиций компании будут делать в планирование и тестирование реагирования на инциденты (киберучения), технологии обнаружения и реагирования и обучение персонала. Решения IAM и внешний анализ защищенности (пентесты/Red Teaming/кибериспытания) замыкают пятерку основных инвестиций.

Читать полностью…

🪱 Знаете, кто такой «великий червь»? Нет, не Шаи-Хулуд из «Дюны» и не толкиновский Глаурунг.

Так прозвали червя Морриса — легендарную программу, которая устроила первый в мире цифровой апокалипсис, парализовав работу нескольких тысяч компьютеров, подключенных к сети ARPANET — дедушке современного интернета.

❔ Как так вышло? Во всем виноваты любопытство, нечаянная ошибка и студент Роберт Тэппэн Моррис.

В новом выпуске «Комнаты 1337» рассказываем обо всем подробнее: https://youtu.be/MKjqk9r8xwI

@PositiveHackMedia

Читать полностью…

Компания Fortress провела анализ ✍️ планов национальной базы уязвимостей США выполнить свое обещание и разобраться с необработанными уязвимостями до осени этого года. Но похоже этому не суждено сбыться, так как проведенный анализ показывает, что NVD просто не успеет это сделать раньше марта 2025 года.

Около 30 тысяч уязвимостей ждут своей обработки, что вкупе с поступающими 📈 ежедневно новыми записями CVE, приводит к разрастанию бэклога и нарушению данных ранее обещаний. Учитывая еще и сокращение бюджета NIST ✂️ на 8% эта проблема будет только нарастать, что в очередной раз ставит вопрос, можно ли делать ставку только на одну базу уязвимостей или нужно искать альтернативы (кто сказал БДУ ФСТЭК 😜)?

Читать полностью…

Завершил большой материал, в котором попробовал подсобрать абсолютное большинство методик приоритизации уязвимостей - CVSS, EPSS, SSVC от CISA, CISA KEV, CVEshield, CVE Crowd, CVETrends, SSVC от Карнеги-Меллона, CVE Prioritizer, Vulners AI Score, VISS, SSPP, ФСТЭК, НКЦКИ, Positive Technologies, ОСОКА, ESS, VPR, TruRisk, MVSF, PRIOn и другие. Ну и попробовал дать рекомендацию, какой из вариантов выбрать 😂

Читать полностью…

В выходные был день PR-специалиста (всех причастных поздравляю). И если бы меня спросили "как не надо заниматься PR", то я бы в пример привел деятельность ИТ-комитета Госдумы. Это ж надо умудриться запостить 4 новости и все негативного содержания - «деанонимизировать», «ограничить», «сбои в работе» 🤦‍♂️ Написали про лидерство и то, со знаком минус (лидеры по утечкам). Вот что за тяга быть лидером, даже в отрицательных номинациях?.. 🤠

Нет, чтобы подумать головой и добавить хоть что-то, что звучало бы позитивнее ☺️ Например, "Госдума упростила гражданм процедуру управления имеющимися SIM-картами", "Госдума решила обелить владельцев каналов в мессенджерах", "США догоняет 🏎 Россию по количеству слитых данных"... Всему-то надо учить

Читать полностью…

🚫Роскомнадзор разработал проект приказа, согласно которому научная, научно-техническая и статистическая информация о VPN-сервисах для обхода блокировок будет признаваться запрещенной в РФ, а исключение будет сделано только для информации о VPN, использующейся для обеспечения защищенного удаленного доступа.

Проектом предполагается, что приказ вступит в силу с 1 марта 2025 г. и будет действовать до 1 сентября 2029 г.

@interfaxonline

Читать полностью…

А вот кто хочет освоить грант Евросоюза на улучшение системы национальных SOCов 👀 и обмена информации между ними? Всего-то 102 миллиона евро предлагается на всё про всё 💶

Читать полностью…

Знаете, в моем детстве 🇷🇺 был культ личности, но не сталинский (я не настолько стар ⭐️), а другой. Я знал имена всех космонавтов, конструкторов оружия и самолетов, и некоторых героев труда, которых часто показывали по ТВ 📺 - доярок, трактористов, механизаторов и т.п. Конечно знал хоккеистов, даже балерин, - страна гордилась ими, рассказывала о них и дети хотели быть похожими на вполне осязаемых героев, показываемых с экрана 📺 Сейчас бы сказали, что это были люди-бренды, пусть и местами искусственные и продвигаемые государством.

А вот кого сейчас знают дети? Киркоров, Клава Кока, Мизулина-младшая, Ивлеева, Жиган?.. Такие себе кумиры, если честно. Скорее генераторы зрелища низкого пошиба 🤠

А в ИБ? Кого кроме Касперского вы знаете из вашей профессии? Кевин Митник, Джулиан Ассанж, Эдвард Сноуден, Моррис. Так это «хакеры». А в России? Помимо Касперского есть еще Сачков и Максимов. Хакеров 👨‍💻 (Хорошев, Ермаков, Белан, Козловский, Матвеев…) знают лучше (хотя может про хакеров я и перебрал).

Кто-то скажет: «Наша профессия не терпит шумихи и публичности» 🤐 Херня. Мы не оперативники ФСБ, чтобы бояться показывать свое лицо 🎭 и скрывать методы работы, которые и так известны по ту сторону баррикад. Нам тоже нужно больше людей-брендов, чтобы дети хотели идти в ИБ и у нас не было дефицита кадров. На одних Киркоровых будущее не построишь… 💡

Читать полностью…

А мы тут исследование по утечкам (не только и не столько персданных) выпустили ✍️ Не только факты и цифры, но и причины утечек, основные вектора, способы сокрытия украденных данных злоумышленниками и т.п., включая и некоторые советы, что делать, чтобы утечек стало меньше (и это не про DLP) 💡

Читать полностью…

В пятницу я обещал написать про потребности CISO в инструменте создания отчетов по ИБ 📊, которые бы могли заинтересовать топ-менеджмент компании и показать важность кибербеза и роль самого CISO в достижении понятного бизнесу результата 📈 Согласно проведенному в США исследованию руководители ИБ хотят видеть следующие функции в таком продукте (в порядке убывания):
🔤 Результаты бенчмаркинга и сравнения себя с другими компаниями в индустрии
🔤 Визуализация рисков и результаты скоринга
🔤 Настраиваемые дашборды и отчеты
🔤 Обзор для топ-менеджмента (executive summary)
🔤 Средства визуализации и аналитики (этакий PowerBI для ИБшника)
🔤 Отчетность о выполнении требований законодательства
🔤 Анализ тенденций
🔤 Возможности по интеграции
🔤 Дружественный интерфейс
🔤🔤 Интерактивные плейбуки реагирования на инциденты (как это попало в результаты я не понимаю)
🔤🔤 Инструменты взаимодействия

Читать полностью…

Поступают первые оценки ущерба 🤑 от инцидента с CrowdStrike и ранее данные цифры в 5,4 миллиарда от Parametrix кажутся слишком позитивными и относятся скорее к нижней границе потерь. Fitch Rating дает оценку 🤑 в 10 ярдов только покрываемых страховыми киберполисами, а это всего 10-15% от общих финансовых потерь, то есть общие потери равны нескольким десяткам миллиардов долларов 💰

Усредненная оценка от страховой компании CyberCube говорит нам о 15 миллиардах долларов, что делает это событие одним из самых дорогостоящих в мировой истории 📈 И самое интересное, что о схожей катастрофе еще в мае говорил Уоррен Баффет, один из самых успешных инвесторов в мире. Обо всем этом я и написал в блоге.

Читать полностью…

Масштабные проблемы накрыли пользователей Windows 📱 не только из-за CrowdStrike, но и из-за Google, а точнее по причине невозможности работы с паролями в менеджере паролей Google Chrome 📱 у 15 миллионов пользователей по всему миру. Google принесла свои извинения пользователям и сообщила, что пользователи браузера на Windows не могли в течение почти суток искать и сохранять свои пароли для доступа к различным Интернет-сервисам. Это произошло из-за недостаточной защиты при очередном обновлении продукта. Знакомая история, да? ☝️

Откуда взялось число в 15 миллионов? Всего у Google Chrome около 3 миллиардов установок и большинство из них на Windows. По данным Google обновление (М127) затронуло четверть всех инсталляций, то есть 750 миллионов устройств, 2% от которых столкнулись с проблемами с парольным менеджером 😫

Александр Леонов продолжает упирать на то, что проблема в управляемых из облаков 📱 агентах средств защиты информации. Я продолжаю с ним не соглашаться, считая, что проблема обновления вообще не имеет никакого отношения к способу управления ИБ - локальное ли оно или из облака 😶‍🌫️ Если вендор не протестировал обновление и накатил его сразу на всех клиентов, то какая разница, сделал он это из облака или к его серверу обновлений обратились средства управления и сами скачали апдейты? Я могу назвать примеры коллапсов для обоих вариантов (и для on-prem схемы их даже больше) 😲

Да, если взломать облачную систему управления, то можно получить права доступа ко всем агентам 😕 (с оговоркой на облачные регионы и зоны). Но я не помню случаев большого числа взломов таких компаний (но не скажу, что их нет; вспомним Kaseya). А вот взломы центров управления антивирусами 😷 в локальной сети и раскатывание через них вредоносных обновлений происходит сплошь и рядом (как в рамках реальных атак, так и в рамках пентестов).

Выходом из этой проблемы мог бы стать "канареечный" 🐥 метод обновления (начать с небольшой группы и потом раскатать на всех), но пользователи на это повлиять не могут. Это должно быть решение вендора и только если его текущая архитектура 🏗 позволяет реализовать поэтапную раскатку патчей, контента обнаружения, расширений и т.п. Если нет, то увы... Просто исходим из того, что такое может произойти, готовим плейбук на такой случай, тестируем возможности команды оперативно реагировать на инцидент, если он случится... Типичная работа 🧑🏻‍🏭

Читать полностью…

Интересный случай, который уже не вызывает удивления и который укладывается в череду схожих примеров, в которых применялись дипфейки 🎭 Разве что личность, под которую маскировались мошенники, вызывает интерес. Речь идет о генеральном директоре Ferrari 🏎, голосом и акцентом которого плохие парни позвонили его подчиненному и попросили помощь в будущей сделке слияния и поглощения, что может потребовать перевести крупную сумму денег 🤑

Прежде, чем получить звонок от лже-директора один из топ-менеджеров, получивший сначала сообщение через мессенджер 📱 Жертва обратила внимание, что звонок идет от номера не в списке контактов и что голос звучит с немного металлическими нотками. Для проверки, он попросил назвать книгу 📖, порекомендованную настоящим CEO Ferrari несколькими днями ранее, на чем мошенники и сломались, бросив трубку.

По мере удешевления технологии дипфейков таких случаев будет становиться все больше. Кейс с Ferrari не единичный. В мае мошенники имитировали в Teams голос 🗣 гендиректора британского рекламного гиганта WPP, а еще ранее мошенники подделали речь финансового директора 🧐 одной компании в видеозвонке и убедили жертву в Сингапуре перевести деньги на подставной счет.

А у вас есть процедура проверки подлинности для звонящих руководителей? 🤔

Читать полностью…

Одно радует, если о взломе ИБ-компании сообщает тот, кто это сделал, а не жертва или СМИ, то о внедрении вредоносного кода в конвейер разработки 👨‍💻 скорее всего речи не идет. А то выглядит не совсем логично - внедрить код, чтобы оставаться как можно долго незамеченным, и сразу же об этом всем сообщить 🧑‍💻

Читать полностью…

Как говорится, не буди лихо... Думаю, таких кейсов начнет всплывать все больше и больше. Это как импортозамещение, когда закон приняли, денег на закупку отечественного дали, а научить пользователей забыли 🤦‍♂️ Так и тут. Благая идея цифровизации госуслуг от Минцифры разбивается о низкую цифровую грамотность граждан. И под это дело все процессы ИБ нарушаются в хвост и гриву, а потом просят все подтвердить "задним числом" 🤠 А потом все забывают про цифровую грамотность и просто тупо нарушают процессы ИБ. И "хорошо" если на благо граждан, а если нет?..

Читать полностью…

Иногда CISO кажется, что он лев 🦁, а бизнесу с высоты своего полета кажется совсем другое 🧐 И ведь оба могут быть правы, но по своему. Лев CISO может обижаться, что бизнес видит ИБ не так, но тут ничего не поделаешь. Надо поворачиваться лицом к нему, а то бизнес нарисует себе совсем иную картинку 🎨

Читать полностью…

Помните, в советских фильмах, в титрах всегда были "консультанты", которые держали режиссеров и сценаристов в узде и не давали им совсем витать в облаках, приземляя на землю и рассказывая, как оно все было на самом деле... 🤔 Без консультантов обычно такая фигня бывает в фильмах. Например, использование nmap в качестве универсального инструмента хакеров 👨‍💻 в таких блокбастерах как "Ультиматум Борна", "Крепкий орешек 4", "Девушка с татуировкой дракона" и т.п. или 3D-конструктор компьютерных вирусов в фильме "Пароль "рыба-меч"... 🐠

Так что роль консультанта в фильмах на профессиональные темы очень важна. И я тут побывал в такой роли, когда для проекта Positive Hack Media снимали фильм про "червя Морриса" 🪱, одно из первых недопустимых событий в истории, в результате действий которого "накрылось" 10% всего Интернета. Если вдруг вам интересна история кибербеза, то потратьте 30 минут своего времени на просмотр 🍿

Читать полностью…

Я достаточно долго работаю в ИБ, чтобы помнить те времена ⏳, когда для того, чтобы почитать про VPN криптографические протоколы и алгоритмы я ходил в библиотеку в одном закрытом институте, который работал на оборонку страны 📖 И вот там, получив под роспись книги и не имея возможности выходить из читательского зала, я читал то, что потом стало достоянием гласности и всех желающих. Спустя какое-то время литература по криптографии перестала относится к информации ограниченного доступа и даже с ГОСТ 28147-89 сняли гриф секретности 😕

А еще были времени, когда в милиции надо было получать право на ношение... нет, не оружия, а мобильного телефона 📞 И ты должен был носить с собой заламинированную карточку, в которой прописывалась модель твоего телефона и его номер ✍️

Наконец, было время, когда в России был единый орган в вопросах безопасности, в том числе информационной 🇷🇺 И только потом произошло разделение зон ответственности Гостехкомиссии и КГБ. Потом добавилось ФАПСИ. Потом его упразднили. Потом появился Центробанк и Минцифры... ☎️ А теперь вот опять хотят единый орган по кибербезу. Об этом вчера уже даже в Совете Федерации сказали.

И вот теперь мы, кажется, возвращаемся к тому, что было когда-то... Писать про VPN в паблике будет вообще запрещено. Деанонимизация, запрет продаж и регистрация SIM-карт. Цензура. Единый госорган по ИБ. Так, глядишь, и выездные визы вернутся. Я их тоже застал 😭 и выжил 😂 "Нашу песню не задушишь, не убьешь", как пелось в гимне демократической молодежи мира, которую я тоже исполнял на пионерских концертах 🎤

Но хоть книги с описанием работы VPN пока жечь не собираются. Но вот насчет изъятия их из продажи я уже не так уверен...

Читать полностью…

📢Утренний дайджест ИТ-новостей

⚡️Госдума приняла закон о деанонимизации владельцев каналов в мессенджерах

⚡️Госдума ограничила выдачу SIM-карт

⚡️Россия стала лидером по количеству слитых данных

⚡️Операторы начали предупреждать абонентов о сбоях в работе YouTube

ПОДПИСАТЬСЯ

Читать полностью…

Ох, любят иностранцы обычные истории и рутинные задачи в красивые фреймворки оборачивать 🌈 Берешь приоритизацию рисков со стороны третьих лиц и подрядчиков (с помощью "уникальной" методологии FAR-MAM), включаешь их непрерывный мониторинг (с помощью "уникальной" методологии FAIR-CAM) и внедряешь защитные меры и реагирование 💡 Вуаля, у тебя новый фреймворк, который надо назвать так, чтобы начиналось с FAIR и заканчивалось на xAM. Тадам, получается FAIR-TAM! 💪

Читать полностью…

Какая же тупизна 🤦‍♂️ Каждый раз думаешь, что вот оно, дно, достигли. Но нет, снизу регулярно стучат снова и снова 🤠

Читать полностью…

Американская администрация выпустила меморандум, в котором зафиксировала приоритеты при бюджетировании ИБ на 2026-й финансовый год:
1️⃣ Модернизация ИБ федеральных государственных информационных систем за счет внедрения Zero Trust, MFA, аутсорсинга ИБ, измерения ИБ и т.п.
2️⃣ Масштабирование государственно-частного партнерства за счет автоматизации обмена данными и т.п.
3️⃣ Реализация минимального набора требований по ИБ.
4️⃣ Улучшение безопасности open source за счет мониторинга изменений в коде, анализа взаимозависимостей, оценки контрибьюторов кода, поиска ошибок в коде и т.п.
5️⃣ Борьба с киберпреступностью за счет нейтрализации инфраструктуры APT и группировок щифровальщиков.
6️⃣ Безопасная разработка и использование грантов для обеспечения конструктивной ИБ.
7️⃣ Гибкий найм персонала и рост компенсаций для специалистов по ИБ.
8️⃣ Переход на постквантовую криптографию
9️⃣ Защита фундамента Интернет за счет усиления BGP-маршрутизации, использования языков программирования и железа с защитой доступа к памяти и т.п.

Вот не знаю, но мне кажется это хорошая тема. Государство сразу очерчивает темы, которые укладываются в рамки национальной стратегии ИБ и поэтому будут профинансированы. А все остальное пусть идет по боку...

Читать полностью…

👀 Хакеры нацелились на учетные данные и коммерческую тайну компаний

Об этом говорится в исследовании Positive Technologies, посвященном анализу утечек данных в России и в мире за первое полугодие 2024 года. Тех самых, о которых вы ежедневно слышите в новостях. Или не слышите, потому что объявления о продаже данных публикуются на теневых форумах 👨‍💻

🚙 Среди пострадавших от утечек в этом году оказались такие известные концерны, как Hyundai Motor Europe и Volkswagen, причем у немецкой компании были похищены документы, связанные с технологиями создания электромобилей.

🍏 Кроме того, взломщики предположительно получили доступ к исходному коду некоторых программных продуктов Apple и AMD.

О том, за сколько продают базы данных, на какие отрасли нацелены киберпреступники, а также о методах атак — читайте в карточках.

А полную версию исследования c примерами, скриншотами и рекомендациями по защите данных вы можете найти на нашем сайте.

@Positive_Technologies

Читать полностью…

Рана Робиллэрд, являющаяся в данный момент топ-менеджером одного из стартапов в Кремниевой Долине и бывшая в 2020-2021-м годах одним из руководителей компании HackerOne, попалась на удочку мошенников, заставивших ее перевести им почти 400 тысяч долларов, отложенных покупку дома 🏠

Мошенничество прошло по старой, но все еще активно работающей схеме, - жертва получила письмо ❗️ якобы от своего агента по покупке недвижимости, который просил ее перевести аванс 🤑 за дом, подходящий по всем параметрам, что Рана и сделала. И только на следующий день она осознала, что ее развели киберпреступники 🥷

Расследование показало, что злоумышленники, скорее всего, взломали компьютер агента по недвижимости 🏡 или всей компании, в которой агент работал, и отслеживали переписку, ожидая удобного момента. Когда он настал они направили единственное письмо, на которое г-жа Робиллэрд и среагировала ✉️ И это несмотря на то, что она некоторое время работала с хакерами в HackerOne и должна была немного интересоваться теми, с кем ей приходилось иметь дело. Но увы...

История закончилась хорошо. После обращения жертвы в ФБР 🇺🇸 перевод был заблокирован, а сами деньги заморожены 🥶 Затем последовали месяцы молчания со стороны официальных лиц, правоохранительных органов, банков (там была цепочка из 4 банков). И только после обращения жертвы в СМИ, ситуация сдвинулась с мертвой точки. Спустя полгода все деньги были возвращены 🥳

Читать полностью…

Издание SecurityWeek проанализировало 1️⃣7️⃣8️⃣ сделок слияний и поглощений в области ИБ, случившихся в первом полугодии 2024-го года. Вряд ли американское издание активно отслеживает все сделки (по России 🇷🇺 у них их скорее всего нет), но то, что американский рынок наиболее активен (135 сделок), тут спорить не приходится. На европейском рынке не просто стагнация в сегменте M&A, но даже спад, - с 71 сделки в 1-м полугодии прошлого года до 49 в этом 📉 Наиболее активна Великобритания (29 сделок), как и в прошлые годы. Замыкает пятерку Австралия, Израиль и Германия. Насчет закрашенной на карте России не стройте иллюзий - там учитывается Израиль, Индия, Сингапур... Финансовые детали известны по пятой части всех сделок, по 33 компаниям, и общая их сумма составляет 33,5 миллиарда долларов; 6 сделок (Juniper, Synopsys, Venafi, AuditBoard, HashiCorp, Veritas) превышает 1 миллиард 💰

По типу компаний, участвовавших в M&A, лидирует сектор MSSP (50 сделок), что намекает на все большую растущую перспективность этого сегмента рынка (правда, в прошлом году сделок за тот же период было 82) 📈 В условиях нехватки кадров другого ждать и не приходится. По типу технологий, интересных покупателям, лидируют темы GRC, защита приложений (в прошлом году не попала даже в Топ10), защита данных 🛡, реагирование на инциденты и управление идентификацией (в прошлом году была на 3-м месте); контракторы госзаказов не в счет. Сделки с консалтинговыми фирмами становятся менее интересными.

ЗЫ. Интересно, сколько сделок будет во втором полугодии, после истории с CrowdStrike 🦅 и другими ИБ-компаниями, неоправдавшими ожидания своих клиентов.

Читать полностью…

Не только уборщицы 🧹, но и восстановители жестких дисков являются скрытой ИБ-угрозой! Я тут зашел в компанию по восстановлению HDD и информации на них (на фото одна из стоек с дисками) и в очередной раз задумался о том, насколько много информации о нас (и о нашем бизнесе) знают те, кто восстанавливают данные. Вот недавний кейс с сыном пока еще действующего президента США 🇺🇸

В случае успеха они получают доступ к личным и интимным фото и видео 🍓, паспортным и иным персданным, реквизитам доступа к сервисам в Интернет, конфиденциальной и секретной (без преувеличения) информации и т.п. И кто знает, как они этим знанием распоряжаются 🥷 Если просто поржут в обеденной перерыв над какой-нибудь фоткой или тихо помастурбируют в ночную смену, то и ладно. Но если решать сдать на биржу покупки и продажи данных? Не задумывались о такой перспективе? Есть у вас плейбук на такой случай? 🤔

Читать полностью…

Скрыть вредоносный код в файл с инструкциями по восстановлению компов с CrowdStrike - это все равно, что скрыть фишинговый ресурс в ссылку "Отказаться от рассылки" или в кнопку "Сообщить о фишинге" 💡 Ничему нельзя верить в наше непростое время!

Читать полностью…

5 взломов ИБ-компаний за прошедшую неделю. Многовато. Поразмышлял про это; там где были детали.

Читать полностью…

Чуть больше года назад, пребывая в прекрасном расположении духа, я возвращался из отпуска — четырнадцатичасовой перелет завершался и ничего не предвещало беды. Самолет приземлился, я на автомате отключаю авиарежим на телефоне и моментально замечаю получение нескольких писем на почту и парочки смсок. Глаза выхватывают ключевые слова "госуслуги", "двухфакторная аутентификация отключена", "произошла смена номера телефона"👀
Пульс резко участился, мозг начал усиленно придумывать возможные сценарии, где я, специалист по защите информации, мог допустить оплошность и попасться на удочку злоумышленников. На секунду закралось, что я стал жертвой сложной операции спецслужб — откуда могли знать, что я именно в тот момент буду находиться без связи длительное время? Но осознание того, что я нафиг не сдался ЦРУ и АНБ (или ФСБ), быстро вернуло мне здравомыслие😅

За последующие считанные минуты я быстро смог восстановить пароль от учетной записи на госуслугах, привязать свой номер телефона и включить обратно второй фактор. Далее начал с замиранием сердца изучать какие же операции были выполнены за длительное отсутствие "на земле" — не увидел ничего криминального, разве что направление какого-то заявления в Пенсионный фонд (ПФР)... И тут я вспоминаю, что полгода назад обращался за определенными компенсациями в ПФР, а сейчас наступил регламентный срок предоставления услуги (правда не таких итогов я ожидал😑).

Собрав всю информацию в кучку, я направляю обращение в поддержку госуслуг и относительно оперативно получаю информацию о событиях входа и сброса второго фактора: "сброс настроек был произведен оператором-администратором ПФР"🧐
Параллельно со мной связывается сотрудник ПФР, который обслуживал меня полгода назад, и сообщает, что мое заявление обработано и отправлено в ПФР для окончательных расчетов. Но на тот момент меня интересовал другой вопрос — почему кто-то "трогал" мою учетку на госуслугах?🤬
Как оказалось причиной всему была... клиентоориентированность🤨 Да, сотрудник ПФР пытался дозвониться до меня, но не смог — мало того, что я был в самолете, так еще он звонил в вайбер, в который я захожу раз в год. В итоге он решил проявить инициативу и отправить заявление на госуслугах вместо меня, ускорив процесс👍
Обладая необходимыми правами, он отключил второй фактор, привязал свой номер телефона, сбросил пароль и отправил заявление. Профит!
Дальнейшее общение с ним показало, что это довольный частый кейс, когда сотрудники ПФР сбрасывают пароли* и помогают гражданам ускорить процесс оказания услуг, выполняя за них операции на госуслугах, так как уровень цифровой грамотности в российской глубинке довольно низкий (да, это было в маленьком провинциальном городке).

*Но есть нюанс — сброс пароля от учетки госуслуг производится только по письменному заявлению.
p.s. Да, меня попросили написать заявление задним числом и прислать скан🙂

Какие же выводы можно сделать?
➡️Второй фактор не панацея
➡️У многих сотрудников гос.органов есть права, позволяющие сбросить настройки безопасности вашей учетной записи на госуслугах
➡️Не летайте далеко в отпуск😄

Читать полностью…

Очередной кейс - Госуслуги, подпись, мошенничество

🔹Мошенниками через администрацию сельского поселения был восстановлен пароль от Госуслуг
🔹 Мошенники получают НЭП Госключа
🔹 Мошенники подписывают три договора сотовой связи с МТС

Так много вопросов и так мало ответов:
- сколько в стране таких администраций сельский поселений, наделённых правами центров обслуживания
- при наличии статьи КоАП 13.33.1 только лишь блокировка выглядит неубедительной мерой
- непонимание МФЦ, что делать в таких ситуациях

(В «Моих документах» ничего не знают про «Госключ»)

- кроме восстановления доступа нужно аннулировать неправомерно выданный сертификат НЭП, что повлечет ничтожность всех сделок.
- для чего такое количество договоров и т.д.

Насчёт рекомендации

Никому не говорите номер СНИЛС

Да как его не говорить, когда СНИЛС входит в состав квалифицированного сертификата? Это по факту общедоступный реквизит. Например, узнать СНИЛС автора данной рекомендации из статьи заняло пару минут (на 1 начинается и заканчивается).

Ранее читал, что мошенники меняют контрольные вопросы, чтобы им перезванивали, вот это более интересный пример обмана пользователей Госуслуг с одной только целью - "безопасные" переводы денежных средств.

Читать полностью…