Пост Лукацкого

04 декабря 2023 14:16

Кибернегры взломали Colonial Pipeline. Если это так, то трубопроводчиков прошлый кейс совсем ничему не научил? 🙄

Но если серьезно, то взломали через подрядчика и не только Colonial Pipeline, но и 20 других трубопроводных компаний, что как бы сужает число виноватых до оооочень небольшого количества (может и вовсе одного) 🎺

Пост Лукацкого

04 декабря 2023 09:07

СМИ пишут, что половина банков не выполняет закон о персданных. Так вот я вам скажу, что это наглая ложь 🤥 В стране 99,9(9)% организаций не выполняют ФЗ-152. Вы где-нибудь видели реализованный учет машинных носителей (ч.5 п.2 ст.19)? Чтобы кто-то регистрировал все используемые флешки, наклеивал на них метки, учитывал все действия с ними?! Вот то-то и оно...

Пост Лукацкого

03 декабря 2023 18:38

Иногда утечку информации через тот же e-mail можно побороть, просто блокируя учетную запись нарушителя на почтовом сервере. Не обязательно для этого устраивать танцы с бубнами, настраивая фильтры, внедряя DMARC/DKIM/SPF, контролируя аттачи, устанавливая DLP и UEBA, и множество чего еще.

При выборе метрик ИБ самым популярным является не метод SMART, а метод KISS, что расшифровывается Keep It Simple, Stupid! (Будь проще, тупица!). При выборе защитных мер тоже не всегда надо усложнять.

Пост Лукацкого

03 декабря 2023 11:23

Не знаю, видели ли вы анонс курса 🟥 по управлению уязвимостями (не путать с курсом по продукту), но мне тут в руки попало руководство, которое на этом курсе выдают. 140+ страниц про:
1️⃣ То, как приоритизировать уязвимости и разные подходы к этому вопросу
2️⃣ То, как выстраивать процесс управления активами, включая их инвентаризацию и классификацию
3️⃣ То, из чего состоит процесс управления уязвимостями
4️⃣ Методологию и различные сценарии, в которых должен быть выстроен процесс управления уязвимостями (тут вам и АСУ ТП, и облака, и критичные системы, и т.п.)
5️⃣ То, как писать практические политики
6️⃣ То, что делать с выявленными уязвимостями
7️⃣ То, каким должен быть SLA у этого процесса и как наладить взаимодействие с ИТ-службой
8️⃣ Методики ФСТЭК и НКЦКИ по вопросам анализа защищенности
9️⃣ Оценку эффективности процесса управления уязвимостями, метрики и дашборды
1️⃣0️⃣ Коммерческие и open source решения в области управления уязвимостями.

Получилась хорошая такая книга, которую можно использовать на практике с различными продуктами, не только MaxPatrol VM (хотя на нем и иллюстрируются некоторые идеи). Я в году этак 98-99 участвовал в работе по подготовке регламента управления уязвимостями в одном банке и помню, какая это была непростая задача, - совместить требования ИТ и ИБ, учесть особенности сканирования AIX, HP UX, OS/2, MS DOS, первых версий Windows, с учетом их критичности и разнесенности по разным площадкам (при том развитии Интернетп), а потом еще и оперативно устранять их.

ЗЫ. Отдельно от курса руководство не распространяется ⛔️

Пост Лукацкого

02 декабря 2023 18:43

Лиза плохого не посоветует 🔄

Пост Лукацкого

02 декабря 2023 12:44

В ДССТЗИ назначили нового главу. Бывший банковский финансист и HR; до назначения был руководителем эскадрильи ударных БПЛА. К технологиям, и тем более к ИБ, отношения, похоже, не имеет 👾

Пост Лукацкого

02 декабря 2023 07:40

Не хотите выходить из дома в эту снежную погоду? Понимаем.

Проведите время дома с пользой и посмотрите лекцию из цикла Дискуссионного клуба Музея криптографии про кибербезопасность. В этой встрече приняли участие спикер от Positive Technologies и эксперт по кибербезопасности Алексей Лукацкий.

Смотрите запись лекции на Youtube-канале Музея криптографии

Пост Лукацкого

01 декабря 2023 18:03

США ввело санкции против северокорейской APT Kimsuky (APT43)

Пост Лукацкого

01 декабря 2023 14:25

не помогли два новых патча
мне залатать дыру внутри
и чтоб закрыть ее решаюсь
на три

Пост Лукацкого

01 декабря 2023 11:03

гисы багбаунти боятся
не из за рейтинга цэтэ
их гложет неопределенность
и энтропия зеродей

Пост Лукацкого

01 декабря 2023 05:40

ℹ️ Прекрасный дисклеймер. Первый раз такое вижу, но прям хорошо 📌 А то так и за несанкционированный доступ к ПДн можно было бы загреметь. Ведь субъекты не давали согласия на предоставление такого доступа журналистам, пусть и вследствие утечки.

ЗЫ. Это в тему взлома национальной лаборатории Айдахо при МинЭнерго США.

Пост Лукацкого

30 ноября 2023 19:12

Совет, обращать внимание на ошибки в тексте, что должно выдать неграмотных фишеров, скоро канет в лету. ИИ не ошибается в написании слов и operator у него никогда не будет opeator’ом 😱, а ransomwar пишется с e на конце ✍️

Пост Лукацкого

30 ноября 2023 12:27

Сначала надавили на страх, потом подсластили пилюлю в виде халявы. Два в одном.

Пост Лукацкого

30 ноября 2023 07:51

🆕 Не успело ГУР украинского МинОбороны взять на себя, публично признав, взлом Росавиации, в гонку публичных заявлений о взломе российских организаций включилась и СБУ, руководители которой недавно были отправлены в отставку по обвинению в коррупции. Украинская спецслужба призналась в том, что вместе с хакерами стояла за взломом российского Минтруда и соцзащиты 🆒

Нечасто можно услышать признание, что одно государство и конкретное ведомство, стоит за нападением. А тут уже третий пример (первым было признание Минцифры год назад, что оно курирует ИТ-армию Украины). Все меняется в нашем кибермире - геополитика, политика, дипломатия 🛡

Пост Лукацкого

30 ноября 2023 02:44

С профессиональным праздником, коллеги! 👍 С международным днем защиты информации! 🥳 Пусть наш труд оценивают по достоинству, а мы не будем бояться брать ответственность за тот результат, к которому мы стремимся! Ура! 👍

Пост Лукацкого

04 декабря 2023 12:34

SOCprime, разработавшая онлайн-транслятор для правил обнаружения угроз uncoder.io, разродилась новой инициативой. На этот раз это открытый язык RootA, который должен помочь специалистам по обнаружению угроз, threat hunting и threat intelligence проще общаться, не взирая на использования различных инструментов и языков. Авторы заявляют, что сейчас они поддерживают 65 (!) языков (откуда столько?) и 45 технологий от разных вендоров. Я бы сказал, что это SIGMA NG, так уж у них синтаксис похож. Однако они добавили туда данные по нарушителям, слинковали это все с TTP и добавили код для автоматизации реагирования.

Интересная инициатива - посмотрим, куда это все зайдет и насколько этот язык станет популярным...

Пост Лукацкого

04 декабря 2023 05:40

Мое выступление с конференции SberPro Tech 2023 про влияние кибербезопасности на бизнес-модель и как каждый из 9 компонентов последней может учитывать и включать в себя кибербез

Пост Лукацкого

03 декабря 2023 15:07

Цветовая палитра ИБ в соответствие с пирамидой BAD (build|строим, attack|атакуем, defend|защищаем). Тут вам не только ЦСКА красно-синие 🌈

Пост Лукацкого

03 декабря 2023 07:40

Когда только начиналась вся эта эпопея 🍑 с импортозамещением и апологеты ее с пеной у рта доказывали, что российский софт более защищенный, чем супостатный, тихие выступления наших регуляторов, которые утверждали, что им вообще насрать на страну происхождения ПО, а его безопасность завимит совсем от другого, никто не слушал и не слышал.

С начала СВО и вовсе началась вакханалия и разговоры о том, что надо срочно отказываться от Windows, так как она небезопасна и там куча закладок (а десятилетия до этого никого это не смущало и никто не задавался таким вопросом?); и надо срочно переходить на Линукс. Ну так на него переходить стали не только отечественные организации, но и хакеры 👨‍💻

Вот и одна из первых ласточек - кампания Lahat от группировки Hellhound, в рамках которой идут атаки инфраструктуры на базе Linux. К сожалению не указано, какой это Linux ❓ Не исключаю, что некоторые пользователи сейчас начнут: «Да это не наш Linux. У нас Астра, а у вас просто Линукс» 🖕

Пост Лукацкого

02 декабря 2023 15:03

Если посмотреть на различные TI-источники, то русские хакеры в последние пару лет чаще всего стоят за атаками шифровальщиков и зарабатывают бабло. А вот китайцы активно занимаются шпионажем. Вот свежий кейс с атакой на МИД Узбекистана. Северокорейский группировок меньше, но занимаются они и тем и тем. И кто опаснее?

Пост Лукацкого

02 декабря 2023 11:13

В 2014-м году CISO Yahoo говорил, что SIEM не на базе Hadoop сегодня уже мало что может и мало кому нужен. А еще он говорил, что средства защиты для ЦОД надо выбирать, оценивая их не по пропускной способности в мегабитах, а по потребляемой мощности в киловаттах ⚡️

А пока вы осмысливаете прочитанное, можете посмотреть презентации с последней ATTACKcon 4.0 в приложенном архиве. А презентации с #SOCtech вы можете скачать сами - они уже выложены на сайте 🕸

Пост Лукацкого

01 декабря 2023 19:02

Термин «патч» в контексте обновления ПО пришел с тех времен, когда программы писали на перфокартах «с дырками». Когда вносились изменения в код, просто наклеивали заплатку (англ. patch) из бумаги на нужное отверстие. Так и пошло 😂

Пост Лукацкого

01 декабря 2023 16:01

Польскую Naftor, которая занимается в т.ч. и кибербезом, взломали Blackcat 😺Тут вам и про Zero Trust в широком смысле, и про атаки на подрядчиков, что является в России проблемой 🔤🔤Не устаю напоминать две вещи:
1️⃣ Ломают всех, даже ИБ-компании
2️⃣ На случай взлома вашего ИТ и ИБ-подрядчика надо иметь соответствующий плейбук и действовать в соответствии с ним 🐈

ЗЫ. На второй картинке свежее объявление о продаже доступа в одну европейскую ИБ-компанию.

Пост Лукацкого

01 декабря 2023 12:34

Вторая презентация с #soctech была посвящена нюансам выбора технологического стека для SOC

Пост Лукацкого

01 декабря 2023 08:58

Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...

Пост Лукацкого

30 ноября 2023 20:22

Во... тут все без ошибок. И даже Россию упомянули, куда уж без нее 😈

ЗЫ. Вообще, когда говорят, что ИИ еще далеко до человека и вообще все это детский сад, то я смотрю на такие картинки и понимаю, что я бы такое никогда сам не нарисовал. А если бы кого-то просил, то стоило бы мне это не одну тысячу рублей. А тут ты берешь DALL-E или Midjourney и они тебе рисуют все, что нужно. И правки вносят без раздумий и споров. И разговоров "я художник, я так вижу" они тоже себе не позволяют 👎 Может и хорошо, что ИИ еще далеко до человека? 🤨

Пост Лукацкого

30 ноября 2023 16:19

И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠

ЗЫ. Спасибо подписчику, что обратил внимание

Пост Лукацкого

30 ноября 2023 09:01

Второй выступление на #SOCtech у меня посвящено мониторингу атак на|от подрядчиков. Аппаратные импланты, SLSA, TLS Fingerprinting с хешами JA3, каталог шаблонов атак на цепочку поставок MITRE, что такое syft и какое отношение он имеет к SBOM и т.п.

Пост Лукацкого

30 ноября 2023 05:40

Сегодня на #SOCtech у меня два выступления. Первое посвящено выбору технологий SOC в зависимости от различных исходных данных. На что обращать внимание при выборе SIEM, как режим работы SOC влияет на необходимость технологий для Threat Hunting и Forensics, когда нужны конвертеры правил для SIEM, что такое тесты Atomic Red Team и многое другое...

Пост Лукацкого

29 ноября 2023 19:12

Провокационное, мягко скажем, название для выступления. Надеюсь там не было дано инструкций для bad guys 👨‍💻 Хорошо, что доступ к записям выступлений закрытый и возможен только для участников или тех, кто готов заплатить 3️⃣2️⃣0️⃣0️⃣0️⃣ рублей (что для юрлиц, что для физлиц, без разницы). А techtalk так и вовсе не выкладывали 🤔