Пост Лукацкого

09 ноября 2023 16:02

А как дышал, как дышал... (с) Когда-то Госуслуги создавались, чтобы решить проблему неразберихи и несогласованности баз данных у разных ведомств и иметь единое хранилище информации о гражданине. Теперь мы возвращаемся на круги своя и портал госуслуг станет просто витриной, которая будет подтягивать неполные, несогласованные, необновляемые данные из баз данных разных ведомств...

Теряется централизация, исчезает единый ответственный. Теперь, если когда произойдет утечка, крайнего будет не найти и все ведомства будут кивать друг на друга. Цифровой профиль... Это была интересная идея и, несмотря на все заявления ФСБ в небезопасности такой схемы, Минцифры - единственное ведомство, кто мог бы ее реализовать. А теперь, видимо, все. Жаль...

Пост Лукацкого

09 ноября 2023 08:58

Recorded Future выпустила аналитический отчет о развитии киберопераций Китая 🇨🇳, спонсируемых государством, и их развитии за последние годы. Американцы считают, что Китай стал более зрелым 👲 и скрытным, координирует свои действия в киберпространстве, активно использует как известные, так и неизвестные уязвимости 🐉, в том числе и в средствах защиты и сетевом оборудовании. Стремление оставаться незаметными затрудняет обнаружение китайских хакерских группировок 🐲

Пост Лукацкого

08 ноября 2023 19:05

Большинство планов по реагированию, не протестированных хотя бы на киберучениях, выглядит так, как на картинке 😊

Пост Лукацкого

08 ноября 2023 12:32

Ассоциация больших данных выступила с инициативой разработки и последующего внедрения добровольного отраслевого стандарта защиты персональных данных в качестве одного из механизмов ухода от оборотных штрафов или их снижения. Авторы стандарта 👇 вводят 26 критериев, каждый из которых должен оцениваться по приведенной в проекте стандарта методике.

Ряд критериев может принимать значения только 0 или 1, а у некоторых возможна градация от 0 до 1 с шагом 0.1, 0.2, 0.3 и т.д. (логика там не очень прослеживается, почему для одного критерия градация из двух значений, для другого из пяти, для третьего из 6, а для четвертого из семи, а для какого-то из восьми).

В зависимости от уровня защищенности, типа обрабатываемых персональных данных и количества записей с ними, определяется одна из 4-х категорий операторов персональных данных, которые должны достичь соответствующего значения эффективности защиты ПДн (>6, >10, >14 и >18 баллов).

В целом, идея введения такого стандарта понятна и ее можно приветствовать, если бы не одно но. Почти все предлагаемые защитные меры уже прописано в обязательном для всех операторов ПДн 21-м приказе ФСТЭК (в приказе их даже больше). Если внедрить стандарт АБД, то получится, что операторы сами признают, что они не выполняли 21-й приказ или делали его по принципу на отвали. Такое себе решение...

ЗЫ. Тут больше надо думать о том, как мотивировать (или стимулировать) выполнять 21-й приказ, а не придумывать новые, добровольные требования.

ЗЗЫ. Скорее предлагаемый стандарт описывает процедуру оценки зрелости реализации 21-го приказа (если туда добавить остальные меры защиты). Я про это 7 лет назад писал ✍️

Пост Лукацкого

08 ноября 2023 05:40

Эффективное управление уязвимостями требует коррелировать различные источники информации - известные уязвимости, патчи, списки разрешенного и запрещенного ПО, активность хакеров. И все это применительно к конкретному ПО, которое надо идентифицировать с помощью уникального идентификатора и системы управления, построенной вокруг него.

Американское агентство CISA выпустило документ, посвященный решению этой задачи и пригласило экспертов до 11 декабря высказать свои замечания в его отношении. Нам высказывать американцам нечего, но вот критически посмотреть на этот документ и перенять оттуда ключевые идеи можно. Особенно в контексте усилий ФСТЭК по безопасной разработке и управлению уязвимостями, и усилий Минцифры по управлению отечественным ПО через соответствующий реестр, фонд алгоритмов и программ, а также свой государственный Git. А там и до требований к SBOM недалеко...

Пост Лукацкого

07 ноября 2023 15:58

Помните историю с двумя американцами, названными "русскими", которые взломали систему диспетчеризации такси в Нью-Йорке? Теперь к ним добавилось еще двое, на этот раз классических россиян, - Шипулин или Деребенец. Первая парочка признала свою вину в октябре, второй еще это предстоит.

Ну и до кучи - американский OFAC обвиняет россиянку в помощи группировке Ryuk в отмывании 2,3 миллионнов долларов.

Пост Лукацкого

07 ноября 2023 12:33

Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")

Пост Лукацкого

07 ноября 2023 05:40

Про очередное заявление о взломе RSA-2048 слышали, думаю, многие. Я не стал его в блоге обсасывать с разных сторон (доказательств все равно не представлено), а взял его скорее за основу и посмотрел на проблему квантовых компьютеров и постквантовой криптографии чуть шире; в том числе и ряд направлений, которыми занимаются в России.

ЗЫ. Почему в России так любят использовать флору и фауну для названий всяких военных и околовоенных штук? Когда я занимался РЭБ, всяческие приборы тоже называли по названиям отечественной флоры - "Береза", "Липа", "Азалия", "Герань", "Сирень" и т.п. А теперь вот алгоритмы постквантовой криптографии - "Шиповник", "Крыжовник", "Форзеция" и т.д.

Пост Лукацкого

06 ноября 2023 14:47

Американская комиссия по ценным бумагам (SEC) обвинила директора по ИБ компании SolarWinds Тимоти Брауна в обмане инвесторов и нарушении правил внутреннего контроля 😡 Обвинение строится на том, что за два года с момента выхода на биржу и до начала кибератаки SUNBURST, компания SolarWinds и ее CISO завышали свои индикаторы защищенности 📈 и не раскрывали или осознанно занижали риски. При этом CISO знал о недостатках в своей системе кибербезопасности, но не предпринимал необходимых мер по их устранению ✋

Во внутренней презентации еще 2018-го года, с которой Браун был ознакомлен, говорилось, что удаленный доступ в компании "не очень защищен" и в случае, если кто-то будет эксплуатировать эту уязвимость, у компании не будет возможности это обнаружить (что в рамках SUNBURST мы и наблюдали), что, в свою очередь, может привести к серьезным репутационным и финансовым потерям 😂 Тоже самое говорилось и в более поздних презентациях о состоянии ИБ в SolarWinds.

Еще летом 2020-го года, участвуя в расследовании у одного из заказчиков, Браун писал, что "наш бэкенд не устойчив" и хакеры могут использовать ПО Orion Manager для масштабных атак, что и было продемонстрировано всего спустя полгода. В сентябре он же писал, что объем проблем с ИБ, обнаруженных за последние месяцы, превышает возможность команды по их разрешению". В результат атаки акции компании упали на 25% в первые два дня после объявления об инциденте SUNBURST и на 35% к концу месяца 🧤

Как говорит SEC в своем заявлении: "Сегодняшнее обвинение - это не только наказание SolarWinds и Брауна за обман инвесторов и провал в защите ценных активов компании, но и наше сообщение всем эмитентам - внедряйте строгие меры контроля в соответствие с вашими рисками и уровнем, согласно которому ваши инвесторы должны знать о проблемах" 🫵

ЗЫ. А еще в мае Браун делал интересные заявления...

Пост Лукацкого

06 ноября 2023 09:53

У Битрикса опять проблемы. ФСТЭК пишет о, как минимум, 8 уязвимостях в популярной платформе для создания сайтов, среди которых и несколько RCE. Патчей нет 🤷‍♂️ только компенсирующие меры.

Пост Лукацкого

05 ноября 2023 19:00

В 2018-м году в ISO, в комитете SC27, отвечающем за ИБ, развернулись нешуточные баталии на тему, как писать правильно, cybersecurity или cyber security? К единому мнению так и не пришли, а в Интернете до сих пор пишут и так, и так. В одно слово - преимущественно американцы, в два - англичане. Так что по тому, как пишите этот термин вы, можно понять, учили вы американский английский или британский. А это уже, кстати, персданные. Но мы Роскомнадзору не скажем ;-)

Пост Лукацкого

05 ноября 2023 11:21

Одна проукраинская группировка пишет, что получила доступ в инфраструктуру одного из российских заводов ОПК. Среди прочих «доказательных» скринов есть и сделанный с SIEM. Отсюда небольшой опрос

Пост Лукацкого

04 ноября 2023 19:17

Посмотрев всякое, я тут за консультацией ходил по поводу кибербеза метавселенных. К дочери 👧 Она спец во всяких Roblox’ах и т.п. недометавселенных. Кто как не младшее поколение может помочь разобраться, как оно все там работает… А то про это пока мало пишут, а то тема может стать популярной в обозримом будущем 🪩

Пост Лукацкого

04 ноября 2023 11:35

Вот представьте, что вы решили начать мониторить АСУ ТП с точки зрения угроз и нарушений безопасности. С чего начать? 🤔 Тут все зависит от того, насколько вы разбираетесь в объекте мониторинга. Если посмотреть на схему, то начинать стоит с левого нижнего угла, постепенно продвигаясь к правому верхнему. То есть обычно вы берете какую-нибудь IDS (СОВ/СОА), в которой присутствуют сигнатуры для промышленных протоколов и ставите ее на периметре АСУ ТП 🏭 Потом вы можете переходить к системам мониторинга аномалий в промышленной сети, накрывая мониторингом все ключевые компоненты - ПЛК, HMI и т.п. Ну а по мере получения новых знаний о функционировании АСУ ТП, вы уже можно двигаться дальше и выше, фокусируясь не только на атаках и аномалиях в сетевом трафике, но и отслеживая состояние технологических процессов и их параметров.

Пост Лукацкого

03 ноября 2023 19:05

Утащил из одного чатика по приватности. Прям взоржал, когда увидел. Реально, именно так и воспринимаются нормативные акты, которые ты читаешь (или комментарии к нему, включая правоприменительную практику) и которые ты писал ✍️

Пост Лукацкого

09 ноября 2023 12:27

Ну что, американцы начинают разгонять тему вмешательства России (а заодно Ирана и Китая) в американские президентские выборы. Microsoft Digital Threat Analysis Center выпустил соответствующий отчет ✍️

Пост Лукацкого

09 ноября 2023 05:40

В международный день защиты информации, 30-го ноября, в Москве, в Кибердоме, пройдет конференция "Технологии SOC". Достойная программа, интересные спикеры, уютное место. У меня там будет два доклада:
🔤 Мониторинг атак 🔓 на подрядчиков: что брать под контроль на примере реальных кейсов 🛡
🔤 От чего зависит выбор технологий для SOC? 🛡 Составляем чеклист 🤕 на основе опыта участия в паре десятков проектов проектирования и аудитов SOC 🪙

Приходите 🤗

Пост Лукацкого

08 ноября 2023 16:01

Когда прошлой весной ломали Cisco, то началось все тоже с персонального аккаунта Google. В истории с Okta тот же первоначальный вектор

Пост Лукацкого

08 ноября 2023 09:07

Федеральная торговая комиссия США (FTC) ввела требование, аналогичное ЦБшному, об уведомлении некредитными финансовыми организациями 🏦 обо всех инцидентах с данными клиентов и других событиях безопасности. Но при совпадении общей идеи, есть и существенные отличия. Во-первых, сообщать надо не обо всех инцидентах, а если они затронули более 500 клиентов. Во-вторых, на уведомление дается 30 дней, а не 24 часа как у нас ⏳

Основание для такого требования - закон Грэмма-Лича-Блайли (GLBA), принятого еще в 1999-м году. Наконец, в документе, который вводит FTC, как это часто водится у американцев, подробно расписана мотивация, почему было принято такое решение, какие и кем были поданы возражения и т.п. То есть никаких непонятных процедур и требований - все достаточно четко и понятно. И даже если вы с ними не согласны, то вы все равно имеете ответ на вопрос "почему" ❓

Пост Лукацкого

07 ноября 2023 19:08

И ИБ-компании страдают от шифровальщиков. На этот раз производитель решений по ИБ для IoT

Пост Лукацкого

07 ноября 2023 13:28

Все, что вам нужно знать о всяких наградах 🥇

Пост Лукацкого

07 ноября 2023 09:05

Нью-Йорк, в рамках развития своей программы кибербезопасности, анонсировал новую программу раскрытия уязвимостей для веб-сайтов и систем, которыми владеет город, включая и АСУ ТП.

Американцы считают, что киберкомандование Нью-Йорка, которое и курирует программу раскрытия уязвимостей, является самым крупным, после киберкомандирования американской армии, подразделением в госорганах США. Для примера, их SOC фиксирует 90 миллиардов событий безопасности еженедельно, которые, после обработки, "превращаются" всего в 50 инцидентов, требующих расследования.

Пост Лукацкого

06 ноября 2023 18:50

Битрикс завел на своем сайте отдельную страницу про выявленные уязвимости на своей платформе. Я бы туда еще обязательно добавил уведомление, что без активной подписки получить обновления нельзя (а если можно, то как, где и при каких условиях), а также давал ссылки на обновления, устраняющие описанные уязвимости. А в идеале бы еще и на сайте, в админ-панели сделал всплывающий пуш красным о том, что используемая версия уязвима и надо обновиться.

Пост Лукацкого

06 ноября 2023 11:13

Вы знали, что среднее время нахождения CISO в должности в США составляет 18-24 месяца. Это, конечно, странные, по сравнению с Россией, цифры. У нас этот срок обычно дольше. Ну что можно успеть сделать за 1,5-2 года?

Пост Лукацкого

06 ноября 2023 07:40

Среди атак на машинное обучение есть «отравление данных», которое вводит в заблуждение и приводит к неверным решениям на их основе (даже при отличной модели и процессе обучения).

В ИБ тоже такое есть - обманные системы. Я в них не очень верю, так как обычно в компаниях не хватает ресурсов даже на обычные средства защиты и фундамент для SecOps. Какие уж тут обманки… 😵

Но вот с данными такой фокус можно провернуть. Особенно если притянуть сюда ML, которое позволит сгенерить синтетические данные, похожие на настоящие. И можно даже «забыть» закрыть к ним доступ. И когда их сопрут, можно даже позлорадствовать над хакерами…

Пост Лукацкого

05 ноября 2023 15:03

Список Топ10 сценариев (use cases), которые необходимо использовать в SOC, который мониторит АСУ ТП. Это не значит, что не надо мониторить все остальное; просто с этого стоит начинать.

Пост Лукацкого

05 ноября 2023 07:40

Когда средств защиты очень много, они начинают мешать 🏊‍♂️ Главное, найти баланс, а то куча денег делает только хуже 👎

Пост Лукацкого

04 ноября 2023 15:20

🛡Инфраструктуру компании часто сравнивают с замком, неприступные стены которого разными способами пытаются взять захватчики.

Причем и способы эти похожи. Например, проникновение в крепость через мало кому известный потайной ход можно сравнить с попыткой взлома через забытый удаленный доступ.

Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, на примере сражений из блокбастеров показал, какими еще методами могут пользоваться злоумышленники, чтобы захватить ваш «замок».

@Positive_Technologies
#PositiveЭксперты

Пост Лукацкого

04 ноября 2023 07:40

Надоооолго задумался 🤔

Пост Лукацкого

03 ноября 2023 15:57

В ООН приняты обе киберрезолюции

Свежие новости из Первого комитета Генассамблеи. Как я и прогнозировал, были приняты оба проекта резолюции по переговорам о кибербезопасности. Российский — в поддержку нынешнего формата, Рабочей группы открытого состава (РГОС). Западный — в поддержку создания после завершения РГОС постоянного механизма обсуждения кибербезопасности, так называемой Программы действий по поощрению ответственного поведения государств в использовании ИКТ (PoA). Конкретно PoA в резолюции не упомянута (после редактуры), но все понимают, что речь идёт именно о ней. Все параметры нового механизма должны опираться на то, что согласовано в РГОС, поэтому конкретные очертания мы увидим в будущем.

В России к Программе действий изначально относились со скепсисом, а затем и открыто отрицательно. Но, как можно видеть по голосованию, противников у нового формата помимо России и Китая нашлось не так много. Российское недовольство объясняется как статусными, так и содержательными причинами. Российская дипломатия по праву считает своей заслугой включение проблематики информационной безопасности в 1998 году, когда об этом почти никто не думал. И все последующие форматы переговоров инициировались Россией. Теперь же впервые создаётся механизм, который инициирован другими странами. Хуже того — в год 25-летия с внесения той самой первой резолюции. Это что касается статуса. Если говорить о содержании, то в России считают PoA попыткой увести переговоры в сторону от обсуждения новых юридических обязательств.

Разумеется, на этом дипломатические баталии не закончатся, в ближайшие два года будет обсуждаться, как будет выглядеть и что обсуждать новый механизм (возможно, и как он будет называться), возьмётся ли он за юридическое закрепление кибернорм. Также Россия может попробовать запустить процесс выработки конвенции по международной информационной безопасности, но это будет зависеть от наличия поддержки и желания стран создавать второй формат переговоров.