Пост Лукацкого

21 ноября 2023 18:57

Есть такие уязвимости, которые надо патчить не дожидаясь перитонита. Зовут их трендовые или, на американский манер, KEV (known exploited vulnerabilities)

Пост Лукацкого

21 ноября 2023 12:33

Вы помните нашумевшие в этом году атаки на Barracuda ESG, Cisco IOS XE, Citrix NetScaler, Cisco VPN, аппаратные решения SonicWall, Sophos, PaloAlto, Arista, F5, Juniper, Pulse Secure и т.п.? 👨‍💻 Это только верхушка айсберга, связанного с атаками на уровень ниже приложений, - уровень прошивок ПО для оборудования, BIOS/UEFI, подсистему управления BMC, системы хранения NAS/SAN, загрузчики устройств (bootloader), микрокод в чипсетах и т.п.

Технологии типа DMA (Direct Memory Access), PCIe или NMVe дают вредоносным программам гораздо больше возможностей по доступу к памяти и обходу средств защиты на уровне операционной системы (например, VBS или Device Guard), антивирусов и EDR. Иногда в кофейне краем уха услышишь, что делается в нашей лаборатории исследования железа и понимаешь, что это совершенно иной мир, с которым обычный ИБшник сталкивается редко, а если и сталкивается, то не всегда знает, что делать. Особенно в связи с уходом иностранных вендоров и закрытия стандартных каналов обновления уязвимых прошивок.

ЗЫ. А еще помните, что одна четверть всех трендовых, то есть широко эксплуатируемых, уязвимостей связана с прошивками ”железа” и в 2024-м году число руткитов, буткитов, шифровальщиков и ВПО их использующих, будет только расти.

ЗЗЫ. У китайцев, кстати, тоже не меньше, чем у американцев, проблем на уровне железа.

Пост Лукацкого

21 ноября 2023 08:58

Каждый выбирает для себя (с)

Пост Лукацкого

20 ноября 2023 18:57

КриптоПро популярен у продавцов Авито 😊 И никакого тебе учета СКЗИ 😊

Пост Лукацкого

20 ноября 2023 11:34

В одном крупном холдинге у CISO среди метрик оценки его эффективности есть и такая - повысить операционную эффективность группы компаний путем ослабления защитных мер до минимально достаточного уровня! Обратите внимание - не путем усиления, а путем ослабления защитных мер! 😎

Иными словами надо не бездумно увеличивать число средств защиты, процессов ИБ, плодить оргштатную структуру и другими способами показывать свою значимость и наращивать "капитализацию", а найти баланс между уровнем ИБ, инвестициями в кибербез и пользой для бизнеса. А это оооочень непростая задача! И она реально для CISO, должности, которая является сплавом технических и организационных знаний с учетом бизнес-потребностей своего, нет, не работодателя, а бизнеса. На этом уровне CISO уже не просто наемный менеджер - он разделяет интересы своей компании и старается нащупать баланс 🤝

Пост Лукацкого

20 ноября 2023 05:40

Запись 🎞 моего выступления про кибербез как неотъемлемую часть бизнес-модели любой компании или предприятия лежит на сайте конференции SberPro Tech 2023. Смотреть с 4:00:30. Всего 22 минуты, но зато каких 👀

Пост Лукацкого

19 ноября 2023 16:34

Не нашел в списке, но скидки есть еще на курсы SANS (600 баксов, то есть около 10%) и тренинги FAIR

Пост Лукацкого

19 ноября 2023 13:28

Плохо подготовленный социальный инжиниринг ;-)

Пост Лукацкого

19 ноября 2023 09:00

🔥 Конференция Standoff 101 для новичков в области кибербезопасности продолжается!

Подключайтесь к трансляции на сайте Moscow Hacking Week, чтобы узнать:

🖥 в каких направлениях ИБ могут прокачивать свои навыки начинающие специалисты и профи.

👾 как получить свою первую работу вирусного аналитика и что ждет впереди.

🤖 как open source расширяет понимание ИБ, почему нужно заниматься eBPF и WebAssembly, посматривая на искусственный интеллект.

Об этом и многом другом расскажут профи из сферы кибербезопасности — расписание выступлений на сегодня на картинках.

#Standoff101
#PositiveEducation
#MoscowHackingWeek

Пост Лукацкого

18 ноября 2023 19:15

На прошлых выходных, пытаясь противостоять серости, настигающей в это время года Москву, пошли с Айсылу в театр.

Во время спектакля Айсылу явно себя чувствовала не в своей тарелке. То ли вздрагивала, то ли была на грани панической атаки.

Не дожидаясь антракта, она выбежала из зала. Я, слыша в догонку ворчливое шипение заядлой театралки в возрасте, что водятся в пределах Садового кольца, выбежал следом.

Оказалось, что моя дама в тайне от меня взяла с собой секс-игрушку, которая управляется через приложение. Но мой телефон во время спектакля был на авиарежиме.

Тут я, как опытный человек в теме инфобеза, вспомнил о том, что есть хакеры, которые получают удовольствие, взламывая секс-игрушки. Случаев таких за последние годы было достаточно много.

И вот я натыкаюсь на очередную свежую историю о том, как «энтузиасты»(можно ли их так назвать) взламывали чужие вибраторы с помощью Flipper Zero.

В общем, окультуриться нам помешал какой-то «энтузиаст», ну а Айсылу сделала вывод, что брать с собой вибратор на величайшие пьесы современности плохая идея.

Как там говорит Алексей Лукацкий, «недопустимое событие»? Вот оно самое.

@cybersachok

Пост Лукацкого

18 ноября 2023 15:13

По мнению Майкла Портера (это его имя в «пяти силах Портера»), чем сильнее развита конкуренция 🤼 на внутреннем рынке страны и выше требования покупателей, тем больше вероятность успеха компаний 🎰 из этой страны на международных рынках (и наоборот, ослабление конкуренции на национальном рынке приводит, как правило, к утрате конкурентных преимуществ) 🤔

Может и неплохо, что у нас под три десятка вендоров NGFW, с десяток SIEMов, столько же средств управления уязвимостями, DLP и вовсе без счета… 🧮

ЗЫ. А у вашего периметра (тоже слово на П) есть конец?

Пост Лукацкого

18 ноября 2023 11:25

Моя презентация "Биздата. О защите бизнес-данных нетрадиционными мерами, которые реализованы у всех" с выступления на "Защите данных"

Пост Лукацкого

18 ноября 2023 07:40

🤔 Знаете ли вы, что объединяет овцебыка, бабочку-шифровальщицу и кибербезопасность?

Если нет, то специально для вас Positive Education запускает бесплатный курс «Базовая кибербезопасность: первое погружение», автором которого стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

С помощью небольшого курса вы сможете понять основы отрасли: что такое кибербезопасность и как она влияет на людей, бизнес и государство. Материал в первую очередь рассчитан на новичков в этой сфере: в нем собран необходимый минимум информации, которую обычно приходится искать в различных источниках — статьях, выступлениях и видео.

Вас ждут девять коротких видеоблоков, в которых Алексей расскажет просто о сложных терминах в мире ИБ, что движет плохими парнями, кто работает на светлой стороне и даже какие инструменты ИБ использовали в Древнем Египте.

🤟 Курс доступен всем желающим, смотрите его на нашем сайте и делитесь с друзьями, которые хотят начать свой путь в сфере кибербезопасности!

@Positive_Technologies
#PositiveEducation

Пост Лукацкого

17 ноября 2023 16:02

Вся это controls physiology базируется на модели FAIR-CAM, которая... не очень-то и похожа на классическое управление рисками (Risk 1.0). Магии не случилось. По сути речь идет о нормальной системе ИБ, которая зиждется на трех китах:
1️⃣ Меры поддержки принятия решений, которые позволяют приоритизировать оценить что и от чего мы защищаемся (управление активами, выбор ключевых систем, моделирование сценариев реализации угроз и т.п.)
2️⃣ Вариативные меры управления (управление уязвимостями, оценка защищенности, повышение осведомленности и т.п.)
3️⃣ Меры нейтрализации потерь, представляющие по сути собой харденинг инфраструктуры и уменьшение площади атаки.

Ничего нового, если честно. Я бы мог сказать, что это почти один в один концепция результативного кибербеза, только подана красиво и привычно использует слово «риск» в своей основе 👌

Пост Лукацкого

17 ноября 2023 09:05

Устроим сегодня день риск-менеджмента 🔥 Если вы не просто слышали про оценку рисков, а реально пытались общаться с топ-менеджментом про эту тему, то знаете, что задача эта нетривиальная. Бизнес с трудом понимает абстрактные риски, которых еще и несколько сотен в реестре. Есть разные подходы к тому, чтобы решить эту непростую проблему, например, история с недопустимыми событиями. А вот г-н Шапиро (но не тот, другой) предложил свою методологию, назвав ее изящно и просто, - Двоичный анализ рисков (Binary Risk Analysis, BRA).

Идея BRA проста до безобразия - вам надо задать всего 10 вопросов, каждый из которых имеет всего два ответа - да 🆗 или нет 👎 (отсюда и "бинарный" в названии). Все вопросы делятся на пары и в зависимости от комбинации ответов (Да + Да, Нет + Нет, Да + Нет) вы получаете одно из трех значений классического "светофора" 🚦Риск оценивается экспертным путем по тому, насколько атака на актив требует нужных компетенций, актив имеет слабости в защите, каков источник угрозы и насколько актив ценен для бизнеса.

Из этого набора вопросов уже становится понятно, что облегчив саму процедуру оценки рисков методология BRA рассчитана на ИБшников (ну откуда бизнес знает про компетенции хакеров и слабости в защите активов?). А вот откуда ИБшники возьмут ответы на последнюю пару вопросов (имеет актив ценность для бизнеса и будет ли стоимость восстановления актива значительной), BRA не отвечает 🤑

Резюмируя могу сказать, что попытка облегчения оценки рисков в BRA достаточно интересная, но основную проблему она так и не решает. Бизнес все равно не будет ею пользоваться, а ИБшник не сможет донести важность темы до топ-менеджмента 🧐 Тут нужно нечто совершенно иное, простое и понятное для бизнеса.

Пост Лукацкого

21 ноября 2023 15:56

Считается, что термин «хакер», применительно к современному пониманию, появился в 1963-м году, в студенческой газете The Tech, издаваемой MIT

Пост Лукацкого

21 ноября 2023 09:27

Кибер-руководство Украины подало в отставку. Главу ДССТЗИ и его зама обвиняют в растрате государственных денег при закупке иностранного ПО.

Пост Лукацкого

21 ноября 2023 05:40

Институт изучения мировых рынков (этакий "русский IDC") выпустил отчет "Реальность и перспективы российского рынка кибербезопасности 2023 — 2025", в котором авторы пытаются оценить текущую степень зависимости российских компаний от иностранного ПО в области кибербезопасности, выявить основные драйверы, затрудняющие факторы и общую степень готовности отечественных компаний к переходу на отечественное ПО в ближайшие два года.

Очевидно, что в текущих условиях заказчики постепенно мигрируют на российское ПО, потенциал которого огромен (сейчас мигрировали только около 30% компаний). Наиболее перспективны такие сегменты для миграции как "Аналитика и реагирование" и "Сетевая безопасность".

Отчет не затрагивает тему сетевого оборудования, а это достаточно важная история для обеспечения ИБ предприятий. Недавно нашумевшая уязвимость в Cisco IOS XE (CVE-2023-20198) лишний раз показала этот факт. И вот новая RCE в Cisco, которая продается в Даркнете и которая, по словам "продавца", дает еще больший эффект, чем недавняя дыра.

И вот тут снова надо вернуться к отчету ИИМР. Там перечислены причины, почему компании остаются на иностранном ПО (думаю, к железу применимы те же причины). Но отвеченным остается вопрос - а как использующие иностранное ПО и железо компании решают вопрос с оперативными обновлениями? Если доступа к ним нет, то последствия могут быть слишком серьезными. Если доступ есть, то к доверенному источнику или к "иранским" телеграм-каналам, где выкладываются непонятно откуда взятые обновления?

Это у многих иностранных средств защиты есть или скоро появятся отечественные аналоги. А вот сетевому оборудованию похвастаться особо нечем - адекватных аналогов пока что-то на горизонте не видно. И выход тут один - выстраивание процесса управления уязвимостями и компенсирующие меры, позволяющие устранять если не сами дыры, то хотя бы снижать последствия от их эксплуатации (сегментация, мониторинг сетевой активности и аномалий, МСЭ внутри инфраструктуры...).

Пост Лукацкого

20 ноября 2023 15:49

Визуализация в целом и ИБ в частности - тема достаточно непростая и я ей посвятил немало выступлений и заметок тут и в блоге. Сейчас перезапущу сайт на новом хостинге и все-таки выложу обещанный курс по дашбордам в ИБ. А пока поделюсь прелестным подарком, который я получил от основателя проекта Дата Йога Андрея Демидова 🃏

Казалось небольшая колода карт 🃏, но в ней сосредоточена вся мудрость визуализации, а именно набор наиболее популярных видов визуализации данных с примерами, что и когда стоит, а когда не стоит применять исходя из тех задач, которые перед вами стоят - показать рост или снижение, сфокусировать внимание на каком-то показатели или просто подкрепить свои доводы "картинкой".

ЗЫ. На сакраментальный вопрос "Где достать?" сразу отвечу - "Не знаю" 🤷

Пост Лукацкого

20 ноября 2023 09:02

Дашборд по ИБ в управлении обслуживания фермеров (Farms Service Agency), входящем в структуру Минсельхоза США. Тамошний CISO считает, что с помощью такого дашборда он следует подходу, ориентированному на результат (Result-based Management), увязанному со стратегическими целями агентства. Как по мне, так при хорошей задумке реализация на троечку. Сама по себе идея измерения текущего состояния ИБ и его улучшения неплоха, но тут, как мне кажется, измерения ради измерения. Вроде и делается что-то, но как это все связано с помощью американским фермерам?

Большинство метрик уровня compliance - завершено в срок, реализовано защитных мер, соответствует требованиям, сделано по расписанию, обработано запросов… Скучно 🥱 и совсем не про реальный результат 🤨

Пост Лукацкого

19 ноября 2023 19:02

Муж не дебил, он админ с чувством юмора 💻

Пост Лукацкого

19 ноября 2023 16:33

Неминуемо приближается Черная пятница, а значит настало время тратить деньги, хотя это и стало делать сложнее🤷
Уже по традиции можно посмотреть скидки на различные курсы, сервисы и утилиты по направлению ИБ в репозитории InfoSec Black Friday Deals ~ "Friday Hack Fest" 2023 Edition 🔥

Еще можно заглянуть в Awesome Black Friday/Cyber Monday Deals - 2023 - здесь также можно найти скидки на книги, утилиты, сервисы различных направлений🛍

Пост Лукацкого

19 ноября 2023 10:23

Когда с вашей символикой делают разные прикольные штуки, значит любят, значит появляются фанаты, значит тема ушла в народ!

Пост Лукацкого

19 ноября 2023 07:40

Чего мне не хватает на сайте НКЦКИ, так это отдельного раздела с предупреждениями о той или иной угрозе. Есть там раздел "Бюллетени НКЦКИ", но он про новые уязвимости. Есть раздел "База уязвимостей", но чем он отличается от предыдущего не очень понятно (разве, что в нем последняя уязвимость датируется началом октября, а в "бюллетенях" серединой ноября.

А вот особые предупреждения приходится выискивать в разделе новостей, что не очень удобно. Тем более, что они тоже оформлены как бюллетени НКЦКИ, хотя и не называются так же. А был бы отдельный раздел, можно было бы без проблем на него ссылаться, вытягивать автоматом и парсить новые предупреждения и т.д. Запишите это как рацпредложение! ✍️

Пост Лукацкого

18 ноября 2023 17:40

Бытовой антифрод 👀😅

#пятничное #юмор

Пост Лукацкого

18 ноября 2023 11:25

💬 «Не стоит пытаться бежать впереди паровоза и искать какие-то новомодные решения для борьбы с утечками, лучше начать с того, что у вас есть в арсенале уже сейчас. У всех есть фаерволы, у всех есть решение для мониторинга активности. В идеале вообще просто выстроить процесс обновления сегментации — это уже сильно поможет вам бороться с утечками данных и любыми другими инцидентами, связанными с данными» — советует Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

Пост Лукацкого

18 ноября 2023 10:30

🔥 Сегодня стартует первый день нашего масштабного мероприятия Moscow Hacking Week!

Начнем с основ, а точнее с конференции Standoff 101 для студентов и начинающих специалистов, которые хотят развиваться в кибербезопасности и узнать больше об этой сфере. Специально для вас мы собрали на одной площадке крутых профи, которые поделятся своим опытом.

🤔 Реверс-инженер, специалист по AppSec, белый хакер, вирусный аналитик — как выбрать, кем стать? Из чего состоит жизнь специалиста по ИБ? На какой доход можно рассчитывать? Что нужно, чтобы стать востребованным в этой сфере?

Ответы на эти и многие другие базовые вопросы вы узнаете в ближайшие два дня. Подключайтесь к трансляции на сайте Moscow Hacking Week и делитесь ссылкой с друзьями, которые хотят попасть в мир кибербезопасности.

Расписание первого дня конференции на карточках

#Standoff101
#PositiveEducation
#MoscowHackingWeek

Пост Лукацкого

17 ноября 2023 19:01

Если опуститься с оценки рисков к моделированию угроз, то мы помним, что из 4-х подходов в этой области есть и такой, в рамках которого мы отталкиваемся не от активов, не от угроз, а от нарушителя 👨‍💻, от его возможностей, которые и определяют то, что может сделать "плохой парень", то есть какие угрозы реализовать 💻

Известный в узких кругах Arkanoid, высказавшись на тему оценки рисков
«людям трудно понять, что лучше просто и сейчас, чем подробно и никогда»,
предложил свою вариацию на тему моделирования нарушителя, разделив их на 4 уровня:
😛 Хакер-оппортунист - мамкин-хакер или хактивист, звезд с неба не хватает, использует обычно готовый инструментарий
😂 Хакер с целеполаганием - может и кастомный эксплойт для известной уязвимости написать, но основное его отличие в целеустремленности и выборе целей
😉 Хакер-организатор - тратит много ресурсов на организацию атаки, стараясь оставаться незамеченным, может быть даже "в погонах", но не самого высокого ранга
😎 Хакер-хищник - желает стратегического доминирования в киберпространстве и предпринимает для этого максимум усилий.

По мнению автора эта градация позволяет писать модели угроз любой сложности, но как по мне, это возможно только если ты прекрасно разбираешься в теме и представляешь, какими возможностями обладает каждый из 4-х уровней. Без этого это еще одна классификация хакеров, не более.

Пост Лукацкого

17 ноября 2023 12:31

Когда риск-менеджмент перестает работать, придумывают "риск-менеджмент 2.0" 😊 Но красиво, ничего не скажешь. Отсылки к физиологии, использованию искусственного интеллекта, генетического инжиниринга. Прям фьюжн какой-то... Но есть один нюанс в реализации этого подхода, о котором далее ⏳ А вообще "controls physiology" звучит интригующе, но непереводимо на русский язык 🔫

Пост Лукацкого

17 ноября 2023 05:40

Сегодня я выступаю на SberPro Tech 2023 с коротким выступлением про роль кибербезопасности в бизнес-модели любого коммерческого предприятия. Времени не так много выделено, поэтому пройдусь по самым верхам и покажу, что если смотреть на бизнес с точки зрения тех, кто зарабатывает деньги и обеспечивает функционирование бизнеса (а не веб-сайта, ОС, рутера или мобильного устройства), то найдется много точек, в которых кибербез играет свою роль. Да не всегда главную, иногда второго плана, но это тоже роль (за нее иногда и Оскары с Никами дают).

ЗЫ. Я по сути продолжаю и углубляю свой рассказ в Питере про морковку спереди и морковку сзади (кстати, все презентации с этой конференции уже выложены), но углубляюсь только в одно направление.

ЗЗЫ. Будет трансляция. Я выступаю в секции "Цифровая трансформация" (не "Кибербезопасность") около 13-ти часов.