Пост Лукацкого

09 октября 2023 06:40

АНБ и CISA выпустили документ, описывающий Топ 10 типичных ошибок в конфигурации инфраструктуры, с которыми постоянно сталкиваются "красные" и "синие" команды двух американских спецслужб (с привязкой к техникам MITRE ATT&CK):
🔤 Настройки "по умолчанию" для ПО (пароли, конфиги и права для сервисов, незащищенные протоколы и т.п.)
🔤 Неэффективное разделение пользовательских и административных прав (ненужные админские права, использование сервисных учеток)
🔤 Неэффективный (или отсутствующий) внутренний мониторинг сети
🔤 Нехватка сетевой сегментации
🔤 Слабый патч-менеджмент (нерегулярность, неподдерживаемые ОС и ПО)
🔤 Обход системного контроля доступа (pass-the-hash, Kerberoasting, например)
🔤 Слабая или ненастроенная MFA (отсутствие защиты от подмены SIM, MFA bombing, атаки на ОКС7, голосовой фишинг и т.п.)
🔤 Неэффективные списки контроля доступа на сетевых шарах и сервисах
🔤 Слабая гигиена с учетными записями (легко угадываемые пароли и пароли в открытом виде)
🔤🔤 Неограниченное исполнение кода.

Там же в 40-страничном документе даны и рекомендации по защите и нейтрализации данных ошибок.

Пост Лукацкого

08 октября 2023 16:33

Как обещал, пощелкал немного в Кибердоме 🏡, на новой площадке для ИБшников, где построили свой киберполигон, на котором, среди прочего, даже космическая станция есть.

Пост Лукацкого

08 октября 2023 11:27

Израильтяне советуют всем быть бдительными и готовыми к кибератакам. При этом некоторые хакерские группировки призывают присоединиться к ним для атак на киберпространство Израиль 🇮🇱.

ЗЫ. Интересный факт. У израильтян есть приложение Цофар, которое предупреждает о ракетных ударах по Израилю. Так вот ортодоксальным евреям, соблюдающим Шаббат, по субботам запрещено пользоваться телефоном и Интернетом и многие из них вовремя просто не узнали о нападении ХАМАС. К чему это я? К тому, что процессы ИБ должны учитывать религиозные аспекты 🛐 того региона, в котором они реализуются.

Пост Лукацкого

07 октября 2023 19:31

Осень… Птицы улетают на юг, а депутаты и сенаторы готовят кучу 💩 законодательных инициатив в области ИБ (персданные, VPN, аутентификация, биометрия…). И попытка понять, зачем они это делают и что они вообще имеют ввиду, похожа на диалог с обкуренным наркоманом 😵‍💫

А самое главное, что с ними бессмысленно обсуждать что-то. У них либо разнарядка сверху, либо собственная инициатива, что еще хуже. Все объяснения приводят только к тому, что они переписывают законопроект так, как они поняли (а поняли они неправильно) и ситуация становится еще драматичнее.

Пост Лукацкого

07 октября 2023 12:06

Интересная история. Некие хакеры взломали популярный сервис анализа генетической информации 23andMe и утверждают, что утянули очень чувствительные данные 7 миллионов пользователей. Там не только фото и идентификационные данные, но и сведения о здоровье, геноме человека, маркерах возможной родословной и т.п., то есть то, что у нас бы назвали спецкатегорией ПДн. Компания 23andMe до сих пор не подтвердила инцидент, а виновник утечки обижается, что этому инциденту уделяется так мало внимания. Более того, он обещает выложить все данные в Интернет, если компания не признает случившийся инцидент. А пока одни не признаются, а другие требуют к себе внимания, акции компании упали на 15% 📉

Если честно, это очень хорошая иллюстрация к истории про недопустимые события. По большому счету насрать, был реальный взлом или кто-то надергал данных за счет веб-скраппинга (ага, 7 миллионов записей о состоянии здоровья), бизнес пострадал и пострадал значительно (падение на 15% - это прям много). ИБшники могут валить все на ИТ, мол, это они порты не прикрыли и допустили скраппинг. ИТ может валить все на ИБ, мол, это они нормально не умеют в обнаружение и реагирования. Но факт есть факт - произошло то, что волнует именно бизнес и то, что не должно было быть допущено. Недопустимым событием тут является - падение курса акций более 15% (ну или 10% - у всех свои пороговые значения). Произошло оно из-за косяков в ИТ-инфраструктуре. Предотвратить его можно было путем харденинга (ИТ-епархия) или за счет оперативного мониторинга и реагирования (зона внимания ИБ). А признают это инцидентом или нет, вопрос уже десятый...

Пост Лукацкого

06 октября 2023 20:13

Если у вас на домашнем Wi-Fi нельзя включить многофакторную аутентификацию, то хотя бы пароль сделайте подлиннее!

Пост Лукацкого

06 октября 2023 13:36

Выступал сегодня на GIS DAYS с темой про искусственный интеллект в ИБ. Часть слайдов 🤘, а я три вывода с выступления повторю тут:
🔤Не может компания, выпускающая средства защиты от угроз, не иметь своего центра исследований угроз, своих хакеров и своего круглосуточного SOC. Если у нее этого нет, то как она может вообще что-то знать об угрозах? Побирается по рынку и тырит чужие сигнатуры (есть у нас такие)? Или как школьники в подворотне обсуждают с умным видом секс, не разу его не попробовав?
🔤Нельзя сегодня заниматься искусственным интеллектом в ИБ (в контексте борьбы с угрозами), не имея актуального, релевантного и постоянно обновляемого датасета с хакерскими техниками. И получить его можно только либо имея доступ к большому объему трафика (поэтому у провайдеров есть фора в этом вопросе), либо имея киберполигон, либо постоянно гоняя своих белых хакеров в хвост и в гриву, чтобы они прокачивали свои скиллы, а вы собирали данные об их действиях. Ну или надо быть Сбером, чтобы тебя постоянно пытались похекать.
🔤Нельзя заниматься искусственным интеллектом в ИБ, если у вас нет специалистов (отдела), которые выделенно занимаются этим вопросом. Купить чужую экспертизу, не разбираясь в ней, не поможет.

Пост Лукацкого

06 октября 2023 06:40

На фоне вчерашнего распространения депутатами комитета по информационной политике новостей о том, что бизнес должен перенимать методы ИБ госорганов, которые защищены лучше коммерсантов 🤔, фрагменты слитой переписки руководителя ИБ одного из крупнейших госов, выглядят особенно пикантно. Вот почему ИБ в госах лучше - просто святой воды жалеть не надо 🛐

Пост Лукацкого

05 октября 2023 20:05

А мне никто не пишет и не звонит 😭 И ведь даже не полковник.

Пост Лукацкого

05 октября 2023 13:29

Поздравлю сам себя с днем учителя 👨‍🏫 Тем более и картинка у Руста подходящая оказалась. Я думал, это у блогеров такая отмазка только, а оказывается у учителей тоже 🫥

Ну и чтобы дважды не вставать и заставить себя довести до завершения задачу - обязуюсь в понедельник выложить в онлайн-школе «Вышибала» новый курс по визуализации ИБ. Два года уже как записан, а выложить на платформу не доходят руки 💪

Пост Лукацкого

05 октября 2023 09:59

Темнокожего мужчину с плакатом "No russian hackers" задержали в знаменитом кинотеатре "Октябрь" на Новом Арбате в Москве. Судя по видео, дядя пытался привлечь внимание прессы.

Звучит резонансно, но как оказалось, это промокампания сериала "Короче, план такой" о приключениях команды русских хакеров, который в этот самый момент презентовали.

😋 Подписывайся на Mash

Пост Лукацкого

05 октября 2023 06:40

Кто спрашивал, как попасть в Positive CISO Club? 👇 ссылочка есть. Действует ограниченное время

Пост Лукацкого

04 октября 2023 17:05

💻Институт профессиональных операторов персданных — перспектива для рынка инфобеза

Принял участие в пленарном заседании BIS SUMMIT 2023 — здесь собрались ведущие специалисты рынка информационной безопасности России. Вопрос стоял злободневный: что должно сделать государство, чтобы обезопасить отрасль и граждан от взрывного рост утечек информации?

Наталья Касперская, президент ГК InfoWatch, председатель Правления АРПП «Отечественный софт», привела интересную статистику, собранную ее компанией. Аналитики сравнили ситуацию с утечкой данных в России и в мире — резкий рост количества инцидентов с информацией был зафиксирован в 2022 году не только в нашей стране. Обратил внимание коллег на то, что ситуация с утечками в России с 2022-го напрямую связана с СВО и развернутой кибервойной против нас.

⌨️Информация о том, что в первом квартале 2023 года в России отмечено снижение количества утечек на фоне общемирового тренда на их увеличение, свидетельствует о том, что последовательная стратегия государства дает свои результаты. Причем, если в мире на утечку персданных приходится 56,5%, то в России на этот вид инцидентов с информацией — 73,6%. Очевидно, что без введения серьезной ответственности для операторов эту проблему не решить.

Наши поправки в КоАП, которые предусматривают значительное увеличение штрафов за утечки, вплоть до оборотных за повторные, до сих пор вызывают споры в отрасли. Некоторые компании, которые сейчас экономят на инфобезе, запустили информационную кампанию, пытаясь показать, что утечки не являются серьезной проблемой. Государство последовательно наводит порядок в этой сфере, а при обсуждении законопроекта мы учтем предложение о введении смягчающих обстоятельств для оператора — например, как отметил Милош Вагнер, заместитель руководителя Роскомнадзора, регулятор примет во внимание то, что компания сообщит в течение 24 часов об утечке, а о результатах проведенного внутреннего расследования в течение 72 часов.

Работа над пакетом законопроектов об ужесточении санкций за утечку персданных вышла на финишную прямую, сейчас он проходит этап отзыва в Правительстве. Уверен, что законы попадут на рассмотрение в Госдуму уже в осеннюю сессию.

❗️К сожалению, сейчас к обработке персданных операторы относятся безответственно. Проблема кроется и в их чрезмерном количестве, сейчас ведь эти данные с согласия гражданина могут собирать практически все — от гостиницы до торговой сети. По оценкам Роскомнадзора, таких субъектов уже насчитывается более миллиона. Нужно подумать об, условно говоря, институте профессиональных операторов персданных, которым на хранение будет передаваться информация. Создав такой инструмент, можно обеспечить надежное хранение персданных россиян в масштабах всей страны.

Пост Лукацкого

04 октября 2023 13:33

Солью без разрешения фоточку с гардероба грядущего в этот понедельник Positive Security Day. Барбикор и куча брутальных ИБшников. И это только одна из прикольных фишек мероприятия, регистрация на которое скоро завершится. Про контент вообще молчу 🤐

ЗЫ. Если мероприятие проходит в кинотеатре, то скучно там точно не будет. Погружение в атмосферу кино 🎥 будет полное! 🍿

Пост Лукацкого

04 октября 2023 06:40

А вы уже внесли себе в расписание даты проведения Moscow Hacking Week? 18-26 ноября! «Синие» начинают и... выигрывают. Но могут и «красные». Целых 8 дней реальной битвы «красных» и «синих», которая покажет, ху из кто?

ЗЫ. Начало видео смотрите в первой серии.

Пост Лукацкого

08 октября 2023 20:23

Мы перестали заглядывать в окна… киберполигонов (с)

Я вот заглянул. Проработка макета конечно поражает. Я надолго залип на рассматривании мелких деталей - бутылки у девушки в руках, котика на кровати, кошачьего концерта гитариста, центра управления полетами, биржи и т.п. И ведь многие из объектов активно действующие. Например, на дашбордах ЦУПа меняются картинки, на плазме концертной площадки отображаются психоделические картинки, а на бирже меняются курсы акций и криптовалют... И все это, похоже, можно взломать и можно защитить...

Пост Лукацкого

08 октября 2023 13:21

Израильский независимый системный оператор Noga, возможно, взломан. Группировка Cyber Avengers пишет об этом, приводя соответствующие скриншоты из АСУ ТП. Правда это или нет, и по какой причине нет света, в текущих условиях не поймешь. Может взлом, а может и удар ракеты 🚀

Пост Лукацкого

08 октября 2023 08:40

Тут на всяких ресурсах хакерский журнальчик распространяют. И там самая большая статья, аж на 40 страниц, про отключение Касперского AV/EDR. С одной стороны это признание, а с другой - повод задаться вопросом, а как вы проверяете, что установленные у вас средства защиты, особенно хостовые, продолжают работать и мониторить вредоносную активность? И есть ли у вас процедура оперативного возвращения средств защиты в исходное состояние? Одно дело когда антивирус просто не видит современных вредоносов и совсем другое, когда его выносят с компа на 1-2-3.

ЗЫ. Ну а распространение через центр управления антивирусом вредоносов - это вообще нехорошо. То есть покупая средство защиты не забудьте убедиться не только в том, что оно защищает вас, но и что оно само защищено.

Пост Лукацкого

07 октября 2023 16:15

И второй важный момент про инцидент с 23andMe. На днях я читал курс по реагированию на инциденты для одной весомой финансовой организации. И среди прочего зашел разговор о том, как работать с публичным пространством, если происходит недопустимое событие или инцидент ИБ. И мнения в группе предсказуемо разделились, но большинство все-таки было за то, чтобы не выносить сор из избы (классическое ИБшное мышление; сам таким был). А вот эта история показывает, что пока мы думаем, скрывать или раскрывать, как общаться со СМИ и инвесторами, как доносить с пользой для себя (а это можно), наступает серьезный ущерб бизнесу.

Тут на портале результативной кибербезопасности как раз на неделе (это действительно совпадение) выложили статью "Как общаться с внешним миром, если вас взломали". Там даны базовые рекомендации (думаю, скоро там появятся и более расширенное руководство, с шаблонами, примерами и т.п.) по тому, как себя вести в схожих случаях. И всегда помните правило 4-х часов - "если за 4 часа вы не успели среагировать на инцидент в публичном поле и взять ситуацию под контроль, то вы упустили момент, дальше ситуация будет развиваться неуправляемо и взять ее под контроль обойдется гораздо дороже".

Пост Лукацкого

07 октября 2023 08:40

Когда 166-й Указ настигает даже физлиц. Какого рожна, спрашивается, меня должен касаться 166-й Указ? А вот поди ж ты…

Пост Лукацкого

06 октября 2023 17:11

В Москве появилась новая площадка для проведения ИБшных мероприятий - «Кибердом». Вот так выглядит один из входов. Прям взрывает мозг 🤯 Но и другие места этой площадки тоже заслуживают внимания. Если не прощелкаю, то нащелкаю еще чего-нибудь

Пост Лукацкого

06 октября 2023 10:08

Смотрите, что у меня есть 😊 Сейчас за прохождение таких курсов можно и по статье загреметь.

ЗЫ. А вообще это фейк - взял на страничке одной мадам и просто поменял там имя. Даже не знаю, стоит ли такие сертификаты выкладывать в Интернет. А то ведь взял, затер имя, написал свое и вуаля, теперь ты обучался в Центре компетенций НАТО по кибербезопасности. Хотя если кому-то надо пыль в глаза пустить, то вполне себе тема. Проверить-то все равно невозможно.

Пост Лукацкого

05 октября 2023 20:05

📨 Сегодня несколько наших сотрудников получили сообщения в Telegram — якобы от нашего коллеги, эксперта по кибербезопасности.

Начинается все со звонка для привлечения внимания, переходящего в диалог, в котором собеседник просит перевести деньги на карту или криптокошелек.

Наши сотрудники хорошо осведомлены о базовых принципах кибербезопасности и сразу поняли, что по ту сторону экрана — мошенник. И решили воспользоваться моментом, чтобы немного пошутить над ним.

Как пишут коллеги из ISACA, наш случай не единственный. Злоумышленники массово распространяют такие фишинговые сообщения и выдают себя за известных экспертов в области ИБ.

💬 На что стоит обратить внимание, если вы получили такое сообщение?

•‎ Главное: если человек уже есть в ваших контактах, то вверху диалога не должно быть кнопок «Добавить в контакты» и «Заблокировать».

•‎ Проверяйте написание ника и номера телефона. Если номера у аккаунта нет, но вы точно уверены, что пользователь есть в ваших контактах, — это еще один повод насторожиться.

• Позвоните реальному человеку по номеру телефона, который вам известен, и предупредите его.

• Заблокируйте аккаунт мошенника.

@Positive_Technologies

Пост Лукацкого

05 октября 2023 16:59

Хакеры не щадят никого - даже рукодельниц 🪡 Спектр жертв поражает - от фанатов квиллинга, валяния и декупажа до «Красного креста».
Ничего святого у людей 😈

ЗЫ. Хорошо, что недоступные вчера сервисы ГИБДД и сервера Xiaomi на хакеров не повесили 🤷

Пост Лукацкого

05 октября 2023 10:33

Ну вот и трейлер этого самого сериала 🤕 Не знаю, насколько он про хакеров 🔓 Судя по ролику скорее комедия с элементами ИТ на хайповую тему. Но посмотрим, когда выпустят. Может и родят что-то интересное 😂 Хотя там упоминается ИРИ 😱, а они ни в чем-то полезном замечены пока не были 🛡

Пост Лукацкого

05 октября 2023 06:40

👩‍🎤 «В авангарде киберискусства» — под таким слоганом мы провели третью встречу сообщества CISO «Позитив клуб».

Атмосфера вечера полностью соответствовала слогану: под классическую музыку с видом на Кремль 150 экспертов из ведущих российских компаний обсудили актуальные вопросы и тренды в мире кибербезопасности, а также обменялись реальным опытом устранения инцидентов. И все это останется только между участниками.

• Почему для руководителей по ИБ создавать дашборды и отчеты — тоже своего рода искусство? Об этом членам клуба рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

• Денис Батранков, консультант по ИБ Positive Technologies, рассказал, какая экспертиза должна быть в средствах сетевой безопасности.

• Перед участниками также выступил Сергей Клевогин, эксперт по информационной безопасности. Он поделился наблюдениями о том, как кибербезопасность выглядит в глазах бизнеса.

Участники не только поучаствовали в деловой программе, но и попробовали наши фирменные коктейли, а в подарок получили профессиональные фотографии, которые смогут добавлять в презентации 😉

Присоединиться к «Позитив клубу» можно заполнив форму на сайте (но мы этого не говорили, пусть останется между нами).

@Positive_Technologies
#ПозитивКлуб

Пост Лукацкого

04 октября 2023 20:10

От владельцев ИБ-аутсорсера «Я твой SOC имел», юридического бюро «Я твой КИИ вертел», пентестерской конторы «Я твой сайт шатал» и багбаунти-платформы «Я твой дыра продал»! 😂

Пост Лукацкого

04 октября 2023 17:05

— Когда вы говорите, Иван Васильевич, впечатление такое, что вы бредите.

Я регулярно вспоминаю советскую классику, когда слышу идеи наших законодателей. Предложение Хинштейна сродни идее с банком спермы. Она всегда при тебе и отторгнуть ее от себя и насовсем невозможно. Но есть некое хранилище, которое за большое бабло заморозит часть тебя и будет хранить ее, конечно же, не допуская никаких утечек. Идея уровня 2011 года, когда РКН очень долго объяснял, как можно передавать ПДн зарубеж, но не хранить их там. Этакая непрерывная циркуляция данных без остановки.

И тут также. Данные собирают все (не бывает исключений). Как заставить всех отменить сбор и передать это все группке непонятно как выбранных «доверенных» операторов? Так они же еще и деньги будут требовать за хранение и каждое обращение к ПДн. Этакая «ЕБС 2.0». А когда оттуда утекут данные, все опять начнуть разводить руками 🤷 и говорить, что ничего не было и вообще это не у них.

Пост Лукацкого

04 октября 2023 10:07

Gartner выпустил очередной обзор перспективных вендоров решений для SOCов. В этот раз их пять - Veriti, Seemplicity, Gem Security, DevOcean и Defants. Вы о них слышали?

Пост Лукацкого

03 октября 2023 20:11

Спасая кого-то от хакеров убедись, что он готов к твоей помощи. Учитывай возможности спасаемого и уровень его подготовки. Именно поэтому в фрейморке PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lesson Learned) на самом первом этапе стоит обучение. Иначе и навредить можно 🤕