Пост Лукацкого

03 ноября 2023 19:05

Утащил из одного чатика по приватности. Прям взоржал, когда увидел. Реально, именно так и воспринимаются нормативные акты, которые ты читаешь (или комментарии к нему, включая правоприменительную практику) и которые ты писал ✍️

Пост Лукацкого

03 ноября 2023 12:24

31-го октября (не 25-го как обычно) MITRE выпустила новую, 14-ю версию своей матрицы ATT&CK, которая пополнилась целым букетом изменений:
1️⃣ 18 новых техник в Enterprise и почти 130 различных обновлений в ранее описанных техниках
2️⃣ 7 новых и 25 измененных техник в версии для мобильных устройств
3️⃣ В версии для АСУ ТП новых техник не добавлено, но вот изменений в уже существующих больше 80.
4️⃣ 14 и 7 вредоносных программ для матриц Enterprise и Mobile, а также ряд изменений в существующих.
5️⃣ 7 новых группировок и изменения в 22 имеющихся
6️⃣ 4 новых хакерских кампании
7️⃣ 14 новых активов в матрицу для АСУ ТП
8️⃣ 1 новая защитная мера для "мобильной" матрицы и почти 50 изменений в существующие меры, преимущественно для АСУ ТП
9️⃣ Существенно расширено число техник с описанными методами обнаружения с примерами на псевдокоде из Cyber Analytics Repository. Для расширения плацдарма (Lateral Movement) было добавлено 75 правил, написанных на BZAR (Bro/Zeek ATT&CK-based Analytics and Reporting), и число таких правил планируют расширять в следующих версиях.
1️⃣0️⃣ Расширено описание связей между методами обнаружения, источниками данных и защитными мерами.

Всего в текущей версии матрицы:
1️⃣ Enterprise - 201 техник, 424 суб-техник, 141 группировок, 648 примеров вредоносного ПО, 23 кампаний, 43 защитных мер и 109 источников данных
2️⃣ Mobile - 72 техник, 42 суб-техник, 8 группировок, 108 примеров вредоносного ПО, 1 кампания, 12 защитных мер и 15 источников данных
3️⃣ АСУ ТП - 81 техник, 13 группировок, 21 примеров вредоносного ПО, 52 защитных мер, 3 кампаний, 14 активов и 34 источников данных

Пост Лукацкого

03 ноября 2023 05:40

Сегодня у нас будет день международных глобальных новостей. CVSS 4.0 официально опубликован и введен в действие. Я про эту систему рейтингования уязвимостей уже писал в июне и добавить к написанному мне особо нечего. Тут скорее вопрос в том, будет ли ФСТЭК менять свою методику по оценке критичности уязвимостей и вносить правки в БДУ? Или мы будем жить в своей ветке рейтингования, а весь мир, включая дружественные нам страны, в своей. Тем более, что базовая оценка CVSS дополняется новыми атрибутами, учитывающими динамический характер угроз, использующих дыры (CVSS-BT, CVSS-BE, CVSS-BTE), а эти варианты CVSS у нас во всех документах, включая и рекомендации НКЦКИ отсутствуют напрочь.

Пост Лукацкого

02 ноября 2023 17:40

А у Okta снова проблемы. На этот раз у ее подрядчика утекли персданные работников Okta. Тотальное невезение у ИБ-компании, которую ломали уже трижды:
💀 в марте 2022
💀 в декабре 2022
💀 в октябре 2023.
И вот теперь в ноябре 2023 🤦‍♀️

Пост Лукацкого

02 ноября 2023 12:45

Вот зря министр это заявил 🙄 Я несколько лет ждал момента, когда отчитаются об успехах и можно будет по пунктам разобрать достижения проекта «Цифровая экономика». Как минимум, в части кибербеза.

ЗЫ. Выделенная фраза дважды повторена в тексте, но я прочел ее несколько раз и так не вкурил ее смысл. Все слова знаю, но собрать их в предложение не смог.

Пост Лукацкого

02 ноября 2023 08:59

На последней ATT&CKCON 4.0 был интересный доклад о том, как MITRE ATT&CK помогает общаться с финансовым директором. Спикер исходил из достаточно простой мысли, что менеджеры уровня CxO мало понимают в ИБ и им надо все разжевывать понятным образом и поэтому надо использовать визуализацию, показывающую сложность современных атак. И вот он взял отдельные APT и показал типичные пути атак с учетом используемых этими APT техник (на картинках показан общий пример, а также Lazarus и APT28) 🛣

И это, по версии спикера, должно дать понять CFO всю сложность современных атак и показать, что если мы потратимся немножко на уменьшение числа первичных векторов атак, то мы тем самым уменьшим площадь атаки, сделаем компанию более защищенной, а ее активы более безопасными, что снизит потенциальный ущерб от инцидентов. Как по мне, так выводы, которые должен сделать CFO, смотря на эти картинки, не так чтобы и очевидны, но сама идея визуализации MITRE ATT&CK вполне себе интересна 🧐

Пост Лукацкого

01 ноября 2023 19:05

Вот так и пробуждают у людей желание навредить любопытство 😄

Пост Лукацкого

01 ноября 2023 15:59

Посмотрел тут обзор российского рынка SIEM и тригернула меня вот эта диаграмма с показателями оценки эффективности SOC. На первое место выходит регуляторика!!! 🆒 SOC оценивают не по тому, как он ловит плохих парней, и не по тому, как снижается время простоя от инцидентов, и даже не по числу этих самых инцидентов, а потому, соответствует он требованиям ФСТЭК или требованиям ФСБ к центрам ГосСОПКИ. Эх... Далеко нам еще до зрелого отношения и к SOCам в частности, и к ИБ в целом 🫵

Пост Лукацкого

01 ноября 2023 09:04

9 небольших видео в рамках "VirusTotal Academy - SOC & Incident Response"

Пост Лукацкого

31 октября 2023 19:06

В своем, уже 11-м отчете об угрозах, ENISA назвала DDoS и шифровальщики основными киберугрозами 2023-го года, что обусловлено военным конфликтом России и Украины. Ну да, остальных киберугроз фиксируется меньше. Ну и что, что они по масштабу последствий гораздо серьезнее. Главное же опять все свалить на ну, вы поняли

Пост Лукацкого

31 октября 2023 12:36

Мы запустили сайт и опубликовали программу Moscow Hacking Week, в рамках которой пройдет:
💀 Кибербитва Standoff (21-24 ноября)
💀 Конференция для начинашек Standoff 101 (18-19 ноября)
💀 Конференция экспертов для экспертов Standoff Talks (24-25 ноября)
💀 День позитивного инвестора (23 ноября)
💀 Закрытое мероприятие для багхантеров Standoff Hacks (26 ноября)
💀 Выступления о разном на полях кибербитвы (21-22 ноября)

Пост Лукацкого

31 октября 2023 05:40

На просто опубликованный QR-код, без каких-либо комментариев и пояснений, среагировало 237 человек 😠 Почти 4% просмотревших сам код. Если хотите, то можете сходить туда, сейчас могу сказать, что там ничего криминального нет. Мне кажется стоит быть более внимательным к QR-кодам, которые все чаще применяются злоумышленниками.

Пост Лукацкого

30 октября 2023 18:39

Вот дядю сурена и дядю вазгена бауманцы в качестве приоритетов указали, а кибербез почему-то нет 😭

Пост Лукацкого

30 октября 2023 12:32

ФБР арестовало очередного Сноудена сотрудника АНБ, работавшего архитектором кибербезопасности информационных систем, сливавшего секретные документы России 🇷🇺 На самом деле данные сливались агентам ФБР, выдававшим себя за российские спецслужбы 👨‍💻

ЗЫ. Так-то он работал дизайнером безопасности (designer), но по-русски это слово уже прочно закрепилось за совсем другой специальностью. Ну примерно как модельер. Не скажешь же модельер угроз 😊

Пост Лукацкого

30 октября 2023 05:40

🤔 Точно знаете, что хотите работать в IT, но не можете выбрать направление? Уже решили, что работа вашей мечты — специалист по кибербезопасносности, но не знаете, с чего начать? Просто хотите больше узнать о мире информационной безопасности?

Слушайте открытую лекцию Алексея Лукацкого, бизнес-консультанта по ИБ Positive Technologies, «Кибербезопасность — направление для профессий будущего» 31 октября в 19:00. Регистрируйтесь заранее и смотрите онлайн.

Алексей расскажет:

😎 Что такое кибербезопасность и почему профессия, связанная с защитой информации, всегда была и останется актуальной.

😱 С какими вызовами приходится сталкиваться таким специалистам и как они могут помешать появлению растений-убийц.

😲 Как работают современные кибермошенники: от взлома АЭС до весьма своеобразных методов взлома биометрии и социальной инженерии.

Собираемся и сами слушать лекцию, хотя уже и не студенты, и вам советуем 👍

Присоединяйтесь!

@Positive_Technologies
#PositiveЭксперты

Пост Лукацкого

03 ноября 2023 15:57

В ООН приняты обе киберрезолюции

Свежие новости из Первого комитета Генассамблеи. Как я и прогнозировал, были приняты оба проекта резолюции по переговорам о кибербезопасности. Российский — в поддержку нынешнего формата, Рабочей группы открытого состава (РГОС). Западный — в поддержку создания после завершения РГОС постоянного механизма обсуждения кибербезопасности, так называемой Программы действий по поощрению ответственного поведения государств в использовании ИКТ (PoA). Конкретно PoA в резолюции не упомянута (после редактуры), но все понимают, что речь идёт именно о ней. Все параметры нового механизма должны опираться на то, что согласовано в РГОС, поэтому конкретные очертания мы увидим в будущем.

В России к Программе действий изначально относились со скепсисом, а затем и открыто отрицательно. Но, как можно видеть по голосованию, противников у нового формата помимо России и Китая нашлось не так много. Российское недовольство объясняется как статусными, так и содержательными причинами. Российская дипломатия по праву считает своей заслугой включение проблематики информационной безопасности в 1998 году, когда об этом почти никто не думал. И все последующие форматы переговоров инициировались Россией. Теперь же впервые создаётся механизм, который инициирован другими странами. Хуже того — в год 25-летия с внесения той самой первой резолюции. Это что касается статуса. Если говорить о содержании, то в России считают PoA попыткой увести переговоры в сторону от обсуждения новых юридических обязательств.

Разумеется, на этом дипломатические баталии не закончатся, в ближайшие два года будет обсуждаться, как будет выглядеть и что обсуждать новый механизм (возможно, и как он будет называться), возьмётся ли он за юридическое закрепление кибернорм. Также Россия может попробовать запустить процесс выработки конвенции по международной информационной безопасности, но это будет зависеть от наличия поддержки и желания стран создавать второй формат переговоров.

Пост Лукацкого

03 ноября 2023 09:03

Сегодня в Вашингтоне 48 государств должны подписать соглашение о запрете выплат шифровальщикам-вымогателям. Это часть их обновленной национальной стратегии кибербезопасности и плана по ее реализации. Первоначально таких стран было 31, а потом их число увеличилось в полтора раза. Интересные цифры приводятся американцами - 8,7 триллиона долларов потеряла мировая экономика от шифровальщиков за прошлый год (это не выкупы, а именно совокупные потери).

Я вполне допускаю, что почти четверть стран мира подпишут это соглашение, а вот дальше допускаю, что все пойдет совсем не так, как предполагают США. Во-первых, мало подписать просто соглашение о намерениях, нужно вводить ответственность за его несоблюдение. И вот тут американцы могут столкнуться с суровой реальностью. Выплата выкупа - это обычное бизнес-решение. Вспомним свежие истории с атаками на казино "Цезарь" и MGM в Лас-Вегасе. Первое выплатило 15 миллионов и спокойно продолжило зарабатывать свои 8-10 миллионов долларов ежедневно. MGM отказалось и потеряло 110 миллионов долларов.

Недавно атакованный LockBit'ом Boeing сегодня начал переговоры с вымогателями, видимо, тоже решив, что выкуп лучше потери ценной информации. Также можно вспомнить историю c Garmin, которая была атакована группировкой Evil Corp. И несмотря на наложение на нее американских санкций, Garmin как-то умудрилась выплатить затребованные 10 миллионов долларов. То есть закон законом, а бизнес всегда найдет способ обойти введенные ограничения. И тут все зависит от позиции США - будут они наказывать нарушителей подписанного соглашения или нет? И, кстати, вопрос. Чтобы это все заработало, мало подписать меморандум, надо же еще вносить изменения в национальное законодательство, а это явно небыстрая процедура. Так что будем посмотреть, чем закончатся эти благие намерения.

ЗЫ. А шифровальщики, столкнувшись со сложностями в получении денег, вероятно, начнут жестить - выкладывать украденные данные, уничтожать инфраструктуры и иными способами показывать всю свою серьезность. И тогда ситуация может быть даже хуже, чем сейчас. По крайней мере в самом начале...

ЗЗЫ. Список стран (СНГ, Африки, Азии в списке нет) и детали инициативы могут быть найдены на сайте Белого дома.

Пост Лукацкого

02 ноября 2023 19:21

CISA выпустило коротенькую памятку по обеспечению кибербезопасности и прайваси при использовании дронов. В Москве, конечно, дрон уже на запустишь (легально), но вдруг, когда-нибудь ситуация изменится и мы вернемся к прежней жизни и "звук мопеда" - это будет звук мопеда, а не летящего и нацеленного на что-то беспилотника 🩸

Пост Лукацкого

02 ноября 2023 16:06

Еще один прекрасный доклад с ATT&CKCON 4.0 про визуализацию TI в соответствие с ATT&CK так, чтобы результаты расследования инцидентов и обнаружения атак были понятны разным аудиториям, которые сталкиваются с дефицитом внимания (автор даже использовала термин "экономика внимания").

А посему - инфографика, heat map и другие способы визуализации, помогающие быстро понять основную мысль TI-отчетов... А сложные и длинные отчеты с простынями IoC'ов - это для нердов и ботаников от ИБ 😊

Пост Лукацкого

02 ноября 2023 10:30

Главное, работать с визуальными образами 🤦‍♀️

Пост Лукацкого

02 ноября 2023 05:40

Сегодня в Питере проходит Positive Tech Day, где у меня выступление про стимуляцию и мотивацию, свежие овощи 🥕, бизнес-потребности и вот это вот все... Времени немного, поэтому будем давить на образное мышление 😊

Пост Лукацкого

01 ноября 2023 15:59

Ну и сам отчет TAdviser

Пост Лукацкого

01 ноября 2023 12:30

Я не всегда согласен с девизом «Потому что обучение всегда должно быть бесплатным», но инициативу приветствую 🤝

ЗЫ. Да, у меня самого немало бесплатного выложено. Но иногда подготовка хорошего контента должна быть оплачена!

Пост Лукацкого

01 ноября 2023 05:40

Нет SOCа и SIEMа, а хочется регистрировать события безопасности? Microsoft ушла, а Windows осталась? Денег нет, а желание есть? Для вас CISA выпустила бесплатную управлялку логами Logging Made Easy и выложила ее на Github вместе с подробной инструкцией по инсталляции и разработанными шаблонами для поиска в логах всяких плохих признаков и индикаторов

Пост Лукацкого

31 октября 2023 16:02

Число кибергруппировок, вступивших в арабо-израильский конфликт будет поболее, чем в начале российско-украинского. И если во время СВО число группировок с каждой стороны было примерно одинаковым, то сейчас мы наблюдаем явный перевес (по численности, как минимум) на стороне пропалестинских киберсил.

Арабские хакеры, в том числе и вновь образованные группировки, повторяют тактику «киберСВО» - кооптирование новых «бойцов», предоставление инструментов, координация в Телеграмме, ежедневный список целей… Думаю, теперь это станет нормой при любом геополитическом или религиозном конфликте

Пост Лукацкого

31 октября 2023 09:02

Чуковский перевернулся в гробу 🪦 наверное, узнав, что теперь сбегают не только ложки и чашки, но и вакуумные пылесосы 😱 Апокалипсис все ближе.

А представьте, что умный пылесос с встроенной камерой записал нечто секретное и не убежал, а поехал к своим хозяевам сливать украденную информацию?.. Вы же включили такой сценарий в свою модель угроз?..

Пост Лукацкого

30 октября 2023 20:31

Эх, нет у регулятора тяги к нестандартным и запоминающимся названиям. Средство борьбы с фишингом назвали... "Антифишинг"; с фродом - "Антифрод". Средство сканирования Рунета назвали... "Сканером". Хотя могли бы и "Антидыром" называть.

Пост Лукацкого

30 октября 2023 16:01

Есть в США такой закон - Reporting Attacks from Nations Selected for Oversight and Monitoring Web Attacks and Ransomware from Enemies Act (RANSOMWARE Act), который требует сообщать о кибератаках, исходящих от ряда стран - врагов США и демократии (ну и бороться с ними, конечно). И вот Федеральная торговая комиссия (FTC) отправила в Конгресс отчет о своей деятельности в части борьбы с кибератаками из Китая 🇨🇳, России 🇷🇺, Северной Кореи 🇰🇵 и Ирана 🇮🇷 Интересное 35-страничное чтение о том, какие варианты атак (со статистикой) осуществляют китайцы, иранцы, русские, корейцы. Но не стоит ждать прям больших откровений - отчет больше про всякие мошеннические атаки и меньше про APT и т.п.

Пост Лукацкого

30 октября 2023 09:02

Одной из больших головных болей при оценке соответствия средств защиты информации в форме обязательной сертификации являлись сроки ⏳. Тратить до года на сертификацию нового продукта и несколько месяцев на проверку его обновлений - это было за гранью добра и зла. Сначала ФСТЭК ввела дифференцированные типы обновлений СрЗИ, чтобы можно было использовать минорные патчи и обновления, незатрагивающие основной защитный функционал, без их немедленной сертификации.

И вот еще один шаг вперед. ФСТЭК подготовила проект приказа "Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации" по оценке соответствия уже не отдельных продуктов, а процесса разработки (конвейера CI/CD). В случае реализации описанных в приказе мер можно будет хоть раз в день выпускать новые релизы и все они будут считаться сертифицированными 🤘

В случае принятия этого приказа, это будет прям прекрасно и серьезное движение вперед с точки зрения развития рынка ИБ. Если на следующем шаге регулятор введет еще и требование по непрерывному и публичному анализу защищенности средств защиты на платформах Bug Bounty 👨‍💻, то уровень защищенности средств защиты возрастет не только в моменте. А если еще и аналогичные требования к ПО, попадающему в реестр Минцифры, ввести, то с безопасностью у нас точно станет лучше, а всем виртуальным супостатам будет гораздо сложнее ломать информационные системы 💻

ЗЫ. Надеюсь и 8-й Центр ФСБ вслед за ФСТЭК подтянется...

Пост Лукацкого

29 октября 2023 19:14

Я в прошлый раз, когда писал про мое посещение Музея криптографии, упомянул, что там должен был открыться книжный магазин (и сувенирный заодно) и он открылся! А я уже не раз писал в канале, что хождение по книжным - одно из моих любимых, хотя и не часто реализуемых занятий. А тут, придя на встречу дискуссионного клуба заранее, я прямо оторвался в магазине 📕 Там очень неплохая подборка книг по криптографии и ИБ 📚, в том числе и совсем свежие новинки, которых у меня в библиотеке не было. Так что я разорился и прикупил себе десяток разных книг - по криптографии, по киберустойчивости, по оценке защищенности, по квантовой и постквантовой криптографии, стеганографии и т.п. Будет чем заняться на ноябрьских праздниках. 3К (камин, коньяк и книга) - отличная формала проведения выходных.