Пост Лукацкого

18 августа 2023 17:09

Между делом Cyentia Institute выпустил уже девятое исследование на тему приоритезации устранения уязвимостей и, в целом, по сложным вопросам управления уязвимостями.

В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).

Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.

Пост Лукацкого

18 августа 2023 13:36

FAIR Institute, известный своим стандартом количественной оценки рисков FAIR и разных методик и стандартов на его основе, выпустил новый стандарт - FAIR Materiality Assessment Model (FAIR-MAM), задача которого, в стиле MITRE ATT&CK, описать различные формы потерь/ущерба от инцидентов ИБ (параметр "Loss Magnitude" в стандарте FAIR).💰Все потери делятся на 10 крупных блоков (прерывание бизнеса, мошенничество, ущерб репутации и т.п.), а так как это открытая модель, то она может быть адаптирована под любую организацию, которая еще не дозрела до недопустимых событий, но при этом ее уже не устраивает светофор при оценке рисков и хочется некой количественной оценки.

Пост Лукацкого

18 августа 2023 06:40

Почему вендора, делающие вклад в развитие CVSS, сами его не используют, стараясь придумать что-то свое? Таких систем приоритизации уязвимостей сегодня уже под десяток от разных компаний, организаций и регуляторов. И это, конечно, сильно мешает установлению некоего единого языка общения между специалистами. Каждый считает своим долгом обругать CVSS (хотя там и правда есть свои косяки) и предложить что-то свое на его базе, а то и вообще отдельное.

Пост Лукацкого

17 августа 2023 16:58

Достаточно частая практика - нанимать на L1 в SOC джунов и иногда даже «без опыта работы» 👦🏼. Но вот можно ли брать на первую линию тех, кто не способен отличить изощренную атаку от фолса и скорее всего закроет тикет, так в нем не разобравшись и не эскалировав выше, опасаясь «насмешек» от старших товарищей с L2? 👶

ЗЫ. Кстати, во внутреннем SOC Cisco в какой-то момент времени отказались от вертикальной иерархии L1-L3, используя совсем иное "деление".

Пост Лукацкого

17 августа 2023 06:40

У одной американской ассоциации, объединяющей энергетиков 🪫 (нет, это не NERC), есть интересная схема эскалации инцидентов в зависимости от их критичности. Интересно, что тут взаимоувязаны инциденты уровня компании, штата/отрасли и всей страны. И очень хорошо показано, что не надо обо всем сообщать сразу в ФБР или Нацгвардию; иногда достаточно просто сообщить на уровень своего локального МЧС (да, там МЧС еще и в вопросы ИБ вовлечено). Ну и, конечно, нашлось место и отраслевым CERTам (в США они называются ISAC, Information Sharing & Analysis Center) ⚡️

Пост Лукацкого

16 августа 2023 16:57

В этом списке еще и 10-й инцидент, который мог бы привести к недопустимым событиям, должен был появиться. Но у Telegram есть ограничение на количество карточек в одной заметке...

Пост Лукацкого

16 августа 2023 13:31

Интересный портал https://dfiq.org/. Является базой знаний по расследованию инцидентов. Активно пополняется. На первой картинке интересный и живой пример - сотрудник компании подозревается в краже конфиденциальной информации. Какие признаки того, что сотрудник может скрывать свою деятельность? А какие индикаторы говорят о том, что утечка может произойти в будущем? Среди других рассматриваемых кейсов - подозрительные DNS-запросы, расширение плацдарма в инфраструктуре (Lateral Movement), компрометация облачной среды, сотрудник использует конфиденциальные данные совего бывшего работодателя на новом месте (ну какой же это инцидент - типичная история 😂), скрытие активности на скомпрометированном узле...

Пост Лукацкого

16 августа 2023 06:40

Вчера я написал про компрометацию устройств Fortinet (а их в стране только смотрящих в Интернет сейчас около двух тысяч), а сегодня решил чуть раскрыть мысль о том, что средства ИБ тоже надо защищать, как и сетевое оборудование, на которое поставить EDR нельзя, как и вокруг выстроить стены тоже, что делает такие устройства хорошей мишенью для хакеров, долго остающихся незамеченными для специалистов по ИБ.

Пост Лукацкого

15 августа 2023 17:35

Если бы не последний пункт, то можно было бы подумать, что идет обычный набор в ИБ-компанию. Но нет... В группировку, которая атакует государственные и прогосударственные структуры...

Пост Лукацкого

15 августа 2023 13:14

Немножко инсайдов от главы кибербеза СБУ Украины на тему противодействия России в киберпространстве и использовании OSINT для помощи в мире физическом. Не так чтобы что-то совсем новое, но все-таки...

Пост Лукацкого

15 августа 2023 06:40

CISO Microsoft за 30+ лет работы в компании приветствовали только единожды - когда он отменил внутреннюю политику компании, требующую смены паролей каждые 71 день. "Это был первый раз, когда меня наградили аплодисментами как человека от ИБ и как топ-менеджера", сказал CISO.

Сначала в компании перешли на ежегодную смену паролей. Позже отменили требование смены паролей раз в 60 дней для клиентов. Сегодня 99,9% сотрудников не используют пароли при доступе к внутренним приложениям, исключая legacy. Хороший пример для CISO, которые хотят показывать понятный для всех результат. Уровень безопасности при уходе от паролей точно не снизится, а удобство налицо. Пользователи будут только приветствовать такое решение...

ЗЫ. И хотя против Microsoft американские федералы затеяли расследование, чтобы понять, как ИТ-гигант обеспечивают ИБ на своих сервисах, предоставляемых государству и клиентам, беспарольная защита - вполне себе тема.

Пост Лукацкого

14 августа 2023 17:05

Интересная шутка и простая в реализации. Легко модифицируемая под вредоносную историю 😂

РКН тут пишет, что почти 400 миллионов мошеннических звонков с начала года заблокировал 📞. А в июле их число возросло на 20% и достигло 72 миллионов 📞. Подтверждаю. На прошлой неделе каждый день с «товарищами лейтенантами из главного управления МВД» разговаривал. В последний раз уже четко по сценарию отвечал, что заставило звонящего меня даже спросить, какой он у меня по счету (никогда не думал, что услышу от мужика такой вопрос). Услышав ответ, он 📞 не стал меня большего отвлекать, пожелал хорошего вечера и мы расстались 😏

Пост Лукацкого

14 августа 2023 10:02

— Вов, это не я. Меня взломали.
— [Молчит]
— ВОВА НУ ЭТО ХАКЕРЫ НЕ Я, ВОВА!
— [Молчит]
— СТОЙТЕ КУДА ВЫ МЕНЯ ТАЩИТЕ…

9 лет прошло, многие уже и не помнят ;-) Может поэтому Твиттер и запретили в стране, а не потому что он что-то там не удалял экстремисткое. Телега тоже не удаляет, но никто ее не только не блокирует, но даже и официальные аккаунты ведут…

Пост Лукацкого

13 августа 2023 19:53

АНБ И Viasat поделились деталями атаки на спутниковую систему 🛰 Атрибуция показывает на Россию, но доказательств не приведено 🤷

Пост Лукацкого

13 августа 2023 15:09

Презентации с Defcon и BlackHat

Пост Лукацкого

18 августа 2023 14:44

А потом, из FAIR-MAM могут получаться вот такие отчеты с финансовой оценкой ущерба

Пост Лукацкого

18 августа 2023 10:08

Мне кажется пора уже переставать называть отечественные продукты NGFW. Есть же требования ФСТЭК к многофункциональным межсетевым экранам уровня сети, то есть МФМСЭУС! Долой наследие Гартнера! Даешь русский язык в российскую ИБ!!! "Российский МФМСЭУС" - это звучит гордо!

Пост Лукацкого

17 августа 2023 20:08

Тот случай, когда джун в L1 SOC 🚼 прекрасно умеет разбирать вполне конкретные кейсы, укладываясь во все возможные метрики оценки эффективности, но не способен выйти за их рамки 🥅

Пост Лукацкого

17 августа 2023 13:31

У АНБ блокнотики красивые, а у НКЦКИ удобные. Не знаю, что выбрать 🤷 Хотя с первыми на встречах стремно появляться в наше непростое время. Не так поймут; настучат, объясняйся потом.

Может вообще розыгрыш в канале устроить? Иностранные блокнотики и в лучшие-то годы было сложно достать, а уж в нынешнее-то время и подавно. Раритет почти.

ЗЫ. Надо только повод придумать 🤔 Может в ноябре, на 71-ю годовщину с основания американской спецслужбы?..

Пост Лукацкого

16 августа 2023 20:08

Иногда смотришь на вакансии в АНБ и диву даешься… Вот и сейчас, криогенного инженера ищут. Но не для замораживания людей, а для постройки системы охлаждения высокопроизводительных систем 😮 Нашего «Кузнечика» 🦗 сломать хотят?!..

Пост Лукацкого

16 августа 2023 16:44

🤔 «Когда ученый видит нечто, что кажется ему техническим открытием, он хватается за это „нечто“, осуществляет его и только потом задает вопрос, какое применение найдет открытие, — потом, когда само открытие уже сделано», — говорил Роберт Оппенгеймер, один из создателей атомной бомбы и главный герой второй по популярности кинопремьеры этого лета.

Он же был одним из первых ученых, которые настаивали на особом контроле и обеспечении защищенности обиталищ мирного атома: электростанций, рудников и заводов по обогащению радиоактивных материалов. Многие считают, что они изолированы от внешнего мира и максимально прикрыты от большинства угроз. А причиной аварии может стать скорее природный катаклизм, как было 12 лет назад с атомной электростанцией Фукусима в Японии, чем киберугроза. Однако это не так.

👀 В нашей подборке вы найдете несколько примеров инцидентов, которые могли бы быть признаны недопустимыми событиями. Все они случались в реальной жизни. И да, мы не будем ничего писать про Stuxnet (ну почти).

@Positive_Technologies

Пост Лукацкого

16 августа 2023 10:11

Тут коллеги из МТС RED дали рекомендации, как выбирать надежные и безопасные пароли, в том числе при регистрации или доступе к сервисам МТС. А я же человек послушный; раз эксперты советуют, "надо брать". Но нет, попытка применить эти советы на одном из сервисов МТС дала сбой - в качестве пароля принимаются только буквы и цифры и никаких спецсимволов. Более того, присылаемые одноразовые пароли вообще регистронезависимые. Тебе присылают какой нибудь "08C0D8", ты вводишь "08c0d8" и все работает. И как после этого верить экспертам 🤷

Пост Лукацкого

15 августа 2023 20:21

Есть хакерские группировки, кто прям связывает себя с конкретным государством или властями, а есть те, кто всеми силами опровергает свою аффилированность. Вот SiegedSec пишут, что они не пророссийские, они сами по себе

Пост Лукацкого

15 августа 2023 15:45

Прекрасно понимаю, почему некоторые компании продолжают использовать иностранные средства ИБ и сетевое оборудование (аналогов пока нет). Но тогда надо хотя бы процесс Threat Intelligence нормальный выстраивать, отслеживать появление эксплоитов и зеродеев для используемого оборудования и оперативно искать патч или использовать иные меры нейтрализации. А иначе в чем смысл использования дырявого Фортинета, создающего иллюзию безопасности? ❓

ФСТЭК в своих рекомендациях по управлению уязвимостями писала про этот момент, но, мне кажется, тут надо идти дальше. Используешь официально необновляемую железку, покажи выстроенный процесс TI, а регулятор должен провести киберучения и убедиться, что процесс работает и не на бумаге 👋 А то рекомендация есть, а вот реализуют ее или нет, хрен поймешь. Тут бы идея ФСБ/Минцифры с анализом защищенности периметра помогла, но будут ли они делиться инфой с ФСТЭК, которая в итоге и отвечает за защиту (хотя бы ГИС. И КИИ)?

А иначе все разговоры об технологическом суверенитете, как мертвому припарка. Все понимают, почему используются иностранные NGFW или сетевые устройства. Все понимают, что вокруг одно УГ (это интернет-мем, если что). Все понимают, что российские вендора активно пилят (продукты, а не то, что некоторые подумали). Но пока не допилили надо на компенсационных процессах фокусироваться 🧘 а не глаза 👀 закрывать на проблему.

ЗЫ. А китайцы продолжают ломать инфраструктуры..,

Пост Лукацкого

15 августа 2023 09:59

Пока одни страны пытаются создать "Интернет 2.0" и пускать туда только проверенных субъектов (забывая рассказать, что будет, если туда все-таки проникнет кто-то недоверенный или доверенный со временем станет недоверенным), другие пытаются поднять уровень защищенности для изначально недоверенных коммерческих коммуникаций.

Аналитический центр CSIAC при американском МинОбороны разродился обзором существующих технологий "последней мили", а также описал все имеющиеся военные проекты по ее защите, исходящие от сухопутных войск, ВВС и ряда военных исследовательских агентств, среди которых и DARPA (у нее аж 8 проектов по защите "последней мили").

Пост Лукацкого

14 августа 2023 20:08

Карманный генератор надежных (для 2013-го года) паролей 😔

ЗЫ. Почему там чувак в шляпе 🤠 вот в чем вопрос. Джеймс Бонд их не носил 😒

ЗЗЫ. Хотя если вдуматься, не такие уж они и надежные. Вариантов-то поз предложено немного, а любимых и того меньше. А значит легко перебираемая история; особенно если инсайдер рядом…

Пост Лукацкого

14 августа 2023 13:36

Чего творится-то… На загнивающем Западе все чаще привлекают CISO на звонки с клиентами, чтобы те (CISO) поручились за безопасность того, что продает их компания. Интересный поворот в роли CISO 🤔 Это же требует иных навыков и объяснений. Вариант «Это требование УПД.7 из 239-го приказа ФСТЭК» уже не прокатит - заказчик просто не поймет этой абракадабры 😂

ЗЫ. Фотка для статьи выбрана толерантнее некуда - белая женщина, афроамериканец, представительница монголоидной расы и кто-то с одной рукой…

Пост Лукацкого

14 августа 2023 06:40

Кто бы мог подумать, что технология, придуманная для защиты, в нашей стране благодаря чиновникам, стала синонимом опасности 👉 И шпиёны ее используют для кражи ПДн россиян, и вредоносы она подсовывает, и уязвимости создает для хакеров, и запрещенку через нее находят… 😂 Одно решение видят депутаты - порезать VPNы 🔪 и погрузить страну в виртуальное средневековье 🤧 Интересно, как они сами-то будут ходить к своим зарубежным счетам и активам?

В общем, подумайте о том, как вы будете решать эту задачу - доступ к иностранным библиотекам, отелям, авиакомпаниям, интернет-магазинам, онлайн-кинотеатрам, музыке и другим нужным в хозяйстве ресурсам. Советовать ничего не буду, а то и это начнуть кастрировать ✂️

Пост Лукацкого

13 августа 2023 17:25

После Джона Уика, потомственного белоруса, от сопредельного государства можно ждать всего, даже кибершпионской группировки «Усатый хвастун» 👨‍🦰 (MoustachedBouncer), как ее назвала ESET в своем расследовании. Почти как Turla, но не она.

ЗЫ. Может там и «Усатый вышибала», но мне кажется все-таки хвастун.

Пост Лукацкого

13 августа 2023 12:56

14 июля в Приморье была осуществлена кибератака, которая вывела из строя электронную систему распространения льготных лекарств 💊 Спустя 6 дней выдача лекарств была восстановлена только в некоторых аптеках. Спустя еще 4 дня (10 дней с момента атаки) электронная система в 8 аптеках все еще была недоступна. С 24-го числа данные больше не обновлялись.

По этой таблице, конечно, есть вопросы. В прежней версии желтым были отмечены аптеки, работа которых была восстановлена, но потом они опять вышли из строя 🏥 Зеленым отмечались полностью восстановившиеся аптеки - сейчас ни одна не помечена зеленым. Администрация сайта либо на ходу поменяла легенду и теперь желтым помечает восстановленные аптеки (а белым так и неработающие), либо эти аптеки до сих не в строю. А может это и вовсе ничего не значит... 💉

В федеральном проекте "Информационная безопасность" нацпроекта "Цифровая экономика" был такой целевой показатель как "Средний срок простоя государственных информационных систем (ГИС) в результате компьютерных атак, часов". Как видно на картинке он должен был уже в следующем году достичь показателя в 1 час и на мой взгляд это была очень хорошая метрика, так как чтобы ее достичь надо было сделать прям дофига всего (это примерно как выйти на багбаунти - тоже надо сделать многое). Приказом Минкомсвязи России от 30.04.2019 №178 даже была разработана методика расчета этого показателя 🧮

Но потом решили заменить этот показатель на новый и совершенно бессмысленный - "Количество ведомственных информационных систем, подключенных к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак". Минцифры, в обосновании этого решения, писало, что собирается отменяемый показатель вручную административными методами и он совершенно не показателен, так как не отражает реальное состояние защищенности ГИС от компьютерных атак. Ну да, число подключенных к ГосСОПКА систем это состояние прям отражает 🤮

ЗЫ. 7-го августа хакеры взломали сайт МосгорБТИ, который до сих пор не восстановлен. Но на защищенность это никак не влияет - всем же теперь пофигу, сколько такие системы простаивают.