Пост Лукацкого

29 мая 2023 13:11

OWASP разработал свою десятку рисков для языковых моделей OWASP LLM Top Ten v.1:
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning

Пост Лукацкого

29 мая 2023 06:40

Американцы обновили руководство по борьбе с шифровальщиками, выпущенное в сентябре 2020-го года, расширив его рекомендациями по предотвращению первичных векторов заражения, учли облачные резервные копии и архитектуру Zero Trust. Также в руководстве обновили чеклист за счет советов по threat hunting.

Пост Лукацкого

28 мая 2023 17:02

Пентест пентесту рознь... Одно дело - увлеченные этим люди, и совсем другие - делающие это из под палки, потому что так папа сказал в нормативке записано

Пост Лукацкого

28 мая 2023 08:40

В моем детстве у многих моих сверстников была мечта - иметь дома игрушечную немецкую железную дорогу . Но не просто паровоз с парой вагончиков и набор рельсов, но целый мини-город - с домами, вокзалом, деревьями, горами... А так как удовольствие это было не из дешевых, даже обычный мини-комплект, то мы ходили в "Детский мир" на Лубянке, в котором такой "город" был построен и он вызывал зависть у всех детей.

Прошло 40+ лет и вот уже твоя детская мечта у тебя под боком. Да еще и сопряжена с профессией. Да, речь о киберполигоне Standoff. Причем именно в его полной версии, с физическим воплощением в городе 🫡. Просто виртуальный киберполигон не дает того эффекта. На нем можно тестировать свои навыки и в этом плане он ничем не отличается от своего физического собрата (инфраструктура-то одна). Но только видя как сталкиваются поезда, останавливаются колеса обозрения, разливается нефть, прекращается подача электричества или останавливается движение, понимаешь, что в реальной жизни эти недопустимые события могут произойти точно так же; только в ином масштабе.

Для визуализации ИБ физическая версия Standoff подходит как нельзя лучше - вокруг него постоянно толпы народа и даже далекое от ИБ руководства компаний и ведомств, страны и отдельных регионов, становится ближе к тому, чем нам приходится заниматься ежедневно, но чего никто не видит. И эти руководители, тоже имевшие эту детскую мечту, подолгу простаивают рядом с ней, вспоминая свое счастливое детство и видя свое настоящее. И студентам в ВУЗах тоже было бы неплохо такие "мини-города" иметь, чтобы понимать, чему их учат. И для CTF такие города нужны, и для крупных холдингов и компаний.

Пост Лукацкого

27 мая 2023 17:01

Количество читателей органически и постоянно растет и, видимо, это привлекает все больше и больше рекламодателей, каждому из которых я отказываю. А все почему?

Не хочется терять то чувство свободы, которое есть. Хочу пишу, хочу не пишу. Хочу критикую, хочу в любви признаюсь. Могу и на хер послать. И никто мне не может сказать: «Мы провели совещание на тему вашего последнего поста и решили, что он не так сильно нас восхваляет, как мы ожидали. А еще вы в посте использовали слово «хрен», что непозволительно и не должно ассоциироваться с именем нашей солидной компании. Также нас возмутил тот факт, что в качестве иллюстрации к заметке вы использовали сине-желтую картинку, а мы не хотим, чтобы нам предъявляли претензии за поддержку сами знаете кого. Ну и что, что у нас логотип сине-желтый. Наконец, не используйте слово «кибервойна», - оно создает нехорошии эманации а PR-поле. Учтите наши рекомендации в следующий раз, а то мы поставим вопрос об изменении договора в одностороннем порядке; пункт 6892-й на 66-й странице, написанный 1-м кеглем и белым цветом на белом фоне нам это позволяет.»

Вот и начинают мучаться рекламовзятели, удовлетворяя рекламодателя, напрочь забывая о контенте, читателе и себе. А потом перестают критиковать, начинаются накрутки и все, покатилось по наклонной. Ну его в жопу такой диджитал. Лучше быть свободным художником. Поэтому и отказываю. Даже знакомым. Даже 🟥. Публикую только то, что зашло мне, или то, что мне интересно, или то, к чему я приложил руку (например, курс какой или вебинар или материал).

ЗЫ. А вообще, в описании канала написано, что рекламу не размещаю. Но кто ж у нас читает описания?

Пост Лукацкого

27 мая 2023 08:40

📹 Мы собрали все записи вебинаров проекта «#Агент250» на одной странице. Посмотреть их можно здесь.

Если вы хотите получить дополнительные материалы проекта (чеклисты, памятки и др.), то можете заполнить форму на сайте. Тем, кто уже регистрировался на наши онлайн-встречи, мы продублируем все материалы в одном письме на следующей неделе.

#Агент250

Пост Лукацкого

26 мая 2023 17:09

Интересная коллекция ссылок на SOC-тематику, но не могу сказать, что она полна. Я нашел несколько ссылок, которых у меня не было, но не нашел (и много чего) в коллекции то, что есть у меня (моя коллекция раза в два/три больше).

Возможно, это связано с тем, что сам по себе термин Security Operations Center не имеет однозначного толкования и кто-то в него включает только базовые сервисы - мониторинг и реагирование (с сопутствующим Threat Intelligence), а кто-то смотрит шире, дополняя его киберучениями, багбаунти, поиском уязвимостей, фишинговыми симуляциями и т.п.

А может дело просто в том, что у меня в коллекции много и непубличных или платных материалов и книг, которые не включены в Github Awesone...

Пост Лукацкого

26 мая 2023 12:52

Но хорошо, что не так, как в видео (18+) Там реально недопустимое событие

Пост Лукацкого

26 мая 2023 10:09

Хотите чтива на выходные? Их есть у меня. Новый очередной номер журнала Positive Research. В этом выпуске мы подводим итоги 2022 г. и рассказываем о трендах 2023-го. В фокусе — громкие атаки, результативная кибербезопасность, недопустимые события, отраслевые кейсы и исследования, а также реальный опыт экспертов Positive Technologies.

В новом номере:
🟥 Итоги 2022-го: кому вилы в бок, а кому реальная защита...
🟥 Кто и как атакует российские организации
🟥 Результативная стратегия управления уязвимостями
🟥 Рынок ИБ в России: рост вопреки прогнозам
🟥 Смена парадигмы ИБ, переход к результативной защите и другие тенденции 2023 г.
🟥 Мы предложили хакерам похитить деньги со счетов Positive Technologies и заработать 30 млн рублей
🟥 Что не так с информационной безопасностью в промышленности и ТЭК
🟥 Финансовая отрасль: атаки, пентесты и работа с недопустимыми событиями
🟥 Медицина лидирует по утечкам данных
🟥 Недопустимые события для ИТ-компаний
🟥 Наука и образование страдают от шифровальщиков
🟥 Мировой рынок bug bounty: кто, зачем и сколько платит за уязвимости
🟥 Как обнаружить 10 популярных техник атак
🟥 Искусственный интеллект и информационная безопасность
🟥 Письмо ценой катастрофы: расследуем атаку, используя продукты Positive Technologies
🟥 Трендовые уязвимости начала 2023 г.

И многое другое!

Пост Лукацкого

25 мая 2023 17:38

Mandiant вычислил Ростелеком-Солар

Специалисты Mandiant нашли на VirusTotal вредоносную программу, предназначенную для атак на киберфизические системы, а конкретно для отключения электроэнергии. Вредонос был загружен на сайт из России в 2021 году. Специалисты отмечают, что по своим возможностям программа, которую в Mandiant обозначили как COSMICENERGY, похожа на INDUSTROYER.

Главный нюанс: согласно одному из комментариев в коде, вредонос мог быть разработан для учений на киберполигоне Ростелеком-Солара в качестве инструмента для редтиминга. То есть из лучших побуждений и в оборонительных целях. Впрочем, достаточных подтверждений этому ресёрчеры найти не смогли, поэтому допускают, что программа всё же была разработана злоумышленниками. А значит операторам систем с устройствами, уязвимыми к атак с помощью вредоноса, должны быть настороже. В любом случае, говорится в отчёте, барьеры для входа в разработку вредоносов против киберфизических систем снижаются.

Пост Лукацкого

25 мая 2023 13:14

За 12 лет я был на PHDays обычным участником, спикером и модератором. А вот теперь я стал организатором. Причем в отношении PHD это совсем не то, что организатор других ИБ-мероприятий; а у меня есть такой опыт 🏄‍♂️

Сначала тебе дают отдают в полное управление бизнес-трек и говорят, организуй. И тебе кажется это несложным. Ну при моем-то опыте организаций разных, хотя и менее масштабных мероприятий. Потом оказывается, что все желающие выступить, включая партнеров, не влезают в один шатер, и надо строить второй 🎪 Потом тебя просят подвинуться и ты идешь в третий шатер. А попутно у тебя еще два закрытых мероприятия в параллель основному треку и Positive CISO Club вечером первого дня. Я, пожалуй, впервые не смог прослушать ни одного выступления или дискуссии за все три дня PHDays. Ну кроме тех, что я сам и модерировал. Сейчас пересматриваю все видео и как будто заново участвуешь в мероприятии 🤠

И ладно, если бы тебе надо было просто придумать темы и найти спикеров. Это как раз оказалось самой простой задачей. Тебе еще надо умудриться найти способ не разругаться с большими чиновниками, которые за день до мероприятия решают вдруг, что без их участия мероприятия не обойдется. Или партнеры, которые вдруг решили, что они обязаны выступать только в пятницу и никаких суббот. А вопрос помощницы другого большого начальника «А где тут VIP-туалет?»? Так и хотелось ответить: «Вам везде!» 🚽

Но все равно - это новый колоссальный опыт 🏋️‍♀️, который я получил и который был бы невозможен без команды 🟥 А пока послевкусие и продолжительный отходняк... 😱

Пост Лукацкого

25 мая 2023 06:40

Делать обзоры выступлений непросто, а делать обзоры обзоров тем более. Поэтому не буду. Если вы хотите почитать, что говорили ФСБ, ФСТЭК, Минцифры, Госдума на PHDays, то милости прошу в блог

Пост Лукацкого

24 мая 2023 18:40

Все-таки нейросеть "Кандинский" не зря так называется. Она очень абстрактна и явно уступает по качеству картинок MidJourney 🎨 Вот, например, что она рисует по запросу "ответственность за результат в области кибербезопасности" в разных стилях (Telegram-версия "Кандинского" вообще один депрессняк рисует 🧑🏻‍🎨).

ЗЫ. Может, конечно, надо с промптами поиграться (даже не может, а надо), но все-таки, все-таки...

ЗЗЫ. Хотя, как простенькие заставки к новостям, этого вполне хватает. Если не придирать к нюансам анатомии, например, рук…

Пост Лукацкого

24 мая 2023 13:13

Прочитал тут в отчете: "Russian EW is also apparently achieving real time interception and decryption of Ukrainian Motorola 256-bit encrypted tactical communications systems, which are widely employed by the Armed Forces of Ukraine", что означает, что Россия научилась в реальном времени дешифровать коммуникации, защищенные 256-тибитным ключом 🤔 Видимо, только для конкретного технического решения, хотя... Деталей в отчете нет, но интересненько... Как? 🧑‍💻

Пост Лукацкого

24 мая 2023 06:40

Вчера по радио говорили про концепцию риск-шеринга, которую активно обсуждают в России. Это инновационная модель лекарственного обеспечения с оплатой за результат. Оплата за разработку фармпрепарата по госконтракту осуществляется по факту получения терапевтического эффекта, иначе сумма контракта снижается.

Мне кажется, если уж такая консервативная отрасль, как медицина, переходит на модель с оплатой за результат, то уж кибербезу это давно пора делать. На прошедшем PHDays эту тему активно обсуждали и на пленарке, и в отдельных дискуссиях бизнес-трека. Но надо признать, что пока большинство ИБшников опасается брать на себя ответственность за результат (причем не только требовать такой результат с вендоров и поставщиков услуг, но и обеспечивать его внутри своей компании). Да и сам результат-то не всегда мы способны описать в понятным всем терминах.

Интересный опыт у Минцифры, которым она поделилась на PHDays (вторая ссылка выше), - прописывать в контрактах с поставщиками ИБ-услуг штрафные санкции за простой в результате инцидента. И это не просто какие-то смешные цифры, а десятки процентов от суммы контракта. Правда, в этом случае и сумма контракта может быть повышена и это обосновано и понятно руководству. Но сама по себе идея оплаты за результат дисциплинирует.

Пост Лукацкого

29 мая 2023 09:59

Англосаксы выпустили отчет о деятельности государственных хакеров, спонсируемых Китаем. С техниками, тактиками и другими индикаторами, а также методами, используемыми китайцами для обхода различных средств защиты

Пост Лукацкого

28 мая 2023 20:02

Интересно посмотреть на модель угроз, требующую, судя по всему неменяющийся, пароль на публичный Wi-Fi в маршрутке

Пост Лукацкого

28 мая 2023 12:51

CISO SolarWinds (вы же помните, чем известна эта компания) предлагает создать аналог закона Сарбейнса-Оксли (SOX), но не для финансовых директоров, а для CISO. Чтобы те не повторяли «ошибок» Джо Салливана, ex-CISO Uber…

Пост Лукацкого

27 мая 2023 21:11

Trustwave, спустя пару месяцев после утечки данных из НТЦ Вулкан, разродилась подробным анализом ставших достоянием общественности файлов. А все уже и забыли...

Пост Лукацкого

27 мая 2023 12:46

Согласно свежему исследованию, угроза со стороны квантовых компьютеров обойдется финансовому сектору США в 3,3 триллиона (!) долларов, что позволяет авторам говорить о новой Великой Депрессии!

Пост Лукацкого

26 мая 2023 20:10

Смотрю, шахматы ♟️, часто в ИБ используются. То в капче (тут и тут), то вот при генерации паролей. Правда в записи хода ошибка и правильный ход (мат) делается не так, ну да ладно

Пост Лукацкого

26 мая 2023 13:40

Продолжаю рефлексировать по ИБ-мероприятиям... ☝️ Бесит, когда вендор, оплативший спонсорский пакет, прям требует, чтобы ему дали выступить с его говёной презентацией. Ты ему предлагаешь участвовать в дискуссии, где он раскроется с лучшей стороны, но нет, он настаивает на прочтении своей никому ненужной презентации из принципа «уплочено».

Ладно бы презентация была интересная, про кейсы, про опыт, про лайфхаки. Но нет. Надо обязательно упомянуть про все продукты компании, сертификаты, попадание в реестры, свою двадцатилетнюю историю, про незнающих жизни дураков-конкурентов и что ты стоял у истоков и даже держал свечку. До сути презентации уже не успевают дойти - отведенное время уже кончилось. А в дискуссии мог бы и раскрыться... Забавно, когда этот спонсор потом же начинает требовать включить его в дискуссию. Только вот поезд уже ушел 🚂

ЗЫ. Во время вынужденного безделья с момента начала СВО и до момента ухода Cisco из России я даже начал писать книгу "ИБ-мероприятия глазами спикера и участника" 👨‍💻 Половину уже даже написал 😎 Вот найти бы время и закончить ее. Уж я бы там раскрыл все секреты, что думают спикеры об отечественных мероприятиях по ИБ 🤥

Пост Лукацкого

26 мая 2023 12:52

Интересно, а хакерам сказали, что Standoff закончился и что выходить за рамки скоупа нельзя? Или они просто во вкус вошли?..

Пост Лукацкого

26 мая 2023 06:40

Классическая багбаунти на платформе и внутренняя, багбаунти на недопустимые события, Data Breach Bounty, фишбаунти, Month of Bug, "Дневники хакера", криты в госинформатизации и другие идеи и лайфхаки про поиск слабых мест за вознаграждение

Пост Лукацкого

25 мая 2023 17:38

Чего творится-то... Американцы посягнули на святое, на киберучения и киберполигоны. Хорошо, что их еще на Standoff 17-20 мая не было. А то бы они гораздо больше всего увидели и узнали 😂

Пост Лукацкого

25 мая 2023 09:58

В догонку вчерашней заметки про обзор угроз для искусственного интеллекта от немецкого BSI делюсь ссылкой на карту атак на ИИ

Пост Лукацкого

24 мая 2023 21:16

Полторы недели назад американский суд приговорил бывшего ИТшника компании Ubiquiti к 6 годам тюрьмы за кражу гигабайтов данных у своего уже бывшего работодателя, вымогательство почти 2-х миллионов долларов под видом анонимного хакера и последующий слив информации в СМИ.

Чтобы найти виновника Ubiquiti потратила 1,5 миллиона долларов и сотни часов работы сотрудников и консультантов, но хуже всего, что утечка данных привела к потере рыночной капитализации компании на 4 миллиарда (!) долларов. Интересно, что во время расследования обвиняемый хоть и признал свою вину, но пытался придать своим действия легальный характер, сославшись на проводимые киберучения; правда, никем не санкционированные. Правда, в суде эта аргументация не сработала.

На днях был произошел схожий случай уже в Англии. Бывший аналитик ИБ, участвовавший в расследовании атаки шифровальщика на свою компанию, решил поживиться на беде своего работодателя. Имея доступ ко всем данным расследования, он подменил реквизиты криптокошелька хакера, первоначально требовавшего выкуп, на свои собственные. Но так как руководство компании не планировало платить выкуп и продолжило расследование, то бывший ИБшник компании понял, что могут выйти на него, попытался затереть все следы своего преступления, но не успел, - его задержали правоохранительные органы. 5 лет длилось расследование, в течение которого обвиняемый все отрицал, но в итоге он признал свою вину и в июле суд вынесет вердикт, в рамках которого обвиняемому грозит от 2 до 14 лет лишения свободы.

Это к разговору о модели угроз, которая часто не учитывает внутреннего нарушителя, а средства защиты не умеют мониторить происходящее внутри, фокусируясь только на периметре. А ведь будь в организации EDR/NTA/XDR/SIEM, доказательства были бы собраны гораздо быстрее, чем за несколько лет.

Пост Лукацкого

24 мая 2023 16:34

Немецкий BSI выпустил не очень большой, но все-таки интересный отчет с обзором различных проблем и атак на системы, базирующиеся на искусственном интеллекте. Как введение в проблему вполне себе подойдет.

Пост Лукацкого

24 мая 2023 09:53

В году этак 97-98-м я занимался разработкой сайта "Информзащиты". Да, был у меня такой опыт 💻 Тогда вообще многие компании самостоятельно занимались разработкой своих же сайтов и каждая уважающая себя компания должна была иметь в штате веб-мастера (я был, правда, не веб-мастером, но мне было интересно). Потом, уже следующую версию, которая согласно ТЗ должна была обладать более широким функционалом, мы заказывали у внешней веб-студии.

Я по-прежнему отвечал за сайт, но уже с точки зрения заказчика, ставящего задачи и принимающего результат. Все-таки "кесарю кесарево" и разработкой сайтов должны заниматься профессионалы (правда, нельзя забывать про безопасность сайтов - веб-студии часто не очень компетентны в этих вопросах). Так вот ФСТЭК поменяла себе сайт. Ну не знаю.... Мне кажется, что давно прошло то время, когда разработкой сайта надо было заниматься самостоятельно. Все-таки надо было поручить эту задачу не ГНИИ ПТЗИ. Вон и у головного МинОбороны сайт получше, не говоря уже о Минцифры.

Пост Лукацкого

23 мая 2023 19:34

Как проверить, что утекшая база с персданными фейковая или скомпилированная? Об этом 10-тиминутный доклад с PHDays 12