Пост Лукацкого

04 апреля 2023 10:50

Ещё один подход к приоритезации устранения уязвимостей, основанный на использовании оценки CVSS, EPSS и информации из каталога CISA KEV.

За основу берется методика от FIRST по совместному использованию оценок CVSS и EPSS. Для разграничения приоритетов в качестве пограничных значений берутся средневзвешенные значения CVSS=6 и EPSS=0.2, которые делят график на четыре квадранта.

Итого имеем 5 приоритетов:
1️⃣ CVE есть в каталоге CISA KEV  - суперкритично, т.к. уже эксплуатируются.
2️⃣ CVE из верхнего правого квадранта - опасные уязвимости, которые могут нанести критический ущерб активам, и при этом имеют высокую вероятность использования злоумышленниками.
3️⃣ CVE из нижнего правого квадранта - опасные уязвимости, но с невысокой вероятностью использования злоумышленниками.
4️⃣ CVE из верхнего левого квадранта - уязвимости, эксплуатация которых не нанесет большого ущерба активам, но большой вероятностью использования злоумышленниками.
5️⃣ CVE из нижнего левого квадранта - оставшиеся уязвимости с низкой оценкой CVSS и невысокой вероятностью использования.

Алгоритм можно использовать в боевом режиме, хотя, как и любой иной, он не лишен минусов - многие CVE могут отсутствовать в каталоге CISA KEV, но при этом активно эксплуатироваться. Да и в целом для свежих уязвимостей инструмент не сильно удобен, но кто мешает периодически пересматривать приоритет? Был бы только инструмент автоматизации.
Для данной методики приоритезации есть инструмент, который можно доработать под свои нужды.

Пост Лукацкого

03 апреля 2023 18:40

Запилил презентаху для сегодняшнего курса по персональному киберезу для студентов и аспирантов МГИМО. На простых примерах рассказываю о том, что такое кибербез, как он влияет на личную и рабочую жизнь, почему надо начинать с себя, и как себя защитить от киберугроз 🤠

Пост Лукацкого

03 апреля 2023 11:44

Вообще интересные результаты опроса про источник атаки со стороны ИИ. Если отбросить вариант «а хрен его знает», то большинство считает, что ИИ - это антропогенный источник, «наделяя» его тем самым разумом, волей и умыслом. Интересная точка зрения большинства.

Мне кажется, нам не хватает не столько мнения регулятора (а в методике оценки угроз этому стоит уделить внимание, исходя из интереса к теме ИИ), сколько ликбеза на тему, что вообще такое, этот искусственный интеллект и когда обычный и «неодушевленный» ML превратится в AGI. Но даже AGI (тем более AGI) я бы не стал относить к антропогенным источникам. Да и к техногенным тоже, если честно. Он достоин отдельной категории 😈

Пост Лукацкого

02 апреля 2023 18:11

Я когда увидел предложение, подумал: «Ну вот, и тут бизнес-ориентированная ИБ; только со знаком минус». Но что-то засело в голове; какая-то несуразность. А потом дошло.

Инвестиции подразумевают отдачу, а какая отдача от армии? Она же решает государственные задачи (отстоять|отжать территорию). У киберармии тоже самое. И точно прибылью там не пахнет (не кибермародерство же там будет процветать). С чего отдавать инвестиции? Или ЧВХК будет ломать банки недружественных государств и делиться с инвесторами 51% украденного? Ну, такая себе армия…

Пост Лукацкого

02 апреля 2023 12:57

ChatGPT попросили сгенерировать ключи активации для Windows 95. И он сгенерировал.

Из 30 ключей один оказался рабочим. Когда ChatGPT рассказали, что он сделал, тот извинился и заявил, что «это невозможно». Теперь ждём генерацию ключей для Windows 10 и 11.

Пост Лукацкого

01 апреля 2023 19:40

Зависимость уровня ущерба ИБ от объема рынка ИКТ унимодальна. Кто бы мог подумать?!..

ЗЫ. И это не шутка 🥳

Пост Лукацкого

01 апреля 2023 08:40

В полку игр «про ИБ» прибыло

Пост Лукацкого

31 марта 2023 19:16

Надо признать, что Минцифры очень оперативно реагирует на информационный фон; особенно негативный. В прошлый раз они оперативно среагировали на якобы утечки из Госуслуг (в отличие от некоторых). В этот раз быстрая реакция на сообщения о невозможности удаления аккаунта в Госуслугах. И даже если это не так, скорости их реакции можно позавидовать. А походу они и другие два звучащих возражения отработали. Молодцы, чо

Пост Лукацкого

31 марта 2023 13:22

Выступал я вчера на конференции Big Data & AI с рассказом о кибербезе и искусственном интеллекте. И в кулуарах после возник вопрос о том, можно ли вообще предсказывать будущие атаки и способен ли ИИ помочь в этом вопросе?

Что я могу сказать? Ответ мой будет - и да и нет. Например, с помощью ML вы детектите DGA-домены, которых может быть зарегистрировано в определенной AS с несколько сотен или даже тысяч. И сейчас активны только 2-3 домена из тысячи; остальные в спящем режиме ждут своего часа. Но вы уже заранее знаете, что с них будут атаки и можете внести их в свои "черные списки". Можно ли считать, что мы предсказываем будущие атаки? Почему бы и нет. Аналогичная история и с семействами вредоносов, в которых вы по общим признакам можете детектить будущие, даже еще не разработанные семплы.

Схожая история с РКН, который с помощью какой-то своей очередной системой на базе ИИ обещает предсказывать появление вредного или запрещенного контента. Вообще, таких технологий, насколько я знаю, сейчас нет. Вы не можете предсказать, когда появится какой-либо опасный контент. Но! Можно сделать ход конем и предсказать, что такой-то оппозиционер или иноагент точно напишет какую-нибудь гадость и... угадать почти со 100%-й точностью. Он же не может не писать гадости. Даже сидючи в местах не столь отдаленных или вообще за пределами нашего суверенного государства. То есть это можно "продать" как предсказание, но по факту это будет явно не так.

Так что ответ на интересующий многих журналистов вопрос может быть как "Да, конечно", так и "Нет, да вы что". Все зависит от трактовок. Но вот в смежных областях, в медицине, в промышленной безопасности, предсказание еще неслучившегося события вполне работающая история. В ИБ пока все не так, но мы надеемся....

Пост Лукацкого

31 марта 2023 08:16

Вот почему, российские «диссиденты» сливают в американскую прессу внутрянку российских ИБ-компаний, а американские несогласные с режимом не сливают ничего в «Комсомольскую правду»? Что-то тут не так… Почему американцы не доверяют российским СМИ?..

Пост Лукацкого

30 марта 2023 20:23

Помните пост про розовые флешки в форме гробиков, которые могут вызвать интерес, если их разбросать в качестве приманки. Вот и отечественные аналогичные изделия.

Пост Лукацкого

30 марта 2023 16:58

В тему вчерашних новостей о письме института "Будущее жизни" про опасность искусственного интеллекта

Пост Лукацкого

30 марта 2023 10:17

АНБ выпустило рекомендации для администраторов по управлению идентификацией и аутентификацией. Привязки к каким-либо продуктам нет; поэтому вполне можно использовать и у нас

Пост Лукацкого

29 марта 2023 20:10

Исправление: речь идёт о критической информационной инфраструктуре:

«ФСТЭК планирует передать часть функций по регулированию информационной безопасности в КИИ отраслевым регуляторам» - представитель Ассоциации пользователей стандартов по информационной безопасности (АБИСС)

Пост Лукацкого

29 марта 2023 18:40

Мне кажется, АБИССу надо срочно опровержение выпускать, а то, мягко говоря, это выглядит совсем непрофессионально (регулятор говорил совсем иное).

Пост Лукацкого

04 апреля 2023 10:50

Скоро методов приоритизации уязвимостей будет больше чем самих уязвимостей 😊

Пост Лукацкого

03 апреля 2023 15:07

Российский рынок ИБ в 2022-м году составил по оценкам от 150 до 160 миллиардов рублей, то есть около 2 с половиной миллиардов долларов. Китайский рынок больше нашего в 6 раз. Если соотносить с числом жителей, то мы не так уж и плохо выглядим на их фоне. Если с территорией, то плохо. Американский рынок оценивается в 60+ миллиардов, «насмехаясь» над российским и китайским рынками вместе взятых. Все относительно…

Пост Лукацкого

03 апреля 2023 08:22

​​📣📣📣📣📣Руководство по управлению уязвимостями ПО

Для публичного рассмотрения представлен проект методического документа «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)».
⏳Предложения и замечания по проекту принимаются до 17.04.2023.

📌Проект размещен на официальном сайте ФСТЭК России в разделе «Техническая защита информации/Документы/Проекты».

❗️Документ предназначен для организации процессов управления уязвимостями в органах (организациях) и является основой для разработки детальных регламентов по управлению уязвимостями с учетом особенностей функционирования органов (организаций) и организации взаимодействия между структурными подразделениями органов (организаций) по вопросам устранения уязвимостей.

Пост Лукацкого

02 апреля 2023 13:08

От подписчика вот тоже вопрос хороший ;-)

Пост Лукацкого

02 апреля 2023 12:57

Интересно, а рабочие номера платежных карт ChatGPT сможет генерить?

Пост Лукацкого

01 апреля 2023 12:13

Всерьез задумался о закрытом канале, куда я смогу постить все, без цензуры. И даже удаленные посты там будут публиковаться 🙂 Но за деньги! И после принятия офферты, что никаких претензий за то, что опубликовано 🙂

А то надоело. Пишу всю правду-матку я, а вся «слава» достается 🟥. Вместо благодарственных писем «какой ты офигительный» мне, прилетает работодателю «какой я охреневший». Так не доставайся же ты слава никому - анонимность теперь мое второе имя!

ЗЫ. Уж теперь-то я развернусь. Трепещите безответственные CISO и регуляторы, нежелающие брать ответственность за результат!

Пост Лукацкого

31 марта 2023 19:16

⚡ Сохраняется возможность удалить аккаунт на Госуслугах

В связи с участившимися случаями взлома личных кабинетов на Госуслугах, в том числе с использованием методов социальной инженерии, и последующим удалением учётной записи злоумышленниками, принято решение отключить эту функцию на портале.

Теперь удалить учётную запись возможно только при посещении МФЦ.

Напоминаем, что существует возможность отключить уведомления от госорганов в разделе «Уведомления» личного кабинета.

Минцифры сообщает, что удаление аккаунта на Госуслугах не является уклонением от службы в армии.

@mintsifry

Пост Лукацкого

31 марта 2023 16:49

Что-то я не нашел в канале упоминаний, что я вместе с коллегами участвовал в разработке программы дополнительного профобразования по ИБ совместно с МГУ. Я готовил парочку лекций для этой программы, первый поток которой недавно подошел к концу. И вот для одного из дополнительных занятий я готовил ответы на вопросы слушателей и один из них звучал как "Какие способы обоснования бюджета на ИБ бывают?"

Думаю, что на следующей неделе я рассмотрю эти варианты в канале чуть детальнее, а пока свежая статистика (чья, напишу позже) о том, как на Западе обосновывают бюджеты ИБ. На первом месте, предсказуемо, идет подход "% от ИТ-бюджета". Я этому вопросу 7 лет назад посвящал в блоге целую заметку. И хотя я считаю, что это не самый лучший вариант, по цифрам он все-таки самый популярный, что обусловлено скорее всего его простотой.

Третье и четвертое по популярности место занимают варианты, которые я почти не встречал у нас, - % от дохода от основной деятельности и % от бюджета на ИБ прошлого года.

Пост Лукацкого

31 марта 2023 09:58

РусКрипто - это одна из старейших российских конференций по ИБ, которая в этом году отметила свое 25-тилетие. И я, уже по традиции, провел очередной интеллектуальный квиз "Игра в имитацию". Думаю, на выходных в канале повыкладываю некоторые задания, которые были в квизах за последние 7 лет. И вам развлечение и мне приятно 🧐

Пост Лукацкого

31 марта 2023 06:40

Запись эфира AM Live, посвященного выбору корпоративного VPN-шлюза, который я позавчера модерировал. Поговорили про разное - VPN на стероидах контейнерах, есть ли жизнь у самостоятельных VPN вне рутеров и NGFW, можно ли реализовать 100 Гбит/сек VPN без аппаратного акселератора (ответ - можно), есть ли в России место негостовым и несертифицированным VPN, виртуальные и SaaS VPN-шлюзы, действительно ли российская аппаратная платформа для VPN именно российская, почему VPN-шлюзами нельзя управлять с SOAR и много других интересных тем о том, чем мы все с вами ежедневно пользуемся на работе, часто даже не зная об этом

Пост Лукацкого

30 марта 2023 16:59

Под письмом стоит подпись Романа Ямпольского, профессора факультета вычислительной техники и информатики Университета Луисвилля. Роман известный специалист в области безопасности AI, директор лаборатории кибербезопасности. Мы попросили Романа прокомментировать свою подпись под письмом. Он был краток:

«Мы все ближе к сильному ИИ и у нас нет понимания как его контролировать. Надежда только на то, что нам удастся выиграть какое-то время, чтобы понять, что мы можем сделать. Мои исследования показывают, что у проблемы может не быть решения: сильный ИИ будет необъяснимым, непредсказуемым и неконтролируемым (и это только часть опасений)»

Пост Лукацкого

30 марта 2023 13:38

Это, также выпущенные на днях рекомендации АНБ, посвящены механизму UEFI Secure Boot и советам администраторам и владельцам инфраструктур по переходу с устаревшего BIOS или CSM на UEFI и правильному использованию этого механизма защищенной загрузки вычислительных устройств.

Не знаю, насколько в российских процессорах, схожие механизмы защиты, но пока мы все равно используем собранные на западной микроэлектронике компьютеры и иные устройства эти рекомендации актуальны.

Пост Лукацкого

30 марта 2023 06:40

К слову, чтобы не уходить далеко от темы ИИ, начатой вчера, три отечественных примера использования ChatGPT в ИБ-контексте:
1️⃣ Канал "ИБ! Как прокомментируете?" пересказывает разные ИБ-новости с помощью ChatGPT
2️⃣ Канал "ИБ! Репорты простым языком" пересказывает англоязычные отчеты по ИБ с помощью связки ChatGPT+Google Translate | DeepL
3️⃣ Канал "TI Reports" агрегирует разные TI-отчеты и делает краткое резюме на русском с помощью связки ChatGPT+Google Translate | DeepL

Это, конечно, не вау, но интересно, что тут сошлись сразу несколько тем, описанных в CISO Mindmap 2023, о которой я писал вчера, - ChatGPT, автоматизация, консолидация 😊

Пост Лукацкого

29 марта 2023 18:40

«ФСТЭК планирует передать регулирование информационной безопасности отраслевым регуляторам» - представитель Ассоциации пользователей стандартов по информационной безопасности (АБИСС)

Пост Лукацкого

29 марта 2023 15:04

Европол выпустил отчет об опасности использования генеративных нейросетей, конечно же на примере ChatGPT, в противоправных целях.

Европейские полицейские считают, что GAN могут быть использованы в следующих сценариях:
1️⃣ Систематизация знаний и ускорение подготовки преступников, включая и киберпреступников
2️⃣ Генерация фишинговых писем от имени коренных жителей той или иной страны
3️⃣ Маскировка под конкретного человека с копированием его манеры общения
4️⃣ Дезинформация и пропаганда за счет создания достоверно звучащего контента на базе неверных тезисов и предпосылок
5️⃣ Создание пока еще базового вредоносного кода
6️⃣ Сбор большого объема данных, используемых в преступной деятельности
7️⃣ Автоматизация и масштабирование существовавших ранее и новых схем мошенничества и киберпреступлений

При этом, как отмечают в Европоле, свежая версия ChatGPT на основе GPT-4 не улучшилась в части обхода ее защитных механизмов; то, что можно было плохого сделать в предыдущей версии ChatGPT, можно сделать и в нынешней.

ЗЫ. На фоне письма института "Будущее жизни" с просьбой к разработчикам систем на базе ИИ приостановить обучение моделей GPT-4+ из-за боязни, что ИИ начнет "вредить" человеку, все это выглядит как выпущенный джин из бутылки.

ЗЗЫ. Ну а Россия продолжит развитие ИИ в стране.