Пост Лукацкого

20 апреля 2023 13:30

Если отбросить облачную ИБ, которая не так чтобы приоритет №1 в России, то на первое место, согласно опросу Splunk, автоматизация ИБ - это первоочередная задача для большинства опрошенных CISO.

При этом налицо явный рост интереса к автоматизации и платформам (даже с поправкой на то, что Splunk этим, собственно, и зарабатывает). 50% планирует фокусировать свои бюджеты на платформах ИБ, а не отдельных решениях. 38% (против 21% в прошлом году) идут в сторону построения интегрированной архитектуры для аналитики ИБ и средств автоматизации реагирования. 35% (против 22%) хотят покупать средства, специально разработанные для автоматизации и оркестрации процессов ИБ.

Пост Лукацкого

20 апреля 2023 09:10

О, какие новости подвезли. Иностранцы из России уходили, было такое. Но чтобы российская ИБ-компания ушла из России?..

Пост Лукацкого

19 апреля 2023 20:15

Splunk разродился отчетом "The State of Security 2023", в котором опросил 1520 ИТ- и ИБ-руководителей по различным аспектам, интересным Splunk в контексте их бизнеса. Меня зацепила вот эта диаграмма, в которой показано, как и в чем оценивают эффективность ИБ.

Во-первых, тут есть некоторая манипуляция. Заявляется о бизнес-лидерах, но по факту вопрос задавался ИБшникам и ИТшникам, а не бизнесу. Допускаю, что среди 1500 респондентов были и люди уровня CxO, но, их явно было не большинство, так как, и это, во-вторых, не будет топ-менеджер измерять ИБ в MTTD/MTTR. Ну какая ему разница, в течение какого времени был взят инцидент в работу и когда он был закрыт?.. Его волнует, чтобы недопустимое событие не было реализовано ущерб не был нанесен компании.

В крайнем случае, его могут заинтересовать время простоя (4-е место в списке), прогресс важных ИБ-инициатив (7-е место), возможность обеспечивать ИБ в рамках бюджета (9-е место) и возврат инвестиций в ИБ (10-е место).

MTTD/MTTR явно притянуты за уши в этом отчете и скорее льют воду на мельницу Splunk, решения которого как раз и направлены на снижение MTTD/MTTR. Манипуляция результатами одним словом. Но если отбросить первый показатель эффективности, то остальные похожи на правду.

Пост Лукацкого

19 апреля 2023 13:33

О, какие инициативы у нас пошли. Стандартизация защиты бортовых компьютеров автомобилей, поставляемых/собираемых в России с целью защиты от утечек персональных данных и удаленного несанкционированного вмешательства в работу автомобиля. Интересно, это ведь про защиту ПДн, и про защиту КИИ (если транспорт служебный), а про ФСТЭК и ФСБ в заметке ни слова. Насколько я помню, любые попытки обойти этих двух регуляторов в принятии судьбоносных для ИБ решений, часто заканчиваются провалом любой инициативы 🫡

Пост Лукацкого

19 апреля 2023 06:41

На самом деле это вчерашний анонс; поэтому третий вебинар 👆🏻серии пройдет сегодня! 👍

Пост Лукацкого

18 апреля 2023 20:12

Помните давние дискуссии о том, почему одна ИБ-компания называет группировку Fancy Bear, а другая, ту же группировку, - APT28, а третья - Pawn storm, а четвертая - Sofacy, а пятая и шестая - Sednit и Strontium соответственно?

Вот Microsoft решила навести порядок в этом деле и придумала свою таксономию названий хакерских группировок. Уж не знаю, насколько они думают, что это начнут использовать все исследователи, но попытка интересная.

Пост Лукацкого

17 апреля 2023 13:21

Александр Леонов сделал карту отечественных средств управления уязвимостями и вот, что я хочу сказать. Придуманные им аббревиатуры, СДУП, СДУК, СДУИ, СДУСП и т.п. выглядят очень странно; как минимум, непривычно. Не звучат они совершенно. Но это похоже вообще особенность нашего восприятия родного языка.

Почему-то VM не вызывает такой реакции, в отличие от СУУ. CASB, NGFW, DLP, IDS звучат привычнее СКСМНИ (средства контроля съемных машинных носителей информации), СОБДРИС (средства обеспечения безопасной дистанционной работы в информационных системах), ГРИЗИ (группа реагирования на инциденты защиты информации) и т.п.

Пост Лукацкого

17 апреля 2023 06:40

Сделал обзор пленарной секции с CISO Forum 2023, которую я модерировал и на которой 8 достойных CISO, директоров по ИБ и вице-президентов по ИБ делились лайфхаками и советами относительно текущей ситуации. Собрал ключевые тезисы в блоге пока мы ждем, когда организаторы выложат видео с конференции после их монтажа и обработки.

Пост Лукацкого

16 апреля 2023 08:40

В чатике "Результативный CISO" прозвучала мысль, что расширение инвестиций в ИБ приводит к тому, что картина с ИБ становится только хуже, так как вскрывается то, чего раньше даже не замечали. В этом есть свой правда жизни и к ней надо быть готовым. Оно конечно так, но... рост инвестиций не только показывает новые проблемы, но и позволяет с ними лучше бороться (вы же инвестиции просили не только, чтобы просто больше знать).

Однако если вспомнить про управление рисками, то снижение одних, первичных, рисков может привести к появлению рисков вторичных. Вот и с новыми технологиями ИБ также - их внедрение может привести к тому, что у вас либо создается ложное чувство защищенности, либо вообще появляются новые угрозы. Например, в выложенном Денисом Макрушиным выступлении с мероприятия OWASP с говорящим названием "Dev Sec Oops" Денис рассказывает о том, как некорректная конфигурация статических анализаторов (SAST) и средств динамического анализа ПО (DAST) может привести к утечке интеллектуальной собственности и нарушению процессов безопасной разработки.

Пост Лукацкого

15 апреля 2023 08:40

Презентация Алексея Лукацкого "От CISO к BISO. Как сесть за один стол с большими мальчиками" с CISO Forum 2023

Пост Лукацкого

14 апреля 2023 16:56

Если вы, вдруг, зададитесь вопросом, а какую пользу наши ИБ-регуляторы приносят и что они делают "на наши налоги", то вот вам списочек проектов, которые бесплатны для всех граждан России и ее специалистов по ИБ:
1️⃣ИС мониторинга фишинговых сайтов (Минцифры) - https://paf.occsirt.ru
2️⃣ИС мониторинга сбоев (Роскомнадзор) - https://portal.noc.gov.ru/ru/monitoring/
3️⃣ScanOVAL для Windows (ФСТЭК) - https://bdu.fstec.ru/scanoval
4️⃣ScanOVAL для Linux (ФСТЭК) - https://bdu.fstec.ru/scanovalforlinux
5️⃣Национальный Мультисканер (ФСБ) - https://virustest.gov.ru

А еще, сегодня, на CISO Forum Минцифры рассказало, что делает «русский Шодан».

Пост Лукацкого

14 апреля 2023 10:19

А рассекретили этого летчика-зуммера из США, слившего секретные документы в Discord, ребята из bellingcat.

Как? По столешнице.

Bellingcat сопоставили гранитную столешницу и напольную плитку, замеченные в утечках в его доме, по фотографиям, размещенным в Интернете.

В такой osint, кажется, не умеет даже Масалович.

@cybersachok

Пост Лукацкого

13 апреля 2023 20:17

Прилетело обновление на софт и тут всплыло две проблемы. Первая - оказалось, что раньше этот софт подписывался личной подписью разработчика, не имеющей ничего общего с корпоративной подписью работодателя. То есть так могли на комп сотрудника все, что угодно подсадить и через него в софт засунуть любую закладку.

А вы проверяете, какой подписью подписывается прилетающий к вам софт? В автоматическом режиме?

Во-вторых, видя сообщение, что мне надо будет предоставить полный доступ обновленному приложению к жесткому диску и к учетным записям в ОС, включается профдеформация и я уже задумываюсь, а не supply-chain ли это атака?

Дилемма-с... 🤔

Пост Лукацкого

13 апреля 2023 13:55

В Интернете, если ты не продавец и не покупатель, ты товар. И даже если ты продавец или покупатель, то все равно для кого-то ты товар!

Пост Лукацкого

13 апреля 2023 10:20

Уже совсем близко Positive Hack Days 12, и в этом году это уже не просто конференция по кибербезу, а масштабный киберфестиваль, который пройдет в Парке Горького 19–20 мая 💤

Самое главное, что отличает нынешний фестиваль от прошлых конференций, — общедоступный для всех Кибергород, который можно будет посетить бесплатно, без билетов и регистрации!

Кибергород предстанет в виде современного мегаполиса 🌇 в стиле киберпанк, который разрушается под натиском кибератак, и который будет наполнен яркими активностями, повышающими киберграмотность и доверие к технологиям. Гости смогут примерить на себя роль исследователей кибербезопасности и поучаствовать в квесте, где нужно будет найти и исправить уязвимости в разных элементах городской инфраструктуры, а еще посмотреть на кибербитву Standoff 🎳 и сфоткаться на фоне прикольных арт-объектов (может быть вы даже что-то похожее увидите 🤞).

А чтобы принять участие в бизнес-части PHDays и послушать гуру ИБ (это не про меня 🤠), сходить на круглые столы с участием лидеров мнений, мастер-классы экспертов и понаблюдать за кибербитвой и макетом вблизи — нужно купить билет в Кибердеревню. Как человек, взявший на себя ответственность за бизнес-трек, буду походу рассказывать о том, что будет интересного в конференционной части.

ЗЫ. Для семейных ИБшников 👨‍👩‍👧‍👦 или состоящих в отношениях, фестиваль PHDays 12 дает возможность наконец-то показать и рассказать, чем вы занимаетесь. Пока вы будете на хардкорных докладах и дискуссиях в Кибердеревне, ваши близкие смогут походить по Кибергороду и погрузиться в кибербез.

Пост Лукацкого

20 апреля 2023 09:59

В упомянутом вчера отчете Splunk есть еще одна диаграмма по популярным негативным последствиям от инцидентов ИБ за последние пару лет.

Тут, конечно, не хватает ответа на вопрос: "И что?" Вот произошел инцидент (breach) с конфиденциальными данными и дальше что? Штрафы? Уход клиентов? Снижение лояльности поставщиков и контрагентов? Какой именно эффект от инцидента в контексте бизнеса?

Или снижение конкурентных позиций. И что? Потеря денег? Уход клиентов? Какие потери понес бизнес в результате инцидентов? Не дожали они эту диаграмму, ох не дожали...

Пост Лукацкого

20 апреля 2023 06:40

Максут Шадаев выступил вчера на встрече АРПП «Отечественный софт» и ответил на вопросы отрасли. Среди прочего он сказал, что в весеннюю сессию будет внесён и принят законопроект, который наделяет правительство полномочиями определять по каждой отрасли объекты КИИ и сроки их перехода на российские продукты!

Отраслевое регулирование по ИБ все ближе. Там глядишь и отраслевые недопустимые события, о реестре которых Минцифры говорило осенью, появятся.

Пост Лукацкого

19 апреля 2023 16:56

Российские официальные лица высказывали опасения в появления зависимости нашей страны от Huawei и росте рисков кибербезопасности в связи с этим. Это, конечно, не новость и закрытые циркуляры о запрете или ограничении использования продукции китайских вендоров выпускались неоднократно на моей памяти на протяжении последних пары десятков лет, как минимум. Тут изюминка ситуации в другом. Авторы американского Bloomberg заявляют о наличие неопубликованного (закрытого) отчета Минцифры... Откуда у журналистов доступ к такому документу (явно ДСП), который вышел уже после начала СВО, когда внимание спецслужб было приковано ко всем изменникам и еще неизменникам Родины, иноагентам и иным подозрительным лицам?

Пост Лукацкого

19 апреля 2023 10:02

Мир меняется и это уже не просто красивая игра слов. Мы видим, что все, к чему мы привыкли, изменяется. И в мире кибербеза тоже. Но самое главное, что происходит это не только у нас, не только по ту сторону баррикад, но и по ту сторону океана. При этом 2023-й год показал, что есть Россия, которая пытается слезть с американской иглы; есть Китай, который решил показать зубы и начать повышать ставки в противостоянии с США. И учитывая обострившиеся геополитические разногласия, я бы хотел посмотреть на то, каким видят будущее своего кибербеза в США, стране, которая до недавнего времени диктовала всем свою волю в области технологий, включая и ИБ. 2-го марта администрация Байдена анонсировала новую национальную стратегию кибербезопасности, мини-обзор которой я и сделал в блоге.

Пост Лукацкого

19 апреля 2023 06:40

Один из самых частых вопросов в нашем чате — «когда пройдет вебинар с участием Алексея Лукацкого?» Отвечаем — уже завтра, в 11:00 😉

Ужесточение требований со стороны регуляторов и рост количества кибератак увеличили потребность компаний малого и среднего бизнеса в услугах профильных специалистов по кибербезопасности.

Когда стоит отдавать на аутсорсинг реагирование, мониторинг или консалтинг? Этот вопрос мы обсудим на третьей онлайн-встрече проекта «#Агент250»

Также мы разберем причины, по которым стоит делать выбор в пользу развития собственного отдела ИБ. Оценим плюсы и минусы обоих подходов и дадим методику, с помощью которой заместители генеральных директоров по ИБ смогут выбрать свой.

Проведет вебинар Светлана Озерецковская, руководитель отдела маркетинга комплексных решений Positive Technologies. В гостях — Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.

Для участия в онлайн-встрече необходимо зарегистрироваться 👈

Если у вас есть вопросы по теме вебинара, то задать вы их можете в комментариях 🙂

#Агент250

Пост Лукацкого

17 апреля 2023 16:41

Раньше, кейсы, демонстрирующие падение курса акций в результате инцидента ИБ, можно было пересчитать по пальцам одной-двух рук. Сегодня они происходят сплошь и рядом. Чуть ли не еженедельно выплывают факты о взломе той или иной компании, зашифровании ее данных, утечке информации из нее и т.п.

Вот последний пример с Western Digital. В конце марта их хакнули, в начале апреля они про это рассказали и вот результат - падение курса акций почти на 8%. Но ущерб не только в этом - если зайти к ним на сайт, то можно обратить внимание на надпись, сделанную маленьким шрифтом на самом верху, что в данный момент они не обрабатывают заказы, а это уже не просто волатильный курс акций (сегодня -8%, завтра +8%), а недополученная прибыль.

И это всего лишь обычный шифровальщик, емкость рынка которых составляет около 2 миллиардов долларов. А ведь это самая малая доля в структуре доходов на рынке киберпреступности. Та же торговля данными приносит по ту сторону баррикад почти 200 миллиардов долларов, а промышленный шпионаж в 2,5-3 раза больше. Но слышим мы только о верхушке этого айсберга, связанной с шифровальщиками.

Пост Лукацкого

17 апреля 2023 10:01

Вы помните школьный курс физики и тему равномерного движения? Я вот недавно наткнулся в учебнике у детей. Это сложно себе представить, но с точки зрения физики, равномерное движение и покой равнозначны, так как на тело в этом случае не действуют никакие силы или их действие скомпенсировано. То есть, что вы медленно и ровно двигаетесь вперед, что стоите на месте, никакой разницы не имеет.

Чем-то это напоминает жизнь многих ИБшников до 24 февраля (да и после, если уж честно говорить). Кто-то изо дня в день, месяц за месяцем, год за годом выполняет нормативку ФСТЭК, ФСБ, ЦБ, Минцифры, не пытаясь посмотреть за ее пределы. А кто-то вообще ничего не делает, сидя по жопе ровно, ссылаясь на то, что денег нет. А результат один и тот же 😞 И даже если вы белкой в колесе скачете, пытаясь заработать на хлеб с маслом, но этот бег равномерный и никаких новых проектов вы не запускаете, никаких новых целей себе не ставите, челенджи не организуете, то с тем же успехом, можно было бы ничего и не делать. Результат, а точнее его отсутствие, был бы тот же.

Вот такая физика-лирика... Мы уже 100 дней с начала года прожили и самое время подумать, как проживем оставшиеся 250. Поставили ли перед собой новые, отличающиеся от прошлого года, результаты и движемся ли мы с ускорением к их достижению? Если да, то и прекрасно. А что, мля, если нет?..

Пост Лукацкого

16 апреля 2023 12:55

У багов тоже есть чувства… Багхантеры такие романтики 🧑‍💻

Пост Лукацкого

15 апреля 2023 22:17

Меня тут спросили, почему у меня в презентации с CISO Forum 2023 одни негры. Ну что ж, отвечу. Во-первых, это не негры, а афроамериканцы 😊 Ну или как сказал Илья Борисов, "сильно загорелые люди" 😊 Во-вторых, их там, извините, меньшинство. На 8 людей негроидной расы, там 13 европеидной (хотя, если считать представителей монголоидов, то да, они меньшинство, - их там двое). Это классическая психологическая слепота - глаз цепляется за одно и совсем не замечает другое. У аналитиков SOC и операторов средств защиты такое бывает сплошь и рядом. Ну а в-третьих, чтобы стать бизнес-ориентированным ИБшником, придется поработать как негр (ну или папа Карло, если быть толерантным).

Пост Лукацкого

15 апреля 2023 08:40

Я всегда говорил, что фокусные мероприятия, посвященные какой-либо одной теме, гораздо лучше конференций "все обо всем". И я всегда также возмущался тем, что вокруг каких-либо знаковых конференций не создается соответствующего комьюнити, которое могло бы обмениваться опытом и знаниями между мероприятиями. А в случае хорошего развития канала/чата/комьюнити, они начинают жить своей жизнью. Например, чатик по SOC, созданный под один из PHDays, а сегодня существующий вполне себе самостоятельно.

Поэтому, под CISO Forum 2023, был создан чатик "Результативный CISO", который, я надеюсь, будет жить и после конференции и станет местом для общения руководителей ИБ. Правила описаны в начале ленты чатика - ничего сверхествественного - отсутствие рекламы, публикация ссылок, обмен опытом, вопросы и ответы. И да, даже если вы не CISO, то кто мешает вам заранее готовиться к этой роли? Плох тот солдат, что не мечтает стать генералом.

Пост Лукацкого

14 апреля 2023 13:41

Вейвлеты? Кротовые норы? Мультифракталы? А вот гиперкубы не хотите ли?!

Пост Лукацкого

14 апреля 2023 06:40

Вечером, на CISO Forum 2023, буду выступать с мастер-классом "От CISO к BISO. Как сесть за стол с большими мальчиками"

Пост Лукацкого

13 апреля 2023 18:26

ЦМУ ССОП Роскомнадзора запустил отечественный аналог DownDetector, который с начала СВО перестал публиковать данные о простоях российских Интернет-сервисов. Хорошая инициатива для отслеживания рядовыми пользователями или корпоративными заказчиками сбоях в работе Рунета, происходящих, например, в результате DDoS-атак. Однако есть одно "но"...

Помня, что страна у нас построена на телефонном праве, которым любят пользоваться властью и деньгами облеченные люди, насколько высока вероятность, что этот сервис будет показывать все происходящее без прикрас и скрытия фактов? Ведь если на какой-либо сервис у нас происходит мощная DDoS-атака и она наносит удар по репутации владельца сервиса, у него может быть велико желание поднять трубку и позвонить "кому надо", чтобы сервис РКН не показывал реальное состояние дел. И что-то мне кажется, что достаточно одного раза, чтобы РКН дал слабину, и сервис превратится не в независимый рупор доступности Рунета, а в известно что 💤

Пост Лукацкого

13 апреля 2023 11:45

Нафига им моя камера? Что они собираются там увидеть? Внутреннее содержимое моих джинсов? 🤔

Пост Лукацкого

13 апреля 2023 06:40

В преддверии CISO Forum 2023 (уже завтра) черканул пару строк о том, что CISO бывают разные (vCISO, gCISO, mCISO, rCISO) и в одной компании их может быть много.