Пост Лукацкого

23 июля 2023 08:40

Считается, что в «Смешариках» можно найти ответ на любой вопрос, а уж применить к кибербезу можно немало серий этого анимационного сериала. Но я человек старой закалки, да и смотреть все 318 серий просто времени нет, и поэтому являюсь сторонником другого нашего мультсериала, а именно «Ну, погоди» (но того, классического, не современного убожества). И вот фрагмент из 13-й серии, который прекрасно иллюстрирует разные уровни зрелости ИБ и отличия «обычной» и результативной кибербезопасности.

В первом фрагменте неувядающая классика. ИБ стремительно крутит педали, достигая заветной цифры 100 (представим, что это проценты, а не км/ч) и считает, что это офигенный результат. Аудиты показывают полное соответствие чему-то. Бурная деятельность, но по сути движение на одном месте 😰 Вроде как и цель есть (100%), а результата при этом нет. Поэтому я не очень люблю бумажные проверки в виде аудитов и аттестации - многократно видел результаты их прохождения, после которых компании ломали и не раз.

Тут в пору вспомнить Закон Гудхарта, который звучит как "Когда мера становится целью, она перестает быть хорошей мерой". А все потому, что эта мера становится объектом манипуляций - либо прямых, либо косвенных. И хотя Гудхарт писал про денежную политику, мы сами прекрасно видим, что он применим и в других сферах нашей жизни. Об этом же говорится в законе Кэмпбелла - "введение индикаторов или критериев, по которым оценивается работа того или иного института, неизбежно приводит к искажению как самих индикаторов, так и социальных процессов, которые тот должен оценивать".

Поэтому я не сторонник благих начинаний наших регуляторов и законодателей, которые, руководствуясь благими намерениями, принимают какие-то обязательные меры и нормы, заставляя нас их реализовывать. Они становятся целью и... мы начинаем подгонять результаты под цели, достигать их любой ценой, даже в ущерб здравому смыслу. Вот если бы регуляторы перестали выпускать обязательные нормы, а сосредоточились на методических указаниях?...

Пост Лукацкого

22 июля 2023 16:35

Даже если хакеры начнут ломать биотехнологические импланты (например, Нейролинк’овские от Илона Маска), то фольга останется единственным средством защиты! Закупайтесь фольгой, а не только солью и спичками!

Пост Лукацкого

22 июля 2023 08:40

Что-то mail[.]ru стал регулярно фишинг пропускать. Раньше такого не было - только spear phishing проскакивал иногда 👨‍💻

Пост Лукацкого

21 июля 2023 16:59

Тут все СМИ и Интернет пестрят заметками на тему "ChatGPT потупел" и т.п. и ссылаются на солидное исследование ученых из Стэнфорда. Ну так вот, дьявол, как говорится, в деталях. ChatGPT не тупел - он остался тем же; просто поменялось его поведение после соответствующего тюнинга. Об этом неплохо написано у Сергея Карелова (если кому-то лень читать оригинал исследования, а не заголовки СМИ).

И это имеет прямое отношение к ИБ - оставаясь неизменной, модель GPT-3.5 или GPT-4, может быть использована как в благих, так и во враждебных целях. GPT-4 ведь обучалась не на меньшем объеме данных, чтобы "поглупеть". И зависит это не от обучения самой модели, а от ее тюнинга. Хотите сделать ее высокоморальной и толерантной - тюните одни параметры (вспоминаем оригинальный фильм "Робокоп"); хотите сделать ее вредоносной, пишущей вредоносы и фишинговые сообщения, и ищущей уязвимости в коде, - тюните другие параметры. Это как кухонный нож - можно резать стейк, а можно зарезать человека.

Поэтому мало подключить ChatGPT к своему IRP/SIEM или иному продукту по ИБ, как это делают некоторые вендора. Нужно разбираться, что вы подключаете и зачем. Ну да про осознанность подключение ChatGPT к средствам ИБ я уже писал. Впору добавить 12-й пункт в тот список вопросов - "У вас есть специалисты по искусственному интеллекту, которые понимают, как он работает, и как работает конкретно ChatGPT?"

Пост Лукацкого

21 июля 2023 10:01

Ну что, последняя неделя работы весенней сессии наших избранников наступает, а значит законопроект об оборотных штрафах за инциденты с ПДн уже не успеют внести в Госдуму и прогнать через две палаты парламента с последующим заруливанием на гаранта Конституции. Теперь на пересдачу только осенью…

Пост Лукацкого

20 июля 2023 20:11

🤘 Ищите на главных музыкальных площадках страны: сотрудники IT-компаний записали трибьют-альбом «Прощальный концерт» в честь 130-летия Владимира Маяковского.

Вы могли слышать все семь треков из этого сборника, написанных на стихи поэта, если были на «Маяк-Фесте» — музыкальном фестивале на Positive Hack Days. Айтишники показали, что умеют не только кодить и разрабить, но и зажигать со сцены. А с сегодняшнего дня альбом доступен на всех популярных цифровых платформах.

Авторами и исполнителями песен стали сотрудники IT-компаний CyberOK, Positive Technologies, SmartPlayer, «Артенеси», «КРОК», «ЛАСП Технологии», «Милдсофт и корпорации «Строй Инвест Проект».

Инициатором идеи и главным продюсером проекта выступила Positive Technologies, альбом выпущен при поддержке компаний «Инфосистемы Джет» и Rambler&Co.

💬 «Нет сомнений в том, что если бы Маяковский жил в наше время, то наверняка давал бы концерты в метавселенных и продавал произведения на NFT-маркетплейсах», — говорит генеральный продюсер киберфестиваля Positive Hack Days Виктория Алексеева.

Слушайте и не говорите, что вы не слышали! А еще делитесь впечатлениями в комментариях.

#PositiveTechnologies #PHD12

Пост Лукацкого

20 июля 2023 13:50

Решение заняться результативным кибербезом и занятие результативным кибербезом - это две большие разницы, как говорят в Одессе. Это как заниматься сексом и принять решение заниматься сексом 🐇

Пост Лукацкого

20 июля 2023 10:01

Ну хоть правила допуска и доступа к гостайне депутатам с зарубежными активами (то есть почти всем?) ужесточают.

Пост Лукацкого

20 июля 2023 06:40

В России до недавнего момента не было решений, укладывающихся в концепцию Zero Trust. Так говорили сами вендора, когда ты их об этом спрашивал. Многие считали это очередным американским маркетингом. Потом этот маркетинг дал плоды и заказчики стали спрашивать вендоров о решениях Zero Trust. Те стали отвечать, что Zero Trust - это не продукт, а подход. Но клиенты не сдавались, а чего не сделаешь ради денег клиентов. Теперь у нас стали появляться продукты Zero Trust ☹️

Пост Лукацкого

19 июля 2023 17:08

Помните (хотя скорее всего нет), год назад я писал про американскую программу "Киберпатриот"? Оказывается в России, при участии Минобороны, было создано одноименное движение. И еще до того, как это сделали американцы, в 2017-м году. Правда, с 2021-го года про него что-то ничего не слышно; по крайней мере сайт движения застыл в 2020-м году, как и официальная группа движения в VK. И только свежий анонс от ГРЧЦ напомнил о существовании наших "Киберпатриотов", но только в контексте конкурса на разработку патриотических компьютерных игр.

Пост Лукацкого

19 июля 2023 10:11

Есть во многих компаниях такая практика - следовать жестко заданной процедуре именования учетных записей на корпоративном сервисе e-mail. Например, первая буква имени и дальше 5, 6, 7 символов фамилии, а иногда и целиком фамилия. Например, inewton@ (Isaac Newton) или bgrebenscshikov@ (Борис Гребенщиков). Иногда это создает неудобство людям (как на фото). Знавал я Петра Оганесяна, почта которого начиналась с poganets@ 💻 В принципе, можно понять такую политику, - унификация именования учетных записей. Удобно и даже не зная e-mail, можно угадать адрес своего визави, которому пишется письмо.

Но это же часто и подсказка для хакеров. Ведь публично доступный адрес e-mail часто совпадает в своей первой части (до собаки) с учеткой пользователя в домене. А иногда, для удобства, пользователь выбирает точно такую же учетку и в личной почте. А это уже вектор для атаки. И вот что тут делать? Выбирать унификацию и удобство или неизвестность и безопасность? Вопрос, однако... ❓

Пост Лукацкого

18 июля 2023 20:04

Дожили 😊 Главное, чтобы по выслуге лет на пенсию не отправили 🫡 А то я еще много чего не сотворил из запланированного 😎 А с другой стороны, можно день ветеранов отмечать на законных основаниях 😂

Пост Лукацкого

18 июля 2023 13:25

34-летний старший инженер по кибербезопасности, работавший в фирме, специализировавшейся на аудитах смартконтрактов и блокчейна, был арестован в Нью-Йорке по делу о мошенничестве. Найдя уязвимость в смарт-контракте одной из криптобирж, он незаконно перевел себе более 9 миллионов долларов, а потом вернул 8 миллионов, оставив себе полтора в качестве вознаграждения 🤑. За это ему грозит 20 лет тюрьмы 😡, а американский Минюст назвал это первым в истории уголовным делом, в котором фигурируют смарт-контракты.

Привлекая на анализ защищенности аудиторов, пентестеров или багхантеров, тщательнее составляйте договора 🤝 с ними, чтобы не попасть впросак.

А вообще этот кейс иллюстрирует ровно то, что говорят наши силовики, выступая против «обеления» багхантеров. Мол, где гарантии, что какой-нибудь программист не оставит специально дырку в софте, а потом не зарепортит ее. Хотя, как по мне, надо не закрывать глаза на проблему, а решать ее.

Пост Лукацкого

17 июля 2023 20:47

США страна явно обделенная Касперским и Алексеем Лукацким. Это объясняет почему в течение 10 лет миллионы электронных писем, связанных с вооруженными силами США, из-за опечатки отправлялись в Мали. Корреспонденты, вместо того чтобы добавить к адресу электронной почты получателя военный домен .MIL, отправляли по ошибке на домен .ML - идентификатор Мали.

Об этом рассказал голландский предприниматель Йоханнес Зурбиер, получивший контракт на управление доменом Мали. В течение 10 лет он пытался предупредить правительство США, но тщетно. В какой-то момент он даже создал систему автоматического отлова таких сообщений, но она быстро перегружается и слетает.

Только с этого января Зуурбиер перехватил 117 000 писем с секретной информацией. В них данные о медицинских картах, информацию о документах, удостоверяющих личность, списках персонала военных баз, фотографии военных баз, отчеты о военно-морских инспекциях, списки экипажей кораблей, налоговые отчеты и многое другое.

Например, в одном из писем, отправленных в начале этого года, содержался маршрут поездки генерала Джеймса Макконвилла, начальника штаба армии США, в Индонезию. Письмо включало "полный список номеров комнат", а также "детали получения ключа от комнаты Макконвилла в отеле Grand Hyatt Jakarta".

В своем комментарии Минобороны США заявил, что в курсе проблемы и работает над ней.

Это могла бы быть реклама «Касперского», но нет. Мы просто искренне в шоке.

Пост Лукацкого

17 июля 2023 16:33

Mandiant выпустила большое исследование стратегии, а также техник и тактик, используемых российским ГРУ против Украины за последние полтора года.

Вот почему у нас такие документы не выпускают?

Пост Лукацкого

22 июля 2023 20:16

Проукраинская группировка KiraSec взломала правительство Южной Африки за поддержку России

Пост Лукацкого

22 июля 2023 12:35

Вероятность попадания в авиакатастрофу составляет 1 к 8000000 (на самом деле цифра скачет от 1 к 5 миллионам до 1 к 11 миллионам). А вот вероятность погибнуть при падении метеорита ☄️ составляет 1 к 1600000 (в других источниках - 1 к 700000). Иными словами смерть от метеорита в 10 раз вероятнее, чем от авиакатастрофы. Это если опираться на данные измерений :-) А экспертная оценка скорее всего даст прямо противоположные результаты. Это к разговору об оценке рисков и использовании мнений экспертов :-) 🤔

Так что идея с недопустимыми событиями имеем право на существование, хотя их и называют неизмеримыми 📐 и поэтому неэффективными при общении с топами. Но именно их субъективность и облегчает их использование. Если того же можно добиться с помощью рисков, которые измерены и по которым не возникает вопросов о том, откуда взяты исходные данные 🧮 для расчетов, то почему бы не использовать риски. Но в абсолютном большинстве случаев, с которыми мне приходилось сталкиваться, реестры рисков устаревали к моменту завершения их подготовки.

Пост Лукацкого

21 июля 2023 19:57

У кого-то близится сезон бюджетирования 😊

Пост Лукацкого

21 июля 2023 13:29

Знаете, чем Gartner навредил рынку ИБ? Он приучил нас выбирать не решение своих задач в ИБ, а аббревиатуры классы средств защиты (NGFW, WAF, VM, DLP, EDRM, SIEM и т.п.). А ведь нам нужно не это - нам нужно предотвратить реализацию недопустимых событий или, для апологетов старой школы, бороться с актуальными для нас угрозами и нарушителями. Бессмысленно выбирать NGFW, если мы не знаем, с какими угрозами он борется. То, что вендор присвоил своему продукту какую-то аббревиатуру ✍️, еще не значит, что продукт способен бороться с соответствующей угрозой 😱

В далекие-далекие времена, когда только появились требования ФСТЭК к МСЭ (98-й год, если мне не изменяет память), отличие одного класса от другого заключалось, среди прочего, в том, может ли МСЭ работать на уровне выше сетевого. Не может? Низший класс. Может? На тебе класс защищенности повыше. Но так как разбирать прикладные протоколы мало кто тогда умел, а получить заветную бумажку хотели все, то что делали отечественные вендора пакетных фильтров? Они добавляли функцию прокси для протокола FTP. Поддерживаются прикладные протоколы? Да! Ну а то, что это всего один протокол, то кого это волнует? В требованиях про число прикладных протоколов ни слова. И такой вот обман только рос и расцветал буйным цветом. В итоге вендора стали делать не продукты, решающие задачи потребителя, а те, которые соответствовали пунктам приказов ФСТЭК 😰 Но это вообще беда любых обязательных требований - все быстро забывают цель их принятия и делают самоцелью сами требования.

Сейчас регулятор фокусируется на результативном кибербезе, на непрерывной истории, на безопасной разработке. Но порция яда в вендоров все-таки давно была впрыснута и яд распространяется по телу отечественной отрасли ИБ. Мы по-прежнему заложники продуктов ИБ, которые относятся к какому-то известному классу или типу. Нас интересует именно это, а не то, от чего или кого защищает то или иное решение. Почему бы не начать думать в новой парадигме? Дайте мне решение от угроз 1, 2, 5 и 7 или нарушителей с такими-то возможностями! Было бы гораздо проще для потребителя. Да и не только 📞

Регулятору бы не пришлось тратить ресурсы на сертификацию, которая, в целом, ничего не гарантирует с точки зрения реальной ИБ (на киберполигонах продукты не выставляют, на багбаунти тоже). Ну и что, что продукт выполняет какие-то функциональные требования? Хакер-то их не читал и он ломать будет совсем не так, как написано в руководящих документах. Вендорам бы тоже не пришлось бы тратить деньги на ненужную сертификацию. Освободившиеся ресурсы пошли бы на рост зарплат разработчиков или улучшение качества продуктов. Все бы только выиграли от этого. А оценка реальной защищенности проводилась бы с помощью пентестов или багбаунти. В конце концов какая разница, защитил я периметр с помощью NGFW за хулиард бабла или правильно настроенным ACL на маршрутизаторе? Если результат достигнут. Ведь всем нужна же результативная безопасность, а не рост числа сертификатов или наименований отечественных продуктов ИБ. Так думаю.... 🧐

Пост Лукацкого

21 июля 2023 06:40

❗️Кого, когда и как уведомлять об инцидентах с персональными данными? Во всех подробностях непросто разобраться даже тем, кто не первый год в кибербезопасности.

Почему это нужно делать, наверняка знают все: новые поправки к Федеральному закону № 152-ФЗ «О персональных данных», которые обязывают сообщать о таких инцидентах в ФСБ и Роскомнадзор, вступили в силу еще в конце прошлого года.

▪️ Что является инцидентом с персональными данными, и чем он отличается от утечки?
▪️ Как и по каким каналам могут произойти утечки персональных данных?
▪️ О чем сообщать в РКН, а о чем в ФСБ?
▪️ Как оценить ущерб от инцидента с персональными данными?
▪️ Как может выглядеть плейбук по управлению этим видом инцидента?

Чтобы не пришлось искать ответы самостоятельно, бизнес-консультант по безопасности Positive Technologies Алексей Лукацкий собрал всю полезную информацию по уведомлениям об утечках персональных данных в удобной рабочей тетради.

🆓 Качайте по ссылке и пользуйтесь. А в комментариях делитесь впечатлениями.

@Positive_technologies #PositiveЭксперты

Пост Лукацкого

20 июля 2023 17:18

Иногда получишь письмо - видишь сразу спам. Иногда сразу видно, что фишинг (на личные адреса, не корпоративные; там все чётенько). А иногда прям зависаешь над сообщением, силясь понять, что это было 🖕 Вот редкий пример. И, что характерно, допускаю, что он пройдет все антиспам-фильтры 💻

Пост Лукацкого

20 июля 2023 11:12

Microsoft согласилась предоставить своим клиентам логи без дополнительной оплаты. Об этом с вендором договорилось американское агентство CISA 🧐

Пост Лукацкого

20 июля 2023 08:15

На 60-м году жизни скончался легендарный хакер, Кевин Митник

Пост Лукацкого

19 июля 2023 20:11

Вопрос за 300: "А в вашей компании тоже персональные данные нового безопасника утекают раньше, чем он устроился на работу?" 🙏

ЗЫ. Спасибо подписчику за присланную шутку 😊

Пост Лукацкого

19 июля 2023 13:17

Идея лицензирования всех операторов ПДн не нова - такое уже было в 2008-м году, когда регуляторы считали, что любой оператор ПДн должен получать лицензию ФСТЭК на техническую защиту конфиденциальной информации (ТЗКИ). Ведь защита - это лицензируемый вид деятельности, а защищать ПДн организация обязана. Вуаля, всем в очередь за лицензией 🐇

Все бы ничего, только авторы инициатив по обязательному лицензированию забывают, что лицензия дает право заниматься определенным видом деятельности, а защита, как и обработка, персданных - это обязанность любого оператора, от которой отказаться нельзя. Следовательно, требовать получать лицензию на то, что ты и так обязан делать, странно, если не сказать хуже 🤡

РКН успел отречься от инициативы, заявив, что речь идет не обо всех операторах ПДн (а в феврале СПЧ хотел именно всех загнать в аккредитацию), а только о тех, которые обрабатывают более 1 миллиона записей о субъектах ПДн. Почему 1 миллион? В ПП-1119 по уровням защищенности верхняя граница проходит по 100 тысячам записей. В законопроекте по оборотным штрафам граница еще ниже. Почему бы не привести все к единообразию? Тем более, что все в руках Минцифры и РКН 🤹, которые и отвечают за регулирование ПДн в стране? Вводить ограничения все горазды. Внести правки в уже разработанную нормативку - никого нет, мы в домике.

РКН говорит, что они не хотят ☹️ вводить ограничения, а хотят повысить уровень защиты ПДн россиян. Благое начинание 😇 Но почему вдруг РКН устанавливает требования по защите, а не ФСТЭК с ФСБ, которые по ст.19 ФЗ-152 и уполномочены это делать? Сами же идеи РКН местами странноватые. 5 человек с высшим образованием в области ИБ? Вы где столько видели в одной неИБ-компании? Финансовое обеспечение ответственности в 100 миллионов рублей? Ну хоть не 500 миллионов как у обработчиков биометрических ПДн. Подтвердить выполнение требований по ИБ? А вот это интересный пункт. Как подтвердить? У госов - это аттестация, что прописано в 17-м приказе ✍️. А у коммерческих организаций? Аудит (фу, это бумажная ИБ)? Пентест (он и так прописан в 21-м приказе)? Багбаунти (как для портала госуслуг и ЕСИА)? И кто будет проверять качество ИБ? РКН? А откуда там специалисты по ИБ? В общем, много вопросов вокруг очередной непродуманной инициативы. Лучше бы законопроект об оборотных штрафах 🤑 довели до ума (но его, похоже, в эту сессию работы Госдумы уже не внесут - время вышло). Посмотрели бы на результаты, оценили бы их. А потом уже новые ограничения вводили бы. Но нет, принтер простаивает...

Пост Лукацкого

19 июля 2023 06:40

РКН, РПЦ, суды, ФСБ, прокуратура… добились своего. Вы замечали, что мы стали всего бояться? То не скажи, это не пиши, туда не ходи, сюда не смотри, об этом даже не думай... 😫

- Здравствуйте, Алексей. Мы хотели бы у вас взять комментарий вот на какую тему...
- Записывайте: "Автор инициативы - мудак. Он бредит и не знает того, за что сам же и голосовал несколько лет назад!".
- Нет, так нельзя, а вдруг он обидится…
- Ну так пусть думает, прежде чем такое паблик выносить. Мудак он и есть мудак.
- Ну он же не виноват... 😰

- Я придумал классное название для мероприятия по ИБ - "Киберспас". Как раз август, яблочный спас, братья-славяне и кибербез.
- Ооо, классно! Но мы не можем. А вдруг на нас РПЦ наедет и за ущемление чувств верующих… 🙏
- А ничего, что Яблочный Спас - это вообще славянский праздник, а у христиан он называется Преображение Господне?
- Ну все равно, стрёмно что-то... 🤔

- А ты вот про ЧВК Вагнера и вредонос его имени написал. Ты не боишься, что тебя за дискредитацию посадят? 😡
- Так Вагнера не существует. Вон и Путин так сказал.
- Так то Путин же... 😕
- 😠

Ну, блин... Где легкая нотка придурковатости 🤪 и стёба? Где желание пошалить немного? Откуда это болотное занудство и скука в мероприятиях, мерче, статьях, пресс-релизах, описаниях продуктов, корпоративных сайтах... ИБ не только должна, но и может быть веселой и задорной! А иначе все скатится в мракобесие и Средневековье... 🤪

Пост Лукацкого

18 июля 2023 16:59

Стали доступны видео с AppSecCon 2023

Пост Лукацкого

18 июля 2023 06:40

После последних кейсов с взломами государственных заказчиков, сидящих на облачной инфраструктуре Microsoft, американское агентство по кибербезопасности CISA договаривается с Microsoft о том, чтобы сделать часть логов бесплатными и доступными для всех. А то ведь у MS многие логи входят в премиум-лицензии и требуют дополнительной оплаты. Поэтому их не покупают и в случае инцидента артефакты, помогающие в расследовании, отсутствуют.

ЗЫ. Главное, чтобы логи были бесплатны для всех, не только для американских госов.

Пост Лукацкого

17 июля 2023 19:59

Я тут на IT IS Conf давал интервью журналистам и меня спросили, как можно решить проблему с кадрами в ИБ. Лучше учить и прокачивать навыки! Тогда и три специалиста смогут сделать то, что 100 новичков не способны! Ну либо заменять на автоматизацию и искусственный интеллект 🤖. Хотя лучше комбинировать! 🤝

Пост Лукацкого

17 июля 2023 13:03

Cisco Talos выпустил отчет про белорусских государственных хакеров из UNC1151. Когда же у нас будут хорошие отчеты про западные группировки?