Пост Лукацкого

23 января 2023 10:05

Вот интересно, как можно к 30 декабря 2022-го года провести ряд мероприятий, список которых был утвержден 30-го же декабря?!

Пост Лукацкого

23 января 2023 05:40

Прошлой весной меня пригласили в Иннополис для выступления перед студентами, которым мне хотелось рассказать о том, что может быть интересно работодателям от специалистов по ИБ и насколько выпускники российских ВУЗов соответствуют этим требованиям. Очевидно, что мой рассказ был с одной стороны субъективен, но с другой — базировался на опыте; опыте выступления в разных ВУЗах, опыте участия в подготовке ФГОСов, опыте общения с выпускниками, опыте общения с работодателями и изучения резюме, которые проходили и проходят через мои руки. Все это я попробовал тогда изложить в двухчасовой презентации, а на выходных я в итоге записал трехчасовой мини-курс и выложил его у себя в онлайн-школе.

Пост Лукацкого

22 января 2023 16:56

Тут Алексей Лукацкий приводит в пример использование ChatGPT для поиска уязвимостей и задается вопросом о нужности пентестеров — специалистов, которые сегодня за большие деньги эти уязвимости ищут.

И как всегда провоцирует на размышления — я вот с другой стороны зайду, со стороны плохишей в черных шляпах:

1. Как скоро поиск уязвимостей станет сервисом-коммодити в хакерском сообществе за 10$ руками умельцев, которые могут формировать правильные запросы к ИИ?

Как скоро взлом систем сведется к командам:

> Exploit critical vulns at company X (эксплуатируй критические уязвимости в компании Х)
> Upload data to pastebin (выгрузи данные в паблик)
> Get emails of top-10 executives at Company X (получи список емейлов топов)
> Send them a ransom note with my monero address (отправь им емейл с вымогательством и моим криптовалютным кошельком)

2. Как скоро взлом станет именно таким, как он показан в хакерских голливудских фильмах?

> hack company X
… hacking …
> access granted!

3. Как скоро регуляторы всего мира запретят ИИ смотреть в чужие домены и как это будет реализовано?

@alukatsky, пора придумывать новый термин для нового поколения script kiddie!

Пост Лукацкого

22 января 2023 15:15

Скайнет может нам пока и не грозит, но конкуренция у некоторых ИБшников будет нехилая.

Хочется на PHDays эту тему покрутить, если получится…

Пост Лукацкого

22 января 2023 09:50

АНБ вновь разродилось рекомендациями по ИБ. На этот раз по защите IPv6

Пост Лукацкого

21 января 2023 19:29

Небольшое видео на тему важности наличия не только инструмента, но и умения им пользоваться.

К ИБ имеет самое прямое отношение - а то накупят, понимаешь, всяких XDR, SOAR, NDR, NG SIEM и иже с ними, а потом жалуются, что оно не помогает ловить хакеров :-)

Пост Лукацкого

21 января 2023 12:51

Калифорнийский суд отказался оправдывать Джо Салливана, бывшего CISO Uber

Пост Лукацкого

21 января 2023 06:18

Про атаку шифровальщика, от которой пострадало 1000 судов DNV Ship Management написали многие, а про закрытие на сутки нескольких сотен ресторанов KFC и Taco Bell в Великобритании по той же причине никто. А ведь это гораздо ближе и понятнее обывателю. Получить свой товар с задержкой? К этому привыкли многие. Не пожрать вредной еды - катастрофа 🍔

ЗЫ. Интересно оценку ущерба посмотреть от простоя.

Пост Лукацкого

20 января 2023 17:40

Ну прекрасное же 🙂 Хакер в стиле Рубенса и греческая статуя хакера, как их видит нейросеть Midjourney...

Пост Лукацкого

20 января 2023 14:02

А вот в этом варианте я ChatGPT уже дал более четкую задачу - написать комикс про CISO, которому гендиректор отказал в бюджете на ИБ. Дальше этот текст загнал в Midjourney и она мне сгенерила два варианта картинок, из которых я выбрал второй, нанеся на него текст, также предложенный ChatGPT.

Пост Лукацкого

20 января 2023 12:01

Ну и чтобы предыдущий пост не был воспринят за правду 🙂 Помимо текста ИИ может генерить и картинки. Я вот, со своим не самым лучшим чувством прекрасного, попробовал рисовать комиксы про ИБ. DALL-E в этом плане мне не очень подошел - там и лица кривые (для защиты от дипфейков) и надо сильно дорабатывать картинку по результатам создания прототипа. Midjourney в этом плане гораздо интереснее. Первая картинка - 4 варианта по написанному ChatGPT тексту (да-да, текст комикса написала ChatGPT без указания тематики; просто ИБ-комикс). Вторая картинка - доработанный вариант Midjourney и потом я просто придуманный ChatGPT текст нанес на рисунок. Все. Комикс готов :-) На все ушло минут 10-15

Пост Лукацкого

20 января 2023 09:15

А в этом примере я задал чуть больше деталей в вопросе и получил более детальное описание. По сути - это уже основа не просто для заметки в блоге, но для статьи на сайте или для курсовой. В США сейчас активно идет "борьба" с ChatGPT в ВУЗах. Одни просто блокируют доступ к ИИ из вузовской сети или используют сторонние сервисы для проверки текстов, сгенерированных ИИ. Другие - разрешают применение ChatGPT, но устанавливают более высокие требования к тексту и проверяют то, какие вопросы задавал студент ИИ (умение формулировать правильные вопросы, часто гораздо важнее, чем умение получать ответы).

Про написание книг с помощью ChatGPT я уже приводил примеры выше. В общем, если отбросить написание или проверку кода с помощью ChatGPT и сфокусироваться только на генерации текстов, этот инструмент позволяет решать многие проблемы. Например, убогие сайты вендоров по ИБ, создание словарей и энциклопедий по ИБ, написание понятных инструкций, популяризация сложных концепций ИБ простым языком и т.п. И все это можно размещать в своих интернет-ресурсах (если нет хороших авторов).

Пост Лукацкого

20 января 2023 08:14

Госорганы США не выполняют рекомендации по кибербезопасности

Счётная палата США (GAO) опубликовала первый из планируемых четырёх докладов о проблемах в области кибербезопасности, на которые должно обратить внимание федеральное правительство.

Утверждается, что из 335 рекомендаций по кибербезопасности, сделанных GAO с 2010 года, по состоянию на конец 2022 года были выполнены только 40%.

Претензии GAO касаются, в частности, национальной киберстратегии: версия документа, принятая при Трампе, не включала цели и задачи, показатели исполнения, информацию о выделяемых ресурсов. Эти недостатки предлагается исправить в новой редакции киберстратегии, над которой работает администрация Байдена (документ должен быть опубликован позднее в этом месяце).

Другой пример (на картинке) — рекомендации по управлению рисками цепочки поставок. Из 23 ведомств ни одно полностью не выполнило все советы GAO.

Пост Лукацкого

19 января 2023 20:33

Когда мы считаем ущерб по произошедшим инцидентам, то там ничего сложного нет. Методология понятна (я про нее даже экспресс-курс делал). Бери, декомпозируй и считай. Ну разве что исходных данных могут не дать, но это отдельная тема. А вот как быть с ущербом будущих периодов? Посчитать его просто так нельзя - от множества параметров зависит и будущий результат. У вас может быть ущерб 3 миллиона, 10 тысяч, 1 миллиард или вообще никаких потерь. И как это просчитать? Как понять, какой из вариантов наиболее вероятен? Тут может помочь метод Монте-Карло. При определенных условиях...

Пост Лукацкого

19 января 2023 16:09

Чаты и каналы Telegram по информационной безопасности 2023: https://zlonov.ru/telegram-security-list-2023/

Пост Лукацкого

23 января 2023 08:50

Когда создаются постеры и иной контент в рамках повышения осведомленности персонала по вопросам ИБ, то можно их реализовывать, опираясь как на особенности самой организации, так и на окружающий мир, текущие события и т.п. В данном случае постеры построены вокруг собачьей темы

Пост Лукацкого

22 января 2023 19:40

Если отбросить в сторону false flag, то видя такие артефакты прям сам напрашивается вывод об атрибуции и кто стоит за Maze :-)

Пост Лукацкого

22 января 2023 16:56

Грядет эпоха degenerative kiddies?..

Пост Лукацкого

22 января 2023 11:10

И Гугл не идеален, как и любая иная поисковая система. Везде может засесть враг

Пост Лукацкого

22 января 2023 07:19

"Утечки не было!". "Она старая!". "И вообще это не у нас!". Никакой фантазии у тех, у кого утекло. Вот как надо реагировать на утечку ;-)

ЗЫ. Если кого-то задевает некоторый сексизм в отдельных шутках и мемасиках... ну, извините. Я тоже не совершенен :-)

Пост Лукацкого

21 января 2023 16:08

Mailchimp снова взломали. Второй раз за полгода. Кто пользуется их рассылками стоит задуматься о смене паролей и вообще…

Пост Лукацкого

21 января 2023 09:35

Вот и «чисто» ИБ-компании стали сокращать персонал. Sophos сокращает 10%

Пост Лукацкого

20 января 2023 20:11

Ну и финалочка на сегодня про ChatGPT (наверное, если больше ничего в голову не придет). Попросил ее написать мне стихи про кибербезопасность. Вот тут вылезла слабость ИИ при работе с русским языком. На английском стихотворение вполне рифмованное, чего не скажешь о русском тексте.

Пост Лукацкого

20 января 2023 16:15

Если помучаться, то Midjourney может нарисовать картинки в любом стиле - от Рубенса до Пикассо и от Disney до Pixar. Ну а чтобы сделать из прототипа картинку, нужно уже некоторое знание графических редакторов, чтобы нанести нужный текст в правильное место. Предыдущие картинки я "рисовал" без каких-либо редакторов, но вот на текущих без них уже не обойтись. Поэтому просто показываю вариант на текст ChatGPT, что CISO отказали в бюджете на ИБ.

Пост Лукацкого

20 января 2023 12:44

Агентство CISA обновило свое руководство "Best Practices for MITRE ATT&CK® Mapping", которое должно помочь специалистам правильно "разложить" кибератаки на тактики, техники и процедуры из матрицы MITRE ATT&CK.
В новой редакции учли изменения самой матрицы, добавили таблицу с распространенными аналитическими ошибками и погрешностями, а также сформулировали рекомендации по "маппингу" для систем управления производственными процессами.

Пост Лукацкого

20 января 2023 09:55

Кстати, идея для авторов телеграм-каналов 👨‍💻 - не знаешь, что писать или пропало вдохновение✍️, привлеки ChatGPT. Задай ей вопрос и опубликуй ответ. Так можно прожить достаточно долго 👋 Да, я сам так сегодня сделал 😂

Пост Лукацкого

20 января 2023 09:11

Регулярно прилетают какие-то идеи и я их тестирую на ChatGPT. Вот, например, попросил ИИ написать для меня заметку в блог про метрики ИБ, интересные для гендиректора. Получился вот такой текст (я его вообще не менял, не причесывал, не корректировал):

Кибербезопасность является ключевым фактором для любой компании, и генеральный директор должен быть в курсе о том, как защищены ИТ-активы компании. Для отслеживания кибербезопасности необходимо определить несколько ключевых метрик:
1️⃣ Количество и тип кибератак: Отслеживание количества и типов кибератак, которые направлены на компанию, позволяет оценить уровень уязвимости и сделать необходимые меры по защите.
2️⃣ Рейтинг безопасности: Оценка рейтинга безопасности компании по сравнению с другими компаниями в отрасли позволяет оценить уровень защиты и сделать необходимые меры для улучшения.
3️⃣ Процент защищенности: Отслеживание процента защищенности ИТ-активов компании позволяет оценить насколько изменяется состояние защиты и определить необходимые меры для улучшения.
4️⃣ Время восстановления после инцидента: Отслеживание времени, необходимого для восстановления после инцидента, позволяет оценить эффективность плана действий по восстановлению и сделать необходимые меры для улучшения.

Генеральный директор должен регулярно отслеживать эти метрики и делать необходимые меры для улучшения кибербезопасности компании. Это поможет держать руку на пульсе о том, как защищены ИТ-активы компании и минимизировать риски потери данных или других убытков.

Очевидно, что если улучшить и детализировать сам вопрос, то и текст получится менее абстрактным.

Пост Лукацкого

20 января 2023 05:40

Я завершил серию заметок, рассказывающих о том, как иностранные CISO ходят к своему руководству и как доносят до него непростую тему кибербеза. Вот что вошло в эту серию:
1️⃣ С чем CISO ходят к своему руководству? 8 примеров
2️⃣ С чем CISO ходят к своему руководству? Разговор о рисках, угрозах и недопустимых событиях
3️⃣ С чем CISO ходят к своему руководству? Демонстрация зрелости ИБ
4️⃣ С чем CISO ходят к своему руководству? Критические инциденты
5️⃣ С чем CISO ходят к своему руководству? Инициативы по ИБ
6️⃣ С чем CISO ходят к своему руководству? Метрики ИБ

Пост Лукацкого

19 января 2023 17:40

В отчете Всемирного экономического форума есть и другие интересные выводы:
1️⃣ характер киберугроз меняется и на первый план выходит нарушение бизнес-процессов и ущерб репутации (это два основных опасения всех респондентов)
2️⃣ геополитическая нестабильности помогла уменьшить разрыв в восприятии ИБ у CISO и топ-менеджмента, которые ожидают катастрофических киберсобытий в ближайшие пару лет. 43% руководителей считают, что киберугрозы приведут к материальному ущербу, а не просто финансовым или репутационным потерям. Это приведет к большему выделению денег на повседневную ИБ (SecOps), чем на долгосрочные инвестиции в ИБ
3️⃣ Защита данных и геополитика приводит к балканизации (фрагментации), что приводит к изменению принимаемых решений касательно инвестиций в ИБ-решения и в то, как управляется бизнес
4️⃣ Руководство компаний понимает, что их безопасность зависит от ИБ на всем протяжении бизнес-процесса, включая и всю цепочку поставок
5️⃣ Бизнес и ИБ стали чаще встречаться. 56% CISO говорят, что встречи проходят ежемесячно.
🔤 Ну и до кучи рекомендации о том, что ИБ и бизнесу надо говорить на одном языке, метрики помогают наладить коммуникации, людей не хватает и т.п.

Пост Лукацкого

19 января 2023 15:29

Это, конечно, занимательная иллюстрация. Руководителей бизнеса и ИБ спросили, насколько они чувствуют свои организации устойчивыми в цифровой сфере. У топ-менеджмента уверенность в своей киберустойчивости пошатнулась за прошедший год. А вот у ИБшников она наоборот выросла.