"Черная пятница", чемпионат мира по футболу, Рождество и Новый год, 23 февраля и 8 марта... А для каких дат еще можно предсказывать рост атак? А ведь есть неявные даты, в которые могут также происходить атаки; причем как против кого-то (напомнить), так и кем-то (отпраздновать). Про это в блоге
Читать полностью…Классическая уловка продавцов страха от ИБ - предложить бесплатную white paper, в которой, по словам авторов, раскрыты тайны ИБ, которые раз и навсегда решат проблемы всех ИБшников мира. И получить эту бесплатную white paper можно только после регистрации на сайте вендора и заполнения полутора десятков полей анкеты. А через день (для нетерпеливых продавцов) или три дня (для чуть более опытных) вам напишет (а то и позвонит) представитель вендора и спросит, не нужно ли что-то пояснить в той white paper, которую вы скачали.
Это настолько набившая оскомину уловка, что на нее уже мало кто попадается, специально заводя для таких случаев отдельный ящик e-mail. Лично у меня для этого на домене lukatsky.ru (свой домен, кстати, позволяет обходить систему защиты маркетинга, который отсекает пользователей с бесплатных почтовиков) создан специальный ящик, на который и сыпется весь такой спам. Я его редко читаю; только если туда прилетает интересующий меня документ (хотя они редко оправдывают даже время, затрачиваемое на заполнение формы-анкеты; поэтому автозаполнение в браузерах рулит).
Аналогичная ситуация и с обычными ИБшниками; тем более с руководителями ИБ, которым сыпется много всякой дерьма по e-mail. Поэтому для продавцов ИБ у меня совет - не пользуйтесь такими уловками - они не дают того эффекта, на который вы рассчитываете. И если CISO все-таки заполнил вашу форму, а вы стали его спамить, то вы не приблизились к нему (к чему вы и стремились), а только отдалили его от себя и своей компании и ее продуктов. Для ИБшников же у меня иной, очевидный, совет - заведите себе отдельный почтовый ящик для бессмысленных внешних коммуникаций и используйте его. Тем самым вы сохраните свое время и нервы.
Американские ИБшники массово создают аккаунты в Mastodon и делают архивы своих лент Твиттера. У них свой план Б на случай, если Маск не сдюжит и исход его разработчиков продолжится, приведя соцсеть к краху 😈
ЗЫ. Я тоже сделал; заодно и копию всех постов в Телеграме ;-)
ФинЦЕРТ, в рамках финансовой грамотности, раньше такие кроссворды делал. Да и вообще, много делал. #nosocforum
Читать полностью…За совершение преступлений в сфере компьютерной информации предлагают наказывать конфискацией имущества
К числу таких относятся:
🔹неправомерный доступ к компьютерной информации,
🔹создание, использование и распространение вредоносных компьютерных программ,
🔹неправомерное воздействие на критическую информационную инфраструктуру РФ,
🔹нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей.
Для повышения эффективности мер по противодействию таким преступлениям предлагается внести изменения в пункт «а» части 1 статьи 104-1 Уголовный кодекс РФ и дополнить его статьями 272-274, которые позволят конфисковать имущество за киберпреступления.
Соответствующие поправки в УК РФ разработали председатель Комитета СФ по конституционному законодательству и государственному строительству Андрей Клишас и депутаты.
По словам сенатора, данные МВД за прошлый год показали, что каждое четвёртое преступление было совершено с использованием информационно-коммуникационных технологий или в сфере компьютерной информации. При этом в большинстве таких правонарушений использовались сеть «Интернет», средства мобильной связи, компьютерная техника и программные средстве.
@sovfedofficial
Место отдельным SecOps-решениям, конечно, останется, но чем более зрелым будет заказчик, тем больше шансов, что он выберет консолидированную платформу, а не разрозненный стек продуктов. #nosocforum
Читать полностью…Как-то тема оценки защищенности неожиданно хорошо выстрелила за последнюю пару недель, что я решил ей уделить отдельную заметку в блоге. Набралось дофига новостей по этому направлению - это и 4 методики ФСТЭК, и парочка документов ФСБ, и методика американской CISA, и с десяток проектов ГОСТов по оценке защищенности, и еще кое-что. Обо всем этом и решил написать. В конце концов, это тоже часть #nosocforum
Читать полностью…В чем отличие должности директора по информационной безопасности в России и в мире
🙇 В большинстве российских компаний, особенно небольших, специалист по ИБ выполняет организационные функции в рамках своей деятельности и практически никогда не выходит на уровень коллегиального органа (совета директоров, правления и других управленческих структур) и не участвует в принятии стратегических решений, необходимых для развития бизнеса.
🤵 На Западе начальник службы ИБ может участвовать в совещаниях по инвестициям наравне с финансовым, операционным директором и другими руководителями, хотя он и оценивает проекты с точки зрения ИБ. Чаще всего он не входит в структуру IT-департамента, а подчиняется непосредственно генеральному, операционному или финансовому директору.
Чем различается восприятие должности CISO в России и в остальном мире? Что отличает CISO от других руководителей в сфере ИБ? Какие риски связаны с активной публичной деятельностью CISO?
Об этом порталу Cyber Media рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.
#PositiveЭксперты
А вы, занимаясь ИБ, покупали уже акции какой-либо компании по ИБ или целого фонда? Насколько вы верите в сам рынок, что он будет расти? Если верите, то почему не прикупить акций (даже немного)? Если не верите, то почему продолжаете работать в ИБ?
Я раньше как-то не особо задумывался об этом способе заработка. Ну были у меня акции Cisco; ну так их мне работодатель выдавал. Потом я прикупил акций одного из фондов, включающих акции многих зарубежных ИБ-компаний. Потом прикупил акций Positive Technologies (еще до выхода к ним на работу и даже до 24 февраля).
Я могу ошибаться, но все-таки считаю, что это некий маркер того, насколько зрелый рынок ИБ. Не с точки зрения самих вендоров (тут у нас всего пока один только Positive), а с точки зрения ИБшников.
ЗЫ. Хотя из Москвы легко рассуждать о том, куда потратить деньги 💰 Но с другой стороны, надо же верить в лучшее ;-)
ФСТЭК в этом году прям достойно выступила на SOC Forum. Виталий Сергеевич Лютиков презентовал ключевые нормативные изменения по ведомству (ниже на фото), а Елена Борисовна Торбенко в своем докладе рассказала о практических рекомендациях по защите объектов КИИ, включая и отражение атак supply chain и многое другое. Кто-то смотрит на нормативку регулятора буквально и требует пояснений и согласования на каждый чих, а кто-то превращает нормативку в результативную ИБ. Каждый видит в приказах ФСТЭК что-то свое 🤔
Читать полностью…standoff запущен позитивом
и для страны и за рубеж
и для души да и во благо
себе ж
22-24 ноября буду участвовать в онлайн-программе The Standoff, сразу в пяти мероприятиях:
📌 Кибератаки на российские компании. Опыт 2022 года
📌 Подведение итогов киберучений на инфрастуктуре Рositive Тechnologies. Запуск программы bug bounty на 1 млн.долларов
📌 Может ли bug bounty стать гарантией киберустойчивости бизнеса?
📌 Влияние кибератак на котировки акций публичных компаний
📌 Мемы в ИБ: можно ли говорить об информационной безопасности картинками
Где-то буду простым участником, где-то буду модерировать более опытных коллег, где-то буду отвечать на вопросы ведущего. Зарегистрироваться можно на сайте мероприятия.
❗️Якутская лаборатория судебной экспертизы (входит в структуру Минюста РФ) заказала софт для взлома и изучения содержимого смартфонов, планируемая цена закупки превышает 730 тыс. рублей. Помимо нашумевшего защищённого мессенджера ViPole, впервые в списках интересующих облачных сервисов для «извлечения и импорта данных» обнаружилось эротическое приложение Onlyfans, заметил O!News.
Экспертизы средств связи подобные учреждения Минюста проводят в основном в рамках уголовных дел – по запросам следователей и спецслужб. Чаще всего используется программный комплекс под названием «Мобильный криминалист» от российской фирмы Oxygen Software, которая недавно провела ребрендинг и стала «МКО Системы». По-видимому, компания включила в портфель услуг Onlyfans.
Сервис платных интим-видео Onlyfans до этого не встречался в программных требованиях российских судебных экспертов, но появление в закупке говорит о том, что интимная отрасль окажется под более значительным контролем силовиков. В 2020–2021 годах в Красноярске, Череповце и Петербурге проводились рейды на вебкам-студии, на организаторов заводили уголовные дела о незаконном изготовлении и обороте порнографических материалов.
Подписаться на O!News
На прошедшей на днях в США CyberwarCon активно рассказывали о различных атаках и кампаниях (почему-то часто упоминалась Россия), представляли результаты исследований и т.п. Среди прочих, эксперты признанной экстремистской и запрещенной в России META представили свое видение цепочки атак в онлайн-пространстве (online operations kill chain), которая состоит из 10 этапов:
📌 Покупка активов для проведения дальнейших атак (хостинг, e-mail, IP, аккаунты и т.п.)
📌 Маскировка купленных активов под легальные
📌 Сбор информации о среде, в которой будет проводиться операция
📌 Координация и планирование работы купленных активов
📌 Тестирование/проверка защиты
📌 Обход обнаружения
📌 Массовые, нецелевые атаки ("по площадям")
📌 Выбор целевой жертвы
📌 Компрометации активов
📌 Скрытие активности.
#nosocforum
АНБ и CISA выпустили третью версию руководства по защите от атак на цепочку поставок в ПО
Читать полностью…CISA потребовала в начале года от всех американских госов пропатчить Log4Shell, но многие забили болт и иранские хакеры этим воспользовались.
Госорганы везде одинаковы - кладут болт на требования своих регуляторов ;-)
В истории взлома ГКРЧ есть три занятные линии. Во-первых, организация заявляет, что взлом был контролируемый и специалисты организации специально дали хакерам Союзного государства возможность делать свое черное дело, чтобы изучить их техники и тактики. Прям не ГКРЧ, а honepot масштаба организации какой-то. Это прям новация в ответах для СМИ.
Во-вторых, в утекших данных имеются персональные данные, которые неправомерно были переданы за пределы оператора ПДн, а следовательно ГКРЧ должен был в течение суток уведомить РКН об инциденте, а в течение 3-х - прислать результаты внутреннего расследования. Интересно, они это сделали? Как писал РКН в отношении произошедшей на днях утечке из Whoosh, "Согласно изменениям в законодательстве о защите персональных данных с 1 сентября 2022 года оператор, допустивший утечку, в течение суток обязан уведомить об этом Роскомнадзор. По состоянию на 18:00 14 ноября 2022 года от владельца сервиса Whoosh такое уведомление в Роскомнадзор не поступило. Указанное обстоятельство будет учтено при проведении проверки". Интересно, как отреагирует РКН на этот раз?
Ну а в третьих, ГКРЧ заявляет, что доступа к закрытой информации хакеры не получили. А ПДн своих работников они к какой информации относят? К общедоступной? А информация о средствах защиты, установленных для сотрудников паролях и т.п. не относится к информации указанной в упомянутом вчера приказе ФСБ №547?
Актер Рейн Уилсон (Rainn Wilson) сменил фамилию на Стена Дождя Волна Тепла Экстремальная Зима Уилсон (Rainnfall Heat Wave Extreme Winter Wilson), чтобы привлечь внимание к проблеме изменения климата.
Если бы смена фамилии не сопровождалась кучей головняка по смене всех правообладающих документов (от паспорта и водительского до свидетельства о браке и права собственности на квартиру), то я бы поменял фамилию на Алексей Против Голимой Рекламы И Скучного Гундежа На Конференциях По ИБ Лукацкий. Но увы ;-(
Если верить "Киберпартизанам", они взломали Роскомнадзоровский ГРЧЦ, потырили немало внутренней информации, утащили переписку работников, пошифровали рабочие станции и, судя по компрометации AD и получению доступа к используемой DLP, еще и получили учетку админа ГРЧЦ 🧑💻 И судя по скринам, я вполне допускаю, что это не фейк, как уже бывало раньше со стороны других хакерских группировок, и это не "опубликованная ранее в Интернет публичная информация".
Как говорится, 100% ИБ не бывает, но лишний раз демонстрируется, что и на старуху бывает проруха 🤷♂️
Возвращаясь к трехдневной давности посту о прогнозе Gartner о слиянии разных SecOps-решений в рамках SIEM. Они даже приводят цифры - 75% вендоров SIEM будут предлагать клиентом консолидированные решение SIEM+IRP+SOAR+TIP. Интересный прогноз. Раньше считалось, что решения должны быть все-таки разные. Видимо, нехватка кадров и требования по оперативному реагированию сместили акценты. #nosocforum
Читать полностью…4 ноября этого года ФСБ выпустила приказ №547 "Об утверждении перечня сведений в области военной, военно-технической деятельности, которые, при их получении иностранным источниками могут быть использованы против безопасности РФ".
Интересно в этом приказе то, что его существенно расширили и теперь стоит внимательно относиться к тому, что говорить или писать в иностранных СМИ, на зарубежных мероприятиях, коллегам с двойным или просто одним, но нероссийским гражданством. Во избежание так сказать... В перечень внесены следующие сведения в области ИБ:
📌 сведения о действительных наименованиях, дислокации и персональные данные сотрудников, включая их контактную информацию, подразделений ФСБ (это теперь нельзя про 8ку ничего писать, а их контакты удалить с телефона, который синхронизируется и бэкапится в зарубежном облаке?)
📌 сведения об использовании криптографической защиты, квантовых технологий и искусственного интеллекта при разработке вооружений, военной и спецтехники
📌 сведения о центрах ГосСОПКИ и инцидентах в рамках ОПК
📌 сведения о закупке СрЗИ для нужд ОПК
📌 сведения о составе и организации работы ГИС и ОКИИ (включая незначимые), их ЦОДах, исходниках ПО, ТЗ, моделях угроз, паролях, настройках СрЗИ, результатах анализа защищенности и реагирования на инциденты
📌 сведения об обеспечении ИБ в области космической деятельности.
Вообще 31-й пункт перечня (про КИИ) меня смутил и напряг. Это что, теперь нельзя публиковать данные с обобщенными результатами пентестов (типа таких)? А на конференциях типа "Магнитки" нельзя делиться лучшими практиками и опытом защиты финансовых организаций? А на GitHub нельзя держать open source утилиты, которые применяются для пентестов ОКИИ? Много вопросов... 🤔
На фото рассекреченные плакаты Агентства национальной безопасности. Вы видите на них что-то секретное? 🤷♂️ Неужели фраза "take a positive approach to security" 😊 Мне кажется мы еще "наедимся" последствий бездумного засекречивания 🧐
Сегодня я решил описать тему другого своего несостоявшегося доклада, посвященного тоже SOCам с финансовой точки зрения. На этот раз речь идет о возможных моделях ценообразования и лицензирования центров мониторинга, тарификации и т.п.
Читать полностью…Обратите внимание вот на этот слайд - это проект документа ФСТЭК с требованиями к NGFW, о котором я писал на прошлой неделе
Читать полностью…⚡️ Standoff пройдет уже в ноябре
Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.
Что будет
📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.
📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.
📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса.
📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.
Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com
👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!
Государство достаточно активно занялось вопросом ИБ, выпускает кучу нормативки и методичек, но все это должно, как мне кажется, сопровождаться оценкой общего уровня защищенности, чтобы понять, насколько мы все движемся в правильном направлении.
Можно попробовать измерить общий индекс ИБ страны, но он ничего не говорит о том, что конкретно надо улучшать. Можно попробовать задействовать метрики ИБ. Вот так, например, в Новой Зеландии оценивают уровень цифровой устойчивости отраслей (называется Cyber Resiliense Barometer). По сути своей, они просто взяли NIST Cyber Security Framework и заставили попросили компании ежеквартально его заполнять, проставляя против каждого блока защитных мер значение по пятибалльной шкале.
Компании могут делать тоже самое и сделать это даже частью своего SOC, который помимо всего прочего будет иметь в своем сервисном каталоге и услугу по оценке состояния защищенности организации.
Надо будет посмотреть, что ФСТЭК придумала в своей методике, о которой я писал вчера, и насколько получаемые в ней уровни зрелости могут быть выведены на уровень отрасли или страны.
#nosocforum
Руководство по принятию решений в части борьбы с шифровальщиками. Делится на три части - подготовка к борьбе с ransomware, процесс реагирования на активность шифровальщика и восстановление от последствий.
Интересно, что руководство не говорит вам, не платите вымогателям. Оно подводит вас к правильному решению в зависимости от того, как вы ответили на предыдущие вопросы. И это будет решение взвешенное с разных точек зрения и с учетом интересов бизнеса, а не вот это вот «не платить ни при каких условиях и пусть бизнес в следующий раз думает, когда урезает бюджет на ИБ».
#nosocforum
Если вдруг вы хотите оценить свою готовность к реагированию на инциденту, то есть неплохой инструмент для этого, разработанный по заказу шотландского правительства на базе двух стандартов по управлению инцидентами - ISO 27035 (две части) и NIST SP800-61.
Этот опросник / калькулятор, конечно, не заменит вам плана реагирования на инциденты, но может подсветить ваши слабые места в этом процессе.
#nosocforum