Пост Лукацкого

21 ноября 2022 08:29

Однако, новости. Росатом рассматривает возможность покупки "Кода безопасности" 🤔

Пост Лукацкого

21 ноября 2022 05:02

"Черная пятница", чемпионат мира по футболу, Рождество и Новый год, 23 февраля и 8 марта... А для каких дат еще можно предсказывать рост атак? А ведь есть неявные даты, в которые могут также происходить атаки; причем как против кого-то (напомнить), так и кем-то (отпраздновать). Про это в блоге

Пост Лукацкого

20 ноября 2022 10:21

Классическая уловка продавцов страха от ИБ - предложить бесплатную white paper, в которой, по словам авторов, раскрыты тайны ИБ, которые раз и навсегда решат проблемы всех ИБшников мира. И получить эту бесплатную white paper можно только после регистрации на сайте вендора и заполнения полутора десятков полей анкеты. А через день (для нетерпеливых продавцов) или три дня (для чуть более опытных) вам напишет (а то и позвонит) представитель вендора и спросит, не нужно ли что-то пояснить в той white paper, которую вы скачали.

Это настолько набившая оскомину уловка, что на нее уже мало кто попадается, специально заводя для таких случаев отдельный ящик e-mail. Лично у меня для этого на домене lukatsky.ru (свой домен, кстати, позволяет обходить систему защиты маркетинга, который отсекает пользователей с бесплатных почтовиков) создан специальный ящик, на который и сыпется весь такой спам. Я его редко читаю; только если туда прилетает интересующий меня документ (хотя они редко оправдывают даже время, затрачиваемое на заполнение формы-анкеты; поэтому автозаполнение в браузерах рулит).

Аналогичная ситуация и с обычными ИБшниками; тем более с руководителями ИБ, которым сыпется много всякой дерьма по e-mail. Поэтому для продавцов ИБ у меня совет - не пользуйтесь такими уловками - они не дают того эффекта, на который вы рассчитываете. И если CISO все-таки заполнил вашу форму, а вы стали его спамить, то вы не приблизились к нему (к чему вы и стремились), а только отдалили его от себя и своей компании и ее продуктов. Для ИБшников же у меня иной, очевидный, совет - заведите себе отдельный почтовый ящик для бессмысленных внешних коммуникаций и используйте его. Тем самым вы сохраните свое время и нервы.

Пост Лукацкого

19 ноября 2022 19:50

Американские ИБшники массово создают аккаунты в Mastodon и делают архивы своих лент Твиттера. У них свой план Б на случай, если Маск не сдюжит и исход его разработчиков продолжится, приведя соцсеть к краху 😈

ЗЫ. Я тоже сделал; заодно и копию всех постов в Телеграме ;-)

Пост Лукацкого

19 ноября 2022 11:59

InfoSec Black Friday Deals ~ "Hack Friday" 2022 Edition

Пост Лукацкого

18 ноября 2022 21:32

ФинЦЕРТ, в рамках финансовой грамотности, раньше такие кроссворды делал. Да и вообще, много делал. #nosocforum

Пост Лукацкого

18 ноября 2022 16:08

За совершение преступлений в сфере компьютерной информации предлагают наказывать конфискацией имущества

К числу таких относятся:
🔹неправомерный доступ к компьютерной информации,
🔹создание, использование и распространение вредоносных компьютерных программ,
🔹неправомерное воздействие на критическую информационную инфраструктуру РФ,
🔹нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей.

Для повышения эффективности мер по противодействию таким преступлениям предлагается внести изменения в пункт «а» части 1 статьи 104-1 Уголовный кодекс РФ и дополнить его статьями 272-274, которые позволят конфисковать имущество за киберпреступления.

Соответствующие поправки в УК РФ разработали председатель Комитета СФ по конституционному законодательству и государственному строительству Андрей Клишас и депутаты.

По словам сенатора, данные МВД за прошлый год показали, что каждое четвёртое преступление было совершено с использованием информационно-коммуникационных технологий или в сфере компьютерной информации. При этом в большинстве таких правонарушений использовались сеть «Интернет», средства мобильной связи, компьютерная техника и программные средстве.

@sovfedofficial

Пост Лукацкого

18 ноября 2022 15:47

Место отдельным SecOps-решениям, конечно, останется, но чем более зрелым будет заказчик, тем больше шансов, что он выберет консолидированную платформу, а не разрозненный стек продуктов. #nosocforum

Пост Лукацкого

18 ноября 2022 08:59

Как-то тема оценки защищенности неожиданно хорошо выстрелила за последнюю пару недель, что я решил ей уделить отдельную заметку в блоге. Набралось дофига новостей по этому направлению - это и 4 методики ФСТЭК, и парочка документов ФСБ, и методика американской CISA, и с десяток проектов ГОСТов по оценке защищенности, и еще кое-что. Обо всем этом и решил написать. В конце концов, это тоже часть #nosocforum

Пост Лукацкого

17 ноября 2022 23:24

В чем отличие должности директора по информационной безопасности в России и в мире

🙇 В большинстве российских компаний, особенно небольших, специалист по ИБ выполняет организационные функции в рамках своей деятельности и практически никогда не выходит на уровень коллегиального органа (совета директоров, правления и других управленческих структур) и не участвует в принятии стратегических решений, необходимых для развития бизнеса.

🤵 На Западе начальник службы ИБ может участвовать в совещаниях по инвестициям наравне с финансовым, операционным директором и другими руководителями, хотя он и оценивает проекты с точки зрения ИБ. Чаще всего он не входит в структуру IT-департамента, а подчиняется непосредственно генеральному, операционному или финансовому директору.

Чем различается восприятие должности CISO в России и в остальном мире? Что отличает CISO от других руководителей в сфере ИБ? Какие риски связаны с активной публичной деятельностью CISO?

Об этом порталу Cyber Media рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

#PositiveЭксперты

Пост Лукацкого

17 ноября 2022 05:40

А вы, занимаясь ИБ, покупали уже акции какой-либо компании по ИБ или целого фонда? Насколько вы верите в сам рынок, что он будет расти? Если верите, то почему не прикупить акций (даже немного)? Если не верите, то почему продолжаете работать в ИБ?

Я раньше как-то не особо задумывался об этом способе заработка. Ну были у меня акции Cisco; ну так их мне работодатель выдавал. Потом я прикупил акций одного из фондов, включающих акции многих зарубежных ИБ-компаний. Потом прикупил акций Positive Technologies (еще до выхода к ним на работу и даже до 24 февраля).

Я могу ошибаться, но все-таки считаю, что это некий маркер того, насколько зрелый рынок ИБ. Не с точки зрения самих вендоров (тут у нас всего пока один только Positive), а с точки зрения ИБшников.

ЗЫ. Хотя из Москвы легко рассуждать о том, куда потратить деньги 💰 Но с другой стороны, надо же верить в лучшее ;-)

Пост Лукацкого

16 ноября 2022 22:45

ФСТЭК в этом году прям достойно выступила на SOC Forum. Виталий Сергеевич Лютиков презентовал ключевые нормативные изменения по ведомству (ниже на фото), а Елена Борисовна Торбенко в своем докладе рассказала о практических рекомендациях по защите объектов КИИ, включая и отражение атак supply chain и многое другое. Кто-то смотрит на нормативку регулятора буквально и требует пояснений и согласования на каждый чих, а кто-то превращает нормативку в результативную ИБ. Каждый видит в приказах ФСТЭК что-то свое 🤔

Пост Лукацкого

16 ноября 2022 20:36

standoff запущен позитивом
и для страны и за рубеж
и для души да и во благо
себе ж

22-24 ноября буду участвовать в онлайн-программе The Standoff, сразу в пяти мероприятиях:
📌 Кибератаки на российские компании. Опыт 2022 года
📌 Подведение итогов киберучений на инфрастуктуре Рositive Тechnologies. Запуск программы bug bounty на 1 млн.долларов
📌 Может ли bug bounty стать гарантией киберустойчивости бизнеса?
📌 Влияние кибератак на котировки акций публичных компаний
📌 Мемы в ИБ: можно ли говорить об информационной безопасности картинками

Где-то буду простым участником, где-то буду модерировать более опытных коллег, где-то буду отвечать на вопросы ведущего. Зарегистрироваться можно на сайте мероприятия.

Пост Лукацкого

16 ноября 2022 16:10

❗️Якутская лаборатория судебной экспертизы (входит в структуру Минюста РФ) заказала софт для взлома и изучения содержимого смартфонов, планируемая цена закупки превышает 730 тыс. рублей. Помимо нашумевшего защищённого мессенджера ViPole, впервые в списках интересующих облачных сервисов для «извлечения и импорта данных» обнаружилось эротическое приложение Onlyfans, заметил O!News.

Экспертизы средств связи подобные учреждения Минюста проводят в основном в рамках уголовных дел – по запросам следователей и спецслужб. Чаще всего используется программный комплекс под названием «Мобильный криминалист» от российской фирмы Oxygen Software, которая недавно провела ребрендинг и стала «МКО Системы». По-видимому, компания включила в портфель услуг Onlyfans.

Сервис платных интим-видео Onlyfans до этого не встречался в программных требованиях российских судебных экспертов, но появление в закупке говорит о том, что интимная отрасль окажется под более значительным контролем силовиков. В 2020–2021 годах в Красноярске, Череповце и Петербурге проводились рейды на вебкам-студии, на организаторов заводили уголовные дела о незаконном изготовлении и обороте порнографических материалов.

Подписаться на O!News

Пост Лукацкого

16 ноября 2022 13:02

На прошедшей на днях в США CyberwarCon активно рассказывали о различных атаках и кампаниях (почему-то часто упоминалась Россия), представляли результаты исследований и т.п. Среди прочих, эксперты признанной экстремистской и запрещенной в России META представили свое видение цепочки атак в онлайн-пространстве (online operations kill chain), которая состоит из 10 этапов:
📌 Покупка активов для проведения дальнейших атак (хостинг, e-mail, IP, аккаунты и т.п.)
📌 Маскировка купленных активов под легальные
📌 Сбор информации о среде, в которой будет проводиться операция
📌 Координация и планирование работы купленных активов
📌 Тестирование/проверка защиты
📌 Обход обнаружения
📌 Массовые, нецелевые атаки ("по площадям")
📌 Выбор целевой жертвы
📌 Компрометации активов
📌 Скрытие активности.

#nosocforum

Пост Лукацкого

21 ноября 2022 08:20

Хакеры троллят Роскомнадзор и ГРЧЦ ;-)

Пост Лукацкого

20 ноября 2022 16:39

АНБ и CISA выпустили третью версию руководства по защите от атак на цепочку поставок в ПО

Пост Лукацкого

20 ноября 2022 05:40

200 вопросов на собеседовании на разные роли ИБшника за границей

Пост Лукацкого

19 ноября 2022 15:34

CISA потребовала в начале года от всех американских госов пропатчить Log4Shell, но многие забили болт и иранские хакеры этим воспользовались.

Госорганы везде одинаковы - кладут болт на требования своих регуляторов ;-)

Пост Лукацкого

19 ноября 2022 07:40

В истории взлома ГКРЧ есть три занятные линии. Во-первых, организация заявляет, что взлом был контролируемый и специалисты организации специально дали хакерам Союзного государства возможность делать свое черное дело, чтобы изучить их техники и тактики. Прям не ГКРЧ, а honepot масштаба организации какой-то. Это прям новация в ответах для СМИ.

Во-вторых, в утекших данных имеются персональные данные, которые неправомерно были переданы за пределы оператора ПДн, а следовательно ГКРЧ должен был в течение суток уведомить РКН об инциденте, а в течение 3-х - прислать результаты внутреннего расследования. Интересно, они это сделали? Как писал РКН в отношении произошедшей на днях утечке из Whoosh, "Согласно изменениям в законодательстве о защите персональных данных с 1 сентября 2022 года оператор, допустивший утечку, в течение суток обязан уведомить об этом Роскомнадзор. По состоянию на 18:00 14 ноября 2022 года от владельца сервиса Whoosh такое уведомление в Роскомнадзор не поступило. Указанное обстоятельство будет учтено при проведении проверки". Интересно, как отреагирует РКН на этот раз?

Ну а в третьих, ГКРЧ заявляет, что доступа к закрытой информации хакеры не получили. А ПДн своих работников они к какой информации относят? К общедоступной? А информация о средствах защиты, установленных для сотрудников паролях и т.п. не относится к информации указанной в упомянутом вчера приказе ФСБ №547?

Пост Лукацкого

18 ноября 2022 19:07

Актер Рейн Уилсон (Rainn Wilson) сменил фамилию на Стена Дождя Волна Тепла Экстремальная Зима Уилсон (Rainnfall Heat Wave Extreme Winter Wilson), чтобы привлечь внимание к проблеме изменения климата.

Если бы смена фамилии не сопровождалась кучей головняка по смене всех правообладающих документов (от паспорта и водительского до свидетельства о браке и права собственности на квартиру), то я бы поменял фамилию на Алексей Против Голимой Рекламы И Скучного Гундежа На Конференциях По ИБ Лукацкий. Но увы ;-(

Пост Лукацкого

18 ноября 2022 16:03

Если верить "Киберпартизанам", они взломали Роскомнадзоровский ГРЧЦ, потырили немало внутренней информации, утащили переписку работников, пошифровали рабочие станции и, судя по компрометации AD и получению доступа к используемой DLP, еще и получили учетку админа ГРЧЦ 🧑‍💻 И судя по скринам, я вполне допускаю, что это не фейк, как уже бывало раньше со стороны других хакерских группировок, и это не "опубликованная ранее в Интернет публичная информация".

Как говорится, 100% ИБ не бывает, но лишний раз демонстрируется, что и на старуху бывает проруха 🤷‍♂️

Пост Лукацкого

18 ноября 2022 12:25

Возвращаясь к трехдневной давности посту о прогнозе Gartner о слиянии разных SecOps-решений в рамках SIEM. Они даже приводят цифры - 75% вендоров SIEM будут предлагать клиентом консолидированные решение SIEM+IRP+SOAR+TIP. Интересный прогноз. Раньше считалось, что решения должны быть все-таки разные. Видимо, нехватка кадров и требования по оперативному реагированию сместили акценты. #nosocforum

Пост Лукацкого

18 ноября 2022 05:40

4 ноября этого года ФСБ выпустила приказ №547 "Об утверждении перечня сведений в области военной, военно-технической деятельности, которые, при их получении иностранным источниками могут быть использованы против безопасности РФ".

Интересно в этом приказе то, что его существенно расширили и теперь стоит внимательно относиться к тому, что говорить или писать в иностранных СМИ, на зарубежных мероприятиях, коллегам с двойным или просто одним, но нероссийским гражданством. Во избежание так сказать... В перечень внесены следующие сведения в области ИБ:
📌 сведения о действительных наименованиях, дислокации и персональные данные сотрудников, включая их контактную информацию, подразделений ФСБ (это теперь нельзя про 8ку ничего писать, а их контакты удалить с телефона, который синхронизируется и бэкапится в зарубежном облаке?)
📌 сведения об использовании криптографической защиты, квантовых технологий и искусственного интеллекта при разработке вооружений, военной и спецтехники
📌 сведения о центрах ГосСОПКИ и инцидентах в рамках ОПК
📌 сведения о закупке СрЗИ для нужд ОПК
📌 сведения о составе и организации работы ГИС и ОКИИ (включая незначимые), их ЦОДах, исходниках ПО, ТЗ, моделях угроз, паролях, настройках СрЗИ, результатах анализа защищенности и реагирования на инциденты
📌 сведения об обеспечении ИБ в области космической деятельности.

Вообще 31-й пункт перечня (про КИИ) меня смутил и напряг. Это что, теперь нельзя публиковать данные с обобщенными результатами пентестов (типа таких)? А на конференциях типа "Магнитки" нельзя делиться лучшими практиками и опытом защиты финансовых организаций? А на GitHub нельзя держать open source утилиты, которые применяются для пентестов ОКИИ? Много вопросов... 🤔

На фото рассекреченные плакаты Агентства национальной безопасности. Вы видите на них что-то секретное? 🤷‍♂️ Неужели фраза "take a positive approach to security" 😊 Мне кажется мы еще "наедимся" последствий бездумного засекречивания 🧐

Пост Лукацкого

17 ноября 2022 08:32

Сегодня я решил описать тему другого своего несостоявшегося доклада, посвященного тоже SOCам с финансовой точки зрения. На этот раз речь идет о возможных моделях ценообразования и лицензирования центров мониторинга, тарификации и т.п.

Пост Лукацкого

16 ноября 2022 22:53

Обратите внимание вот на этот слайд - это проект документа ФСТЭК с требованиями к NGFW, о котором я писал на прошлой неделе

Пост Лукацкого

16 ноября 2022 20:36

⚡️ Standoff пройдет уже в ноябре

Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.

Что будет 

📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.

📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.

📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса. 

📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.

Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com

👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!

Пост Лукацкого

16 ноября 2022 17:40

Государство достаточно активно занялось вопросом ИБ, выпускает кучу нормативки и методичек, но все это должно, как мне кажется, сопровождаться оценкой общего уровня защищенности, чтобы понять, насколько мы все движемся в правильном направлении.

Можно попробовать измерить общий индекс ИБ страны, но он ничего не говорит о том, что конкретно надо улучшать. Можно попробовать задействовать метрики ИБ. Вот так, например, в Новой Зеландии оценивают уровень цифровой устойчивости отраслей (называется Cyber Resiliense Barometer). По сути своей, они просто взяли NIST Cyber Security Framework и заставили попросили компании ежеквартально его заполнять, проставляя против каждого блока защитных мер значение по пятибалльной шкале.

Компании могут делать тоже самое и сделать это даже частью своего SOC, который помимо всего прочего будет иметь в своем сервисном каталоге и услугу по оценке состояния защищенности организации.

Надо будет посмотреть, что ФСТЭК придумала в своей методике, о которой я писал вчера, и насколько получаемые в ней уровни зрелости могут быть выведены на уровень отрасли или страны.

#nosocforum

Пост Лукацкого

16 ноября 2022 14:32

Руководство по принятию решений в части борьбы с шифровальщиками. Делится на три части - подготовка к борьбе с ransomware, процесс реагирования на активность шифровальщика и восстановление от последствий.

Интересно, что руководство не говорит вам, не платите вымогателям. Оно подводит вас к правильному решению в зависимости от того, как вы ответили на предыдущие вопросы. И это будет решение взвешенное с разных точек зрения и с учетом интересов бизнеса, а не вот это вот «не платить ни при каких условиях и пусть бизнес в следующий раз думает, когда урезает бюджет на ИБ».

#nosocforum

Пост Лукацкого

16 ноября 2022 11:13

Если вдруг вы хотите оценить свою готовность к реагированию на инциденту, то есть неплохой инструмент для этого, разработанный по заказу шотландского правительства на базе двух стандартов по управлению инцидентами - ISO 27035 (две части) и NIST SP800-61.

Этот опросник / калькулятор, конечно, не заменит вам плана реагирования на инциденты, но может подсветить ваши слабые места в этом процессе.

#nosocforum