Пост Лукацкого

13 мая 2023 08:40

Как-то, несколько лет назад, компания Apple захотела купить компанию Corellium, которая занималась ПО, позволяющем запускать iOS на устройствах не-производства Apple и проводить ее анализ с точки зрения ИБ. Предложив "смешные" 23 миллиона долларов, Apple столкнулась с отказом от Corellium, хотевшей больше денег. В итоге Apple подала в суд на малую, но гордую калифорнийскую компанию за нарушение авторских прав. И вот в начале недели независимый американский суд признал, что Apple была не права и ее иск был отклонен.

Пост Лукацкого

12 мая 2023 16:15

В бизнес-треке PHDays будет одна секция, которую я скромно назвал "Утекло? Да и ... с ним!", где мне хотелось бы поговорить с компаниями, которые реально столкнулись с различными инцидентами; не только утечками персональных данных. И знаете, что я вам скажу, это оказалось непростой задачей. Во многих компаниях, в которые мы обращались с предложением выступить и поделиться своим опытом реагирования на инцидент, нам отказали. Во многих случаях это было решение PR 🤷

Хотя, как по мне, если уж он произошел, то почему бы не извлечь пользу и не показать свою открытость перед рынком, рассказать, что случилось, почему, что было предпринято, какие уроки извлечены и т.д. Но нет, часто компанию ограничиваются просто сухим постом в блоге. Возможно с точки зрения PR это и хорошо, но все-таки.

Тем ценнее, что на секции "Утекло? Да и ... с ним!" согласились участвовать компании, которые смогут рассказать, что у них произошло. Не у всех дошло до утечки - но все столкнулись с подозрительными или явно вредоносными действиями в своей инфраструктуре. Где-то это была даже APT. И вот qze1ov-sad-retail-is-story">одна из таких историй, которую мы среди прочего обсудим на секции. Но будут и другие, в том числе и ранее нестановившиеся достоянием публики.

Пост Лукацкого

12 мая 2023 13:08

Ну что, еще одну компанию по кибербезопасности сломали; частично. Не нашу, американскую. Известную в области промышленного кибербеза. Речь идет о Dragos. Скрывать они этот факт не стали и даже попытались извлечь из этого какую-то пользу, правильным образом преподнеся результаты расследования.

Их описание (на русском и английском) мало чем отличается от обычного расследования - исходный вектор (как и в случае с недавним инцидентом у BI.ZОNE атаковали через внешний облачный сервис), временная шкала, техники и тактики, индикаторы компрометации, скрины переписки с вымогателями, извлеченные уроки, рекомендации, контакты для связи. Ну все, что может быть интересно в такого рода кейсах.

Утверждается, что это была "попытка" атаки - злоумышленники не смогли проникнуть в инфраструктуру (а облако к своей почему-то никто не относит). Ну эта песня знакомая - все-таки хочется нивелировать неприятный осадочек от своего взлома; все-таки ИБ-компания как-никак.

В любом случае, несколько выводов я бы сделал из этой истории:
1️⃣ Ломают любую компанию. ИБ и не ИБ. Вопрос стоит не "если", а "когда".
2️⃣ Скрывать такого рода факты бессмысленно - всплывет.
3️⃣ Открытость нивелирует негативные последствия от взлома; в отличие от попытки скрыть всеми правдами и неправдами.

ЗЫ. Из интересного, но объяснимого - расследования Dragos проводит внешняя компания, хотя Dragos и сам имеет такую экспертизу. Думаю это связано с тем, чтобы показать свою непредвзятость в этом деле и показать, что компания ничего не скрывает.

Пост Лукацкого

11 мая 2023 20:13

Когда оружейная компания (Glock) начинает выпускать шторки для веб-камер и продавать их за 7 евро, то это является сигналом перспективности рынка ИБ; как минимум сегмента веб-шторок от подсматривания 😊

Пост Лукацкого

11 мая 2023 13:15

С технологической точки зрения уровень удовлетворенности в ИБ хуже всего от управления активами, автоматизации ИБ (SOAR), предотвращения утечек данных, уничтожения вредоносного ПО на лету и захвата полной копии сетевого траффика. А вот VPNами, SIEMами и мониторингом логов на оконечных устройствах довольны чаще всего.

Интересная статистика с точки зрения приложения сил отечественных вендоров соответствующих классов решений. Да, бездумно копировать Запад конечно не нужно, но посмотреть на часто встречающиеся там проблемы и извлечь из них уроки здесь, вполне себе полезное занятие.

ЗЫ. Но управление активами - это конечно адский ад. Та компания, которая лучше всех реализует эту задачи, озолотится.

Пост Лукацкого

10 мая 2023 19:53

Мечта ИБшника - средство защиты с одной кнопкой «защити меня», а не вот это вот все с тысячами настроек… Само смотрит телеметрию, само коррелирует и выстраивает цепочки атак, само оценивает опасность, само реагирует, само генерит и отправляет отчет об успехе с привязкой к бизнес-целям предприятия (недопустимым событиям). Сказка, а не ИБ. Будет ли когда-нибудь такое?

Помню, в 98-м году, когда мы строили SOC (тогда еще такого-то слова никто не знал) в Нацбанке сопредельного государства, с которым мы сейчас конфликтуем, первая недоSIEM, собирающая и автоматически коррелирующая данные от IDS и сканеров безопасности, выглядела как космос. Сейчас - это уже норма и в некоторых IDS это встроенная фича, не требующая внешнего коррелятора. А SIEM уже умеют коррелировать данные от десятков разных средств защиты и автоматически реагировать на выявленные атаки (при наличии интеграции с SOAR). Так что думаю не за горами тот момент, когда в одном решении будет и SIEM, и SOAR, и сканер уязвимостей, и встроенная CMDB, и ASM, и много чего еще. Осталось чуть-чуть подождать - технологии сейчас развиваются очень быстро.

Пост Лукацкого

10 мая 2023 13:24

Иностранцы написали про новую коалицию русских хакеров... 🤔 Дай, думаю, зайду, посмотрю на "секреты мастерства, различные техники и приемы". Зашел и сразу вышел. Кроме котиков, мемасиков и тому подобной "полезной информации" 😺 там нет ничего. Сразу напомнило "Союз меча и орала" из "12-ти стульев" 😂 А на Западе ведь преподнесут это как нечто ужасное, несущее угрозу западным ценностям и демократии. А там одни 🤡

Пост Лукацкого

09 мая 2023 20:26

Напомнило шутку про крутого и сверхсекретного хакера, который прекратил ломать Пентагон, потому что его мама позвала делать уроки 😊

Пост Лукацкого

09 мая 2023 16:21

В Европе сегодня запускают новый центр компетенций по ИБ. Европейский. В довесок к центру компетенций НАТО (CCDCOE). Новый будет в Бухаресте, «старый» размещен в Таллине. Европа, как мне кажется, начинает отходить от своего «старшего брата» и хочет выстраивать свою политику, не только внешнюю и военную, но и в киберпространстве.

Пост Лукацкого

09 мая 2023 11:17

На самом первом PHDays я рассказывал про нормативку и про публичные примеры кибервойн, когда одно государство атакует другое. Атака на Газпром в 1982-м, "Лунный лабиринт", "Титановый дождь", "Аврора", "Сад", ну и, конечно же, Stuxnet. Но 12 лет назад приходилось по крупинкам собирать то, что сегодня происходит ежедневно и уже особо и не скрывается.

Одни государства пестуют киберармии в других, обучают их, снабжают технологиями и знаниями, а то и вовсе руководят. Арсенал, в свое время существовавший только у спецслужб, сегодня доступен многим. Деяния в киберпространстве, приводящие к существенному ущербу и недопустимым событиям, поощряются, а их авторы не наказываются. Можно только фантазировать о том, что будет еще через 12 лет...

Пост Лукацкого

08 мая 2023 20:41

Коллеги подогнали презентацию проекта IPv17, датированную 2012-м годом, которая объясняет, что же предлагается под соусом протокола, соответствующего решениям ООН, требованиям ITU и рекомендациям IETF.

Пост Лукацкого

08 мая 2023 17:42

Если кому интересно, то презентация RUSTP/UDTP от 2019 года обнаружена здесь. На слайде результаты теста.

Пост Лукацкого

08 мая 2023 15:56

Израильтяне делают «Киберкупол» (по аналогии с ПВОшным «Железным куполом») на базе DNS и хотят его предлагать своим компаниям из разных сфер экономики. Англичане такое же для своих госорганов предлагают. Бесплатно

Пост Лукацкого

08 мая 2023 08:40

Gazprom Locker?! Все как в реальной жизни - все заблокировано, требует денег, еще и шантажирует ростом цены.

Пост Лукацкого

07 мая 2023 17:21

Многие DDoS-атаки, о которых хвалятся хакерские группировки с двух сторон, похожи на это видео. На первый взгляд выглядят страшно, но на самом деле - "встал, отряхнулся и пошел". Ну кто-то схватит PRа немного, но, в целом, простой в течение даже нескольких часов для большинства опубликованных целей никакого ущерба не несет...

Пост Лукацкого

12 мая 2023 19:53

Если взломать сайт ООН, то можно ли считать, что ты взломал весь мир?

Пост Лукацкого

12 мая 2023 15:00

А сегодня у нас опять праздник! И это не пятница! Интерпол решил, что 12-го мая надо праздновать день шифровальщика. Но не тот, который 5-го мая, а тот который ransomware 😊 Точнее конечно не день шифровальщика, а антишифровальщика, то есть Anti-Ransomware Day. Дата приурочена к началу эпидемии WannaCry 12-го мая 2017 года. 🥃

Пост Лукацкого

12 мая 2023 06:40

Когда вы будете на PHDays, то там будет четыре дискуссии, имеющие прямое отношение к тем темам и опросам, которые я в последние дни поднимал в канале и которые очень хорошо укладываются в набившее оскомину "ИБ, общающаяся с бизнесом" 🧐:
1⃣ "Как руководство компании оценивает недопустимые события". Тут топы разных компаний будут говорить о том, как они смотрят на риски, недопустимые события и приходящих к ним CISO. Этакий взгляд "сверху". 🤑
2⃣ "CISO 2.0. С бордом на одном борде". Тут сами CISO будут делиться опытом общения с топами и лайфхаками, как им удается (или не удается) доносить смыслы ИБ до руководства. 💪
3⃣ "Готовы ли вы отвечать своими фаберже за результат". Тут представители преимущественно вендоров, интеграторов и провайдеров ИБ-услуг (но будет и заказчик) будут рассказывать, готовы ли они нести ответственность за результат ИБ и если да, то какую, и что для них результат. 😡
4⃣ "CISO 2.0 и его команда". А тут преимущественно CISO будут обсуждать необходимые руководителю ИБ компетенции, чтобы нормально общаться с бизнесом. ✍️

На PHDays будет и много другого полезного контента, но эту группу дискуссий я решил выделить отдельно, так как, как мне кажется, получается целостная картина взгляда на ИБ с точки зрения бизнеса.

ЗЫ. В ближайшие несколько дней буду еще постить описания разных секций с PHDays. Потерпите. Я последнее время был погружен в подготовку этого мероприятия и я считаю, что получилось очень даже неплохо.

Пост Лукацкого

11 мая 2023 16:45

Американская ФСТЭК (CISA) предлагает разработчикам ПО, поставляемого в госорганы США, проводить самоаттестацию, подтверждающую выполнение требований по безопасной разработке.

У нас требования по безопасной разработке тоже есть, но непонятно, как подтверждать их реализацию. Американцы показывают вариант.

Пост Лукацкого

11 мая 2023 06:40

Предсказуемо, администрирование средств защиты, защита данных, compliance, разработка архитектуры ИБ и планирование развития ИБ делаются преимущественно внутри организаций. А вот пентесты, redteaming, форензика, Threat Intellgence и purple teaming чаще всего реализуются внешними компаниями/организациями.

Это не то, чтобы догма, но некий срез по преимущественно американским организациям, имеющим SOCи. Ну и как набор сервисов и функций SOC тоже достаточно интересно взглянуть и сравнить с тем, что есть у вас.

Пост Лукацкого

10 мая 2023 16:51

Хакнули одного облачного провайдера и 60 клиентов оказались тоже скомпрометированы. Я бы назвал этот кейс «Kaseya 2.0».

Передавать в облака свои данные, приложения и инфраструктуру - это, конечно, хорошо, но только если вы выставляете к облачному провайдеру требования по ИБ и знаете, как их контролировать. Без этого облака могут протечь 🌧 а вы и сделать ничего не сможете.

Основой для формирования требований по оценке защищенности выбранного вами облачного провайдера могло бы стать руководство по аудиту от Cloud Security Alliance. Да, это преимущественно "бумажные" проверки, но и это уже что-то. Сертификация SOC2 (в России такую уже не пройти) тоже ничего не говорит о реальной защищенности (уже писал на днях про это), но хотя бы подтверждает, что хоть что-то в области ИБ у облачного провайдера сделано. Аналогичная история с "аттестацией" по ФЗ-152. Можно, конечно, потребовать от облака регулярного подтверждения прохождения пентестов или размещения себя на багбаунти, но многие ли согласятся? В любом случае, ответственность за контроль реализации защитных мер лежит только на вас и ни на ком другом.

Пост Лукацкого

10 мая 2023 06:40

Разгребая виртуальные завалы, наткнулся на презентацию, которую я делал в 2008-м году для конференции 🟥 (за 3 года до PHDays). Я тогда попытался посмотреть на будущее сканеров безопасности (в 2006-м я у 🟥 на мероприятии рассказывал про настоящее, на тот момент, решений класса Vulnerability Management), куда они могут развиваться и каким функционалом обладать. Просматривая сейчас эту презентацию, понимаешь, что что-то из описанного уже реализовано на рынке, что-то в процессе реализации, а что-то так пока и находится на стадии прототипа.

ЗЫ. Будь я нескромен, сказал бы, что я - пророк 😊 А так просто скромно потуплю взгляд в пол и пойду работать дальше. Программа бизнес-трека PHDays, за которую я отвечаю, сама себя не сделает и в ограненный алмаз не превратится 😊

Пост Лукацкого

09 мая 2023 18:10

Третий по величине город Техаса, Даллас, столкнулся с атакой шифровальщика. Началась она 3-го мая и последствия ощущаются до сих пор. Были выведены из строя суд, системы оплаты за водоснабжение, аварийные системы 911 и 311, онлайн-библиотека, городская администрация и куча других департаментов. Как и в любой иной публичной истории, город не мог скрыть этот факт (не то, что у нас) и ведет подробный рассказ у себя на сайте о том, что и когда перестало работать и когда восстановлено. Если не с точки зрения правильной защиты, то с точки зрения открытости, Даллас можно поставить в пример.

ЗЫ. А в это время шериф другого американского города, Сан-Бернардино, выплатил вымогателям 1,1 миллиона долларов.

Пост Лукацкого

09 мая 2023 14:23

Если верить статистике, средняя стоимость выкупа у вымогателей составляет порядка 20-24 биткойнов. Это в мире. А в России у взломанных компаний требуют выкуп гораздо ниже, на порядки. Не это ли доказательство того, что надо переводить юрлица в российскую юрисдикцию - как минимум выплаты киберпреступникам будут ниже!

ЗЫ. Но вообще, требовать выкуп в майские праздники, когда одни на шашлыках, а другие на параде, это не разбираться в своей целевой аудитории. Ну или заранее принять решение о выкладывании украденной информации.

ЗЗЫ. Мне кажется, что уже все должны были настроить свои средства защиты на такой индикатор как «объем выкачиваемых за интервал времени данных». Очевидно же, что выгрузка такого объема (если это не дистрибутивы или обновления ПО) - это аномалия и на нее надо реагировать. Но видно не для всех.

Пост Лукацкого

09 мая 2023 08:40

И хотя акцию "Бессмертный полк" немало где запретили, это не помешает многим публиковать сегодня в соцсетях истории своих воевавших бабушек и дедушек, указывая их полные имена и фамилии. Это история, которую надо помнить (в том числе и чтобы не совершать повторных ошибок).

Но также стоит помнить, что не надо использовать в качестве пароля или секретного слова девичью фамилию своей матери. И я думаю понятно, почему 🤔 Ну а если вы где-то их используете, то в этот майский день самое время сменить их. Пусть это будет вашей маленькой победой на пути к вашей безопасности!

ЗЫ. С праздником! За нашу Победу!

Пост Лукацкого

08 мая 2023 19:45

Google запустил бесплатный базовый курс по кибербезу

Пост Лукацкого

08 мая 2023 17:40

🥸 Представлена информация о новом российском транспортном протоколе RUSTP/UDTP.

🤔 Авторы не понимают сути задержек и тестировали протокол на передачи одного файла. В результате разработчики уверяют, что новый протокол полностью защищен от DDoS атак на L3 и L4, позволяет значительно сократить расходы провайдеров и обучение программистов, поддерживает историю сессии и соединения на технологии блокчейн, и обладает уникальными характеристиками переноса информации, поддерживая качество передачи трафика при произвольных задержках и потерях.

🤨 Авторы также пишут, что смогли повысить скорость передачи данных в их Москвы в Амстердам в 3 раза, а в Сидней в 50 раз, а сетевая технология «IPv17» удовлетворяет решениям ООН, требованиям ITU и рекомендациям IETF в части «Сети будущего».

#rustp #udtp #протокол @SecLabNews

Пост Лукацкого

08 мая 2023 12:34

Диссертация про историю CTF (на английском)

Пост Лукацкого

07 мая 2023 20:02

А Шекспир-то был в теме ✍️

Пост Лукацкого

07 мая 2023 14:26

"Простите меня" (с) LockBit. Конечно хорошо, что у вымогателей есть свое понятие чести и они готовы предоставить медицинской/детской/социальной организации ключ расшифрования данных бесплатно, но все-таки, строя систему защиты, рассчитывать на это не стоит.