alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Интересная история про очередной "взлом" Госуслуг. Да, сам портал не ломали, а вот построенные вокруг него процессы да. Это к разговору о том, почему обнаружение одной уязвимости или пробив в рамках пентеста - это не то же самое, что демонстрация возможности реализации недопустимого для бизнеса события 💥 И наоборот. Можно иметь сколь угодно навороченную службу ИБ, но не просчитать весь бизнес-процесс и не учесть клиентский путь, который не ограничивается только одним лишь порталом 🎮

Интересно, что лично у меня в списке тех, кто имеет доступ к моей учетной записи никаких МФЦ нет. А походу они такой доступ имеют. А их у нас под 13 тысяч в стране (10000 в малонаселенных пунктах), что открывают огромный простор для мошенничеств и злоупотреблений 🥷 Особенно хорошо звучит в статье риторический вопрос жертвы:

Ну почему мошенники могут все делать удаленно, а мне нужно ездить лично?

Читать полностью…

Пост Лукацкого

Уважаемые клиенты и партнеры.
Известный слоган в кибер-мире звучит так: Cyber-attack – is no longer a question of «if»; it’s matter a matter of «when».

К сожалению, это случилось и с нами. В пятницу инфраструктура нашей компании подверглась серьезной хакерской атаке. Увы, на рынке кибербеза существуют не только классные офицеры, которые защищают данные, генерят крутые решения для защиты корпоративных периметров и делают цифровой мир лучше и чище. А есть и совершенно отвратительные персонажи, которые иногда встречаются на пути.

Наш важнейший приоритет – данные наших клиентов. Мы предпринимаем все возможные меры: защищаемся и восстанавливаем наши информационные системы. К понедельнику будем в строю. Мы будем оперативно информировать вас. 

В целях предосторожности просим обновить идентификационные данные. Рекомендуем изменить пароли на всех учетных записях, используемых нашими сотрудниками в вашей инфраструктуре.

В условиях серьезной информационной войны, основной источник официальной информации – наши соц.сети и сайт. Просим не верить распространяемым слухам на других площадках.

P.S. Как обычно напоминаем вам, идти на поводу у киберпреступников нельзя никогда!

Читать полностью…

Пост Лукацкого

Некоторое количество новостей вокруг CrowdStrike:
1️⃣ Ооочень длинный тред в Твиттере о том, что покушение на Трампа и коллапс с CrowdStrike связаны. Я бы такую конспирологию даже не стал бы всерьез рассматривать, если бы автор не начал с того, что он глава ИБ в Metro Bank, был консультантом в страховых и финансовых компаниях, 20 лет CISSP и вообще у него большой опыт, на котором он свои выводы и основывает. Странная ветка, конечно 🤦‍♂️
2️⃣ Глава CrowdStrike заявил, что к 25-му июля (у нас 26-му) 97% ПК с сенсорами на базе Windows было восстановлено в рабочее состояние. 7 дней простоя. Осталось только понять, что за 3% и насколько они важны?
3️⃣ CrowdStrike в апреле назад уже накрыл своим обновлением компьютеры под управлением Debian и Rocky Linux 🐧 с тем же эффектом, что и на Windows 🪟

Читать полностью…

Пост Лукацкого

В чатиках прайвасистов все отмечают день рождения 🎏 закона "О персональных данных". А я напомню, что и законы "Об информации, информационных технологиях и защите информации" и "О безопасности критической информационной инфраструктуры" тоже празднуют свои дни рождения 27 июля! 🗓

Читать полностью…

Пост Лукацкого

Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike: 🦅
1️⃣ От инцидента пострадало 25% компаний из Fortune 500, хотя CrowdStrike заявляла о том, что в ее клиентах числится не менее половины Fortune 500.
2️⃣ Самые пострадавшие отрасли - авиация, здравоохранение и банки. При этом по мнению Parametrix среди авиакомпаний пострадало 100% (но это из списка Fortune 500).
3️⃣ Ожидаемые прямые финансовые потери составляют 5,4 миллиарда долларов, но только для компаний из списка Fortune 500, исключая Microsoft.
4️⃣ Наибольшие потери из всех индустрий - в здравоохранении. За ним следуют банки и авиация. Меньше всего пострадало производство и ИТ-отрасль.
5️⃣ От 0,54 до 1,08 миллиардов долларов потерь попадает под действие страховок, то есть от 10% до 20% от общего объема.
6️⃣ Средний размер потерь на пострадавшую компанию составил 44 миллиона долларов.

Оценок для компаний не из Fortune 500 я пока не видел, но напомню, что всего CrowdStrike заявляет о 29000 клиентов по всему миру 🌐 Если, следуя пропорции Parametrix, пострадала каждая 4-я компания, то совокупный объем потерь может составит несколько десятков миллиардов долларов, что делает данный инцидент самым дорогим в истории 💰

Читать полностью…

Пост Лукацкого

Я в курсе по измерению 🧮 эффективности ИБ, рассказывая про средства для этого, всегда говорю, что большинство специалистов по ИБ идет по пути наименьшего сопротивления, используя инструментарий, который всегда под рукой 🕯 И вот свежая статистика, которая доказывает это. В Топ10 инструментов, с помощью которых CISO собирают данные для своей отчетности, входят:
1️⃣ Сканеры безопасности - 67,3%
2️⃣ SIEM - 65,3%
3️⃣ Отчеты ИТ и ИБ-команд - 63,3%
4️⃣ Отчеты аудита и соответствия - 61,2%
5️⃣ Пентесты - 59,2%
6️⃣ Метрики повышения осведомленности - 59,2%
7️⃣ Результаты расследований инцидентов - 49%
8️⃣ Исследования Threat Intelligence - 44,9%
9️⃣ Обратная связь и средства генерации отчетов - 24,5%
1️⃣0️⃣ Опросы сотрудников - 14,3%.

А так как ни один из указанных инструментов не позволяет сформировать отчет 📊 для топ-менеджмента "от и до", то CISO жаждут всесторонний инструмент, который бы позволял им выстроить и автоматизировать процесс регулярной подготовки отчетов по ИБ для разных задач 📎 Про требования к такому продукту я расскажу уже завтра или в понедельник.

Читать полностью…

Пост Лукацкого

Провели мы тут мероприятие закрытое "СМИшно об ИБ", для которого подготовили прикольный плакат с разъяснением типовых ИБшных терминов на "журналистском" языке 😂 Весь выкладывать не буду, но фрагмент не могу не выложить!

Читать полностью…

Пост Лукацкого

Все-таки в Кибердоме залипательное представление 🎭 Психоделическое, я бы сказал. Особенно, когда во время рассказа про хакеров, ломающих гидроэлектростанцию, начинает вибрировать пол 🏭

Единственное, что меня смутило, - это китайцы, с которыми заключают договор на защиту ЗОКИИ в ролике 🐉 Ну и к сценарию мини-учений в формате геймификации 🤕 на киберполигоне у меня есть вопросы в отдельных точках принятия решения. Там прям неверная логика прописана, хотя я и победил в итоге 🏆

Читать полностью…

Пост Лукацкого

Какие данные CISO включают в свои отчеты 📈 для руководства компании? Я про это делал целую серию заметок в блоге (первая, вторая, третья, четвертая, пятая, шестая). А тут вот новые данные подогнали. В отчеты включают следующие данные (по убыванию популярности):
1️⃣ Результаты оценки рисков (ох уж эта приверженность CISO рискам...)
2️⃣ Анализ ландшафта угроз
3️⃣ Статус соответствия требованиям законодательства
4️⃣ Результаты реагирования на инциденты
5️⃣ Результаты оценки уязвимостей и пентестов
6️⃣ Политики ИБ и средства защиты
7️⃣ Возврат инвестиций
8️⃣ Анализ воздействия на бизнес (BIA).

Как по мне, так последние два пункта, ненабравшие даже 20% каждый, являются основными при общении с топ-менеджерами. А все остальное - это сопутствующие данные, которые только помогают отвечать на второстепенные вопросы. А тут они в основе отчетности CISO для топ-менеджеров 📊 Отсюда и результат - CISO не находится на одном уровне иерархии с другими людьми уровня CxO, а подчиняется кому-то из них 😭

Читать полностью…

Пост Лукацкого

Спросили у Алексея Лукацкого, как можно расшифровать «Резбез» неправильно, что такое недопустимые события и что недопустимо лично для него

А как бы вы ответили на эти вопросы?

Читать полностью…

Пост Лукацкого

Да, каюсь 🫠 Сексизм, не шовинизм. Плохо разбираюсь в обоих ☹️

Читать полностью…

Пост Лукацкого

Компания CHEQ выпустила отчет о фальшивом трафике, который показывает, насколько серьезной становится эта проблема. И это несмотря на наличие средств класса NTA, которые помогают детектировать 👀 различные классы атак, необнаруживаемые традиционными периметровыми или хостовыми средствами ИБ.

Согласно исследованию CHEQ, в 2023 году 17,9% всего наблюдаемого трафика было фейковым 🤖 или инициировано различными средствами автоматизации, что на 58% больше по сравнению с 11,3% в предыдущем году. Другие источники, учитывающие весь "автоматизированный" трафик (боты, кликеры, краулеры, скрипты для автоматизации и т.п.), оценивают объем нежелательного трафика еще выше — до 50% от общего объема. Такой трафик можно разделить на три категории:
1️⃣ боты, которые составляют 49,1% фальшивого трафика 🤖
2️⃣ подозрительный трафик - 42,3%
3️⃣ вредоносный трафик - 8,6%.

CHEQ предупреждает, что в 2024 году киберпреступники и мошенники 🥷 больше не ограничиваются простыми ботами и фермами кликов. Они используют высокоразвитых ботов, способных имитировать человеческое поведение, избегать обнаружения и совершать различные злонамеренные действия, такие как сбор данных без разрешения, увеличение метрик вовлеченности, мошенничество и компрометация безопасности и целостности множества веб-сайтов, мобильных приложений и API. Искусственный интеллект 🧠 только усугубляет угрозу и создает дополнительные проблемы для команд безопасности. ИИ позволяет ботам становиться более сложными и труднодетектируемыми, увеличивая объем генерируемого трафика и позволяет ботам адаптироваться к защитным мерам, тем же WAF или API Security Gateway 🛡

Советы CHEQ для снижения опасности этой проблемы просты:
1️⃣ Разработать и применить на каждом интерфейсе управляемых сетевых устройств политику для трафика (traffic policy)
2️⃣ Внедрить процедуры и инструменты для мониторинга и контроля трафика на внешних интерфейсах, направляющегося к МСЭ, в ДМЗ, к web-серверам, IoT-устройствам и беспроводным устройствам.
3️⃣ По умолчанию запретить весь трафик и разрешить только отдельные протоколы и межузловые взаимодействия в соответствие с установленными правилами и исключениями из них
4️⃣ Внедрить процедуры и инструменты, обнаруживающие любой несанкционированный обмен трафиком с внешними системами
5️⃣ Подключать сеть организации к внешним сетям только через пограничные устройства, позволяющие фильтровать трафик (явно не упоминается NGFW, так тут может быть и Zero Trust, SASE и SSE)
6️⃣ Ограничение числа внешних соединений и мониторинг входящего и исходящего трафика
7️⃣ Реализация на всех внешних управляемых интерфейсах механизмов контроля доступа, обнаружения вторжений и т.п.
8️⃣ Реализация подсетей для публично доступных компонентов
9️⃣ Обеспечение целостности и конфиденциальности для трафика
1️⃣0️⃣ Документируйте каждое исключение в политике управления трафиком с указанием бизнес-потребности, мерами контроля и длительностью действия исключения
1️⃣1️⃣ Обновляйте все сетевые компоненты как можно раньше
1️⃣2️⃣ Обеспечьте не менее одного тренинга в год для персонала, реализующего предыдущих 11 пунктов

Читать полностью…

Пост Лукацкого

Microsoft пошла в атаку и обвинили Еврокомиссию 🇪🇺 в том, что это именно из-за нее произошел коллапс с обновлением CrowdStrike 🤦‍♂️ Связано это с соглашением об интероперабельности, которое было заключено в декабре 2009-го года между гигантом из Редмонда и Еврокомиссией и которое требовало обеспечить равные права на доступ к ядру ОС Windows 🪟 конкурирующих продуктов, включая и средства защиты. Речь идет о следующем пункте:

"Microsoft гарантирует на постоянной и своевременной основе, что API в операционной системе Windows Client PC и операционной системе Windows Server, которые вызываются программными продуктами безопасности Microsoft, документируются и доступны для использования сторонними программными продуктами безопасности, которые работают на операционной системе Windows Client PC и/или операционной системе Windows Server."


С этим свежим заявлением Microsoft есть три интересных нюанса:
1️⃣ Все-таки это было обновление контента обнаружения или ядра, которое повлияло на ядро ОС? 🤔 Каким образом, если это "просто" сигнатура? Если же CrowdStrike все-таки залил обновление ПО, затрагивающее ядро, то почему они его не согласовали с вендором, как того требуют правила? 🤔
2️⃣ Apple в 2020-м году, ссылаясь на требования безопасности запретила разработчикам доступ к ядру macOS, что вызвало большие нарекания со стороны многих вендоров хостовых средств ИБ. И значит ли это, что Еврокомиссия может и от Apple 🍏 потребовать подписания схожего соглашения? По крайней мере в части возможности использования на iPhone других маркетплейсов Евросоюз добился.
3️⃣ Почему Microsoft не разработала для средств защиты иной API, который мог бы позволять видеть 🖥 многое на уровне ядра, не затрагивая его самого? Не захотела заморачиваться, а теперь просто переводит стрелки?..

Читать полностью…

Пост Лукацкого

Генерального директора CrowdStrike вызвали в Конгресс США 🇺🇸 дать пояснения по поводу случившегося в прошлую пятницу 🫵 Можно было бы предположить, что американцы усилят контроль за технологическими компаниями, от которых стало зависеть очень многое, но до того ли им будет в условиях предвыборной гонки? 🏎

За всей этой историей с CrowdStrike затерялась новость, что Wiz, стартап по облачной безопасности, которого хотел купить Google 🌐 за 20+ миллиардов долларов, отклонил предложение американского ИТ-гиганта, решив самостоятельно выходить на IPO вместо продажи стратегическому инвестору 👎 Смелые и амбициозные ребята!

Читать полностью…

Пост Лукацкого

Попался мне тут в руки занятный отчет, который на фоне событий с CrowdStrike подсвечивает очень интересные моменты нашей зависимости от всего нескольких технологических компаний, атака (даже не их собственные косяки) на которых может привести к глобальному коллапсу или компрометации. Вот некоторые цифры:
1️⃣ Всего 150 компаний "отвечают" за 90% всех технологических продуктов и сервисов по всему миру!
2️⃣ 41% этих компаний имеют доказанные случаи компрометации хотя бы одного своего корпоративного устройства за последний год
3️⃣ 11% этих компаний имеют доказанные случаи атак шифровальщиков за последний год
4️⃣ 62% всех технологических продуктов и сервисов по всему миру сосредоточено в руках всего 15 компаний
5️⃣ Эти 15 технологических компаний имеют рейтинг ИБ (уровень защищенности) ниже среднего, что говорит о высокой вероятности возможной компрометации
6️⃣ Операторы шифровальщиков Cl0p, LockBit, BlackCat систематически нацеливаются на технологические компании и находят целевые устройства уже через 5 минут после их подключения к Интернет.
7️⃣ 75% всех атак на подрядчиков (цепочки поставок) нацелены на технологические компании и разработчиков ПО.

Советы для борьбы с такой зависимостью лежат на поверхности:
1️⃣ Составьте карту критически важных процессов и систем (целевых/ключевых), представляющих точки возможного отказа.
2️⃣ Поставьте эти системы и процессы на непрерывный мониторинг, а также включите их в контур анализа защищенности и оперативного устранения уязвимостей.
3️⃣ Автоматизируйте процесс обнаружения новых вендоров в инфраструктуре с помощью сканеров безопасности, средств класса NTA, CMDB-решений, SIEM и т.п.
4️⃣ Подготовьте план Б и протестируйте его, чтобы быть готовым к ситуации, когда что-то из используемых у вас решений будет скомпрометировано или выведено из строя.

Читать полностью…

Пост Лукацкого

4 сообщения о взломах ИБ-компанияй за неделю 🗓 И все разные. Что-то перебор… 👨‍💻

Читать полностью…

Пост Лукацкого

Очередной AI Security Challenge. Попробуйте обмануть обойти систему защиты ИИ-бота. Похожа на Гендальфа, но более сложная 👨‍💻

Читать полностью…

Пост Лукацкого

Ура, день не пройдет зря, так как сегодня празднуется день рождения закона “О безопасности критической информационной инфраструктуры” (2017), а также день рождения закона “О персональных данных” и закона “Об информации, информационных технологиях и защите информации” (2006)

Читать полностью…

Пост Лукацкого

Исследование "Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients" демонстрирует, что в результате атак шифровальщиков на медицинские учреждения 🏥 в США снижается не только число госпитализаций на 17-25% в первую неделю после атаки, но и доходы больницы снижаются на 19-41% 💸

Самое печальное, что шифровальщики увеличивают смертность пациентов 🤕, уже находящихся в стационаре минимум на 20,7%. Максимальное значение достигает 55,3%, что зависит от серьезности инцидента. Необъяснимо, но факт, - почему-то у чернокожих американцев смертность в подвергшихся шифровальщикам больницам выше - до 61,8-73% ⚰️

ЗЫ. В США от атак шифровальщиков пострадало 4% больниц 🤒 и умерло от 42 до 67 человек

Читать полностью…

Пост Лукацкого

Эль «Майский баг» 🥂 К вечеру пятницы готов. А ты? 🫵

Читать полностью…

Пост Лукацкого

Как CISO измеряют эффективность своей программы ИБ? Финансовый показатель (стоимость защиты vs размера потенциальных потерь) находится на втором месте с конца по популярности, опережая только % систем с актуальной базой антивирусных сигнатур. На первых 8 местах этой десятки:
1️⃣ Динамика инцидентов ИБ
2️⃣ Временной интервал между обнаружением и устранением уязвимостей
3️⃣ % кликов по фишинговым сообщениям
4️⃣ Медианное время реагирования на инциденты (MTTR)
5️⃣ Медианное время обнаружения инцидента (MTTD)
6️⃣ % сотрудников, прошедших тренинги ИБ
7️⃣ Число проведенных оценок рисков
8️⃣ Число заблокированных угроз (это почти как "нейтрализовано 600 миллионов DDoS-атак").

Читать полностью…

Пост Лукацкого

Проводили тут бизнес-завтрак с финансовыми директорами в Кибердоме. Говорили о наболевшем, о том, как CFO смотрят на кибербез и его финансирование 🤑 Дискуссия началась с фразы, которая прозвучала на жалобу, что ИБ мало выделяют ресурсов:

Как объясняют, так и получают!


И статистика сегодня и вчера это лишний раз доказывает. "Финикам" не интересны все эти ландшафты угроз, политики ИБ, оценки уязвимостей, временные параметры инцидентов и т.п. Они далеки от всего этого. Вопросы возврата инвестиций, которые им интересны, используются всего в 18% случаев, а воздействия на бизнес и того реже - в 12% случаев. О чем же пишут CISO, когда используют бизнес-фокус в своих отчетах? ✍️
1️⃣ Снижение рисков (количественная оценка)
2️⃣ Способствование бизнес-инициативам
3️⃣ Метрики воздействия на бизнес (ущерб)
4️⃣ Снижение издержек и экономия
5️⃣ Рост лояльности заказчиков и снижение их текучки
6️⃣ Эффективность реагирования на инциденты
7️⃣ Рост продуктивности
8️⃣ Влияние на стоимость киберстрахования
9️⃣ Рост зрелости.

Это соотносится с тем, что звучало у нас на бизнес-завтраке ☕️

Читать полностью…

Пост Лукацкого

Мне кажется, хакерам 🥷 сопредельного государства надо быть благодарным за то, что они улучшают имидж ФСБ, делая своими "письмами/приказами" эту структуру более открытой и повернутой лицом к бизнесу. Я бы хакерам грамоту от имени директора ФСБ выдал. Но так как они не очень любят шумиху и официоз, то они могут и сами эту грамоту приобрести; на Авито 😂

ЗЫ. На фото фейк, если вы не понял. Спасибо подписчику, приславшему этот не очень качественный образчик хакерских проделок. Прежний и то выглядел профессиональнее.

Читать полностью…

Пост Лукацкого

Еще несколько лет назад считалось, что в большинстве случаев CISO подчиняется CIO, а ИБ рассматривается как функция ИТ. Но вот свежее исследование показывает, что все немного не так 🤷

CISO подчиняется ИТ уже не в 3/4 случаев, а всего в одной четверти. В каждом пятом случае подчинение идет сразу под генерального директора 🧐 Еще в 16% главный ИБшник рапортует техническому директору. Но в почти 40% случаев CISO находится по финансовым директоров, главным юристом и даже CPO, а также иными топ-менеджерами 😕

Читать полностью…

Пост Лукацкого

CrowdStrike направил пострадавшим от пятничного сбоя письмо с промо-кодом на карточку Uber Eats (сервис доставки еды) 🍔 стоимостью 10 долларов в качестве извинений за ту головную боль, которую принес инцидент. Но случился очередной конфуз - некоторые карты оказались недействительными, а в качестве причины было написано, что "карта была отменена выпустившей стороной и больше не действительна" 👋

А пока одно подразделение CrowdStrike готовится разгребать еще и этот удар по репутации, другое наконец-то пояснило, что же все-таки произошло и почему обновление контента обнаружения накрыло несколько миллионов компьютеров синевой. Если кратко, то ситуация такова ✍️

У CrowdStrike есть два вида обновления - Sensor Content и Rapid Response Content. Sensor Content содержит различные функции для обнаружения угроз и реагирования на них 🛡 Он включается в обновления сенсоров CrowdStrike и содержит модели машинного обучения, разработанные для длительного использования и обнаружения широкого спектра угроз и их семейств. Все функции проходят тщательную оценку, включающую автоматизированное и ручное тестирование, а также проверку и развертывание в тестовом окружении 👨‍💻

Процесс начинается с автоматизированного тестирования, включая юнит-тестирование, интеграционное тестирование, тестирование производительности и стресс-тестирование 🔄 Затем обновления выпускаются поэтапно: сначала тестируются внутри компании, затем у ранних пользователей, и наконец становятся доступными всем клиентам. Клиенты могут выбирать, какую версию сенсора (N, N-1 или N-2) установить через политику обновлений 🆕

Rapid Response Content используется для сопоставления поведенческих шаблонов на сенсоре. Это бинарный файл. Он позволяет выявлять и предотвращать угрозы без изменения кода сенсора и поставляется как экземпляры шаблонов, которые соответствуют конкретным поведениям чего-то вредоносного для наблюдения за ним, его обнаружения или предотвращения 🔓

Rapid Response Content обновляется через конфигурационные файлы системы Falcon. Экземпляры шаблонов создаются, проверяются и развертываются на сенсорах через так называемые файлы каналов. Сенсор интерпретирует (вот это самое важное) эти файлы для обнаружения и предотвращения вредоносной активности 🗡

19 июля 2024 года было развернуто два новых экземпляра шаблонов. Из-за ошибки в валидаторе контента один из экземпляров был принят, несмотря на наличие "проблемных данных". Это вызвало ошибку чтения памяти, выход за ее границы, что и привело к сбою операционной системы Windows (BSOD) 🪟

Читать полностью…

Пост Лукацкого

Ну вот что за шовинизм в ПП-1272 о заместителях руководителей организаций, ответственных за кибербезопасность, и разработанного во исполнение 250-го Указа Президента? 👵 Почему вдруг в тексте появляется слово "он", хотя речь идет о лице, то есть должно быть "оно"? Это что, теперь, если буквально трактовать Постановление Правительства, женщина не может быть замом гендира по ИБ? Непорядок! 💍

Читать полностью…

Пост Лукацкого

Компания Dragos опубликовала исследование нового, уже 9-го специализированного вредоносного ПО для промышленных сетей 🏭, которой она назвала FrostyGoop. Это первый вредонос, который использует Modbus TCP для реализации недопустимых событий (обнаруженный в 2022-м году PIPEDREAM также использовать Modbus TCP, но для инвентаризации промышленных устройств) 🪫

Служба безопасности Украины сообщила, что нынешней зимой это вредоносное ПО было задействовано в кибератаке, которая привела к двухдневному отключению отопления и электричества в 600 домах во Львове, управляемых контроллерами ENCO 🔋 Общее число пострадавших составило около 100 тысяч человек. Несмотря на заявления СБУ Львовтеплоэнерго поспешил сообщить, что "последствия были быстро нейтрализованы и работа сервисов восстановлена" (а что еще могла сказать пострадавшая компания?).

По данным Dragos, которая никак не атрибутирует данный вредонос (хотя и неявно намекает), антивирусы его не детектируют и настойчиво рекомендуется использовать системы мониторинга безопасности в промышленных сетях и АСУ ТП 🔍

Читать полностью…

Пост Лукацкого

Вот когда от аналитиков SOC понадобится более быстрая реакция, а время детекта будет измеряться не минутами, а секундами или даже долями секунд, тогда надо будет и такие тесты включать в программу подготовки аналитиков SOC! 🔍

Читать полностью…

Пост Лукацкого

Тут в одном отчете наткнулся на интересный список вопросов, которые топ-менеджеры 🧐 задают своим CISO.
1️⃣ Управление рисками и готовность к инцидентам ИБ:
Мы защищены?
Мы готовы к тому, чтобы справиться с инцидентами ИБ?
Каково текущее состояние нашей безопасности?
Каковы наши реальные приоритеты в области управления рисками ИБ?
Как мы решаем вопросы остаточных рисков?
Какие новые угрозы возникают, и готовы ли мы с ними бороться?
Как внешние инциденты влияют на нашу способность управлять рисками и защитные меры?
Какой из проектов, над которыми вы работаете, окажет наибольшее влияние на улучшение состояния ИБ?

2️⃣ Процессы:
Соответствуем ли мы отраслевым стандартам?
Что мы не делаем?
Как мы можем ускорить исправление уязвимостей и улучшить показатели Click-to-Rate в борьбе с фишингом?
Достаточно ли мы используем возможности автоматизации?
Как мы вы можете доказать, что мы улучшили нашу безопасность?
Как совет директоров может помочь программе безопасности?

3️⃣ Бизнес:
Мы помогаем решать задачи ИБ для клиентов и поставщиков?
Мешает ли обеспечение безопасности другим бизнес- или IT-инициативам?
Каковы бизнес-преимущества и негативные последствия от нашей программы кибербезопасности?

4️⃣ Соответствие требованиям:
Насколько мы соответствуем требованиям законодательства?
Есть ли новые требования законодательства, о которых нам нужно знать?

5️⃣ Ресурсы:
У нас есть ресурсы, необходимые для обеспечения ИБ?
Как мы можем продемонстрировать ROI, чтобы обосновать увеличение штата?
Достаточно ли мы инвестируем в нужные инициативы по кибербезопасности?

А вы готовы ответить на эти вопросы? А вдруг вас спросят?! 🫵

Читать полностью…

Пост Лукацкого

По мере расширения сферы импортозамещения у нас будет меняться не только ландшафт применяемого ПО, но и уязвимости у нас со всем миром скоро будут разные 🤜 Если не все, то их часть точно. И так как ежедневно (на текущий момент) обнаруживается 115 уязвимостей в день, то надо их каким-то образом приоритизировать. Есть куча стандартов и фреймворков для описания этого процесса, но один из достаточно простых способов - ориентироваться на так называемые трендовые уязвимости 🗡

Но... трендовая уязвимость - понятие не универсальное. У нас 🇷🇺 это один перечень, в США 🇺🇸 другой, в Китае 🇨🇳 третий. Поэтому нужно оценивать трендовость там, где у вас точки присутствия. Есть, например, проект https://cvecrowd.com, который собирает уязвимости, активно обсуждаемые в Fediverse (это набор соцсетей, которые умеют коммуницировать друг с другом по общим протоколам, самой популярной из которых является Mastodon). Раньше еще был схожий проект https://cvetrends.com/, но из-за ограничений по работе с API Twitter, он умер 📱 Есть каталог KEV от CISA, который ориентирован на американский ИТ-рынок. В России есть регулярная публикация трендовых уязвимостей от Positive Technologies 🟥, а есть список наиболее опасных уязвимостей от ФСТЭК (правда, тут не совсем трендовые, а просто дыры с высоким CVSS).

Вроде это (ориентация на локальный список трендовых уязвимостей) очевидно, но я решил все-таки об этом напомнить. Тем более, что в CVE вряд ли будут попадать уязвимости отечественных ИТ-продуктов и ориентация на зарубежные списки приоритетных уязвимостей может увести нас по ложному следу 👣

ЗЫ. А вообще я скоро выложу обзор полутора десятков методов приоритизации уязвимостей, который я готовил для портала "Резбез" и мне надо было просто его прорекламировать ☺️

Читать полностью…
Подписаться на канал