Пост Лукацкого

11 апреля 2023 18:55

Странная математика 🧮

Пост Лукацкого

11 апреля 2023 13:26

А это распределение бюджета из другого отчета по результатам опроса около 500 CISO. И мы видим какую-то несуразицу - в прошлом варианте среднестатистический CISO тратил на зарплату персонала около 40% своего бюджета, а по этой таблице - в 3 раза меньше. И это колоссальная разница!

О чем нам говорят эти две картинки? Только о том, что все такие "среднестатистические" опросы по бюджетам смотреть интересно, но они мало помогают в принятии решений о том, сколько тратить на ИБ. Отталкиваться надо от потребностей бизнеса, определенных им недопустимых событий и мероприятий, требующихся для их недопущения и поддержания организации в таком состоянии.

Пост Лукацкого

11 апреля 2023 06:40

В прошлые годы я по весне несколько раз публиковал новости про зарубежные отчеты, которые описывали самые популярные техники и тактики по матрице MITRE ATT&CK, которые использовали хакеры за прошедший год. В этом году я тоже расскажу о таком отчете, но немного другом 🤔 Речь о свежем отчете 🟥 "Как обнаружить 10 популярных техник пентестеров". Он базируется на другом отчете 🟥, сделанном по итогам пентестов в 2022-м году. В нем, 80 основных техник, используемых пентестерами, были наложены на матрицу MITRE ATT&CK, что в итоге привело к тепловой карте, показанной на первой картинке.

А в свежем отчете анализируются уже не просто Топ10 техник пентестеров (вторая картинка), а описывается как с ними бороться и с помощью каких классов защитных средств можно их обнаруживать и нейтрализовывать.

Чтобы показать, что все эти популярные техники вполне могут быть "закрыты" требованиями регуляторов, если выполнять их не формально, мы также увязали Топ10 выявленных техник с мерами защиты из 17-го приказа ФСТЭК.

Пост Лукацкого

10 апреля 2023 09:58

Не знаю, видели ли вы эту рекламу РОЦИТа, но выглядит она, как по мне, немного туповато 🤦‍♂️ Во-первых, в России нет своих VPN-сервисов, которые могли бы активно воровать ПДн россиян и продавать их тут же в России. Во-вторых, VPN бывают еще и корпоративные. И это не говоря, что даже привычные обывателю VPN-сервисы бывают вполне себе достойными и не замеченными в воровстве данных. А тут РОЦИТ одним росчерком всех под одну гребенку и облил грязью. А уж когда он заявляет, что VPN не гарантирует безопасности, то тут всплывают вопросы к компетенциям тех, которые работают в Центре Интернет-технологий? Или VPN к Интернет-технологиям уже не относятся?

Мысль, которую хотели донести авторы ролика вполне понятна, - не надо разбрасывать свои персональные данные направо и налево; в том числе и участвуя в различных акциях и ненужных программах лояльности. Ну так это и надо было прямым текстом сказать. А еще лучше - дать совет, что делать, когда у госорган твои персданные и утекли? Сослались хотя бы на Центр правовой помощи гражданам в цифровой среде РКН, который должен помогать гражданам в таких историях.. Но нет, решили зачем-то смешать политику, права граждан и технологии. Понятно, что "мы не виноваты, нам заплатили и мы сделали все по ТЗ", но надо и 🧠 иметь.

ЗЫ. Всего выпущено 8 таких роликов; все про вред VPN, которые крадут персданные доверчивых россиян.

Пост Лукацкого

06 апреля 2023 17:33

А это уже забавно. Пару недель назад ко мне стучался совсем другой человек с тем же предложением, звучающим буквально дословно. То ли запрограммированный бот 🤖, то ли сейл-джун, работающий по скрипту

Пост Лукацкого

06 апреля 2023 10:08

Интересные результаты опроса 3522 топов компаний, которые выделили ключевые вектора атак на свои организации в 2023-м году, которых они опасаются больше всего.

E-mail в тройке выглядит вполне нормально, но попадание мобильных устройств на первое место и облаков на третье не совсем типичны. Да, в России место облачного вектора можно было бы и понизить, но мобильные устройства вполне себе распространены и у нас. Вы вообще защищаетесь от этих векторов?

Веб-приложения на 4-м месте (а если убрать облака, то на 3-м) находятся вполне заслужено. В 🟥 есть аксиома, что если в организации есть web-сайт, то на нем всегда есть RCE, который всегда находится в рамках пентестов, багбаунти или верификации недопустимых событий.

Пост Лукацкого

05 апреля 2023 11:23

Так как прилетает много вопросов в личку по поводу новости об уничтоженном оборудовании российского офиса Cisco на почти 2 миллиарда рублей хочу ответить сразу всем. К уничтожению отношения не имею; у меня и бульдозера-то нет! Но допускаю, что все это было сделано в полном соответствии с ESG-политикой - все оставшееся и невывезенное было выброшено не в атмосферу, а в пропасть!

Пост Лукацкого

05 апреля 2023 10:07

А вы говорите, бизнес не любит в ИБ, не понимает в киберучения и вот это вот все ;-)

Пост Лукацкого

04 апреля 2023 21:09

Мда, в СПЧ явно что-то распыляют... Если поискать в канале заметки по ключевому слову "СПЧ", то они все описывают какую-то ахинею, которую несут члены Совета по правам человека. То ПДн надо защищать как гостайну, то все операторы ПДн должны проходить аккредитацию на право работы с ПДн. Вот и сейчас они продемонстрировали свое глубокое знание законодательства по персональным данным, заявив, что в России всего 50 тысяч операторов персданных, а это много и надо их число подсократить до 10-20 (да, без "тысяч"). И чтобы все организации в России обращались именно к этим организациям за ПДн россиян. Повеяло ЕБС, где за доступ к биометрическим ПДн бради деньги. И это если не вспоминать, что у нас по закону ЛЮБАЯ организация является оператором ПДн, а их число измеряется миллионами; по данным того же Совета Федерации у нас 6 миллионов операторов ПДн, а не 50 тысяч, как думают в СПЧ. Лучше бы права человека защищали нормально, а не лезли туда, в чем они мало понимают.

Пост Лукацкого

04 апреля 2023 16:26

Немного погрузился в рынок кибербеза Китая 🇨🇳. Могу сказать, что это целая терра инкогнито. Вендора Поднебесной, которые у многих на слуху, на самом деле не входят даже в Топ5 локальных игроков; а тех, кто продает на сотни миллионов долларов, мы вообще ни разу не слышали.

Всего у нашего текущего стратегического партнера 3256 компаний, которые занимаются ИБ, из которых около полутора тысяч - продуктовые. Полторы тысячи (!) компаний-разработчиков 🐲. Нам, с нашими двумястами, есть куда стремиться. Кстати, и объем рынка у нас примерно в 6 раз меньше, чем у Китая. Утверждать, конечно, что между числом вендоров и объемом рынка прямая связь я не буду, но что-то в этом все равно есть 🏮

Зато в Китае более 25% всего рынка ИБ сосредоточено в руках (кошельках) всего 4 игроков 🐉. Этим Поднебесная похоже на российский рынок, где схожая ситуация.

ЗЫ. На картинке облако тегов, описывающих ключевые технологии ИБ, распространенные на китайском рынке. Разумеется на китайском языке 🧧

Пост Лукацкого

04 апреля 2023 13:16

А вообще крутая идея. На вход систему подается нормативный акт регуляторов и на лету отображается построение системы защиты, а ты сразу видишь все ее слабые места и недоработки, подсвечивая болевые точки на инфраструктурном, прикладном и процессном уровне, в которые будут бить "плохие парни". По сути речь идет о цифровом двойнике инфраструктуры, на который одна систему по текстовому описанию насаживает внешнюю и внутреннюю нормативку, а другая ищет уязвимости. Будущее ИБ будет таким... Если доживем.

Пост Лукацкого

04 апреля 2023 10:50

Скоро методов приоритизации уязвимостей будет больше чем самих уязвимостей 😊

Пост Лукацкого

03 апреля 2023 15:07

Российский рынок ИБ в 2022-м году составил по оценкам от 150 до 160 миллиардов рублей, то есть около 2 с половиной миллиардов долларов. Китайский рынок больше нашего в 6 раз. Если соотносить с числом жителей, то мы не так уж и плохо выглядим на их фоне. Если с территорией, то плохо. Американский рынок оценивается в 60+ миллиардов, «насмехаясь» над российским и китайским рынками вместе взятых. Все относительно…

Пост Лукацкого

03 апреля 2023 08:22

​​📣📣📣📣📣Руководство по управлению уязвимостями ПО

Для публичного рассмотрения представлен проект методического документа «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)».
⏳Предложения и замечания по проекту принимаются до 17.04.2023.

📌Проект размещен на официальном сайте ФСТЭК России в разделе «Техническая защита информации/Документы/Проекты».

❗️Документ предназначен для организации процессов управления уязвимостями в органах (организациях) и является основой для разработки детальных регламентов по управлению уязвимостями с учетом особенностей функционирования органов (организаций) и организации взаимодействия между структурными подразделениями органов (организаций) по вопросам устранения уязвимостей.

Пост Лукацкого

02 апреля 2023 13:08

От подписчика вот тоже вопрос хороший ;-)

Пост Лукацкого

11 апреля 2023 16:59

Тут, девочки, американские медии продолжают выяснять, кто же виноват в утечках сверхсекретных американских военно-политических документов.

Оказалось, что утечка произошла в соцсети Discord, в чате, посвященном игре Minecraft. Кто-то решил “нарастить свой социальный капитал” и давай кидаться секретными материалами в собеседников. А потом эти документы англоязычные товарищи начали настойчиво анализировать и доанализировались до того, что украинцам скоро настанет полный карачун — ничего не спасет, патронов не хватает, ракеты заканчиваются.

У американцев тем временем стоит жуткий вой: утечка наносит страшный ущерб отношениям с союзниками, секретные документы — страшно секретные и очень свежие (им всего-то 40 дней), рядом не стоят с утечками “Викиликс” и с тем, что сделал “жалкий клерк” Сноуден. Русские, короче, выиграли информационную войну, расходимся.

На деле, девочки, к утечкам этим больше вопросов, чем ответов: что вообще это было? Откуда такой синхронный вой и заламывание рук о чудовищных размерах ущерба? А всего-то утекла презентация, написанная по каким-то неясным источникам с мутными данными. Теперь из этого делают вселенскую трагедию. Зачем? Вряд ли потому что стало не о чем писать или поменялся темник мейнстрим.

На деле, девочки, стоит помнить, что практически всё существенное, происходящее сегодня в информационном пространстве — это пропаганда, мероприятия содействия и информационное противоборство вместе взятые. Как говорил Мюллер: “Верить в наше время нельзя никому, даже самому себе”.

В широком контексте это выглядит не как чье-то головотяпство и уж точно не как попытка дезинформировать российский генштаб, а как способ намекнуть украинцам, что в случае чего, сольют их без всяких сантиментов и максимально быстро.

А то, что в страшно тайных документах, которые до кучи оказались в чатике про Minecraft (и лежали там неделями, видимо, для надежности) рассказывалось про то, что американцы шпионят за ближайшими союзниками, так, простите, это что? Для кого-то секрет?

Не говоря уже о том, что страшно секретные материалы бывшие сотрудники американского правительства выносят с рабочего места коробками. И никто не воет.

🫱 Подписаться

Пост Лукацкого

11 апреля 2023 10:06

Считается, что так выглядит ИБ-бюджет среднестатической службы ИБ в США и Канаде (по опросу 500 CISO) по итогам 2022 года. В России это скорее всего не так, как минимум по причине отсутствия у нас большого числа "off premise software" (облачное ПО). Ну и доля, уходящая на персонал, у нас тоже будет существенно ниже по причине более низких зарплат в ИБ. Затраты на "железо" у нас сейчас должны быть выше по причине сложностей с логистикой и возросшей из-за этого ценой. А в остальном 🤔

Пост Лукацкого

10 апреля 2023 13:15

А это другой пример повышения осведомленности. Уже от "Одноклассников" и VK. Комиксы, котики, собачки, единорожки, прикольчики всякие... Они много всего публикуют (и в ОК) для своей целевой аудитории 👨‍💻 Местами достаточно занятно 😂

Пост Лукацкого

10 апреля 2023 06:40

Чем похож бар и реанимация вечером пятницы? Ты накачиваешься 1-2 литрами, а потом много бегаешь в туалет и у тебя сильнейший сушняк. Но в одном случае в тебя вливается пиво, а в другом хлорид натрия. Вот такое странное наблюдение 🤔 Но вернемся к ИБ - надо восполнять несколько дней информационного вакуума и для вас и для меня.

Пока разгребаю собранное умным ботом за эти дни из мира ИБ, начну с анонса. 14 апреля, уже в эту пятницу, в Москве пройдет ежегодный CISO Forum 2023 под многозначительным девизом "Мобилизуйся". У меня там будет достаточно насыщенная программа; в разном качестве я там буду:
1️⃣Модератором традиционной пленарной сессии с CISO, на которой мы поговорим о том, какие уроки мы извлекли за прошедший год и как изменилась и будет меняться роль CISO.
2️⃣Интервьюером Владимира Бенгина (директор Департамента кибербезопасности Минцифры) в рамках секции вопросов и ответов. Минцифры сейчас много чего делает в сфере ИБ и многое из этого касается и коснется многих CISO.
3️⃣Участником дискуссии с сотрудниками иностранных компаний "Бывшие и настоящие". Предлагали ли релокацию? Как искали новую работу? Ограничения для тех, кто остался? Что вышло на первый план после продажи российского бизнеса?
4️⃣Спикером мастер-класса "От CISO к BISO. Как сесть за один стол с большими мальчиками?", где я буду делиться всяким разным про то, как CISO в новых условиях показать себя с лучшей стороны и не только заручиться поддержкой бизнеса, но и доказать, что достоин сидеть за одним столом с большими боссами.

Ну и конечно будет нетворкинг, не менее достойный, чем сама программа. А также будут российские вендора, которые за 1+ год с начала СВО уже освоились в новой реальности и с ними можно вести более предметный разговор, чем в прошлом году, когда многие еще не до конца осознавали свою стратегию развития. А в этом году уже можно будет даже про новые на рынке продукты узнать (например, про PT NGFW, которым все так интересуются 😊).

Так что приходите, будет интересно. Для CISO бесплатно.

ЗЫ. Онлайна не будет.

Пост Лукацкого

06 апреля 2023 13:29

А тут у 3-х с половиной тысяч топов спросили, какие 5 недопустимых событий (критических рисков) включены в планы реагирования компаний, в которых работают респонденты?

Интересно, что катастрофические киберриски были поставлены на первое место! Это ответ тем ИБшникам, которые пытаются доказывать, что топам и бизнесу не интересна ИБ и с ними сложно обсуждать эту тему, так как они ее не понимают. Но цифры опроса 3500+ топов говорят об обратном. Стоит задуматься, кто прав, а кто нет?..

Пост Лукацкого

06 апреля 2023 06:40

Один Си хорошо, а две лучше (с) Бен Каплан

Пост Лукацкого

05 апреля 2023 10:07

У нас в бюджете образовались лишние 100 косарей. Решил инвестировать их в безопасность и тимбилдинг. В этом месяце делимся на две команды:

Контр-теppopиcты: девопсы, админы, безопасники и все остальные, кому положен доступ к базам. Вы должны защитить боевые базы данных, и тогда сотка ваша. Если не сможете, то из ваших квартальных премий вычтем сотку, на которую будем играть в следующем месяце.

Тeppoриcты — все остальные. Должны дропнуть хотя бы одну боевую базу, желательно вместе со всеми бэкапами. Тот, кто нанесёт больше всего ущерба, забирает банк.

Правил никаких нет, можете хоть с паяльниками друг друга в подъездах ловить.
#путьсамурая

Пост Лукацкого

05 апреля 2023 07:11

По разным данным, от 80 до 95 процентов всей разведывательной информации добывается из открытых источников. Я тут подумал, что технологии на базе генеративных языковых моделей (GPT) могут сильно облегчить не только поиск конфиденциальной информации в открытых источниках, но и упростить и автоматизировать сопоставление таких источников.

Представьте себе, что один ученый сначала опубликовал парочку работ в открытых изданиях, потом выступил на конференции, запись чего попала на Youtube, потом на форуме сделал какой-то комментарий... Вручную все это найти и сопоставить занимает немало времени, а с помощью искусственного интеллекта решение задачи облегчается в разы 👨‍💻 И да, ИИ может также помочь первым отделам это все выявлять на ранних стадиях (я уже писал про использование ИИ для вычленения смыслов в тексте, аудио, видео). То есть опять классическая борьба брони и снаряда 🧐

Пост Лукацкого

04 апреля 2023 19:48

Будущие стартапы будут выглядеть так 😊 Но хорошо, что нашлось место и для безопасника. Плохо то, что его тоже заменит искусственный интеллект, если он не научится демонстрировать свою ценность

Пост Лукацкого

04 апреля 2023 13:16

Пользователь вводит текстовое описание, и на лету создается трехмерный мир. Вообще скорость появления новых ИИ-приложений шокирует — раз в неделю появляется что-то впечатляющее, раз в месяц — поражающее воображение.

— Представьте, что оживут ваши любимые книги.

— Представьте возможности в связке с 3D печатью.

— Представьте, что самым важным навыком будущего становится навык формулировать свои мысли.

@yusufovruslan

Пост Лукацкого

04 апреля 2023 10:50

Ещё один подход к приоритезации устранения уязвимостей, основанный на использовании оценки CVSS, EPSS и информации из каталога CISA KEV.

За основу берется методика от FIRST по совместному использованию оценок CVSS и EPSS. Для разграничения приоритетов в качестве пограничных значений берутся средневзвешенные значения CVSS=6 и EPSS=0.2, которые делят график на четыре квадранта.

Итого имеем 5 приоритетов:
1️⃣ CVE есть в каталоге CISA KEV  - суперкритично, т.к. уже эксплуатируются.
2️⃣ CVE из верхнего правого квадранта - опасные уязвимости, которые могут нанести критический ущерб активам, и при этом имеют высокую вероятность использования злоумышленниками.
3️⃣ CVE из нижнего правого квадранта - опасные уязвимости, но с невысокой вероятностью использования злоумышленниками.
4️⃣ CVE из верхнего левого квадранта - уязвимости, эксплуатация которых не нанесет большого ущерба активам, но большой вероятностью использования злоумышленниками.
5️⃣ CVE из нижнего левого квадранта - оставшиеся уязвимости с низкой оценкой CVSS и невысокой вероятностью использования.

Алгоритм можно использовать в боевом режиме, хотя, как и любой иной, он не лишен минусов - многие CVE могут отсутствовать в каталоге CISA KEV, но при этом активно эксплуатироваться. Да и в целом для свежих уязвимостей инструмент не сильно удобен, но кто мешает периодически пересматривать приоритет? Был бы только инструмент автоматизации.
Для данной методики приоритезации есть инструмент, который можно доработать под свои нужды.

Пост Лукацкого

03 апреля 2023 18:40

Запилил презентаху для сегодняшнего курса по персональному киберезу для студентов и аспирантов МГИМО. На простых примерах рассказываю о том, что такое кибербез, как он влияет на личную и рабочую жизнь, почему надо начинать с себя, и как себя защитить от киберугроз 🤠

Пост Лукацкого

03 апреля 2023 11:44

Вообще интересные результаты опроса про источник атаки со стороны ИИ. Если отбросить вариант «а хрен его знает», то большинство считает, что ИИ - это антропогенный источник, «наделяя» его тем самым разумом, волей и умыслом. Интересная точка зрения большинства.

Мне кажется, нам не хватает не столько мнения регулятора (а в методике оценки угроз этому стоит уделить внимание, исходя из интереса к теме ИИ), сколько ликбеза на тему, что вообще такое, этот искусственный интеллект и когда обычный и «неодушевленный» ML превратится в AGI. Но даже AGI (тем более AGI) я бы не стал относить к антропогенным источникам. Да и к техногенным тоже, если честно. Он достоин отдельной категории 😈

Пост Лукацкого

02 апреля 2023 18:11

Я когда увидел предложение, подумал: «Ну вот, и тут бизнес-ориентированная ИБ; только со знаком минус». Но что-то засело в голове; какая-то несуразность. А потом дошло.

Инвестиции подразумевают отдачу, а какая отдача от армии? Она же решает государственные задачи (отстоять|отжать территорию). У киберармии тоже самое. И точно прибылью там не пахнет (не кибермародерство же там будет процветать). С чего отдавать инвестиции? Или ЧВХК будет ломать банки недружественных государств и делиться с инвесторами 51% украденного? Ну, такая себе армия…

Пост Лукацкого

02 апреля 2023 12:57

ChatGPT попросили сгенерировать ключи активации для Windows 95. И он сгенерировал.

Из 30 ключей один оказался рабочим. Когда ChatGPT рассказали, что он сделал, тот извинился и заявил, что «это невозможно». Теперь ждём генерацию ключей для Windows 10 и 11.