Пост Лукацкого

08 июня 2023 16:59

А пока все солидные люди готовятся к поездке на ПМЭФ ТК26 подготавливает проект рекомендаций по квантово-криптографической защите.

Пост Лукацкого

08 июня 2023 10:09

АНБ, CISA, ФБР и ряд других организаций и компаний выпустили очередной бюллетень об опасностях ПО для удаленного доступа, которое может быть использовано не только в легитимных, но и вредоносных целях. В бюллетене даны TTP по MITRE ATT&CK, которые стоит отслеживать для мониторинга работы ПО для удаленного доступа, а также рекомендации - общие для всех рекомендаци и конкретные для MSP/SaaS, MSSP, разработчиков ПО для удаленного доступа.

Пост Лукацкого

07 июня 2023 20:23

MITRE вместе с NIST разработали проект документа NIST IR 8441"Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)" по защите гибридных спутниковых систем (земля + космос). Достаточно оперативно пишут, заразы (либо из загашников достали). О фокусе на защиту спутниковых группировок в целях нацбезопасности Байден высказал совсем недавно, а вот уже и документ почти готов. Вкупе с представленными матрицами атак (тут и тут) и конкурсом по легальному взлому спутника Moonlighter на DEFCON выглядит это все как то, что американцы сильно напряглись по поводу защиты спутников 🛰

ЗЫ. И это еще Илон Маск не включился в процесс 😊

Пост Лукацкого

07 июня 2023 12:45

Verizon выпустил свой традиционный ежегодный отчет по инцидентам DBIR. И хотя его почему-то называют все отчетом по утечкам, это не так. Тут скорее классическая ошибка, которая переводит слово "breach" как "утечку". Аналогичная проблема была и в GDPR и в нашем ФЗ-152 - почему-то все говорят об уведомлении об утечках, хотя в реальности число проблем, требующих уведомления гораздо шире. Но вернемся к DBIR.

В работе над отчетом принимало участие 67 организаций по всему миру; преимущественно из США и Европы. Из условно российских в работе над отчетом принимала Лаборатория Касперского ("условно", потому что ЛК тут выступает больше как международная компания). При этом с точки зрения проанализированных инцидентов львиная доля (3/4) приходится на США и Канаду, на втором месте регион EMEA (Европа, Ближний Восток и Африка); затем идет азиатский регион и Южная Америка.

Интересно, что в разных регионах отличаются популярные шаблоны организации атак. Например, у азиатов на первое место выходит социальный инжиниринг, а у остальных - это проникновение через уязвимости. Мотивация тоже в азиатоском регионе отличается от других - если везде на первое место выходит финансовый интерес (в США - это вообще 99% всех атак), то в Азии хоть монетизация и интересна хакерам, но не в 90+% как у других. Шпионаж занимает 39%, что в 4-5 раз превышает аналогичный показатель предыдущих стран.

В отчете много различной статистики по тому, как злоумышленники получали доступ к данным, что закономерно приводит нас к вопросу: "А маппинг на MITRE ATT&CK есть?" Есть! Также как и маппинг в защитные меры CIS Controls. Эти два фреймворка, один для описания действий хакеров, второй - для описания защитных мер, стали уже стандартом де-факто в США. И хорошо то, что DBIR стал теперь не только описывать тренды и давать статистику, но и перешел в более практическую плоскость - позволяет понять самые популярные техники "плохих парней", а также способы противодействия им.

Пост Лукацкого

06 июня 2023 20:21

В 2018-м году Gartner предсказывал, что скоро пентесты уйдут с рынка и их заменят BASы и Red Teaming. Пока мы видим, что ушел Gartner 😂

ЗЫ. Но разделение red team и пентестов интересное… 👍

Пост Лукацкого

06 июня 2023 13:37

В 2013-м году Роскомнадзор выпустил 996-й приказ, утверждающий методы обезличивания. Так вот в ту самую пору я из лесу вышел, был сильный мороз был я участником разработки этого самого приказа и методички к нему. И к предложенным изначально 4-м методам обезличивания я предложил 5-й, хеширование и шифрование. Так как вообще-то, в нормальном обществе, хеширование, как и криптография в целом, как раз и являются методами обезличивания персональных данных (если не вдаваться в отличия обезличивания от анонимизации и псевдонимизации).

И только у нас это считают средством криптографической защиты (хотя хеш-функция не может быть средством, в отличие от продукта, реализующего хеш-функцию) со своим отдельным регулированием. И руководство РКН того времени направило версию проекта приказа по обезличиванию, включающую и шифрование с хешированием, на согласование в разные ведомства. Из ФСБ тогда пришел отлуп и пятый метод обезличивания был исключен из финальной версии приказа №996. А жаль...

ЗЫ. Как из хешированных данных понять, что там есть хоть какая "информация, относящаяся прямо или косвенно к определенному или определяемому лицу", представители РКН вряд ли смогут ответить - они вообще в технических вопросах не очень сильны. Также они ли вряд ли смогут объяснить, почему хеширование не попадает под определение обезличивания, то есть "действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных"?

ЗЗЫ. Скан взят из канала @bureaucraticsecurity

Пост Лукацкого

06 июня 2023 06:40

Если вчера в блоге я рассмотрел курс на практическую безопасность, взятый нашими регуляторами, то сегодня мы пойдем чуть дальше и посмотрим на результативный кибербез, который развивает описанный тренд за счет четкого целеполагания и контроля его достижения. Недопустимые события, багбаунти, пентесты на максималках и вот это вот все. Результативный кибербез не противоречит практическому, описанному вчера. 2-й и 3-й этапы, упомянутые в конце вчерашней заметки, и есть реализация практической ИБ. Поэтому все, что вы делаете в рамках выполнения свежих требований ФСТЭК, ФСБ, Минцифры, не пропадет. Но чтобы перейти на новый уровень и сделать шаг в развитии и своего кибербеза и себя, вам нужно сфокусироваться на том, что важно для бизнеса и доказать, что вы можете это не допустить.

Пост Лукацкого

05 июня 2023 16:16

Что-то меня смущает, что все, о чем я фантазирую в канале, потом вдруг где-то всплывает в реальности. Писал я тут про MITRE ATT&CK для космической отрасли и космических аппаратов 🛰. И вот в субботу стало известно, что на августовском DEFCON 5 команд хакеров будет пробовать взломать космический спутник Moonlighter. Учитывая атаки на украинский Viasat 📡, а также российские спутники вещания во время СВО, данный сценарий уже не кажется таким уж и фантастическим.

Поэтому отработка техник и тактик нападения, а также защиты, вполне укладывается в общий курс обеспечения национальной безопасности США, который затем будет навязываться всем их сателитам (двусмысленно читается, согласен). Ну а если меня читают коллеги из Роскосмоса и они тоже хотят проверить свои спутники, то у нас осенью будет очередной Standoff и еще есть время реализовать этот сценарий.

ЗЫ. Картинка Бена Каплана

ЗЗЫ. То, что сегодня взломали очередное телерадиовещание и разместили якобы экстренное сообщение В.В.Путина о введении военного положения и всеобщей мобилизации, опять случайность. Пост к этому никакого отношения не имеет!!!

Пост Лукацкого

05 июня 2023 11:14

Инфотекс опубликовал итоги расследования компрометации пользователей своего сайта 🧑‍💻. Если вкратце, то атака supply chain через разработчика нового сайта 😈

К опубликованным результатам, как и к первоначальному сообщению об инциденте, есть вопросы. Но открытость компании все равно можно только приветствовать.

А всем лишнее напоминание о том, что обычно веб-студии нихрена не понимают в ИБ и их работы надо проверять и перепроверять. У меня был опыт запуска сайта Информзащиты два десятка лет назад и промо-сайта Cisco и с тех пор ситуация несильно изменилась 😭

ЗЫ. Сайт был на Битриксе, который в последнее время ломают частенько. Поэтому обратите внимание на рекомендации.

Пост Лукацкого

05 июня 2023 06:40

Про новый приказ ФСБ по мониторингу защищенности я уже написал в пятницу вечером. В блоге же я попробовал не просто пересказать приказ, а задаться рядом вопросов, которые у меня возникли при его прочтении. Да, по мере правоприменения, думаю, многое станет ясно, но пока вопросов больще чем ответов. Также я попробовал порассуждать над тем, кто же у нас отвечает за защищенность - ФСТЭК, ФСБ или Минцифры, каждый из которых выпустил какой-то НПА (и не один) на эту тему. Ну и завершил все списком полезных, как мне кажется, ссылок по теме анализа защищенности.

Пост Лукацкого

04 июня 2023 17:48

У Gmail появилась фича, позволяющая проверить, попала ли ваша почта в базы, слитые в Darknet, и узнать, какие действия стоит предпринять для защиты своей учетной записи. Пока что данная функция доступна только для американцев с подпиской Google One, но обещают, что эта возможность появится у пользователей еще 20 стран в ближайшее время. Может и Россию не забудут.

Тут интересно не сама возможность, а то, что рядовых пользователей все активнее вовлекают в свою персональную ИБ. Такое же делает Mozilla, VK, Яндекс. Они интегрировали свои продукты и системы с внешними или внутренними сервисами по проверке утечек и сообщают пользователям, когда их учетные записи стали достоянием плохих парней. Тут главное, чтобы пользователь на основе полученной информации что-то все-таки сделал, а не игнорил предупреждения, а то потом он же будет обвинять всех вокруг, что о его кибербезопасности никто не побеспокоился.

ЗЫ. Вношу рацпредложение: сделать такой же сервис на Госуслугах! Тогда и охват будет шире!

Пост Лукацкого

04 июня 2023 08:40

Кто-то тут видит рекламу средства для повышения потенции, висящую над писсуарами в туалете аэропорта Внуково. А я вижу рекламу средства защиты информации, которое удлиняет путь злоумышленника до его цели.

Пост Лукацкого

03 июня 2023 13:13

Whatsapp запустил центр безопасности, рассказывающий, как сделать работу с мессенджером более защищенной

Пост Лукацкого

02 июня 2023 20:31

На портале правовой информации опубликован приказ ФСБ от 11.05.2023 № 213 "Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими", разработанный во исполнение подпункта в) пункта 5 Указа 250.

Согласно данному приказу:
1️⃣ Мониторингом защищенности занимается 8-м Центром ФСБ.
2️⃣ Мониторинг осуществляется только в отношении периметра организаций, попадающих под действие Указа 250.
3️⃣ Все попавшие под действие приказа организации должны отправить в ФСБ информацию о свою доменах, внешних IP, а также об их изменении (по мере изменения и добавления)
4️⃣ Мониторинг осуществляется непрерывно и заключается в выявлении публично доступных сервисов, уязвимостей и оценки защищенности организаций
5️⃣ Блокировать сканирование запрещено
6️⃣ Оценка защищенности осуществляется без предупреждения со стороны ФСБ
7️⃣ Оценка защищенности осуществляется на основании плана, утверждаемого начальником 8-го Центра ФСБ. Выписки из них направляются тем, кого будут оценивать
8️⃣ Если в результате оценки защищенности ресурсы организации выходят из строя, об этом надо сообщить в порядке, определенном приказом
9️⃣ Если по результатам оценки защищенности выявляется неспособность ресурсов организации противостоять угрозам ИБ, ФСБ выдает предписание по обеспечению безопасности

Пост Лукацкого

02 июня 2023 18:05

Многие средства защиты, продаваемые на российском рынке, похожи на представленные средства стимуляции мозга. Деньги на них тратятся, а эффекта ноль; кроме чувства ложной защищенности и помощи 🆘 Некоторые еще и вредят. Но их покупают. Потому что никто не хочет прилагать усилия к своей защите - все хотят волшебную пилюлю.

В лучшем случае продукт сертифицирован, что говорит только о его соответствии требованиям регулятора, но не применимости в конкретном сценарии. Иногда продукт просто покупают, потому что реклама хорошая или бюджет надо потратить или еще какие причины. Но вот вписать в договор на поставку условие оплаты только при достижении результата купленным продуктом, увы, нет. И вендор, продающий «AS IS», не согласен, и заказчик не готов. Потому что сам не знает, какой результат нужен от покупаемого продукта. И еще не хочет сам отвечать за достижение результата (это же совместный труд).

Так и живем 😕

ЗЫ. Кстати, кабину Райха с первой фотки я бы купил. Это, похоже, обычный шкаф из ИКЕА, но названный иначе. А мне как раз шкаф на дачу нужен…

Пост Лукацкого

08 июня 2023 13:29

Вы еще не пересматривали видео с PHDays? А зря. Во-первых, мы разбили на Youtube все по positiveevents5242/playlists">плейлистам, соответствующим трекам программы PHD. А во-вторых, вы можете увидеть там то, что пропустили на самом мероприятии, так как не смогли физически присутствовать на всех 13 параллельно идущих треках.

Например, доклад Росбанка о том, как они считают рублем свою кибербезопасность и согласовывают свои расчеты с финансовым директором. Озвученный вывод о том, что инвестировать в ИБ банка и в сам Росбанк выгоднее, чем инвестировать в акции Microsoft, Apple, Google, Amazon и Nvidia, конечно, еще требует осмысления. По такой логике вкладывать в акции Позитива еще выгоднее - у 🟥 рост даже больше (мы еще и дивиденды выплачиваем, не что, что некоторые 🤑). Но это уже детали. Тут интересен сам опыт расчета ROI, а также рисков ИБ, и согласования этих расчетов с топ-менеджментом компании.

Пост Лукацкого

08 июня 2023 06:40

Олег у себя написал заметку про атаки на web-сайты под управлением Битрикс и задался сакраментальным и риторическим одновременно вопросом. Если ФСТЭК выпускает рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе, РКН расследует факты утечек через уязвимый Битрикс, ресерчеры находят уязвимости, ИБ-компании выпускают рекомендации по защите, сам Битрикс вроде как выпускает обновления, то почему Битрикс продолжают ломать, а его клиенты не обновляют свои web-ресурсы? 😕 Я решил чуть развернуто прокомментировать его заметку и добавить несколько предложений по решению этой проблемы.

ЗЫ. Исходная заметка Олега.

Пост Лукацкого

07 июня 2023 17:28

Я за этим делом слежу по телеграм-каналам, но вот и Коммерсант написал статью. Оно, конечно, интересное. Хакерская группа, ломавшая банки по всему миру (кроме России и СНГ), была задержана ФСБ и ее пытаются осудить в военном гарнизонном суде. Это уже само по себе интересно, так как военные суды у нас занимаются делами военнослужащих, а значит кто-то из задержанных носил погоны во время своих хакерских проделок (на самом деле речь идет о сотруднике ФСБ, хотя первоначально следствие это опровергало, но в финальным материалах дела уже согласилось с этим). Интересно, почему еще западные СМИ не публикуют сенсационные расследования о том, что наконец-то появились доказательства, что пресловутые русских хакеры - это и есть военные 🫡

Особую пикантность в дело добавляет тот факт, что предполагаемый главарь группировки имеет благодарность от Президента Путина за обеспечение кибербезопасности при проведении Чемпионата мира по футболу в РФ в 2018 году, а также грамоту от директора ФСБ РФ за обеспечение кибербезопасности РФ. При этом в защищающих группировку телеграм-каналах утверждается, что одно время она выполняла даже функции кибервойск РФ, а один из участников группировки обращался и ФСБ, и к Евгению Пригожину (ЧВК Вагнер), с предложением вернуть группировку в «строй», чтобы она послужила России в текущем геополитическом конфликте.

В общем, интересная история.

Пост Лукацкого

07 июня 2023 09:20

Почувствуйте разницу, так сказать. Внимательным +1 в карму 👀

Пост Лукацкого

06 июня 2023 16:58

Сегодня я читал в одной солидной компании тренинг для топ-менеджеров по кибербезопасности и в качестве одного из кейсов показывал, как можно сделать дипфейк на обычном домашнем компьютере и насколько он будет неотличим от реального видео. А тут очень удачно попалось две новости, показывающие, что это уже не единичный случай, а вполне себе серьезная история, имеющая далеко идущие последствия 😭

Во-первых, взлом телекомпании "МИР" и демонстрация в ее эфире в течение почти 40 минут фейкового выступления Президента России, который "объявил" о всеобщей мобилизации и введении военного положения в приграничных районах. А во-вторых, история с китайским г-ном Гуо, который работает в технологической компании в Фучжоу (Китай) и который после проведения видео-звонка с мошенником, использующим дипфейк и замаскировавшемся под друга жертвы, перевел ему "на бизнес-проект" 4,3 миллиона юаней (667 тысяч долларов) 🤑

Три кейса. В одном я представился генеральным директором компании, а мог бы и его фото подставить в любой ролик, в том числе и нелицеприятный. Во втором, дипфейк (а там голос не совпадал с движением губ) мог бы обрушить курс акций компаний, если бы в уста высокопоставленного чиновника вложить совсем другой текст. Третий же кейс показывает как дипфейки могут повлиять на конкретного человека и заставить его выполнить то, о чем он потом будет жалеть 😰

А вы знаете, что противопоставить дипфейкам?

Пост Лукацкого

06 июня 2023 10:01

Приветствую различные формы обучения, но в данном случае у меня есть вопросы к этим организаторам обучающего марафона желаний:
1️⃣ Где они видели таких женщин после 40? У меня, конечно, есть предположение, но боюсь тогда для них не очень актуально это предложение. Хотя такой образ может быть у 14-тилетнего СММщика, для которого девушка в 25 уже старуха 👵, а 40+ - вообще ближе к сказочной героине, жрущей добрых молодцев, с именем, начинающемся на Б, а заканчивающемся на А (из двух слов)
2️⃣ Когда обещают доход в миллион, но денег не берут, это выглядит как реклама от прыщавых юнцов «зрелым дамам куни бесплатно» (извините за мой французский)
3️⃣ «До 1 миллиона»? 13 тысяч тоже подходит 😭
4️⃣ До 1 миллиона в год? Тогда для ИТшника это немного. В месяц? Что ж ты сам тогда там не работаешь?
5️⃣ Почему в одной рекламе из женщины хотят сделать айтишницу, а в другой - айтишника? Или на тест-драйве профессий будущего совмещают ИТ и толерантность, а будущий айтишни(к|ца) становится еще и трансгендером. А что, айтиквир, это модно 😱

Хорошо, что кибербез так не рекламируют. А то я бы вышел с инициативой о пожизненном блокировании автора такой рекламы.

Пост Лукацкого

05 июня 2023 19:48

Обновляю тут презентацию по повышению осведомленности в области ИБ для рядовых пользователей...

Пост Лукацкого

05 июня 2023 12:55

Как пишут индийские СМИ причиной крушения поездов в Индии, в результате которого погибло почти триста и ранено более 1000 человек, стало изменение в системе электронной блокировки, отвечающей за контроль движения поездов и отсутствие конфликтов, приводящих к потенциальному столкновению. Но что-то пошло не так... Я, конечно, не стрелочник, но допускаю, что причиной этого недопустимого события мог быть и компьютерный инцидент. По крайней мере такой сценарий заложен в киберполигоне Standoff, видео с которого я показал в канале на днях (что интересно, именно фрагмент с крушением поездов), а у нас все сценарии основаны на реально возможных событиях.

ЗЫ. Причины инцидента в Индии пока выясняются...

Пост Лукацкого

05 июня 2023 09:35

Три столпа анализа/контроля/оценки/мониторинга защищенности!

Пост Лукацкого

04 июня 2023 20:29

Люблю это фотку с PHD’12 (но не с 12-го по счету, а из 2012-го).

ЗЫ. Надо обязательно добавить «олды поймут» ;-)

Пост Лукацкого

04 июня 2023 13:11

На секции про искусственный интеллект и кибербезопасность на ЦИПРе Руслан Юсуфов рассказывал историю, как таксист 🚕, который как-то вез его, узнал и стал спрашивать про цифровую сингулярность 😊 Меня, конечно, таксисты еще не узнают (правда, когда я был молод, стюардессы узнавали в самолетах, - так часто я летал), но зато водители маршруток и автобусов 🚘 демонстрируют похвальную осведомленность в том, что происходит с рынком киберпреступности 😡

Пост Лукацкого

03 июня 2023 20:20

Прошло то время, когда то на рекламных плазмах на Садовом кольце, то на киосках метрополитена хакеры порнографию демонстрировали 🤔. Городская среда все кибербезопаснее становится... В том же метро на баннерах советы по ИБ показывают (тут и тут). Так глядишь и в рейтинге городов с самой безопасной цифровой средой станем выше всех. Главное, чтобы там дроны не учитывали как фактор кибербезопасности....

Пост Лукацкого

03 июня 2023 08:40

Неожиданно попал в список лучших тренеров по ИБ. Приятно, чо 😊 Хотя, по чесноку, текст писался явно не тем, кто у меня учился, а по моим соцсетям и видосикам. Но описание меня со стороны все равно прикольное. Ментор-акула...

Пост Лукацкого

02 июня 2023 18:40

Если вдруг у вас сайт на Битриксе и его "случайно" взломали в последние дни, то стоит обратить внимание на данные рекомендации. Ну а если не сломали, то тоже стоит обратить.

Пост Лукацкого

02 июня 2023 14:41

До недавнего времени вся деятельность по ИБ попадала в единственный ОКВЭД 74.90.9 (деятельность в области защиты информации), что явно не отражает всего спектра мероприятий, которыми занимаются отечественные ИБ-компании, начиная от разработки ПО и заканчивая оказанием услуг в области ИБ. Приказом Росстандарта от 03.04.2023 N 178-ст было введено 10 новых и изменено 2 существующих вида деятельности в области ИБ. Так, например, отдельный код появился у мониторинга ИБ, контроля защищенности, сертификации средств защиты информации и т.п. По сути, классификатор был приведен в соответствие с существующими в соответствующих положениях о лицензировании деятельности по защите информации и шифрованию (ПП-79 и ПП-313 соответственно).

Сделано это для решения разных задач:
1️⃣ Поддержка во времена санкций (по аналогии с тем, как это было сделано с ИТ с начала СВО)
2️⃣ Предоставление адресных льгот отдельным ИБ-компаниям
3️⃣ Фокусное регулирование и установка требований
4️⃣ Анализ отечественного рынка кибербезопасности.

Если вы работаете в ИБ-компании, то стоит обновить свои документы, для учета нового классификатора.