Пост Лукацкого

20 марта 2023 15:35

Мы тут закрытый "Позитив CISO-клуб" организовали (invitation only). В хорошем месте, в неформальной обстановке, выпить/закусить, пообщаться... Все дела. Но главное там не это, конечно (хотя кому как 🤔), а возможность рассказывать о чем-то полезном для тех, кто хочет достичь результативной ИБ.

На первом заседании "Позитив Клуба" я рассказывал о первом шаге - нахождении общих точек соприкосновения с топ-менеджерами. Разумеется, речь не о догмах, а о наблюдениях и идеях, которые срабатывали в моей практике и практике 🟥.

ЗЫ. Запись мероприятий не велась и не будет вестись. Так что все, что там происходит, остается там, но чуть-чуть слайдов по привычке выложу.

Пост Лукацкого

20 марта 2023 08:59

На прошлой неделе удалось мне побывать на дубайской GISEC 🇦🇪 Мало того, что это была чуть ли не первая моя заграничная командировка с начала COVID-19, так это еще и первый раз, когда я был на ближневосточной специализированной выставке по кибербезу. Учитывая мой опыт участия в американской RSA Conference и европейской Infosecurity Europe, было с чем сравнивать.

Пост Лукацкого

19 марта 2023 19:04

Нестареющая классика от Arkanoid ⛔️

Пост Лукацкого

19 марта 2023 11:27

На трассе тут схватил саморез в колесо и пришла мне в голову хорошая аналогия. Когда вы используете IDS с набором предустановленных сигнатур, то вам ничего не надо делать с этим средством защиты (ну почти, но сейчас это неважно). Как и с антивирусом, кстати. Поставил и оно пассивно работает, ловит известные угрозы и не дает им реализовываться. Для их работы даже специалист не нужен (кроме процесса инсталляции, да и то не всегда). Примерно также на "простых" автомобилях - у тебя есть обычные колеса и все; они едут и едут. И узнаешь ты о том, что у тебя пробило колесо либо от проезжающих мимо и сигналящих тебе машин, либо по тому, как начинает уводить авто в сторону.

С решениями класса xDR (NDR, EDR, CDR, XDR и т.п.) ситуация прямо противоположная. Чтобы они дали нужный эффект их нужно настроить, рассказав, что хорошо, а что плохо, чтобы снизить число ложных срабатываний. И надо регулярно следить за политиками работы этих решений, чтобы они не фолсили. Ровно та же история с автомобилями, которые умеют контролировать давление в шинах и показывают, когда у вас пробито или спущено колесо. Но чтобы этот механизм был эффективен, вы должны сначала задать нужные параметры по давлению на передние и задние колеса (с учетом сезона и загрузки). И только потом бортовой компьютер начнет сам контролировать нужные параметры, сигналя вам в случае обнаружения отклонений. Ваша задача только вовремя менять параметры давления исходя из окружающей ситуации. То есть без человека все это уже не работает.

Да, искусственный интеллект должен помочь с этой проблемой, но только на стороне потребителя и при условии, что на стороне разработчика грамотно обучена модель и она регулярно обновляется (вы же не думали, что ML обучили один раз и больше не надо). То есть полная автоматизация обнаружения - это, конечно, пока еще мечта, и к ней идут вендора. Ну а пока не надо тупить, а лучше понимать, что в своей инфраструктуре хорошо, а что плохо.

ЗЫ. А как же шины Run Flat? А они тоже имеют свою аналогию в ИБ, но об этом как-нибудь в другой раз.

Пост Лукацкого

18 марта 2023 18:30

Даже в ИБ цели и метрики лучше привязывать к деньгам, а не к иным формам оценки эффективности

Пост Лукацкого

18 марта 2023 11:30

На фоне текущих новостей хочется вспомнить, что Россия отзывала свою подпись не только под Римским статутом, тем самым выходя из под действия Международного уголовного суда, но и под Будапештской конвенцией о киберпреступности 2001-го года ✍️ Тогда нашу страну не устроила статья 32-я, разрешающая участникам Конвенции, без согласия государства, получать доказательства совершенных киберпреступлений, в том числе и за счет доступа к компьютерам на территории России 👨‍💻

Спустя полтора десятка лет Россия 🇷🇺 предложила в ООН свою версию конвенции по данной тематике («О сотрудничестве в сфере противодействия информационной преступности»), работа над которой продолжается уже группой экспертов разных стран. Но примут ли ее и когда, пока непонятно (планировали в 2024-м).

ЗЫ. К слову сказать, подключение как можно большего числа стран к Будапештской конвенции (сейчас их около 70) было одной из основных задач США в киберпространстве.

Пост Лукацкого

17 марта 2023 12:06

В последнее время все чаще из разных источников звучит, что роль CISO чуть ли не расстрельная; что это борьба за выживание; что уровень стресса зашкаливает…

Пост Лукацкого

17 марта 2023 05:40

Побывав в Дубае и посмотрев на то, как индусы завоевывают местный рынок, в том числе и в части кибербезопасности, я подумал, что Указ 250 полезен даже не тем, что он привлекает внимание к ИБ топ-менеджмента компании (хотя тут есть нюансы), а тем, что он закрывает российский рынок для страны, которая обошла Китай по числу жителей, которым надо кормить свои семьи и поэтому они готовы работать почти даром. Если бы толпы индийских ИТшников и ИБшников ринулись в Россию, то конкурировать с ними было бы оооочень сложно.

Пост Лукацкого

16 марта 2023 15:14

Я уже не раз рассказывал, это мужику в карманах можно носить все, что угодно, - от бумажника и телефона до кредиток и токенов. На фото яркое тому подтверждение. А вот девушкам куда все это богатство девать? 🤷‍♀️ Я про токены, если что 🥺 И остаются токены воткнутыми в комп или оставленными на столе со всеми вытекающими

Пост Лукацкого

16 марта 2023 07:05

Ну, это был только вопрос времени. ЧВК в киберпространстве, ИТ-армия с официальным статусом… Украина говорит о законопроекте, легализующем такого рода активность и разрешающем создавать ЧВКК (первая К - от «кибер»). Российские хакеры тоже не отстают (на картинке). И хотя о легализации пока речи нет, но лиха беда начало…

Пост Лукацкого

15 марта 2023 20:08

Exploiting CVE-2023-23397: Microsoft Outlook Elevation of Privilege Vulnerability

👤 by Dominic Chell

Today saw Microsoft patch an interesting vulnerability in Microsoft Outlook. The vulnerability is described as follows:
Microsoft Office Outlook contains a privilege escalation vulnerability that allows for a NTLM Relay attack against another service to authenticate as the user.

Security researcher has shared technical details for exploiting a critical Microsoft Outlook vulnerability for Windows (CVE-2023-23397) that allows hackers to remotely steal hashed passwords by simply receiving an email.

https://www.mdsec.co.uk/2023/03/exploiting-cve-2023-23397-microsoft-outlook-elevation-of-privilege-vulnerability/

Пост Лукацкого

15 марта 2023 19:11

Хорошая бельгийская социальная реклама, показывающая, что можно узнать о человеке с помощью OSINT, что люди не задумываясь выкладывают в соцсетях и насколько ценна эта информация. Для случайно выбранных участников это и правда выглядит как магия 🪄

Пост Лукацкого

15 марта 2023 08:59

Надо признать, что если бы я на парковке наткнулся на такую валяющуюся флешку, я бы ее поднял ;-) Да, потом я бы ее прогнал через антивирус и песочницу, но первым желанием все равно было поднять эту флешку нестандартной формы ⚰️

Пост Лукацкого

14 марта 2023 19:09

Сторонников написания в датах сначала месяца, а потом дня, поздравляю с днем числа Пи! Остальным ждать 31-го апреля!

Пост Лукацкого

13 марта 2023 15:50

Как воруют данные в США и в России?!

Пост Лукацкого

20 марта 2023 12:20

Пока один чиновник грозит гиперзвуковой ракетой зданию МУС в Гааге, от других в очередной раз просят отказаться от iPhone 📱 В этот раз может и получится. Однако странно выглядит объяснение, что iPhone менее защищен, чем тот же Android. Мне всегда казалось, что все с точностью наоборот.

Похоже, что советчики администрации Президента что-то знают о планах врага - в отдельных каналах проскакивали страшилки о возможности киберконтрнаступления, в котором могут быть задействованы представители американского CyberCom, которые будут атаковать среди прочего мобильники высокопоставленных чиновников. Или наши спецслужбы уже столкнулись уже с заражениями чиновников ПО типа Pegasus. Версий больше одной, но интересно, удастся ли в этот раз проконтролировать исполнение распоряжения?.. А то ведь у нас все благие намерения разбиваются о нежелание/неумение контролировать их реализацию 🤦‍♂️

Пост Лукацкого

20 марта 2023 05:40

У Ицхака Адизеса есть модель жизненного цикла организации, которая описывает развитие и угасание любого предприятия. Интересно, что эта модель может быть применена и к управлению ИБ на предприятии.

Сначала, на этапе младенчества, вам не нужна никакая формализация и даже как такового управления ИБ вам не нужно. По мере роста и потребности в ИБ изменяются. Задача компании - удовлетворять все возрастающее число клиентов и ей не до процедур и не до упорядочивания внутренних процессов ИБ.

Ну а на этапе бюрократии и загнивания и ИБ превращается в один сплошной формализм и бумажную ИБ в ущерб результативной. Задача компании в этом случае заключается в упорядочивании всего и поэтому так хорошо заходят всякие "процессные" истории - ISO 270xx, ISM3 и т.п.

Понимание этапа жизненного цикла позволяет не заниматься ерундой (если вы поднимаетесь к вершине и удерживаетесь на ней) и вовремя свалить (если развитие компании пошло на спад). Почему свалить? Ну вряд ли вы захотите работать в компании, в которой ИБ заключается в тупом выполнении бумажных требований без какой-либо движухи. Ну разве что и ваш жизненный цикл перешел во вторую половину и вам хочется покоя и хорошей зарплаты 🫡

ЗЫ. Жаль, что у нас на специальностях по ИБ не преподают теорию организации 🤔

Пост Лукацкого

19 марта 2023 15:35

Брянские депутаты заявили, что неизвестные хакеры взломали сайт областной думы и разместили фейковую новость, которая вызвала в регионе определенную шумиху (на первой картинке). В последнее время все чаще и чаще различные косяки или необдуманные слова и действия стали валить на хакеров.

Я тут когда был в Дубае, увидев табличку на траволаторе, что он не работает в целях сохранения электроэнергии (через час он уже работал), тоже сначала подумал, что у нас могли бы такой повод использовать для обоснования своего бездействия.

Раньше, все думали, что хакеры - это миф. Потом про них писали эпизодически и ИБшники расстраивались, что об их борьбе с плохими парнями никто не говорит и не пишет, кроме специализированных СМИ. А сейчас хакеры из каждого утюга лезут и все на них сваливают. Удобно же...

Пост Лукацкого

19 марта 2023 07:40

Некоммерческая, но все-таки американская, Linux Kernel Organization отказалась принимать обновления в ядро Linux от компании Байкал Электроникс, попавшей под санкции США. Если отбросить долгие дискуссии о правомерности и осмысленности такого решения, то в контексте ИБ нас, видимо, ждет не просто свое рекомендованное ядро Linux, поддерживаемое ФСТЭК, но и вообще своя ветка Linux.

И если для потребителей это будет не очень заметно, то вот отечественным производителям, которые имеют международные планы, придется поддерживать две ветки - российскую и общепринятую. И хотя это не должно быть (особенно на первых порах) слишком затратно, это все-таки осложнит жизнь российским производителям средств защиты на базе Linux.

Пост Лукацкого

18 марта 2023 14:43

«…В это время Гена при помощи очков виртуальной реальности вновь попадает в компьютер, на сей раз с мухобойкой-антивирусом, очищает себя от вируса, однако он, как и дедушка, не позволяет себе ударить вируса Петю мухобойкой… Вирус, воспользовавшись мягкотелостью учёного вызывает туда сотни своих собратьев-вирусов, которые устраивают в компьютере настоящее шоу, помешать которому Гена пытался в течении очень большого количества времени, но в конце концов Петя поставил лестницу из системы компьютера в интернет и ушёл по ней в открытый мир, обещая иногда возвращаться…»

Вы ознакомились с фрагментом полнометражного мультфильма «Барбосуины Team», в котором также не обошли тему кибербеза и способов ее визуализации.

Пост Лукацкого

17 марта 2023 15:26

А у вас тоже есть свое кладбище метрик ИБ, которые вам казались идеальными, но не были никем принятыми?

Пост Лукацкого

17 марта 2023 08:54

Интересная, однако, аналогия с CISO и «Игрой в кальмара»

Пост Лукацкого

16 марта 2023 17:20

Фильмы про хакеров на конференции Screenshot_2023

В следующие выходные, 25-26 марта, Музей криптографии проведёт конференцию Screenshot_2023 о прошлом, настоящем и будущем цифровой среды. В программе много интересного, но отдельно отмечу показ и обсуждение двух документалок про хакеров вечером 25 марта: сериала «Русские хакеры: Начало» (18:30-21:30) и фильма «Имя нам легион: история хактивизма» (21:30-23:00).

Зарегистрироваться можно на сайте конференции.

Пост Лукацкого

16 марта 2023 10:13

Прозрачные мониторы для аналитиков SOC? Их на втором фото еще разглядеть надо. А если протирать экран от пыли, то не ровен час, не заметишь его и пройдешь «сквозь» 🤔

Но внимание привлекает, безусловно. На выставке хорошо заходит - многие фоткаются за таким монитором.

Пост Лукацкого

16 марта 2023 05:50

Если вдруг у кого-то из российских ИБ-вендоров вы видите сообщение, что они интегрируют свой продукт с ChatGPT, то я бы задал такому вендору ряд вопросов:
1️⃣ Как они обошли запрет OpenAI на работу с Россией? И что будет, если такой обман вскроется? Вернут ли вам деньги за неработающий функционал?
2️⃣ Какие конкретно чувствительные данные о безопасности вашей организации передаются в иностранный облачный сервис?
3️⃣ Каким образом защищается передаваемая и обрабатываемая в ChatGPT информация?
4️⃣ Кто и как проверяет корректность представляемой ChatGPT в качестве ответа информации?
5️⃣ Потребуется ли доработка ответов от ChatGPT?
6️⃣Насколько такая передача соответствует законодательству о запрете использования частей информационной системы за пределами РФ (для госов и значимых объектов КИИ)?
7️⃣ Какие конкретно порты и протоколы должны быть разрешены на МСЭ, чтобы можно было пользоваться API-вызовами ChatGPT?
8️⃣ Кто формально будет считаться пользователем сервиса ChatGPT для компании OpenAI - вендор продукта, с ним взаимодействующего, или потребитель этого продукта?
9️⃣ Является ли ChatGPT средством защиты информации в случае использования его в рамках какого-либо ИБ-продукта?
1️⃣0️⃣ Как вендор планирует сертифицировать свой продукт с подключением к неконтролируемому ChatGPT?
1️⃣1️⃣ Почему вендор не развивает собственное ИИ-направление, а пользуется иностранными наработками?

ЗЫ. Так-то я не против использования ChatGPT в ИБ и уже писал об этом. Просто такое использование должно быть осознанным (и со стороны вендора, и со стороны заказчика), а не базироваться на хайпе.

Пост Лукацкого

15 марта 2023 20:08

Стоит внимательно присмотреться к этой уязвимости с уровнем опасности 9.8. Работает на Outlook под Windows (для macOS, iOS, Android не применима, как и для онлайн-версий Outlook, включая M365). От пользователя не требует вообще никаких действий - достаточно просто открыть уязвимый Outlook и хешированные пароли улетят "плохим парням".

Что делать:
- Установить срочно патч от Microsoft (скачать для разных версий можно тут)
- Добавить пользователей в Protected Users Security Group
- Блокировать исходящий трафик TCP 445/SMB на периметровом/локальном МСЭ или на VPN-устройстве
- Проверить подверженность себя уязвимости можно с помощью PowerShell-скрипта, выпущенного Microsoft.

Пост Лукацкого

15 марта 2023 12:24

Новостной ИБ-портал Threatpost, которым управляет Лаборатория Касперского, с конца августа прошлого года перестал обновляться и публиковать новости 😞 Интересно, почему?

Пост Лукацкого

15 марта 2023 05:40

В далекие-далекие времена, когда COVID-19 еще бушевал на планете, в среде американских ИБшников была жаркая дискуссия на тему, этично или нет проводить фишинговые симуляции на тему коронавируса. Мошенникам это, правда, никак не мешало.

Пост Лукацкого

13 марта 2023 19:47

Оно, подумал я. И правда «Оно». Реклама фильма ужасов могла бы быть использована в качестве визуального ряда к презентациям, посвященным процессу ускоренного и необдуманного импортозамещения

Пост Лукацкого

13 марта 2023 12:27

Пранкеры Вован и Лексус удостоились атрибуции - теперь они считаются хакерской группировкой TA499