alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Продолжая вчерашнюю тему, немного написал про страхование ответственности CISO за его действия или бездействия. Интересно, что страховые продукты (D&O и E&O) предлагаются и в России.

Читать полностью…

Пост Лукацкого

В Европе прошли демократические выборы, в США такие еще только грядут, а мне занятная статья попалась на глаза 👀 Текст начинается с воспоминаний автора о запуске космического шаттла “Челленджер” в его детстве 🚀 Запуск, который ожидали с нетерпением, привел к трагедии через 73 секунды после старта. Это событие стало символом катастрофических последствий группового мышления и проблем с культурой принятия решений внутри NASA 🤦‍♂️ Автор приводит пример с “Челленджером” как аналогию, подчеркивая важность создания меритократии (системы, где продвижение и принятие решений основано на заслугах) в области кибербеза.

Причина катастрофы была связана с отказом уплотнительных колец в твердотопливных ускорителях. NASA и производитель ускорителей Morton Thiokol знали о дефекте с 1977 года, но не предприняли никаких мер по его устранению 🤐 Менеджеры NASA игнорировали предупреждения нижестоящих инженеров о запуске при низких температурах и не сообщали о технических проблемах своим начальникам. Это привело к катастрофе, в которой погибли семь человек ⚰️

Автор считает, что безопасность должна строиться по принципу меритократии, то есть "власти достойных". Он предлагает пять способов, которые помогут создать такую культуру в командах по ИБ:
1️⃣ Оценка по действиям. Оценивать людей надо по их действиям, а не по словам ("звиздить, не мешки ворочать"). Идеи и решения должны быть проверены на практике, а не только выглядеть хорошо на бумаге 🫢
2️⃣ Исключение политики. Политика разъединяет людей. В обсуждениях по безопасности политика не должна упоминаться. Важно сосредоточиться на стратегических, оперативных и тактических вопросах, а не поптыках удовлетворить хотелки очередного начальника или его любовницы 😍
3️⃣ Избегание группового мышления. Групповое мышление приводит к предвзятым и неверным решениям, за последствия которых еще никто и не отвечает. Решения должны основываться на данных, логике и разуме 🧠
4️⃣ Игнорирование “блестящих” объектов. Новые идеи должны оцениваться по их реальной ценности, а не по тому, насколько они популярны или личного того, кто их продвигает. Необходимо объективное тестирование идей перед внедрением.
5️⃣ Поощрение правильной культуры. Сотрудники должны чувствовать себя комфортно, предлагая новые идеи и подходы. Критика и насмешки должны отсутствовать, чтобы не упустить ценные предложения 🏖

Культура влияет на эффективность и успех любой организации, включая команды по кибербезу. Создание внутри служб ИБ (да и в системе госуправления ИБ) меритократии помогает избежать группового мышления и предвзятости, помогая достигать лучших результатов и улучшая общее состояние ИБ в компании, в отрасли, в стране. Когда люди чувствуют себя уверенно, выражая свои идеи и подходы, понимая, что их не поднимут на смех и не заткнут "выскочек", выигрывают все 🏆

Читать полностью…

Пост Лукацкого

Можно пытаться защищаться от атак, выстраивая систему обнаружения 🔍 и реагирования, стараясь сделать это быстрее, чем хакеры достигнут своих целей. А можно попробовать усложнить жизнь хакерам и их продвижение по инфраструктуре, начиная с закрытия открытых извне портов, отключения сервисов, сегментации сети и т.п. 🛡

Ровно тоже самое делают корабли, идущие через Красное море в Суэцкий канал 🚢 Их не страхуют, они не всегда могут защитить себя и поэтому они делают это подручными средствами, существенно усложняя жизнь пиратам, пытающимся проникнуть на корабль... 🏴‍☠️

Читать полностью…

Пост Лукацкого

Лень 🦥 - это не только двигатель прогресса, но и двигатель для хакерских находок. Зачем, например, в уличный гриль 🥩 встраивать Wi-Fi-контроллер? А чтобы удаленно контролировать его через смартфон, поднимать и понижать температуру, заливать свои прошивки, и т.п. Ну и, конечно же, нашлись те, кто решил проверить такой гриль от компании Traeger "на вшивость", то есть на уязвимость 🥷 Исследователи из BishopFox нашли пару дыр в контроллере, одна из которых имела достаточно высокий CVSS - 7.1.

У меня, конечно, есть парочка комментариев к этой истории:
1️⃣ Не покупайте устройства с Интернетом (IoT) только ради забавы. Вы наиграетесь в них и забудете, а хакеры нет и через них могут сделать всякое 👴
2️⃣ Если уж покупаете, то перед покупкой уточните, какие механизмы защиты используются в устройстве. У гриля вся авторизация была построена на 48-битном идентификаторе, который легко перехватывался во время связывания устройств (гриля и смартфона).
3️⃣ Как по мне, так CVSS 7.1 для массово неэксплуатируемой уязвимости в консьюмерском IoT, - это как-то слишком.

ЗЫ. Оставлять гриль без присмотра вообще не рекомендуется! 🔥 Как и турку на газовой плите ☕️

Читать полностью…

Пост Лукацкого

Роберт Хансен придумал кодекс этики CISO, включив в него 9 пунктов:
1️⃣ CISO должен соблюдать NDA, кодекс этики и трудовой договор своей компании.
2️⃣ CISO обязан раскрывать работодателю любое вознаграждение, акции, деньги, обещания будущих позиций, подарки любого размера или любые формы вознаграждений, включая соглашения о консультациях и выплаты супругам или другим лицам, от которых CISO может получить финансовую или другую выгоду.
3️⃣ Если у CISO есть консультативная практика, клиенты и характер консультационных соглашений должны быть прозрачны для работодателя CISO и не содержать конфликта интересов.
4️⃣ В случае неизбежных конфликтов интересов, CISO должен отказаться от участия.
5️⃣ CISO может присоединиться к консультативным советам клиентов только с разрешения своей компании, и если предлагается компенсация, она также должна быть одобрена работодателем CISO.
6️⃣ Если CISO вкладывает личные средства в поставщика или входит в совет директоров поставщика, они должны избегать конфликта интересов, отказавшись от оценки конфликтующих продуктов.
7️⃣ Все продукты и услуги поставщиков должны оцениваться по эффективности, цене, совместимости и полезности для компании, и это должно быть документально оформлено.
8️⃣ У CISO должен быть как минимум один человек, проверяющий их статус на предмет конфликта интересов при каждом решении о закупке и имеющий право наложить вето в случае обнаружения такого конфликта.
9️⃣ По причинам национальной безопасности, CISO не должны становиться советниками других компаний по безопасности, которые не находятся в той же стране, что и их работодатель.

Еще несколько лет назад я мог бы сказать, что для нас это не такая уж и актуальная история. Хотя я помню (хоть и не CISO), как меня звали в совет директоров одной отечественной ИБ компании (но не сложилось). Но лично у меня регулярно всплывали кейсы, в которых мог образоваться конфликт интересов, если бы я согласился на предлагаемые условия. Сейчас ситуация в РФ стала немного иной. Я знаю, что многие коллеги CISO не чураются внешнего консалтинга и подработок, но иногда забывают о соблюдении интересов своего основного работодателя. Поэтому пост Роберта вполне релевантен и нам.

Читать полностью…

Пост Лукацкого

Дочь переслала мне пост из одного канала, у автора которого примерно такое же количество подписчиков, как у меня. Но количество лайков там несоизмеримо больше 👍

Н Е С О И З М Е Р И М О!!! 😖

Одно только и утешает - в ИБ так не принято. У нас тут одни интроверты, нежелающие коммуницировать даже таким образом, или параноики, считающие, что по лайкам можно глубоко изучить человека как в кейсе Cambridge Analytics. Я, кстати, сам такой - интроверт-параноик, и тоже мало где и что лайкаю. Хотя может все проще - дети выражают свои эмоции гораздо охотнее, чем взрослые!

Раздумываю над экспериментом по открытию комментариев 🤔

ЗЫ. Может запеть? 🎤

Читать полностью…

Пост Лукацкого

Прокомментирую последний опрос. Со смартфона не до конца виден ответ, поэтому я его опубликую целиком:

"Несмотря на то, что Паго-Паго и Апиа разделяет всего 70 км, они находятся по разные стороны от линии перемены дат и разница во времени между ними составляет 24 часа!".


Это не только к вопросу о важности понимания роли времени при мониторинге и расследовании инцидентов, но и о том, что смотреть на ситуацию надо не только со своей позиции, а постараться выйти за ее пределы и окинуть взглядом целиком

ЗЫ. Я первоначально в примере хотел вообще использовать острова Диомида - Ратманова и Крузенштерна, которые разделяет всего 4 км, но при этом между ними 20 часов разницы (или больше - в зависимости от летнего/зимнего времени). Но кейс с Паго-Паго и Апиа мне показался более примечательным - там реально ровно 24 часа разницы между двумя территориями 🕙

ЗЗЫ. Кстати, вы знали, что у России и США общая граница и проходит она как раз между островами Ратманова (Россия) и Крузенштерна (США), которые разделяет всего 4 км водной поверхности. Иногда, зимой, там даже на лыжах можно махнуть из России в Америку 🇷🇺🇺🇸

ЗЗЗЫ. И снова кстати. Франция - единственная страна в мире, территория 🗺 которой располагается в 12-ти часовых поясах. А Китай, который в 20 раз больше Франции, имеет всего 1 часовой пояс (хотя географически располагается в пяти) 😱

Читать полностью…

Пост Лукацкого

Если вдруг вы интересовались курсами для аналитиков SOC, то для вас небольшая заметка с ссылками на онлайн и оффлайн, зарубежные и отечественные курсы 👨‍🎓

Читать полностью…

Пост Лукацкого

Расскажу вам историю, о которой вы вряд ли где-то еще прочитаете; хотя и ничего нового в ней нет. Бывшим сотрудникам российского офиса Cisco активно пишет мошенник ✍️, представляющийся нынешним генеральным директором российского офиса (он же еще формально не закрыт, хотя там и не осталось сотрудников) и... та-дам, просит оказать содействие российским спецслужбам в деле обеспечения информационной безопасности 😕

Схема, конечно, топорная 🤦‍♂️ С кем в Cisco Russia проводить беседы не очень понятно, но то упорство, с которым с прошлой осени мошенники пытаются развести бывших сотрудников российского офиса Cisco, вызывает уважение 😎 Но незнание культуры работы в американских компаниях, правил оформления официальных документов российских госорганов и методов работы "Прикомандированных Сотрудников" всю схему превращает в тыкву 😄

PS. В мае я уже писал про схожую историю с бывшими сотрудниками иностранных компаний.

Читать полностью…

Пост Лукацкого

Мегафон тут посоветовал (спасибо подписчику, который обратил на это внимание) своим клиентам воспользоваться сайтом, непонятно кому принадлежащим и зарегистрированным в Польше 🇵🇱, чтобы проверять IMEI б/у мобильных устройств при их покупке. Желание покупателя не быть надутым понятно. Непонятно, зачем отправлять их в недружественную страну? ⬅️ А где гарантия, что владельцы сайта теперь не внесут присланные им из России IMEI в список украденных устройств? Внести-то туда такие сведения может кто угодно. И потом доказывай, что ты не верблюд 🐫 (например, на границе во время отпуска или про продаже).

Я бы на месте Мегафона тогда уж инициировал создание такого реестра на базе "Госуслуг". Эта же информация у наших мобильных операторов 📡 есть. У МВД есть данные по кражам мобильных устройств. Надо только объединить все и предложить россиянам полезный сервис. А Минцифры может возглавить 🫡 эту инициативу, чтобы не было коммерческого интереса у заинтересантов.

Читать полностью…

Пост Лукацкого

В Москве набирает популярность схема с обманом пожилых людей с помощью дипфейка мэра Москвы Собянина 👎

В апреле 75-тилетнему москвичу позвонила девушка, представившаяся секретарем мэра и предупредила, что с ним свяжется сам Собянин, который и вправду "сам" позвонил 📞 пенсионеру и предупредил, что через его банковский счет похищены государственные деньги и поэтому ему надо сотрудничать с ФСБ. Звонок от генерал-полковника спецслужбы 🇷🇺 тоже не заставил себя ждать. В итоге на "защищенный счет" были выведены 1,5 миллиона, которые и исчезли в неизвестном направлении. Об аналогичной истории (звонке от "Собянина") рассказывал ректор Иннополиса, которому мэр звонил по Whatsapp'у 📲

В июне по такой же схеме 4 миллиона похитили у бывшего главы РДКБ Николая Ваганова, правда в данном случае, это уже был видеозвонок. Бывший министр культуры Михаил Швыдкой рассказывал недавно о таком же кейсе - там "мэр" Москвы по-братски предупреждал, что со счетов жертвы были отправлены деньги на счета ВСУ и ей надо будет дать объяснения правоохранительным структурам. В этой схеме участвовал и зампред Банка России, чей дипфейк 🎭 также был задействован для солидности.

В чем особенность данной схемы? Она не массовая - список жертв небольшой и неплохо проработанный. Артисты, политики, чиновники, общественные деятели, руководители московских подведов (театры, больницы и т.п.), бывшие начальники... Люди, которых не удивишь звонком из "мэрии Москвы", которые не привыкли отвечать "нет" 👎 властьпредержащим.

Таких примеров, на самом деле, много и все их приводить большого смысла нет. Я бы хотел скорее обратить внимание на три момента:
1️⃣ Дипфейк - это уже не просто технология для организации шуток и розыгрышей, это вполне себе способ реализации угроз. И не за горами тот момент, когда его активно начнут применять и в корпоративной среде, а не только против физлиц.
2️⃣ Технологии развиваются очень быстро и рассчитывать, что "еще есть время" уже не приходится.
3️⃣ Да, это пришло уже и в Россию. Поэтому истории директора в ОАЭ или Сингапуре можно оставить в прошлом - у нас своих кейсов немало 😭

Читать полностью…

Пост Лукацкого

Ну и еще один мемчик про ИБ 😊 Меня тут спросили про форумы, где можно начинающему ИБшнику 👶 спрашивать совета и вот это вот все. А я и не знаю. Я же не начинающий уже; Да и на форумах я был в прошлом веке - сейчас все как-то вживую, за бокалом коньяка или кружкой иван-чая 😊 Но чтобы не просто мемчик был, а и польза (хотя улыбнуться бывает полезно), кину ссылку, которую мне ее автор прислал, - список ресурсов для начинающих ИБшников. Про форумы там, вроде, ничего нет. Но всякие курсы, лабы, CTF, стажировки и т.п. точно есть 🎓

Читать полностью…

Пост Лукацкого

Сколько вы знаете формул оценки рисков ИБ? Одну, две, три?.. Я знаю с десяток и абсолютное большинство из них в качестве одного из двух основных параметров (помимо вероятности) используется ущерб 💥 В ооочень редких случаях вместо ущерба упоминается стоимость актива, на который влияет риск. Но все это полная фигня; особенно когда апологеты этих формул говорят, что она позволяет говорить на одном языке с бизнесом. Это похвальное стремление, но только вот бизнес не говорит на таком языке 😱

Для любого бизнесмена риск - это сочетание возможностей и опасностей; причем на возможности он смотрит с большим вниманием, чем на опасности. Я про это недавно писал, но не грех и повторить ✍️ Можно долго бегать вокруг предотвращения ущерба, но если бизнес внес его величину в себестоимость продукта, то ему уже пофиг на ущерб, он отбил свои деньги и начал зарабатывать. А ИБшники продолжают носиться с предотвращением ущерба, который уже не интересен 🤠

Поэтому если вы видите в формуле 🧮 риска, которую вам кто-то презентует, слово "ущерб" или "impact", бегите от таких людей как от чумных - они не понимают, что такое риски на самом деле, и не понимают, что такое бизнес. Вместо "ущерба" должно быть "value" или "ценность", которую мы получаем от реализации какого-то проекта или инициативы. И вот "value" может быть как положительным (заработали), так и отрицательным (потеряли) 😦

Кстати, обратите внимание, что на картинке в знаменателе есть countermeasures (защитные меры) 🛡 и exposure factor. Последний параметр по своему интересен и достаточно редко упоминается в формулах рисков. Я про него отдельно напишу. А вот на место countermeasures надо обратить внимание особо. Если вы делите ("уязвимость" * "угроза"), то это хорошо; вы тем самым снижаете опасность. А вот если вы делите "ценность", то защитные меры в знаменателе вам только все портят, так как они уменьшают ценность! И это то, про что я тоже уже писал.

ЗЫ. Поэтому, когда вам рассказывают про киберриски, всегда уточняйте, что имеет ввиду спикер, показывая классическую формулу "риск = вероятность * ущерб"? По его блеянию вы поймете, понимает он что-то в теме или нет 🤔

Читать полностью…

Пост Лукацкого

Все-таки есть что-то притягательное в ИБшных койнах. Вроде по сути та же грамота из олдскульных времен, но ощущения совсем иные. И подделать сложнее 😎 Это вам не грамота от директора ФСБ на Авито 🫡

Читать полностью…

Пост Лукацкого

Сделал презу для сегодняшнего мероприятия, но показать ее не могу, условия такие, закрытое мероприятие. Поэтому только один слайд и могу в паблик выложить. Остальное, может быть, изложу в формате блога...

Читать полностью…

Пост Лукацкого

Летом 2023 года Clorox, неизвестная в России компания из США, занимающаяся средствами для ухода за животными, коммерческого клининга и т.п., столкнулась с атакой, которая обошлась компании недешево - потеря дохода в размере 500 миллионов долларов и снижение оценки компании на 3 миллиарда 🤑 Но вместо того, чтобы извлечь уроки и начать улучшения ИБ, компания сделала своим “козлом отпущения” директора по информационной безопасности (CISO) Эми Богач, которая покинула свой пост во время кризиса, в то время как совет директоров и генеральный директор Линда Рэндл получили вознаграждения 💰

Несмотря на кризис, Clorox переизбрала всех двенадцать директоров и не создала отдельный комитет по технологиям или кибербезопасности, оставив ответственность за кибербезопасность аудиторскому комитету, в котором не было членов с соответствующим опытом в ИТ или ИБ 😍 "Прокси-заявление" включало план обеспечения кибербеза из семи пунктов, но он в значительной степени повторял планы предыдущих лет, что свидетельствует об отсутствии значительных изменений или улучшений в ответ на инцидент ИБ с катастрофическими последствиями 🤦‍♂️

Эта ситуация подчеркивает более широкую проблему с корпоративным управлением кибербезопасностью, где советы директоров часто не предпринимают существенных шагов для повышения уровня своей защищенности, вместо этого выбирая минимальное соблюдение требований и сохранение руководящих позиций и компенсационных пакетов. Фу быть такими 🤠

Читать полностью…

Пост Лукацкого

А сегодня у нас будет что-нибудь позитивное, про то, как CISO не сесть в тюрьму за инциденты ИБ 👮 Правда, на основе опыта супостатных заокеанских 🇺🇸 коллег

Читать полностью…

Пост Лукацкого

Mandiant, войдя в состав Google, стала прям строчить различные отчеты и исследования по хакерским группировкам. Вчера вот они перед саммитом НАТО 🇺🇸 в Вашингтоне запостили перечень группировок, которые нацелились на Североатлантический альянс (преимущественно российские и китайские). Там и "Ледяная фуражка" (ICECAP, она же APT29), и "Замерзший Баренц" 🥶 (FROZENBARENTZ, она же APT44, она же Sandworm), и "Холодная река" (COLDRIVER), и "Писатель-призрак" (GHOSTWRITER), и другие.

А в конце июня они выпустили другой отчет про рост роли хактивистов 🥷 (например, KillNet, Anonymous, NoName, CyberAv3ngers, Gonjeshke Darande и т.п.) в ИБ-сфере и необходимости более пристально обращать внимание на их деятельность и учитывать в своей стратегии ИБ 🎩

Атрибуция там уровня "бог", но для изучения техник вполне себе источник 🇷🇺

ЗЫ. Но как они от "песочного червя" перешли к "замерзшему Баренцу"?..

Читать полностью…

Пост Лукацкого

Тут некоторые российские специализированные СМИ выпустили новость под заголовком "Технологии Passkey бессильны перед атаками Adversary-in-the-Middle" 😷 В оригинале заголовки зарубежных СМИ звучали не так безапелляционно - "Passkeys aren’t attack-proof, not until properly implemented", то есть "Технологии Passkey не защищены от атак, пока не будут должным образом внедрены". Согласитесь, немного другие интонации. Исходное же исследование, на которое ссылаются все, звучало и вовсе в иной коннотации - "Securing Passkeys: Thwarting Authentication Method Redaction Attacks" 🤒

Идея исследования очень проста - Passkey, беспарольная технология аутентификации пользователей, несмотря на свою популярность, может быть уязвим для атак “adversary-in-the-middle” (AitM) 🥷 Некорректная реализация Passkey, например, предоставление менее защищенных методов резервной аутентификации, может позволить AitM обойти процесс аутентификации 😲 путем изменения отображаемых пользователю запросов. Используя open source решения для атак AitM, например, Evilginx, можно обмануть пользователей популярных сервисов, таких как GitHub, Microsoft и Google, захватив их токены аутентификации и сессионные cookies 😮

Большинство методов резервной аутентификации, такие как пароли, контрольные вопросы, push-уведомления на доверенные устройства, коды по SMS и email, подвержены атакам AitM 👨‍💻 Единственным надежным по мнению авторов исследования методом является использование второго Passkey или аппаратного ключа FIDO2, защищенного PIN-кодом 🤒 Использование нескольких Passkey, один из которых является аппаратным ключом, считается наиболее безопасным методом 👍 Для восстановления аккаунта при потере Passkey или аппаратного ключа, наименее уязвимым методом является использование магической ссылки по заранее определенному email или номеру SMS.

Вывод простой - не все так страшно, если думать головой и правильно внедрять Passkey. А если не думать, то создается иллюзия защищенности. И кое-кто про это уже arkenoi/whats-wrong-with-passkeys-advocacy-e3b6806b3277">писал (и это не я).

ЗЫ. Тем временем, Microsoft 📱 планирует запретить своим сотрудникам в Китае пользоваться смартфонами на базе Android 📱

Читать полностью…

Пост Лукацкого

В одном из сервисов пробива появилась база уехавших из страны после февраля 2022 года россиян 🇷🇺 Источник формирования базы, как и ее подлинность неизвестны. Но выборочная проверка журналистами некоторых лиц показывает, что данные об уехавших 🏎 в основном верны.

В базе лиц, которые выехали из страны разными видами транспорта ✈️🚘 🚶 более чем на два месяца, указаны ФИО, дата рождения, дата выезда из России и название страны, куда уехал гражданин России. В качестве причины отъезда в базе написано "Начало СВО", "Объявление мобилизации" и "Мятеж ЧВК Вагнер" 🎖 Вот именно это у меня и вызывает сомнение в подлинности базы - откуда эта причина взята? Кто в здравом уме на границе скажет правду о причинах отъезда?.. 🤦‍♂️

Даже если база фейковая (а каналы по утечкам про нее почему-то пока не написали), то ее опасность в том, что на ее основе могут начать выискивать "уехавших" - с разными целями. В свое время по утекшей базе сайта "Свобода Навальному" с работы увольняли людей. Тут может быть схожая неприятная история... 🫵

ЗЫ. Также в этом сервисе появилась база "Оппозиционеры 2022-2024", в котором собраны ФИО, ИНН, СНИЛС, адрес электронной почты, дата рождения, номер телефона и ID человека в Telegram.

Читать полностью…

Пост Лукацкого

Алекс Тейкшейра задался вопросом , можно ли рассматривать Sysmon как альтернативу EDR? И в различных околоSOCовских чатиках эта тема тоже регулярно всплывает. Продвинутые эксперты рассказывают, что они никогда не будут платить EDR-вендорам, так как все тоже самое они могут сделать с помощью условно бесплатного Sysmon'а. Алекс решил расставить все точки над i, предварительно исключив из рассмотрения кейсы домашнего применения, компаний-противников коммерческого ПО 😠, а также истории, где необходимо пост-инцидентный анализ и форензика. По сути, он отвечал на вопрос, хорош ли Sysmon именно для детекта угроз?

И ответ его был отрицательным для 99% случаев. И дело даже не в управлении Sysmon в крупной территориально-распределенной сети, а в поддержке разработки новых детектов на базе получаемой телеметрии. Кто будет их писать? ✍️ Sysmon дает вам огромный объем ценнейшей телеметрии, которую надо уметь правильно обрабатывать. Если у вас есть такие специалисты и вы уверены, что они надолго с вами, тогда Sysmon вполне себе инструмент (если не вспоминать про функцию реагирования) 👨‍💻 Но если у вас специалистов нет, то надо довериться вендорам, которые уже взяли телеметрию, проанализировали ее, написали детекты и оснастили ими свои EDR-решения, сделав эту работу за вас.

Да, детекты в EDR - это черный ящик для большинства продуктов. Вы не можете увидеть ни список детектов, ни логику/код, скрывающиеся за ними. Но тут все зависит от выстроенного у вас процесса Detection Engineering 🎮 и как вы тестируете возможности по обнаружению угроз в вашей инфраструктуре. Как и любой продукт класса xDR, он не работает в парадигме "поставил и забыл" (это, пожалуй, единственное преимущество, которое есть у антивирусов), - с ним надо постоянно работать 👀 Писать кастомные детекты, разбирать телеметрию, реагировать, отрабатывать фолсы... Просто у Sysmon надо делать все тоже самое, только в разы больше.

От себя добавлю, что все тоже самое применимо не только к "Sysmon vs EDR", но и к любым другим схожим баталиям - "Wireshark vs IDS/NTA", "Log Management vs SIEM", "NBAR2 vs NGFW" и т.п.

Читать полностью…

Пост Лукацкого

Казахстан 🇰🇿 планирует оценивать уровень кибербезопасности в стране, для чего МЦРИАП (местное Минцифры) подготовило проект приказа "Об утверждении форм, предназначенных для сбора административных данных в области информационной безопасности" 📐 Вся ИБ Казахстана будет оцениваться по трем ключевым показателям:
🔤 Уровень осведомленности населения по вопросам кибергигиены 📈 Как этот параметр будут измерять не определено. Как-то ✌️ И раз в год.
🔤 Доля государственных информационных систем, подключенных к сервису контроля доступа к персональным данным
🔤 Уровень защищенности объектов информатизации электронного правительства, который ежегодно определяется по наличию протокола испытаний на соответствие требованиям ИБ, наличию договора с организацией - центром ОЦИБ (аналог Центра ГосСОПКИ) 🤔

И ни слова про число инцидентов, время простоя государственных ИС и объектов КИИ, число утечек ПДн 📉, число квалифицированных ИБ-специалистов, число обученных кибергигиене граждан, количество киберстраховок, количество систем, выставленных на Bug Bounty, число киберпреступлений и т.п. А жаль...

Но есть во всем этом и положительный момент. В Казахстане хоть пытаются измерять уровень ИБ на уровне государства. У нас пока это получается не очень 🤠 Хотя попыток было несколько; я как-то писал об этом и о тех показателях, которые могли быть использованы у нас. Из последних попыток можно назвать показатель «информационная безопасность», который был добавлен в качестве одного из параметров рейтинга руководителей 🧐 цифровой трансформации (РРЦТ), или оперативного рейтинга, который измеряет Минцифры. Мы по нему калькулятор делали 🧮 и вы можете посмотреть, какие показатели туда включены.

Читать полностью…

Пост Лукацкого

Если вы не любите спойлеры, то не надо читать заметку Александра о том, как он сходил на анимационный фильм "Три бгатыря. Ни дня без подвига" и какие истории про Bug Bounty он увидел в мультике и как это соотносится с реальным миром ИБ ☺️

Читать полностью…

Пост Лукацкого

Представьте, что вы (допустим) провели 9-го мая кибератаку против ресурсов АНБ на Восточное Самоа, в его столице Паго-Паго. Чтобы запутать следы и чтобы американцы опять не ссылались, что атака осуществлялась из московского часового пояса GMT+3 , вы решили провести атаку тоже из архипелага Самое, но из города Апиа. Спустя полгода АНБ 🇺🇸 публикует совместно с CISA отчет с результатами расследования, в котором почему-то указано, что атака была организована 24-мя часами ранее, 8-го мая. При этом все остальное в отчете совпадает со всем, что вы делали 🖥

Читать полностью…

Пост Лукацкого

На улице был ливень, град, ветрило… Ураган 🌪️ «Орхан» безраздельно царил почти весь день в Подмосковье. Решил стейк 🥩 пожарить не на огне, а на сковороде… а она хакерская ;-) Везде знаки…

Читать полностью…

Пост Лукацкого

🎥 Как и в мультике «Головоломка», в нас живет множество эмоций.

Социальные инженеры — талантливые психологи и манипуляторы — умеют использовать каждую из них как крючок, на который можно поймать жертву.

В карточках по лекции Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies, рассказали, как именно это происходит и чем нас цепляют мошенники. С примерами, чтобы вы могли распознать такое воздействие и не поддаться ему.

Больше полезных советов — в полном видеокурсе Алексея по личной кибербезопасности на портале Positive Education.

Читайте сами, делитесь с друзьями и оставляйте социальных инженеров с носом 🤥

P. S. Кстати, посмотрели уже вторую часть мультика? Как вам?

@positive_investing

Читать полностью…

Пост Лукацкого

🟥 выпустил отчет с итогами проведения пентестов в 2023-м году. Там есть интересные цифры про то, как наши парни "ломают" 🤕 заказчиков, сколько времени на это уходит (я упоминал некоторые цифры, говоря про Time-to-eXploit). Но заметка о другом.

Почему так важно изучать и оценивать TTX, читать отчеты своих "белых хакеров", смотреть чужие отчеты и т.д.? Потому что мы, ИБшники, часто живем в плену иллюзий о том, как будет действовать "живой" хакер 🔓 И исходя из наших мыслей, мы создаем модель угроз, а потом по ней строим систему ИБ. А у хакера может быть совсем иной майндсет, иное мышление... и совсем иные способы реализации угроз, отличные от того, что там себе напридумывал ИБшник 🤔

Моделирование угроз - это точка зрения ИБшника. Чтобы убедиться в ее правоте, иди и попробуй хотя бы на Standoff в Blue Team пару дней простоять и отражать атаки, которые выходят за рамки модели, но при этом очень эффективны 😂 Но ведь нет. Не идут, боятся, прекрасно зная, что написанные на бумаге и согласованные с регуляторами модели угроз так и останутся на бумаге. Одно дело - согласовать с ФСТЭК модель и совсем другое - попробовать по ней защитить виртуальный город на киберполигоне. И уж совсем третье дело - защищаться от реальных "плохих парней" 🥷

ИБшники сталкиваются с так называемой "дилеммой защитника", когда им надо найти и закрыть все дыры в своей инфраструктуре, а хакеру нужно найти всего одну единственную 🤜 И чтобы эта дилемма решалась, нужно обладать майндсетом, как модно говорить на Западе, хакера, то есть думать как он и действовать как он. И вот тогда, вы сможете приблизиться к пониманию того, как вас будут реально ломать и что можно этому противопоставить 🛡

Читать полностью…

Пост Лукацкого

🏗 С чего начать строить кибербезопасность в компании?

С определения недопустимых событий? С реализации защитных мер, предписанных приказами и прочими нормативными актами различных ведомств? С ситуативной защиты?

🧱 Это все, конечно, вещи необходимые. Но для начала Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, советует сосредоточиться на нескольких более простых и эффективных вещах. Записали в карточках, какие кирпичики нужно заложить в фундамент киберзащищенности организации любого размера и сферы деятельности.

Готовы? Пробуйте сами и делитесь с коллегами.

#PositiveЭксперты
@Positive_Technologies

Читать полностью…

Пост Лукацкого

Думаю, вы неоднократно сталкивались с примерами динамического ценообразования 🤑 Самый яркий - транспорт, такси или самолеты, цены на которые могут меняться в течение дня (для такси) или недели, в зависимости от множества факторов - количество транспортных средств, спроса на них, направления и т.п. В сфере питания такое тоже бывает нередко - продукты, у которых срок годности подходит к концу, также продают со скидкой 📉

В целом, динамическое ценообразование 💸 строится обычно на одном из пяти (иногда на их комбинации) факторов:
1️⃣ по аудитории, по ее уровню дохода
2️⃣ по времени покупки
3️⃣ по времени обслуживания
4️⃣ по повышенному спросу
5️⃣ по специфическим факторам.

И вот подумалось мне, а что, если стоимость средств защиты также будет динамически меняться? 🤔 Подходит, например, к концу срок действия сертификата ФСТЭК или ФСБ - скидка 50% на покупку. Произошел крупный инцидент ИБ в отрасли - поднятие цены для компаний из этой отрасли. Стало известно о появлении новых требований регулятора - опять рост цены на решения, удовлетворяющие этим требованиям, с последующим ее снижением после некоторого насыщения рынка 🤔 Сталкивается вендор с тем, что у него все основные покупки происходят в 4-м квартале, значит он делает скидку на покупку решений в 1-2-м кварталах для сглаживания спроса и наличия продаж даже в "низкий" сезон. И т.д. Ну а что, почему бы и нет? Рынок так рынок... 🤔

Читать полностью…

Пост Лукацкого

Вот на этом мероприятии нескажукаком так всегда... 🏕

Читать полностью…
Подписаться на канал