Пост Лукацкого

11 января 2023 05:40

Железный занавес опускается, но иногда из-за него прорываются искры и даже лучи лучших практик в области кибербезопасности, которыми я, по мере своих сил, делюсь. На этот раз мне хотелось бы привести 8 примеров содержания отчетов, с которыми руководители ИБ ходят к своему руководству.

Пост Лукацкого

10 января 2023 18:35

Интересно, LockBit за 3 недели до ареста REvil уже знали об этом (на картинке фрагмент «переписки» LockBit и REvil)? Пресс-релиз об аресте членов группировки появился именно 8 ноября

Пост Лукацкого

10 января 2023 13:00

Реализованные, планируемые и непланируемые элементы стратегии управления уязвимостями в организациях, согласно опросу CyberRisk Alliance Business Intelligence и RSA Conference.

Автоматическое устранение, приоритизация и визуализация пути атаки через выявленные уязвимости входят в тройку самых планируемых в 2023-м году. Автоматизация - это вообще хит всей ИБ на годы вперед. Приоритизация, при ежегодном росте числа CVE и уходе иностранных ИТ-компаний вместе с официальными обновлениями, тоже становится важной. Ну а визуализация - это мостик в сторону понимания того, что может сделать и куда залезть хакер, проэксплуатировавший дыру в софте.

С уязвимостями АСУ ТП странная история - примерно одинаковое число респондентов планирует и не планирует этот компонент.

ЗЫ. Кстати, число уязвимостей больше 25000 CVE и дыры в open source и всякие взаимозависимости в него часто не попадают

Пост Лукацкого

10 января 2023 10:01

Интересно, конференция ФСТЭК «Актуальные вопросы защиты информации» в этом году будет или нет? Регулятор молчит (хотя раньше, бывало, уже осенью анонсировал проведение мероприятия). На сайте ТБ-Форум тоже обходят стороной этот вопрос. Полная неопределенность…

Хотя, если допустить, что в феврале будет вторая волна сами знаете чего, то регулятор действует разумно - смысл проводить конференцию, если целевой аудитории будет не до этого. А онлайн можно очень быстро организовать.

С другой стороны, в феврале по части ИБ пройдет Инфофорум (вместо традиционного января), Уральский форум ЦБ и «Магнитка» от Авангарда. И как туда втиснуть еще и конфу ФСТЭК, совершенно непонятно. Может она будет в марте? Но и там с датами не то, чтобы совсем свободно. В общем, одни вопросы…

Пост Лукацкого

09 января 2023 20:22

Фишинг есть фишинг, но не исключено, что в какой-то момент времени вендора могут начать за пользователей решать, что им хорошо, а что небезопасно. Да еще и деньги брать за это 🤑

Пост Лукацкого

09 января 2023 14:16

Интересно, что согласно опросу CyberRisk Alliance Business Intelligence и RSA Conference, для защиты e-mail самыми эффективными считаются шифрование электронной почты и решения по защите BEC (Business Email Compromise). А вот тренинги персонала, сканирование аттачей, защита от подмены адресов и фишинга требуют существенных улучшений и доработок, чтобы показать свою эффективность.

Пост Лукацкого

09 января 2023 11:13

Результаты опроса CyberRisk Alliance Business Intelligence и RSA Conference показывают, что компании в Топ3 планируемых к использованию решений ИБ включают Zero Trust, автоматизацию реагирования и XDR. В Топ3 непланируемых инвестиций попали - защита АСУ ТП, защита IoT, XDR. Да, последний класс решений попал сразу в две категории 🙂, но планируют XDR в 1,5 больше респондентов, чем не планирует.

Интересно, что в тройку уже реализованных решений входят антивирус (тут все понятно), патч-менеджмент (тут тоже все очевидно) и EDR. Вот последний пункт для меня оказался сюрпризом - EDR с 78% обошли даже сканеры безопасности (72%).

Пост Лукацкого

09 января 2023 05:40

Почему, приходя к топ-менеджеру, мы не можем "продать" ему ИБ? А вы ответили сами себе на 5 возражений, которые есть и у топ-менеджера?
1️⃣ Это ко мне не относится.
2️⃣ Это не так важно по сравнению с другими моими проблемами.
3️⃣ А это точно просто?
4️⃣ А что мне это даст?
5️⃣ Ну это не так срочно, можно отложить на потом.

Если вы не можете ответить самому себе, то как вы ответите на возражения тех, кто должен у вас ИБ "купить"?

Пост Лукацкого

08 января 2023 18:13

Центр Карнеги выпустил исследование о кибероперациях России в Украине, ее результатах, последствиях и перспективах

Пост Лукацкого

08 января 2023 11:55

Mandiant снова что-то раскопала про Turla, которую связывают с ФСБ, и которая атакует Украину

Пост Лукацкого

07 января 2023 19:53

Из книги одного американского военного: «поведение солдата внутри подразделения полностью определяется первыми 10 днями после его назначения в него. Если не осуществить прямое и непосредственное влияние на солдата в течение этих 10 дней, то его поведение будет определяться наблюдением за окружающими и теми правильными или неправильными выводами, которые он из этих наблюдений сделал».

Мне кажется, это можно применить и к новому члену команды ИБ. Если за первые 10 дней его не направить в нужное русло, то дальнейшее его поведение будет непредсказуемым и может быть как на пользу службе ИБ, так и во вред.

Пост Лукацкого

07 января 2023 11:44

Киберпреступники предсказуемо стали использовать ChatGPT в своих целях. И еще одно исследование на ту же тему

Пост Лукацкого

06 января 2023 20:22

С bash:

xxx: Этим гениям давно пора уже создать Программно-Аппаратное Средство Криптозащиты, Управления Доступом и Аутентификации (от создателей ШИПКА, АККОРД и т.д.).
yyy: Ага,ты уже скопировал данные? Нет, ПАСКУДА в систему не пускает.
xxx: ПАСКУДА - на страже Вашей информации

Пост Лукацкого

06 января 2023 15:48

Математик во мне негодует. Как у прокуратуры или ТАСС получилось 5,6%, когда там все 34%? Кто-то ошибся с цифрами в новости или кто-то считать не умеет…

Пост Лукацкого

06 января 2023 07:40

Не знаю, как в Windows, но на macOS и iOS есть такой no-code инструмент автоматизации рутинных задач, как Shortcuts. Полезная штука, которую можно и для ИБ прикрутить. Например, вот так выглядит фрагмент плейбука для проверки наличия пользовательского пароля в публичных утечках (в данном случае в сервисе HaveBeenPwned). А дальше всего один клик и получение ответа без необходимости копировать e-mail, заходить на сайт и т.п.

ЗЫ. Но, кстати, хочу отметить, что разговоры о том, что для использования no/low-code не нужно знания программирования, - это все неправда. С одной стороны, вам не требуется знание языков программирования. Но с другой вам все равно нужно знать, как составлять алгоритмы, как обрабатывать исключения и ошибки, как проверять вводимые параметры и т.п. Без этого, никакой no code не поможет.

Пост Лукацкого

10 января 2023 21:33

Акционеры SolarWinds (помните таких?) подали апелляцию на решение суда об отказе в привлечении руководства компании к ответственности за систематическое многолетнее игнорирование вопросов ИБ 🤔

Пост Лукацкого

10 января 2023 16:01

Реализованные, планируемые и непланируемые элементы стратегии Threat Intelligence в организациях, согласно опросу CyberRisk Alliance Business Intelligence и RSA Conference. Планируемые компоненты плюс/минус все хотят одинаково. А вот в самые нежелаемые попали учет методологии kill chain и фреймворка MITRE ATT&CK.

Интересно, что они и реже всего используемые. И это странно, конечно, учитывая то, какой шум идет вокруг MITRE ATT&CK. Ладно kill chain - в TI эта концепция и правда не очень практична и полезна. Но ATT&CK-то?..

Пост Лукацкого

10 января 2023 10:54

Конференция ФСТЭК пройдет 15 февраля программы пока нет

Пост Лукацкого

10 января 2023 06:55

"15 минут на обнаружение и реагирование на инциденты", - говорили они. Ага, счаз... Реальные опросы показывают, что компаниям нужно гораздо больше времени на обнаружение кибератак, чем декларируемые многими коммерческими SOCами 15 минут.

И тут возникает закономерный вопрос: кто прав? То ли компании ничего не смыслят в ИБ и не умеют своевременно детектить атаки. То ли коммерческие SOCи врут лукавят или свои маркетинговые цифры брали на очень небольшой инфраструктуре (например, своей). А может и правда у них есть некая серебряная пуля, способная сократить время обнаружения и реагирования в 10-20 раз?

Могу сказать, что в Сиско тоже цифры по времени обнаружения были ближе к графику, чем к маркетингу (и тем более не пресловутое право 1-10-60). Поэтому, сталкиваясь с SOCом, который впаривает вам про среднее время обнаружения в 15 мин, попросите у него доказательства…

Пост Лукацкого

09 января 2023 17:40

Немного предыстории. Когда я строил дом 🏡 10 лет назад, я заранее закладывал риск отключения электричества и сбоя в отоплении. Поэтому использовал и пассивные меры защиты (замена 160-го бруса на 200-й), и активные (газовая плита вместо электрической, дровяной камин и т.п.). И вот на Рождество риск реализовался в худшем варианте - в районе не только вырубили электричество (на улице было -25), но и произошел сбой в отоплении в одном из тепловых контуров (часть радиаторов работала, а большая часть нет). В итоге температура стала существенно понижаться. Стал искать мастеров, готовых в Рождество приехать и все починить. В итоге остановился на одном, который сразу сказал, что он деньги берет только в том случае, если он сможет мне помочь. В обратном случае - сколько бы он не работал, денег он с меня не возьмет. Чем и подкупил меня 🙂

И мне такой подход мастера напомнил, что неплохо бы и в ИБ у нас иметь такое же. Этакая результативная ИБ - заказчик платит 🤑 только тогда, когда поставщик гарантирует результат. Так, например, происходит в Bug Bounty. Вы, как заказчик, платите только тогда, когда багхантеры находят уязвимости в ваших системах. Они могут сделать это за час и получат свои 400 тысяч рублей, а могут промучаться год и не найти ничего, так и не получив никакого вознаграждения. А что если бы и SOCи были результативные? Пропустил атаку, допустил утечку - не получишь денег, лежащих на особом счету, с которого и списываются деньги в случае выполнения условий контракта. 🧐

Наверное, такая схема будет работать не для всех сегментов рынка ИБ, но для многих такой сценарий вполне возможен. Оплата не "почасовая", а "за результат"; не "за лицензию на ПО", а "за получение результата от его покупки". Даешь результативную ИБ в каждый дом бизнес!!! 👍

Пост Лукацкого

09 января 2023 12:14

Не читали мой канал во время новогодних праздников? Был цифровой детокс? Хочется быстро погрузиться в то, что произошло за 9 дней нового года? Я сделал подборку горячей десятки+ новостей.

Пост Лукацкого

09 января 2023 09:11

Продукт-мечта!.. Думаю в новом году Гартнер порадует нас новыми аббревиатурами, а вендора придумают какие-нибудь новые категории продуктов по ИБ, чтобы быть в новых нишах лидерами!

Пост Лукацкого

08 января 2023 21:23

В 2015-м году Fortinet выпустил видео, которое выглядело так, как будто сотрудники ИБ-вендора под кайфом 🍀🤢 поют какую-то чушь. Видимо, понимая, что оно именно так и выглядит, Forinet удалила это видео с Youtube, а заодно и из Интернет-архивов. Но Интернет-то помнит... 😇

Но... как бывший сотрудник крупной международной компании могу сказать, что это для американского бигтеха норма 🥳 На корпоративных тусовках чего-то только не делаешь 🤘 А уж какую чушь творят большие боссы и в каких клипах они снимаются для поднятия корпоративного духа и желая показать, что они такие же как все и как рядовые сотрудники 🤪 Короче, хорошо, что ролики Cisco про ИБ не утекали в сеть 😂

Пост Лукацкого

08 января 2023 14:11

А российские хакеры еще и на атомные объекты США нацелились

Пост Лукацкого

08 января 2023 07:40

Не знаю, как вы проводите свои последние дни праздника, а я все-таки посетил музей криптографии. Сейчас, когда ни вакцинацию от COVID-19 не надо подтверждать для посещения музея, ни ПЦР сдавать, самое время для расширения профессионального кругозора. Кроме того, мне было интересно, насколько наш музей отличается от национального криптологического музея при АНБ? Ну что я могу сказать - музей однозначно рекомендован к посещению; особенно если у вас есть дети 12+, которые найдут в музее множество интерактивных занятий - от VR-экскурсий в квантовую запутанность до разгадывания шифров. Но и для взрослых в музее есть что узнать нового. И хотя у меня есть определенные вопросы и к логике прохождения залов и к отдельным экспонатам, о чем я еще напишу отдельно и в блоге, я 3 часа там провел точно не зря.

ЗЫ. Зал с "Фиалками" особенно хорош 👍

Пост Лукацкого

07 января 2023 15:54

Некие бойцы провели исследование по использованию GPU в обнаружении атак, а именно задействовали карты NVIDIA GeForce 8600GT и Snort (назвав решение Gnort). На Pentium 4 c 3,4 ГГц и 2 ГБ ОЗУ разработанный прототип достиг значения в 2,3 Гбит/сек, вдвое превысив показатели Snort в аналогичной конфигурации, но без GPU.

Если же использовать несколько GPU и переработать архитектуру передачи сетевого трафика в GPU, то скорость может быть увеличена еще больше. Вполне себе вариант замены иностранных IDS.

Пост Лукацкого

07 января 2023 07:38

Самые популярные статьи блога lukatsky.ru за 2022 год:
1️⃣ Новый Указ Президента может сделать безопасников заместителями генеральных директоров
2️⃣ Крупнейшая реформа законодательства о персональных данных за последние 10 лет
3️⃣ Список 170+ российских разработчиков средств ИБ
4️⃣ Уроки кибервойны или семь почему
5️⃣ Минцифры выдает гостовые TLS-сертификаты. Риски и возможности
6️⃣ DLP вне закона! Так решил суд!
7️⃣ Какие зарубежные ИБ-компании приостановили бизнес в России?
8️⃣ О новых Постановлениях Правительства о руководителе ИБ и службе ИБ
9️⃣ Немного разъяснений по 250-му Указу Президента
1️⃣0️⃣ Организацию ликвидируют за невыполнение мер защиты ПДн

Пост Лукацкого

06 января 2023 18:22

И то ли остатки украинского языка, то ли некая платформа по исполнительному листу, то ли предложение умножить доход выдавали в этом сообщении фишинговую рассылку 😬

Пост Лукацкого

06 января 2023 12:14

Слабенький отчет про российскую и китайскую киберпреступность, их схожесть и различия. Но вдруг, кто-то найдет что-то интересное...

Пост Лукацкого

05 января 2023 17:40

Есть такое исследование "The Secrecy Heuristic: Inferring Quality from Secrecy in Foreign Policy Contexts", в котором было проведено три эксперимента. В них участники серьезнее оценивали информацию из секретных источников, чем если бы информация была публично доступной. Респонденты считали, что если какое-либо решение готовилось на базе секретных материалов, то доверять ему можно было серьезнее, чем в случае с работой с открытыми источниками.

Результаты этого исследования об эвристике секретности перекликаются с тем, что говорит нам психология восприятия рисков, о которой я уже писал неоднократно и тут, и в блоге. Информация из "доверенных источников" воспринимается надежнее, чем из всех доступных. Может быть именно поэтому наши регуляторы любят секретить свои документы? Хотя может просто привычка...