Пост Лукацкого

10 октября 2023 06:40

📖 Единый классификатор мер защиты информации

ФСТЭК России подтверждает, что осуществляет работы по разработке единого классификатора мер защиты, призванного объединить и гармонизировать одновременно схожие и отличающиеся меры защиты (безопасности) из 4-ки своих приказов 17, 21, 31 и 239.
Кроме того, регулятор разрабатывает методический документ по реализации компенсирующих мер, если та или иная мера защиты, указанная в соответствующих требованиях по защите информации, не применима.
Также стоит ожидать, что в реестре сертифицированных СрЗИ может появится указание на то, какая мера защиты информации реализуется выбранным СрЗИ.

⭐️ Спасибо подписчику за информацию.

Пост Лукацкого

09 октября 2023 19:54

Новый метод аутентификации - LIPA (Lip Authentication) 👄

Пост Лукацкого

09 октября 2023 13:37

АНБ и CISA выпустили очередное руководство по идентификации и аутентификации, опираясь на сложности, с которыми сталкиваются разработчики и вендора. И это спустя полгода после выпуска руководства по управлению IAM для админов.

Пост Лукацкого

09 октября 2023 09:36

Positive Security Day начинается! Запасайтесь попкорном на весь день 🍿

Смотреть конференцию онлайн можно на нашем сайте.

@Positive_Technologies
#PositiveSecurityDay

Пост Лукацкого

08 октября 2023 20:23

Мы перестали заглядывать в окна… киберполигонов (с)

Я вот заглянул. Проработка макета конечно поражает. Я надолго залип на рассматривании мелких деталей - бутылки у девушки в руках, котика на кровати, кошачьего концерта гитариста, центра управления полетами, биржи и т.п. И ведь многие из объектов активно действующие. Например, на дашбордах ЦУПа меняются картинки, на плазме концертной площадки отображаются психоделические картинки, а на бирже меняются курсы акций и криптовалют... И все это, похоже, можно взломать и можно защитить...

Пост Лукацкого

08 октября 2023 13:21

Израильский независимый системный оператор Noga, возможно, взломан. Группировка Cyber Avengers пишет об этом, приводя соответствующие скриншоты из АСУ ТП. Правда это или нет, и по какой причине нет света, в текущих условиях не поймешь. Может взлом, а может и удар ракеты 🚀

Пост Лукацкого

08 октября 2023 08:40

Тут на всяких ресурсах хакерский журнальчик распространяют. И там самая большая статья, аж на 40 страниц, про отключение Касперского AV/EDR. С одной стороны это признание, а с другой - повод задаться вопросом, а как вы проверяете, что установленные у вас средства защиты, особенно хостовые, продолжают работать и мониторить вредоносную активность? И есть ли у вас процедура оперативного возвращения средств защиты в исходное состояние? Одно дело когда антивирус просто не видит современных вредоносов и совсем другое, когда его выносят с компа на 1-2-3.

ЗЫ. Ну а распространение через центр управления антивирусом вредоносов - это вообще нехорошо. То есть покупая средство защиты не забудьте убедиться не только в том, что оно защищает вас, но и что оно само защищено.

Пост Лукацкого

07 октября 2023 16:15

И второй важный момент про инцидент с 23andMe. На днях я читал курс по реагированию на инциденты для одной весомой финансовой организации. И среди прочего зашел разговор о том, как работать с публичным пространством, если происходит недопустимое событие или инцидент ИБ. И мнения в группе предсказуемо разделились, но большинство все-таки было за то, чтобы не выносить сор из избы (классическое ИБшное мышление; сам таким был). А вот эта история показывает, что пока мы думаем, скрывать или раскрывать, как общаться со СМИ и инвесторами, как доносить с пользой для себя (а это можно), наступает серьезный ущерб бизнесу.

Тут на портале результативной кибербезопасности как раз на неделе (это действительно совпадение) выложили статью "Как общаться с внешним миром, если вас взломали". Там даны базовые рекомендации (думаю, скоро там появятся и более расширенное руководство, с шаблонами, примерами и т.п.) по тому, как себя вести в схожих случаях. И всегда помните правило 4-х часов - "если за 4 часа вы не успели среагировать на инцидент в публичном поле и взять ситуацию под контроль, то вы упустили момент, дальше ситуация будет развиваться неуправляемо и взять ее под контроль обойдется гораздо дороже".

Пост Лукацкого

07 октября 2023 08:40

Когда 166-й Указ настигает даже физлиц. Какого рожна, спрашивается, меня должен касаться 166-й Указ? А вот поди ж ты…

Пост Лукацкого

06 октября 2023 17:11

В Москве появилась новая площадка для проведения ИБшных мероприятий - «Кибердом». Вот так выглядит один из входов. Прям взрывает мозг 🤯 Но и другие места этой площадки тоже заслуживают внимания. Если не прощелкаю, то нащелкаю еще чего-нибудь

Пост Лукацкого

06 октября 2023 10:08

Смотрите, что у меня есть 😊 Сейчас за прохождение таких курсов можно и по статье загреметь.

ЗЫ. А вообще это фейк - взял на страничке одной мадам и просто поменял там имя. Даже не знаю, стоит ли такие сертификаты выкладывать в Интернет. А то ведь взял, затер имя, написал свое и вуаля, теперь ты обучался в Центре компетенций НАТО по кибербезопасности. Хотя если кому-то надо пыль в глаза пустить, то вполне себе тема. Проверить-то все равно невозможно.

Пост Лукацкого

05 октября 2023 20:05

📨 Сегодня несколько наших сотрудников получили сообщения в Telegram — якобы от нашего коллеги, эксперта по кибербезопасности.

Начинается все со звонка для привлечения внимания, переходящего в диалог, в котором собеседник просит перевести деньги на карту или криптокошелек.

Наши сотрудники хорошо осведомлены о базовых принципах кибербезопасности и сразу поняли, что по ту сторону экрана — мошенник. И решили воспользоваться моментом, чтобы немного пошутить над ним.

Как пишут коллеги из ISACA, наш случай не единственный. Злоумышленники массово распространяют такие фишинговые сообщения и выдают себя за известных экспертов в области ИБ.

💬 На что стоит обратить внимание, если вы получили такое сообщение?

•‎ Главное: если человек уже есть в ваших контактах, то вверху диалога не должно быть кнопок «Добавить в контакты» и «Заблокировать».

•‎ Проверяйте написание ника и номера телефона. Если номера у аккаунта нет, но вы точно уверены, что пользователь есть в ваших контактах, — это еще один повод насторожиться.

• Позвоните реальному человеку по номеру телефона, который вам известен, и предупредите его.

• Заблокируйте аккаунт мошенника.

@Positive_Technologies

Пост Лукацкого

05 октября 2023 16:59

Хакеры не щадят никого - даже рукодельниц 🪡 Спектр жертв поражает - от фанатов квиллинга, валяния и декупажа до «Красного креста».
Ничего святого у людей 😈

ЗЫ. Хорошо, что недоступные вчера сервисы ГИБДД и сервера Xiaomi на хакеров не повесили 🤷

Пост Лукацкого

05 октября 2023 10:33

Ну вот и трейлер этого самого сериала 🤕 Не знаю, насколько он про хакеров 🔓 Судя по ролику скорее комедия с элементами ИТ на хайповую тему. Но посмотрим, когда выпустят. Может и родят что-то интересное 😂 Хотя там упоминается ИРИ 😱, а они ни в чем-то полезном замечены пока не были 🛡

Пост Лукацкого

05 октября 2023 06:40

👩‍🎤 «В авангарде киберискусства» — под таким слоганом мы провели третью встречу сообщества CISO «Позитив клуб».

Атмосфера вечера полностью соответствовала слогану: под классическую музыку с видом на Кремль 150 экспертов из ведущих российских компаний обсудили актуальные вопросы и тренды в мире кибербезопасности, а также обменялись реальным опытом устранения инцидентов. И все это останется только между участниками.

• Почему для руководителей по ИБ создавать дашборды и отчеты — тоже своего рода искусство? Об этом членам клуба рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

• Денис Батранков, консультант по ИБ Positive Technologies, рассказал, какая экспертиза должна быть в средствах сетевой безопасности.

• Перед участниками также выступил Сергей Клевогин, эксперт по информационной безопасности. Он поделился наблюдениями о том, как кибербезопасность выглядит в глазах бизнеса.

Участники не только поучаствовали в деловой программе, но и попробовали наши фирменные коктейли, а в подарок получили профессиональные фотографии, которые смогут добавлять в презентации 😉

Присоединиться к «Позитив клубу» можно заполнив форму на сайте (но мы этого не говорили, пусть останется между нами).

@Positive_Technologies
#ПозитивКлуб

Пост Лукацкого

10 октября 2023 06:40

История с разработкой единого перечня защитных мер (с единым именованием, и единой нумерацией) существует не первый год. Более того скажу, что эта идея обсуждалась после выхода 31-го приказа (2014-го года), так как уже тогда появилась некоторая путаница с некоторыми из мер защиты. Так что выпуск единого перечня сильно помогло бы всем, да и регулятору было бы проще вносить правки в один документ, а не в пять приказов (17/21/31v2014/31v2017/239).

А вот документ про компенсирующие меры, как мне кажется был бы лишним. По крайней мере, я не очень понимаю, что там можно написать на целый документ. Указывать, какие компенсирующие меры можно применять, а какие нет? Ну тогда это просто расширение перечня защитных мер и не более. В том и смысл компенсирующих мер, что они не регулятором навязываются и определяются.

Идея с указанием в реестре сертифицированных СрЗИ реализуемых защитных мер тоже, на мой взгляд, скорее навредит, чем поможет. Если бы у нас ФСТЭК выпускал свой требования оперативно, а не годами тянул даже с обещанными РД, а продукты выполняли на 100% требования РД и ничего более, то тогда это и имело бы смысл. Но у нас не выполняется оба условия - многих, ранее озвученных, готовящихся документов нет до сих пор, а сами решения реализуют гораздо больший функционал, чем это прописано в РД. И в чем тогда смысл? Заказчик все равно будет смотреть на описание продукта, а не новую колонку в реестре ФСТЭК. А потом будет пилотировать решения, а не доверять опять же указаниям ФСТЭК о реализуемости той или иной меры.

Пост Лукацкого

09 октября 2023 17:04

У коллег в канале отрасль ИБ в лицах в стиле анимэ. Максимов, Касперский, Сачков, Наумова, Касперская и я 😊

Пост Лукацкого

09 октября 2023 10:01

MGM сообщает, что в финансовой отчетности третьего квартала они отразят потери от инцидента с шифровальщиком в сумме около 100 миллионов долларов. Все, как и предполагалось, - пару недель простоя с 8-мью миллионами долларов потерь ежедневно. Казино Caesars, с аналогичным инцидентом, отделался 15-тью миллионами выплаченного выкупа 🤑.

Вот и думай, что лучше, - следовать традиционным ИБшным рекомендациям и не платить или заплатить и "спать спокойно". В очередной раз демонстрируется, что ИБ и бизнес думают немного по-разному 🤔

Пост Лукацкого

09 октября 2023 06:40

АНБ и CISA выпустили документ, описывающий Топ 10 типичных ошибок в конфигурации инфраструктуры, с которыми постоянно сталкиваются "красные" и "синие" команды двух американских спецслужб (с привязкой к техникам MITRE ATT&CK):
🔤 Настройки "по умолчанию" для ПО (пароли, конфиги и права для сервисов, незащищенные протоколы и т.п.)
🔤 Неэффективное разделение пользовательских и административных прав (ненужные админские права, использование сервисных учеток)
🔤 Неэффективный (или отсутствующий) внутренний мониторинг сети
🔤 Нехватка сетевой сегментации
🔤 Слабый патч-менеджмент (нерегулярность, неподдерживаемые ОС и ПО)
🔤 Обход системного контроля доступа (pass-the-hash, Kerberoasting, например)
🔤 Слабая или ненастроенная MFA (отсутствие защиты от подмены SIM, MFA bombing, атаки на ОКС7, голосовой фишинг и т.п.)
🔤 Неэффективные списки контроля доступа на сетевых шарах и сервисах
🔤 Слабая гигиена с учетными записями (легко угадываемые пароли и пароли в открытом виде)
🔤🔤 Неограниченное исполнение кода.

Там же в 40-страничном документе даны и рекомендации по защите и нейтрализации данных ошибок.

Пост Лукацкого

08 октября 2023 16:33

Как обещал, пощелкал немного в Кибердоме 🏡, на новой площадке для ИБшников, где построили свой киберполигон, на котором, среди прочего, даже космическая станция есть.

Пост Лукацкого

08 октября 2023 11:27

Израильтяне советуют всем быть бдительными и готовыми к кибератакам. При этом некоторые хакерские группировки призывают присоединиться к ним для атак на киберпространство Израиль 🇮🇱.

ЗЫ. Интересный факт. У израильтян есть приложение Цофар, которое предупреждает о ракетных ударах по Израилю. Так вот ортодоксальным евреям, соблюдающим Шаббат, по субботам запрещено пользоваться телефоном и Интернетом и многие из них вовремя просто не узнали о нападении ХАМАС. К чему это я? К тому, что процессы ИБ должны учитывать религиозные аспекты 🛐 того региона, в котором они реализуются.

Пост Лукацкого

07 октября 2023 19:31

Осень… Птицы улетают на юг, а депутаты и сенаторы готовят кучу 💩 законодательных инициатив в области ИБ (персданные, VPN, аутентификация, биометрия…). И попытка понять, зачем они это делают и что они вообще имеют ввиду, похожа на диалог с обкуренным наркоманом 😵‍💫

А самое главное, что с ними бессмысленно обсуждать что-то. У них либо разнарядка сверху, либо собственная инициатива, что еще хуже. Все объяснения приводят только к тому, что они переписывают законопроект так, как они поняли (а поняли они неправильно) и ситуация становится еще драматичнее.

Пост Лукацкого

07 октября 2023 12:06

Интересная история. Некие хакеры взломали популярный сервис анализа генетической информации 23andMe и утверждают, что утянули очень чувствительные данные 7 миллионов пользователей. Там не только фото и идентификационные данные, но и сведения о здоровье, геноме человека, маркерах возможной родословной и т.п., то есть то, что у нас бы назвали спецкатегорией ПДн. Компания 23andMe до сих пор не подтвердила инцидент, а виновник утечки обижается, что этому инциденту уделяется так мало внимания. Более того, он обещает выложить все данные в Интернет, если компания не признает случившийся инцидент. А пока одни не признаются, а другие требуют к себе внимания, акции компании упали на 15% 📉

Если честно, это очень хорошая иллюстрация к истории про недопустимые события. По большому счету насрать, был реальный взлом или кто-то надергал данных за счет веб-скраппинга (ага, 7 миллионов записей о состоянии здоровья), бизнес пострадал и пострадал значительно (падение на 15% - это прям много). ИБшники могут валить все на ИТ, мол, это они порты не прикрыли и допустили скраппинг. ИТ может валить все на ИБ, мол, это они нормально не умеют в обнаружение и реагирования. Но факт есть факт - произошло то, что волнует именно бизнес и то, что не должно было быть допущено. Недопустимым событием тут является - падение курса акций более 15% (ну или 10% - у всех свои пороговые значения). Произошло оно из-за косяков в ИТ-инфраструктуре. Предотвратить его можно было путем харденинга (ИТ-епархия) или за счет оперативного мониторинга и реагирования (зона внимания ИБ). А признают это инцидентом или нет, вопрос уже десятый...

Пост Лукацкого

06 октября 2023 20:13

Если у вас на домашнем Wi-Fi нельзя включить многофакторную аутентификацию, то хотя бы пароль сделайте подлиннее!

Пост Лукацкого

06 октября 2023 13:36

Выступал сегодня на GIS DAYS с темой про искусственный интеллект в ИБ. Часть слайдов 🤘, а я три вывода с выступления повторю тут:
🔤Не может компания, выпускающая средства защиты от угроз, не иметь своего центра исследований угроз, своих хакеров и своего круглосуточного SOC. Если у нее этого нет, то как она может вообще что-то знать об угрозах? Побирается по рынку и тырит чужие сигнатуры (есть у нас такие)? Или как школьники в подворотне обсуждают с умным видом секс, не разу его не попробовав?
🔤Нельзя сегодня заниматься искусственным интеллектом в ИБ (в контексте борьбы с угрозами), не имея актуального, релевантного и постоянно обновляемого датасета с хакерскими техниками. И получить его можно только либо имея доступ к большому объему трафика (поэтому у провайдеров есть фора в этом вопросе), либо имея киберполигон, либо постоянно гоняя своих белых хакеров в хвост и в гриву, чтобы они прокачивали свои скиллы, а вы собирали данные об их действиях. Ну или надо быть Сбером, чтобы тебя постоянно пытались похекать.
🔤Нельзя заниматься искусственным интеллектом в ИБ, если у вас нет специалистов (отдела), которые выделенно занимаются этим вопросом. Купить чужую экспертизу, не разбираясь в ней, не поможет.

Пост Лукацкого

06 октября 2023 06:40

На фоне вчерашнего распространения депутатами комитета по информационной политике новостей о том, что бизнес должен перенимать методы ИБ госорганов, которые защищены лучше коммерсантов 🤔, фрагменты слитой переписки руководителя ИБ одного из крупнейших госов, выглядят особенно пикантно. Вот почему ИБ в госах лучше - просто святой воды жалеть не надо 🛐

Пост Лукацкого

05 октября 2023 20:05

А мне никто не пишет и не звонит 😭 И ведь даже не полковник.

Пост Лукацкого

05 октября 2023 13:29

Поздравлю сам себя с днем учителя 👨‍🏫 Тем более и картинка у Руста подходящая оказалась. Я думал, это у блогеров такая отмазка только, а оказывается у учителей тоже 🫥

Ну и чтобы дважды не вставать и заставить себя довести до завершения задачу - обязуюсь в понедельник выложить в онлайн-школе «Вышибала» новый курс по визуализации ИБ. Два года уже как записан, а выложить на платформу не доходят руки 💪

Пост Лукацкого

05 октября 2023 09:59

Темнокожего мужчину с плакатом "No russian hackers" задержали в знаменитом кинотеатре "Октябрь" на Новом Арбате в Москве. Судя по видео, дядя пытался привлечь внимание прессы.

Звучит резонансно, но как оказалось, это промокампания сериала "Короче, план такой" о приключениях команды русских хакеров, который в этот самый момент презентовали.

😋 Подписывайся на Mash

Пост Лукацкого

05 октября 2023 06:40

Кто спрашивал, как попасть в Positive CISO Club? 👇 ссылочка есть. Действует ограниченное время