alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Коллеги из PT ESC решили провести шуточный опрос про любимое APT-животное, предложив много разных вариантов на "волчью" тему 🐺 А мне тут надысь попалось описание индийский группировки CyberVolk, стоящей за одноименным шифровальщиком, символом которой является тот самый серый хищник из детских сказок, который может укусить за бочок 🐺

В очередной раз задумался о том, что отсутствие единых подходов к наименованию хакерских группировок может сыграть злую шутку со специалистами по безопасности. Возьмем того же волка 🐺 С легкой руки CrowdStrike, которая использует название классов животных для APT-групп, ассоциируя их с разными странами, медведи теперь ассоциируются с Россией, драконы 🐉 с Китаем, леопарды с Пакистаном, а волки - это группировки из Турции 🇹🇷 Компания "Бизон" тоже взяла на флаг волчью тему, но привязывает ее не к стране происхождения группировки, а к ее мотивации. Волки - это финансово мотивированные хакеры 🤑 Оборотни и гиены при этом хакеры, спонсируемые государствами, и хактивисты соответственно. Интересно, что для хактивистов CrowdStrike зарезервировала в качестве животного тотема шакала, Palo Alto называет их "девами" (Virgo), а TrendMicro и вовсе ветром 🌬

И отсюда начинается путаница. Возьмем, к примеру, группировку, названную "Бизоном" Red Wolf. У того же F.A.C.C.T. (и Group-IB), где раньше трудились некоторые коллеги из компании, чье имя ассоциируется с животным, которого тот же CrowdStrike использует для обозначения хакерских группировок из Вьетнама (да, вы правы, речь идет о бизоне, которого в Северной Америке называют Buffalo 🦬, а это общее название группировок из страны, в которой когда-то была база советских подводных лодок (Камрань), эта же группировка называется RedCurl. Почему? Не знаю. Trend Micro называет эту же группировку Earth Kapre (TM все группировки, занимающиеся шпионажем, называет Earth, в то время как Бизон их называет "оборотнями"). И таких примеров масса. Например, APT 26, которая также известная как Turbine Panda 🐼, Shell Crew, WebMasters, KungFu Kittens. Или APT15, которая другими компаниями называется Vixen Panda, Mirage, Ke3chang и Nylon Typhoon. А Gallium - это Softcell, она же Phantom Panda, она же Alloy Taurus, она же Granite Typhoon 🥷

И так во многих случаях - вместо того, чтобы использовать уже известное имя, компания придумывает новое, в соответствие со своей классификацией. Например, в 2019 Cisco Talos выявил группировку Sea Turtle 🐢, которую спустя время обнаружили Microsoft, CrowdStrike, PwC и другие, назвав уже известную группировку так же Teal Kurma, Marbled Dust, Silicon, UNC1326, Cosmic Wolf 🤔 В итоге сотни группировок превращаются в тысячи и отслеживать разные наименования становится той еще задачей (например, как у немцев сделано в отношении группировок, активно действующих против Германии 🇩🇪).

А все потому, что сначала исследователи Shinigami42/what-a-cluster-how-industry-groups-and-names-threat-activity-clusters-0c65a7128162">определяют "кластеры активности” 🎮, наборы вредоносных действий, которые связывают с определенными угрозами или нарушителями. Эти кластеры определяются на основе различных данных, таких как техники атак, инфраструктура, используемые инструменты, цели, мотивация и т.п. Схожие параметры дают возможность объединить атаки в кластеры, а затем в группировки. Однако проблема заключается в том, что разные компании и исследователи называют одни и те же кластеры по-разному, что и приводит к путанице 😃

Возможно стоит подумать об унификации подхода в именовании и классификации для облегчения анализа и координации разных компаний, исследователей, регуляторов и центров мониторинга и реагирования на угрозы. Или это утопия? 😕

Читать полностью…

Пост Лукацкого

В отчете "2024 State of Ransomware Report" от Malwarebytes говорится, что большинство атак шифровальщиков происходит с часа ночи до пяти утра, когда айтишники спят и видят сны. А тут, бац, вторая смена (с) 😴

Я такой кейс часто на штабных киберучениях рассматриваю. А вы пока можете сами себе задать вопрос: "Как мы реагируем на инцидент, который начинается в 3 часа ночи и который требует реагирования?" И вариантов ответа на него не так уж и много:
1️⃣ Круглосуточно работающий собственный SOC
2️⃣ Аутсорсинг функции обнаружения и реагирования в нерабочее время во внешний SOC
3️⃣ Обучение дежурной ИТ-смены реагированию на типовые сценарии/кейсы
4️⃣ Внеурочная работа ИБ и вызов в любое время дня и ночи, прописанные в трудовом договоре (с соответствующей компенсацией)
5️⃣ Автоматизация ИБ, а в идеале и автопилот.

Читать полностью…

Пост Лукацкого

Тут классическая карта уровней Cyber Threat Intelligence (стратегический, тактический, операционный) и процесса обмена информацией по угрозам, каждый из которых разбит на элементы:
1️⃣ Аудитория для TI
2️⃣ Инструменты анализа
3️⃣ Фокус в анализе
4️⃣ Форма результата анализа
5️⃣ Частота репортинга

ЗЫ. Ничего сверхестественного и нового, просто еще одна визуализация. Юрген - молодец!

Читать полностью…

Пост Лукацкого

Продолжаю постить картинки/фреймворки Юргена 😊 В этом посте будет еще один фреймворк, посвященный на этот раз моделированию угроз, после чего можно будет плавно перейти в разработку сценариев обнаружения угроз (use cases) 🤔

В данном случае на вход подается информация о защищаемом бизнесе, архитектуре предприятия и его ИТ-инфраструктуры, а также данные по имеющимся рискам и практикам управления ими 💎 Затем, в зависимости от выбранного подхода моделирования (от нарушителя, от защищаемых активов, от приложений) предлагается составить перечень ✔️ исходных данных (в каждом случае он будет свой). С точки зрения моделирования не учтен как минимум один из подходов - data-centric, то есть на основе защищаемых данных. Ну а потом уже даются подсказки, какие из существующих методик оценки угроз, стоит использовать в том или иной сценарии 💬

Не могу сказать, что эта картинка отвечает на все вопросы моделирования, особенно, если вы этим процессом не занимались. За ней должна скрываться целая методология, которая описывает, какой из подходов выбрать и, как следствие, какой из имеющихся фреймворков по оценке угроз применять. Где-то STRIDE/DREAD подойдет, а где-то лучше сработает PASTA, где-то MITRE TARA (я про нее писал), а где-то и вовсе нужны Raindance или PyTM.

Читать полностью…

Пост Лукацкого

Вот так надо абитуриентам специальности по ИБ рассказывать, что их ждет в профессии ☺️

Читать полностью…

Пост Лукацкого

В 2010-м году Microsoft заявляла, что не будет платить исследователям деньги за найденные уязвимости и не будет, по примеру Google или Mozilla, участвовать в программе Bug Bounty. Спустя всего 5 лет Microsoft изменила свое решение, а позже стала одной из основных компаний, поддерживающих ответственное раскрытие информации об уязвимостях и платящих за найденные в их множественных продуктах багах. Так что независимая оценка и оплата за результат выгодны обеим сторонам. К этому рано или поздно придут даже первоначальные противники идеи платить за дыры в ПО.

Читать полностью…

Пост Лукацкого

Говорил тут с коллегой, возглавляющим отдел Threat Intelligence в одном банке, который жаловался на то, что его роль в компании не очень ценится (это при наличии целого подразделения-то), что его процессы в SOC на второстепенных ролях и вообще, жизнь - боль 😫 Так что представленная картинка поможет показать роль CTI в поддержке различных сервисов ИБ в организации - не только связанных с SOCом, но и гораздо шире - архитектура, формирование культуры ИБ, управление рисками и т.п. И вот в такой схеме Threat Intelligence уже в центре всего - альфа и омега ИБ! 📌

Читать полностью…

Пост Лукацкого

От того же ☝️ автора есть еще и карта знаний для аналитика Threat Intelligence, коль скоро на кривой выше CTI не была учтена. По сути Юрген взял контент, требуемый для сертификации SANS GCTI и EC-Council CTIA, обобщил его и предположил, что эта карта покрывает 80% всех нужных знаний по TI, применив правило Парето 🗺

Хорошо, что автор в обоих случаях не забыл про привязку к защищаемым бизнес-процессам 🧐, ключевым системам, бизнес-рискам недопустиммым событиям, организационной структуре и т.п. темам, без которых ИБшник так и останется, пусть и технически подкованным и очень грамотным и зрелым, но технарем! 👨‍💻

Читать полностью…

Пост Лукацкого

Карты знаний и компетенций аналитиков SOC 🧑‍💻 появляются достаточно часто. И вот вам еще одна, на этот раз в форме кривой зрелости, где по оси абсцисс показаны линии SOC и "статусность" аналитиков, а по оси ординат - глубина необходимых знаний. Кривая не учитывает такие роли как Threat Hunter, Cyber Threat Intelligence Analyst, Use Case Developers, пентестеров и др., хотя и им тоже нужны описанные знания, но и многие другие. Ее автор предлагает использовать этот фреймворк для 4-х задач:
1️⃣ Обратная связь для оценки слепых зон аналитиков SOC
2️⃣ Интервью при приеме на работу
3️⃣ Планирование карьерного пути
4️⃣ Оценка возможностей по автоматизации.

Ну а за наполнением "кубиков" этой карты можно пойти на https://cybersecurity-roadmap.ru 🗺

Читать полностью…

Пост Лукацкого

Федеральной службой безопасности России 🇷🇺 возбуждено уголовное дело в отношении сотрудника одной из научных организаций по признакам преступления, предусмотренного ст. 275 УК РФ («Государственная измена»). Ранее фигурант был задержан 👮 в Москве по подозрению в совершении преступления, предусмотренного ст. 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации») 😕

По версии следствия, он инициативно установил контакт с представителями украинских спецслужб. После начала СВО по их указанию задержанный проводил DDoS-атаки на критически важные объекты России 🏭 в целях нанесения ущерба информационной безопасности России. Осуществлял сбор сведений о российских военнослужащих и передвижении военной техники 💪 Кроме того, на постоянной основе переводил личные денежные средства и криптовалюту на счета зарегистрированных на Украине фондов для приобретения ВСУ вооружения, военной техники и экипировки 🤑

Задержанный дал признательные показания. Ему избрана мера пресечения в виде заключения под стражу 👮

Читать полностью…

Пост Лукацкого

В тему автоматизации работы SOCов и оценки эффективности Red/Blue Team 🧮 Часто бывает, что Blue Team, выявившая некую активность, не знает, стоит за ней Red Team или это реальные хакеры? В целом, не так уж это и важно, главное, что ее задетектили и заблокировали 🤬 Но все-таки, можно ли как-то автоматизировать тестирование защищенности с передачей команде мониторинга данных о том, что было реализовано, чтобы уже они смогли оперативно понять, что они увидели, а что нет? Иными словами, есть ли свой "Святой Грааль" у Purple Team? 🌡

Да, автоматизация добралась и сюда. Не буду говорить, чей это продукт (вы и так, наверное, догадались), но сам факт, что можно в едином интерфейсе отмечать реализованные тесты и реакцию на них достаточно интересен. И позволяет оперативнее решать вопросы с качеством детекта и реагирования. И если к такой схеме прикрутить визуализатор, то получится инструмент оценки эффективности используемых в организации защитных мер, который сразу дает ответ "кто есть ху" 🤷‍♀️

Читать полностью…

Пост Лукацкого

На DEF CON был организован сбор пожертвований на предвыборную кампанию Камалы Харрис, кандидата в президенты США от демократов 🇺🇸 Эта акция продемонстрировала политическую активность и некоторый перекос в симпатиях хакерского сообщества, а также важность кибербезопасности в политических кампаниях. Да, пожертвовали 🤑 от 250 до 10000 долларов всего 150 человек из общего числа, но все равно это самая крупная сумма за 31-летнюю историю хакерской конференции (за Клинтон в 2016-м и за Байдера в 2020-м там же было собрано вместе не более 100 тысяч долларов) 🎊

Интересно, что Кремниевая долина и криптоиндустрия (не путать с индустрией средств шифрования), наоборот, отдают предпочтение Трампу 🐘; особенно после недавнего выступления последнего на крупнейшей конференции по биткойну и смены своего отношения к криптовалютам 💸

Камала Харрис, как вице-президент, сосредоточилась на вопросах кибербезопасности и технологической политики и, если ей повезет, в новой роли она продолжит эту тему, будут очень хорошо подкованной в данных темах. В прошлом она активно поддерживала инициативы по защите критической инфраструктуры 🏭 от кибератак, а также выступала за усиление кибербезопасности в выборных процессах 🗳

Харрис уделяла внимание вопросам конфиденциальности данных и защиты потребителей в цифровую эпоху (она как раз была генеральным прокурором Калифорнии, когда штат принимал законодательство в этой области), выступая и за регулирование безопасного и доверенного ИИ 🧠 (именно она возглавляла делегацию США прошлой осенью, когда в Европе подписывали меморандум по данной теме). В отличие от Трампа, который больше обвинял китайцев в кибератаке, Харрис больше говорит о "русской киберугрозе". Эти темы остаются ключевыми в ее политической повестке и могут стать центральными в ее потенциальной президентской кампании.

ЗЫ. Не знаю, насколько вам интересно то, что происходит в США, но тот, кто возглавит эту страну в январе, имеет определенное влияние на то, что происходит в мире технологий и ИБ на всей планете.

Читать полностью…

Пост Лукацкого

У меня часто происходят заочные дискуссии с Александром Леоновым - он комментирует мои посты, а я его (забавно, что такие дискуссии в онлайне проходят чаще, чем мы с ним видимся в офисе, хотя и работаем в одной компании). Так вот Александр, комментируя одну из моих заметок, пишет, что патчить надо все 🔄. Я продолжаю придерживаться иной позиции, которая очень хорошо описана в стандарте ISA/IEC TR 62443-2-3 – 4.1:

Применение патчей - это решение из области управления рисками. Если цена применения патча больше чем, цена оценённого риска, тогда патч может быть придержан; особенно если используются иные защитные меры, которые могут нейтрализовать риск.


В другом стандарте, TSA Security Directive Pipeline-2021-02D, говорится о том, что все патчи и обновления должны соотноситься с каталогом CISA KEV, то есть трендовыми уязвимостями. А уж в отношении этого, небольшого числа патчей, можно уже и соответствующий процесс выстраивать, ориентируясь, например, на NIST-800-82-r3 и IEC TR 62443-2-3, в котором предлагается следующее:
проведите инвентаризацию всех активов, которые могут потребовать установки патча 🧮
задокументируйте все используемые версии ПО и прошивок (управление активами очень важно)
убедитесь, что поставщик обновлений имеет процедуру для их тестирования
документируйте процесс установки патчей ✍️
вовлекайте экспертов по обновляемым системам и процессам, в которых эти патчи должны быть установлены
в первую очередь ставьте патчи для ДМЗ и трендовых уязвимостей
примите во внимание требования к доступности/непрерывности функционирования систем при установке патчей
сначала протестируйте патчи в контролируемой тестовой среде 💻
запланируйте установки патчей в технологические окна поддержки и имейте при этом "план Б" (вдруг все накроется как с CrowdStrike)
продумайте компенсирующие меры при применении патчей (там, где необходимо)
сохраняйте ежеквартально лог всех установленных обновлений и патчей
упомянутые выше стандарты не упоминают "канареечный деплой", но я бы про него тоже подумал. Это когда патч накатывается не сразу на все узлы, а на небольшую группу
вместо патчей иногда лучше использовать меры защиты, нейтрализующие использование уязвимостей, для которых разработан патч.

Читать полностью…

Пост Лукацкого

🛍 Интересные цифры: 74% компаний, подвергшихся атакам шифровальщиков с целью получения выкупа за последние 12 месяцев, были атакованы несколько раз, причем многие - в течение одной недели! 😮

Так что расслабляться после атаки не стоит - она может повториться и второй, и третий раз


78% атакованных организаций заплатили выкуп 🤑, а 72% заплатили его несколько раз. При этом 33% заплатили выкуп четыре и более раз 😲

Это, конечно, не 4 раза по 75 миллионов, но все равно суммы значимые 💰


87% атак привело к сбоям в работе бизнеса, даже у тех, кто заплатил выкуп, - включая потерю данных и необходимость отключения систем. Для 16% компаний атака поставила перед дилеммой "жизнь или смерть".

То есть для каждой 6-й компании атака шифровальщика стала, по сути, недопустимым событием 💥


49% жертв потребовалось от 1 до 7 дней для восстановления бизнес-операций до минимальной функциональности ИТ, а 12% - 7 дней и более

Это если вас, вдруг, спросят, во сколько вам обойдется стоимость атаки, а вы решите посчитать не только затраты на восстановление и выкуп, но и упущенную выгоду и стоимость простоя 📈

Читать полностью…

Пост Лукацкого

Выступил вчера на ИТ-Пикнике с рассказом про безопасность Интернета вещей и устройств, которые нас окружают сейчас и которых будет еще больше в ближайшее время. Шлёпки, велосипеды 🚲, дезодоранты, зубные щетки, вибраторы, вилки, аквариумы 🪸, кардиостимуляторы, пылесосы и многие другие устройства, которые сегодня небезопасны и необдуманно используются людьми, неподозревающими, что они представляют из себя угрозу для них самих, для их близких и окружающих 🔓

Презентацию 📄 прилагаю (когда появится видео, тоже поделюсь). Организаторам респект за все! 🤝

Читать полностью…

Пост Лукацкого

Gartner тут разродился очередной ежегодной кривой развития 25 прорывных технологий, которые группируются в 4 ключевых блока:
🔤 Автономный искусственный интеллект
🔤 Продуктивность разработчиков
🔤 Пользовательский опыт
🔤 Кибербезопасность, ориентированная на человека, и приватность.

Эта кривая, это дистиллят, как пишет сам Gartner, из более чем 2000 технологий и различных фреймворков, из которых выбрана самая мякотка 💎 и которые должны быть знакомы каждому человеку, считающему себя на короткой ноге с технологиями. Эти технологии, если ничего не произойдет, должны иметь трансформационный эффект на горизонте ближайших 10 лет 🌱

С точки зрения кибербеза Gartner разумно пишет, что:

"Методы обеспечения безопасности слишком часто исходят из того, что люди могут вести себя абсолютно безопасно. Но когда сотрудники должны сделать выбор между безопасностью и бизнес-требованиями, они часто выбирают второе, иногда обходя слишком строгий контроль безопасности."


и сразу добавляет, что:

"Ориентированная на человека безопасность и приватность неразрывно вплетает их в цифровой дизайн организации."


К прорывным технологиям такого рода аналитики относят доверие к искусственному интеллекту, mesh-архитектуру ИБ, цифровую иммунную систему, защиту от дезинформации, федеративное машинное обучение и гомоморфное шифрование 🤔

Читать полностью…

Пост Лукацкого

Американцы новые кибер-санкции подогнали против компаний:
Digital Security
Софт Плюс
Cloudrun
Digital Compliance
Кибер Сервис
Machine Learning Labs
и их руководство:
Илью Медведовского
Дмитрия Евдокимова
Евгению Климину
Дмитрия Частухина
Глеба Чербова
Таранджита Камбо.

Санкции выглядят странновато, но, видимо, больше уже некого санкционировать... 🤔

🔄 UPDATE: в список также попали Диасофт, ЦФТ, Крибрум, 27-й ЦНИИ МинОбороны, Центр речевых технологий, "Сфера", Норникель Сфера, Норникель Спутник, БазАльт, МТС РЕД (Серенити), а также ряд других компаний, занимающихся биометрией и искусственным интеллектом.

Читать полностью…

Пост Лукацкого

АНБ с партнерами разродилось руководством по лучшим практикам регистрации событий 📝 и обнаружению угроз, которое дает рекомендации по тому, как:
1️⃣ регистрировать события в АСУ ТП
2️⃣ регистрировать события в мобильных решениях
3️⃣ регистрировать события в облаках
4️⃣ безопасно хранить логи и передавать их по сети в централизованное хранилище
5️⃣ централизованно собирать и анализировать логи
6️⃣ обеспечивать целостность логов
7️⃣ обнаруживать отдельные виды угроз
8️⃣ и какие события и параметры событий фиксировать в логах
9️⃣ работать с временными метками и многое другое.

Всего 16 страниц, которые дают очень хорошее погружение в тематику. А для желающих больших деталей, даны ссылки на дополнительные стандарты и руководства по ведение журналов регистрации событий ✍️

Читать полностью…

Пост Лукацкого

Презентация с вчерашнего вебинара по оценке эффективности SOC 🌡 Всего 50 слайдов, но опять вышел за тайминг, - с вопросами получилось 2,5 часа. И ведь это 8-я часть более объемной презентации по оценке эффективности SOC, которая у меня есть. Но там получается контента на день с лишним 🤯

Последний вопрос от участника был "А может быть Вы и есть AI? Помашите рукой, плз!" Так вот, я не ИИ 😊 Машу рукой 👋

ЗЫ. Когда выложат видео, тоже поделюсь. Ну и есть планы развить эту историю.

Читать полностью…

Пост Лукацкого

В темных глубинах цифрового мира, в зловещем и бескрайнем океане нулей и единиц, появился в 2003 году червь, нареченный Nachi 🪱 Он был странным созданием, порожденным мрачным разумом, и его миссия была окутана тайной. Этот загадочный червь не стремился к разрушению, как его зловещий предшественник Blaster, а напротив, как древний обитатель бездны, он рыскал по миру, ища уже зараженные Blaster'ом машины ☢️ Воплощая странную форму цифровой альтруистической сущности, Nachi проникал в эти машины, изгонял зловредного Blaster и, словно безумный бог, устанавливал патч, призванный оградить жертву от повторного вторжения 🤬

Однако, как и все создания, рождённые в этих темных водах, он был далеко не совершенен. Его вмешательство, хотя и часто успешное, не всегда проходило без последствий. Порой, как древний артефакт, патч, принесенный им, был несовместим с жертвой, вызывая непредвиденные мутации в её цифровой плоти 🙊

Словно предчувствуя своё неизбежное исчезновение, в коде Nachi была заложена функция самоуничтожения 💥 В первый день января 2004 года или после 120 дней своего существования, он, подобно мифическому фениксу, сжигал себя дотла, исчезая навсегда из этого зыбкого мира 🔥

Таков был один из тех редких и мрачных случаев, когда вирусы обретали странную и пугающую форму доброжелательности. Эти “доброносные” программы, как древние мифы, однажды населяли цифровое пространство, но с течением времени их свет угас, и они исчезли, уступив место хаосу, который ныне царит на Земле ☠️

Читать полностью…

Пост Лукацкого

Сегодня в 14.00 по Москве будем проводить вебинар "Как измерить 📈 эффективность SOC: подходы и лучшие практики", где я буду рассказывать про метрики SOC, лайфхаки и т.п. Присоединяйтесь!..

Читать полностью…

Пост Лукацкого

⚠️ Не верьте, когда кто-то пишет про свежую уязвимость IPv6 в Винде, что:

“Microsoft рекомендует отключить IPv6”.


⚠️ В реальности Microsoft пишет, что:

“Системы не подвержены уязвимости, если IPv6 отключен на целевой машине.”


Почувствуйте разницу! 🧐

ЗЫ. А отключение IPv6 в ряде случаев невозможно и приводит к функциональным ограничениям в работе операционной системы.

Читать полностью…

Пост Лукацкого

Ну всё, всем кранты 😱 Анонимные арабы (так группировка называется, если что) выходят на тропу войны под девизом «За Курск! За Россию! За Белгород! За Донбасс» 🏹

ЗЫ. «Марроканские драконы» 🐉 тоже в деле - на днях 12 камер взломали в украинских офисах и складах. Под тем же девизом 💪

Читать полностью…

Пост Лукацкого

Обратили внимание, в предпоследней заметке эффективность МСЭ не самая высокая 🤬 в части блокирования, что вызывает некоторые вопросы? Да, то, что на оконечном устройстве эффективность работы EDR/RPP выше, это понятно, - все-таки они видят конечную цель хакеров и могут ее точнее идентифицировать 🎯 Но что не так с МСЭ? Он не видит современные атаки? Он не способен анализировать зашифрованный трафик? Может быть всякое, в том числе и проблема с настройкой средства сетевой безопасности в конкретной организации 😞

А вот на кривой "эффективность-цена", которую разработал Mads Bundgaard Nielsen, те же межсетевые экраны находятся в самой выгодной позиции - почти минимальная стоимость и максимальная эффект 📈 от внедрения с точки зрения ИБ. Как по мне, так достаточно спорная кривая, так как все будет зависеть от кучи факторов. Считать IAM-решения - самыми-самыми эффективными в ИБ я бы не стал, если автор в них, конечно, не зашивал историю с ITDR (Identity Threat Detection & Response). Не очень понятно, чем APT Defense отличается от Advanced Threat Detection, почему IDS более эффективны чем фильтрация e-mail и т.п. Но как еще один способ приоритизации инвестиций в ИБ, почему бы и нет. Как повод поразмышлять, так уж точно 🤔

Читать полностью…

Пост Лукацкого

Ну а вот так уже выглядит история с оценкой эффективности мер обнаружения и реагирования от квартала к кварталу 📈 Ее, конечно, можно попробовать засунуть в один показатель, который и выносить на дашборд, но для тактического анализа это будет не очень правильно. За одной цифрой будет сложно понять, что хорошо и что плохо, что можно улучшить 🌡

Например, мы видим, что в части тактики первичного доступа ситуация стала и лучше и хуже. Компания стала больше блокировать (синяя закраска) на этом этапе, но при этом и пропускаются аттачи PDF с ссылками на Google Drive (красная закраска) 📄 С точки зрения EDR, они стали меньше блокировать атак, только детектируя ряд новых техник. Ну и т.д.

Конечно, в реальности такие графики 📈 должны оцениваться динамично и гораздо чаще, чем раз в квартал. При тех показателях TTA (time to attack) иначе и нельзя. Но при наличии автоматизации в этом вопросе это решается достаточно быстро.

Читать полностью…

Пост Лукацкого

Если SOC занимается только мониторингом на базе SIEM, то это больной SOC. Так было сказано еще в 2017-м году. Интересно, что услуга реагирования в таком SOC тоже присутствует, но в виде привлечения внешних компаний (IR Retainer). И кажется мне, что таких SOCов, несмотря на прошедших 7 лет, все еще большинство 😱

Читать полностью…

Пост Лукацкого

Помните фильм 🎬 "Человек, который изменил все" (Moneyball в оригинале) с Бредом Питтом? Там главный герой, возглавивший бейсбольную команду, сделал ставку не на суперзвезд, а на посредственных игроков, которые были сильны именно в команде (там как раз показана сила data science, когда анализ сотен параметров по каждому игроку позволяет составить действительно победоносную команду, выигравшую 21 игру подряд) ⚾️

Вот в ИБ, где постоянно говорят о нехватке кадров, схожая со многими видами спорта история, - клубы и команды пытаются заполучить звезд ⭐️, которые в одиночку, как правило, мало что могут. А так как звезд на всех не хватает, то открытые позиции ИБшников не закрываются, в среднем, по 6 и более месяцев. Из других интересных цифры, которые должны заставить задуматься тех, кто отвечает за найм специалистов по кибербезу и размещение вакансий на сайтах поиска работы:
1️⃣ 72% специалистов по рекрутингу считают, что их описания ИБ-вакансий идеальны, в то время как только 36% соискателей согласны с этой точкой зрения
2️⃣ Неудачный найм и несоответствие ожиданий роли обходится в 5 раз дороже зарплаты кандидата.
3️⃣ Производительность труда возрастает на 25%, а 75% сотрудников отмечают более высокую удовлетворенность работой, когда роли, на которые их берут, понятны и хорошо описаны ✍️
4️⃣ 92% специалистов говорят, что их компании страдают от нехватки компетенций в одной или более областей
5️⃣ 33% лидеров говорят о нехватке тренингов для ИТ-специалистов по вопросам ИБ
6️⃣ Работники с 75%-й вероятностью останутся с компанией надолго, если у них есть возможность горизонтального развития/перемещения
7️⃣ 3 из 5 факторов, которые ИБшники учитывают при поиске новой работы, отражают желание освоить новые навыки 🧑‍💻

Дайте кандидатам то, о чем они мечтают, и у вас будет команда мечты!

Читать полностью…

Пост Лукацкого

Когда больше половины экспертов дадут более чем 50%-ю оценку взлома RSA-2048 менее 24 часов с помощью квантового ⚛️ компьютера, вот тогда можно реально будет напрягаться. Судя по оценкам 2023-го года - это произойдет после 2034-2035 годов (при текущем уровне развития технологий), не раньше Что, правда, не отменяет внезапных открытий или секретных разработок.

Но... важно помнить, что какой бы срок не предсказывали эксперты, уже сейчас многие государства, Китай 🇨🇳 так уж точно, накапливает все зашифрованные данные, до которых он может дотянуться. И когда появятся работающие квантовые компьютеры 💻, тогда все эти сохраненные данные будут щелкаться как орешки 🌰 И в данной теме, вопрос стоит уже не можно или нельзя дешифровать данные, а когда это произойдет?! Но для ИБшников в этом ничего нового - точно так же вопрос стоит в отношении инцидентов ИБ - не "случится он или нет", а "готовы ли мы, когда он случится".

Читать полностью…

Пост Лукацкого

🎙 Подкасты на тему информационной безопасности.

• ИБ-подкасты помогут Вам прокачать профессиональные навыки, узнать последние новости, сориентироваться в индустрии и получить много новых знаний в данной сфере.

Hack me, если сможешь — подкаст о современных киберугрозах и защите от них, созданный при поддержке Positive Hack Days — одноименного ИБ-форума.

Смени пароль! — разговорное шоу от экспертов «Лаборатории Касперского» о расследовании киберпреступлений и актуальных угрозах кибербезопасности.

Security Stream Podcast — новости и тенденции кибербезопасности, интервью с известными ИБ-экспертами, обсуждение взломов и методов защиты бизнеса.

Security Vision — подкаст компании «Интеллектуальная безопасность». Обзоры различных средств информационной безопасности и публикаций MITRE.

Информационная безопасность — проект одноименного журнала и сайта ITSec.ru. Представляет собой аудиоверсии избранных статей, зачитанные роботом.

OSINT mindset — свежий подкаст о разведке на основе открытых источников данных, ориентированный на обсуждение методов, инструментов и философии этой дисциплины.

Кверти — шоу студии Red Barn, в котором обсуждают ИБ и в доступной форме объясняют, как противостоять интернет-мошенникам.

Схема — подкаст Т-Ж в котором разоблачитель мошенников с 15-летним стажем погружается в реальные истории обманутых героев и препарирует схемы аферистов.

F.A.C.C.T. — волнующие расследования, захватывающие истории о хакерах и практические советы экспертов по цифровой гигиене.

#Подкаст #ИБ

Читать полностью…

Пост Лукацкого

Почему авторы новых шифровальщиков 🤒 все чаще самостоятельно пишут криптографическую подсистему и особенно подчеркивают это при рекламе своих изделий? И почему они, если верить, что многие из России 🇷🇺, не используют отечественные криптографические алгоритмы? Почему такой непатриотизм?

Я тут услышал версию, что это однозначно выдает в авторах шифровальщиков сотрудников ФСБ 🇷🇺, которые законопослушны и не могут применять отечественный ГОСТ, не сертифицировав конечное изделие в 8-м Центре. А я возразил, что если бы это были сотрудники ФСБ, то они бы точно не стали использовать американский стандарт шифрования 🔐, да еще и вывозить готовое СКЗИ из страны, не получив на это экспортную лицензию. Да и вообще, по мнению ФСБ все, что не использует отечественные криптографические алгоритмы, не считается у нас СКЗИ и вообще спецслужбе не интересно 🤷‍♀️

ЗЫ. Все написанное выше - шутка 😂 Кроме реальных скриншотов рекламы шифровальщиков!

Читать полностью…
Подписаться на канал