alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Как-то, после принятия 250-го Указа, я разговаривал с одним замминистра, который делился тем, как он проходил обучение, необходимое для замруководителя организации по ИБ, который упоминается в Указе Президента. Так вот обучение проходил не он сам 👨‍🏫 - был направлен один из администраторов ИБ, который и сидел 500+ часов на курсах, пока замминистра делом занимался. И экзамен тоже проходил админ. А все потому, что поднимать действующего руководителя отдела ИБ до замминистра никто не захотел/не смог, а Указ выполнять надо. А что делать организациям, в которых вообще нет нормального ИБшника? В таких случаях помогает vCISO 🧐

В России 🇷🇺 тоже есть такие сервисы и даже отдельные эксперты предлагают такие услуги. Поэтому достаточно интересно посмотреть, что предлагают vCISO за рубежом 🌎 Интересно, что в крупных компаниях на первое место по задачам vCISO занимает проверка существующих защитных мер 🔍, в небольших - GRC и разработка стратегии ИБ, а в самых крупных - GRC, оценка зрелости ИБ 💯 и менторинг молодых ИБшников. Если сложить упомянутые востребованные сервисы, то в Топ5 надо будет добавить еще определение бюджета на ИБ 🧮

Жаль, что в России установлены требования наличия собственного руководителя ИБ в штате (и хотя Минцифры допускает шаринг ИБшника между компаниями, ФСТЭК категорически против такого подхода) - у нас просто нет достаточного количества грамотных руководителей по защите информации 🤷‍♂️ В итоге многие занимаются очковтирательством и назначением на эти роли людей, которые очень далеки от ИБ (но близки к топ-менеджменту) 😕 Надеюсь, когда-нибудь это требование будет отменено и тогда услуги vCISO, разумеется, с четким описанием их сферы деятельности и ответственности за результат, станут еще более востребованными чем сейчас 🥺

Читать полностью…

Пост Лукацкого

Предвыборный штаб Дональда Трампа подтвердил факт взлома внутренней переписки ✉️ после того, как издание Politico начали получать документы из анонимного источника. Штаб обвинил в этом “враждебные иностранные силы”, возможно, Иран 🇮🇷, ссылаясь на отчет Microsoft о фишинговой атаке на высокопоставленного сотрудника президентской кампании в июне 2024 года. Документы, включая досье на кандидата в вице-президенты Джей Ди Вэнса, были переданы анонимом, что представляет собой серьезную утечку для кампании Трампа 🇺🇸

Вспоминается история 2016-го года, когда во время президентской гонки между Дональдом Трампом и Хилари Клинтон, хакеры взломали 👨‍💻 у последней личный почтовый сервер и утянули всю внутреннюю переписку, включая и все "грязное белье", которое затем распространялось в СМИ и в соцсетях 🤮 Отдельные эксперты считают, что эта утечка помогла Трампу получить доли процентов голосов избирателей, которых и хватило для победы. Интересно, повторится ли ситуация сейчас?.. 👠 Что еще опубликует Politico?.. 🤔

Читать полностью…

Пост Лукацкого

Алиса Сабо опубликовала триптих 🙌 про управление рисками (часть первая, вторая и третья), про подмену понятий, про то, как под анализом рисков пытаются втюхать всякую дичь, про то, что ИБшники ни хрена не понимают, что такое анализ рисков на самом деле, и вот это вот все. Я жду части про оценку вероятности и ущерба

Читать полностью…

Пост Лукацкого

Судя по тому, что сейчас пишут в каналах сопредельной страны, стоит ожидать новых фишинговых кампаний со следующими темами:
☢️ Радиационное заражение с Курской АЭС
🏃 Эвакуация Курска, Курчатова и других городов области (деньги за эвакуацию, "секретные" планы эвакуации, помощь в эвакуации и т.п.)
🏡 Сдача жилья в соседних с Курской областью городах (предоплата, сайты для поиска жилья и т.п.)
🆘 Волонтерская помощь (сайты и каналы с волонтерской помощью и т.п.)
✈️ Рост цен на авиабилеты за границу и т.п.
🔫 Мобилизация (секретные планы мобилизации и т.п.)

Как мне кажется, стоит включить эти темы в очередные занятия или расылки по повышению осведомленности, чтобы пользователи не попадались на удочку 🎣 и предупреждали и своих родных тоже; особенно если они живут и работают в Курской и сопредельных областях.

Читать полностью…

Пост Лукацкого

CrowdStrike под BlackHat выпустил очередной отчет по результатам своих расследований в... да, странно, выпускать летом отчет за 2024-й год, но как еще инициатору глобального коллапса отвлекать внимание от своих косяков?.. 🤔 На самом деле отчет берет интервал с 1 июля 2023 года по 30 июня 2024 года.

Для нашего региона отчет не то, чтобы интересный, все-таки он базируется на изучении техник, тактик и процедур группировок, атакующих, преимущественно США и их саттелитов 👨‍💻 Атаки на российские организации имеют немного иную картину, хотя анализ северокорейских и китайских группировок применим и к нам 🎃

Итак, на что обращает наше внимание CrowdStrike:
1️⃣ Интерактивных взломов (это когда хакер реально сидит в инфраструктуре жертвы и что-то там делает, а не просто заливает в нее вредоносный код, который работает по некоему алгоритму) стало на 55% больше
2️⃣ Использование средств удаленного управления выросло на 70% и в 27% всех интерактивных взломов задействованы были эти инструменты
3️⃣ Очень активна была группировка FAMOUS CHOLLIMA из Северной Кореи
4️⃣ Число атак на облачные среды выросло на 75%
5️⃣ 86% интерактивных взломов имели под собой финансовую мотивацию
6️⃣ Чаще всего атаковали технологический сектор (рост 60%). За ним идут сектор консалтинговых услуг (рост 58%), финансовые организации (25% роста), здравоохранение и ретейл. Если разделить взломы по мотивации - финансовая и таргетированная, то во втором случае в лидерах также телекоммуникационный и государственный сектора (52% и 160% роста соответственно), а в первом добавляется еще промышленность (43% роста).
7️⃣ В отчете непривычно много рекламы самих себя 🤠

Читать полностью…

Пост Лукацкого

Тут очередной опрос CISO подогнали, в котором задаются классические вопросы про ежегодный доход, подчиненность, управляемые функции и т.п. Но обратить внимание я хотел бы на один вопрос - "Как вы оцениваете эффективность трат на ИБ?" ⁉️

Самый популярный ответ - соответствие плана заранее определенным KPI 🤠 Такое себе, если честно. Поставил себе цели "на полшишечки", достиг их к концу года и все, в шоколаде. Бонус получил, медаль на грудь, и на следующий круг. На втором месте - снижение поверхности атаки. Вполне понятная, но тоже слишком техническая история. Третье место занимает соответствие требованиям и с небольшим отрывом от него - скорость и аккуратность реагирования на инциденты И снова - ни один из этих показателей не имеет никакого отношения к тому, что интересно бизнесу. Отсюда и высказывание одного CFO на нашем бизнес-завтраке - "как объясняют, так и бюджет получают". И только на последнем месте в Топ5 - снижение бизнес-затрат (потерь). Странно, что нашлось 9% тех, кто оценивает свою эффективность по снижению расходов на ИБ 🤔

Читать полностью…

Пост Лукацкого

"Кибрарий" Сбера 🏦 опубликовал карту знаний CISO, как это видится самому Сберу (она у меня уже 6-я или 7-я в коллекции). Лично мне она не зашла. Как по мне, так она не про лидера ИБ 🧐 Она описывает знания уровнем ниже, там где важны технологии ИБ, а не кросс-функциональные темы - финансы, лидерство, работа с людьми, работа с ИТ, внутренний маркетинг, общение с топами и советом директоров, антикризисное управление и т.п.

Ну и выбор иерархической структуры для карты знаний 🗺 неудачен, так как она подразумевает движение сверху вниз или снизу вверх, а карта знаний должна оперировать плюс-минус равнозначными доменами. Карта (mindmap) 🗺 того же Рафика гораздо ближе к тому, что, по моему скромному мнению, стоит знать человеку, должность которого начинается с "Chief". Но с другой стороны, кто я такой, чтобы судить о том, какие знания нужны для приема на работу в Сбер? Возможно, в одной из крупнейших в России экосистем с иерархическим управлением, другого и не надо 🛡

ЗЫ. А вот список технологий, используемых в Сбере (самый нижний уровень), - это прям хорошо. Будет полезно даже тем, кто не планирует быть CISO, а хочет просто работать в "зеленом Банке" 🏦

Читать полностью…

Пост Лукацкого

Тут вот в LinkedIn народ флеймит на тему "все беды от управления уязвимостями" 😱 CVSS - говно, всё - ложные срабатывания, патчи для Линукса и контейнеров - сложно, NVD утонула в бэклоге, "вендора" open source не заинтересованы в обновлении своего ПО, приоритизация сильно зависит от конкретной организации (о, я про это писал), управления активами ни у кого нет... 😭

ЗЫ. Рецепта, что с этим делать, автор не приводит 😊

Читать полностью…

Пост Лукацкого

МинЦифры запустило «убийцу VirusTotal” - https://virustest.gov.ru/ В прошлый раз, в 2021-м году, этот же сервис на том же адресе запускала ФСБ. А в 2019-м такой же сервис обещал запустить ФинЦЕРТ. Бог любит троицу, так что эта попытка должна быть удачной 🤞

Читать полностью…

Пост Лукацкого

Как и предполагалось, Cencora в своей финансовой отчетности не подтверждает выплату 75 миллионов долларов, о котором писал ZScaler в своем отчете по шифровальщикам, как о рекордной выплате вымогателям 🤑 Потери фармацевтического гиганта из Fortune 50 от кибератаки составили "всего" 30 миллионов долларов за первый квартал 2024-го года. В итоге место лидера антирейтинга по выплатам пока вакантно и пока этот кейс попадает в разряд "городских легенд", а не подтвержденных фактов 🏆

Читать полностью…

Пост Лукацкого

Что-то кучно пошло... Хакеры 👨‍💻 взломали английскую компанию Mobile Guardian, которая выпускает решения по безопасности мобильных устройств (MDM) и удаленно потерли данные на тысячах управляемых устройствах под управлением iOS и Chrome OS 📱

Компания уже признала инцидент и сообщила, что он никак не связан с ранее зафиксированной ошибкой в конфигурации устройств iPad, используемых только в Сингапуре 🇸🇬 В инциденте 4 августа пострадало гораздо больше устройств в Северной Америке, Европе и Сингапуре, которые используются преимущественно в сегменте образования 👨‍🏫 Только в Сингапуре известно об уничтожении 13 тысяч устройств в 26 школах (по данным министерства образования). Компания предсказуемо сообщает о небольшом проценте пострадавших устройств и о том, что хакеры не получили доступ к данным (ну а нахрена, если данные можно все стереть?) 🤦‍♂️

В качестве реакции, Mobile Guardian остановила все свои сервера управления, что привело к тому, что студенты не могут пока пользоваться своими мобильными устройствами (еще не легче). В ряде случаев требуется реактивация устройства, зачастую вручную. Продолжается расследование... 🔍

Читать полностью…

Пост Лукацкого

Немного смущают якобы профессиональные ИБ-каналы, которые тупо репостят непроверенные новости 😰 Свежий пример. ФСТЭК публикует проект поправок в 17-й и 239-й приказы, которые к ранее существовавшим там мерам защиты добавляют всего одну - защиту информационной системы от угроз типа "отказ в обслуживании". Все, ничего более ☹️ Дальше, ФСТЭК просто поясняет, что включается в эту меру, а там много всего:
выявление публично доступных интерфейсов и сервисов и исключение неиспользуемых
инвентаризация публичных адресов и доменных имен
формирование матрицы коммуникаций с внешними ресурсами, включая используемые протоколы
составление списка разрешенных во время DDoS адресов для взаимодействия
использование средств или сервисов борьбы с DDoS (сами требования к таким средствам у ФСТЭК утверждены еще несколько лет назад)
наличие двукратного резерва по пропускной способности каналов передачи данных
использование GeoIP от Роскомнадзора (не обязательно блокирование по GeoIP)
хранение в течение трех лет данных о DDoS-атаках
взаимодействие с ГосСОПКА
работа с провайдерами услуг по защите от DDoS, расположенных только в России.

Что пишут "профессиональные" ИБ-каналы про этот приказ? Только про хранение данных об атаках в течение трех лет. Все! 😮 В итоге целиком меняется смысл предлагаемых ФСТЭК поправок, в которых вообще нет ничего нового и сверхестественного, исключая, быть может, двукратный резерв по пропускной способности. Все остальное - просто здравый смысл 🤔

ЗЫ. В итоге от ряда каналов отписался 😠

ЗЗЫ. При этом украинские официальные лица признали проведение массированных DDoS-атак на российские финансовые организации.

Читать полностью…

Пост Лукацкого

Выписал тезисы по статье Алексея Лукацкого про методы приоритизации уязвимостей.

🔹 Количество CVE уязвимостей растёт с большим ускорением; считается, что на одну зарегистрированную уязвимость есть 3 незарегистрированных.
🔹 Исходя из статистики, устранение уязвимостей осуществляется гораздо позже, чем эти уязвимости начинают использовать атакующие.
🔹 Отсутствие выстроенного процесса приоритизации уязвимостей - одна из причин задержек в их устранении.
🔹 Единственного правильного метода приоритизации уязвимостей нет: у каждого свои преимущества, недостатки и область применения.
🔹 Выбор у корпоративных пользователей небогат: довериться методам приоритизации VM-вендора, либо пилить свой процесс (собирая temporal и environmental данные самостоятельно).
🔹 Можно попробовать разработать собственную методику, однако все равно нужно где-то брать исходные данные. Большинство компаний берут за основу CVSS Base Score + временные метрики (EPSS, Coalition ESS, AI Score, CVE Shield, CISA KEV и т.п.). Каверзные вопросы. Что делать с новыми уязвимостями, по которым еще нет данных? И что делать с уязвимостями, для которых нет, и возможно, не будет данных в CVE (например, с уязвимостями в российских продуктах)? 🤔 Информации по их эксплуатабельности в западных источниках не будет. 😏
🔹 "Уникальная и революционная система приоритизации уязвимостей" = учёт информации о наличии эксплойта, использовании уязвимости в реальных атаках, активности обсуждения в СМИ и соцсетях и т.д. + обработка ML-ем.
🔹 Упрощённые критерии принятия решений (НКЦКИ, SSPP, CISA) всё равно требуют автоматизации и источника информации об активности эксплуатации уязвимостей вживую.

@avleonovrus #Prioritization #РезБез

Читать полностью…

Пост Лукацкого

❤️ Написали один из самых долгожданных постов этого лета, судя по вашим вопросам

Да, мы объявляем о новом наборе на стажировку PT Start, по результатам которой вы сможете получить офер и стать сотрудником Positive Technologies.

👩‍🎓 Кого ждем на стажировку

Студентов и выпускников вузов по специальностям «информационная безопасность» и «информационные технологии». Если вы участвовали в соревнованиях CTF, хакатонах и профильных олимпиадах, это будет преимуществом.

🤔 Как туда попасть

Тут все просто: успейте подать заявку и пройти онлайн-тестирование на сайте PT Start до 18 августа.

🧑‍🏫 Что будет дальше

Мы разберем все заявки и отправим приглашения всем подходящим кандидатам (в прошлый раз его получили 1300 человек из 3000 заявившихся).

Всех счастливчиков ждет базовое, а потом и углубленное обучение по основным направлениям: кибербезопасность, разработка, обеспечение качества (Quality Assurance), системный анализ. А после вы сможете сами выбрать, в какой из команд стажироваться.

В конце — финальный босс возможный офер и, что самое важное, бесценные знания и опыт, которые точно пригодятся вам для будущей карьеры.

🏃 Еще думаете? А остальные уже подают заявки!

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Российскому рынку ИБ 🇷🇺 похвастаться такими оборотами пока не получается, как и местом в экономике страны. Однако хочется верить, что со временем и у нас будет не хуже, чем в США 🇺🇸 Но есть и обратная сторона у такого положения в экономике страны. Влияние ИБ 🛡 на нее становится достаточно ощутимым, что привлекает внимание регуляторов и кейсы SolarWinds, CrowdStrike, Microsoft и т.п. лишний раз это доказывают 🔍

Читать полностью…

Пост Лукацкого

Как вы можете быть консультантом и хотеть получать большие деньги, если у вас нет своего фреймворка или какой-нибудь модели?! Никак. Вот и в Accenture подумали также 💡 и разработали модель оценки зрелости вымогателей (Extortion Group Maturity Model, EGMM) 😷 , которую предлагается использовать как аналитический инструмент, помогающий оценить достоверность, стабильность и ожидаемое поведение активных программ-вымогателей и группировок. Правильное применение модели может помочь лицам, принимающим решения, судить о том, должны ли они взаимодействовать (и как) с вымогателями, а также указать на ожидаемое поведение группировки 🤝

EGMM помогает организациям оценить предсказуемость и стабильность группы угроз на основе 1️⃣9️⃣ уникальных параметров, которые затем используются для размещения группы на диаграмме рассеяния по двум осям - стабильность и предсказуемость, что дает попадание в один из 4 квадрантов: от хаотического поведения до стабильного и от предсказуемого до ненадежного 🤔

Все хорошо в этой идее кроме одного - ежемесячно появляется около 30 новых семейств шифровальщиков; кто будет оценивать каждое из семейств и стоящих за ними группировок по EGMM? Получается, что надо иметь в своем составе команду Threat Intelligence, которая и будет заниматься этим? Не все смогут...

Читать полностью…

Пост Лукацкого

Раз уж дал комментарий для радио, то чего пропадать контенту. Специалисты обнаружили уязвимость 18-летней давности, которая угрожает компьютерам под Linux 😁 и macOS 📱, на которых запущены браузеры Chrome 📱, Chromium, Firefox 📱 и Safari 📱. Уязвимость, названная "0.0.0.0-Day", позволяет вредоносным сайтам слать JavaScript-запросы 📱 к локальному адресу 0.0.0.0, а уязвимый браузер будет пересылать их на определенные локальные сервисы на компьютеры, что позволит злоумышленникам красть информацию, изменять настройки ПО, загружать вредоносный код и даже удаленно исполнять код.

На Windows данной проблемы нет, так как она блокирует такие внешние запросы к локальному IP. Разработчики браузеров сейчас в процессе исправления данной уязвимости: 👨‍💻
Google пообещала устранить этот баг в 128 версии Chromium (сейчас в бете) и закончить его к 133 версии Chrome.
Apple внесет изменения в очередную версию движка WebKit и в новом обновлении macOS она должна быть доставлена до пользователей
Mozilla в процессе решения данной проблемы, но когда это будет сделано не сообщается.

Процент web-сайтов, которые коммуницируют с локальным адресов 0.0.0.0 растет и сейчас составляет 0,015% от общего числа сайтов в Интернет, то есть всего около 100 тысяч web-ресурсов (с июня начался экспоненциальный рост).

Читать полностью…

Пост Лукацкого

Помните американскую компанию Johnson Controls, которую взломали 🧑‍💻 в прошлом сентябре, утянули много данных и потребовали выкуп в 50 миллионов долларов? Так вот тут на днях в ее видеокамерах, а она выпускает много всего промышленного, нашли 6 уязвимостей, которые позволяли хакерам получать доступ к видеосистемам и перехватывать видеопоток от уязвимых промышленных камер 🏭

А в Telegram-каналах вчера писали, что ВСУ получили доступ к видеокамерам, расположенным вдоль дорог 🛣 в Курской области, отслеживая перемещение российских войск в рамках контртеррористической операции. Самое интересное, что инструкции по взлому камер видеонаблюдения давно выложены на хакерских проукраинских сайтах. Ровно тот же способ применялся в начале конфликта Израиля и ХАМАС 🇮🇱

А групп в соцсетях, которые торгуют доступами к камерам видеонаблюдения в квартирах, фитнес-центрах, медкабинетах, борделях, загородных домах и т.п., вагон и маленькая тележка 🔞 И существуют они уже не первый год и с ними никто особо не борется. Но самое главное, что они показывают проблему, которая существует, - влияние хакеров на мир физический. И одно дело, когда кто-то наблюдает когда ты ковыряешься в носу, и совсем другое - когда данные перемещения войск сливают противнику, который потом бомбит колонну 🧨

То есть это тема-то не новая, но почему-то на нее мало кто обращает внимание. Видеокамеры и системы управления ими вообще могут не относится ни к ГИС, ни к КИИ, а значит и защищать их необязательно. И вот результат... 💥

Читать полностью…

Пост Лукацкого

Американская ипотечная компания LoanDepot, столкнувшаяся в январе с атакой со стороны Alphv/BlackCat, зашифровавших данные 16 миллионов пользователей, объявила о потерях в 42 миллиона долларов (около 1️⃣0️⃣🔣 всего полугодового оборота компании ❗️), которые включают в себя стоимость расследования и восстановления, стоимость уведомления клиентов об инциденте, стоимость консалтинга, судебные разбирательства и т.п. Также компанию ожидает групповой иск в размере 25 миллионов долларов 🤑

ЗЫ. Alphv/BlackCat объявили, что сейчас в процессе продажи украденных ипотечных данных 😾

Читать полностью…

Пост Лукацкого

Очередной конкурс ИБ-стартапов, на этот раз на BlackHat (BlackHat Startup Spotlight). Чем-то напоминает аналогичный конкурс на RSA Conference, но он другой 😊 В этом году финалистами стали 4 компании:
🔤 RAD Security - поведенческий мониторинг безопасности облаков и реагирование на выявленные инциденты (она же была финалистом конкурса и на RSAC)
🔤 DryRun Security - базирующаяся на ИИ защита для разработчиков, пользующихся GitHub
🔤 Knostic - контроль доступа к LLM для предотвращения передачи конфиденциальной информации
🔤 LeakSignal - классификация и защита в реальном времени конфиденциальных данных в процессе передачи

ЗЫ. Победил Knostic 🏆

Читать полностью…

Пост Лукацкого

Open-source инструмент D.I.A.N.A. на базе ИИ 🧠 - скармливаешь ему TI-отчеты с описанием TTP, даешь фрагменты логов и просишь написать детекты на нужном языке или в нужном формате. И вуаля... Мечта ИБшника... Правда, автор отмечает, что все хорошо работает только при условии хорошего "промпта", то есть описания TTP и логов. А без этого все как всегда - "на входе шлак и на выходе шлак" 🗑

ЗЫ. А вы и есть за меня будете?.. (с)

ЗЗЫ. Не путать с вредоносным фреймворком DIANA для обхода EDR, который сегодня поступил в продажу на черном рынке.

Читать полностью…

Пост Лукацкого

Сенатский комитет по разведке представил новый законопроект в рамках Закона об оборонной политике на 2025 финансовый год (NDAA), который предлагает приравнять атаки программ-вымогателей к актам терроризма 🥷 Этот законопроект направлен на борьбу с растущей угрозой со стороны программ-вымогателей, классифицируя их операторов как "враждебных иностранных киберакторов" и вводя санкции против стран, которые их защищают, обозначая их как "государственных спонсоров программ-вымогателей" ⛔️

Основные положения законопроекта включают:
1️⃣ Приравнивание шифровальщиков к терроризму, отражая их серьезное влияние и угрозу национальной безопасности 👮
2️⃣ Требование отчета от министра финансов с информацией о лицах, группах и организациях, участвующих в атаках программ-вымогателей с последующим их включением в санкции Управления по контролю за иностранными активами (OFAC) 😈
3️⃣ Генеральный ревизор будет докладывать о полномочиях различных агентств, включая Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и ФБР, по преследованию иностранных атак программ-вымогателей 🇺🇸
4️⃣ Законопроект перечисляет 18 групп программ-вымогателей, таких как Black Basta, подчеркивая изменчивую природу этих групп и продолжающиеся действия правоохранительных органов против них 🤠

Кроме того, NDAA на 2025 год фокусируется на более широких инициативах в области кибербезопасности и передовых технологий, включая программное обеспечение с поддержкой ИИ для Министерства обороны, технологии противодействия дронам и возможности квантовых вычислений. Он подчеркивает улучшение безопасности военных цепочек поставок и усиление стратегий кибербезопасности для управления мультиоблачными средами 🇺🇸

Если американцы 🇺🇸 примут законопроект и Байден его подпишет, что очень вероятно, то возможность накладывать санкции на Россию и другие потенциальные страны-спонсоры шифровальщиков можно будет даже после победы Трампа 🇺🇸

Читать полностью…

Пост Лукацкого

Написал заметку про то, почему SOAR мертвы и почему Gartner пометил эту технологию как "obsolete", то есть "изжившая себя" ⚰️

Читать полностью…

Пост Лукацкого

Тут команда экспертов из разных организаций разработала очень неплохую модель оценки зрелости процесса Cyber Threat Intelligence (CTI-CMM). Да, это еще одна модель зрелости в области CTI, но новая ориентирована на предоставление некой ценности различным стейкхолдерам (бизнес-подразделениям) в организации. Авторы выделяют несколько таких стейкходдеров/доменов, для каждого из которых оценивают вклад Threat Intelligence:
1️⃣ Управление активами, конфигурациями и изменениями
2️⃣ Управление угрозами и уязвимостями
3️⃣ Управление рисками
4️⃣ Управление идентификацией и доступом
5️⃣ Ситуационная осведомленность
6️⃣ Мониторинг, реагирование на инциденты и непрерывность операций
7️⃣ Управление взаимоотношениями с третьими лицами
8️⃣ Управление аналитиками CTI
9️⃣ Архитектура кибербезопасности
1️⃣0️⃣ Управление мошенничеством и злоупотреблениями (еще в процессе разработки).

Уровней зрелости выделяется 4 (от 0-го до 3-го) и для каждого предлагается свой набор критериев оценки.

Читать полностью…

Пост Лукацкого

В 2016-м году я написал заметку "Искусственный интеллект скоро вытеснит пентестеров", которую активно хейтили пентестеры 😇 В 2019-м я вновь вернулся к теме полной автоматизации пентестов. В 2024-м про это стал писать Gartner, предрекая полную автоматизацию этому направлению 🤖 Недавно было представлено исследование, в котором демонстрируется, что агенты на базе ИИ способны самостоятельно выявлять уязвимости, не имея о них никакого представления.

И вот вчера очередной стартап XBOW (а на RSAC и BlackHat таких немало) заявил, что их автономный ИИ-агент 🤖 способен справляться с пентестерскими бенчмарками лучше большинства пентестеров-людей, затрачивая на это в 80 раз меньше времени (28 минут вместо 40 часов). Как это часто бывает, в материале не без хайпа и надувательства щек (стартап сам себя не продаст), но курс на полную автоматизацию постепенно приходит во все сферы ИБ и привычные подходы скоро перестанут работать 🎈

Да, XBOW подтверждает, что пока сложные задачи ИИ решает хуже высококлассных экспертов и означает это только одно - скоро рынок середнячков и начинающих пентестеров, только закончивших двухнедельные курсы, будет сильно прорежен и заменен на автономных ботов, решающих типовые задачи быстрее и эффективнее. Останутся они и профессиональные команды, которых в России можно пересчитать по пальцам одной руки ☝️ Базовая история станет недорогой и будет продаваться по подписке (реальный непрерывный пентест), а продвинутая, с участием людей, подорожает. И к этому надо быть готовым...

Читать полностью…

Пост Лукацкого

Все делают мемы про турецкого снайпера, который после стрельбы вытер рукоятку пистолета и выбросил оружие в Сену, и я не буду исключением 😂

Читать полностью…

Пост Лукацкого

Европейский центральный банк (ЕЦБ) завершил стресс-тестирование на устойчивость кибератакам, в котором приняли участие 109 банков 🏦 Целью теста было оценить, как банки смогут реагировать и восстанавливаться после инцидентов с серьезными негативными последствиями. В рамках теста использовался сценарий, при котором все превентивные меры оказались неэффективными, и кибератака привела к серьезным сбоям в работе критически важных систем банков 🏦

Основные выводы и рекомендации:
1️⃣Общая готовность. В большинстве банков есть базовые структуры для реагирования на кибератаки и восстановления после них, но требуются значительные улучшения в управлении кризисами, коммуникациях и планах восстановления ✔️
2️⃣Кризисное управление:
Банкам рекомендовано улучшить планы кризисного управления и непрерывности бизнеса.
Важно активировать планы по управлению кризисами и обеспечить эффективное взаимодействие с внешними стейкхолдерами, включая клиентов, поставщиков услуг и правоохранительные органы 🇷🇺
3️⃣Коммуникации:
Обеспечить своевременные и эффективные коммуникации с внешними и внутренними стейкхолдерами во время инцидента 💬
Провести сценарный анализ, чтобы определить, какие услуги будут затронуты и как минимизировать влияние на бизнес.
4️⃣Восстановление:
Активировать планы восстановления, включая восстановление данных из резервных копий и координацию с ключевыми поставщиками услуг.
Обеспечить полное восстановление всех затронутых областей и внедрение уроков, извлеченных из инцидента ✍️
5️⃣Оценка рисков:
Банки должны уметь правильно оценивать зависимости от критически важных поставщиков ИТ-услуг и адекватно оценивать прямые и косвенные убытки от кибератак 🤑

Результаты стресс-теста будут использоваться для дальнейшего надзорного процесса ЕЦБ в 2024 году, что должно помочь банкам улучшить свои стратегии обеспечения киберустойчивости (ну ЕЦБ так, по крайней мере, думает) 🔍 ЕЦБ продолжит работать с банками над улучшением их операционной надежности и будет проводить аналогичные киберучения в будущем, учитывая эволюцию киберугроз и желая добиться лучшего результата. Важную роль также сыграет внедрение Регламента ЕС 🇪🇺 по цифровой операционной устойчивости (DORA), который вступит в силу в январе 2025 года и будет требовать от банков усиления мер по управлению киберрисками и вовлечения топ-менеджмента в вопросы ИБ🛡

Читать полностью…

Пост Лукацкого

В последние годы киберпреступники все чаще нацеливаются на состоятельных людей и их семьи 🥷 В ответ на это, как пишут западные бизнес-СМИ, набирает популярность новая услуга – персональные киберконсьержи 🎩 Эти специалисты обеспечивают круглосуточную защиту и безопасность личных устройств и сетей своих клиентов. Например, одна из компаний предлагает такую защиту 365 дней в году, выступая в роли “цифровых телохранителей”. Услуги включают в себя не только техническую поддержку, но и обучение клиентов базовым мерам кибербезопасности, таким как настройка конфиденциальности на устройствах 📲, добавление многофакторной аутентификации и идентификация подозрительных писем ❗️

О такой профессии еще в 2014-м, а потом и в 2017-м году писало Агентство стратегических инициатив в своем Атласе новых профессий. После истории с Дзюбой эта тема всплыла вновь, но и тогда она ничем не закончилась ⚽️ И вот иностранцы осознали, что на этом можно делать деньги 🤑 Например, в крупных банках, таких как JPMorgan, появились специализированные команды, которые помогают состоятельным клиентам защитить их цифровую жизнь. Они предлагают услуги по настройке и защите домашних сетей и устройств, а также удаление личной информации из публичных источников и социальных сетей 🗑

У нас я такой услуги пока не встречал, но, как мне кажется, она может стать все более востребованной, так как количество подключенных к интернету устройств растет, и их защита становится все сложнее 🛡 Кроме того, киберпреступники становятся все изощреннее, проводя тщательное планирование и сбор информации о состоятельных жертвах перед атаками 🤕 Правда, тут, как никогда, очень важна репутация тех/того, кто предоставляет услугу цифрового телохранителя. Ведь он может быть посвящен в очень интимные подробности жизни своего клиента, начиная от того, в каких банках у него счета и какие риэлторские агентства управляют его недвижимостью, и заканчивая контактами любовниц, секретами детей и двойной бухгалтерией семейного офиса 🤫

Читать полностью…

Пост Лукацкого

В апреле 2023-го года исследователи ESET обнаружили атаки на некоммерческие организации в Китае 🇨🇳, реализуемые через вредоносные обновления ПО. Однако тогда было непонятно, как эти обновления доставляются жертвам - через атаку "человек посередине" или через компрометацию подрядчиков. И вот, спустя время, стало понятно, как это происходит, что, в контексте истории с браузером "Спутник" и обновлениями CrowdStrike становится очень даже важной темой 🔄

Исследователи Volexity выяснили, что группировка StormBamboo 🐉 (она же Evasive Panda, она же StormCloud) подменяет DNS-запросы к интересующим доменам, связанных с автоматическим обновлением ПО по незащищенным каналам HTTP и отсутствии проверки целостности обновлений 🔗 Поэтому, вместо установки легитимных обновлений, жертвы сами устанавливали себе вредоносы MACMA для macOS и POCOSTICK (он же MGBot) для Windows. Затем уже устанавливались вредоносные расширения Chrome 📱

Исследователи Volexity пока не смогли определить, каким образом подменялись DNS-записи на устройствах, управляемых Интернет-провайдерами, но предполагается, что не обошлось без CATCHDNS, вредоноса, перехватывающего запросы DNS и HTTP и используемого уже ранее китайскими APT-группировками 🐲

Впору задуматься о том, как у вас устроен процесс управления обновлениями ПО, насколько вы доверяете вашим вендорам и как проверяете все, что прилетает вам вроде как из доверенных источников?..

Читать полностью…

Пост Лукацкого

История с CrowdStrike продолжается... Гендиректор авиакомпании ✈️ Delta, задавшись риторическим вопросом: "Когда вы в последний раз слышали о крупном сбое у Apple?", заявил о потерях от простоя в результате инцидента с CrowdStrike в 500 миллионов долларов за 5 дней. И это больше средних 143 миллионов для авиакомпаний из Fortune 500, которые насчитала страховая компания Parametrix. 5000 отмененных рейсов, компенсации пассажирам, 40 тысяч серверов, восстановленных вручную... Такие потери не могут быть оставлены от внимания и Delta наняла крутых адвокатов для оценки ущерба и предъявления иска CrowdStrike 🤑

Помимо этого в суд 👩🏼‍⚖️ был подан еще один коллективный иск, в котором утверждается, что ответчики (руководство CrowdStrike) нарушили федеральные законы о ценных бумагах и правила Комиссии по ценным бумагам и биржам США (SEC). Предъявляемые обвинения касаются трех основных претензий:
1️⃣ Недостаточные меры по контролю обновлений. CrowdStrike якобы не имел надлежащих мер контроля и тестирования обновлений своего основного программного продукта Falcon 🦅 перед их выпуском для клиентов. Это создало значительный риск сбоев, что и произошло, вызвав серьезные проблемы у миллионов пользователей по всему миру 🌎
2️⃣ Ошибочные заявления. Ответчики в течение определенного периода делали ложные и вводящие в заблуждение заявления, утверждая, что их технологии тестируются, проверяются и сертифицируются. Эти заявления оказались ложными, так как CrowdStrike не обеспечивал достаточное тестирование своих обновлений 🌎
3️⃣ Серьезные последствия сбоев. В результате недостаточного тестирования, обновление Falcon привело к масштабным сбоям на устройствах с операционной системой Microsoft Windows, что вызвало серьезные последствия для финансовых учреждений, правительственных организаций и крупных корпораций 💥

Истцы требуют признания иска групповым, компенсации убытков, понесенных в результате мошеннических действий ответчиков, и возмещения судебных расходов 💸

Вспоминая свежий кейс с обвиненным гендиректором Intrusion Inc. и кейс с руководством SolarWinds, можно сделать вывод, что американским компаниям по ИБ придется серьезнее отнестись к своей деятельности и качеству своих продуктов. А иначе это может обойтись достаточно дорого для компании и ее топ-менеджмента 👮

Читать полностью…
Подписаться на канал