alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Когда я мылся в душе в Абу-Даби, 🧼 то неоднократно сталкивался с непростым выбором - "красное или синее"?! Такой же вопрос стоит у тех, кто начинает свой путь в ИБ и думает, стать хакером/пентестером/багхантером или пойти на сторону тех, кто будет их ловить? 🤔 Однако можно не ломать голову и попробовать себя в разных ролях. На CyberCamp 2024, который пройдет онлайн 3-5 октября, можно будет порешать задания в рамках киберучений и понять, вам по душе реагировать, расследовать или атаковать (можно и просто выступления послушать ▶️).

На CyberCamp 2024 будет две лиги, Топ-6 команд с которых попадают без участия в отборочных в Международные игры по кибербезопасности, которые организовали Positive Technologies 🟥 и Инфосистемы Джет. Второй вариант попасть на эти игры - пройдя отборочные Standoff с практическими заданиями от лидеров индустрии кибербезопасности 👾

Подать заявку на участие в отборочных Standoff нужно до 16 сентября, а вот финальный срок подачи на CyberCamp на 3 дня позже, до 19 сентября 🕹

Победители получат много всяких плюшек - участие в кибербитве Standoff в 2025 году (без отборочных), доступ на финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания), стажировки у лидеров рынка ИБ, фото с Лукацким (это шутка), денежные призы и всякий прикольный мерч 🎁

Так что у начинающих специалистов по ИБ и даже у матерых появляется возможность почувствовать себя Нео из первой части трилогии "Матрица" и выбрать предложенную Морфиусом таблетку 💊 правильного цвета.

ЗЫ. Кстати, ответьте на вопрос, чтобы полилась холодная вода, куда надо крутить ручку в душе на фотографии? Пришедший вам в голову первым ответ скорее всего и даст вам направление вашего развития ➡️

Читать полностью…

Пост Лукацкого

Кстати, вдруг подумалось 💭 в Европе бы такой фокус не прошел бы - GDPR был бы против передачи ПДн без согласия субъекта, то есть клиента 🤔

Читать полностью…

Пост Лукацкого

«Криптошифрование…» 😨 Радиостанции приглашают комментировать пункты обвинения Дурову 📱 баааальших специалистов, которые ни про Васенаарские соглашения не слышали, ни вообще про регулирование импорта криптографических средств 😲

Читать полностью…

Пост Лукацкого

То ли журналисты солидного американского издания побоялись давать ссылку на twitter-аккаунт Positive Technologies 🟥 и поэтому указали какого-то локального производителя POS-терминалов, который тоже Positive Technologies, то ли они не очень проверяют посты перед публикацией (фактчекинг наше все).

ЗЫ. Бюллетень Intel о найденной проблеме. Исходное сообщение Марка и описание всей истории от SecurityWeek.

Читать полностью…

Пост Лукацкого

А у вас план реагирования на инциденты?

Читать полностью…

Пост Лукацкого

👁‍🗨 Грядущему тюменскому нефтегазовому форуму посвящается 🛢 Взлом какой-то небольшой нефтяной компании. Второй за последний месяц в России, примерно десятый в мире за меньше чем полгода. Не Хуллибёртон, конечно, но все равно неприятно.

ЗЫ. Подозреваю, что VPN от Fortinet 🤔

Читать полностью…

Пост Лукацкого

Интересная история - группа старших офицеров на боевом корабле ВМС США “Манчестер” тайно установила и использовала нелегальную сеть Wi-Fi во время подготовки к перебазированию в Тихий океан 🛥 Они установили спутниковое оборудование Starlink для собственного пользования, несмотря на ограничения на использование интернета на корабле из-за вопросов кибербезопасности. Сеть использовалась исключительно старшими офицерами для личных нужд, таких как просмотр фильмов и связь с родными 🍿

Этот инцидент привел к судебному разбирательству, по итогам которого одна из офицеров, Гризель Марреро, была понижена в звании. Парадоксально, но госпожа Марреро имела степень MBA в области управления кибербезопасностью и цифровизацией. Бизнес-образование Марреро не прошло даром - она взимала с офицеров плату за доступ в Интернет (от 62 долларов в месяц или одноразовый платеж в 375 долларов) 😅 ИБ-образование научило Марреро, что надо защитить сеть от посторонних, поэтому старшие офицеры установили пароли для доступа к нелегальной сети Wi-Fi, чтобы ограничить ее использование только для себя, чтобы никто из остальной команды не мог случайно или намеренно воспользоваться этой несанкционированной сетью 🇺🇸

Очевидно, что установка нелегальной Wi-Fi сети на военном корабле является серьезным нарушением правил безопасности, так как ВМС США имеют строгие ограничения на использование Интернета 🛰 и иных внешних сетей, чтобы предотвратить утечки информации и защитить суда от возможных кибератак и определения их местоположения 🗺 (а вот еще один свежий кейс про кражу GPS-координат у военных).

ЗЫ. При таких военных странно читать про киберугрозы, о которых написано в сенатском отчете, в котором говорится о том, что Россия угрожает США в киберпространстве. Тут бревно надо в своем глазу искать, а не в чужом...

Читать полностью…

Пост Лукацкого

Для родителей я всегда буду "тетя Зоя просила настроить ей компьютер, а ты же айтишник" 😊

Читать полностью…

Пост Лукацкого

А это, собственно, сами прогнозы, которые я сделал применительно к будущему киберпреступности. Что-то уже активно реализуется в некоторых регионах, что-то еще только появляется, что-то только будет появляться на горизонте 1-3 лет 🥷

Читать полностью…

Пост Лукацкого

Ну что ж, к выступлению в Абу-Даби подготовился. Поднабрал новых примеров, добавил региональной специфики, сделал прогнозы... Надеюсь аудитории будет интересно 🤔

Читать полностью…

Пост Лукацкого

Наши китайские товарищи 👲 выпустили 23 августа новый стандарт по кибербезу автомобилей GB 44495-2024, который вступает в силу для новых авто с 1 января 2026 года, а для существующих - с 1 января 2028 года. Эти требования сильно схожи с тем, что написано в UN R155 и ISO/SAE 21434, но есть там и отличия 🚗 В частности, не требуется сертификат ИБ на автомобили, но аудит ИБ должен быть пройден (но не каждые 3 года как в UN R155). Также у китайцев детально расписаны 27 тестов, которые должны быть реализованы в автомобиле по отношению к его внешним соединения, коммуникациям, обновлению ПО и защите данных. В UN R155 такой детализации не описано - производители сами решали какие тесты и как проводить 🔨

В целом история с кибербезопасностью автомобилей меняется. В США и Европе тоже свои требования есть. У нас пока о таком что-то не слышно, что говорит, как по мне, о пока еще отсутствующей конкуренции в области автомобилестроения в нашей стране. Нам бы автопром свой для начала надо иметь, прежде чем о его ИБ думать 🏎

А новые китайские требования 🇨🇳 поднимают скорее другой вопрос. Вот приезжает на таможню китайское авто со своей криптографией, со своими средствами ИБ. А ведь авто и персданные обрабатывает, и в КИИ может использоваться (если на юрлицо будет куплено)... И вот как тогда относится к автомобилю? Как к средству передвижения и пусть у Минпромторга голова болит? Или как к средству Интернета вещей? Или как к радиоэлектронному средству (там же Wi-Fi есть) и тогда это к Минцифре? Или как к СКЗИ и тогда это к ФСБ? Или как к мобильному средству вычислительной техники и тогда это к ФСТЭК? 🤔 Или просто пока закрыть глаза?.. 👀

Читать полностью…

Пост Лукацкого

Я календарь переверну
И снова выступать в Дубай...


Завтра провожу обучающий семинар на eCrime Summit в Абу-Даби 🇦🇪 Буду рассказывать про бизнес-модель киберпреступности 🥷 со свежими примерами, применительно к арабским странам 🕌

ЗЫ. Хотел бы сказать, будете проходить мимо - милости прошу, заходите на огонек, но выглядеть это будет как-то уж цинично. Да и не пожелаю я вам тащиться на мероприятие, когда на улице +40 🌡

ЗЗЫ. Я в курсе, что бразильского языка нет, а есть португальский; ну или портуньол на худой конец. И да, я знаю, что Абу-Даби - это не Дубай 😱

Читать полностью…

Пост Лукацкого

Выложили видео выступлений с ИТ-Пикника, среди которых и мое про безопасность Интернета вещей...

Читать полностью…

Пост Лукацкого

Наткнулся тут на свежий, апрельский опрос лидеров SOCов, в котором 200 руководителей делятся своими болями и опытом, лайфхаками и т.п. Я про него еще дальше напишу, а пока в догонку к вебинару по оценке эффективности SOC (видео и презентация), который я читал недавно, еще один набор используемых метрик: 🌡
🔤 Уровень соответствия требованиям законодательства, индустриальным стандартам и внутренним политикам
🔤 Стоимость на инцидент
🔤 Время обнаружения (MTTD)
🔤 Уровень эскалации инцидента (как много инцидентов требует эскалации)
🔤 Возврат инвестиций
🔤 Время реагирования (MTTR)
🔤 Объем инцидентов
🔤 Число ложных срабатываний (FP/FN)
🔤 Уровень удовлетворенности сотрудников или клиентов.

ЗЫ. Среднее число метрик, используемых на регулярной основе, - 3,1 🌡

Читать полностью…

Пост Лукацкого

Вы знаете, что у таких ИБ-компаний, как Cisco, Fortinet, PaloAlto, CheckPoint и т.п., основные доходы приходят от продажи межсетевых экранов, доходя до 70-80% от всего объема продаж ИБ-решений 🤬

И вот в обсуждаемом в последнее время на Западе опросе Barclays 🏦 был вопрос - насколько изменяются инвестиции в межсетевые экраны в ближайшие три года. И вот что интересно, взгляд CIO на этот класс средств защиты достаточно пессимистичен - только 28% считает, что они увеличат инвестиции в МСЭ 🤑 29% считают, что они сократят свой бюджет на эти решения, а 43% - оставят на том же уровне, что и были.

Рост 📈 будет происходить там, где требуются мощные (и дорогие) железки для инспекции зашифрованного трафика, а также для внутренней сегментации в инфраструктуре, позволяющей уменьшить площадь атаки. То есть по сути речь идет об обычных МСЭ, а не NGFW. С другой стороны, облака, пусть и частные, снижают потребность в аппаратных МСЭ, которых могут заменить либо виртуальные (а там тоже в меньшей степени нужна NG-функциональность), либо встроенные решения IaaS-провайдеров 😶‍🌫️ Также, на Западе продолжается дискуссия на тему "заменит ли SASE межсетевые экраны, особенно в филиалах и малом бизнесе?". Отсюда и итоговой результат - 72% CIO, а именно они являются основными бюджетодержателями для МСЭ, не видят перспектив для данного класса продуктов 👎

Но все это не относится к России, где одна из основных задач на годы вперед - замена МСЭ и NGFW кинувших своих заказчиков американских компаний. Поэтому у нас цифры Barclays не работают - у нас по направлению NGFW только рост... 🇷🇺

Читать полностью…

Пост Лукацкого

Когда вас, как ИБшника, на корпоративе или на годовом собрании компании будут встречать также , то значит вы не зря едите свой хлеб! 🎆

Читать полностью…

Пост Лукацкого

Какая интересная новость - не очень известная ИБ-компания Pango (я о такой и не слышал, если честно) выкупила 1 миллион американских клиентов Лаборатории Касперского после запрета 🚫 последней продавать свои решения в оплоте демократии.

Сумма сделки не уточняется, но в любом случае Касперский выходит из этой истории еще и с определенной выгодой для себя 💰 Зачем это Pango тоже понятно - получить миллион клиентов - это вам не фунт изюма. Не надо тратиться на их поиск, привлечение и вот это вот все. А вот зачем это клиентам? Захотят ли они пользоваться продукцией Pango, если они не пользовались ею ранее? 🤔 Интересная схема, конечно. Я таких раньше что-то не припомню...

Как пример. Вот запретят в России MS Office и продаст Microsoft своих клиентов «Моему офису». Значит ли это, что я начну пользоваться российским офисным пакетом? Нет!

Читать полностью…

Пост Лукацкого

В идеальном мире компании бы хотели использовать лучшие в своем классе решения, 🤤 да еще и от одного поставщика, чтобы все интегрировалось между собой, имело общую шину обмена информацией, единое хранилище данных, унифицированный API, единую систему лицензирования и срок окончания лицензий у всех решений одинаков и вот это вот все 🤔

Но мир не идеален и поэтому обычно картинка выглядит так, как показано. Десятки разных решений от десятков вендоров, имеющих собственное представление о том, как надо Родину любить ИБ обеспечивать 🛡 И хорошо, если ты пришел первым к заказчику - тогда остальные будут подстраиваться под тебя. А если нет? Тогда ты будешь подстраиваться под других, так как заказчик точно не будет менять все строящееся годами под тебя 🎮 В этом боль любого вендора, если он не монополист. Ему приходится фокусироваться не на развитии, а на поддержке требований разных клиентов. И чем больше разных клиентов, тем больше перекос от развития в поддержку 🤷‍♀️

Читать полностью…

Пост Лукацкого

А вот вам еще один метод, с помощью которого директора по информационной безопасности могут эффективно доносить тему недопустимых событий до руководства своих компаний 😱 Основной акцент делается на важности простого и понятного бизнесу языка, связывания события, имеющих катастрофические последствия с бизнес-целями предприятия и использования метрик, чтобы показать влияние угроз на финансовые и операционные показатели, репутацию и т.п. 💥

Для этого используется график устойчивости и близости к атаке (Proximity Resilience Graph), который помогает CISO демонстрировать взаимосвязь между киберугрозами и ключевыми бизнес-функциями. Этот график отражает два ключевых параметра:
📊 Ось Y показывает уровень устойчивости компании к киберугрозам, отображая инвестиции в защиту, усилия, процессы и технологии. Например, успешное обучение сотрудников снижает их уязвимость к социальному инжинирингу, что отображается снижением на оси Y.
📊 Ось X отражает близость к атаке — данные о текущих внутренних и внешних угрозах, таких как количество фишинговых атак или рост числа атак программ-вымогателей и т.п.

Названия квадрантов — "Нестабильный", "Стабильный", "Открытый" и "Защищенный" — достаточно просты, понятны и выразительны, но CISO может настроить или убрать их в зависимости от того, как они влияют на восприятие и вовлеченность аудитории, которой представляется этот график.

График помогает CISO лучше доносить информацию о динамике киберугроз и их влиянии на различные аспекты бизнеса: операционные риски, удар по бренду, финансовые потери, конкурентные риски и правовые последствия. Это позволяет руководству видеть конкретные изменения в устойчивости компании и вовлекаться в обсуждение недопустимых событий более осознанно.

Читать полностью…

Пост Лукацкого

А это пока никто не подтвердил и не опроверг. 390 миллионов записей 🤨

Читать полностью…

Пост Лукацкого

В NIST Cyber Security Framework вся ИБ делится на 6 блоков требований, где последний называется RECOVER, то есть восстановление 📎 В NIST исходят из того, что не всегда действия ИБ позволяют предотвратить или своевременно среагировать на инциденты и иногда приходится расхлебывать их последствия. Поэтому иметь стратегию восстановления от инцидентов, например, шифровальщиков, идея неплохая 💡 Включать такая стратегия должна не менее 8 пунктов:
1️⃣ Изоляция резервных копий. Держите резервные копии изолированными от основной сети, чтобы они не были скомпрометированы при атаке. Это особенно важно, так как 57% попыток компрометации резервных копий хакерами были успешными.
2️⃣ Использование технологий хранения "только для записи" (WORM, write-once-read-many). Это предотвращает изменение или перезапись данных в резервных копиях, что снижает риск потери данных из-за атаки шифровальщика.
3️⃣ Создание нескольких типов резервных копий. Включает полные и инкрементальные копии для защиты от потери данных, особенно если атака происходит в праздничные дни или периоды без резервного копирования.
4️⃣ Защита каталога резервных копий. Хакеры часто нацелены на каталоги резервных копий, а не сами файлы. Без этого каталога восстановление данных становится крайне трудным.
5️⃣ Резервное копирование всех критических данных. Убедитесь, что все целевые и ключевые системы и данные в них включены в план резервного копирования.
6️⃣ Резервное копирование целых бизнес-процессов. Важно сохранять не только данные, но и все приложения, конфигурации, зависимости и другие компоненты, необходимые для восстановления работы как минимум критических для компании бизнес-процессов.
7️⃣ Использование "горячих" резервных центров и автоматизации. Быстрое переключение на резервную площадку может значительно сократить время восстановления. В облачных инфраструктурах (не во всех) можно заранее настроить такие решения для более быстрого восстановления.
8️⃣ Тестирование процесса восстановления. Регулярно проверяйте работоспособность резервных копий и восстанавливайте данные, чтобы убедиться, что все работает корректно. Тестирование должно включать как технологические, так и человеческие факторы.

Читать полностью…

Пост Лукацкого

Успешная атака на Yubikey 🤔 Непростая в реализации и требующая специфических условий в виде доступа к самому аппаратному токену, но зато потом можно «клонировать» то, что считало невозможным, лишний раз доказывая, что ничего невозможного нет.

ЗЫ. Возможно, и к другим FIDO-устройствам применимо 🤒

Читать полностью…

Пост Лукацкого

Читая регулярно про выманивание средств у того или иного чиновника или звезды шоу-бизнеса, всегда в голове возникает вопрос: "Но как? Неужели вам никто не рассказал про то, что можно и что нельзя делать со своими деньгами, хранящимися в банке?" 🏦 А потом вспоминаю свой опыт премиального обслуживания в разных российских банках (а это не один, не два, и даже не три банка) на протяжении многих лет (в приватном банкинге, кстати, тоже, но тут у меня опыт небогатый) 🧐

И вот что я хочу вам сказать - мне еще никто и нигде не провел ликбеза по ИБ моих финансовых активов ☹️ И даже памятку никто не вручил никакую. То есть привилегированные клиенты, хранящие миллионы или десятки миллионов в кредитных организациях, действительно не знают, что можно и чего нельзя. И кажется мне, что проблема отчасти в том, что в таких отделах работают сотрудники, которые сами на премиальное обслуживание не могут рассчитывать ☹️ А раз так, то они не особо понимают своих клиентов (другое дело обычные операционисты, работающие с рядовыми клиентами). Грустно 😫

Читать полностью…

Пост Лукацкого

Twitter-аккаунты дочери и невестки кандидата в президенты США 🇺🇸, Тиффани и Лары соответственно, подломили и пустили там рекламу криптоскама. А вот был бы у Трампа киберконсьерж, о котором я писал и тему с которыми позже подхватил РБК, ничего бы и не произошло 🤔

Читать полностью…

Пост Лукацкого

Contextual Vulnerability Management With Security Risk As Debt

Я думаю, каждый, кто занимался построением программы управления уязвимостями или хотя бы раз пытался добиться от ИТ-команд их устранения, знает, насколько сложно обеспечить соблюдение установленных SLA. Зачастую SLA берутся «с потолка» и, как правило, далеки от реальных возможностей организации по быстрому устранению выявленных уязвимостей. В результате в организации возникает общая фрустрация, где все сталкиваются с удручающими отчетами. А CISO за "кружкой пива" мрачно заявляет, что "у него в бэклоге 3 миллиона уязвимостей" и "он/она не знает, что с ними делать!". И хотя из общих соображений понятно, что здесь придется обращаться к приоритезации и мудрости в духе общества анонимных алкоголиков:

Господи, дай мне спокойствие принять то, чего я не могу изменить, дай мне мужество изменить то, что я могу изменить. И дай мне мудрость отличить одно от другого.


Всегда интересно понять, а как конкретно можно реализовать эффективный vulnerabilty management? Сегодня мы предлагаем вам ознакомиться с опытом DigitalOcean по внедрению методики «технического долга». Суть такова:

1) При выявлении новой уязвимости ей присваивается определенный уровень критичности.

2) В зависимости от уровня критичности уязвимости определяется рекомендуемое время для ее устранения. Это время известно как «Accepted Insecure Time» — период, в течение которого уязвимость должна быть устранена, чтобы не накапливать долг.

3) Если уязвимость не устранена в течение рекомендованного времени, начинает накапливаться долг по безопасности. Долг рассчитывается ежедневно: за каждый день, в течение которого уязвимость остается нерешенной после истечения срока, к общему долгу добавляется определенная величина, зависящая от критичности уязвимости. Чем выше критичность, тем быстрее накапливается долг.

4) Команды могут видеть свои показатели долга по безопасности через панель управления. Они могут анализировать, какие уязвимости вносят наибольший вклад в долг, и решать, на каких из них сосредоточить свои усилия в первую очередь.

5) Для каждой команды или бизнес-подразделения устанавливается определенный порог долга — максимально допустимая сумма накопленного долга по безопасности. Если долг превышает этот порог, это сигнализирует о необходимости устранить уязвимости, чтобы вернуть показатели в допустимые рамки.

6) Для всех бизнес-подразделений рассчитывается показатель соответствия порогу долга по безопасности (Security Debt Adherence), то есть процент команд, у которых долг по безопасности соответствует ожидаемому уровню (или, иначе говоря, установленному уровню обслуживания (SLO)). Вначале DigitalOcean достигали 75% и постепенно продвигались к цели в 95%. Этот порог является согласованным компромиссом между бизнес-подразделением и командой безопасности относительно того, насколько гибким может быть график выполнения работ по безопасности. Если ускорение разработки продукта, критическая инициатива, инцидент безопасности или другой фактор изменяет верхнеуровневую оценку этой гибкости, DigitalOcean может повысить или снизить порог долга для соответствующей части организации.

В результате, по словам DigitalOcean, снизилась "ментальное давление" на команды и улучшились отношения с бизнес-подразделениями, что привело к тому, что многие другие команды начали адаптировать концепцию технического долга.

Очень красивая success story. И что характерно очень соответствующая ситуационным моделям управления ИБ, которые мы упоминали во вчерашнем посте. А как выстраиваете свой VM вы, и что используете в качестве "центральной шины"?

#vm #experience

Читать полностью…

Пост Лукацкого

В отношении использования искусственного интеллекта 🧠 в ИБ в последний год идут достаточно большие споры. Кто-то считает, что ML позволяет реализовать прорыв при обнаружении и реагировании на инциденты. Кто-то, наоборот, считает, что ничего кроме хайпа ML с собой не несет. Вендора продолжают свои эксперименты (например, MP O2). А руководители SOCов достаточно оптимистично 🙂 смотрят в сторону автоматизации на базе ИИ, видя от ее несколько преимущества (в порядке убывания важности):
1️⃣ Обнаружение новых угроз
2️⃣ Лучшая реакция на угрозы
3️⃣ Лучшее измерение и генерация отчетов
4️⃣ Рост продуктивности аналитиков
5️⃣ Улучшение опыта аналитиков
6️⃣ Лучшая адаптация и устойчивость бизнеса
7️⃣ Найм и удержание ИБ-талантов
8️⃣ Улучшение опыта пользователей/клиентов
9️⃣ Улучшение принятия решений в SOC
1️⃣0️⃣ Снижение затрат на обнаружение и реагирование 🤖

Но несмотря на все позитивные истории применения ML в SOCах, можно увидеть, что число тех, кто оценивает перспективность ML-автоматизации сейчас и через 2 года не сильно отличается 🤷‍♂️ Предположу, что те, кто уже сейчас использует такую автоматизацию, планирует ее использовать и дальше. А те, кто не использует, пока не понимает, будут ли они это делать 🤔 То есть пока явных и революционных прорывов нет, о чем говорит и первая пятерка преимуществ. Если не брать различные методы обнаружения новых угроз, то остальные 4 пункта закрываются различными решениями класса CoPilot.

Читать полностью…

Пост Лукацкого

Мое отношение к антивирусам известно... 😂 А уж к бесплатным антивирусам... 😡

Читать полностью…

Пост Лукацкого

В упомянутом выше опросе также задали вопрос по самым важным сервисам и решениям, которые используются в SOCах. В целом, набор достаточно предсказуем, но два пункта меня там зацепили - IoT Security и AppSec. Первый понятен - все-таки сегодня уже Интернет вещей 💡 - штука популярная и поэтому его надо мониторить. Хотя я не думаю, что средства защиты IoT настолько популярны, чтобы обогнать DLP, XDR, IAM или TIP с SOAR.

А вот попадание в первую семерку AppSec меня удивило 🧑‍💻 У меня давно висит драфт статьи, в которой я как раз описываю возможность интеграции темы AppSec в SOC (и речь не о банальном подключении WAF в качестве сенсора в SIEM). Видимо, надо будет ускориться с этим материалом. А то получается, уже все интегрировали DevSecOps в центры мониторинга, одни мы еще только на подходе...

А попадание SOAR на предпоследнее место, возможно, объясняется тем же, о чем говорит и Gartner. А в остальном все достаточно очевидно, без революций. Современный SOC - это логи, их анализ в SIEM и, обязательно, мониторинг оконечных устройств с помощью EDR. На 4-м месте также решения по управлению уязвимостями, которые позволяют уменьшить площадь возможной атаки 😔

Читать полностью…

Пост Лукацкого

Мы скоро будем проводить уже вторую конференцию Positive SOCcon (материалы первой можно увидеть на сайте мероприятия), где я тоже планирую выступать с чем-нибудь интересным. На SOCtech я в этом году не попадаю (буду на GITEX в ОАЭ), но Positive SOCcon не пропущу. Так как больше ничего достойного моего внимания по теме SOCов у нас больше не будет, а контента у меня много, то поэтому потихоньку собираю всякое разное про SOCи и буду что-то из этих материалов постить в канале.

Читать полностью…

Пост Лукацкого

1-е сентября... День знаний 👩‍🎓 Я провел его в самолете. На Москву была атака дронов и мы сначала час кружили над столицей, а потом нас отправили в Питер, пережидать когда снова откроют аэропорт. Было время поразмышлять. Мне кажется, что мы сейчас скатываемся в достаточно жесткий прагматизм в обучении, когда надо получить знания (и в ИБ тоже) здесь и сейчас и применить их также здесь и сейчас 👨‍🎓 Вся "философия" и гуманитарные науки отбраковываются в пользу каких-то конкретных задач, которые указываются рекрутерами в резюме.

Я удивляюсь ВУЗовским дисциплинам сына, который учится вроде на той же специальности, что и я 30 лет назад, но у нас совпадение по предметам процентов на 15-20%. Да, у него сугубо практические дисциплины и проекты, в которых он участвует, которые сейчас очень востребованы 👨‍🏫 Но они же и быстро устаревают, как мне кажется, в силу динамики происходящих в отрасли изменений. Да, это приводит к тому, что процесс получения знаний становится непрерывным (это ценнейший навык), но это же приводит к тому, что образование у нас является не частью развития человека как раньше, а инструментом решения насущных задач и достижения каких-то краткосрочных целей 🤕

Смысл высшего образования теряется 🥹 Скоро и получение диплома перестанет быть причиной похода в ВУЗ (отсрочка от армии уже не особо работает в нынешних условиях). Все, что нужно "здесь и сейчас", можно будет получить на курсах повышения квалификации или в разных онлайн-университетах 🖥 Это приводит к тому, что современная молодежь может решать многие задачи гораздо лучше и быстрее, чем это было раньше. Но большинство этих задач носит приземленный характер - стратегические и методологические вещи становятся молодежи неподвластны, так как у них нет того кругозора, который нужен, чтобы взглянуть на проблему с разных стороны и учесть разные точки зрения - культурологические, социальные, исторические и даже религиозные 🎮

ЗЫ. Да, это про и про ИБ тоже 🛡

Читать полностью…
Подписаться на канал