Пост Лукацкого

19 июня 2023 10:12

Обратил внимание, что я как-то пропустил эту новость в канале, так и не написав про нее ничего, а именно об очередном обновлении матрицы MITRE ATT&CK, которая обновляется дважды в год. И вот 25 апреля вышла новая, 13-я версия матрицы, в которой произошли следующие изменения:
1️⃣ Добавлено 13 новых техник в Enterprise-версию и 2 - в ICS-версию матрицы. Из новых интересных техник, например, сбор паролей и логинов, передаваемых незащищенным образом в чатах (T1552.008) и подмена сообщений от средств защиты (T1562.011).
2️⃣ Сделано более 200 небольших изменений в существующих техниках (136 - в Enterprise, 82 - в Mobile и 16 - в ICS).
3️⃣ Добавлено 23 новых вредоносных ПО, 3 APT-группировки и 6 хакерских кампаний.
4️⃣ Пересмотрены некоторые объекты/активы во всех трех матрицах.
5️⃣ Появилась новая функция - "easy button", описывающая псевдокод, дополняющий контекст по обнаружению тех или иных техник и облегчающий написание собственных детектов.
6️⃣ На сайте появился новый, улучшенный поиск.
7️⃣ Лог изменений в MITRE ATT&CK теперь стал машинно-читаемым.
8️⃣ Больше возможностей по кастомизации ATT&CK Navigator.
9️⃣ Расширен и улучшен раздел по источникам данных для мобильной матрицы.

В следующей, 14-й версии MITRE ATT&CK планируется серьезно переработать раздел по мерам нейтрализации техник (Mitigations), сделать кросс-доменный маппинг, добавить больше примеров псевдокода, расширить раздел по детектам в мобильной матрице, ну и конечно, добавить новых техник.

Пост Лукацкого

18 июня 2023 16:42

Ну и раз уже сегодня было про собственный опыт в создании дипфейков, то еще одна мысль. Помните франшизу "Миссия невыполнима", в которой, чуть ли ни в каждой серии есть фрагмент по создании 3D-маски, которую натягивает на себя Том Круз, маскируясь под героя второго плана. На фото результат, конечно, немного иной, но я, разбираясь в своем "гараже", наткнулся на свой собственный бюстик, сделанный на 3D-принтере всего за 10-15 минут. И это было лет 7-8 назад. Можно только представить, что сегодня можно делать при современном семимильном развитии техники.

ЗЫ. И да, это не про самолюбование, а про новость Банка России о том, что скоро во всех магазинах будут принимать оплату по лицу 👎

ЗЗЫ. И да, опять все умалчивают тот факт, что никто не хочет брать на себя ответственность за утечки биометрических ПДн. Наказание увеличивают, требования по безопасности возрастают, а отвечать никто не хочет 👎

Пост Лукацкого

18 июня 2023 08:40

Для некоторых кибербезопасность — это, во-первых, что-то фантастическое, как в «Матрице», во-вторых, сложное, а в-третьих, нужное только большим корпорациям, охраняющим свою информацию и деньги 😕

Но это не так. Взломав смартфон или домашний компьютер, кибермошенники могут опустошить ваши счета, похитить личные данные или увести аккаунты в соцсетях и сервисах.

Чтобы этого не случилось, соблюдайте три простых правила Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies.

Подробности — в видео Редакция.Наука, но если коротко, все просто:
1. Создавайте надежные пароли.
2. Вовремя обновляйте ПО.
3. Пользуйтесь многофакторной аутентификацией.

Готово, вы великолепны (и в безопасности) 👌

#PositiveЭксперты #PositiveTechnologies

Пост Лукацкого

17 июня 2023 12:36

😎 У вас еще не выстроена результативная кибербезопасность? Тогда мы идем к вам!

Уже на следующей неделе, 20 июня, мы впервые проведем в Алматы Positive Security Day, где эксперты рынка, представители служб информационной безопасности и топ-менеджеры, ответственные за кибербезопасность, смогут встретиться и обменяться опытом.

Познакомим участников с экосистемой нашей продуктов, которые предотвращают недопустимое для бизнеса и государства, результатами исследований и интересными кейсами в расследовании инцидентов (обязательно расскажем о них и в соцсетях).

В деловой программе — доклады и дискуссии о передовых технологиях, продуктах и экспертизе.

👉 Регистрация на мероприятие еще открыта.

Присоединяйтесь, чтобы познакомиться с лучшими практиками результативной кибербезопасности и прокачаться профессионально!

#PositiveTechnologies

Пост Лукацкого

17 июня 2023 08:40

Руководитель Group IB (ныне F.A.C.C.C.T) Илья Сачков, арестованный за госизмену, опубликовал видеообращение, в котором назвал имя главы Центра Информационной безопасности ФСБ Олега Кашенцова как второго из своих обвинителей. Первым был севший за госизмену экс-руководитель ЦИБ ФСБ Сергей Михайлов.

«Все из-за профессиональной ревности, - сказал в видеообращении Илья Сачков - потому что маленькая компания может делать больше, и вообще, что-то делать»

Пост Лукацкого

16 июня 2023 20:05

Ну и в тему суверенного Рунета 2.0 по паспорту и отключенного из-за врагов Интернета на ПМЭФ, который закончился. ПМЭФ, а не Интернет.

Пост Лукацкого

16 июня 2023 13:28

Источник: экс-сотрудницу Росавиации с украинским гражданством подозревают во взломе IT-структуры ведомства. Предварительно, она специально внедрила вирус через рабочий компьютер, он обрушил систему и привёл к потере многих гигабайт важнейшей информации. После цифровой диверсии подозреваемая уехала из России.

Дело было так: в начале прошлого года за 2 месяца до обрушения серверов в Росавиацию на рядовую должность в Управление по цифровизации устраивается молодая девушка Ева (имя изменено). Она не проходит никаких серьёзных проверок, документы по ней не отправляют "куда надо". Новая сотрудница — "просто работает". Главой Управления тогда была Алла Сясина.

Спустя 2 месяца в конце марта Ева внезапно пишет заявление по собственному и увольняется. Через несколько дней (26 марта) рушатся сервера Росавиации. Силовики начинают проверку и выясняют, что гражданство у Евы двойное (РФ и Украина), после увольнения она уехала в Беларусь, а далее её след теряется.

Параллельно с этим на фоне громкого скандала заявление об увольнении пишет и глава Управления Росавиации по Цифровизации — Алла Сясина.

В результате взлома системы Росавиации пришлось временно переходить в бумажный режим (на фото — внутреннее распоряжение Нерадько) и пытаться восстанавливать данные (некоторые из них удалены безвозвратно).

Сейчас устанавливаются все обстоятельства произошедшей цифровой диверсии и все причастные к ней.

🎯 Подписывайся на SHOT

Пост Лукацкого

16 июня 2023 10:10

Пока в России строят Рунет 2.0 и думают о результативном кибербезе, в Америке стали задумываться о том, как изменения климата влияют на ИБ и наоборот. И это помимо уже традиционной истории об ущемлении меньшинств в ИБ, о которой Секлаб вчера написал. Американцы реально темой ESG запарились и оценивают объем парниковых газов от перехода на удаленку. Всего-то год прошел, а как нас развела судьба.

Пост Лукацкого

15 июня 2023 20:12

Все гениальное просто, а основные проблемы с ИБ в компаниях из-за человека и его невнимательности!

ЗЫ. Фильм "Гениальное ограбление" (2021)

ЗЗЫ. Всегда удивляло в фильмах, что им отрисовывает интерфейсы для ввода пароля, кто-то далекий не только от ИБ, а вообще от компьютеров (что странно). Ну почему у них всегда вместо поля для ввода пароля показывается окошко с 6 или 7 или 9, как в этом фрагменте, полями для ввода/отображения символов. Что, длиннее пароль не может быть? В том же "Рио" более грамотно отрисовано.

Пост Лукацкого

15 июня 2023 13:29

5 лет прошло с этой презентации на RSAC - проблема стала только острее. Особенно по мере того, как национальная безопасность стала активно вмешиваться в бизнес-вопросы по обе стороны океана

Пост Лукацкого

15 июня 2023 06:40

🙅 Продолжаем рассказывать о том, как отсутствие результативной кибербезопасности приводило к реализации недопустимых событий.

Одним из универсальных событий, актуальных практически для любой организации, является потеря денег. Но недопустимой такая потеря становится только при достаточно крупных суммах.

При этом причины потери могут быть разными: прямое хищение, компенсации пострадавшим от атаки клиентам, штраф за несоблюдение требований, затраты на восстановительные работы.

👀 Сегодня мы рассмотрим несколько примеров этого недопустимого события, произошедшего в разных странах. Помните, что введение оборотных штрафов за утечки персональных данных в России может пополнить этот список и отечественными именами.

#PositiveTechnologies

Пост Лукацкого

14 июня 2023 16:47

Не знаю, насколько вы всерьез отнеслись к новости ФСБ о том, что Apple работает на пару с американскими спецслужбами, и проверили ли вы свой iPhone с помощью утилиты, разработанной Лабораторией Касперского. Я не сделал ни того, ни другого. Но если все-таки данная новость подтолкнула вас к пересмотру модели угроз для мобильных устройств 📵, используемых в вашей организации, то рекомендую обратить внимание на свежий, вышедший в мае, документ NIST SP 800-124 Rev.2 "Guidelines for Managing the Security of Mobile Devices in the Enterprise", которая описывает не только модель угроз для личных и служебных мобильных устройств (по сравнению с прошлой версией от 2013-го года их число выросло до 17), но и стратегию их защиты, включая и централизованное управление 👨‍💻

В новой версии учтены и угрозы цепочке поставок, и утечки данных через синхронизацию, и Shadow IT, и даже нарушение прайваси пользователя 📲. Когда будете адаптировать документ под себя учитывайте и чисто российскую специфику - ГЛОНАСС вместо GPS, отказ в обслуживании за счет GPS Jamming 🛰, а также внедрение отечественных приложений в рамках законодательства. Последнее, как и наличие закладок в китайских поделках 🇨🇳, конечно, укладывается в угрозы supply chain, но я бы их рассматривал все-таки отдельно, так как борьба с ними требует немного иных подходов, отличающихся от поставки зараженного приложения от обычного, непривилегированного поставщика.

Пост Лукацкого

14 июня 2023 10:17

Была в советские времена такая форма поощрения как похлопывание по плечу. Дешево и сердито. Где-то даже сейчас продолжает использоваться. Но в продвинутых сообществах давно перешли на что-то более осязаемое 🏆 Такой, например, стала Positive Awards, которую в первый раз вручали в этом году на PHDays за вклад в развитие решений 🟥. У сообщества RUSCADASEC свой знак отличия, вручаемый уже несколько лет в знак признания поддержки и вклада в развитие сообщества RUSCADASEC, вклада в развитие промышленной кибербезопасности в России и в мире! И вот появилась новая награда 🏅 - на этот раз от компании Awillix и вручается она пентестерам.

Форма наград у всех разная (coin у RUSCADASEC, статуэтка у 🟥, техника Apple у Awillix), а вот выбор победителей у всех схожий - группа экспертов выбирает достойных большинством голосов. Единственное, что меня смущает в новой премии Pentest Award - это доказательство своих заслуг и своего опыта. Судя по описанию допускается анонимное 🥷 выставление себя на премию, а описание своих проектов оценивается голословно (а многие проекты у пентестеров и вовсе под NDA идут). То есть оценка более субъективная, чем в остальных случаях. А в остальном, больше премий, хороших и разных... 🎖

ЗЫ. У ФСТЭК тоже есть своя награда - размещение в рейтинге исследователей.

Пост Лукацкого

13 июня 2023 20:31

А у вас есть своя Варум в SOCе?

Пост Лукацкого

13 июня 2023 18:16

Все хорошо в этих рекомендациях, кроме одного, посыла, что вендор все, что мог сделал, а больше ничего. Поговорку про спасение утопающих, которое дело рук самих утопающих, напоминать не буду. Но почему-то Microsoft может технически и юридически заставить пользователей обновляться. А позиция "сам дурак" не выглядит выигрышной 😰

Пост Лукацкого

19 июня 2023 06:40

Вспомнил тут кейс про то, как мы реализовывали ФЗ-152 в Сиско много. Первый подход к снаряду был в 2010-м или 2011-м году, аккурат перед крупным изменением ФЗ, введением запрета на хранение ПДн зарубежом 🌎 и т.п. И пригласили меня на Cisco Global Risk Board с рассказом о том, что это за поправки такие приняла Россия 🇷🇺 и что нам с этим делать. А я тогда хотя уже и не смотрел на нормативку с позиции "раз есть, надо соблюдать" и старался оптимизировать ее выполнение, но все-таки еще не смотрел на нее с точки зрения бизнеса. Классический ИБшный подход. И подготовил я презентацию (но не на 100+ слайдов) для больших шишек 🧐 с рассказом о планируемых изменениях и что надо сделать, чтобы исполнить их. Я же был уверен, что Сиско - компания вся законопослушная и выполняет любую нормативку во всех странах своего присутствия. Ага, щаз... 👎

Я был послан в даль далекую, то есть мой рассказ не заинтересовал топов, которые решили не тратить деньги на непонятную шнягу. То есть с точки зрения бизнеса невыполнение комплайенса само по себе было вполне допустимым, если за этим не следовало ничего серьезного. Прошел год. В стране заблокировали LinkedIn, который к тому времени уже купила Microsoft и все гадали, а сам Microsoft не прикроют?.. И состоялась вторая встреча по исполнению российского законодательства по ПДн, на которой и я был лучше подготовлен, смотря на все с позиции интересов бизнеса, а не безусловного исполнения отечественных НПА, и корпоративные рисковики уже были наслышаны про кейс LinkedIn. И разговор получился иным. Тут уже грозил не только удар по репутации (невыполнение требований по локализации могло трактоваться как "компания не печется о безопасности своих клиентов"), но и потенциальная невозможность зарабатывать деньги в стране 🤑 Да, это было всего около 1% от общего оборота, но два раза - это два раза все-таки, это было несколько сот миллионов долларов, которые не валяются на дороге. Cisco Global Risk Board отнес такое событие к недопустимым и дал зеленый свет проекту.

Вы можете возразить - ну Cisco же ушла в итоге из России и потеряла этот 1%. Да, это так, но на это можно посмотреть двояко. Например, мы не знаем, сколько бы компания потеряла, оставшись она в стране в текущих условиях. Но гораздо важнее оказалось понимание простой мысли. Бизнес - это не монолитная и не неизменяемая сущность (о, открытие какое 😳). Условия могут меняться и статус допустимости/недопустимости события тоже. Сегодня оно допустимо, а завтра нет, и наоборот. Это же вам не модель угроз, которая, будучи один раз разработанной, потом годами не меняется и пылится на полке, пока ее не решат показать при очередной аттестации или проверке регулятора или аудитора. Поэтому и с бизнесом надо общаться постоянно, а не будучи посланным один раз, разочароваться в топах и считать их идиотами, которые ничего не понимают. Они как раз в бизнесе и влиянии на него различных факторов понимают гораздо лучше ИБшников. А если нет, то почему тогда ИБшники еще не запустили собственный бизнес?

Пост Лукацкого

18 июня 2023 12:23

На разных выступлениях про новые угрозы, когда я показываю фрагмент порно с наложенным на порноактрису лицом Галь Гадот ("Форсаж", "Чудо-женщина" и т.п.), это вызывает живейший интерес.

Но одно дело рассказывать о дипфейках, другой дело - попробовать самому. Попробовал. Выкладывать видео "для взрослых" с наложенным моим лицом не буду (буду завидовать сам себе в одиночестве), а вот другой пример выложу. В данном случае взял видео из бесплатного видеостока и наложил на него свою обычную фотографию (без какой-либо обработки). На генерацию нового видео ушло всего 5 минут на домашнем ноутбуке.

А вы говорите, не может быть!

ЗЫ. С голосом не экспериментировал - только с видео. Но и голос можно синтезировать, и наложить его на видео, и даже синхронизировать движение губ с голосом.

Пост Лукацкого

17 июня 2023 20:07

Выездной бар - это тема. Сидишь на даче, грустишь и, вдруг, бац, «Чего изволите? Хотите малиновый фишинг? А что насчет коктейля Pina ColaNADa с FWлаваноидами нового поколения урожая?» А в конце отрезвляющий коктейль «Указ 250» и кофе с королевской WAFлей…

Пост Лукацкого

17 июня 2023 12:36

Возвращение в Казахстан после долгого перерыва. На следующей неделе аж два мероприятия - закрытый Positive CISO Club и Positive Security Day! Будет жарко, все-таки +34 в понедельник в Алматы... 🔥

Пост Лукацкого

17 июня 2023 08:40

Вокруг Ильи какая-то движуха началась в последнее время. Не из-за дня же рождения это все...

ЗЫ. Видео записано до ареста, но вируситься стало только сейчас. Плюс посты в разных Телеграм-каналах, слухи о домашнем аресте и вот это вот все…

Пост Лукацкого

16 июня 2023 16:47

Можно ли обсуждать развитии КИИ с точки зрения угроз, нацбезопасности, суверенитета и т.п. без ФСТЭК и ФСБ? Оказывается можно. На ПМЭФ, в секции "РАЗВИТИЕ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ: УГРОЗЫ И ПЕРСПЕКТИВЫ", это удалось сделать. Скучно и бесполезно 🥱

Понятно, что на мероприятиях уровня ПМЭФ ждать какой-то конкретики не приходится, но хотя бы сделать сессию запоминающейся можно же 🤹‍♂️ Милохина позвать, чтобы он всех на пол уложил, продемонстрировав поведение иностранных ИТ/ИБ-поставщиков, поставивших всех на колени, Киркорова попросить спеть про "цвет суверенитета - красный", прилюдно продемонстрировать взлом какого-нибудь значимого объекта КИИ, запустить в зале дрона, разбрасывающего флайеры на вечеринку... 🤡 А еще можно было из соседнего зала позвать десантников, которые рвали грелки и теннисные мячики, гнули об голову ломы и выполняли другие противоестественные действия с продукцией отечественной критической инфраструктуры! 🤡

А переливать из пустого в порожнее по сотому разу?.. Может поэтому ФСТЭК и ФСБ не поехали?..

Пост Лукацкого

16 июня 2023 13:27

Что-то вокруг Росавиации творится какой-то трындец. После прошлогодней атаки, увольнения замминистра за инцидент и назначения на должность главы всей цифровизации и ИБ бывшей помощницы главы Росавиации, ситуация только накаляется:
😱 Глава Росавиации получает выговор и предписание от ФСБ и Генпрокуратуры за назначение на должность начальника управления по цифровизации и ИБ человека, не имеющего допуска к гостайне
😱 ФСБ находит в Росавиации вредоноса, занесенного на флешке через главу Росавиации, и сливающего данные в США
😱 Бывшая сотрудница Росавиации с украинским гражданством осуществляет акцию саботажа и обрушивает инфраструктуру ведомства
😱 Росавиация все опровергает - и найденный ФСБ вирус, и саботаж бывшего сотрудника, и проблемы с ИБ

Пост Лукацкого

16 июня 2023 06:40

На прошлой работе, в рамках внутреннего обучения, был у нас курс "Финансы для нефинансовых менеджеров", в рамках которого для далеких от управления финансами рассказывали, как читать P&L отчеты и на что обращать в них внимание и как вообще устроены корпоративные финансы. Простым и понятным языком для неспециалистов.

Так вот в ИБ-компаниях вполне логично было бы предположить, что есть немало людей, которые хотели бы понимать, что такие кибербез. Но при этом без сложных материй, сленга, концепций и т.п. Поэтому запилил презу про ИБ для неИБшников и обкатал вчера на коллегах из 🟥, которые далеки от ИБ. Вроде неплохо получилось 😊 Даже пошалил малость с картинками 😊

Пост Лукацкого

15 июня 2023 16:42

Все, товарищи, импортозамещение в кибербезе достигло 90%. Можно себя поздравить и расслабиться. Всего каких-то 10% иностранных средств защиты в России осталось. Это успешный успех! Бляху на грудь тем, кто помог этого добиться в столь сжатые сроки! Пойду накачу импортозамещенного коньяка!

Пост Лукацкого

15 июня 2023 10:02

Ну что, запущенный 12-го числа опрос дал неожиданные для меня результаты. Я думал, что с большим отрывом будет лидировать "Обнаружение угроз". Ну или она будет делить первые два места с "Построением и проектированием SOC", но оказалось, что они как раз не попали на первые два места, уступив их "Моделированию угроз" и... 🥁🎺 фанфары, "Измерению ИБ".

С другой стороны, это приятно, что читателей интересует результативный кибербез, метрики, оценки эффективности и вот этот вот все. Значит сдуем пыль с этой рукописи и возьмем ее в активную проработку. Раз уж назвался груздем, то надо лезть в кузов. К 12 марта (плюс-минус пару месяцев) должен буду книгу выложить в открытый доступ. Ну и буду понемногу выкладывать новости по статусу работы над книгой ✍️

Пост Лукацкого

14 июня 2023 20:04

Главное Минцифре РФ не говорить, что у них есть аккредитация на поставку средств защиты, а то может неудобно получиться. Ну и с Министерством госуправления тоже неудобняк. Такого в природе тоже не существует. Есть такие региональные министерства, обычно с приставкой "информационных технологий и связи", но это уже не так солидно выглядит.

ЗЫ. Это не у Минцифры такое, а на одном из мероприятий участник так подписался

Пост Лукацкого

14 июня 2023 13:12

На этой неделе американское военное ведомство обновило свою стратегию в области киберпространства (2023 DoD Cyber Strategy). Секретный документ, направленный в американский Сенат, разработан во исполнение стратегий национальной безопасности и обороны 2022-го года, а также стратегии национальной кибербезопасности, выпущенной уже в этом году.

Новая стратегия должна стать ответом на рост кибернаступательных возможностей Китая и России 🇷🇺, а также помочь отражать атаки Северной Кореи, Ирана и иных экстремистских организаций, включая и транснациональные преступные группировки.

Особых деталей в новости Пентагона не приведено (что и понятно), но говорится о том, что пора переходить от оборонительной тактики к наступательной и быть более проактивными. Когда это, интересно, американцы придерживались только оборонительной стратегии? Хотя, с другой стороны, это АНБ и ЦРУ активно действовали за пределами страны, как мы помним из разоблачений Сноудена и последующих. Теперь к ним присоединяется и МинОбороны, которое будет также учить своих сателлитов партнеров как Родину любить проводить спецоперации в киберпространстве. Это в свою очередь является ответом на недавние обвинения американцев со стороны Китая, который утверждает, что США хотят установить мировую кибергегемонию и надо положить этому конец и что все прогрессивные страны должны объединиться как один и идти нога в ногу в светлое будущее (видимо, с Китаем в руководящей роли). США 🇺🇸 хотят тоже светлого будущего, но такого, как видится им, а не Поднебесной 🇨🇳.

В целом, надо признать, что мы начинаем жить в совершенно новую эпоху, в которой роль кибербеза возрастает многократно; что дает как преимущества и перспективы, так и вводит новые ограничения. Но точно можно утверждать, скучно не будет!

Пост Лукацкого

14 июня 2023 06:40

Год назад, когда FIRST выпустил новую версию протокола TLP, я задавался вопросом, перейдет ли НКЦКИ на него или нет? Теперь впору задавать тот же вопрос, но уже применительно к ФСТЭК. FIRST, снова он, анонсировал новую версию системы классификации и приоритизации уязвимостей CVSS, которая используется в том числе и в нашем БДУ, а также в методичках регулятора, который уделяет немало внимания вопросам оценки защищенности. К слову, НКЦКИ тоже использует CVSS при публикации своих бюллетеней по уязвимостям. Но вернемся к CVSS 4.0.

Новая система по задумке авторов должна стать более практичной и ориентированной на результат. В частности, CVSS 4.0 должна учитывать, насколько легко проэксплуатировать уязвимость на практике, какие условия для этого должны быть, требуется ли взаимодействие с пользователем или нет, можно ли автоматизировать эксплуатации уязвимости и т.п. Также 4-я версия, которую должны официально опубликовать в 4-м квартале этого года, стала больше учитывать не только ИТ-инфраструктуру, но и системы промышленной автоматизации (АСУ ТП). ФСТЭК, похоже, придется в БДУ учитывать помимо CVSS 2.0 и 3.0 еще и 4.0 (или отказываться от 2.0).

ЗЫ. Все-таки интересно, почему ФСТЭК продолжает использовать CVSS, но не хочет перейти на матрицу ATT&CK? CVE и CWE от MITRE ФСТЭК же использует в БДУ? Мне кажется, тогда было бы проще всем - и специалистам, и регуляторам.

Пост Лукацкого

13 июня 2023 18:16

«1С-Битрикс» выпустил рекомендации по безопасности сайтов

Продолжение истории с Битриксом. Компания отреагировала на повышенное внимание к CMS, через которую осуществляются атаки на многие российские сайты, и выпустила первый за несколько лет пресс-релиз на тему безопасности. Если до этого позиция компании ограничивалась комментариями в СМИ в духе: «Мы все обновления давно выпустили, надо вовремя обновляться», — то теперь она гораздо более подробно прокомментировала ситуацию и дала рекомендации по обеспечению безопасности сайтов.

Основной смысл анализа: проблема в том, что компании по многу лет не обновляют сайты, в одном расследованном случае аж с 2018 года. Принудительное обновление вендором невозможно. А информирование клиенты игнорируют.

«Ваш сайт может находиться в зоне риска прямо сейчас. Неважно, кто разработчик ПО вашего веб-проекта — российский или зарубежный вендор. Популярный или малоизвестный бренд. Системный или самописный код. Для хакеров это не имеет значения.

CMS от 1С-Битрикс упоминается в части инцидентов. Это статистически логично. Доля продукта на рынке коммерческих CMS — более 50%.

Но в чем причина большинства взломов?
Ключ к заражению вашего веб-проекта — игнорирование обновлений компонентов сайта и серверного ПО. Большинство компаний не обновляют свои сайты от нескольких месяцев до нескольких лет.

Мы следим за всеми известными нам инцидентами. Мы закончили расследование двух громких случаев взлома. Обе компании — крупнейшие игроки федерального масштаба. Один сайт не обновлялся с 2020 года. Второй — с 2018 года, ни разу с момента создания!

Хакеры используют уязвимости в древних версиях системы для установки троянов и закладок. Но активируют их не сразу. Компании даже не знают, что в их системе кто-то может присутствовать. Годами.

Цели черного рынка взломов — перепродажа доступов, шантаж владельцев, кибершпионаж. Это огромная и прибыльная индустрия.

Важно понимать. Публичный слив данных сайта компании — последняя возможность хакера заработать на полностью «выпотрошенном» проекте.

Разработчики CMS «1С-Битрикс: Управление сайтом» выпустили бесплатное обновление больше года назад. Также был запущен сервис для проверки лицензии на актуальность. Все компании в зоне риска были проинформированы.

К сожалению, большинство владельцев сайтов проигнорировали эту информацию. Не стоит повторять их путь — никто не обновит ваш сайт кроме вас.

Вендор не может принудительно обновить сайт всех клиентов.
Это невозможно. Ни технически, ни юридически. Доступ есть только у администратора на стороне владельца».

Дальше идут ключевые рекомендации, которые предлагается отправить IT-службам с пометкой срочно. Так что обратите внимание, если у вас сайт на Битриксе.

В общем, такое предупреждение — правильный шаг, можно только приветствовать. Странно только, что пресс-релиз вышел так нескоро, наверно, он бы мог помочь донести информацию до клиентов.

Пост Лукацкого

13 июня 2023 16:56

Помните мою заметку про перспективы развития ИБ до 2040-го года? Один из описанных сценариев - балканизация, то есть разделение мира на несколько контролируемых зон со своим регулированием внутри каждой. Предполагалось, что англосаксы выделятся в один сегмент, подтянув к себе ряд сателлитов в виде европейских стран. Но, возможно, что и внутри больших блоков будут свои анклавы. Вот, например, англичане с месяц назад анонсировали вступающий через год режим обеспечения минимального уровня ИБ для всех устройств, имеющих подключение к Интернет.

Идея любителей патичасового чая практична и не связана ни с какими попытками ограничить продукты по "шпионскому" или "российскому" следу. Новая нормативка требует от всех производителей новых устройств, начиная от смартфонов и умных телевизоров и заканчивая умными автомобилями и унитазами, выполнять базовый минимум по кибербезу:
1️⃣ Запрет дефолтовых и легко угадываемых паролей. Интересно, что производителям в этом случае придется заставить пользователей выбирать пароли при первом же использовании; причем выбирать так, чтобы они не были легко подбираемы. Само по себе интересное решение и заставит поднапрячься многих вендоров консьюмерской техники.
2️⃣ Обеспечение ясной и понятной коммуникации о том, как долго будут выпускаться обновления безопасности?
3️⃣ Обязательное размещение и легко находимое на сайте производителя пояснение о длительности действия поддержки с точки зрения безопасности.
4️⃣ Опубликование производителем контактов относительно уведомления об обнаруживаемых уязвимостях.

В помощь производителям NCSC (английская ФСТЭК), наряду со своими американскими, австралийскими, канадскими, немецкими, голландскими и новозеландскими коллегами, выпустили небольшое, всего на 15 страниц, руководство "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default" о том, какие принципы должны закладываться при разработке ПО.