alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Офигенные дни для отрасли ИБшного маркетинга, PR и просто любителей пошутить 🤡 Кто-то отрывается в создании мемасиков, кто-то дает комментарии СМИ (я вчера побывал на трех прямых эфирах на ТВ и радио, дал с десяток комментов 🎙 для бизнес- и отраслевых СМИ в России и на Ближнем Востоке, а еще случайно выступил на английском в прямом эфире ТВ, хотя предполагалась запись и на русском 💪).

Очень непростые дни у PR и антикризисного комитета CrowdStrike, которые отбиваются от журналистов, блогеров и других инфлюенсеров, стараясь дать выверенные ответы, которые не уронят акции Crowdstrike еще больше 📉 (в пике было -21%) и не повлекут многомиллиардные иски, которые уже планируются 👩‍⚖️ Это офигенная школа для любого пиарщика, но не знаю, хотел бы я в этот момент быть в такой компании 🤔 это вам не мемасики генерить 🤠

Читать полностью…

Пост Лукацкого

Также Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных с покушением на Дональда Трампа, извержении вулкана в Исландии, выбросившихся на берег в Испании китов, уязвимостей CVE-2021-3773 и CVE-2024-38211, а также о сотнях других событий, которые происходят в мире, но которые не имеют никакого отношения к Роскомнадзору!

Читать полностью…

Пост Лукацкого

Тут в SOCовском чатике задали вопрос: "Хочу писать все события на Linux. С помощью чего это лучше делать?" 👨‍💻 В отношении SIEM это тоже часто звучащая дилемма - какие события писать в SIEM? Все или выборочно? Если все, то нужно иметь немаленького размера ЦОД, чтобы хранить все события в течение длительного времени. И за лицензию на SIEM надо переплачивать, если схема лицензирования подразумевает оплату за объем хранения. А это приводит к разрастанию совокупной стоимости SIEM 🤑

Отчет SANS по SOCам дает нам ответ и на этот вопрос. Максимальное число ответивших на этот вопрос респондентов (152) шлют в SIEM все, что они покрывают системой мониторинга 👀 На втором месте (110) те, кто собирает в SIEM события на основе риск-ориентированного подхода, стараясь в качестве основы для выборки событий взять серьезность угроз, подлежащих обнаружению и реагированию.

Третье и четвертое место с незначительным отрывом друг от друга (40 и 38 респондентов) заняли сбор событий только с приоритетных (я бы сказал целевых/ключевых) систем и сбор событий в зависимости от use case / detection engineering 💡 Лично мне больше нравится как раз последний подход, так как он позволяет сбалансировать финансовые затраты с эффективностью мониторинга ИБ. Хотя, конечно, если у вас куча денег, то можно писать все, лить в озеро данных и там уже анализировать по мере необходимости 🙌

Читать полностью…

Пост Лукацкого

Подписчик, за что ему спасибо, прислал фрагмент интересной переписки с мошенниками, которые предлагают практически 100%-й 💯 выигрыш на аукционе на поставки средств защиты информации на электронной торговой площадке 🛒 А потом всплыл другой кейс - с мошенничеством с торговыми ботами 🤖 И мне показалось, что можно эти две истории объединить, что я и сделал. И это в копилку историй, когда чисто инфраструктурная ИБ и даже защита от ботов в WAF не всегда помогает.

Читать полностью…

Пост Лукацкого

Какими возможностями по реагированию на инциденты меньше всего удовлетворены ИБшники? В пятерку входят:
1️⃣ Реверс-инжиниринг вредоносного ПО. Да и хрен с ним - отдайте это специализированным компаниям. Все равно удержать такого специалиста будет не под силу 99% компаний. Им просто не найдется такого количества интересной работы и он все равно свалит.
2️⃣ Обманные технологии. Ну тут вообще без комментариев. Вы сначала базовые компоненты SOC внедрите, EDR и NTA, а уж потом о deception/decoy/honeypot думайте...
3️⃣ Отслеживание кампаний и атрибуция угроз. А на кой она вообще нужна? В большинстве случаев лишнее это.
4️⃣ Реверс-инжиниринг железа. Заказчикам - это вообще не надо, не потянут они такую лабу. Я имею представление о "железной" лабе Позитива и могу уверенно говорить, что это как реверсингом малвари, только дороже во много раз.
5️⃣ Реагирование на основе пдейбуков. Ну еще бы, вы пробовали автоматизировать плейбуки с помощью no code/low code конструкторов в SOAR? Поэтому некоторые вендора либо GenAI начинают использовать для автоматизации создания плейбуков и работы по ним, а некоторые и вовсе идут в сторону автопилота.

А еще на этой гистограмме показано, как их НЕ НАДО делать 🤦‍♂️ Ну кто для отрицательных значений использует зеленый, а для положительных - красный? (красный - он для позитивных 🥰) Надо было с точностью до наоборот все делать: красный для "не удовлетворен", а зеленый - для "удовлетворен". Всему этих американцев учить надо... 🫵

Читать полностью…

Пост Лукацкого

А вот кому европейского 🇨🇭 взгляда на то, как устроен китайский 🐉 рынок CTFов, программ Bug Bounty и иных способов прокачки хакерских скиллов в Поднебесной? 🖥

Читать полностью…

Пост Лукацкого

Разные российские ИБ-каналы пишут про закрытие офиса Лаборатории Касперского в США и предполагают, что сотрудников теперь перевезут в другие офисы компании (ага, граждане США так и побегут сотрудничать с подсанкционными юрлицами 😲) или что их наймет Сбер (ага, субъект КИИ наймет граждан США 😮).

А я просто опубликую прощальное письмо ЛК своим заокеанским клиентам. Прежде чем читать его, включите финальную песню Олимпиады-80 "До свиданья, наш ласковый мишка!", которая созвучна нынешним событиям, в том числе и в контексте Олимпиады в Париже 🧸

Читать полностью…

Пост Лукацкого

И хотя основные метрики оценки эффективности SOC 👀 остаются неизменными:
1️⃣ Среднее медианное время на реагирование (MTTR)
2️⃣ Среднее медианное время на обнаружение (MTTD)
3️⃣ % покрытия мониторингом
4️⃣ % расследованных сигналов тревоги
5️⃣ Соотношение true и false positive,
в этом году в отчете SANS SOC Syrvey 2024 в топ попали и три качественные метрики:
6️⃣ Загрузка аналитиков SOC
7️⃣ Качество расследования (ошибки, нехватка информации, преждевременное закрытие тикетов и т.п.)
8️⃣ Качество Threat Intelligence (аккуратность, своевременность, покрытие и т.п.)

Не могу согласиться с правильностью всех выбранных метрик, но движение в сторону оценки качества могу только приветствовать 🙂

Читать полностью…

Пост Лукацкого

Хотите удалить информацию о себе из разных web-сервисов, но не знаете как и не хотите тратить время на поиск правильных ссылок для удаления? Вот вам сервис justdelete.me для этого! 🗑 Российских сервисов там я не нашел, но западных в избытке. И если вы решили патриотично махнуть рукой иностранцам и не оставлять им свои персданные, то вперед. Правда, надо сразу сказать, что у некоторых сервисов такой возможности нет вообще, а у некоторых удаление является непростой процедурой. Но дорогу осилит идущий... 🚶‍♂️

Читать полностью…

Пост Лукацкого

19 апреля AT&T зафиксировал инцидент 💻 и «немедленно активировал процесс реагирования на инциденты». Правда, утечка продолжалась еще 6 дней 🚰, до 25 апреля. У AT&T очень специфическое понимание термина "немедленно". Либо упомянутая облачная платформа (к слову, AT&T числится среди клиентов Snowflake ❄️) просто не делилась с AT&T данными или не смогла вовремя заблокировать факт утечки?

Много вопросов к этому инциденту, если внимательно смотреть на его временные параметры Вообще, временные параметры любого публичного инцидента, перенесенные на таймлайн, всегда интересно изучать Сразу много вопросов возникает, которые у авторов пресс-релизов обычно не всплывают в процессе подготовки публичных коммуникаций. И сразу становятся видными слабые места и то, что пытаются скрыть 🫥

Читать полностью…

Пост Лукацкого

Карьерный рост 😎 перестает быть интересным для аналитиков SOC. Деньги 🤑 хоть и влияют, но не так чтобы очень сильно. А вот интересная работа продолжает быть основным драйвером, заставляющим специалистов по ИБ оставаться у своего работодателя 👨‍💻

Именно поэтому их бывает сложно удержать и они уходят к интеграторам и в аутсорсинговые SOCи. Там обычно более разнообразные кейсы и инциденты, их больше, а значит каждый день есть что-то новое, что и заставляет каждое утро или вечер (зависит от смены) приходить на работу с интересом и удовольствием🚶‍♂️

ЗЫ. Это все тот же отчет SANS по SOCам

Читать полностью…

Пост Лукацкого

Думаю, понятно, что картинка выше непросто про EDR, которые на первом месте с точки зрения обнаружения хакерской активности в SOC. В принципе сама идея, что есть какой-то Топ5 сенсоров для мониторинга или "триада технологического стека SOC", - утопична 🤨

Ничего такого нет, так как сильно зависит от тех сценариев (use cases), которые необходимо отслеживать. Условно, если вы мониторите АСУ ТП 🔍, то у вас там EDR может и не входит в Топ5, а на первое место выйдут какие-нибудь МСЭ (даже не NGFW), средства авторизации доступа админов (PAM), средства мониторинга сетевой активности и только потом, что-то, что можно поставить на HMI, SCADA-сервера и т.п. 🏭

В корпоративной среде, да, EDR сейчас становится самым популярным источником данных для обнаружения вредоносной активности на хостах, с которых часто и начинается активное развитие атаки внутри инфраструктуры 🔓 Но вот если у вас строится SOC/ЦПК и вы не знаете, какие сенсоры вам вообще будут нужны, то данная гистограмма может вам подсказать направление движения, а оно одно - начните с use cases.

Читать полностью…

Пост Лукацкого

Джет выкатил описание критической ‼️ RCE-уязвимости в Битриксе (CVSS 9.5), которая позволяет скомпрометировать сайт, работающий на этой CMS 🌐 Интересно, что в базе NVD у этой уязвимости был идентификатор CVE-2022-29268, который помечен как «отклоненный» (в прочих базах, включая и БДУ ФСТЭК, идентификаторы также не были присвоены). Судя по описанию, патча нет, есть только компенсационные меры, снижающие вероятность использования дыры 😷

⚠️ Получается, что 2 года назад (уязвимая версия Битрикса появилась в декабре 2021 года) уязвимость отклонили, но ее можно эксплуатировать до сих пор (хотя и при достаточно специфических условиях). По утверждению Джет производитель не считает это уязвимостью 😠


Именно эта уязвимость была использована при взломе сайта Jet CSIRT, как видно из результатов опубликованного расследования. Там все четко - таймлайн, индикаторы, рекомендации... У меня только один вопрос возник по результатам прочтения материалов расследования. Получается, что первый веб-шелл был размещен на сайте Jet еще в 2023-м году 😲 Второй, более функциональный веб-шелл, был размещен на сайте спустя полгода и уже через него был проведен дефейс сайта. Правда, коллеги сами признаются, что недооценили репутационный ущерб от взлома сайта-визитки и поэтому его мониторингом занимались по остаточному принципу. Видимо, поэтому и не замечали полгода внедренный веб-шелл.

ЗЫ. Jet CSIRT перестал почему-то 🤔 публиковать свои дайджесты (последний датирован 1-м апреля).

Читать полностью…

Пост Лукацкого

А я врываюсь в новую неделю с очередной заметкой про CISO, а точнее про модель оценки зрелости руководителя по ИБ глазами агентства по подбору топ-менеджеров 🧐, которые с помощью разработанной ими модели CALM (The CISO Assessment Level Maturity) оценивают как действующих CISO (соответствуют ли они компании, в которой работают), так и тех, кого ищут топ-менеджеры для себя 🤔

Читать полностью…

Пост Лукацкого

Помните историю с фейковой точкой доступа 👴 в аэропорту Шереметьево? Теперь вот подписчик пишет (за что ему спасибо), что на поездах РЖД 🚂 с этим столкнулся. И это прям интересная история, так как это требует немного иного доступа для злоумышленников. То есть либо проводники в доле, либо монтёры в депо, либо мошенник постоянно ездит на поезде и может снимать полученные данные 🖥 Ну или это ситуативная история, когда повезло задетектить левую точку во время целевой атаки на конкретного пассажира только на одном поезде…

Читать полностью…

Пост Лукацкого

Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных со сбоем после обновления ПО CrowdStrike

Читать полностью…

Пост Лукацкого

Тут иногда возникает вопрос: "А зачем вообще фокусироваться на чужих отчетах со статистикой по ИБ?" А все просто. 97% всех ИБшников не всегда уверены в своих решениях и хотят убедиться, что они что-то делают правильно, что так делают и другие. Поэтому статистика - это некий ориентир 📌

Если вы попадаете "в большинство", то можно не переживать - большинство не может ошибаться (на самом деле может) 🥇 Если в меньшинство, то не надо сразу думать, что вы аутсайдер; хотя это и возможно. Но может вы просто консерватор и пока еще не делаете всё, как все. А может вы в числе инноваторов и делаете что-то, что станет мейнстримом попозже. Вспомните кривую инноваций (она же кривая принятия, она же кривая Роджерса) - она хорошо показывает эту идею 💡

Поэтому я и уделил столько внимания отчетам SANS по SOCам и автоматизации последние пару дней. Кстати, если вы просто смотрели на эти циферки 📈 и мои комментарии к ним в моем канале, то вы обычное большинство. Если вы хотите почитать сами отчеты, а "их есть у меня", - вы ранние последователи и хотите попробовать что-то, чего еще не делает большинство 😇 Ну а если вы инноватор, то сдам вам ссылку (https://drive.google.com/drive/folders/1dx3hblisYUno9_u1CmS-2jlaSGbBFZyP) на все сырые данные по отчету по SOCам, которые вы можете загрузить в Jupiter Notebook и сами поработать с ними, провести анализ, поискать взаимозависимости и т.п. 🤓

Читать полностью…

Пост Лукацкого

Т-Банк открыл доступ к своей фрод-рулетке «Ловушка для мошенников» 📞 Хотите развести разводил? Устали играть в сервис общения с вымогателями ChatGPT? Попробуйте пообщаться с живыми преступниками 📞 Добавь адреналина, отточи разговорные навыки, разбавь серые будни…

ЗЫ. Надеюсь сайт настоящий 🎭

Читать полностью…

Пост Лукацкого

В Cisco'вском чатике пару дней назад зашел разговор о NGFW 🤬 и двое коллег, вдруг, поделились тем, что их компании скоро выпускают NGFW, которые "прям огонь" и всех порвут на рынке. Интересно, что в сегодняшнем списке TAdviser этих вендоров нет, хотя сами компании прям на слуху 🤨

А вчера имел беседу, в рамках которой прозвучала мысль, что надо по примеру Минцифры, которое официально поддерживает только 3️⃣ операционные системы, и ИБ-регуляторам (или тому же Минцифры) поддержать только три NGFW из 40 создаваемых в России, а остальные и запретить можно, чтобы не распылять ресурсы разработчиков на проекты, которые никто не поддерживает 🤔 Интересная идея. Полдня думал, кто же может претендовать на оставшиеся 2 позиции поддерживаемых государством NGFW?.. Пока нет явных кандидатов

Но идея ограничить число разрабатываемых средств защиты каким-то вменяемым числом не дает мне покоя... Если она пройдет на уровне Григоренко, то жить станет веселее... Всем 😵‍💫

Читать полностью…

Пост Лукацкого

Больше инструментов в SOCе - больше ресурсов требуется на анализ и реагирования, что приводит к задержкам в реакции на действия хакеров Конечно, хочется иметь много всяких игрушек внутри SOCа, но это и имеет свою обратную сторону, повышая и затраты на внедрение и эксплуатацию, и требования к персоналу, и требования к необходимости автоматизации, и... что уж греха таить, вероятность пропуска инцидента и реализации им негативных последствий для бизнеса 🎮 Согласно отчету SANS по автоматизации, больше всего времени отжирают облачные и сетевые сигналы тревоги, а также алерты от средств управления аутентификацией. Учитывайте это при проектировании SOC 💡

Читать полностью…

Пост Лукацкого

Когда 🟥 спрашивают: "А чего вы свой SOAR не пилите?", ответ на самом деле очень простой и он хорошо отражен в результатах последнего отчета SANS по автоматизации ИБ. Дело не в том, что SOAR написать сложно (на самом деле достаточно легко), а в том, как его будут применять на практике. Три критических преграды при использовании SOAR согласно опросу SANS:
1️⃣ Встроенные интеграции. Их либо нет к нужным продуктам, либо они слишком универсальные, либо они сложны в настройке, либо просто нет доступа к управляемым средствам защиты
2️⃣ Контент плейбуков. На встроенные плейбуки в SOAR обычно без слез не взглянешь - их переписывать и переписывать, что превращает идею автоматизации в тыкву. Ситуация примерно как с контентом обнаружения для SIEM - больше половины пилят контент самостоятельно 🎮
3️⃣ Простота внедрения. Ну тут все понятно и не требует особо пояснения. Прежде чем вы автоматизируете процесс SecOps, вы потратите кучу времени на внедрение всех компонентов, их настройку, доработку плейбуков и т.п. 🔄

Поэтому-то у PT и появился MaxPatrol O2, который иногда называют NG SOAR или "SOAR на максималках", но это не совсем корректное сравнение. Там заложен иной принцип автоматизации, чем в SOAR ⚙️ Но про это я писать не буду - это же не рекламный канал 😏

Читать полностью…

Пост Лукацкого

Помимо отчета SANS SOC Survey 2024, мне тут в руки попал отчет SANS по автоматизации ⚙️ ИБ, который неразрывно связан с темой SOCов. Так вот основных три проблемы на пути полного использования возможностей SOC:
1️⃣ Слабая автоматизация и оркестрация. 65% времени SOC уходит на ручные классификацию инцидентов и расследование при автоматическом обнаружении и также ручном реагировании (иногда, правда, используется SOAR).
2️⃣ Нехватка квалифицированного персонала (поэтому спасением опять же будет автоматизация).
3️⃣ Неполный охват инфраструктуры мониторингом.

Интересные данные 👇 по тому, что уже автоматизировано в реагировании на инциденты ИБ у респондентов, а что планируется автоматизировать в ближайшие 18 месяцев. Предсказуемо, в Топ3 процессов, которые избавились от ручного труда, входят:
1️⃣ Борьба с фишингом ❗️
2️⃣ Обогащение данных
3️⃣ Работы с фидами Threat Intelligence.

Хуже всего автоматизированы:
1️⃣ Управление рисками и compliance
2️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики 💻
3️⃣ Анализ и исследование вредоносного ПО.

Среди того, что будет автоматизировать большинство респондентов:
1️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики
2️⃣ Анализ и исследование вредоносного ПО ⚠️
3️⃣ Управление кейсами.

Читать полностью…

Пост Лукацкого

Я не мог пройти мимо этой статистики OPSWAT относительно антивирусной защиты, которую я так глубоко и нежно люблю ❤️ Хотя я уже знаю, что мне скажут коллеги. Мол там среди логотипов нет того самого, единственного 🤐

Читать полностью…

Пост Лукацкого

Не используйте в качестве графического пароля линию своего маршрута от дома до работы в навигаторе...

Читать полностью…

Пост Лукацкого

В VirusTotal добавили функцию анализа и объяснения загружаемого кода, скриптов и т.п. 🔬 Вы можете спросить, а как так, если в отчете SANS говорится, что интерес к ИИ в мониторинге ИБ поугас? А я вам отвечу. Все просто. ИИ в ИБ обычно применяется в двух вариантах - проактивный и реактивный. В первом случае, вы с помощью ИИ пытаетесь обнаруживать атаки. Во втором - ИИ помогает вам объяснить обнаруженное (ассистенты и ко-пилоты). Так вот SANS говорит про первое, а VirusTotal внедрил второе 🧠

Читать полностью…

Пост Лукацкого

Еще одна история про влияние ИБ на руководство компании. Федеральная торговая комиссия США наказала генерального директора 🧐 алкогольного маркетплейса Drizly Джеймса Кори Релласа за утечку данных 2,5 миллионов клиентов. Помимо требования удаления собранных персданных клиентов, не требуемых для оказания услуг 🥃, FTC потребовала от гендиректора Drizly построить систему ИБ на предприятии.

Но интересно другое требование. От Джеймса Релласа также потребовали, чтобы он обязательно реализовывал систему ИБ 🛡 во всех новых компаниях, в которые Реллас перешел бы или создал бы в будущем, или в которых он стал бы топ-менеджером, несущим ответственность за кибербезопасность 😮 Кого-то наказывает лишением права занимать руководящие позиции, а кого-то обязывают заниматься ИБ на всех будущих местах работы 💡

Читать полностью…

Пост Лукацкого

Список технологий ИБ (по популярности), которые используются в качестве источников событий ИБ в SOCах, согласно отчета SANS по SOC 🔍 Если не брать в расчет SIEM, как средство анализа, то в Топ5 защитных средств входят:
1️⃣ Сенсоры для защиты оконечных устройств (EPP и EDR)
2️⃣ VPN (учитывая постоянные продажи доступов к VPN Fortinet, Check Point, Cisco, это вполне понятно)
3️⃣ Средства для защиты e-mail (SWG/SEG)
4️⃣ Межсетевые экраны следующего поколения (NGFW)
5️⃣ Средства защиты от вредоносного кода (песочницы и пока еще чудом где-то оставшиеся антивирусы).

Читать полностью…

Пост Лукацкого

SANS провел ежегодный опрос по SOCам. Из интересного в нем:
1️⃣ Типичный размер SOCа - 2-10 человек.
2️⃣ Основные две проблемы - нехватка автоматизации и персонала
3️⃣ Основной источник событий для обнаружения - EDR/XDR
4️⃣ Типичная архитектура SOC - на основе облака
5️⃣ В отличие от прошлых лет, когда использовалось несколько SOCов, в этом году обычно используется один центральный SOC
6️⃣ С точки зрения технологий у владельцев SOC чувствуется снижение удовлетворенности от применения ИИ/ML
7️⃣ Большинство (80%) SOCов работает в режиме 24х7
8️⃣ В 76% SOCов персонал работает удаленно
9️⃣ TI чаще используется при расследовании инцидентов и поиске угроз (Threat Hunting)
1️⃣0️⃣ Число тех, кто измеряет свою эффективность, немного снизилось - с 76% в прошлом году до 67% в этом
1️⃣1️⃣ Основная метрика остается той же - число инцидентов,

ЗЫ. Опрос проводился во многих странах мира (в России нет), но все-таки 2/3 респондентов из США.

Читать полностью…

Пост Лукацкого

Пока Snowflake ❄️ обещает внедрить обязательную многофакторную аутентификацию и продолжает обвинять «тупых клиентов» в том, что это все они сами виноваты, прослушайте песню про Snowflake ❄️ "Happy Little Cyber Incident", созданную ИИ 🎶

Читать полностью…

Пост Лукацкого

Заходит в McDonalds "Вкусно и точка" 🍔 чувак, вскрывает аппарат, ставит устройства для удаленного доступа и несанкционированного доступа к информации и уходит. И хоть бы какая сволочь какой сотрудник спросил его "А ты, собственно, кто такой и чего в нутрях копаешься?" 🍔 К счастью чувака и подельников все-таки взяли, а видео среди прочего послужило доказательством противоправной деятельности 🇷🇺

Читать полностью…
Подписаться на канал