alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

NIST обновляет свое руководство по цифровой идентификации и аутентификации (NIST SP 800-63 Digital Identity Guidelines), в котором есть ооооочень интересные изменения 🤠 В частности, NIST вновь подтверждает, что хватит уже требовать от пользователей менять пароли через регулярные интервалы времени, так как это не имеет никакого смысла, так как пользователи все равно не сильно напрягаются при смене пароля и просто увеличивают на единицу цифру в конце пароля 😓

Поэтому пароли надо менять только в двух случаях - при компрометации и при запросе самого пользователя. Это требование было сформулировано еще в версии руководства 2020-го года, а теперь его расширили новыми интересными пунктами. В частности, при вводе пароля необходимо разрешать использование пробела, 👨‍💻 так как это естественно для пользователя, а для компьютера - это просто еще один символ. Нельзя навязывать смешение в пароле различных символов (разные регистры, цифры и буквы), а также сохранять парольные подсказки, доступные неаутентифицированным субъектам ☹️ И, тадам, нельзя пользователям использовать подсказки или секретные вопросы, базирующиеся на легко узнаваемом знании (имя вашего первого питомца, девичья фамилия матери и т.п.).

Дело за малым - выбросить старые рекомендации, которыми уже все засрали мозг, и начать жить в удобном и безопасном мире!

Читать полностью…

Пост Лукацкого

Моя презентации с Positive Tech Day в Новосибирске

Читать полностью…

Пост Лукацкого

Вот были же времена... 10 лет назад менеджер паролей считался лже-наукой 🤥, как и системы анализа уязвимостей, защищенные среды исполнения и другие защитные решения 🤥

Читать полностью…

Пост Лукацкого

🙂 Как построить безопасную разработку в любой компании?

Выпустили вам в помощь наш первый общедоступный фреймворкAppSec Table Top, который можно скачать на нашем сайте.

📖 Внутри — набор принципов и подходов, которые помогут выстроить AppSec-процессы с учетом интересов бизнеса, требований регуляторов и потребностей команд. Эффективно и безболезненно.

🤔 Зачем нам это?

Индустрия безопасной разработки в России еще относительно молода, а западные подходы не всегда применимы в реалиях отечественного бизнеса. Поэтому мы создали собственную методологию. В ней учтена передовая экспертиза Positive Technologies в области application security, а также лучшие российские практики и зарубежные наработки.

«Описанные в методологии практики и пути их реализации помогают бизнесу выстроить процессы безопасной разработки так, чтобы уязвимостей было меньше, их обнаруживали раньше, а исправление стоило дешевле и было проще. Компания может выполнить любой из этапов как полностью своими силами, так и с нашей помощью, чтобы гарантированно и максимально безболезненно для команды получить хороший результат», — рассказал Евгений Иляхин, архитектор процессов безопасной разработки Positive Technologies.


Скачивайте гайдлайн на сайте, а дальше... вы будете знать, что делать.

@Positive_Technologies

Читать полностью…

Пост Лукацкого

В сеть утекла запись разговора 📞 предположительно Владислава Бакальчука с «хакером», которого он нанял для взлома базы данных пользователей Wildberries 👨‍💻 Если верить записи телефонных переговоров человек, похожий на г-на Бакальчука, планировал отдать украденные данные на Украину и дестабилизировать работу крупнейшего маркетплейса страны 🛒

Как это должно было дестабилизировать работу маркетплейса лично мне не очень понятно, но вера во всемогущество хакеров, которые "могут все", даже поставить на колени самую богатую женщину страны, владеющую бизнесом в сотни миллиардов рублей, вызывает уважение 🫡 Стремление вернуть бизнес любыми средствами тоже 😈

Читать полностью…

Пост Лукацкого

Так выглядела презентация OpenAI перед запуском новой модели GPT-4o! 🧠 Вспомните этот слайд, когда в следующий раз вы будете мучаться над дизайном собственной презентации для выступления на совете директоров, на инвестиционном комитете или просто перед генеральным директором 😈 и просить ресурсы на ИБ.

Важно не то, какого размера кегль и сколько цветов спектра вы используете, а то, что будет написано на слайдах. В данном примере, "в 2 раза быстрее и на 50% дешевле" не нуждаются в пояснениях - цифры говорят сами за себя 👉

А в деятельности ИБ есть такие цифры, которые бы говорили сами за себя и были понятны неИБшной аудитории? Предотвратили хищений на ярд? Сократили lead time на 25% и ускорили time to market на 14%? Снизили время простоя на 37%? 🤏 Хороший контент в приукрашивании не нуждается (хотя и пренебрегать правилами подготовки презентации тоже не стоит, конечно)! 🎨

Читать полностью…

Пост Лукацкого

Я давно уже не пишу про различные слияния и поглощения на рынке ИБ 🤑 И про различные раунды инвестиций тоже. Все-таки в мире около 8000 тысяч компаний по ИБ и если писать про каждую, никакого блога не хватит. Но этот кейс я решил все-таки осветить, но немного в ином контексте. Речь о компании BlackCloak, основанной бывшим лидером по приватности (CPO) Королевского Банка Шотландии.

Они привлекли очередной раунд инвестиций для предоставления услуги моделирования угроз и защиты от дипфейков для топ-менеджеров компаний и советов директоров 🧐 По сути речь идет о сервисе киберконсьержей, о которых я уже писал, и в которых поверили инвесторы. Помимо упомянутых двух сервисов, BlackCloack также будет предлагать услугу реагирования на инциденты для высокопоставленных менеджеров 👨‍💻

Компания называет себя пионером в этой области, хотя это не совсем так. Но суть не в этом, а в том, что это достаточно новый и интересный сегмент рынка ИБ, который только развивается на Западе и совсем не развит у нас 😕 И это достаточно интересная карьерная возможность для развития CISO, которые чувствуют, что достигли своего потолка. Услуга эта не очень масштабируемая на мой взгляд, а значит всем найдется место под солнцем ☀️

Читать полностью…

Пост Лукацкого

Ассоциация менеджеров России и ИД "Коммерсант" опубликовали рейтинг Топ-1000 менеджеров, уже 25-й по счету. Появилась там и категория директоров по кибербезопасности!!! 😕

К рейтингам относиться можно по-разному - любить их или ненавидеть, повесить медаль на грудь или убрать в дальний ящик стола и идти продолжать работать. В данном рейтинге интересно другое - сам факт выделения CISO, как отдельной номинации. Это в первый раз когда директоров по ИБ оценивают 🧐 публично (разные конкурсы CISO среди CISO я не беру в расчет). А это говорит о том, что эта роль становится все более значимой в жизни многих предприятий. Да, как видно, пока не во всех отраслях даже тройку CISO удалось найти, но даже этот список из 25 человек достаточно интересен.

Так что поздравим коллег и пожелаем им не зазнаваться. А тем, кто пока в этот список не попал, есть куда стремиться (если, конечно, есть такое желание) 🎆

ЗЫ. Некоторые участники этого Топ25 у меня лично вызвали вопросы, так как они ну никак не могут быть отнесены к CISO. Ну да ладно.

ЗЗЫ. От 🟥 в Топ-1000 попало 5 человек - в категориях "генеральный директор", "коммерческий директор", "PR-директор", "директор по связи с инвесторами" и "директор по кибербезопасности" 💪🥂

ЗЗЗЫ. Еще меня занимает вопрос - куда делся 4-й номер в списке CISO в ИТ-компаниях?.. 🤔

Читать полностью…

Пост Лукацкого

Gartner тут разродился очередным обзором сценариев применения генеративного ИИ 🧠 в ИТ-службах компаний. Интересно, что обнаружение угроз и аномалий является самым ценным с наибольшего по сравнению со всеми числа преимущества - финансового, операционного и т.п. Правда, пока осуществимость этого сценария, как видно на видео, не очень высока, что связано с скептицизмом специалистов 🤷‍♀️ в аккуратности даваемых ответов, а также из-за боязни замены человека этим самым GenAI. Анализ логов при этом тоже востребован, но наименее ценен из всех. Поэтому эти два сценария не попадают в наиболее вероятные к применению.

Читать полностью…

Пост Лукацкого

Тут статья вышла - "10 вещей, которые стоит знать каждому CISO с самого начала", которая продолжает тему, начатую тут. Все пересказывать не буду, но десятку перечислю:
1️⃣ Технологии сами по себе не решат проблему. Ответственность CISO заключается не только в защите серверов, но и в обеспечении безопасности информации компании в целом. Это требует результативности в управлении процессами и людьми, а не только технологиями.
2️⃣ Адаптируйтесь к изменениям. Даже если в начале у вас есть четкий план часто приходится менять стратегии на ходу. Адаптация касается не только работы с угрозами, но и с внутренней культурой компании, где важно выстраивать доверительные отношения и управлять ожиданиями.
3️⃣ Ставьте разумные ожидания. Ни один CISO не может полностью предотвратить все киберинциденты. CISО не должны чувствовать себя единственными, кто несет ответственность за защиту компании. Результативность приходит через сильные процессы и хорошо подготовленные команды, а не через бесконечные ночные дежурства.
4️⃣ Не забывайте о базовых задачах. Кибербезопасность — это не только про передовые технологии. Это также про управление жизненными циклами, проверку инфраструктуры и создание устойчивых процессов.
5️⃣ Избегайте излишних технических деталей. CISO должны быть внимательны к тому, как они доносят информацию до своих коллег и руководства. Не все понимают технический жаргон и слишком сложные технические объяснения могут только запутать аудиторию. Сосредоточение на результатах и понимание контекста чисел помогает лучше донести важность тех или иных мер.
6️⃣ Не усложняйте работу сотрудникам. Одна из задач CISO — понимать бизнес в целом и находить баланс между безопасностью и удобством работы. Если протоколы безопасности становятся слишком сложными для сотрудников, это может навредить бизнесу больше, чем потенциальная атака.
7️⃣ Учитесь приоритизировать. С ограниченными ресурсами важно правильно расставлять приоритеты. Важно управлять своими ожиданиями и принимать тот факт, что бюджет никогда не будет достаточным для обеспечения полной безопасности. Поэтому необходимо сосредоточиться на тех вещах, которые принесут наибольший эффект от инвестиций в безопасность.
8️⃣ Образование и вовлеченность — ключ. Многие сотрудники не имеют глубоких знаний в области кибербезопасности. Это можно исправить с помощью регулярного обучения и повышения осведомленности, особенно в отделах ИТ.
9️⃣ Не будьте “плохим парнем”. CISO часто воспринимаются как люди, которые ограничивают свободу сотрудников из-за необходимости соблюдать меры безопасности. Поэтому важно выстраивать доверительные отношения и быть проактивным в общении с коллегами.
1️⃣0️⃣ Ставьте семью на первое место. Хотя работа часто определяет нас, важно помнить, что есть жизнь за пределами офиса. Не позволяйте работе мешать личным приоритетам.

Читать полностью…

Пост Лукацкого

АНБ, ФБР, Киберкомандование США выступили с совместным заявлением, что китайцы 👲 скомпрометировали 260 тысяч (по состоянию на июнь 2024-го) сетевых устройств, торчащих в Интернет, - рутеров, NAS, МСЭ, IoT-устройств и т.п. Цель сего непотребства понятна - нанести удар по американской демократии! 👊 Хотя в реальности, на скомпрометированные устройства из США приходится всего 48% от общего количества. Еще 8% располагаются во Вьетнаме (неожиданно). 7,2, 3,7 и 3,6 процентов соответственно располагаются в Германии, Румынии и Гонгконге. Среди других стран-жертв - Литва, Албания, Польша, Индия, Южная Африка, Бангладеш и т.п. России в списке нет, что говорит о том, что "русский с китайцем - братья навек" (но нет), или о том, что нас просто решили не включать в список 🇨🇳

За ботнетом, как считают, стоит китайская компания Integrity Technology Group (Integrity Tech), связанная с правительством Поднебесной 🇨🇳 Те же IP-адреса используются APT-группировками Flax Typhoon, RedJuliett и Ethereal Panda. Все индикаторы указаны в бюллетене, а в качестве защитных мер рекомендуются очевидные, но редко применяемые вещи:
1️⃣ Запретить неиспользуемые сервисы и порты
2️⃣ Сегментировать сети
3️⃣ Мониторить всплески и иные аномалии в сетевом трафике
4️⃣ Регулярно обновлять прошивки устройств
5️⃣ Заменить пароли по умолчанию
6️⃣ Регулярно перегружать устройства для удаления из памяти вредоносной нагрузки
7️⃣ Заменять устаревшее оборудование, выводя его из эксплуатации.

Читать полностью…

Пост Лукацкого

Если вдруг вы хотите узнать, к чему готовиться через 10 лет, и будет ли специальности ИБ востребована, то вот вам прогноз аналитиков, которые оценили Топ10 рисков (всех типов - стратегические, макроэкономические, операционные) в 2024 году и сделали прогноз на 2034-й 🔮 И мы видим, что риски ИБ выходят не просто на первый план, а прочно занимают лидирующую позицию среди всех рисков. На втором месте - нехватка и удержание кадров (ИБ-автопилот, привет) 🤖

Так что можно расслабиться, ближайшие 10 лет нашей профессии точно ничего не грозит! 🏝

Читать полностью…

Пост Лукацкого

И очередное доказательство, что для взлома 🔓 сегодня не надо обладать 0Day - просто смотри внимательно по сторонам и пользуйся моментом. Deloitte выставил сервак в Интернет с кредами по умолчанию. Как результат - утечка информации 🚰

Иногда кажется, вот выстрой работу с паролями и учетными записями, патчь своевременно хотя бы периметровые трендовые уязвимости и защитись от фишинга и все, никакие навороченные средства защиты будут не нужны. Но нет, это фантастика...

Читать полностью…

Пост Лукацкого

Чем хороша американская CISA? 🤔 Помимо всего прочего она обладает полномочиями по проверке защищенности американских государственных структур, чем она и пользуется с 2020 года. В прошлом, 2023 году, CISA провела 143 проверки и на днях поделилась результатами, спроецированными на матрицу MITRE ATT&CK 🤕 Сюрприза не получилось - в тройку основных векторов атак попали фишинг, использование украденных или подобранных учетных записей (посмотрите пример выше ☝️) и эксплуатация извне доступных уязвимостей. Эта тройка присутствует у всех тех, кто занимается аналитикой ИБ. Из полезного, CISA смапила используемые в атаках хакерами TTP на защитные меры, что позволяет американским госам сфокусироваться на том, от чего и как надо защищаться в первую очередь 🛡

Читать полностью…

Пост Лукацкого

Европейская ENISA выпустила отчет по угрозам за прошедший астрономический год - с июля 2023 по июль 2024. Нельзя сказать, что отчет прям изобилует какими-то откровениями, но все-таки Европа к нам близка и имеет смысл одним глазом посмотреть, что у них происходит. Я для себя выделил несколько интересных трендов:
1️⃣ Киберпреступники активно используют легальные сайты (LOTS) для скрытия своей активности и размещения там C2-инфраструктуры. Также они активно задействуют разрешенные каналы коммуникаций, такие как Telegram и Slack. Для скрытия своей активности также применяются техники маскировки и обхода механизмов обнаружения (LOTL).
2️⃣ ИИ используется не только для фишинга и скама, но и для генерации вредоносных PowerShell-скриптов.
3️⃣ Тактики и техники хактивистов начинают очень сильно походить на то, что делают и как действуют "государственные хакеры".
4️⃣ Рост услуг Malware-as-a-Service и DDoS-for Hire.
5️⃣ Россия опять во всем виновата 🇷🇺
Результат один - рост числа инцидентов на страны Евросоюза и спада пока не предвидится.

Из полезного в отчете, в приложении 1, приведен маппинг основных семи угроз в техники и тактики MITRE ATT&CK, с указанием мер нейтрализации (mitigation). Второе приложение маппит выявленные угрозы в защитные меры ISO 27001 и NIST CSF. Тоже полезно, если бы не чуть ли не полное перечисление защитных мер из упомянутых стандартов. Если бы ENISA выделила Топ10 защитных мер, дающих максимальный эффект при борьбе с выявленными угрозами... Но нет 😭

Читать полностью…

Пост Лукацкого

Хакерская группа NullBulge заявила, что похитила 1,1 ТБ данных из внутренних Slack-каналов компании Disney 🧜‍♀️, после чего компания приняла решение отказаться от использования Slack и искать альтернативные платформы для внутренних коммуникаций (как будто они лучше?) 🕊 Утечка включала в себя сообщения сотрудников, финансовую информацию и код различных разработок. NullBulge мотивировала свои действия протестом 👎 против использования Disney технологий искусственного интеллекта для создания контента (ну хорошо хоть не против роста выбросов CO2 из-за интенсивной обработки графики).

Но это не так интересно (постоянно всех ломают и крадут данные, прикрываясь красивыми лозунгами). А вот то, как произошел взлом, заставляет задуматься 🤔 Расследование показало, что злоумышленники скомпрометировали ноутбук разработчика Disney через установку видеоигры с бэкдором 👨‍💻 Комментаторы на форумах спрашивают: «Почему сотрудник мог войти в систему с личного и неуправляемого компанией устройства? Почему в Slack не было входа по MFA?» 🔠 Да, пофигу если честно. MFA не защищает от заражения, а если оно произошло, то не важно, сколько у вас факторов аутентификации. Все, хакеры имеют полный доступ над компьютером 🍑 Был бы там VPN-клиент - хакер бы или вредонос "пошли" бы по туннелю, как легитимное приложение. Как только вредоносное ПО попало на оконечное устройство, оно дало полный доступ ко всем данным, и даже MFA не может ничем помочь. И переход с Slack на любую другую систему, хоть VK Team или Mattermost не поможет 👎

А вот если бы там стоял EDR, то хакер бы ничего не мог сделать... Так можно подумать, но... 👎 EDR там стоял, судя по всему. В кейсе с CrowdStrike (а они совпали примерно по времени с взломом Disney) звучало, что анимационная студия была клиентом CrowdStrike и использовала ее ПО Falcon, которое, судя по всему, не смогло задетектировать специально подготовленное под конкретную жертву вредоносное ПО 🫢 Я про такое аккурат на днях в Новосибирске на PTD рассказывал.

Отсюда у меня несколько наводящих вопросов возникает: 🤔
1️⃣ А как вы защищаете личные ноутбуки разработчиков?
2️⃣ А личные ноутбуки разработчиков находятся под мониторингом SOC?
3️⃣ А как отделяется сегмент разработки от общекорпоративного сегмента?
4️⃣ А приложения для групповой работы взяты под мониторинг?
5️⃣ А для личных устройств разработчиков включен мониторинг по объему загружаемого и выгружаемого трафика?

А у вас есть ответы на эти вопросы? Я на Positive SOCcon попробую ответить на некоторых из них.

Читать полностью…

Пост Лукацкого

Недавно израильская хакерская группа под названием Red Evil (она же We Red Evils) 😈 взяла на себя ответственность за кибератаку на системы водоснабжения в Ливане, которые, по их утверждениям, используются боевиками Хезболлы. Взлом был направлен на SCADA-системы, управляющие 14 объектами, и целью было изменение уровня хлора в воде, что могло нанести ущерб людям, которые бы пили воды из отравленного источника питьевой воды 🚰 Однако, некоторые эксперты подвергают сомнению достоверность этих заявлений, ссылаясь на недостаток доказательств.

В другом своем сообщении "красные дьяволы" 🇮🇱 сообщают, что вывели из строя систему электроснабжения некоторых районов Бейрута - Дахайя, Сидон, Набатия, Захала и Бека, являющиеся опорными пунктами Хезболлы. Правда, в своих сообщениях они признают, что это оказалось не так разрушительно как предполагалось изначально и сбой продлился всего 2-4 часа. Правда, в условиях, когда многие жители Бейрута 🇱🇧 эвакуировались в Сирию или на север страны, ущерб оказался незначительным 💡

Одновременно с этим американской ИБ-агентство CISA вновь напомнило об угрозах для систем управления критической инфраструктурой, подчеркивая, что даже простые атаки могут быть эффективны против уязвимых объектов 💡 Эти предупреждения подчеркивают растущие риски для критической инфраструктуры, особенно в условиях, когда системы управления часто остаются недостаточно защищенными, а их владельцы не уделяют должного внимания вопросам ИБ (по разным причинам). Неслучайно у нас на днях приняли ПП-1281, которое меняет процедуру категорирования объектов КИИ, делая ее менее зависимой от самого субъекта и больше - от решения госорганов 🏭

Ну а АСУ ТП, которые обеспечивают управление критически важными объектами, такими как водоснабжение, канализация или энергосети 🔋, продолжают оставаться целью для хакеров, что было уже не раз продемонстрировано за прошедший год, когда число атак на АСУ ТП возросло многократно (например, позавчера упомянутый кейс в Арканзасе). Ну а кибератаки на КИИ в конфликте Израиля против Палестины, Ливана, Ирана, Йемена и других сочувствующих обеим сторонам государств только набирают обороты... 💥

Читать полностью…

Пост Лукацкого

В недавнем судебном разбирательстве федеральный судья отклонил патентные претензии 🤜 компании BitSight против конкурента Black Kite, касающиеся технологий оценки киберрисков. BitSight утверждала, что Black Kite нарушила её патент, однако суд постановил, что патенты охватывают абстрактные идеи, такие как сбор и анализ данных, и поэтому не подлежат защите 👩🏼‍⚖️ Тем не менее, претензии BitSight относительно ложной рекламы остались в силе, и судебное разбирательство в этой части продолжится. Данное решение является важным для индустрии киберрисков, где патенты и инновации играют ключевую роль в конкурентной борьбе.

Это судебное решение подчеркивает, что в быстро развивающейся сфере кибербезопасности защита интеллектуальной собственности может стать сложной задачей, особенно когда речь идет о методах, которые можно рассматривать как общие для всей индустрии. Для BitSight это решение означает необходимость пересмотра своей патентной стратегии и продолжение юридической борьбы за защиту своих интересов. А Black Kite празднует победу ✌️

Для российского рынка 🇷🇺 такие баталии пока недоступны - у нас мало кто патентует свои технологии, так как игроков достаточно мало, чтобы всерьез конкурировать. Хотя обвинения в краже технологий бывают (я помню около пяти кейсов на эту тему). Так что пока сидим в своей песочнице и смотрим на игры взрослых дядей и тетей со стороны. До поры до времени...

ЗЫ. Но мысль американского судьи, что в оценке рисков нет ноу-хау и все лежит на поверхности, мне близка 😊

Читать полностью…

Пост Лукацкого

Обложили со всех стороны... Уголовное наказание за публичное оскорбление представителя власти в интернете или СМИ может составить до двух лет лишения свободы 😡 Это следует из подготовленного проекта поправок к Уголовному кодексу РФ. Дожили. Про инциденты в ИБ- и ИТ-компаниях не пиши - они обижаются и жалуются на тебя начальству и запрещают выступать на их мероприятиях 😡 Про инциденты в крупных компаниях не пиши - они обижаются и топчут ножками 😭 Теперь еще и про чиновников, всякую чушь порящих и всякую херню принимающих (законопроекты, а не веселящие вещества), тоже писать будет нельзя под страхом уголовного наказания 👊 И куда деваться бедному блогеру?.. Уходить в подполье, развивать эзопов язык или прекращать творить?..

ЗЫ. Кто же этим чудакам всю правду теперь скажет-то?

Читать полностью…

Пост Лукацкого

Что-то давно у нас не было недопустимых событий ☺️

Читать полностью…

Пост Лукацкого

Назвать это "дорожной картой" у меня язык не повернется, но вот очередной картой компетенций инженера по ИБ, почему бы и нет... 🗺

Читать полностью…

Пост Лукацкого

Две новости про злых хакеров, атакующих американскую демократию, а точнее про последствия от этих инцидентов. В первом случае речь идет о медицинской компании из Пенсильвании, которая в прошлом году уже столкнулась с BlackCat 🐈‍⬛, которая украла фотографии пациентов с раком груди и скриншоты с диагнозами и выложила их на своем сайте. Компания согласилась выплатить 65 миллионов долларов штрафа за ущерб, нанесенный 134 тысячам пациентов и работников 🤑 На этом фоне штраф AT&T в 13 миллионов долларов выглядит "смешно".

Как это часто происходит, компания Delta Medix Group 🏥 (часть сети Lehigh Valley Health Network) после инцидента сразу заявила, что никакого ущерба нет, а посему платить выкуп вымогателям она не будет. Ну вот и результат. Согласно предварительному судебному решению (обратите внимание ⚠️ - под кейс был создан отдельный сайт), Lehigh Valley Health Network согласилась выплатить $50 каждому, чьи медицинские записи были украдены, $1000 - чьи записи были выложены в Интернет, $7500 - чьи необнаженные фото были выложены в Даркнете и от 70000 до 80000 долларов США тем, чьи обнаженные фото были опубликованы в даркнете 🩻

Адвокаты, представляющие интересы истцов, получат 21,5 миллион долларов или треть от общей суммы. Считается, что это кейс может стать крупнейшим коллективным иском в истории США. При этом, многие юристы отмечают, что этот кейс может стать первой ласточкой в череде аналогичных историй и такие выплаты станут нормой в юридической практике США 👩🏼‍⚖️

На этом фоне взлом системы водоочистки Арканзаса выглядит достаточно смешно 🚰 Городская администрация пишет, что они столкнулись с инцидентом, никто не пострадал, система работает в штатном режиме, ну а то, что систему перевели в ручной режим работы, так это ничего не значит, все для безопасности граждан 😇 Главное, чтобы через полгода-год не выяснилось, что в реальности все было не так и не администрации не пришлось бы платить кругленькую сумму в качестве судебного урегулирования. Хотя в данном случае они могут быть гораздо меньше - все-таки никакой обнаженки в системе водоочистки быть не должно 🤔

Читать полностью…

Пост Лукацкого

Завтра у меня выступление на Positive Tech Day в Новосибирске 🎤 Подготовил очередную нетленку по цепочкам атак, количеству шагов, которые нужны хакерам для проникновения и достижения ключевых ресурсов, про новые техники хакеров и вот это вот все... 🥷

Читать полностью…

Пост Лукацкого

В macOS Sequoia 📱 появилась функция iPhone Mirroring, которая позволяет не только видеть все, что происходит на смартфоне, но и управлять им с ноутбука. У меня возникает вопрос, можно ли в этом случае считать аутентификацию через OTP-приложение на смартфоне многофакторной 🤒, если оно доступно на том же устройстве, с которого я и получаю доступ к запрашиваемым ресурсам? Ведь в случае получения одноразового кода в SMS на смартфон, с которого получается доступ, аутентификация не считается многофакторной. Задумался 🤔

Читать полностью…

Пост Лукацкого

Нельзя приклеить к гусенице 🐛 крылья и заставить ее летать, как бабочка. Она должна измениться изнутри. Нельзя CISO навязать стремление быть бизнес-ориентированным - он должен дойти до этого сам! 🦋

Читать полностью…

Пост Лукацкого

Все пишут, что Телеграм 📱 обновил политику конфиденциальности и что специалисты мессенджера сделали поиск в мессенджере, которым злоупотребляли для продажи «нелегальных товаров», безопаснее 💪 Павел Дуров призвал сообщать о случаях, когда при поиске обнаружено «что-либо небезопасное или незаконное»! 🧑‍💻

Целиком и полностью разделяю желание Павла, если бы не одно "но" - сообщить об обнаружении чего-то незаконного российские пользователи не могут - соответствующий бот не работает в нашем регионе! 😕

ЗЫ. Спасибо подписчику, что обратил внимание на это расхождение слов и дела!

Читать полностью…

Пост Лукацкого

В iOS 18 и macOS Sequoia вместе приложения iCloud Keychain появилось новый парольный мессенджер Password. Ничего сверхествественного в нем нет и по сравнению с другими парольными менеджерами он выигрывает только своей интеграцией в экосистему Apple (если вы ничем другим не пользуетесь, то это прям хороший бесплатный выбор). Но я о другом 🧑‍💻

У меня Apple 📱 Password подхватил все используемые мной пароли и получилось немногим меньше полутысячи, из чего можно сделать несколько выводов:
🔤 Запомнить все пароли и держать их в голове невозможно! Конечно, если следовать совету использовать на разных сервисах разные пароли (я ему не следую, если что, хотя и разделяю служебные и личные).
🔤 Треть сохраненных учетных записей скомпрометирована. Критично ли это? Нет. Среди них нет ничего важного и ценного; часть вообще одноразовые учетные записи. Но это к разговору о том, что приоритизация играет важную роль.
🔤 Почти 600 запомненных беспроводных сетей. Если у вас включена функция автоматического подключения к известным сетям, то это дает возможность злоумышленникам заставить вас цепляться к фейковой точке доступа с сохраненным у вас SSID. Многие из них, кстати, легко угадываются или подбираются, если следить за жертвой в течение какого-то времени. Любимые кафе, гостиницы и отели, места отдыха или проведения конференций... Все эти Wi-Fi не меняют SSID годами и легко гуглятся.

Резюмируя, в теории управление паролями это просто и легко, а на практике многие такие советы не работают и требуют приземления на реальность.

Читать полностью…

Пост Лукацкого

Я в прошлом провел немало различных демонстраций средств безопасности и поучаствовал в демонстрациях, когда мне показывали разные средства повышения защищенности 🍬 И могу сказать, что нередко вендор идет по четкому сценарию, которые подсвечивает его сильные стороны (что неплохо), но замалчивает слабые, а то и вовсе скрывает их. Поэтому заказчик, который хочет увидеть приобретаемое решение без прикрас, должен сам определять, чтобы он хотел увидеть, какие сценарии ему интересны и с чем он постоянно сталкивается 🧑‍💻 И этот список надо сгружать в вендора/интегратора, чтобы они показали то, что нужно ему, а не производителю.

На втором этапе можно потестить решение уже самостоятельно (это еще не пилот). И чтобы не разворачивать решение у себя и не тратить на это ресурсы, можно использовать что-то типа уже упоминаемого мной сервиса CISA или Cisco dCloud. Например, можно попробовать себя в симуляторе Standoff Cyberbones. А уже потом можно и на пилот заходить. А то поведешься на демонстрацию, как на видео, и в реальной жизни можно столкнуться с неприятной ситуацией, когда продемонстрированное не полностью соответствует ожидаемому 😵

Читать полностью…

Пост Лукацкого

Исследователи Huntress предупреждают: строительные (нероссийские) компании 🏗 подвергаются атакам из-за уязвимостей в серверах, использующих программное обеспечение Foundation для бухгалтерского учета. Проблема в том, что MSSQL-сервер, используемый этим ПО, часто выставлен в интернет для мобильного доступа через порт TCP 4243 🚠 Многие пользователи не меняют стандартные административные пароли (sa и dba), что делает их легкой мишенью для хакеров, которые могут запустить хранимую процедуру xp_cmdshell, включенную по умолчанию в MSSQL. Ну а дальше по накатанной - запуск команд ОС из MSSQL и развитие атаки по внутренней инфраструктуре 🔓

Чем опасна эта история? Обычные попытки подбора пароля оставляют яркий след в логах или сетевом трафике (например, вот в этом исследовании 🟥 об этом также говорится), а вот использование учеток с известными паролями - это обычное событие, которое не вызывает тревоги и не является аномалией, что позволяет ему часто оставаться незамеченными в течение длительного времени

Так что рекомендации простые: ✍️
🔤 Меняйте пароли, заданные по умолчанию
🔤 Ограничивайте доступ к приложениям из Интернета и используйте сервиса класса EASM для анализа внешней площади атаки.
🔤 На МСЭ настраивайте детальные правила доступа для каждого приложения, которому нужен доступ в Интернет (направление трафика, кто может инициировать запросы, время доступа и т.п.).
🔤 Отключайте ненужные сервисы внутри приобретенных приложений и сервисов, особенно если они базируются на базе чего-то популярного и известного.
🔤 Мониторьте!!! Результативность в кибербезопасности достигается через постоянное изучение происходящего и улучшение защитных механизмов.

Читать полностью…

Пост Лукацкого

По уже сложившейся традиции в преддверии московского SOCtech и минского SOCcon (страницу пока не обновили) буду немного постить всякого про SOCи. Вот тут наткнулся на статью про 7 антипаттернов/ошибок, которые совершают даже лучшие команды SOC:
1️⃣ Секреты от коллег. Недостаточный обмен данными с другими отделами, отсутствие нормальных коммуникаций.
2️⃣ Сбор данных вместо обнаружения. Фокус на сборе данных, а не на их анализе и получении реально полезных результатов.
3️⃣ Полагание только на сетевые данные. Ложное предположение, что важны только сетевые данные для выявления атак, и забывчивость в отношении других источников событий ИБ.
4️⃣ Предвзятость “Не наше”. Слишком частое создание собственных, кастомных решений, сигнатур, запросов, пакетов экспертизы вместо использования готовых, коммерческих.
5️⃣ “Синдром блестяшек". Излишнее увлечение продвинутыми решениями вместо внедрения хотя бы базовых.
6️⃣ Один инструмент для всего. Ожидание, что одно решение (например, SIEM, XDR и т.п.) решит все проблемы.
7️⃣ Изобилие инструментов. Слишком много инструментов без их интеграции.

Читать полностью…
Подписаться на канал