Пост Лукацкого

08 февраля 2023 05:40

"Сколько человек нужно в SOCе?" Этот вопрос я услышал на этой неделе трижды (а ведь сегодня только среда). Поэтому я подумал, что это знак и на этот вопрос надо ответить. Итак, есть ли какое-то магическое число, на которое надо ориентироваться, строя свой центр мониторинга ИБ? Сразу отвечу: «Нет!» И вот почему.

Пост Лукацкого

07 февраля 2023 17:40

Оценка себестоимости и рентабельности Petya и его успешности во время атак на Украину в 2017-м году… Расчет делается из предположения, что за атакой стоят финансово мотивированные, а не государственные хакеры

Пост Лукацкого

07 февраля 2023 13:02

🔥 В этом году у нас большие планы по развитию Standoff, и сегодня мы начинаем кастинг на роль контент-мейкера для наших мероприятий и соцсетей 📸

Нам нужен человек, который станет образом и голосом Standoff, и будет вносить свой творческий вклад в разработку и запуск видео разных форматов. Так что, если тебе интересна сфера ИБ, ты не боишься камеры, а ещё и умеешь пилить тиктоки, – ты наш кандидат. Понимание специфики ИБ будет плюсом, но не станет решающим критерием при выборе победителя.

Чтобы поучаствовать в кастинге, до 21 февраля заполни короткую гугл-форму.

Авторы десяти лучших видео будут приглашены на финальный этап в Москву. Победитель получит постоянную работу в команде, максимальный простор для творческой самореализации и поддержку самых смелых идей 🥊

Мы в Standoff за равные возможности, поэтому никаких ограничений по полу, возрасту, ориентации и музыкальным предпочтениям кандидатов у нас нет.

Пост Лукацкого

07 февраля 2023 12:34

Учет уголовного наказания в формуле прогнозирования кибератак может и имеет смысл, но как быть с теми нападающими, кто делает это из-за рубежа и кому никакая статья 272-274 не страшна? А таких сейчас большинство.

Пост Лукацкого

07 февраля 2023 05:40

Интересно, когда хакеры выбирают свои жертвы, они тоже оценивают функцию полезности? Но я бы посмотрел, как хактивизм и атаки с 24-го февраля укладываются в эту формулу… 3 из 6 параметров не имеют смысла, а один не применим.

Сегодня у нас будет опять книжный день... И несколько последующих скриншотов будут показывать вычисление элементов функции полезности при реализации кибератак.

Пост Лукацкого

06 февраля 2023 17:40

Компании все чаще указывают хакеров и кибератаки в качестве причины неработоспособности своих услуг. Сегодня уже и не поймешь - они так скрывают иные причины своего головотяпства или и правда столкнулись с недопустимыми событиями виртуального мира.

Пост Лукацкого

06 февраля 2023 12:11

Вот именно поэтому я не очень верю в способность РКН сделать хоть что-то полезное и осмысленное для защиты персональных данных и прав их субъектов.

Решение о блокировке форума, публикующего утечки ПДн, принято в марте 22-го года. Сайт заблокирован судом 31-го января 23-го года (не спрашивайте, почему между этими событиями 10+ месяцев; отставить шутки про «Почту России»). Вы думаете сайт теперь недоступен? Хренушки - все работает, как и раньше. Зато можно отчитаться, что граждане России защищены.

Не удивлюсь, если после принятия закона об оборотных штрафов и уголовной ответственности за незаконный оборот ПДн неустановленные лица (админы форума) будут оштрафованы и заочно арестованы. И кого волнует, что все это только на бумаге. В палочной статистике это будет подано как победа над врагами!

Вместо того, чтобы заняться нормальным правоприменением (кстати, что там с расследованием утечки из ГРЧЦ; вышли на самих себя?), регулятор занимается строительством воздушных замков.

Пост Лукацкого

06 февраля 2023 05:40

Обзор 12 онлайн-курсов по ИБ (многие бесплатные, но все на английском) с получением сертификатов по окончанию

Пост Лукацкого

05 февраля 2023 17:49

Зачем писсуару SD Card? Они бы еще TouchID туда встроили. Бездумная автоматизация и интернетовещейоснащение…

Пост Лукацкого

05 февраля 2023 13:19

Конфликты, они всегда одинаковы, что физические, что виртуальные. Один думает, что он прав, другой - что он сильнее. А сгорают в итоге оба ;-(

ЗЫ. Бардин все-таки гениальный мультипликатор.

Пост Лукацкого

05 февраля 2023 07:40

Сегодня у нас опять книжный день. Купился на аннотацию еще одной отечественной книжки, в которой рассказывалось о SOCах в КИИ, мониторинге ИБ в КИИ и т.п. Вот такой типовой SOC предлагается строить - все на нейросетях… но немного умалчивается момент, связанный с обучением нейросетки. Где взять реальные события для обучения? Список датасетов в приложении к книге есть, но он немного устаревший и совсем неполный - обучить на нем современный SOC невозможно ☹️

Пост Лукацкого

04 февраля 2023 17:27

Челядь самарского губернатора Дмитрия Азарова сообщила о взломе портала с отчётом об исполнении самарской «Народной программы» «Единой России». Экстравагантное заявление о порче базы данных появилось после того, как выяснилось, что портал набит мусором. В буквальном смысле – случайными числами и стоковыми картинками. Бесстыжую халтуру Дмитрий Азаров богато продал Андрею Турчаку («только в Самаре», «уникальное», «выполнено 5400 объектов» и т.п.). После фотосессии с планшетом (лица мыслителей, думы о народе, бровки домиком) самарский фуфел был рекомендован Турчаком к повсеместному внедрению.
Тем временем объявлена премия 100 тыс. руб. тому, кто найдет азаровскую Народную программу - 2018. В неё, якобы, внесены 340 тыс. предложений от 205 тысяч граждан. Парадоксальным образом программы нет на «взломанном» портале с отчётом о её исполнении, а на месте портала для сбора предложений – реклама казино. Исчезло и приложение «Мы вместе», которое по заказу Департамента управления делами Азарова было разработано за неделю и 24 млн.руб. бывшим продавцом М-Видео.  Как, впрочем, нет и никаких следов того, что кто-либо интересовался Народной программой - 2018 до губернаторских выборов - 2023. Из 205 тысяч граждан телеграмм-каналом Народной программы заинтересовалось 84 человека. Её «уникальный информационный портал» имеет нулевую посещаемость и по какой-то необъяснимой причине не образует единое целое с официальным сайтом «Единой России». Обвинить хакеров в отсутствии интереса к продуктам губернаторской жизнедеятельности сложно. Поэтому стоит задуматься о том, насколько народной оказалась азаровская Народная программа - 2018. Если она вообще когда-либо существовала кроме как медийный фантом.  

Пост Лукацкого

04 февраля 2023 13:06

ФБ напомнил, что 10 лет назад я задавался сакраментальным вопросом, который в неизменном виде могу снова задать и сейчас. Все-таки есть стабильность у нас в стране, есть…

Пост Лукацкого

04 февраля 2023 09:40

Не работала учетка ребенка в школе. Написал в поддержку, получил гениальный ответ!

Пост Лукацкого

03 февраля 2023 20:32

Регулярно стал видеть такое в соцсетях. Будьте бдительны - включите хотя бы двухфакторную аутентификацию!

Пост Лукацкого

07 февраля 2023 20:12

Результат прогнозирования кибератак на кредитно-финансовые организации России, опираясь на формулы, которые авторы книги разработали в рамках своей методики. Все хорошо, но попытка применить все тоже самое, но для других отраслей, разбивается об отсутствие исходных данных (для финансовой отрасли данные брались от ФинЦЕРТа). И используемые данные Генпрокуратуры не настолько репрезентативны даже для КИИ, не говоря уже о других отраслях

Пост Лукацкого

07 февраля 2023 15:07

Оценка полезности инноваций… Авторы предлагают таким образом оценивать покупку хакерами в Даркнете новых вредоносных утилит и инструментов. Не исключаю, что оценка полезности проводится, но вряд ли она так формализована...

Пост Лукацкого

07 февраля 2023 13:02

За то, что я репостнул эту вакансию, меня обещали пригласить на кастинг! Шутка. Наверное. Или нет?..

Пост Лукацкого

07 февраля 2023 09:09

На тангенсе угла наклона прямой при прогнозировании компьютерных атак я завис…

Пост Лукацкого

06 февраля 2023 20:18

Что курил автор, который сравнил криптографический хэш с американским блюдом хашбраун?

Пост Лукацкого

06 февраля 2023 14:31

Лучшие практики ИБ - это такая засада. Все на них пытаются ориентироваться, все их упоминают, но когда начинают реализовывать, оказывается, что это либо "мировые рекорды", которые или нужны не всем или требуют неимоверных усилий для достижения. А потом выходит Тинькофф, Яндекс, Киви и рассказывают, что у них вообще все не так...

Пост Лукацкого

06 февраля 2023 08:57

К разговору о том, что ИБ - это не только технологии и оргмеры, но и другие задачи, под которые тоже нужны люди. В российских компаниях (правда, немаленьких), в их службах ИБ, уже появляются новые должности, о чем и написал в блоге

Пост Лукацкого

05 февраля 2023 19:45

«Исчерпывающе описано конечным числом первых событий…» Нууу, такое… Посмотрел бы я на современное ИТ-решение, которое имеет конечное число состояний и событий и для которого исключены недокументированные возможности. Возможно, где-то в теории такое и существует, но вот на практике…

Пост Лукацкого

05 февраля 2023 15:34

Похоже, что авторы вместо КИИ по закону рассматривают КИИ по смыслу. Ну как всерьез можно утверждать, что для какой-нибудь почтовой системы районной поликлиники недопустимы остаточные риски (а это тоже КИИ)? Само упоминание недопустимости событий мне импонирует, но вот вывод… Это для какой-нибудь системы управления прохождением нефтепродукта по трубопроводу можно всерьез рассматривать, что остаточные риски недопустимы; и то с оговорками. Даже для АЭС есть остаточные риски, вполне себе допустимые.

ЗЫ. Это в теории нет разницы между теорией и практикой. А на практике есть.

Пост Лукацкого

05 февраля 2023 11:14

Книга предлагает за счет асимптотического повышения уровня защищенности стремиться к идеальной ИБ. Уже одно это утопия, но на ней построена вся книга. Но это и удобно. Не надо разбираться в реальной работе SOCа и его компонентов. Достаточно сказать, что мы идем к идеалу "как должно быть". Поэтому можно приводить вот такие формулы оценки качества детекта…

Пост Лукацкого

04 февраля 2023 20:08

Ода режиму шифрования ECB (Electronic Code Book)

Пост Лукацкого

04 февраля 2023 15:00

Для обхода санкций и возможности доступа к ресурсам Сбера с зарубежных браузеров банк стал использовать «неофициальные» домены, например, securecardpayment[.]ru и secure-payment-way[.]ru. Оно и понятно - бизнес есть бизнес и терять клиентов никто не хочет. Но тут мы видим прямое нарушение рекомендации, которую ИБшники дают уже много лет, - проверяйте домены, на которые ходите. А тут как быть? Вот, например, скриншот фишингового домена microsoftidentity[.]dev для аутентификации в сервисах Microsoft.

Пост Лукацкого

04 февраля 2023 11:11

OSC&R (Open Software Supply Chain
Attack Reference) - база знаний, описывающая тактики, техники и процедуры, используемые злоумышленниками для атак на цепочки поставок программного обеспечения.
Структура фреймворка OSC&R аналогична MITRE ATT&CK. Разработана бывшими и действующими сотрудниками Gitlab, Microsoft, Google Cloud, Check Point и OWASP.

Пост Лукацкого

04 февраля 2023 07:40

Слабый пароль в GitHub теперь считается как CVE? Вы серьезно? Я таких CVE тысячами могу нагенерить!

Пост Лукацкого

03 февраля 2023 17:40

Дорвался я что-то до отечественной ИБ-литературы (что книги, что диссертации)... Ох, зря... Но тут я не мог пройти мимо, все-таки темой SOCов я занимаюсь давно, а тут прям целая книга, да еще и с научными основами. Дай, думаю, просвещусь. Вообще, всегда удивлялся писучести ВУЗовских преподавателей. Строчат книги пачками; когда только успевают студентов учить... Ну да ладно, к книге.

Скажу честно, не зашло. Вот вообще. Ни научной ценности не увидел, ни практической. Построить даже SOC, не говоря уже о ЦПК (отличие в фокусе на предотвращении, а не мониторинге, но не суть), по этой книге нельзя. Даже высокоуровневая архитектура SOC нормально не описана; не говоря уже о низкоуровневой. Из нескольких десятков процессов SOC худо-бедно описаны 4 (и то есть вопросы). Модель зрелости SOC упомянута, но не описана. Технологический стек ограничивается преимущественно SIEM и ЖРС (это Log Management по-русски). Раздел про SIEM 3.0 убил окончательно - предлагается строить совершенные SIEMы на базе блокчейна (я бы посмотрел хотя бы на прототип системы, которая осуществляет запись в блокчейн хотя бы нескольких миллионов событий в сутки, не говоря уже о миллиардах). Утверждается, что даны вербальные описания ключевых индикаторов компрометации, но я их не нашел 🙁 Практические основы работы с источниками телеметрии?.. Нет. Use cases, плейбуки, RE&CT?.. Нет, не слышали.

Окончательно гвоздь в крышку ⚰️ забил раздел про практическую значимость книги и указание примеров организаций, в которых якобы было проведено внедрение в промышленную эксплуатацию описанных в книге результатов исследований. Но так получилось, что я в курсе того, как строилась система мониторинга в как минимум двух упомянутых автором солидных организациях. Там описанного в книге нет 🙁 А вот с тем, что материалы книги нашли свое отражение в ФГОСах 3 и 3+ по ИБ, верю.

Вообще все очень поверхностно - даже обидно при таком количестве свободно находимой в Интернет литературе. Я даже не говорю о минимум десятке книг по SOCам (именно по SOCам, а не по отдельным его процессам - реагирование, TI, аналитика, визуализация и т.п.; в этом случае только книг было бы под сотню), которые были выпущены за последнее время. Статей, WP и брошюр по теме еще больше. У меня только в электронной библиотеке таких, с любовью собранных и отсортированных, материалов 800+. То есть даже ради списка литературы книгу я бы не рекомендовал (хотя обычно у пишущих вузовских преподавателей самое ценное в книгах это именно этот раздел).

ЗЫ. А может просто это зависть во мне говорит, что я не книг давно не выпускал, ни диссер так и закончил (хотя дважды брался)? Мне тут предъявили, что я критикую одно ИБшное мероприятие потому что меня в программный комитет не позвали... Пойду к коучу-психотерапевту на сессию запишусь - может он мне подскажет, что ж я все критикую-то. Может проблема с ИБ все-таки не вокруг, а во мне?