alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Ура, день не пройдет зря, так как сегодня празднуется день рождения закона “О безопасности критической информационной инфраструктуры” (2017), а также день рождения закона “О персональных данных” и закона “Об информации, информационных технологиях и защите информации” (2006)

Читать полностью…

Пост Лукацкого

Исследование "Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients" демонстрирует, что в результате атак шифровальщиков на медицинские учреждения 🏥 в США снижается не только число госпитализаций на 17-25% в первую неделю после атаки, но и доходы больницы снижаются на 19-41% 💸

Самое печальное, что шифровальщики увеличивают смертность пациентов 🤕, уже находящихся в стационаре минимум на 20,7%. Максимальное значение достигает 55,3%, что зависит от серьезности инцидента. Необъяснимо, но факт, - почему-то у чернокожих американцев смертность в подвергшихся шифровальщикам больницам выше - до 61,8-73% ⚰️

ЗЫ. В США от атак шифровальщиков пострадало 4% больниц 🤒 и умерло от 42 до 67 человек

Читать полностью…

Пост Лукацкого

Эль «Майский баг» 🥂 К вечеру пятницы готов. А ты? 🫵

Читать полностью…

Пост Лукацкого

Как CISO измеряют эффективность своей программы ИБ? Финансовый показатель (стоимость защиты vs размера потенциальных потерь) находится на втором месте с конца по популярности, опережая только % систем с актуальной базой антивирусных сигнатур. На первых 8 местах этой десятки:
1️⃣ Динамика инцидентов ИБ
2️⃣ Временной интервал между обнаружением и устранением уязвимостей
3️⃣ % кликов по фишинговым сообщениям
4️⃣ Медианное время реагирования на инциденты (MTTR)
5️⃣ Медианное время обнаружения инцидента (MTTD)
6️⃣ % сотрудников, прошедших тренинги ИБ
7️⃣ Число проведенных оценок рисков
8️⃣ Число заблокированных угроз (это почти как "нейтрализовано 600 миллионов DDoS-атак").

Читать полностью…

Пост Лукацкого

Проводили тут бизнес-завтрак с финансовыми директорами в Кибердоме. Говорили о наболевшем, о том, как CFO смотрят на кибербез и его финансирование 🤑 Дискуссия началась с фразы, которая прозвучала на жалобу, что ИБ мало выделяют ресурсов:

Как объясняют, так и получают!


И статистика сегодня и вчера это лишний раз доказывает. "Финикам" не интересны все эти ландшафты угроз, политики ИБ, оценки уязвимостей, временные параметры инцидентов и т.п. Они далеки от всего этого. Вопросы возврата инвестиций, которые им интересны, используются всего в 18% случаев, а воздействия на бизнес и того реже - в 12% случаев. О чем же пишут CISO, когда используют бизнес-фокус в своих отчетах? ✍️
1️⃣ Снижение рисков (количественная оценка)
2️⃣ Способствование бизнес-инициативам
3️⃣ Метрики воздействия на бизнес (ущерб)
4️⃣ Снижение издержек и экономия
5️⃣ Рост лояльности заказчиков и снижение их текучки
6️⃣ Эффективность реагирования на инциденты
7️⃣ Рост продуктивности
8️⃣ Влияние на стоимость киберстрахования
9️⃣ Рост зрелости.

Это соотносится с тем, что звучало у нас на бизнес-завтраке ☕️

Читать полностью…

Пост Лукацкого

Мне кажется, хакерам 🥷 сопредельного государства надо быть благодарным за то, что они улучшают имидж ФСБ, делая своими "письмами/приказами" эту структуру более открытой и повернутой лицом к бизнесу. Я бы хакерам грамоту от имени директора ФСБ выдал. Но так как они не очень любят шумиху и официоз, то они могут и сами эту грамоту приобрести; на Авито 😂

ЗЫ. На фото фейк, если вы не понял. Спасибо подписчику, приславшему этот не очень качественный образчик хакерских проделок. Прежний и то выглядел профессиональнее.

Читать полностью…

Пост Лукацкого

Еще несколько лет назад считалось, что в большинстве случаев CISO подчиняется CIO, а ИБ рассматривается как функция ИТ. Но вот свежее исследование показывает, что все немного не так 🤷

CISO подчиняется ИТ уже не в 3/4 случаев, а всего в одной четверти. В каждом пятом случае подчинение идет сразу под генерального директора 🧐 Еще в 16% главный ИБшник рапортует техническому директору. Но в почти 40% случаев CISO находится по финансовым директоров, главным юристом и даже CPO, а также иными топ-менеджерами 😕

Читать полностью…

Пост Лукацкого

CrowdStrike направил пострадавшим от пятничного сбоя письмо с промо-кодом на карточку Uber Eats (сервис доставки еды) 🍔 стоимостью 10 долларов в качестве извинений за ту головную боль, которую принес инцидент. Но случился очередной конфуз - некоторые карты оказались недействительными, а в качестве причины было написано, что "карта была отменена выпустившей стороной и больше не действительна" 👋

А пока одно подразделение CrowdStrike готовится разгребать еще и этот удар по репутации, другое наконец-то пояснило, что же все-таки произошло и почему обновление контента обнаружения накрыло несколько миллионов компьютеров синевой. Если кратко, то ситуация такова ✍️

У CrowdStrike есть два вида обновления - Sensor Content и Rapid Response Content. Sensor Content содержит различные функции для обнаружения угроз и реагирования на них 🛡 Он включается в обновления сенсоров CrowdStrike и содержит модели машинного обучения, разработанные для длительного использования и обнаружения широкого спектра угроз и их семейств. Все функции проходят тщательную оценку, включающую автоматизированное и ручное тестирование, а также проверку и развертывание в тестовом окружении 👨‍💻

Процесс начинается с автоматизированного тестирования, включая юнит-тестирование, интеграционное тестирование, тестирование производительности и стресс-тестирование 🔄 Затем обновления выпускаются поэтапно: сначала тестируются внутри компании, затем у ранних пользователей, и наконец становятся доступными всем клиентам. Клиенты могут выбирать, какую версию сенсора (N, N-1 или N-2) установить через политику обновлений 🆕

Rapid Response Content используется для сопоставления поведенческих шаблонов на сенсоре. Это бинарный файл. Он позволяет выявлять и предотвращать угрозы без изменения кода сенсора и поставляется как экземпляры шаблонов, которые соответствуют конкретным поведениям чего-то вредоносного для наблюдения за ним, его обнаружения или предотвращения 🔓

Rapid Response Content обновляется через конфигурационные файлы системы Falcon. Экземпляры шаблонов создаются, проверяются и развертываются на сенсорах через так называемые файлы каналов. Сенсор интерпретирует (вот это самое важное) эти файлы для обнаружения и предотвращения вредоносной активности 🗡

19 июля 2024 года было развернуто два новых экземпляра шаблонов. Из-за ошибки в валидаторе контента один из экземпляров был принят, несмотря на наличие "проблемных данных". Это вызвало ошибку чтения памяти, выход за ее границы, что и привело к сбою операционной системы Windows (BSOD) 🪟

Читать полностью…

Пост Лукацкого

Ну вот что за шовинизм в ПП-1272 о заместителях руководителей организаций, ответственных за кибербезопасность, и разработанного во исполнение 250-го Указа Президента? 👵 Почему вдруг в тексте появляется слово "он", хотя речь идет о лице, то есть должно быть "оно"? Это что, теперь, если буквально трактовать Постановление Правительства, женщина не может быть замом гендира по ИБ? Непорядок! 💍

Читать полностью…

Пост Лукацкого

Компания Dragos опубликовала исследование нового, уже 9-го специализированного вредоносного ПО для промышленных сетей 🏭, которой она назвала FrostyGoop. Это первый вредонос, который использует Modbus TCP для реализации недопустимых событий (обнаруженный в 2022-м году PIPEDREAM также использовать Modbus TCP, но для инвентаризации промышленных устройств) 🪫

Служба безопасности Украины сообщила, что нынешней зимой это вредоносное ПО было задействовано в кибератаке, которая привела к двухдневному отключению отопления и электричества в 600 домах во Львове, управляемых контроллерами ENCO 🔋 Общее число пострадавших составило около 100 тысяч человек. Несмотря на заявления СБУ Львовтеплоэнерго поспешил сообщить, что "последствия были быстро нейтрализованы и работа сервисов восстановлена" (а что еще могла сказать пострадавшая компания?).

По данным Dragos, которая никак не атрибутирует данный вредонос (хотя и неявно намекает), антивирусы его не детектируют и настойчиво рекомендуется использовать системы мониторинга безопасности в промышленных сетях и АСУ ТП 🔍

Читать полностью…

Пост Лукацкого

Вот когда от аналитиков SOC понадобится более быстрая реакция, а время детекта будет измеряться не минутами, а секундами или даже долями секунд, тогда надо будет и такие тесты включать в программу подготовки аналитиков SOC! 🔍

Читать полностью…

Пост Лукацкого

Тут в одном отчете наткнулся на интересный список вопросов, которые топ-менеджеры 🧐 задают своим CISO.
1️⃣ Управление рисками и готовность к инцидентам ИБ:
Мы защищены?
Мы готовы к тому, чтобы справиться с инцидентами ИБ?
Каково текущее состояние нашей безопасности?
Каковы наши реальные приоритеты в области управления рисками ИБ?
Как мы решаем вопросы остаточных рисков?
Какие новые угрозы возникают, и готовы ли мы с ними бороться?
Как внешние инциденты влияют на нашу способность управлять рисками и защитные меры?
Какой из проектов, над которыми вы работаете, окажет наибольшее влияние на улучшение состояния ИБ?

2️⃣ Процессы:
Соответствуем ли мы отраслевым стандартам?
Что мы не делаем?
Как мы можем ускорить исправление уязвимостей и улучшить показатели Click-to-Rate в борьбе с фишингом?
Достаточно ли мы используем возможности автоматизации?
Как мы вы можете доказать, что мы улучшили нашу безопасность?
Как совет директоров может помочь программе безопасности?

3️⃣ Бизнес:
Мы помогаем решать задачи ИБ для клиентов и поставщиков?
Мешает ли обеспечение безопасности другим бизнес- или IT-инициативам?
Каковы бизнес-преимущества и негативные последствия от нашей программы кибербезопасности?

4️⃣ Соответствие требованиям:
Насколько мы соответствуем требованиям законодательства?
Есть ли новые требования законодательства, о которых нам нужно знать?

5️⃣ Ресурсы:
У нас есть ресурсы, необходимые для обеспечения ИБ?
Как мы можем продемонстрировать ROI, чтобы обосновать увеличение штата?
Достаточно ли мы инвестируем в нужные инициативы по кибербезопасности?

А вы готовы ответить на эти вопросы? А вдруг вас спросят?! 🫵

Читать полностью…

Пост Лукацкого

По мере расширения сферы импортозамещения у нас будет меняться не только ландшафт применяемого ПО, но и уязвимости у нас со всем миром скоро будут разные 🤜 Если не все, то их часть точно. И так как ежедневно (на текущий момент) обнаруживается 115 уязвимостей в день, то надо их каким-то образом приоритизировать. Есть куча стандартов и фреймворков для описания этого процесса, но один из достаточно простых способов - ориентироваться на так называемые трендовые уязвимости 🗡

Но... трендовая уязвимость - понятие не универсальное. У нас 🇷🇺 это один перечень, в США 🇺🇸 другой, в Китае 🇨🇳 третий. Поэтому нужно оценивать трендовость там, где у вас точки присутствия. Есть, например, проект https://cvecrowd.com, который собирает уязвимости, активно обсуждаемые в Fediverse (это набор соцсетей, которые умеют коммуницировать друг с другом по общим протоколам, самой популярной из которых является Mastodon). Раньше еще был схожий проект https://cvetrends.com/, но из-за ограничений по работе с API Twitter, он умер 📱 Есть каталог KEV от CISA, который ориентирован на американский ИТ-рынок. В России есть регулярная публикация трендовых уязвимостей от Positive Technologies 🟥, а есть список наиболее опасных уязвимостей от ФСТЭК (правда, тут не совсем трендовые, а просто дыры с высоким CVSS).

Вроде это (ориентация на локальный список трендовых уязвимостей) очевидно, но я решил все-таки об этом напомнить. Тем более, что в CVE вряд ли будут попадать уязвимости отечественных ИТ-продуктов и ориентация на зарубежные списки приоритетных уязвимостей может увести нас по ложному следу 👣

ЗЫ. А вообще я скоро выложу обзор полутора десятков методов приоритизации уязвимостей, который я готовил для портала "Резбез" и мне надо было просто его прорекламировать ☺️

Читать полностью…

Пост Лукацкого

Обновил заметку про обучение аналитиков SOC, добавив еще два курса для специалистов по мониторингу, которые можно пройти в России 🧑‍💻

Читать полностью…

Пост Лукацкого

Правильный ответ вчерашнего утреннего квиза - Panasonic. Да, когда я это узнал, а это данные патентного бюро Японии за период с 2000 по февраль 2024 года, я тоже был удивлен 😳 Но в реальности, у них действительно много всяких проектов вокруг Internet of Things, где они что-то делают с точки зрения ИБ. Например, VERZEUSE™ for Runtime Integrity Checker для защиты автомобилей 🚗 от кибератак. Есть решения для безопасности цепочек поставок и т.п. Всего 2️⃣6️⃣2️⃣0️⃣ патентных заявок!!!

Допускаю, что там много всякой мелочевки среди этих двух с половиной тысяч заявок, но патентование - это важная штука для международных компаний ☝️ Лучше уж затраты на патент, чем на патентных троллей или конкурентов, обвиняющих тебя в краже интеллектуальной собственности, как в недавнем кейсе Wiz, которую хочет купить Google за 20+ миллиардов долларов (и кто знает, как судебное разбирательство Wiz и Orca повлияет на эту сделку) 🌐

Читать полностью…

Пост Лукацкого

В чатиках прайвасистов все отмечают день рождения 🎏 закона "О персональных данных". А я напомню, что и законы "Об информации, информационных технологиях и защите информации" и "О безопасности критической информационной инфраструктуры" тоже празднуют свои дни рождения 27 июля! 🗓

Читать полностью…

Пост Лукацкого

Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike: 🦅
1️⃣ От инцидента пострадало 25% компаний из Fortune 500, хотя CrowdStrike заявляла о том, что в ее клиентах числится не менее половины Fortune 500.
2️⃣ Самые пострадавшие отрасли - авиация, здравоохранение и банки. При этом по мнению Parametrix среди авиакомпаний пострадало 100% (но это из списка Fortune 500).
3️⃣ Ожидаемые прямые финансовые потери составляют 5,4 миллиарда долларов, но только для компаний из списка Fortune 500, исключая Microsoft.
4️⃣ Наибольшие потери из всех индустрий - в здравоохранении. За ним следуют банки и авиация. Меньше всего пострадало производство и ИТ-отрасль.
5️⃣ От 0,54 до 1,08 миллиардов долларов потерь попадает под действие страховок, то есть от 10% до 20% от общего объема.
6️⃣ Средний размер потерь на пострадавшую компанию составил 44 миллиона долларов.

Оценок для компаний не из Fortune 500 я пока не видел, но напомню, что всего CrowdStrike заявляет о 29000 клиентов по всему миру 🌐 Если, следуя пропорции Parametrix, пострадала каждая 4-я компания, то совокупный объем потерь может составит несколько десятков миллиардов долларов, что делает данный инцидент самым дорогим в истории 💰

Читать полностью…

Пост Лукацкого

Я в курсе по измерению 🧮 эффективности ИБ, рассказывая про средства для этого, всегда говорю, что большинство специалистов по ИБ идет по пути наименьшего сопротивления, используя инструментарий, который всегда под рукой 🕯 И вот свежая статистика, которая доказывает это. В Топ10 инструментов, с помощью которых CISO собирают данные для своей отчетности, входят:
1️⃣ Сканеры безопасности - 67,3%
2️⃣ SIEM - 65,3%
3️⃣ Отчеты ИТ и ИБ-команд - 63,3%
4️⃣ Отчеты аудита и соответствия - 61,2%
5️⃣ Пентесты - 59,2%
6️⃣ Метрики повышения осведомленности - 59,2%
7️⃣ Результаты расследований инцидентов - 49%
8️⃣ Исследования Threat Intelligence - 44,9%
9️⃣ Обратная связь и средства генерации отчетов - 24,5%
1️⃣0️⃣ Опросы сотрудников - 14,3%.

А так как ни один из указанных инструментов не позволяет сформировать отчет 📊 для топ-менеджмента "от и до", то CISO жаждут всесторонний инструмент, который бы позволял им выстроить и автоматизировать процесс регулярной подготовки отчетов по ИБ для разных задач 📎 Про требования к такому продукту я расскажу уже завтра или в понедельник.

Читать полностью…

Пост Лукацкого

Провели мы тут мероприятие закрытое "СМИшно об ИБ", для которого подготовили прикольный плакат с разъяснением типовых ИБшных терминов на "журналистском" языке 😂 Весь выкладывать не буду, но фрагмент не могу не выложить!

Читать полностью…

Пост Лукацкого

Все-таки в Кибердоме залипательное представление 🎭 Психоделическое, я бы сказал. Особенно, когда во время рассказа про хакеров, ломающих гидроэлектростанцию, начинает вибрировать пол 🏭

Единственное, что меня смутило, - это китайцы, с которыми заключают договор на защиту ЗОКИИ в ролике 🐉 Ну и к сценарию мини-учений в формате геймификации 🤕 на киберполигоне у меня есть вопросы в отдельных точках принятия решения. Там прям неверная логика прописана, хотя я и победил в итоге 🏆

Читать полностью…

Пост Лукацкого

Какие данные CISO включают в свои отчеты 📈 для руководства компании? Я про это делал целую серию заметок в блоге (первая, вторая, третья, четвертая, пятая, шестая). А тут вот новые данные подогнали. В отчеты включают следующие данные (по убыванию популярности):
1️⃣ Результаты оценки рисков (ох уж эта приверженность CISO рискам...)
2️⃣ Анализ ландшафта угроз
3️⃣ Статус соответствия требованиям законодательства
4️⃣ Результаты реагирования на инциденты
5️⃣ Результаты оценки уязвимостей и пентестов
6️⃣ Политики ИБ и средства защиты
7️⃣ Возврат инвестиций
8️⃣ Анализ воздействия на бизнес (BIA).

Как по мне, так последние два пункта, ненабравшие даже 20% каждый, являются основными при общении с топ-менеджерами. А все остальное - это сопутствующие данные, которые только помогают отвечать на второстепенные вопросы. А тут они в основе отчетности CISO для топ-менеджеров 📊 Отсюда и результат - CISO не находится на одном уровне иерархии с другими людьми уровня CxO, а подчиняется кому-то из них 😭

Читать полностью…

Пост Лукацкого

Спросили у Алексея Лукацкого, как можно расшифровать «Резбез» неправильно, что такое недопустимые события и что недопустимо лично для него

А как бы вы ответили на эти вопросы?

Читать полностью…

Пост Лукацкого

Да, каюсь 🫠 Сексизм, не шовинизм. Плохо разбираюсь в обоих ☹️

Читать полностью…

Пост Лукацкого

Компания CHEQ выпустила отчет о фальшивом трафике, который показывает, насколько серьезной становится эта проблема. И это несмотря на наличие средств класса NTA, которые помогают детектировать 👀 различные классы атак, необнаруживаемые традиционными периметровыми или хостовыми средствами ИБ.

Согласно исследованию CHEQ, в 2023 году 17,9% всего наблюдаемого трафика было фейковым 🤖 или инициировано различными средствами автоматизации, что на 58% больше по сравнению с 11,3% в предыдущем году. Другие источники, учитывающие весь "автоматизированный" трафик (боты, кликеры, краулеры, скрипты для автоматизации и т.п.), оценивают объем нежелательного трафика еще выше — до 50% от общего объема. Такой трафик можно разделить на три категории:
1️⃣ боты, которые составляют 49,1% фальшивого трафика 🤖
2️⃣ подозрительный трафик - 42,3%
3️⃣ вредоносный трафик - 8,6%.

CHEQ предупреждает, что в 2024 году киберпреступники и мошенники 🥷 больше не ограничиваются простыми ботами и фермами кликов. Они используют высокоразвитых ботов, способных имитировать человеческое поведение, избегать обнаружения и совершать различные злонамеренные действия, такие как сбор данных без разрешения, увеличение метрик вовлеченности, мошенничество и компрометация безопасности и целостности множества веб-сайтов, мобильных приложений и API. Искусственный интеллект 🧠 только усугубляет угрозу и создает дополнительные проблемы для команд безопасности. ИИ позволяет ботам становиться более сложными и труднодетектируемыми, увеличивая объем генерируемого трафика и позволяет ботам адаптироваться к защитным мерам, тем же WAF или API Security Gateway 🛡

Советы CHEQ для снижения опасности этой проблемы просты:
1️⃣ Разработать и применить на каждом интерфейсе управляемых сетевых устройств политику для трафика (traffic policy)
2️⃣ Внедрить процедуры и инструменты для мониторинга и контроля трафика на внешних интерфейсах, направляющегося к МСЭ, в ДМЗ, к web-серверам, IoT-устройствам и беспроводным устройствам.
3️⃣ По умолчанию запретить весь трафик и разрешить только отдельные протоколы и межузловые взаимодействия в соответствие с установленными правилами и исключениями из них
4️⃣ Внедрить процедуры и инструменты, обнаруживающие любой несанкционированный обмен трафиком с внешними системами
5️⃣ Подключать сеть организации к внешним сетям только через пограничные устройства, позволяющие фильтровать трафик (явно не упоминается NGFW, так тут может быть и Zero Trust, SASE и SSE)
6️⃣ Ограничение числа внешних соединений и мониторинг входящего и исходящего трафика
7️⃣ Реализация на всех внешних управляемых интерфейсах механизмов контроля доступа, обнаружения вторжений и т.п.
8️⃣ Реализация подсетей для публично доступных компонентов
9️⃣ Обеспечение целостности и конфиденциальности для трафика
1️⃣0️⃣ Документируйте каждое исключение в политике управления трафиком с указанием бизнес-потребности, мерами контроля и длительностью действия исключения
1️⃣1️⃣ Обновляйте все сетевые компоненты как можно раньше
1️⃣2️⃣ Обеспечьте не менее одного тренинга в год для персонала, реализующего предыдущих 11 пунктов

Читать полностью…

Пост Лукацкого

Microsoft пошла в атаку и обвинили Еврокомиссию 🇪🇺 в том, что это именно из-за нее произошел коллапс с обновлением CrowdStrike 🤦‍♂️ Связано это с соглашением об интероперабельности, которое было заключено в декабре 2009-го года между гигантом из Редмонда и Еврокомиссией и которое требовало обеспечить равные права на доступ к ядру ОС Windows 🪟 конкурирующих продуктов, включая и средства защиты. Речь идет о следующем пункте:

"Microsoft гарантирует на постоянной и своевременной основе, что API в операционной системе Windows Client PC и операционной системе Windows Server, которые вызываются программными продуктами безопасности Microsoft, документируются и доступны для использования сторонними программными продуктами безопасности, которые работают на операционной системе Windows Client PC и/или операционной системе Windows Server."


С этим свежим заявлением Microsoft есть три интересных нюанса:
1️⃣ Все-таки это было обновление контента обнаружения или ядра, которое повлияло на ядро ОС? 🤔 Каким образом, если это "просто" сигнатура? Если же CrowdStrike все-таки залил обновление ПО, затрагивающее ядро, то почему они его не согласовали с вендором, как того требуют правила? 🤔
2️⃣ Apple в 2020-м году, ссылаясь на требования безопасности запретила разработчикам доступ к ядру macOS, что вызвало большие нарекания со стороны многих вендоров хостовых средств ИБ. И значит ли это, что Еврокомиссия может и от Apple 🍏 потребовать подписания схожего соглашения? По крайней мере в части возможности использования на iPhone других маркетплейсов Евросоюз добился.
3️⃣ Почему Microsoft не разработала для средств защиты иной API, который мог бы позволять видеть 🖥 многое на уровне ядра, не затрагивая его самого? Не захотела заморачиваться, а теперь просто переводит стрелки?..

Читать полностью…

Пост Лукацкого

Генерального директора CrowdStrike вызвали в Конгресс США 🇺🇸 дать пояснения по поводу случившегося в прошлую пятницу 🫵 Можно было бы предположить, что американцы усилят контроль за технологическими компаниями, от которых стало зависеть очень многое, но до того ли им будет в условиях предвыборной гонки? 🏎

За всей этой историей с CrowdStrike затерялась новость, что Wiz, стартап по облачной безопасности, которого хотел купить Google 🌐 за 20+ миллиардов долларов, отклонил предложение американского ИТ-гиганта, решив самостоятельно выходить на IPO вместо продажи стратегическому инвестору 👎 Смелые и амбициозные ребята!

Читать полностью…

Пост Лукацкого

Попался мне тут в руки занятный отчет, который на фоне событий с CrowdStrike подсвечивает очень интересные моменты нашей зависимости от всего нескольких технологических компаний, атака (даже не их собственные косяки) на которых может привести к глобальному коллапсу или компрометации. Вот некоторые цифры:
1️⃣ Всего 150 компаний "отвечают" за 90% всех технологических продуктов и сервисов по всему миру!
2️⃣ 41% этих компаний имеют доказанные случаи компрометации хотя бы одного своего корпоративного устройства за последний год
3️⃣ 11% этих компаний имеют доказанные случаи атак шифровальщиков за последний год
4️⃣ 62% всех технологических продуктов и сервисов по всему миру сосредоточено в руках всего 15 компаний
5️⃣ Эти 15 технологических компаний имеют рейтинг ИБ (уровень защищенности) ниже среднего, что говорит о высокой вероятности возможной компрометации
6️⃣ Операторы шифровальщиков Cl0p, LockBit, BlackCat систематически нацеливаются на технологические компании и находят целевые устройства уже через 5 минут после их подключения к Интернет.
7️⃣ 75% всех атак на подрядчиков (цепочки поставок) нацелены на технологические компании и разработчиков ПО.

Советы для борьбы с такой зависимостью лежат на поверхности:
1️⃣ Составьте карту критически важных процессов и систем (целевых/ключевых), представляющих точки возможного отказа.
2️⃣ Поставьте эти системы и процессы на непрерывный мониторинг, а также включите их в контур анализа защищенности и оперативного устранения уязвимостей.
3️⃣ Автоматизируйте процесс обнаружения новых вендоров в инфраструктуре с помощью сканеров безопасности, средств класса NTA, CMDB-решений, SIEM и т.п.
4️⃣ Подготовьте план Б и протестируйте его, чтобы быть готовым к ситуации, когда что-то из используемых у вас решений будет скомпрометировано или выведено из строя.

Читать полностью…

Пост Лукацкого

Мы не всегда способны оценить каскадный эффект от уязвимостей, атак, действий или бездействий, с которыми мы сталкиваемся в нашей работе...

Читать полностью…

Пост Лукацкого

Был я тут на мероприятии по искусственному интеллекту, где компании делились своим опытом и проектами, в которых демонстрировалась польза от ML для бизнеса 🧠 А я же человек занудный и стал спрашивать про защиту датасетов, контроль их целостности, безопасность моделей от манипуляций, проверку источников для скачивания моделей и другие неудобные вопросы А ответов-то у коллег и не было. Не думают они про это, считая, что все плюсы ИИ перевешивают все остальное. А я и не спорю, но и про ИБ забывать не стоит, чтобы в результате неконтролируемых манипуляций над ИИ-инфраструктурой не получить обратный эффект 🥴

Вот и Gartner тут говорит, что 30% компаний, внедривших у себя ИИ, столкнулись с атаками на свою ИИ-инфраструктуру. Причем как изнутри, так и снаружи 🤬 И здесь бы ИБ подсуетиться, а не выносить этот сегмент из под своего контроля, как это часто бывает. Но подсуетиться грамотно, с учетом специфики ИИ-разработки, а не "тупого" применения сертифицированных средств защиты от НСД в инфре, для этого непредназначенной.

Читать полностью…

Пост Лукацкого

Попробовал подсобрать главное, что известно про инцидент с CrowdStrike. Что случилось, причем тут Azure, кто пострадал, когда все восстановится, каков ущерб 💥, а что в России, импортозамещение рулит, можно ли было предотвратить, почему это произошло, а может это хакеры, реакция хакеров 👨‍💻 на инцидент, как отреагировали регуляторы, как сделать, чтобы это не повторилось, что будет дальше... Вот вопросы, которые я рассмотрел в заметке ✍️

Читать полностью…
Подписаться на канал