Пост Лукацкого

27 октября 2024 11:37

А вот новая матрица от автора Russian APT Tool Matrix и Ransomware Tool Matrix 😷 На этот раз про уязвимости, используемые шифровальщиками в рамках заражения, закрепления в системе, повышение привилегий, распространения по внутренней сети 🗡

Пост Лукацкого

26 октября 2024 20:22

Никогда не "трогайти" ИТшников и ИБ-админов 🧑‍💻

ЗЫ. Спасибо подписчику за ссылку 🤝

Пост Лукацкого

26 октября 2024 16:47

А вот и вся презентация Сергея Хуторцева. Она весьма любопытна.

Пост Лукацкого

26 октября 2024 12:37

Интересный проект от Center for Threat Informed Defence - Attack Flow, который представляет собой, базирующийся на STIX, язык описания цепочек атак 📇 злоумышленников по достижению ими своих целей через комбинацию различных техник MITRE ATT&CK. С помощью Attack Flow можно описывать угрозы и реализующие их группировки, проводить эмуляцию угроз, разрабатывать методы обнаружения и реагирования на угрозы и т.п. Язык позволяет описывать различные действия (в том числе параллельно реализуемые), условия реализации тех или иных действий, комбинирующие операторы И и ИЛИ, активы и т.п. 🔓

В качестве примеры на сайте MITRE Engenuity приведено множество примеров описания с помощью Attack Flow различных атак, инцидентов и группировок - Turla, NotPetya и WhisperGate, взломы Uber, SolarWinds и SWIFT, использование уязвимостей в Ivanti и т.п. 🤕

Интересный проект... Иностранцы активно начинают смотреть в сторону цепочек 🔗 атак, понимая, что борьбы с атомарными событиями обречена на неудачу. Последних становится столь много, что не объединяя их в пути/цепочки, можно потратить множество ресурсов, но так и не добиться нужного результата.

Пост Лукацкого

25 октября 2024 20:30

Отечественная киберполиция решила сделать анимационный сериал по ИБ. Подготовлена первая серия про семью Везунчиковых и телефонных мошенников 🍿

Пост Лукацкого

25 октября 2024 13:35

Хорошо, что мошенники немного туповаты и не могут даже разузнать, как выглядят реальные нормативные акты и предписания ФСБ 🇷🇺 Плохо то, что и большинство граждан и организаций этого не знает и ведется на такие вот письма 👮

Пост Лукацкого

25 октября 2024 06:40

В ИТ, да и в ИБ-индустриях, которые исторически были преимущественно мужскими, многие женщины сталкиваются с ограниченными возможностями для карьерного роста 👵 Согласно исследованию, проведенному компанией Acronis, основными проблемами для женщин являются нехватка наставничества, недостаточные условия для поддержания баланса между работой и личной жизнью, а также, в некоторых случаях, культура исключения 👱🏻‍♀️

Одним из ключевых выводов опроса стало то, что 71% женщин в IT работают сверхурочно 👵, чтобы увеличить свои шансы на карьерный рост. При этом 31% опрошенных женщин считают, что мужчины продвигаются по службе быстрее, несмотря на равное количество выполненной работы 🚶‍♂️ Это указывает на продолжающееся неравенство, хотя 32% женщин отметили, что считают, что мужчин и женщин на рабочем месте уже оценивают одинаково.

Кроме того, 63% женщин в области IT и кибербезопасности отметили недостаток женского лидерства 👠, а 84% опрошенных уверены, что наличие большего числа женщин на руководящих позициях принесло бы пользу технологическим компаниям 🙂

Вопросы карьерного роста также остаются актуальными. Лишь 34% женщин считают, что программы обучения и развития, доступные для женщин, способствуют их продвижению 👠 Большинство (63%) выделяют такие мероприятия, как мастер-классы и курсы обучения, как наиболее важные для их профессионального развития. Также популярными оказались сетевые мероприятия (58%) и участие в профессиональных организациях (44%). Женсовет по ИБ рулит 🍭

Среди инициатив, которые, по мнению опрошенных, компании могли бы реализовать для улучшения гендерного равенства, на первом месте стоят возможности наставничества (51%), привлечение более разнообразных кандидатов (49%) и равенство в оплате труда (49%) 🤨

Примечательно, что 20% женщин назвали отсутствие возможностей основной причиной, по которой женщины не идут в кибербезопасность. Также 25% отметили, что предпочитают сосредоточиться на создании семьи. Некоторые женщины избегают IT, полагая, что "не впишутся" в мужской коллектив (9%) или не хотят работать в индустрии, где доминируют мужчины (15%) 👠

Наконец, 60% женщин в IT регулярно фиксируют свои достижения для дальнейшего использования при продвижении по карьерной лестнице, что может стать ключом к преодолению существующих барьеров 🤬

Алонна Геклер, вице-президент Acronis, подчеркнула, что привлечение женщин в IT не только важно с точки зрения равенства, но и приносит стратегические преимущества ❤️ Женщины вносят новые идеи и креативные подходы, что улучшает работу команд и повышает конкурентоспособность компаний ↗️

Пост Лукацкого

24 октября 2024 17:04

Ну и снова про Bug Bounty, но со знаком минус 🐞 Как пишет SecurityLab, жительница Красноярска обнаружила ошибку на сайте Wildberries, позволяющую получать товары бесплатно 🛒 Девушка воспользовалась багом и оформила заказов на сумму 1,2 миллиона рублей. Любительницу легкой наживы быстро поймали и сейчас ей грозит до 10 лет лишения свободы за мошенничество в особо крупном размере 👮

А ведь если бы багхантерша легально зарегалась в программе Bug Bounty компании Wildberries, то она могла вполне получить 500 тысяч рублей за найденные уязвимости и накупить себе всякого разного 🛍 Да, это меньше 1,2 миллионов, но зато честно и без риска присесть на 10 лет. Так, глядишь, ей бы понравилось и она бы стала постоянной участницей и заработала бы свои миллионы абсолютно честным путем. Но увы... 😡

Пост Лукацкого

24 октября 2024 10:02

Как утечки данных влияют на стоимость акций на фондовом рынке 📈📉

Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.

Основные выводы:
➡️После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.

Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.

#breach #business #stock

Пост Лукацкого

24 октября 2024 06:40

Сегодня я весь день на "Форуме Будущего" в Екатеринбурге, где у меня будет визионерский доклад про ближайшее будущее кибербеза ☝️, продолжающий прошлогодний рассказ здесь же, а также, по приглашению друзей из компании УЦСБ, модерация трех дискуссионных панелей про технологический суверенитет, ИБ и искусственный интеллект, а также культуру ИБ. Приходите на ИБ-трек - тут точно скучно не будет 🆗

Пост Лукацкого

23 октября 2024 17:02

Очередная модель зрелости SOCов ↗️ На этот раз от Accenture. Вполне очевидные переходы с первого до второго уровня - от мониторинга периметра до использование централизованного сбора логов и событий и даже построения Data Lake 👩‍💻 Третий уровень вопросов не вызывал бы, если бы не четвертый - автоматизация и продвинутая аналитика. Где-то они меняются местами, так как проводить более глубокий анализ иногда проще, чем реализовать автоматизацию ⚙️

На пятом уровне появляется обнаружение цепочек атак, полная автоматизация, обнаружение инсайдеров 🙂 Последний момент, кстати, интересный, - обычно SOCи и средства мониторинга фокусируются на внешнем враге, на APT. А тут предлагается взглянуть еще и вовнутрь 👀

Пост Лукацкого

23 октября 2024 10:06

В начале сентября 2024 года Microsoft 📱 потеряла облачные логи безопасности за несколько недель, на которые клиенты компании обычно полагаются для обнаружения киберугроз 🔍 Microsoft уведомила пострадавших клиентов о том, что инцидент не связан с какой-либо угрозой безопасности (конечно, верим), но его последствия все же оказались ощутимыми 💥

Согласно публичному отчету Microsoft ⛈, причиной инцидента стал сбой в работе внутреннего агента мониторинга компании. Ошибка была вызвана, когда компания попыталась устранить другую ошибку в службе сбора логов (бабка за дедку, дедка за репку). Примерно с 23:00 UTC 2 сентября 2024 года агент мониторинга начал неправильно загружать данные журналов на внутреннюю платформу компании 💭 Это привело к частичному отсутствию указанных журналов для ряда сервисов Microsoft.

Несмотря на попытки компании исправить ситуацию, дважды перезапуская агент или сервер для восстановления сбора данных, часть логов была безвозвратно утеряна 🗑 К 5 сентября команда разработчиков Microsoft внедрила временное решение, которое помогло частично восстановить работу, но не позволило полностью восстановить все утраченные данные 👏

Проблема привела к возможной неполноте данных журналов в следующих сервисах:
1️⃣ Azure Logic Apps (платформенные логи)
2️⃣ Azure Healthcare APIs (платформенные логи)
3️⃣ Microsoft Sentinel (оповещения безопасности)
4️⃣ Azure Monitor (диагностические настройки)
5️⃣ Azure Trusted Signing (неполные логи SignTransaction и SignHistory)
6️⃣ Azure Virtual Desktop (логи в Application Insights)
7️⃣ Power Platform (различия данных в отчетах)
8️⃣ Microsoft Entra (логи входа и активности)

Дополнительно были затронуты логи, проходящие через Azure Monitor и интегрированные в такие продукты безопасности, как Microsoft Sentinel, Microsoft Purview и Microsoft Defender for Cloud. Это повлияло на способность клиентов анализировать данные, обнаруживать угрозы и генерировать оповещения о безопасности 🤦‍♂️

Пост Лукацкого

22 октября 2024 20:38

Русский нейминг, бессмысленный и беспощадный 🤦‍♂️

ЗЫ. Рекламой не считать 😊

Пост Лукацкого

22 октября 2024 13:32

Не скажу, что белорусский ОАЦ подгадывал выпуск своих рекомендаций по ИБ к минскому SOCcon, но я увидел этот документ в Интернете буквально на днях. Разбит на 5 частей:
1️⃣ Ответственные лица
2️⃣ Требования по ИБ для общедоступных ПДн и общедоступной информации, а также критически важных объектов (проектирование, создание, аттестация СЗИ и защита при выводе из эксплуатации)
3️⃣ Мониторинг ИБ и реагирование на инциденты
4️⃣ Взаимодействие с ОАЦ (по аналогии с российской ГосСОПКОЙ)
5️⃣ Функционирование национального CERT и локальных CSIRT от SOC

Пост Лукацкого

22 октября 2024 06:40

CISA добавила в список трендовых уязвимостей новую дыру CVE-2024-23113 в МСЭ Fortinet, которая позволяет выполнять удаленные команды и код без аутентификации. В России таких устройств было 444 еще несколько дней назад - сейчас "всего" 143 (в Беларуси - 38, в Казахстане - 226, в Узбекистане - 66, в Кыргызстане - 6, в Армении и Грузии - 35 и 53 соответственно). Всего же уязвимых устройств Fortinet в мире сейчас больше 86 тысяч. Думаю в Даркнете сейчас появится немало предложений по доступу в скомпрометированные через данную уязвимость компании и организации.

Цифры по России подтверждают исследование ЦСР, в котором говорится, что в России все еще используются решения иностранных вендоров, а продукция Fortinet входит в 10-ку самых распространенных.

Пост Лукацкого

27 октября 2024 07:40

Ирландский "Роскомнадзор" оштрафовал LinkedIn на 310 миллионов евро 💶 за незаконный анализ поведения пользователей и целевую рекламу в их адрес. Это в 6 раз больше недавнего штрафа для Marriott 🤑 К слову сказать, это 2,5% от оборота LinkedIn за весь прошлый год.

Но при всей своей величине 💶, эта сумма не дотягивает до рекорда и даже не входит в пятерку самых больших штрафов за нарушение GDPR, которая выглядит так:
1️⃣ Meta (2023) - 1,2 миллиарда евро 📱
2️⃣ Amazon (2021) - 746 миллионов евро 📱
3️⃣ Meta/Instagram (2022) - 405 миллионов евро 📱
4️⃣ Meta/Instagram/Facebook (2023) - 390 миллионов евро 📱📱
5️⃣ TikTok (2023) - 345 миллионов евро 📱

Во всех случаях, кроме Amazon, отличился ирландский регулятор по приватности. Текущий кейс с LinkedIn 📱 занимает шестое место в общем зачете и пятое по размеру штрафа у "ирландцев" 🇮🇪

В Топ10 лидером по штрафам является Meta 📱, которую нахлобучили уже в совокупности на 2,5 миллиарда евро. И учитывая, что это не первый, не второй и не третий раз, а компания все не извлекает уроки, то выводов я делаю два - либо архитектура решений Meta настолько сложна, что не может быть перестроена под выполнение требований GDPR (что все-таки вряд ли), либо стоимость получаемых бигтехом данных превышает все понесенные штрафы. И последнее заставляет лишний раз задуматься 🤔

Пост Лукацкого

26 октября 2024 18:05

CyberTalks: Истории про мошенников, утечки данных и принуждение к безопасности | Алексей Лукацкий x Павел Хавский

🌐 Прямой эфир 20:00 UTM + 3

💬 Наш Гость - Алексей Лукацкий, стаж в ИБ 30-лет, ну кто таким еще может похвастаться? Сегодня обсудим самые яркие истории о мошенничестве и утечках, страхах пользователей и новые требования к безопасности.

Что в эфире:

🟡Как изменились мошеннические схемы?
🟡Почему быть мошенником становится всё труднее?
🟡Истории из 90-х, когда вирусы на дискете заражали компании этаж за этажом.
🟡Почему некоторые ИБ-специалисты выбирают «тёмный путь»?
🟡Утечки данных: какие из них самые страшные и почему критично не оставлять цифровой след?
🟡Насколько агрессивным стало принуждение к безопасности и чем оно грозит бизнесу?

Проводим субботний вечер с пользой в компании с образованными людьми, а не с бутылкой

Пост Лукацкого

26 октября 2024 16:47

Интересная презентация о том, как обеспечивается ИБ в Рунете подразделением РКН. Из нее и перспективы развития систем предупреждения угроз в Интернете становятся понятны и направления будущих активностей (блокировки VPN, поиск уязвимостей, борьба с DDoS и т.п.) 🌐

Пост Лукацкого

26 октября 2024 08:40

На роскомнадзоровском форуме в Сочи был интересный доклад про низкорбитальные спутниковые 🛰 группировки, которые должны обеспечивать не наземную связь, не через вышки 🗼, а через спутники. Были озвучены серьезные риски ИБ применения DTC (Direct-to-Cell), когда обеспечивается связь через спутник без специального терминала, сразу с мобильным устройством, многие из которых уже оснащены соответствующими чипами 📞

Риски, конечно, с точки зрения государства, когда в обход имеющихся средств блокировок, кто-то может контактировать с условным Западом 👿 Но интересно не это, а то, что реально обсуждалась история с возможным запретом ввоза соответствующих современных мобильных устройств в страну. Такая себе перспектива, если честно... 🤬

ЗЫ. Фотки украли у @toxic_digital

Пост Лукацкого

25 октября 2024 17:02

По данным Vectra AI, специалисты, работающие в центрах операций безопасности (SOC), считают, что они теряют способность эффективно обнаруживать и приоритизировать реальные угрозы ⁉️ Основные проблемы заключаются в чрезмерном количестве разрозненных инструментов и недостаточной точности сигналов об атаках 🎮

Многие сотрудники SOC выражают недоверие к поставщикам решений, считая, что их инструменты могут больше мешать, чем помогать в выявлении настоящих угроз. Это противоречит растущему оптимизму в отношении возможностей своих команд и потенциальных преимуществ ИИ 📎

С развитием гибридной среды атак, многие компании внедряют инструменты, основанные на генеративном ИИ (GenAI) 🤖, что, в свою очередь, создает новые возможности для кибератак и добавляет сложностей командам SOC. Несмотря на уверенность в своих защитных механизмах, 71% специалистов обеспокоены возможностью пропустить реальную атаку среди большого потока ложных срабатываний 👀 Половина специалистов не верит, что их инструменты помогут эффективно справляться с угрозами, а 54% говорят, что эти инструменты увеличивают нагрузку на SOC, а не снижают ее 🍑

Большинство команд используют более 10 различных инструментов для защиты, а 45% из них имеют более 20 инструментов 😲 62% специалистов недавно внедрили или планируют внедрить решения для расширенного обнаружения и реагирования (XDR), чтобы улучшить эффективность защиты 📈 В исследовании SANS по SOCам схожие опасения.

Среди ключевых проблем специалисты выделяют недостаточную точность оповещений и чрезмерное количество ложных тревог, что приводит к тому, что значительное количество инцидентов остается необработанным 🗑 60% специалистов считают, что поставщики продают слишком шумные инструменты, и 71% считают, что они должны нести ответственность за неспособность предотвратить утечку данных 😡

В то же время, растет доверие к ИИ в области обнаружения угроз 🧠 85% специалистов SOC увеличили свои инвестиции в ИИ за последний год, а 67% отметили положительное влияние ИИ на возможность распознавания угроз. 75% утверждают, что ИИ помог снизить рабочую нагрузку, а 73% отмечают уменьшение уровня профессионального выгорания благодаря ИИ. Забавно, что это немного противоречит аналитике SANS по SOC 🤔

Однако для широкого внедрения ИИ необходимо восстановить доверие к поставщикам решений, демонстрируя, что их инструменты действительно облегчают работу специалистов и не добавляют дополнительных сложностей 🤝

ЗЫ. О том, как бороться с частью описанных проблем поговорим на Positive SOCcon в Минске уже меньше чем через неделю.

Пост Лукацкого

25 октября 2024 10:02

У нас же месячник кибербеза еще идет 📆 И я тут для одного проекта готовил описания терминов ИБ для разных возрастов. Непростая задача, скажу я вам. Вот, например, как у меня был описан "белый хакер" 🧑‍💻 Пока еще не идеально и есть куда развивать, но даже из такого описания понятно, что для разных возрастов надо давать совершенно разные формулировки, учитывающие возрастные особенности.

Для ребенка 5 лет 👶

Белый хакер — это как добрый волшебник, который помогает защищать замки от злых волшебников. Он находит слабые места в стенах замка и говорит об этом королю, чтобы замок был всегда безопасен.

Белый хакер — это человек, который использует свои навыки взлома не для того, чтобы навредить, а чтобы помочь компаниям или людям. Он ищет слабости в системах, чтобы их можно было исправить до того, как это сделают злые хакеры.

Белый хакер — это специалист по кибербезопасности, который занимается проверкой компьютерных систем на уязвимости. Он использует свои знания для защиты компаний и организаций от кибератак, находя и устраняя уязвимости до того, как ими смогут воспользоваться злоумышленники.

Белый хакер — это как эксперт по безопасности, который помогает компании найти слабые места в её защите, чтобы злоумышленники не смогли воспользоваться этими уязвимостями. Это напоминает работу инженеров или специалистов по охране в прошлом, когда их задача была найти слабые точки в системе безопасности, чтобы сделать её надёжнее, только сегодня это делают в цифровом мире, защищая компьютеры и программы.

Пост Лукацкого

24 октября 2024 20:35

Обновление списка APT-групп, атакующих Россию

В апреле я публиковал список продвинутых хакерских групп, государственных или прогосударственных, которые были замечены компаниями по кибербезопасности в атаках на российские организации.

Сегодня делюсь обновлённой версией:
— добавлены отчёты российских компаний с апреля по октябрь и некоторые более давние, а также отдельные зарубежные отчёты (в том числе и два китайских). Общее количество отчётов удвоилось с 40 до 81, а количество групп в таблице увеличилось с 28 до 41;
— у некоторых групп добавлены дополнительные наименования;
— для групп без указания страны в соответствующем столбце поставлена чёрточка.

Как всегда, буду благодарен за обратную связь и дополнения.

Пост Лукацкого

24 октября 2024 13:31

Интересная новость - Рамблер&Co запустил программу bug bounty 🤑 для проверки своей защищенности. Можно было бы про это не писать, так как с момента, когда Яндекс запустил первую в России программу Bug Bounty более 10 лет назад, это уже становится нормой и компаний, вышедших на платформы поиска уязвимостей за вознаграждение уже немало (а в приватных программах так и того больше).

Но данный кейс интересен тем, что холдинг Rambler&Co 🖥 объявил вознаграждение не за поиск атомарных уязвимостей в своих приложениях и сервисах, и не за обычное проникновение в рамках пентеста 🤕, а за реализацию недопустимых событий, определенных компанией. За их реализацию компания платит в настоящий момент 3 миллиона рублей 💸

Интересно было бы увидеть результаты по этой программе; хотя она пока и в приватном режиме работает. Может быть к весеннему PHD 🏟 что-то появится и тогда можно будет даже собрать отдельную панельку (а мы уже программу начали формировать) - все-таки компаний, который вышли на Bug Bounty именно на недопустимые события уже не одна, не две, и даже не три. Есть о чем поговорить 💯

Пост Лукацкого

24 октября 2024 10:02

Интересное исследование, которое показывает влияние инцидентов с утечками данных на стоимость акций публичных компаний. В целом подтверждается давнее исследование Гордона-Лёба про +-2%. Но срок восстановления курса после инцидента существенно вырос - раньше он измерялся днями, а сейчас месяцами. Хорошо пойдет в копилку бизнес-ориентированной ИБ, когда надо показывать топ-менеджменту (если компания публичная, конечно, и работает на конкурентном рынке) реальное влияние ИБ на бизнес-показатели.

Пост Лукацкого

23 октября 2024 20:28

⚠️ Компанию Check Point оштрафовали за сокрытие факта своего взлома!

Интересное дело. Комиссия по ценным бумагам США (SEC) оштрафовала 4 компании - Unisys, Avaya, Mimecast и Check Point за обман сокрытие факта инцидента ИБ, который произошел у каждой из компаний в результате взлома SolarWinds в 2019-м году 🔓 Иными словами, их подломали в результате компрометации SolarWinds. Интересно, что сами компании подтвердили SEC факт взлома, но публично это отрицают 🤐 Тот же Check Point говорит, что они не нашли доказательств своего взлома, но не стали спорить с Комиссией по ценным бумагам и просто откупились от нее за 1 миллион долларов 💰

Unisys, Avaya, Mimecast и Check Point оштрафованы на 4 и 1 миллиона, а также 990 и 995 тысяч долларов соответственно 🤑 Unisys заплатила больше всех, потому что не только скрыла факт инцидента, но и сознательно принизила его размер 🤐 заявив о том, что "ничего не было". В реальности у нее украли гигабайты данных через внедренную в SolarWinds программную закладку. У Avaya украли корпоративную переписку и часть файлов из облачного хранилища, о чем она скромно умолчала 🤐 У Mimecast украли код и зашифровали часть учетных записей 😬 С Check Point меньше всего ясности - в объяснениях SEC они отделались общими словами и оспаривать штраф регулятора не хотят. Почему? Проще заплатить и идти работать дальше? Или лучше не идти в суд за правдой, чтобы не всплыли неприятные детали взлома? В общем, понятно, что ничего не понятно.

Кейс SolarWinds еще долго будет аукаться и самой компании и ее клиентам, а также клиентам ее клиентов... Ну а мы в очередной раз получаем подтверждение, что ломают всех, даже ИБ-компании, которые также, как и все, зависят от подрядчиков 💡 А как вы контролируете своих подрядчиков?

Пост Лукацкого

23 октября 2024 13:38

Ситуация с потерей логов Microsoft 📱 напомнила о необходимости усиленного внимания к журналам регистрации, особенно после прошлогоднего инцидента с взломом почтовых аккаунтов в США китайскими хакерами. Тогда Microsoft подверглась критике за то, что не предоставляла достаточного доступа к облачным логам для клиентов без премиум-аккаунтов Microsoft Purview Audit 🤑 Это могло бы позволить обнаружить взлом раньше. В ответ на критику Microsoft расширила доступ к логам для всех пользователей и увеличила период их хранения с 90 до 180 дней.

Но что делать, чтобы такая история не повторилась или как снизить ущерб в случае ее повтора? 🤔 Я бы начал со следующих шагов:
1️⃣ Создание резервных копий журналов регистрации. Клиенты должны рассмотреть возможность сохранения резервных копий логов в независимых хранилищах для избежания потерь при сбоях в облачных сервисах. Правда, это увеличит расходы на переход в облака, но тут придется выбирать.
2️⃣ Мониторинг логов в реальном времени. Использование решений для контроля состояния облачных сервисов в реальном времени поможет оперативно выявлять подобные сбои и предотвращать последствия или снижать их масштаб.
3️⃣ Увеличение времени хранения логов. Клиентам рекомендуется увеличивать периоды хранения логов для долгосрочного анализа и повышения безопасности. Правда, это не спасет от их потери, но по крайней мере позволит иметь длинную историю до и после.
4️⃣ Регулярные аудиты безопасности. Постоянный мониторинг настроек безопасности и доступности журналов позволит своевременно выявлять проблемы и избегать их в будущем.
5️⃣ Отказаться от сервисов Microsoft 🤔

Вообще, переход в облака, это не такая уж и простая история, как кажется на первый взгляд. Если добиваться схожего уровня сервиса и гарантий, как и в on-prem, то экономии может и не случиться (если ее рассматривать в качестве основного мотиватора перехода в облака) ⛈ В будущем организациям стоит уделять внимание правильной настройке сборщиков логов и использовать имеющиеся облачные и on-prem возможности мониторинга для максимальной защиты своих данных и инфраструктуры 👀

Пост Лукацкого

23 октября 2024 06:44

Если верить исследованиям, компьютерные игры 🎮 улучшают когнитивные способности человека, но почти не влияют на его психическое состояние. Физические упражнения, наоборот, улучшают психическое здоровье, но никак не влияют на когнитивные возможности 🥊 "Игры будущего", прошедшие в Казани, комбинировали оба вида соревнований, позволяя развивать обе стороны человеческого организма 🕹

А что если объединить CTF/киберполигоны с пейнтболом? Не сделает ли это специалистов SOC более внимательными и быстрыми на реакцию? 🤔 Готовы к такому на майском PHD3 в следующем году?

Пост Лукацкого

22 октября 2024 17:37

Тут подогнали презентации с SOCtech. Если вы там не были, то есть на что посмотреть. Я вот сижу, смотрю...

PS. Заодно и презентации с Positive Security Day подогнали; вдогонку к видео.

Пост Лукацкого

22 октября 2024 10:04

На GITEX было прикольное ИБшное место - Cyber Escape Room, где вас запускали в помещение, закрывали за вами дверь и давали 30 минут на то, чтобы выйти из закрытой комнаты 🚪 Квиз, но ИБшный, так как решать надо было чисто ИБшные задачки - найти PIN, взломать пароль и т.п. 🤒 Параллельно давались и ложные приманки - фишинговые ссылки и т.п. Но реализация оказалось не так чтобы серьезной - выход был найден за 12 минут. Но сама затея вполне себе прикольная. Думаю, на PHD попробовать такое реализовать 💡

Пост Лукацкого

21 октября 2024 20:32

Мне тут прислали письмо ✉️ с предложением подать заявку на соискание Премии Рунета (там есть категория по информационной безопасности) 🏆 Все бы ничего, но есть одна странность - чтобы подать заявку на премию, которая присуждается за вклад в развитие российского сегмента сети Интернет, надо заплатить деньги 🤑 Это примерно как "независимый" рейтинг корпоративных ИБ-каналов в Telegram, в который предлагают попасть за копейку малую 🤑 Мне кажется орги слово "вклад" не так трактуют 😂

Я уж как-нибудь обойдусь; тем более, что у меня уже есть Антипремия Рунета, полученная в 2011-м году и свежая "За заслуги в сфере Интернета". Замечу, бесплатно! А платить и не "выиграть" странно. Но если платить и выиграть, то будет ли это вклад в развитие Интернет или вклад в карман организаторов премии? 🤠 Хорошо, что я платную рекламу не размещаю в канале, а то я бы плодил премии каждый день - "За вклад в безопасный понедельник", "За вклад в доверительный вторник", "За вклад в обеспечение надежной среды", "За вклад в четверг без фишинга" и "За вклад в субботнее утро без похмелья" 🏆