Пост Лукацкого

07 декабря 2022 17:40

Даже ИИ знает, что лучше пентестов и киберучений в части оценки защищенности ничего нет 😊

Пост Лукацкого

07 декабря 2022 12:41

PwC в августе провел опрос 700+ американских руководителей бизнеса (CFO, CHRO, CRO, COO, CTO, CIO, CMO, board и т.п.) о рисках, которые они перед собой видят. Интересно, что на первое место эти большие шишки ставят ИБ, а точнее рост числа кибератак.

Это, кстати, необычно. Рост стоимости производства, нарушение цепочек поставок, рецессия, налоги, политика, изменение климата и даже конфликт России и Украины отошли на задний план по сравнению с угрозами ИБ.

ЗЫ. Да, это для США, но все-таки показательно.

Пост Лукацкого

07 декабря 2022 06:17

О, еще один. Депутаты, похоже, оседлали тему хакерских и кибервойск и будут ее эксплуатировать. Других-то тем больше нет, а тут хайпово

Пост Лукацкого

06 декабря 2022 12:10

Многие ИБшники жалуются, что им нехватает людей на решение всех задач в ИБ, которые перед ними стоят 🤬

А кто поставил эти задачи? Сам ИБшник в рамках своего видения? Регуляторы? Бизнес? 😔

И небольшая команда может достичь впечатляющего результата, если ставить перед собой правильные цели! 💪

Пост Лукацкого

06 декабря 2022 05:40

4 сценария, подготовленных для финала "Киберарены" (запись эфира уже на сайте), на которые надо было подготовить план действий за 1 минуту

Пост Лукацкого

05 декабря 2022 15:57

Попробовал натравить ChatGPT на нашу нормативку 😊 Ну что тут сказать. Даже хваленый ИИ пасует перед нашими регуляторами. И хотя толкование текста проще самого анализируемого фрагмента, до идеала там еще далеко. Даже вредоносный код понятнее пишется, чем требования регуляторов 😊

Пост Лукацкого

05 декабря 2022 08:50

Аксиому «защита не должна быть дороже защищаемой информации», можно перефразировать в «защита не должна быть дороже суммы выкупа операторам ransomware»! 👌

Пост Лукацкого

04 декабря 2022 21:23

В выходные "поигрался" с ChatGPT. Завтра в блоге опишу этот опыт. Есть интересные сценарии....

Пост Лукацкого

04 декабря 2022 13:31

Уравнение доверия… к человеку, ПО, вендору, регулятору… Очень простая модель, но многое объясняющая.

Например, у регуляторов часто заниженная С и завышенная S, что приводит к снижение доверия к их документам. У вендоров высокое S и низкое I. У open source - низкое R…

Так и источники Threat Intelligence можно оценивать наверное?..

Пост Лукацкого

03 декабря 2022 21:05

Подогрев кресла или руля в авто по подписке? Процессоры по подписке? Что дальше? Кардиостимуляторы?

Желание заработать бабла - это нормально, но наличие возможности отключать купленное решение за неуплату открывает новые возможности для плохих парней (а также государств, давящих на несогласных). Тут вам и пиратство, и взлом подписки, и… блокировка действующих лицензий с требованием выкупа (возможность же есть)

Пост Лукацкого

03 декабря 2022 13:10

CERT Societe Generale обновил свои плейбуки по реагированию на инциденты, выложив их в паблик. Русскую версию они обновлять не стали, оставив вариант шестилетней давности

Пост Лукацкого

03 декабря 2022 10:15

Интересный способ применения геймификации в банковском деле 😂 Интересно, какая ачивка будет у лидера списка? Кирпич, бита, паяльник?..

ЗЫ. Спасибо подписчику Виталию за ссылку!

Пост Лукацкого

03 декабря 2022 07:40

Вы же знаете Анну Семенович? Вы думаете она фигуристка ⛸️? Нет! Певица 👩‍🎤? Нет! Она инфлюенсер!

Пришло тут ко мне рекламное агентство, которое продвигает топовых инфлюенсеров, и предложило снять со мной ролик. Ну все, думаю. Вот она слава пришла. Теперь Тик-Ток у моих ног, я с Анной Семенович, Лизой ЛПшкой или Лерой Изумруд в одном ряду. Софиты, поклонницы, миллиарды доходов…

Но все оказалось куда прозаичнее ;-(

Пост Лукацкого

02 декабря 2022 11:35

Последние пару дней ознаменовались тем, что две ИБ-компании столкнулись с инцидентами. Одна, уже известная LastPass, которая уже страдала от взлома в августе этого года и вот снова - кто-то, получивший доступ к аутентификационной информации еще в августе, использовал ее сейчас для доступа к облачным сервисам LastPass. И хотя LastPass ссылается на то, что пароли пользователей не пострадали (у них же архитектура Zero Knowledge, ё-моё), я бы все-таки их поменял. На всякий случай.

Второй инцидент у компании ENC Security, технологии которой используются в USB таких производителей как Sandisk, Sony, Lexar и т.п. Утекли конфигурации и файлы сертификатов за целый год. Причина - некорректная конфигурация поставщика.

Известная поговорка, что и на старуху бывает проруха, доказана дважды. Нет смысла делать какие-то выводы (все могут пострадать), кроме одного - подумайте о безопасности цепочек поставок и о том, как вы защищаетесь от возможной компрометации ваших подрядчиков и поставщиков, в том числе и в области ИБ.

Пост Лукацкого

02 декабря 2022 05:40

Очередная модель зрелости/эволюции SOCов

Пост Лукацкого

07 декабря 2022 15:31

А еще опрос PwC 700+ руководителей американского бизнеса интересен тем, что он для каждого типа опрошенного руководителя подсвечивает его боли и ключевые интересы. Хотя можно это назвать и направлениями, в которых могут быть реализованы недопустимые события.

Например, о кибератаках больше думают не рисковики, как можно было бы подумать (у них этот риск где-то в середине списка, как видно на картинке), а финансовые директора. А те же COO (operations) активно смотрят в автоматизацию и цифровую устойчивость, которые имеют множество точек соприкосновения с ИБ. Ну и т.д.

В целом, отчет интересен тем, что позволяет посмотреть на пути развития ИБ с точки зрения топ-менеджмента.

Пост Лукацкого

07 декабря 2022 09:47

Почему ИБшники не изучают бизнес? Товар-деньги-товар, P&L и вот это вот все... Например, сертификация средств защиты. С точки зрения традиционного ИБшника - это способ оценки соответствия средства защиты неким требованиям и определенная гарантия, что СрЗИ не содержит явных уязвимостей и недекларированных возможностей.

Но с точки зрения бизнеса сертификат - это билет в мир государственных денег. Не имея этого билета, нельзя попасть в реестр отечественного ПО, а значит, получить доступ к государственным заказчикам и их деньгам. Чтобы получить этот билет, надо приложить определенные усилия и... ЗАПЛАТИТЬ ДЕНЬГИ. Причем без денег вы точно сертификата не получите.

Да, продукт должен соответствовать определенным требованиям, процесс его разработки должен также соответствовать. Но в конечном итоге у этого "билета" есть цена, за которую вы его и покупаете. И очень редко, когда вы, заплатив деньги, не получаете взамен товара сертификата.

Поэтому, когда я пишу, что сертификат "покупается", я не умаляю достоинств ни испытательных лабораторий, которые устанавливают цены на сертификацию и живут за счет этого бизнеса, ни органов по сертификации. Я просто фиксирую мысль, что это обычные бизнес-отношения, подчиняющиеся обычным законам бизнеса, которым, увы, правят деньги.

ЗЫ. Хотя, по чесноку, за 30 лет в ИБ я видел многое, в том числе и ситуации, когда сертификаты "выписывались" в самолете во время командировки в США; при этом сертифицированный продукт не проверялся, а вся методика его испытаний состояла из проверки наличия файлов в директории установки.

Пост Лукацкого

06 декабря 2022 19:27

То ли у Гугла закончились картинки для reCAPTCHA, то ли они и правда считают равнозначными объект и стилизованное изображение объекта…

Пост Лукацкого

06 декабря 2022 08:55

Или ты или тебя! Другого не дано!

Пост Лукацкого

05 декабря 2022 19:00

То есть соотношение в США 1 к 2,5. Интересно, какое соотношение у нас? Кажется мне, что, как минимум, на уровне бумажных требований, у нас около 600 тысяч организаций, в которых на уровне НПА (250-й Указ, ПП-1119, приказы ФСТЭК) требуется иметь службу ИБ. А это соотношение 1 к 10.

В США только у шесть тысячных процентов компаний есть свой Red Team. Интересно, а у нас какое соотношение будет?

Пост Лукацкого

05 декабря 2022 12:01

Эксперименты с ChatGPT продолжались... Эта зараза объясняет простым языком сложные вещи и позволяет неспециалисту получить быстрый обзор происходящего. Например, не зная языков программирования, можно все равно понять, что делает тот или иной фрагмент кода.

Пост Лукацкого

05 декабря 2022 05:52

Тестирование ChatGPT на выходных вновь подняло множество вопросов о будущем ИБ, которое вроде как еще и далеко, а вроде как уже и на пороге. И вновь задаешься вопросом о том, кому из ИБшников схожие модели укажут на дверь, а кто найдет себя в новом мире.

Пост Лукацкого

04 декабря 2022 17:40

В свое время, одним из крупных заказчиков высокоскоростного сетевого оборудования были порностудии ☺️, которые стримили происходящее у них в прямом эфире 🧼 и, при большом числе зрителей, им требовались высокие скорости и надежность передачи данных. Мне всегда было интересно, как обеспечивается кибербезопасность таких студий 😔 Вот приходишь ты на конференцию по ИБ и, представляясь, говоришь, что ты CISO в Brazzers 🥳 Внимание аудитории тебе обеспечено 😌

Потом уже стало интересно, как осуществляется защита информации в ФСТЭК, Минцифры, ФСБ. Всегда интересно узнать у людей изнутри регуляторов, как они сами относятся к требованиям, разработанными своими же коллегами 🤔. Но в какой-то момент я ответил себе на этот вопрос; как минимум в отношении ФСТЭК и Минцифры. А задавать такие вопросы в отношении ФСБ после вступления в силу 547-го приказа уже как-то и не хочется. Такой же вопрос был относительно тюрем 👮, но не думаю, что в нашей стране это настолько прогрессивная история, как в тех же США с их автоматизацией мест заключения. Но в обеспечении ИБ тюрем одного из сопредельных государств мне доводилось принимать участие много лет назад.

Или вот, как обеспечивают ИБ в РПЦ? 😇 Добавляют ли они молитвы к приказам ФСТЭК; дополняя защиту традиционную еще и небесной? Наконец, в этом году стало интересно, а в частных военных компаниях и выросших как грибы после дождя хакерских группах 🧑‍💻 как обеспечивается ИБ? Или у первых все решается нетрадиционными методами, а у вторых - децентрализованная схема - сам ломаешь, сам себя и защищаешь?

Пост Лукацкого

04 декабря 2022 09:27

У ДИТа, единственного из госструктур, встречается нормальная рекомендация по выбору легко запоминаемого, но стойкого 💪 пароля.

Пост Лукацкого

03 декабря 2022 17:40

Может и хорошо, что иностранные автопроизводители ушли из России? А то возможность удаленно найти, разблокировать, запустить (а остановить на ходу?) известные автомарки пугает…

Пост Лукацкого

03 декабря 2022 10:15

r/ #technology
Банкомат, который показывает всем окружающим твоё фото и твой баланс на карте

Пост Лукацкого

03 декабря 2022 07:53

Спонсором этой кампании является… Роскомнадзор. Кто бы сомневался…

Так что ждем в декабре активной рекламы с теми, кто согласится на щедрое предложение и будет топить за то, что наказание за утечку ПДн надо усилить, углубить и все такое 😈

Пост Лукацкого

02 декабря 2022 22:01

Я бы поспорил с такой оценкой…

Пост Лукацкого

02 декабря 2022 08:31

Этот эфир на Standoff получился самым для меня насыщенным - в течение часа мы поговорили о том:
📌 почему компании не ограничиваются пентестами и идут в программы Bug Bounty,
📌 почему платформа Bug Bounty лучше своей собственной программы,
📌 во сколько обойдется участие в Bug Bounty для компании,
📌 чем Bug Bounty отличается от пентеста и когда надо их применять,
📌 какие выгоды получает компания от участия в Bug Bounty,
📌 и т.п.

Пост Лукацкого

01 декабря 2022 22:00

Парадоксальная ситуация. Когда публикуешь дайджест законодательных инициатив раз в месяц и там набирается 25-28 пунктов, он не вызывает такой реакции, как дайджест сразу за два месяца с 50-56 НПА 🤔

С точки зрения математики и здравого смысла - это одно и тоже (число НПА за заданный период). Но второе воспринимают как «достали уже со своей писаниной регуляторы», а первое такой реакции не вызывает.

Интересно, если подвести годовой итог и там получится под триста НПА по ИБ, то какой будет реакция?

Но все это, конечно, объяснимо - психология. Чем реже мы о чем-то слышим/узнаем, тем бОльшую реакцию это вызывает в момент ознакомления. В психологии восприятия рисков та же история - события с меньшей частотой чаще преувеличиваются, а события, происходящие постоянно, принижаются.