Пост Лукацкого

18 ноября 2022 16:03

Если верить "Киберпартизанам", они взломали Роскомнадзоровский ГРЧЦ, потырили немало внутренней информации, утащили переписку работников, пошифровали рабочие станции и, судя по компрометации AD и получению доступа к используемой DLP, еще и получили учетку админа ГРЧЦ 🧑‍💻 И судя по скринам, я вполне допускаю, что это не фейк, как уже бывало раньше со стороны других хакерских группировок, и это не "опубликованная ранее в Интернет публичная информация".

Как говорится, 100% ИБ не бывает, но лишний раз демонстрируется, что и на старуху бывает проруха 🤷‍♂️

Пост Лукацкого

18 ноября 2022 12:25

Возвращаясь к трехдневной давности посту о прогнозе Gartner о слиянии разных SecOps-решений в рамках SIEM. Они даже приводят цифры - 75% вендоров SIEM будут предлагать клиентом консолидированные решение SIEM+IRP+SOAR+TIP. Интересный прогноз. Раньше считалось, что решения должны быть все-таки разные. Видимо, нехватка кадров и требования по оперативному реагированию сместили акценты. #nosocforum

Пост Лукацкого

18 ноября 2022 05:40

4 ноября этого года ФСБ выпустила приказ №547 "Об утверждении перечня сведений в области военной, военно-технической деятельности, которые, при их получении иностранным источниками могут быть использованы против безопасности РФ".

Интересно в этом приказе то, что его существенно расширили и теперь стоит внимательно относиться к тому, что говорить или писать в иностранных СМИ, на зарубежных мероприятиях, коллегам с двойным или просто одним, но нероссийским гражданством. Во избежание так сказать... В перечень внесены следующие сведения в области ИБ:
📌 сведения о действительных наименованиях, дислокации и персональные данные сотрудников, включая их контактную информацию, подразделений ФСБ (это теперь нельзя про 8ку ничего писать, а их контакты удалить с телефона, который синхронизируется и бэкапится в зарубежном облаке?)
📌 сведения об использовании криптографической защиты, квантовых технологий и искусственного интеллекта при разработке вооружений, военной и спецтехники
📌 сведения о центрах ГосСОПКИ и инцидентах в рамках ОПК
📌 сведения о закупке СрЗИ для нужд ОПК
📌 сведения о составе и организации работы ГИС и ОКИИ (включая незначимые), их ЦОДах, исходниках ПО, ТЗ, моделях угроз, паролях, настройках СрЗИ, результатах анализа защищенности и реагирования на инциденты
📌 сведения об обеспечении ИБ в области космической деятельности.

Вообще 31-й пункт перечня (про КИИ) меня смутил и напряг. Это что, теперь нельзя публиковать данные с обобщенными результатами пентестов (типа таких)? А на конференциях типа "Магнитки" нельзя делиться лучшими практиками и опытом защиты финансовых организаций? А на GitHub нельзя держать open source утилиты, которые применяются для пентестов ОКИИ? Много вопросов... 🤔

На фото рассекреченные плакаты Агентства национальной безопасности. Вы видите на них что-то секретное? 🤷‍♂️ Неужели фраза "take a positive approach to security" 😊 Мне кажется мы еще "наедимся" последствий бездумного засекречивания 🧐

Пост Лукацкого

17 ноября 2022 08:32

Сегодня я решил описать тему другого своего несостоявшегося доклада, посвященного тоже SOCам с финансовой точки зрения. На этот раз речь идет о возможных моделях ценообразования и лицензирования центров мониторинга, тарификации и т.п.

Пост Лукацкого

16 ноября 2022 22:53

Обратите внимание вот на этот слайд - это проект документа ФСТЭК с требованиями к NGFW, о котором я писал на прошлой неделе

Пост Лукацкого

16 ноября 2022 20:36

⚡️ Standoff пройдет уже в ноябре

Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.

Что будет 

📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.

📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.

📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса. 

📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.

Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com

👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!

Пост Лукацкого

16 ноября 2022 17:40

Государство достаточно активно занялось вопросом ИБ, выпускает кучу нормативки и методичек, но все это должно, как мне кажется, сопровождаться оценкой общего уровня защищенности, чтобы понять, насколько мы все движемся в правильном направлении.

Можно попробовать измерить общий индекс ИБ страны, но он ничего не говорит о том, что конкретно надо улучшать. Можно попробовать задействовать метрики ИБ. Вот так, например, в Новой Зеландии оценивают уровень цифровой устойчивости отраслей (называется Cyber Resiliense Barometer). По сути своей, они просто взяли NIST Cyber Security Framework и заставили попросили компании ежеквартально его заполнять, проставляя против каждого блока защитных мер значение по пятибалльной шкале.

Компании могут делать тоже самое и сделать это даже частью своего SOC, который помимо всего прочего будет иметь в своем сервисном каталоге и услугу по оценке состояния защищенности организации.

Надо будет посмотреть, что ФСТЭК придумала в своей методике, о которой я писал вчера, и насколько получаемые в ней уровни зрелости могут быть выведены на уровень отрасли или страны.

#nosocforum

Пост Лукацкого

16 ноября 2022 14:32

Руководство по принятию решений в части борьбы с шифровальщиками. Делится на три части - подготовка к борьбе с ransomware, процесс реагирования на активность шифровальщика и восстановление от последствий.

Интересно, что руководство не говорит вам, не платите вымогателям. Оно подводит вас к правильному решению в зависимости от того, как вы ответили на предыдущие вопросы. И это будет решение взвешенное с разных точек зрения и с учетом интересов бизнеса, а не вот это вот «не платить ни при каких условиях и пусть бизнес в следующий раз думает, когда урезает бюджет на ИБ».

#nosocforum

Пост Лукацкого

16 ноября 2022 11:13

Если вдруг вы хотите оценить свою готовность к реагированию на инциденту, то есть неплохой инструмент для этого, разработанный по заказу шотландского правительства на базе двух стандартов по управлению инцидентами - ISO 27035 (две части) и NIST SP800-61.

Этот опросник / калькулятор, конечно, не заменит вам плана реагирования на инциденты, но может подсветить ваши слабые места в этом процессе.

#nosocforum

Пост Лукацкого

16 ноября 2022 05:40

Один из докладов, который я мог бы сделать на SOC Forum был посвящен анализу того, что сегодня делают российские вендора в области SIEM (или SAP, если следовать терминологии Forrester). Но не склалось 😭 Поэтому попробовал описать это неродившееся выступление в виде заметки в блоге. #nosocforum

Пост Лукацкого

15 ноября 2022 20:22

Пока ООН празднует рождение восьмимиллиардного жителя, а специалисты по цифровой трансформации обсуждают очередное заявление Касперской о необходимости отказаться от цифровизации промышленности и отключать все IoT-устройства (из-за них число атак растет), у нас новая уголовка. На этот раз за разработку и распространение средства для пентестов, внутри которого использовался SQLmap, который, судя по статье, запрещен в России (?). Материалов дела не видел, судить сложно, но такие вот дела снижают привлекательность участия в программах Bug Bounty, так как непонятно, когда тебя возьмут за фаберже ;-(

Пост Лукацкого

15 ноября 2022 17:40

Gartner также вводит новую аббревиатуру "новое" направление в ИБ - exposure management. Это нечто, позволяющее оценивать незащищенность компании с разных точек зрения, и включает в себя
📌 сканеры безопасности,
📌 симуляторы атак BAS,
📌 средства по анализу площади атаки (Attack Surface Management),
📌 средства по анализу компании в Даркнете и в Интернете (открытые извне порты, сайты-клоны, утекшие пароли и т.п.),
📌 платформы для проведения киберучений,
📌 инструментарий для пентестов/Red Team и т.п.

Думаю, что идея тут не в выделении очередной "магической" аббревиатуры, а в том, что пора на свою незащищенность смотреть с разных точек зрения, но в рамках унифицированного процесса, в идеале объединив разрозненные решения с помощью API в рамках некого оркестратора.

#nosocforum

Пост Лукацкого

15 ноября 2022 13:15

Обновленная карта по пентесту AD. Можно ли считать пентесты и киберучения частью SOCа? А все зависит от сервисной стратегии и каталога услуг. Мне доводилось встречать оба варианта - в одном случае пентесты были просто частью предоставляемых SOCом сервисов, в другом - с помощью пентестов/Red Team оценивалась эффективность SOC и его способность выявлять и реагировать на атаки хакеров. #nosocforum

Пост Лукацкого

15 ноября 2022 08:10

Тут по телеку опять показывали "Хоттабыч" и там есть сцена, которая, как мне кажется, уже происходит или скоро будет происходить и у нас 😈 - легализация взломов ресурсов противников 🧑‍💻 А когда закончится СВО (должна же она когда-нибудь закончиться), тогда все эти хакеры обратят внимание куда?.. Да, SOCам стоит готовиться к этому уже сейчас.

#nosocforum

Пост Лукацкого

14 ноября 2022 21:46

TLP:CLEAR

title: Конференция компании Devo для аналитиков SOC
author: Alexey Lukatsky (Positive Technologies)
description: Прошедшая недавно конференции была посвящена не технологиям, а рассказу о том, как не выгорать специалистам SOC, как поддерживать свое здоровье и т.п. Презентаций не было - круглые столы и онлайн-дискуссии.
tags:
- conference
references:
- https://www.socanalystday.com
falsepositives:
- no

#nosocforum

Пост Лукацкого

18 ноября 2022 15:47

Место отдельным SecOps-решениям, конечно, останется, но чем более зрелым будет заказчик, тем больше шансов, что он выберет консолидированную платформу, а не разрозненный стек продуктов. #nosocforum

Пост Лукацкого

18 ноября 2022 08:59

Как-то тема оценки защищенности неожиданно хорошо выстрелила за последнюю пару недель, что я решил ей уделить отдельную заметку в блоге. Набралось дофига новостей по этому направлению - это и 4 методики ФСТЭК, и парочка документов ФСБ, и методика американской CISA, и с десяток проектов ГОСТов по оценке защищенности, и еще кое-что. Обо всем этом и решил написать. В конце концов, это тоже часть #nosocforum

Пост Лукацкого

17 ноября 2022 23:24

В чем отличие должности директора по информационной безопасности в России и в мире

🙇 В большинстве российских компаний, особенно небольших, специалист по ИБ выполняет организационные функции в рамках своей деятельности и практически никогда не выходит на уровень коллегиального органа (совета директоров, правления и других управленческих структур) и не участвует в принятии стратегических решений, необходимых для развития бизнеса.

🤵 На Западе начальник службы ИБ может участвовать в совещаниях по инвестициям наравне с финансовым, операционным директором и другими руководителями, хотя он и оценивает проекты с точки зрения ИБ. Чаще всего он не входит в структуру IT-департамента, а подчиняется непосредственно генеральному, операционному или финансовому директору.

Чем различается восприятие должности CISO в России и в остальном мире? Что отличает CISO от других руководителей в сфере ИБ? Какие риски связаны с активной публичной деятельностью CISO?

Об этом порталу Cyber Media рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

#PositiveЭксперты

Пост Лукацкого

17 ноября 2022 05:40

А вы, занимаясь ИБ, покупали уже акции какой-либо компании по ИБ или целого фонда? Насколько вы верите в сам рынок, что он будет расти? Если верите, то почему не прикупить акций (даже немного)? Если не верите, то почему продолжаете работать в ИБ?

Я раньше как-то не особо задумывался об этом способе заработка. Ну были у меня акции Cisco; ну так их мне работодатель выдавал. Потом я прикупил акций одного из фондов, включающих акции многих зарубежных ИБ-компаний. Потом прикупил акций Positive Technologies (еще до выхода к ним на работу и даже до 24 февраля).

Я могу ошибаться, но все-таки считаю, что это некий маркер того, насколько зрелый рынок ИБ. Не с точки зрения самих вендоров (тут у нас всего пока один только Positive), а с точки зрения ИБшников.

ЗЫ. Хотя из Москвы легко рассуждать о том, куда потратить деньги 💰 Но с другой стороны, надо же верить в лучшее ;-)

Пост Лукацкого

16 ноября 2022 22:45

ФСТЭК в этом году прям достойно выступила на SOC Forum. Виталий Сергеевич Лютиков презентовал ключевые нормативные изменения по ведомству (ниже на фото), а Елена Борисовна Торбенко в своем докладе рассказала о практических рекомендациях по защите объектов КИИ, включая и отражение атак supply chain и многое другое. Кто-то смотрит на нормативку регулятора буквально и требует пояснений и согласования на каждый чих, а кто-то превращает нормативку в результативную ИБ. Каждый видит в приказах ФСТЭК что-то свое 🤔

Пост Лукацкого

16 ноября 2022 20:36

standoff запущен позитивом
и для страны и за рубеж
и для души да и во благо
себе ж

22-24 ноября буду участвовать в онлайн-программе The Standoff, сразу в пяти мероприятиях:
📌 Кибератаки на российские компании. Опыт 2022 года
📌 Подведение итогов киберучений на инфрастуктуре Рositive Тechnologies. Запуск программы bug bounty на 1 млн.долларов
📌 Может ли bug bounty стать гарантией киберустойчивости бизнеса?
📌 Влияние кибератак на котировки акций публичных компаний
📌 Мемы в ИБ: можно ли говорить об информационной безопасности картинками

Где-то буду простым участником, где-то буду модерировать более опытных коллег, где-то буду отвечать на вопросы ведущего. Зарегистрироваться можно на сайте мероприятия.

Пост Лукацкого

16 ноября 2022 16:10

❗️Якутская лаборатория судебной экспертизы (входит в структуру Минюста РФ) заказала софт для взлома и изучения содержимого смартфонов, планируемая цена закупки превышает 730 тыс. рублей. Помимо нашумевшего защищённого мессенджера ViPole, впервые в списках интересующих облачных сервисов для «извлечения и импорта данных» обнаружилось эротическое приложение Onlyfans, заметил O!News.

Экспертизы средств связи подобные учреждения Минюста проводят в основном в рамках уголовных дел – по запросам следователей и спецслужб. Чаще всего используется программный комплекс под названием «Мобильный криминалист» от российской фирмы Oxygen Software, которая недавно провела ребрендинг и стала «МКО Системы». По-видимому, компания включила в портфель услуг Onlyfans.

Сервис платных интим-видео Onlyfans до этого не встречался в программных требованиях российских судебных экспертов, но появление в закупке говорит о том, что интимная отрасль окажется под более значительным контролем силовиков. В 2020–2021 годах в Красноярске, Череповце и Петербурге проводились рейды на вебкам-студии, на организаторов заводили уголовные дела о незаконном изготовлении и обороте порнографических материалов.

Подписаться на O!News

Пост Лукацкого

16 ноября 2022 13:02

На прошедшей на днях в США CyberwarCon активно рассказывали о различных атаках и кампаниях (почему-то часто упоминалась Россия), представляли результаты исследований и т.п. Среди прочих, эксперты признанной экстремистской и запрещенной в России META представили свое видение цепочки атак в онлайн-пространстве (online operations kill chain), которая состоит из 10 этапов:
📌 Покупка активов для проведения дальнейших атак (хостинг, e-mail, IP, аккаунты и т.п.)
📌 Маскировка купленных активов под легальные
📌 Сбор информации о среде, в которой будет проводиться операция
📌 Координация и планирование работы купленных активов
📌 Тестирование/проверка защиты
📌 Обход обнаружения
📌 Массовые, нецелевые атаки ("по площадям")
📌 Выбор целевой жертвы
📌 Компрометации активов
📌 Скрытие активности.

#nosocforum

Пост Лукацкого

16 ноября 2022 08:10

Раз уж я начал вчера про оценку защищенности, то, как нельзя кстати, в журнале "ИТ-Менеджер" вышла моя обзорная статья про разные варианты оценки защищенности, в которой я "пробежался" по сканированию уязвимостей, DAST, BAS, пентестам, Red Team и Bug Bounty. То, что я не осветил в статье, так это интеграцию всех этих решений в SOC, так как они часто служат инструментами для обогащения и корреляции событий ИБ, которые поступают от средств мониторинга. #nosocforum

Пост Лукацкого

15 ноября 2022 21:40

Пока экспертное сообщество обсуждает новое уголовное дело и задается вопросом, не посадят ли теперь за использование ALT Linux, в состав которого также входит SQLmap (интересно, а в другие сертифицированные дистрибутивы Линукса?), я завершу этот насыщенный день моей статьей про 250-й Указ Президента, которую опубликовал сегодня РБК (требуется подписка Pro)

Пост Лукацкого

15 ноября 2022 19:12

Ну и вдогонку к предыдущей заметке, но уже про Россию. ФСТЭК готовит методику оценки состояния защиты информации в организации. Правда, ФСТЭК смотрит на оценку защищенности чуть более высокоуровнево, чем Gartner. Скорее они дополняют друг друга - ФСТЭК хочет оценивать общее состояние ИБ в организации, а Gartner говорит о поисках конкретных слабых мест, которые приводят к компрометации.

Все у ФСТЭК хорошо, но я бы поменял классификацию уровней зрелости, так как сейчас классификация "низкий - базовый - базовый повышенный - высокий" сносит мозг напрочь. Лучше либо взять за основу уровни зрелости CMMI либо убрать "базовые" уровни (чем базовый отличается от низкого, а базовый повышенный от базового и почему базовый повышенный нельзя назвать средним?), заменив их на "средний". Но пятиуровневая шкала лучше.

ФСБ при этом опубликовала проект приказа "Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими" (в развитие 250-го Указа).

#nosoсforum

Пост Лукацкого

15 ноября 2022 16:07

Так сложилось, что сегодня началось еще одно мероприятие по SecOps, но уже в США. И если у нас мероприятия начинаются с выступлений регуляторов, то у них с выступлений Gartner :-)

Gartner делает прогноз по развитию SecOps-инструментов, считая, что SOAR, IRP и TIP будут сливаться в единое решение TDIR, которое, в свою очередь, будет сливаться с SIEMами. Да, отдельные решения будут еще существовать, но унификация решения - это мейнстрим по версии Gartner.

#nosocforum

Пост Лукацкого

15 ноября 2022 11:13

TLP:CLEAR

title: Конференции SANS для специалистов SOC
author: Alexey Lukatsky (Positive Technologies)
description: Очень неплохие видео за несколько лет с конференций Blue Team Summit, Threat Hunting Summit, Incident Response Summit, Cyber Threat Intelligence Summit, DFIR Summit
tags:
- conference
references:
- https://www.youtube.com/c/sansinstitute/playlists?view=50&sort=dd&shelf_id=2
falsepositives:
- no

#nosocforum

Пост Лукацкого

15 ноября 2022 05:40

Вы знаете какова цена зерен кофе в стоимости чашки кофе? Всего 4%! А целых 60% от стоимости чашки кофе уходит на аренду помещения и оплату труду работников кофейни. Аналогичная история и со стоимостью коммерческих SOCов и структурой их затрат. Порассуждал об этом в блоге. #nosocforum

Пост Лукацкого

14 ноября 2022 20:22

TLP:CLEAR

Что же делать, чтобы решить проблему перегрузки аналитиков SOC? Согласно результатам опроса на первое место среди менеджеров выходит использование продвинутой аналитики, лучшая поддержка от боссов и правильная приоритизация инцидентов и задач. У работников SOC тройка другая - психологическая помощь и программы по управлению стрессом (не знаю, никогда не пользовался, но допускаю, что полезная штука), правильная приоритизация инцидентов и задач и автоматизация workflow.

Автоматизация, продвинутая аналитика, машинное обучение... Это те меры, которые также могут помочь снизить нагрузку на аналитиков и это то, что сейчас является трендом при разработке SIEM/SAP, о чем я напишу в блоге в рамках #nosocforum