Пост Лукацкого

22 января 2023 11:10

И Гугл не идеален, как и любая иная поисковая система. Везде может засесть враг

Пост Лукацкого

22 января 2023 07:19

"Утечки не было!". "Она старая!". "И вообще это не у нас!". Никакой фантазии у тех, у кого утекло. Вот как надо реагировать на утечку ;-)

ЗЫ. Если кого-то задевает некоторый сексизм в отдельных шутках и мемасиках... ну, извините. Я тоже не совершенен :-)

Пост Лукацкого

21 января 2023 16:08

Mailchimp снова взломали. Второй раз за полгода. Кто пользуется их рассылками стоит задуматься о смене паролей и вообще…

Пост Лукацкого

21 января 2023 09:35

Вот и «чисто» ИБ-компании стали сокращать персонал. Sophos сокращает 10%

Пост Лукацкого

20 января 2023 20:11

Ну и финалочка на сегодня про ChatGPT (наверное, если больше ничего в голову не придет). Попросил ее написать мне стихи про кибербезопасность. Вот тут вылезла слабость ИИ при работе с русским языком. На английском стихотворение вполне рифмованное, чего не скажешь о русском тексте.

Пост Лукацкого

20 января 2023 16:15

Если помучаться, то Midjourney может нарисовать картинки в любом стиле - от Рубенса до Пикассо и от Disney до Pixar. Ну а чтобы сделать из прототипа картинку, нужно уже некоторое знание графических редакторов, чтобы нанести нужный текст в правильное место. Предыдущие картинки я "рисовал" без каких-либо редакторов, но вот на текущих без них уже не обойтись. Поэтому просто показываю вариант на текст ChatGPT, что CISO отказали в бюджете на ИБ.

Пост Лукацкого

20 января 2023 12:44

Агентство CISA обновило свое руководство "Best Practices for MITRE ATT&CK® Mapping", которое должно помочь специалистам правильно "разложить" кибератаки на тактики, техники и процедуры из матрицы MITRE ATT&CK.
В новой редакции учли изменения самой матрицы, добавили таблицу с распространенными аналитическими ошибками и погрешностями, а также сформулировали рекомендации по "маппингу" для систем управления производственными процессами.

Пост Лукацкого

20 января 2023 09:55

Кстати, идея для авторов телеграм-каналов 👨‍💻 - не знаешь, что писать или пропало вдохновение✍️, привлеки ChatGPT. Задай ей вопрос и опубликуй ответ. Так можно прожить достаточно долго 👋 Да, я сам так сегодня сделал 😂

Пост Лукацкого

20 января 2023 09:11

Регулярно прилетают какие-то идеи и я их тестирую на ChatGPT. Вот, например, попросил ИИ написать для меня заметку в блог про метрики ИБ, интересные для гендиректора. Получился вот такой текст (я его вообще не менял, не причесывал, не корректировал):

Кибербезопасность является ключевым фактором для любой компании, и генеральный директор должен быть в курсе о том, как защищены ИТ-активы компании. Для отслеживания кибербезопасности необходимо определить несколько ключевых метрик:
1️⃣ Количество и тип кибератак: Отслеживание количества и типов кибератак, которые направлены на компанию, позволяет оценить уровень уязвимости и сделать необходимые меры по защите.
2️⃣ Рейтинг безопасности: Оценка рейтинга безопасности компании по сравнению с другими компаниями в отрасли позволяет оценить уровень защиты и сделать необходимые меры для улучшения.
3️⃣ Процент защищенности: Отслеживание процента защищенности ИТ-активов компании позволяет оценить насколько изменяется состояние защиты и определить необходимые меры для улучшения.
4️⃣ Время восстановления после инцидента: Отслеживание времени, необходимого для восстановления после инцидента, позволяет оценить эффективность плана действий по восстановлению и сделать необходимые меры для улучшения.

Генеральный директор должен регулярно отслеживать эти метрики и делать необходимые меры для улучшения кибербезопасности компании. Это поможет держать руку на пульсе о том, как защищены ИТ-активы компании и минимизировать риски потери данных или других убытков.

Очевидно, что если улучшить и детализировать сам вопрос, то и текст получится менее абстрактным.

Пост Лукацкого

20 января 2023 05:40

Я завершил серию заметок, рассказывающих о том, как иностранные CISO ходят к своему руководству и как доносят до него непростую тему кибербеза. Вот что вошло в эту серию:
1️⃣ С чем CISO ходят к своему руководству? 8 примеров
2️⃣ С чем CISO ходят к своему руководству? Разговор о рисках, угрозах и недопустимых событиях
3️⃣ С чем CISO ходят к своему руководству? Демонстрация зрелости ИБ
4️⃣ С чем CISO ходят к своему руководству? Критические инциденты
5️⃣ С чем CISO ходят к своему руководству? Инициативы по ИБ
6️⃣ С чем CISO ходят к своему руководству? Метрики ИБ

Пост Лукацкого

19 января 2023 17:40

В отчете Всемирного экономического форума есть и другие интересные выводы:
1️⃣ характер киберугроз меняется и на первый план выходит нарушение бизнес-процессов и ущерб репутации (это два основных опасения всех респондентов)
2️⃣ геополитическая нестабильности помогла уменьшить разрыв в восприятии ИБ у CISO и топ-менеджмента, которые ожидают катастрофических киберсобытий в ближайшие пару лет. 43% руководителей считают, что киберугрозы приведут к материальному ущербу, а не просто финансовым или репутационным потерям. Это приведет к большему выделению денег на повседневную ИБ (SecOps), чем на долгосрочные инвестиции в ИБ
3️⃣ Защита данных и геополитика приводит к балканизации (фрагментации), что приводит к изменению принимаемых решений касательно инвестиций в ИБ-решения и в то, как управляется бизнес
4️⃣ Руководство компаний понимает, что их безопасность зависит от ИБ на всем протяжении бизнес-процесса, включая и всю цепочку поставок
5️⃣ Бизнес и ИБ стали чаще встречаться. 56% CISO говорят, что встречи проходят ежемесячно.
🔤 Ну и до кучи рекомендации о том, что ИБ и бизнесу надо говорить на одном языке, метрики помогают наладить коммуникации, людей не хватает и т.п.

Пост Лукацкого

19 января 2023 15:29

Это, конечно, занимательная иллюстрация. Руководителей бизнеса и ИБ спросили, насколько они чувствуют свои организации устойчивыми в цифровой сфере. У топ-менеджмента уверенность в своей киберустойчивости пошатнулась за прошедший год. А вот у ИБшников она наоборот выросла.

Пост Лукацкого

19 января 2023 09:11

К Всемирному экономическому форуму был подготовлен не только отчет о глобальных рисков (см.👆), но и отчет по кибербезопасности, в котором руководители бизнеса и руководители ИБ делились своим видением влияния ИБ на бизнес и геополитику. Отчет достаточно высокоуровневый, но есть интересные моменты, которые меня зацепили и о которых я напишу дальше.

Пост Лукацкого

19 января 2023 05:40

Ну что, завершаю серию заметок про то, как иностранные CISO ходят к топ-менеджменту, защищая себя, свои проекты, своих подчиненных, свои инициативы. На этот раз поговорим на мою любимую тему - о метриках, которые позволяют демонстрировать определенные достижения в области кибербезопасности. CISO из описываемых мной примеров в части применения метрик при общении с руководством активно спорили о том, что лучше, - больше рассказывать, а не фокусироваться на числах, или наоборот. Понятно, что какие-то метрики все равно будут включены в отчеты для руководства (тот же уровень зрелости), но надо сразу сказать, что универсального перечня метрик не было, нет и вряд ли будет. Все очень сильно зависит от кучи условий, ключевых инициатив и инцидентов, отрасли компании и множества других факторов.

Пост Лукацкого

18 января 2023 12:27

Помните фильм "Падение Олимпа", где доблестный бывший начальник охраны американского президента побеждает всех северокорейских террористов?

Всегда удивлялся количеству ляпов, которые допущены в этом фильме. Но больше всего удивляли ИБшные ляпы. Главного героя увольняют из секретной службы, переводят на работу клерком в Казначейство, что подразумевает, что ему должны были не просто заблокировать учетную запись, но и вообще ее аннулировать. Но нет, все продолжает работать, как ни в чем не бывало...

Хотя после истории с секретными документами у двух президентов США и ноутбуком сына действующего президента уже и не так удивительно. Может авторы фильма 2013-го года что-то уже тогда знали? Или у них были действительно хорошие консультанты, знающие, как обстоят дела с ИБ в Белом доме?

ЗЫ. А может главный герой был просто прикомандированным сотрудником службы охраны к Казначейству? 🤔 В России такое часто бывает, когда сотрудники ФСБ прикомандировываются к различным важным организациям.

Пост Лукацкого

22 января 2023 09:50

АНБ вновь разродилось рекомендациями по ИБ. На этот раз по защите IPv6

Пост Лукацкого

21 января 2023 19:29

Небольшое видео на тему важности наличия не только инструмента, но и умения им пользоваться.

К ИБ имеет самое прямое отношение - а то накупят, понимаешь, всяких XDR, SOAR, NDR, NG SIEM и иже с ними, а потом жалуются, что оно не помогает ловить хакеров :-)

Пост Лукацкого

21 января 2023 12:51

Калифорнийский суд отказался оправдывать Джо Салливана, бывшего CISO Uber

Пост Лукацкого

21 января 2023 06:18

Про атаку шифровальщика, от которой пострадало 1000 судов DNV Ship Management написали многие, а про закрытие на сутки нескольких сотен ресторанов KFC и Taco Bell в Великобритании по той же причине никто. А ведь это гораздо ближе и понятнее обывателю. Получить свой товар с задержкой? К этому привыкли многие. Не пожрать вредной еды - катастрофа 🍔

ЗЫ. Интересно оценку ущерба посмотреть от простоя.

Пост Лукацкого

20 января 2023 17:40

Ну прекрасное же 🙂 Хакер в стиле Рубенса и греческая статуя хакера, как их видит нейросеть Midjourney...

Пост Лукацкого

20 января 2023 14:02

А вот в этом варианте я ChatGPT уже дал более четкую задачу - написать комикс про CISO, которому гендиректор отказал в бюджете на ИБ. Дальше этот текст загнал в Midjourney и она мне сгенерила два варианта картинок, из которых я выбрал второй, нанеся на него текст, также предложенный ChatGPT.

Пост Лукацкого

20 января 2023 12:01

Ну и чтобы предыдущий пост не был воспринят за правду 🙂 Помимо текста ИИ может генерить и картинки. Я вот, со своим не самым лучшим чувством прекрасного, попробовал рисовать комиксы про ИБ. DALL-E в этом плане мне не очень подошел - там и лица кривые (для защиты от дипфейков) и надо сильно дорабатывать картинку по результатам создания прототипа. Midjourney в этом плане гораздо интереснее. Первая картинка - 4 варианта по написанному ChatGPT тексту (да-да, текст комикса написала ChatGPT без указания тематики; просто ИБ-комикс). Вторая картинка - доработанный вариант Midjourney и потом я просто придуманный ChatGPT текст нанес на рисунок. Все. Комикс готов :-) На все ушло минут 10-15

Пост Лукацкого

20 января 2023 09:15

А в этом примере я задал чуть больше деталей в вопросе и получил более детальное описание. По сути - это уже основа не просто для заметки в блоге, но для статьи на сайте или для курсовой. В США сейчас активно идет "борьба" с ChatGPT в ВУЗах. Одни просто блокируют доступ к ИИ из вузовской сети или используют сторонние сервисы для проверки текстов, сгенерированных ИИ. Другие - разрешают применение ChatGPT, но устанавливают более высокие требования к тексту и проверяют то, какие вопросы задавал студент ИИ (умение формулировать правильные вопросы, часто гораздо важнее, чем умение получать ответы).

Про написание книг с помощью ChatGPT я уже приводил примеры выше. В общем, если отбросить написание или проверку кода с помощью ChatGPT и сфокусироваться только на генерации текстов, этот инструмент позволяет решать многие проблемы. Например, убогие сайты вендоров по ИБ, создание словарей и энциклопедий по ИБ, написание понятных инструкций, популяризация сложных концепций ИБ простым языком и т.п. И все это можно размещать в своих интернет-ресурсах (если нет хороших авторов).

Пост Лукацкого

20 января 2023 08:14

Госорганы США не выполняют рекомендации по кибербезопасности

Счётная палата США (GAO) опубликовала первый из планируемых четырёх докладов о проблемах в области кибербезопасности, на которые должно обратить внимание федеральное правительство.

Утверждается, что из 335 рекомендаций по кибербезопасности, сделанных GAO с 2010 года, по состоянию на конец 2022 года были выполнены только 40%.

Претензии GAO касаются, в частности, национальной киберстратегии: версия документа, принятая при Трампе, не включала цели и задачи, показатели исполнения, информацию о выделяемых ресурсов. Эти недостатки предлагается исправить в новой редакции киберстратегии, над которой работает администрация Байдена (документ должен быть опубликован позднее в этом месяце).

Другой пример (на картинке) — рекомендации по управлению рисками цепочки поставок. Из 23 ведомств ни одно полностью не выполнило все советы GAO.

Пост Лукацкого

19 января 2023 20:33

Когда мы считаем ущерб по произошедшим инцидентам, то там ничего сложного нет. Методология понятна (я про нее даже экспресс-курс делал). Бери, декомпозируй и считай. Ну разве что исходных данных могут не дать, но это отдельная тема. А вот как быть с ущербом будущих периодов? Посчитать его просто так нельзя - от множества параметров зависит и будущий результат. У вас может быть ущерб 3 миллиона, 10 тысяч, 1 миллиард или вообще никаких потерь. И как это просчитать? Как понять, какой из вариантов наиболее вероятен? Тут может помочь метод Монте-Карло. При определенных условиях...

Пост Лукацкого

19 января 2023 16:09

Чаты и каналы Telegram по информационной безопасности 2023: https://zlonov.ru/telegram-security-list-2023/

Пост Лукацкого

19 января 2023 12:30

Очень интересная диаграмма, которая показывает, что бизнес-руководство опрошенных компаний смотрит на ИБ именно с точки зрения бизнеса; как на тему, которая способствует развитию бизнеса. А вот ИБшники на 20% реже так думают, считая, что ИБ - это больше тема соответствия требованиям. То есть сами ИБшники загоняют себя в тупик, больше занимаясь бумажной безопасностью, чем результативной. И вроде бизнес готов смотреть на ИБ правильными глазами, но ИБ к этому не готова 🙁 То есть это не "бизнес не понимает ИБ", а ровно наоборот 🙁

Пост Лукацкого

19 января 2023 08:47

В режиме опытной эксплуатации опубликован раздел, содержащий результаты тестирования обновлений программного обеспечения и программно-аппаратных средств в соответствии с Методикой тестирования обновлений безопасности программных и программно-аппаратных средств

Пост Лукацкого

18 января 2023 18:52

Что-то вдруг вспомнился свой старый мем на тему нового Постановления Правительства №2360 про изменение правил категорирования объектов КИИ.

ЗЫ. Есть еще и мемасики, которые я делал по случаю.

Пост Лукацкого

18 января 2023 10:27

Почитал рассказ главы "Газпром-Медиа" Жарова про майскую атаку на RuTube. Двойственное какое-то ощущение. Сравнивать свой взлом с атакой на ядерные объекты Ирана - это, конечно, сильно. Кто не помнит, то операция "Олимпийские игры", в рамках которой и было осуществлено проникновение на завод по обогащению в Натанзе (пресловутый Stuxnet), готовилась не один день и потребовала даже (судя по открытым источникам) тренировок на макете, повторяющем завод в Натанзе. Так себе и представляю, что кто-то построил макет RuTube, чтобы атаковать его. Или они на YouTube тренировались?

Дальше больше. В одном месте статьи Жаров говорит, что они готовились к атаке и "дежурная бригада" зафиксировала начало атаки. С другой стороны, почему тогда атака оказалась столь успешной? Жаров говорит, что хакеры не смогли реализовать свою цель, но поражение 90% резервных копий и выход из строя платформы на несколько дней, как-то не очень сочетается с этим заявлением. Про самоотверженный труд программистов RuTube особенно хорошо получилось. В стиле советских передовиц... Про root cause тоже ничего не сказано - разные источники то говорят про инсайдера, то отрицают это, то говорят о злонамеренной атаке, то о случайной.

В общем непонятно, зачем сейчас эта статья вышла, спустя 9 месяцев после атаки... Если бы там были какие-то интересные детали расследования или советы другим, как не повторить путь RuTube, то имело бы смысл. Но просто напомнить о себе и заявить, что во всем виноваты поставщики импортных электронных компонентов и импортного ПО... Нуууу, такое...