Страшилки, конечно, это не лучший метод "продажи ИБ", но иногда и правда надо показать, что вот такое уже случалось с тем-то и тем-то. Поэтому базы инцидентов, сгруппированные по различным признакам, - это очень неплохой инструмент в обосновании своей позиции. Вот, например, база инцидентов ИБ в облаках. Проект достаточно свежий - стартовал в 2022-м году, что и обусловило наличие в нем инцидентов, начиная с прошлого года. Но в остальном, да если еще и обновлять будут (пока актуализируют), цены ему нет.
Читать полностью…Навеяло беседой с коллегой, который утверждал, что у него оценка рисков ИБ в компании реализована. Чтобы убедиться в этом достаточно ответить себе на три вопроса:
1️⃣ Если вас попросят показать реестр рисков, то сколько времени у вас уходит на поиск файла у вас на компе или на корпоративной вики? Подсказка: это время не должно быть больше минуты!
2️⃣ Как давно вы открывали реестр рисков? Подсказка: проверяется по атрибуту Last Opened Date
3️⃣ Ваш финансовый и операционный директор могут показать, где расположен реестр рисков, включающий и ваши риски ИБ? Подсказка: ответ не должен занимать больше трех минут
Интересно, если хакеры после удачного взлома будут выпускать видеообращения и извиняться, что это они «зашли не в ту дверь»🚪 но «всего один раз» (а, как известно, «один раз - не Элтон Джон»), это может рассматриваться как смягчающее обстоятельство и стать причиной отказа от уголовного преследования? Судя по тому, как это делает Киркоров с Биланом и Лолита после посещения «голой вечеринки» 🐇, это рабочая схема 😱
ЗЫ. Еще вспоминается злодейка Анна Сергеевна из "Бриллиантовой руки": "Не виноватая я, он сам пришел!" 😱
🚀Телеграм-канал "Об ЭП и УЦ" специально для телеграм-канала "Пост Лукацкого"🤠
Подписчики нашего канала также сталкивались с мошенническими рассылками, о которых рассказал Алексей Лукацкий. Даже невооруженного взгляда достаточно, чтобы понять, что это мошенническая рассылка, давайте вместе подсчитаем на основании чего можно сделать такой вывод:
1. На всех приказах ФСБ России герб Российской Федерации, а не эмблема ведомства.
2. Приказ не адресуется, как письмо, к тому же по шаблонному обращению -ый (ая).
3. Контакты территориального органа, тогда как "подписал" данный приказ первый зам.главы ведомства.
4. Ни один приказ ФСБ России не имеет такого принципа нумерации.
5. Некорректно написание названия ведомства.
6. Некорректное сокращение, звание.
7. На приказах не ставятся печати, тем более ненастоящие, нарисованная подпись.
8. "Подписан посредством зашифрованного канала связи" - просто набор слов.
9. Серийный номер сертификата не соответствует ни 10-ной, ни 16-ной системе счисления.
10. ФИО в отметке об ЭП не по ГОСТ.
Приятно, что подписчики канала никогда бы не поверили такому письму - сразу обратили внимание на написание серийного номера сертификата.
Я уже писал, что ФГУП Интеграл каждую неделю постит статистику по фишинговым ресурсам, с которыми сталкиваются российские пользователи. У меня по данным регулярным отчетам были вопросы к тому, насколько они вообще полезны в таком виде, но сейчас не об этом.
Наткнулся я на сайте координационного центра доменов .RU/.РФ на раздел "Отчеты компетентных организаций", в котором, на протяжении последних 7 лет, публикуются ежемесячные и годовые отчеты о том, сколько компетентные организации (не органы), которые способны определять нарушения в сети Интернет (их там 12 и среди них Касперский, НКЦКИ, РКН, Интеграл, Банк России, RU-CERT и т.п.), выявляют и блокируют вредоносных доменов. И что-то у меня не бьются цифры из инфографики координационного центра с цифрами, которые публикует тот же Интеграл и НКЦКИ.
По данным последнего еженедельно НКЦКИ выявляет, блокирует и разделегирует около 2000 доменов. Примерно столько же выявляет Интеграл. То есть за месяц, в среднем, только они двое должны выявлять не менее 15000-18000 доменов. А по статистике координационного центра, которая учитывает цифры и Интеграла, и НКЦКИ, это число на все 12 организаций крутится вокруг значения 5000 доменов в месяц. Какая-то нестыковка
ЗЫ. К визуализации гистограммы 📊 у меня тоже вопросы 😊 Зачем манипулировать не только шириной столбика, но и его высотой, которая ничего не отображает и не показывает?
Один российский CISO, являющийся автором высказывания на экране, реализовал мечту и открыл собственный бар 🍹 в Тайланде. А в это время я рассказывал про это высказывание в московском баре 🥃 для CISO, которые, возможно, имеют ту же мечту (ну или другую какую заветную). Неисповедимы пути CISO (как и круговорот баров 🍻) и кто знает, куда занесет их судьба. Но чтобы дать ей шанс, особенно важно уметь общаться с бизнесом на языке денег. И тогда они у вас точно будут, чтобы, как минимум, расплатиться в баре 🍹, а, как максимум, открыть свой собственный 🍸
Читать полностью…Будь я циничным американским чиновником, я бы обязательно заявил, что русские хакеры попытались вмешаться в полет Санта-Клауса 🎅🏻, несущего демократию подарки всему прогрессивному человечеству, негативно воздействовали на систему GPS-геолокации, встроенную в сани 🛷 Санты, и чуть не лишили весь мир еще и новогоднего праздника 🎄
А будь я российским чиновником, которому не чуждо чувство юмора, я бы обязательно выпустил пресс-релиз, что лапландские (на фоне приграничного конфликта с финнами очень даже актуально) киберэльфы попытались помешать нашему деду Морозу 🎅🏼 порадовать детей 👦🏻 новогодними подарками, но в рога наших оленей 🦌 были встроены системы защита от ПЭМИН отечественного производства, сани были построены в соответствии с проектом РД ФСТЭК по средствам защиты от DDoS-атак и в полном соответствие с требованиями по безопасной разработке, а сам дед Мороз прошел курсы повышения осведомленности по ИБ и не поддался на уловки лапландских эльфов 🧝.
МИД, ФСТЭК, ФСБ, Минцифры, РКН, ау... Это же офигенная тема. Актуально, геополитически выверенно, с юмором, да еще и про импортозамещение и столь важный нонче кибербез!!! Нам сейчас так не хватает добра вокруг! 🎁
Думаю, многие из вас слышали про NIST Cybersecurity Framework, один из лучших фреймворков по ИБ, который описывает не только список защитных мер, но и правила их выбора, внедрения и даже оценки зрелости. Менее известен Privacy Framework от NIST (хотя я писал про оба и даже давал Excel'евский калькулятор оценки зрелости по обоим фреймворкам).
И вот тут я наткнулся на интересный инструмент, который позволяет визуализировать работу с защитными мерами, увязать их с угрозами (по методике STRIDE), делать выборки или фильтровать защитные меры под стоящие задачи.
Судя по тому, что помимо русскоговорящих и украинцев меня активно читают жители англоговорящих, испаноговорящих, италоговорящих, франкоговорящих и германоговорящих стран, то не могу не поздравить их с католическим Рождеством! 🎄 Вам, живущим вдали от вашей первой Родины, добра, тепла, мира и безопасности! 🎄 Всех благ! 🎅🏻
ЗЫ. Свитшот продается на Amazon, стоит 32 бакса 😊 Я не в доле!
ЗЗЫ. Сотрудникам иностранных спецслужб 😕, читающим меня по долгу службы, тоже безопасности и побольше! Мы еще встретимся с вами на полях виртуальных сражений ⚔️
Ну что… 50 лет ФСТЭК отпраздновали 🥂, 106 лет органам госбезопасности отметили 🥃, можно и за 32 года ФАПСИ накатить 🥴. Тем более, есть подписчики, служившие в этой структуре, долгое время являвшейся оплотом отечественной криптографии.
10 лет назад ФАПСИ расформировали и только неотмененная 152-я, «розовая» инструкция (22 года стукнуло документу) продолжает напоминать нам, что такая спецслужба у нас была! И вроде уже неоднократно пытались ее заменить чем-то более свежим, но увы. Есть у нас еще незыблемые вещи!
Мошенничество по схеме «сообщение от начальника» выходит на новый уровень. Сначала были просто сообщения от руководителя с предупреждением о звонке/сообщении от куратора из ФСБ. Потом «кураторы» для доказательства стали присылать свои фото с удостоверениями в раскрытом виде (уже смешно, но кто не общался с ФСБ может повестись).
А вот новый вариант. Мне когда подписчик прислал (за что ему спасибо), первые мгновения прям поверил. А когда дочитал до конца смутила фамилия подписанта (сам Королев, а это первый зам Бортникова 😕, утечками в конкретной организации занимается) и приписка, что сообщение подписано ✍️ аж шифрованной связью.
Кем же они потом будут подписываться? Бортниковым уже вряд ли. А вот секретарем СовБеза, самим Медведевым вполне 🎭
Шутки шутками, но вообще интересный способ вовлечения учащихся 👨🏻🎓👩🏼🎓 в учебный процесс. На каком-нибудь химфаке можно химические формулы давать, на филологическом паролем может быть окончание фразы «Mundus vult decipi, ergo…» на латыни, на геофаке название самого популярного минерала триасово-юрского периода, а на историческом - кого использовали жители Фемискиры против римских солдат, устроивших подкоп под стенами города… 🤬
Читать полностью…Вот и такое тоже бывает... 😕 Кто-то хорошо отметил день чекиста... 🥂
ЗЫ. Ссылку не подскажу! 😡
Так совпало - Гарвард и ГРЧЦ Роскомнадзора поделились своими взглядами на развитие ИИ в 2024-м году.
По версии Гарварда Топ7 тенденций выглядят так:
1️⃣ ИИ даст белым воротничкам больше возможностей для проявления себя.
2️⃣ Рост числа дипфейков
3️⃣ Дефицит GPU-процессоров
4️⃣ Появление первых ИИ-агентов, не только помогающих, но и делающих что-то за людей
5️⃣ Принятие CREATE AI Act в США, который позволит студентам и исследователям получить доступ к ИИ-ресурсам, данным и инструментам
6️⃣ Мы будем задавать все более сложными вопросами о том, что мы хотим от ИИ в нашей жизни, и насколько результаты реализации ИИ наших целей будут совпадать (это так называемое выравнивание)
7️⃣ Сложное влияние принимаемой нормативки в области регулирования ИИ на бизнес; особенно в части защиты приватности.
ГРЧЦ имеет свой взгляд на развитие ИИ. По их мнению мы увидим следующее:
1️⃣ Третья революция пропаганды и шквал дезинформации
2️⃣ Применение нейросетей для поиска дезинформации
3️⃣ Внедрение духовного фильтра в использование цифровых инструментов и возрастание роли Русской православной церкви в принятии решений по вопросам применения ИИ
4️⃣ Избегание иностранных языковых моделей, построение своей LLM на наших этических нормах и вовлечение силовых структур в вопросы регулирования ИИ
5️⃣ Создание единого центра валидации качества решений на базе ИИ и их безопасности
6️⃣ Мультимодальные генеративные модели, преимущественно проприетарные
7️⃣ При внедрении ИИ надо будет учитывать вопросы этики и духовные скрепы
В чем разница этих взглядов? Ученые Гарварда (а там прогнозы озвучивали эксперты уровня Fellow) видят в ИИ больше пользы, а имеющие сложности предлагают решать, сильно не ограничивая технологии. Экспертный совет ГРЧЦ видит в ИИ либо плохое (пропаганда и дезинфорация) и поэтому его надо контролировать и ограничивать, либо думает о применении ИИ для поиска плохого и неразрешенного. То есть Гарвард думает о том, чтобы применение ИИ приносило пользу ☺️ а ГРЧЦ - чтобы использование ИИ не приносило вреда 👿 Кардинально разные подходы, которые выльются у нас и в соответствующие, как правило, запретительные и карательные решения. А жаль 🤠
Часто слышу о том, что банки - это самый лакомый кусочек для хакеров. Но это же не так. Кража денежных средств с банковских счетов 👨💻 - это копейки по сравнению с промышленным кибершпионажем, который проводят многие государства против других, обладающих серьезными инновациями. Китай 🇨🇳 - самый яркий пример, когда китайские хакеры или инсайдеры крали ценнейшую информацию о военных 🔫 и гражданских 🛩 разработках американцев, а затем Китай на их основе делал чуть ли полные клоны американской техники и вооружений, не тратя ни юаня 💰 на исследования и инженерные изыскания.
И объемы потерь 💵 от промышленного кибершпионажа измеряются сотнями миллиардов, если не триллионами долларов, а не миллиардами, как от тех же шифровальщиков или иных, привычных инцидентов ИБ! Но да, случаи шпионажа не так часты и не так публичны, как остальные более типичные истории из жизни ИБшников. И проявляются эти кейсы спустя какое-то время, не сразу, что также накладывает свой отпечаток на то, как о них рассказывают и как расставляют приоритеты.
Продолжаем обзор инициатив, связанных с безопасностью и искусственным интеллектом. На этот раз заметка будет про то, как защищать проекты, использующие ИИ в своей основе:
🔤 Достаточно бестолковый фреймворк Google SAIF
🔤 Очень неплохой фреймворк от ENISA
🔤 Свежая, но пока пустая инициатива от Cloud Security Alliance.
Но обзор от ENISA перекрывает пустоту от двух других и изобилует массой полезных ссылок и рекомендаций.
После выхода PT O2 и анонса PT Carbon автоматическое выстраивание цепочек атак, реагирование и рекомендации по уменьшение площади атаки уже не выглядят чем-то невозможным 💡 Но вот как в зарубежном продукте на картинке умудряются увязать это с конкретными суммами денег и посчитать сумму предотвращаемого ущерба и затраты на предотвращение атак в зависимости от выбранного вектора/цепочки атаки, я пока не очень понимаю. Хотя... Если ориентироваться на какие-нибудь цифры Ponemon Institute, Verizon DBIR и т.п., то может быть и можно... Но как они считают длительность мероприятий по уменьшению площади атаки, загадка...😲 Но все равно интересно 😮
Читать полностью…Помните в детских журналах были две похожие картинки и надо было найти 10 отличий? Вот по мотивам моей заметки про мошенничество «сообщение от начальника» с письмо от первого зама директора ФСБ, в канале «Об ЭП и УЦ» повторили эту игру, но уже по-взрослому, найдя 10 ошибок в письме мошенников ;-)
Читать полностью…Пока у нас все с нескрываемым любопытством обсуждают совершенно непонятных кандидатов в будущие президенты или концовку сериала "Слово пацана", в Европе 🇪🇺 происходят не менее любопытные вещи. А именно на уровне всего Евросоюза хотят заставить разработчиков браузеров включить в них 250 корневых УЦ из Европы (с сертификатами, конечно) и запретить их удалять без разрешения локального правительства. Можно только представить себе, во что это выльется с точки зрения легализованного перехвата данных или выпуска мошеннических сертификатов 🤠
Читать полностью…Вот раньше тему противостояния ихнего Санта Клауса и нашего Деда Мороза вкупе с русскими хакерами вполне себе использовали и было забавно 🎅🏼
Читать полностью…Я тут завершил статью (скоро выложу ссылку) про факторы, влияющие на цену инцидента ИБ. Получилось 🔤🔤 пункта, среди которых и достаточно очевидные, например, стоимость расследования инцидента или компенсации пострадавшим, и нележащие на поверхности, например, отклоненные претензии по страховкам киберрисков и влияние на кредитный рейтинг 📉 и повышение затрат на обслуживание капитала). Факторы совершенно разные и не все из них присущи всем инцидентам, - все зависит от организации, отрасли, особенностей управления корпоративными финансами и т.п.
И как доказательство, что это все вполне ощутимые потери 🤑, наткнулся на свежесозданный институтом FAIR сайт "Насколько материален этот взлом?", который по последним нашумевшим инцидентам пытается подсчитать, во сколько обошелся этот инцидент компании с точки зрения денег. Они берут не только явные цифры, названные самими компаниями, но и учитывают различные судебные дела, возбужденные после инцидента 😡 (например, после атаки шифровальщика на сеть отелей MGM, о которой я тут много писал, уже подано 4 иска в суд) 🎰 По каждому инциденту даны ссылки на формы обязательной отчетности об инциденте, поданные в комиссию по ценным бумагам, материалы судебных дел и т.п.
Сейчас на сайте есть данные по инцидентам с Okta, 23andMe, Johnson & Johnson, Keurig Dr Pepper Inc., MGM Resorts, The Clorox Company, Caesars Entertainment, PROG Holdings., Johnson Controls International.
Местами цифры очень интересные. Например, по атаке шифровальщика на казино "Цезарь" в Лас-Вегасе известно, что казино сразу выплатило выкуп в 15 миллионов долларов и, в отличие от MGM, продолжило свою работу. Но все равно, оценочный ущерб для "Цезаря" составляет около 96 миллионов долларов (при нижней границе в 60 и верхней 214 миллионов). У MGM эти показатели иные - 237 миллионов наиболее вероятная оценка и 99 и 631 миллион долларов нижняя и верхняя соответственно.
Мы тут разродились большим числом прогнозов на год грядущий с учетом произошедшего в год уходящий. Свою лепту внес и я, поразмышляв о результативной кибербезопасности, ее итогах в 2023-м и планах на 2024-й год. А мои коллеги поделились своими оценками происходящего в рамках своих зон ответственности (кстати, не так уж и часто в прогнозах указываются конкретные авторы, с которых в конце года можно спросить "А что ж ты вот тут напрогнозировал, мы заложились, а оно не случилось?"):
Часть 1️⃣ - технологии, AppSec, искусственный интеллект, безопасность ОС, блокчейн
Часть 2️⃣ - рынок ИБ, результативная кибербезопасности, Bug Bounty, образование по ИБ
Часть 3️⃣ - взгляд нападающего, веб-атаки на телеком, угрозы и уязвимости аппаратных решений, уязвимое ПО, взгляд Blue Team
Часть 4️⃣ - тенденции угроз (Россия vs весь мир)
Часть 5️⃣ - самые громкие инциденты и наиболее атакуемые отрасли
Всегда, когда вижу такие видео инцидентов на промышленных предприятиях (в данном случае на аллюминиевом производстве), задаюсь вопросом - а может ли быть кибератака причиной такого события?
Читать полностью…В США смена руководства АНБ и киберкомандования. Тимоти Хаф, который сейчас является замом руководителя киберкомандования, сменит Пола Накасоне в начале 2024-го года после соответствующей церемонии
Читать полностью…ЦОТМ ФСБ и МУР МВД подготовили видео в формате комиксов о популярных методах мошенничества в Интернете, в том числе и про схему "сообщение от начальника".
Будьте бдительны!
Когда специалисты по ИБ говорят и пишут "митигация рисков", "коллаборация" и "комплаенс" Ожегов с Далем переворачиваются в гробу ⚰️ Особенно удручает тот факт, что также говорят и пишут люди, призывающие очистить русский язык от англицизмов 👋
Читать полностью…Утренний квиз требует пояснений, как мне кажется. Чтобы ответить на него правильно, недостаточно было полагаться только на логику - надо было хорошо знать законодательство. Мы все знаем, что об утечках с персональными данными мы должны уведомлять РКН. Многие, почему-то решили, что этого достаточно, но нет 😮
77-й приказ ФСБ 🫡 требует, чтобы об утечках ПДн у субъектов КИИ они сообщали в соответствие с требованиями ФСБ, которые разрабатывались в соответствие с законом о безопасности КИИ. Согласно этим требованиям мы обязаны (независимо от категории значимости объектов КИИ) уведомлять ФСБ (ГосСОПКУ) об инцидентах, список которых утвержден НКЦКИ. Там есть разглашение информации, к которому утечка прекрасно подходит. То есть у нас появляется второй регулятор, которого надо уведомить, - это ФСБ 🫡
Уведомлять Минздравсоцразвития об утечках ПДн, насколько я знаю, не требуется. Как, кстати, и ФСТЭК 🤘 Поэтому у нас осталась одна неясность с Минцифрой. Многие подумали, что этот регулятор только устанавливает требования к аккредитации организаций, обрабатывающих биометрические ПДн, но это не так. 453-й приказ Минцифры, пришедший на смену 930-му (а я в квизе сослался на уже отмененный приказ 😞, спасибо, что обратили мое внимание), также требует уведомлять это ведомство в случае инцидентов с биометрией (только голос и лицо), включая, конечно, и утечки 🎭 Да, никто так и не знает, как, в какой форме и в течение какого времени это надо делать, но само требование есть.
И наконец. Выполнение обязанности по одной ветке законодательства (ФЗ-152), не отменяет обязанностей по другим веткам. Никаких договоренностей о том, что можно отдавать только в РКН и все, а он сам уже раздаст остальным регуляторам, не существует. Даже договоренность между НКЦКИ и ФинЦЕРТом о том, что финансовые организации могут не отправлять сведения об инцидентах в ГосСОПКУ, если они это делают в ФинЦЕРТ, не подкреплено никакими нормативными актами - это джентльменское соглашение 🧐 которое всех устраивает. Но, например, такого соглашения между ЦБ и РКН уже не существует (хотя ДИБ ЦБ на последнем Уральском форуме обещал его заключить). И уж тем более его нет между Минцифры и ФСБ, и даже между Минцифры и РКН (хотя второй подчиняется первому) 😕
Вот такая странная конструкция. Об одном и том же надо сообщать разным регуляторам, разными способами, в разном объеме и в разных форматах. Пора бы уже синхронизировать все, как мне кажется. Вон американцы в сентябре озаботились этой же проблемой.
ЗЫ. Позор мне. Стоило 1,5 года как перестать следить за нормативкой, как все, былые навыки утрачены 😞 Упустил из виду замену 930-го приказа на 453-й. На сам квиз это никак не влияет, но все равно, неудобно получилось
Картинка из утренней заметки, а то вдруг вы ее пропустили или посчитали неинтересной аннотацию 😊
Читать полностью…