alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Тут статья вышла - "10 вещей, которые стоит знать каждому CISO с самого начала", которая продолжает тему, начатую тут. Все пересказывать не буду, но десятку перечислю:
1️⃣ Технологии сами по себе не решат проблему. Ответственность CISO заключается не только в защите серверов, но и в обеспечении безопасности информации компании в целом. Это требует результативности в управлении процессами и людьми, а не только технологиями.
2️⃣ Адаптируйтесь к изменениям. Даже если в начале у вас есть четкий план часто приходится менять стратегии на ходу. Адаптация касается не только работы с угрозами, но и с внутренней культурой компании, где важно выстраивать доверительные отношения и управлять ожиданиями.
3️⃣ Ставьте разумные ожидания. Ни один CISO не может полностью предотвратить все киберинциденты. CISО не должны чувствовать себя единственными, кто несет ответственность за защиту компании. Результативность приходит через сильные процессы и хорошо подготовленные команды, а не через бесконечные ночные дежурства.
4️⃣ Не забывайте о базовых задачах. Кибербезопасность — это не только про передовые технологии. Это также про управление жизненными циклами, проверку инфраструктуры и создание устойчивых процессов.
5️⃣ Избегайте излишних технических деталей. CISO должны быть внимательны к тому, как они доносят информацию до своих коллег и руководства. Не все понимают технический жаргон и слишком сложные технические объяснения могут только запутать аудиторию. Сосредоточение на результатах и понимание контекста чисел помогает лучше донести важность тех или иных мер.
6️⃣ Не усложняйте работу сотрудникам. Одна из задач CISO — понимать бизнес в целом и находить баланс между безопасностью и удобством работы. Если протоколы безопасности становятся слишком сложными для сотрудников, это может навредить бизнесу больше, чем потенциальная атака.
7️⃣ Учитесь приоритизировать. С ограниченными ресурсами важно правильно расставлять приоритеты. Важно управлять своими ожиданиями и принимать тот факт, что бюджет никогда не будет достаточным для обеспечения полной безопасности. Поэтому необходимо сосредоточиться на тех вещах, которые принесут наибольший эффект от инвестиций в безопасность.
8️⃣ Образование и вовлеченность — ключ. Многие сотрудники не имеют глубоких знаний в области кибербезопасности. Это можно исправить с помощью регулярного обучения и повышения осведомленности, особенно в отделах ИТ.
9️⃣ Не будьте “плохим парнем”. CISO часто воспринимаются как люди, которые ограничивают свободу сотрудников из-за необходимости соблюдать меры безопасности. Поэтому важно выстраивать доверительные отношения и быть проактивным в общении с коллегами.
1️⃣0️⃣ Ставьте семью на первое место. Хотя работа часто определяет нас, важно помнить, что есть жизнь за пределами офиса. Не позволяйте работе мешать личным приоритетам.

Читать полностью…

Пост Лукацкого

АНБ, ФБР, Киберкомандование США выступили с совместным заявлением, что китайцы 👲 скомпрометировали 260 тысяч (по состоянию на июнь 2024-го) сетевых устройств, торчащих в Интернет, - рутеров, NAS, МСЭ, IoT-устройств и т.п. Цель сего непотребства понятна - нанести удар по американской демократии! 👊 Хотя в реальности, на скомпрометированные устройства из США приходится всего 48% от общего количества. Еще 8% располагаются во Вьетнаме (неожиданно). 7,2, 3,7 и 3,6 процентов соответственно располагаются в Германии, Румынии и Гонгконге. Среди других стран-жертв - Литва, Албания, Польша, Индия, Южная Африка, Бангладеш и т.п. России в списке нет, что говорит о том, что "русский с китайцем - братья навек" (но нет), или о том, что нас просто решили не включать в список 🇨🇳

За ботнетом, как считают, стоит китайская компания Integrity Technology Group (Integrity Tech), связанная с правительством Поднебесной 🇨🇳 Те же IP-адреса используются APT-группировками Flax Typhoon, RedJuliett и Ethereal Panda. Все индикаторы указаны в бюллетене, а в качестве защитных мер рекомендуются очевидные, но редко применяемые вещи:
1️⃣ Запретить неиспользуемые сервисы и порты
2️⃣ Сегментировать сети
3️⃣ Мониторить всплески и иные аномалии в сетевом трафике
4️⃣ Регулярно обновлять прошивки устройств
5️⃣ Заменить пароли по умолчанию
6️⃣ Регулярно перегружать устройства для удаления из памяти вредоносной нагрузки
7️⃣ Заменять устаревшее оборудование, выводя его из эксплуатации.

Читать полностью…

Пост Лукацкого

Если вдруг вы хотите узнать, к чему готовиться через 10 лет, и будет ли специальности ИБ востребована, то вот вам прогноз аналитиков, которые оценили Топ10 рисков (всех типов - стратегические, макроэкономические, операционные) в 2024 году и сделали прогноз на 2034-й 🔮 И мы видим, что риски ИБ выходят не просто на первый план, а прочно занимают лидирующую позицию среди всех рисков. На втором месте - нехватка и удержание кадров (ИБ-автопилот, привет) 🤖

Так что можно расслабиться, ближайшие 10 лет нашей профессии точно ничего не грозит! 🏝

Читать полностью…

Пост Лукацкого

И очередное доказательство, что для взлома 🔓 сегодня не надо обладать 0Day - просто смотри внимательно по сторонам и пользуйся моментом. Deloitte выставил сервак в Интернет с кредами по умолчанию. Как результат - утечка информации 🚰

Иногда кажется, вот выстрой работу с паролями и учетными записями, патчь своевременно хотя бы периметровые трендовые уязвимости и защитись от фишинга и все, никакие навороченные средства защиты будут не нужны. Но нет, это фантастика...

Читать полностью…

Пост Лукацкого

Чем хороша американская CISA? 🤔 Помимо всего прочего она обладает полномочиями по проверке защищенности американских государственных структур, чем она и пользуется с 2020 года. В прошлом, 2023 году, CISA провела 143 проверки и на днях поделилась результатами, спроецированными на матрицу MITRE ATT&CK 🤕 Сюрприза не получилось - в тройку основных векторов атак попали фишинг, использование украденных или подобранных учетных записей (посмотрите пример выше ☝️) и эксплуатация извне доступных уязвимостей. Эта тройка присутствует у всех тех, кто занимается аналитикой ИБ. Из полезного, CISA смапила используемые в атаках хакерами TTP на защитные меры, что позволяет американским госам сфокусироваться на том, от чего и как надо защищаться в первую очередь 🛡

Читать полностью…

Пост Лукацкого

Европейская ENISA выпустила отчет по угрозам за прошедший астрономический год - с июля 2023 по июль 2024. Нельзя сказать, что отчет прям изобилует какими-то откровениями, но все-таки Европа к нам близка и имеет смысл одним глазом посмотреть, что у них происходит. Я для себя выделил несколько интересных трендов:
1️⃣ Киберпреступники активно используют легальные сайты (LOTS) для скрытия своей активности и размещения там C2-инфраструктуры. Также они активно задействуют разрешенные каналы коммуникаций, такие как Telegram и Slack. Для скрытия своей активности также применяются техники маскировки и обхода механизмов обнаружения (LOTL).
2️⃣ ИИ используется не только для фишинга и скама, но и для генерации вредоносных PowerShell-скриптов.
3️⃣ Тактики и техники хактивистов начинают очень сильно походить на то, что делают и как действуют "государственные хакеры".
4️⃣ Рост услуг Malware-as-a-Service и DDoS-for Hire.
5️⃣ Россия опять во всем виновата 🇷🇺
Результат один - рост числа инцидентов на страны Евросоюза и спада пока не предвидится.

Из полезного в отчете, в приложении 1, приведен маппинг основных семи угроз в техники и тактики MITRE ATT&CK, с указанием мер нейтрализации (mitigation). Второе приложение маппит выявленные угрозы в защитные меры ISO 27001 и NIST CSF. Тоже полезно, если бы не чуть ли не полное перечисление защитных мер из упомянутых стандартов. Если бы ENISA выделила Топ10 защитных мер, дающих максимальный эффект при борьбе с выявленными угрозами... Но нет 😭

Читать полностью…

Пост Лукацкого

В течение следующего месяца в столице грядет полтора десятка крупных мероприятий по ИБ 🛡, в трех из которых я даже поучаствую (наиболее активно в Positive Security Day). Если внимательно посмотреть на тех, кто организовывает все эти конференции, форумы, саммиты и симпозиумы, то это будут либо ИБ-компании, либо специализированные компании, занимающиеся организацией событий 🎤

Среди этого всего многообразия выделяется конференция UNDERCONF, которая пройдет уже в следующие выходные, 29 сентября, в Holiday Inn Sokolniki. У этой конференции нет ни стоящей за ней компании, ни какого-то именитого организатора. Это конференция от комьюнити для комьюнити, что меня и зацепило 🛡 И проводится не в рабочий день, что тоже необычно!

@crytech7, Сергей Голованов a.k.a. @sk1ks, @n0nvme и другие представят свои последние разработки и исследования, а Сергей Норд, локпикеры Autopsy Will Tell и хардварщики “Танец Роботов” параллельно проведут топовые воркшопы. На конференции также будет развернута лаборатория Pentest Lab, где можно будет разобраться в сценариях различных атак на части сетевой инфраструктуры компании. Наконец, в середине дня пройдут дебаты между Алексеем Гришиным и @i_bo0om о том, как расходятся интересы специалистов и бизнеса 🧐

Так что, если вы хотите окунуться в ламповую атмосферу, то почему бы и нет 🤔

Читать полностью…

Пост Лукацкого

К теме разговора на языке своей аудитории 😊

Читать полностью…

Пост Лукацкого

Обычно считается, что система ИБ должна проектироваться еще на этапе разработки архитектуры информационной системы или программного обеспечения 🏗 Да это верно, но отчасти. Не стоит забывать, что в процессе создания ИС или ПО она может претерпеть изменения по сравнению с исходным состоянием и ИБ должна это учитывать. Иначе будет как на фото. Проектировали видеокамеры тогда, когда данное помещение представляло собой "карман" и камера висела на высоте в углу, контролируя все происходящее вокруг. Потом решили, что в кармане надо сделать многоуровневые полы/скамьи и камера превратилась в пшик. Перевесить ее никто так и не решился 😫

ЗЫ. Мой рюкзак 🎒 она, правда, все-таки мониторит, но тоже отчасти - если протянуть руку сверху камеры 🎥, то она ничего не «увидит», кроме мускулистой руки грабителя 👊

Читать полностью…

Пост Лукацкого

О важности анализа защищенности разрабатываемого ПО и вводимых в эксплуатации систем в рамках всего их жизненного цикла, а не только в самом конце, когда система работает, а софт уже в проде 👨‍💻

Действий порядок правильный результата для применяй ты! 🧘

Читать полностью…

Пост Лукацкого

К вчерашним новостям про вредоносные файлы Python, рассылаемые северокорейскими хакерами 📱 Тут Microsoft анонсирует, что Python будет встроен в Excel, что заставило всех не только северокорейских хакеров потирать внезапно вспотевшие ручонки 😃 в предвкушении грядущего удовольствия... Но нет! Microsoft пишет, что у питоновского кода не будет никакого доступ к вашему компьютеру, устройства, учетке, одежде, ботинкам, мотоциклу... 🤖 И мы все дружно верим компании Microsoft, которая никогда не косячит и является образчиком серьезного отношения к ИБ! 👀

Читать полностью…

Пост Лукацкого

Доктор атакован

Dr.Web отвечает антикризисом на атаку

Вне плана пост, по вашим просьбам😎 Итак, что мы имеем: компания-ветеран российского рынка кибербеза подверглась хакерской атаке.

На сайте Dr.Web опубликованы два стейтмента. Изучаем первый в логике реагирования на кризис:

1️⃣Признать инцидент — done. Правда, компания пишет, что произошел он 14 сентября, а новость датирована 17 сентября. Три дня. Предположу, что выход в паблик был под сомнением.
2️⃣ Объяснить, что произошло. Сообщается, что “атака таргетированная”. На этом всё.
3️⃣ Раскрыть какие меры были приняты.
С мерами тоже не густо. Их целая одна. При этом она идет после утверждения, что все хорошо. А не до.

- [ ] попытка навредить инфраструктуре была пресечена, и никто из пользователей продуктов Dr.Web не пострадал.
- [ ] все ресурсы отключены от сети с целью проверки. Приостановлен выпуск вирусных баз Dr.Web.


Далее — продакт плейсмент:
“для диагностики и устранения последствий атаки задействован наш сервис Dr.Web FixIt”.

Об опасности такого приема уже писала. Но вопрос в другом — о каком устранении последствий речь, если выше утверждалось, что никто из клиентов не пострадал. Значит ли это, что пострадал сам доктор?

4️⃣ Раскрыть, что сделано, чтоб избежать повторного инцидента.
5️⃣ Нести ответственность за произошедшее и дать долгосрочные обязательства.

За этими пунктами (а также кто и зачем атаковал компанию) идем во второй стейтмент. А он фактически дублирует первый. В компании увидели атаку 14 сентября,
“внимательно за ней наблюдали и держали происходящее под контролем”.

Через 2 дня зафиксировали признаки внешнего неправомерного воздействия на IT-инфраструктуру. То есть атака развивалась? Под контролем?

Затем в стейтменте появляются временные метки. Их две:
🔠об отключении своих ресурсов 16 сентября, 09:30
🔠о возобновлении 17 сентября, 16:20.

Стоп. А что происходило с 14 по 15 сентября?

Ремарка: формат с временными метками — общепринятый в кибербезопасности. Это единый блог, который дополняется по мере расследования инцидента, решая задачу прозрачности коммуникаций со всеми аудиториями от журналистов до коммьюнити. Но здесь две отдельных новости, фактически с идентичным содержанием.

Желаем доктору восстановления и ждем деталей. А также помним, что цель публичного стейтмента по антикризису — снимать вопросы, а не ставить новые.

О том, как коммуникациям подготовиться к кибератаке писала здесь.

Читать полностью…

Пост Лукацкого

Как причудлив мир классификации явлений 🤔 Детонация в результате отправленного на пейджер сообщения или звонка на начиненный взрывчаткой мобильный телефон - обычный теракт и ничего нового. Взрыв 🤯 в результате отправленного сетевого пакета на начиненный взрывчаткой промышленный контроллер или источник бесперебойного питания - и это уже как бы тема, имеющая отношение к кибербезу. Угроза взрыва, о которой сообщили в Telegram или по e-mail - 100% акт кибертерроризма. Вроде как везде используются каналы связи, но оценка происходящего будет разной и отнесение к "кибер" или нет тоже. А вот с точки зрения недопустимых событий оно одно, только сценарии его реализации разные, - что-то относится к ИБ, что-то нет ✈️ И государство, бизнес думают именно в этом контексте, а не то, в чью зону ответственности это классифицировать 😮

Меня в личке просят прокомментировать ситуация с ливанскими пейджерами, а я даже и не знаю, что сказать. Хотя нет, знаю. В контексте классической ИБ - никакого отношения к ней это событие не имеет. Да, использовали средства коммуникаций 📞 для отправки сигнала, который и привел к детонации, но это больше тема РЭБ (у меня ВУС как раз по этому направлению). Хотя вопрос контроля скрытых каналов никто с повестки не снимает, но все будет зависеть от модели угроз и нарушителя 🙂 Да, налицо вмешательство в цепочку поставок в физическом мире. Специалисты по ИБ должны подумать о том, как они проверяют приобретаемое ПО, а также контролируют в своей среде разработки взаимозависимости и используемые чужие библиотеки. А также как проверяется покупаемое железо на предмет имплантов (не взрывчатки) ⚠️

Как я писал выше сегодня, преломляйте окружающий мир на ИБ и задавайте себе вопрос: "А такое могло произойти в виртуальном мире? 🤔 А если да, то допустимо ли это для меня? А если недопустимо, то что я должен сделать, чтобы это предотвратить? А если я не могу предотвратить, то какими должны быть мои действия, чтобы вовремя это обнаружить и среагировать? А если такое все-таки произошло, то как я могу уменьшить объем ущерба?" 😕

Читать полностью…

Пост Лукацкого

В тему грядущего Кибертеха, успехов на ниве импортозамещения и вот этого всего... Когда 2,5 года все началось и нас безвременно ⚰️ покинули те, кто когда-то с нами в десны, в России стали активно продвигать повестку с российским ПО - операционки, офисный софт, СУБД, виртуализация и... браузеры. И Минцифры во время перехода с супостатных Chrome, Firefox, Safari, которые отказались поддерживать сертификаты НУЦа, активно продвигало три российских изделия 🖥 - Яндекс.Браузер, Спутник и Атом. Спутник накрылся давно и его домен даже успел попасть в сводки НКЦКИ как потенциально мошеннический. А вот Атом накрылся меньше недели назад; зайдя на страницу https://browser.ru, вы можете наблюдать сообщение о том, что все, йок 🤬

Не будем злорадствовать и говорить, что импортозамещение - оно не про победные реляции, разговоры с трибун и организацию множества круглых столов и конференций по теме 🤥 Оно про "мешки ворочать". В данной истории я хотел бы просто обратить внимание на то, что не исключено, что в обозримом будущем мошенники начнут использовать эту историю (по аналогии с Спутником) в своих недобрых целях. И к этому надо быть готовым 🫡

ЗЫ. Хорошо, что со средствами защиты у нас пока результат не такой и отрасль растет и развивается. А все потому, что не про лозунги...

Читать полностью…

Пост Лукацкого

Тут один CISO делится своими советами о том, как специалистам по ИБ писать (с ударением на второй слог) ✍️ Он справедливо замечает, что это больше, чем проявление просто технических знаний и что надо быть креативным, усидчивым и иметь иные навыки. Автор подчеркивает важность целеустремленности и дисциплины для успеха в написании ✍️ качественного контента, который будет востребован как внутри компании, так и за ее пределами (а это признание коллег, большая известность, большие карьерные возможности, больший доход и т.п.).

Итак, какие 10 советов дает Джошуа Гольдфарб (с моими комментариями местами): ✍️
✍️ Уделяйте время писательство - это труд и он требует определенных усилий.
✍️ Пишите регулярно. Не обязательно раз в день или несколько раз в сутки - просто соблюдайте определенную частоту, а не хаотичность в творчестве.
✍️ Развивайте креативность.
✍️ Ищите вдохновение вокруг себя. Преломляйте ИБ на окружающий мир и окружающий мир на ИБ.
✍️ Имейте запас историй, которых у специалиста по ИБ должно быть немало.
✍️ Знайте свою аудиторию.
✍️ Говорите на языке читателей. Детям на детском, технарям на технарском, бизнесу на бизнесовом. У всех разный язык и сленг и надо это учитывать, а не пытаться переучивать всех своей мове.
✍️ Будьте практичны. Философские рассуждения - это прикольно, но трансерфинг реальности в ИБ не может быть постоянным; добавляйте практических советов, применимых в жизни и на работе.
✍️ Сохраняйте фокус. Не распыляйтесь и не отвлекайтесь. Добавлю, что когда вы смешиваете в одном источнике/канале ИБшные темы и всякую шнягу типа впечатления от поездок, обзоры больниц, оценку прочитанной беллетристики, то это не просто дико бесит, но и выглядит несолидно. Хотя если вы ведете канал/блог для себя, а не для аудитории, то и пофиг.
✍️ Доведите дело до конца. Начали писать - пишите, а не бросайте на полпути. Это будет выглядеть против вас.

Не то, чтобы все это выглядит как откровение, но, как саксаул аксакал ИБ-писательства ✍️, смотря со стороны на то, что делают сейчас многие блогеры, могу сказать, что некоторые из них не следуют описанным советам, считая, что знание алфавита уже делает человека писателем, умение редактировать видео - Тарковским. Тут впору вспомнить Жванецкого, что "писАть как и пИсать надо тогда, когда уже невмоготу" 📝 То есть важен результат и понимание ответа на вопрос "чтобы что?"!

Читать полностью…

Пост Лукацкого

Нельзя приклеить к гусенице 🐛 крылья и заставить ее летать, как бабочка. Она должна измениться изнутри. Нельзя CISO навязать стремление быть бизнес-ориентированным - он должен дойти до этого сам! 🦋

Читать полностью…

Пост Лукацкого

Все пишут, что Телеграм 📱 обновил политику конфиденциальности и что специалисты мессенджера сделали поиск в мессенджере, которым злоупотребляли для продажи «нелегальных товаров», безопаснее 💪 Павел Дуров призвал сообщать о случаях, когда при поиске обнаружено «что-либо небезопасное или незаконное»! 🧑‍💻

Целиком и полностью разделяю желание Павла, если бы не одно "но" - сообщить об обнаружении чего-то незаконного российские пользователи не могут - соответствующий бот не работает в нашем регионе! 😕

ЗЫ. Спасибо подписчику, что обратил внимание на это расхождение слов и дела!

Читать полностью…

Пост Лукацкого

В iOS 18 и macOS Sequoia вместе приложения iCloud Keychain появилось новый парольный мессенджер Password. Ничего сверхествественного в нем нет и по сравнению с другими парольными менеджерами он выигрывает только своей интеграцией в экосистему Apple (если вы ничем другим не пользуетесь, то это прям хороший бесплатный выбор). Но я о другом 🧑‍💻

У меня Apple 📱 Password подхватил все используемые мной пароли и получилось немногим меньше полутысячи, из чего можно сделать несколько выводов:
🔤 Запомнить все пароли и держать их в голове невозможно! Конечно, если следовать совету использовать на разных сервисах разные пароли (я ему не следую, если что, хотя и разделяю служебные и личные).
🔤 Треть сохраненных учетных записей скомпрометирована. Критично ли это? Нет. Среди них нет ничего важного и ценного; часть вообще одноразовые учетные записи. Но это к разговору о том, что приоритизация играет важную роль.
🔤 Почти 600 запомненных беспроводных сетей. Если у вас включена функция автоматического подключения к известным сетям, то это дает возможность злоумышленникам заставить вас цепляться к фейковой точке доступа с сохраненным у вас SSID. Многие из них, кстати, легко угадываются или подбираются, если следить за жертвой в течение какого-то времени. Любимые кафе, гостиницы и отели, места отдыха или проведения конференций... Все эти Wi-Fi не меняют SSID годами и легко гуглятся.

Резюмируя, в теории управление паролями это просто и легко, а на практике многие такие советы не работают и требуют приземления на реальность.

Читать полностью…

Пост Лукацкого

Я в прошлом провел немало различных демонстраций средств безопасности и поучаствовал в демонстрациях, когда мне показывали разные средства повышения защищенности 🍬 И могу сказать, что нередко вендор идет по четкому сценарию, которые подсвечивает его сильные стороны (что неплохо), но замалчивает слабые, а то и вовсе скрывает их. Поэтому заказчик, который хочет увидеть приобретаемое решение без прикрас, должен сам определять, чтобы он хотел увидеть, какие сценарии ему интересны и с чем он постоянно сталкивается 🧑‍💻 И этот список надо сгружать в вендора/интегратора, чтобы они показали то, что нужно ему, а не производителю.

На втором этапе можно потестить решение уже самостоятельно (это еще не пилот). И чтобы не разворачивать решение у себя и не тратить на это ресурсы, можно использовать что-то типа уже упоминаемого мной сервиса CISA или Cisco dCloud. Например, можно попробовать себя в симуляторе Standoff Cyberbones. А уже потом можно и на пилот заходить. А то поведешься на демонстрацию, как на видео, и в реальной жизни можно столкнуться с неприятной ситуацией, когда продемонстрированное не полностью соответствует ожидаемому 😵

Читать полностью…

Пост Лукацкого

Исследователи Huntress предупреждают: строительные (нероссийские) компании 🏗 подвергаются атакам из-за уязвимостей в серверах, использующих программное обеспечение Foundation для бухгалтерского учета. Проблема в том, что MSSQL-сервер, используемый этим ПО, часто выставлен в интернет для мобильного доступа через порт TCP 4243 🚠 Многие пользователи не меняют стандартные административные пароли (sa и dba), что делает их легкой мишенью для хакеров, которые могут запустить хранимую процедуру xp_cmdshell, включенную по умолчанию в MSSQL. Ну а дальше по накатанной - запуск команд ОС из MSSQL и развитие атаки по внутренней инфраструктуре 🔓

Чем опасна эта история? Обычные попытки подбора пароля оставляют яркий след в логах или сетевом трафике (например, вот в этом исследовании 🟥 об этом также говорится), а вот использование учеток с известными паролями - это обычное событие, которое не вызывает тревоги и не является аномалией, что позволяет ему часто оставаться незамеченными в течение длительного времени

Так что рекомендации простые: ✍️
🔤 Меняйте пароли, заданные по умолчанию
🔤 Ограничивайте доступ к приложениям из Интернета и используйте сервиса класса EASM для анализа внешней площади атаки.
🔤 На МСЭ настраивайте детальные правила доступа для каждого приложения, которому нужен доступ в Интернет (направление трафика, кто может инициировать запросы, время доступа и т.п.).
🔤 Отключайте ненужные сервисы внутри приобретенных приложений и сервисов, особенно если они базируются на базе чего-то популярного и известного.
🔤 Мониторьте!!! Результативность в кибербезопасности достигается через постоянное изучение происходящего и улучшение защитных механизмов.

Читать полностью…

Пост Лукацкого

По уже сложившейся традиции в преддверии московского SOCtech и минского SOCcon (страницу пока не обновили) буду немного постить всякого про SOCи. Вот тут наткнулся на статью про 7 антипаттернов/ошибок, которые совершают даже лучшие команды SOC:
1️⃣ Секреты от коллег. Недостаточный обмен данными с другими отделами, отсутствие нормальных коммуникаций.
2️⃣ Сбор данных вместо обнаружения. Фокус на сборе данных, а не на их анализе и получении реально полезных результатов.
3️⃣ Полагание только на сетевые данные. Ложное предположение, что важны только сетевые данные для выявления атак, и забывчивость в отношении других источников событий ИБ.
4️⃣ Предвзятость “Не наше”. Слишком частое создание собственных, кастомных решений, сигнатур, запросов, пакетов экспертизы вместо использования готовых, коммерческих.
5️⃣ “Синдром блестяшек". Излишнее увлечение продвинутыми решениями вместо внедрения хотя бы базовых.
6️⃣ Один инструмент для всего. Ожидание, что одно решение (например, SIEM, XDR и т.п.) решит все проблемы.
7️⃣ Изобилие инструментов. Слишком много инструментов без их интеграции.

Читать полностью…

Пост Лукацкого

Представьте, вы сидите за круглым столом. Справа от вас сидит министр цифрового развития, слева замдиректора ФСТЭК, напротив директор НКЦКИ. Вас просят нарисовать то, что вы видите, что вы с легкостью и делаете. Для простоты допустим, что МИнцифры у вас синего цвета, ФСТЭК зеленого, а НКЦКИ красного.

А теперь вас попросили нарисовать, что видит замдиректора ФСТЭК…

Как вы думаете, что будет изображено на этом рисунке? Все тоже самое, что и на вашем? Мир не поменялся и остался в той же проекции, перспективе, в тех же контурах? Или у заместителя директора ФСТЭК свой взгляд на мир, отличный от вашего? А у директора НКЦКИ или министра цифрового развития? 👀

Попробуйте провести мысленный эксперимент и посмотреть на рынок ИБ и на себя другими глазами. Сможете?.. 🤔 Это полезное упражнение, которое позволяет не сразу шашкой махать после того, как какой чиновник что-то сказал или какое-то ведомство выпустило новую нормативку, а попробовать ответить на вопрос "ЗАЧЕМ" и "ПОЧЕМУ". А уже потом можно и шашкой махать или понять, что это бессмысленно 🗡

Читать полностью…

Пост Лукацкого

Спасибо подписчику, прислал еще один образчик флешки, «замаскированной» под скрепку/держатель для бумаг… 🥷

Читать полностью…

Пост Лукацкого

Интересные мысли в отношении DPO (Data Privacy Officer), в контексте его реальных полномочий в компании. В ИБ (если отделять ее от защиты прав субъектов персональных данных) та же история. Часто роль CISO создают только потому, что так принято или потому что так требуется (например, тот же заместитель генерального директора по ИБ по 250-му). И де-юрэ ты большой начальник, а де-факто обычный советник, не имеющий права голоса. А риски при этом высоки… И оно стоит того? 🤔

Читать полностью…

Пост Лукацкого

"Зажигающий сердца" звучит почти как "Бегущая по волнам"... Завораживающе. Вручили 🏆 статуэтку "Амбассадора киберобучения", которую присудили еще в мае, но только сейчас окольными путями, контрабандой, она попала мне в руки, с чем я себя сам и поздравляю! 🎆 Good result!

ЗЫ. Очень символично, что в этот же день мы анонсировали новый поток в Школе преподователей кибербезопасности 👨‍🏫 где я также делился светом знаний...

Читать полностью…

Пост Лукацкого

Куда катится этот мир... CISO западного мира больше думают, как удовлетворить регулятора, чем как сделать компанию защищенной и удовлетворить клиентов и партнеров. Ну хоть тема общения с бордом/бизнесом на втором месте с небольшим отрывом и то хлеб. Геополитика опережает выгорание и ментальное здоровье сотрудников (во время COVID-19 эта тема была прям 🏆), а инклюзивность пока только на последнем месте в топе (если не брать "Другое") 😫

Интересно, какой результат себе рисуют CISO с такими стратегическими приоритетами?

Читать полностью…

Пост Лукацкого

Ника сделала PR-разбор инцидента с Dr.Web, в котором мне понравилась финальная фраза:

«помним, что цель публичного стейтмента по антикризису — снимать вопросы, а не ставить новые».


С этой точки зрения интересно посмотреть на инцидент с УЦ «Основание», который не может восстановиться уже неделю. При этом никакой нормальной коммуникации нет - только в виде ответов на вопросы пользователей, которые приводят к все новым вопросам. Похоже взломавшие инфраструктуру УЦ хакеры были правы, когда писали об ее якобы уничтожении. Если проводить аналогии с кейсом CrowdStrike, то скоро стоит ждать разговоров о компенсациях пострадавшим 🤑

Читать полностью…

Пост Лукацкого

Использование голубей, попугаев и иных пернатых в качестве доверенного средства коммуникаций тоже не всегда безопасно 🕊

Читать полностью…

Пост Лукацкого

Новое исследование ReversingLabs описывает, как северокорейские 🇰🇵 хакеры из, предположительно, Lazarus Group обманывают разработчиков ПО, выдавая себя за рекрутеров финансовых компаний. Они, в рамках собеседований, предлагают фальшивые задания, содержащие вредоносные Python-файлы 📱, которые служат загрузчиками вредоносного ПО, связываясь с сервером управления для выполнения нужных хакерам команд 🖥 Эта кампания указывает на растущую тенденцию использования открытых пакетов и платформ для атак на разработчиков ПО.

Аналогичная кампания от Lazarus была обнаружена в апреле компанией Securonix. Она получила название Dev#Popper и помимо вредоносных файлов Python также использовались и файлы JavaScript 📱, содержащие опасное содержимое. До этого, схожие кампании "Contagious Interview" и "Wagemole" обнаружили специалисты подразделения Unit42 компании Palo Alto. Не обошли вниманием эту тему и специалисты японского CERT, также атрибутировавшие вредоносные PyPI-файлы с Lazarus 👨‍💻 Microsoft даже называет конкретную жертву схожей кампании - компанию CyberLink Corp., тайваньского разработчика ПО, пострадавшего также от северокорейской APT-группировки, но не Lazarus, а Diamond Sleet (ZINC). KnowBe4 в поисках разрабочика ПО тоже столкнулась в июле этого года с атакой от северокорейских хакеров. Наконец, год назад, в сентябре 2023 года, Lazarus была замечена в попытке поймать на удочку разработчика испанской аэрокосмической компании 🚀

Что общего во всех этих кейсах? Нет, не происхождение APT-группировок. С тем же успехом это могли быть китайские хакеры или американские или сирийские или иранские 🥷 Дело в другом - во всех случаях атака была направлена на разработчиков ПО, которые привыкли жить достаточно безмятежно и не всегда задумываться о том, что они делают и насколько они "вкусны" как жертвы для различных хакерских группировок 🍦 При этом часто бывает, что разработчики находятся вне контроля служб ИБ в своих компаниях и на это есть множество причин - от нежелания ИБ погружаться в кухню DevOps до недопущения самими разработчиками службы ИБ на свою поляну. А результат мы видим в росте числе успешных атак на программистов, что открывает широкие возможности для хакеров по компрометации не только инфраструктуры компании, в которой трудится разработчик, но и по внедрению имплантов в код, который этот разработчик пишет (вспомним кейс с SolarWinds или менее известный с 3CX) ⌨️

ЗЫ. Надеюсь, смогу поговорить про это в рамках грядущего Positive Security Day, где одна из дискуссий, в которых я участвую, будет посвящена как раз результативному взаимодействию ИБ и разработчиков.

Читать полностью…

Пост Лукацкого

Не мог удержаться 😊

Читать полностью…
Подписаться на канал