Если вдруг вы решите прикрутить голосового помощника (а их сейчас много развелось) к своему SOCу, то вам стоит помнить несколько моментов:
1️⃣ Говорить быстрее, чем писать. Поэтому если вам важна скорость реакции, то голосовой помощник в этом вам может помочь.
2️⃣ Голосовой помощник надо не спрашивать и ждать ответа, а давать команды и указания, чтобы он их исполнял. Написать письмо, связаться в чате, заблокировать IP или домен, поместить в карантин, получить вердикт... Вот примеры использования голосового помощника в SOC.
3️⃣ Смотреть глазами быстрее, чем слушать ушами. Поэтому просить зачитать фишинговое e-mail сообщение можно, но пробежать его глазами гораздо быстрее. И вообще, слушать механизированный голос - достаточно скучное и быстро надоедающее занятие.
4️⃣ Чтобы общаться с голосовым помощником надо иметь хорошую дикцию. Особенно когда вы просите его заблокировать какой-либо домен. В противном случае могут быть сюрпризы.
5️⃣ Английский (хотя бы на уровне знания алфавита) знать надо, чтобы можно было озвучивать не только названия доменов или узлов корпоративной сети, но и адреса IPv6, которые записываются именно латиницей. Но слушать как голосовой помощник зачитывает IP-адреса - это отдельное мучение.
ЗЫ. На видео пример из прошлой жизни, когда голосового помощника Alexa прикрутили к решениям ушедшей из России компании.
АНО «Цифровая экономика» при поддержке правительства опубликовали Белую книгу по цифровой экономике 2022 — своеобразный бюрократический отчёт о проделанном за год. В документе есть раздел про ИБ, в нём собрана информация как от госорганов (например, статистика НКЦКИ, Минцифры, ФСТЭК), так и из СМИ, от компаний по кибербезопасности (например, раздел по киберугрозам за 2021 год подготовлен Positive Technologies, а по будущим угрозам — Лабораторией кибербезопасности Сбербанка), консалтинговых организаций. Вот для иллюстрации слайд про ключевые события в российской ИБ за год. В данном виде особой добавленной стоимости раздел, по-моему, не создаёт, особенно на фоне реальных проблем типа многочисленных утечек, которые деликатно не обсуждаются.
Читать полностью…Согласно опросам, уровень доверия граждан к государственным инициативам по цифровизации (цифровой паспорт и т.п.) падает. Основная причина снижения доверия - утечки персданных, низкий уровень кибербеза в государственных информационных системах и неумение государства коммуницировать с гражданами, объясняя свои решения и замалчивая утечки ПДн.
ЗЫ. Мне кажется, некоторые из озвученных причин могут стать барьером для цифровизации и в корпоративной среде, что в очередной раз ставит вопрос о том, что ИБ - это не только и не столько вопрос технологий.
ЗЗЫ. Думаю, надо выложить видео своего выступления по внутреннему маркетингу ИБ.
- У нас проблема!
- Нет такого понятия как проблема, есть только возможности.
- Хорошо, у вас есть возможность сесть на 10 лет за невыполнение закона о безопасности КИИ...
Хорошо, когда люди пытаются смотреть на все позитивно и превращать угрозы, риски и недопустимые события в возможности (как минимум, попросить бюджет на нейтрализацию). Но все-таки работает это правило далеко не всегда.
Поздравляю всех подписчиц с 8-м Марта! 💐 Хочу пожелать вам, чтобы этот день был наполнен радостью, улыбками и приятными сюрпризами. Пусть каждый день приносит вам новые возможности для реализации своих мечтаний и желаний. 🌺 Желаю вам всего самого лучшего - здоровья, счастья и удачи во всех начинаниях. Желаю вам продолжать преуспевать и расширять свои знания и навыки в области кибербезопасности. Пусть ваши усилия приводят к новым достижениям и успехам. Ура!
С праздником! 🌹
Директор итальянского агентства по кибербезопасности, Роберто Бальдони, как пишет итальянская "Коррьере делла сера", отправляется в отставку ввиду неспособности обеспечить защиту критической инфраструктуры своей страны. Его назначили на эту роль в августе 2021-го года, именно тогда, когда было создано и само национальное агентство Странные они, эти итальянцы 🇮🇹 У нас чиновники годами демонстрируют свою неспособность выполнять свои обязанности и ничего, никто их не отправляет в отставку и сами они не настолько честны перед собой, чтобы сделать себе сеппуку 🫡 или самостоятельно покинуть свой пост. Ну да это все лирика. Сам факт отставки высокопоставленного чиновника, ответственного за ИБ, несправившегося с атаками хакеров, достаточно показателен.
Читать полностью…Добавлю к списку отличный мини-сериал Андрея Лошака «Русские хакеры: начало» 2021 года, есть на Кинопоиске. В трёх сериях рассказаны три истории за период с середины 1990-х до начала 2010-х.
Первая — это дело о краже денег из Citibank в 1994 г. Это был один из первых случаев транснационального взлома банка, и в тех условиях американским и российским правоохранителям даже удалось вполне успешно посотрудничать.
Вторая история посвящена операции ФБР против двух челябинских компьютерщиков/хакеров. Они искали клиентов в США, параллельно занимаясь мошенничеством с банковскими картами и PayPal-аккаунтами (например, так в челябинской сети Уралтон появлялись лицензионные американские музыкальные альбомы). ФБР выманили челябинцев в Сиэтл под предлогом деловой встречи с фиктивной инфобез-фирмой Invita и там арестовали. Любопытная деталь: агенты ФБР сами выступили в роли хакеров, украли пароль от челябинского сервера и скачали оттуда данные для расследования. За что в России против американцев даже было заведено дело.
Третья история (на две серии) посвящена форуму CarderPlanet и ключевым персонажам оттуда, включая Романа Вегу, Дмитрия Смилянца, Владимира Дринкмана и других.
Заслуга создателей сериала в том, что им удалось поговорить с многими участниками событий, посмотреть, как они оказались там, где оказались, как сложилась их жизнь после скандала (и часто заключения), а также с представителями другой стороны. Например, с агентом ФБР, который сидел на кардерском форуме под аккаунтом хакера, в реальности отправившегося за решётку.
Вдогонку про документальные фильмы про ИБ, хакеров и вот это вот все, еще три списка (местами пересекаются):
1️⃣ https://www.detectx.com.au/best-cyber-security-and-hacking-documentary-1/
2️⃣ https://10pie.com/cyber-security-documentaries/
3️⃣ https://securitygladiators.com/cybersecurity/documentary/
Вот РусКрипто - это encryption event, а атака шифровальщика на школы в Миннеаполисе - это событие совсем иного типа 😊 Понятно, что не хочется привлекать к себе внимание, упоминая ransomware, но куда деваться… Но зато хоть не скрыли этот факт от общественности, детей и их родителей, как некоторые...
Читать полностью…И снова о паролях. Слово «password» входит в десятку самых используемых паролей в мире по итогам 2022-го года. Да и раньше оно было в топе. Поэтому использовать его глупо, о чем нам и поведали сценаристы фильма «Человек-паук: вдали от дома».
Читать полностью…Стартапы по ИБ в прошлом году подняли 18,5 миллиардов долларов. В мире, конечно, не в России. А с 2018-го это значение достигло 79 миллиардов
Читать полностью…В детских мультиках тема кибербеза тоже не обходится вниманием. Вот так, например, показывается кибератака в диснеевском анимационном фильме "Ральф против Интернета". На самом деле мультфильм интересен тем, что он целиком посвящен кибербезу, но в упрощенной форме. А еще в нем интересна визуализация таких сложных вещей, как вирус, DDoS-атака, Даркнет, антивирус и т.п.
Читать полностью…Нашлось тут в архивах… Сопоставление пентеста с багбаунти в качестве метода оценки уязвимостей с точки зрения компании, попробовавшей и то и другое. Небесспорно, конечно. Но показывает возможности для применения разных способов испытаний информационных систем.
Читать полностью…Шли мы из бани на Магнитке и разговор зашел о шифровальщиках. И вот что я хочу вам сказать - бороться с ними можно кучей способов и ни один не дает 100%-го результата. Возьмем, к примеру, EDR/XDR. Чтобы он давал эффект, его надо развернуть на все хосты, дать ему доступ к нужным процессам и логам, настроить, и потом еще отбиваться от ИТ, которые будут валить на вас все тормоза приложений.
NDR/NTA 🔎 вроде не имеет таких проблем; да и работает в среде с нестандартными ОС, для которых нет агентов EDR/XDR. Но тоже не идеален - если у шифровальщика нет С2-коммуникаций и он не использует Lateral Movement (хотя это редкость), то по сети его не поймаешь. Да и от подброшенных флешек или фишинга NDR не очень помогает.
Средства файлового аудита? Да, они могут отслеживать массовые изменения в файлах, но это если вы настроили эту функцию.
На NGFW ⛔️ рубить С2-коммуникации и доступ к Тор? Допустим. А что если ransomware к моменту обращения к внешним адресам, распознанным NGFW как вредоносные, уже все зашифровал?
SIEM? Ну так ему на вход надо подать данные от EDR/XDR, NTA/NDR, NGFW и т.п. и потом еще прописать правила корреляции. Тоже непростая задача.
Мы по привычке называем шифровальщики вредоносным кодом и поэтому думаем, что обычный антивирус от этого нас защитит. Регуляторы тоже, судя по их ответам, думают также. Поэтому кейсы с ransomware будут и дальше происходить. Там надо перестраивать всю архитектуру ИБ, чтобы защититься от него. Но не все это понимают и не все готовы 😭
Интересно, почему хакеры игнорируют предупреждения в опубликованных POCах, что они выкладываются только для исследовательских целей? Может они читать не умеют? Или просто POCи не надо выкладывать всем подряд и без контроля? Даже "в исследовательских целях"...
Читать полностью…Чему бы грабли не учили, а сердце верит в чудеса…
Много разговоров об отечественном NGFW. Мол, штука нужная и без нее никуда. ФСТЭК разрабатывает требования к ним, Минцифры выделяет гранты на их создание. Движуха…
Так вот что я хочу сказать. Есть такая компания - Сиско. Долгие годы у нее на периметре в качестве межсетевого экрана стоял… обычный маршрутизатор с настроенными списками контроля доступа. Никакой NGFW-функциональности. Были ли случаи проникновения в корпоративную сетку Cisco? Нет! А все потому, что компания фокусировалась на процессах SecOps, а не на конкретных продуктах или их типах. И даже несмотря на то, что Cisco сама была производителем NGFW.
К чему это я? Да к тому, что сейчас, когда с рынка ушли все иностранные игроки, а заказчики продолжают использовать окирпичивающиеся и необновляемые NGFW с регулярно обнаруживаемыми RCE, лучше фокусироваться не на том, как заменить один продукт на другой, а на том, как выстроить процесс мониторинга сетевого трафика, выявления в нем аномалий и угроз. А уж будет это делать NGFW, NDR, SIEM, FW, NIDS, NBAR, ACL или что-то иное, - не так уж и важно.
Согласен с оценкой - отчет бесполезен, хотя цифирки для презентаций из него можно надергать. Но как он отражает реальное состояние ИБ в стране, непонятно. Лишний раз убеждаюсь, что АНО "Цифровая экономика" в области ИБ большого смысла как не имело, так и не имеет 😞 Очередная структура, которая поглощает бюджетные средства, не принося ничего взамен. Но хоть нормативку не выпускает и то хорошо... А могло бы аналитикой заниматься...
Читать полностью…Тут в одной дискуссии всплыло, что если CISO работал в компании, которую взломали, то брать его на работу ни в коем случае нельзя, так как он не оправдал, не доказал, не смог и т.п. Смелое утверждение; скорее всего от тех, кто сам еще не столкнулся с инцидентом. А мы ведь помним, что есть два типа компаний - которых уже взломали и которые еще не знают об этом. Но дело даже не в этом.
Зарекаться от взлома сегодня достаточно глупо, так как он зависит от множества факторов, не всегда подвластных CISO. Когда CISO "пропустил удар", но сделал все, что мог, чтобы уменьшить последствия, это можно только приветствовать. А вот если CISO скрыл факт инцидента, который имеет серьезные последствия (например, затронул большое количество людей, повлек жертвы, имел социальные последствия и т.п.), то тут уже ответ не столь однозначный. Например, кейс с Джо Салливаном, бывшим CISO компании Uber, который скрыл факт утечки клиентов компании с ведома генерального директора, а после, уже при новом CEO, этот факт стал достоянием гласности и CISO был арестован и осужден за скрытие инцидента.
ЗЫ. Жаль, что нет обязанности публиковать в открытом виде информацию по инцидентам. Это бы стимулировало многих
Охота за северным сиянием дала еще одну ассоциацию. Утром второго дня, после безуспешной первой попытки съездить за сиянием, в лифте стал свидетелем ругани участников одной группы с гидом, которого обвиняли в том, что он не обеспечил северное сияние и группа бесполезно моталась по Мурманской области несколько часов. На обратном пути, уже в самолете в Москву, другая группа поносила своего гида, который им и сияние не обеспечил, и китов они не смогли в бухте Териберки увидеть. А один так и вовсе обижался, что его, пьяного, не добудились утром и не отвезли в Териберку. И вот что мне подумалось.
В ИБ таже фигня. Можно попытаться все сделать самому и при наличии опыта это вполне посильная задача и обойдется даже не так дорого. Можно попробовать все переложить на плечи аутсорсера, но какие бы золотые горы он вам не обещал и какие бы гарантии не давал, есть вещи, которые все равно зависят от самого заказчика. Можно сколь угодно долго требовать от SOC-as-a-Service мгновенной реакции на инцидент, но если ты не сегментировал свою сеть, не ставишь вовремя патчи и не включил MFA, то никакой аутсорсер тебе не поможет. И, наконец, самое важное. Даже обращаясь за помощью к лучшим гидам специалистам по ИБ, всегда остается элемент неопределенности, который не зависит ни от кого и про это тоже стоит помнить.
Традиция сломана. Ни на Уральском форум, ни на Магнитке я не делал итоговую презентацию «Уральский форум за 15 минут». Но хоть другая традиция пока не сломалась - проведение интеллектуальных игр на Магнитке. В этот раз она была про ИБ в целом. Часть вопросов, например, про ИБ в кино, я уже выкладывал в канале в выходные.
На грядущей через пару недель РусКрипто, также по традиции, буду проводить криптографический квиз "Игра в имитацию".
А нехило так менеджеры классифайдов зарабатывают - 45 тысяч в день при неполной загрузке. Поболе многих ИБшников 🤔 Но если серьезно, то если раньше мошенническая реклама активно распространялась через запрещенный нонче Facebook, то сегодня она перекочевала в отечественный VK и мессенджеры. Интересно, что в Telegram я с таким не сталкивался, а в Whatsapp постоянно что-то прилетает...
Читать полностью…Если отбросить известный мемасик с Дартом Вейдером в роли ИБшника, то вот этот (сделанный мной, конечно), мне нравится больше 🤠 Правда, мои родители до сих пор думают, что я работаю с компьютерами и могу настроить настроить винду пенсионерке с 10-го этажа 🤔
Читать полностью…На Pikabu выложили список из 10 документальных фильмов по кибербезопасности, но без ссылок. На самом деле про ИБ там не все фильмы. Ссылки на некоторые доступные фильмы ниже:
👨💻 "Код доступа: Хакеры" ("Code 2600: The Hacker Documentary")
👨💻 "Хакеры: война в сети" ("Hackers: Outlaws and Angels")
👨💻 "Шифр: тайны и ложь" ("The Code: Story of Linux") - хотя фильм вообще не про шифры и ИБ, а про Linux
👨💻 "По следу хакера" ("Track Down") - за пределами США фильм называется "Takedown" и он не документальный, а художественный
👨💻 "Технологии хакеров" ("Hackers: Wizards of the Electronic Age") - фильм старый, 1985-го года. Распространяется на DVD
👨💻 "Кибервойна: рассекреченные" ("Zero Days")
👨💻 "Взломанный" ("Terms and Conditions May Apply") - фильм про лицензионные соглашения, манипулирующие пользователями, и торговлю персональными данными пользователей
👨💻 "Документальный фильм о Кевине Митнике" ("Freedom Downtime")
👨💻 "Коды и шифры" ("The Codebreakers") - этот фильм (именно с таким названием) не про вообще шифры, а про конкретного криптоаналитика - американку Элизабет Смит Фридман. Есть схожий по названию фильм про криптоаналитиков английского Блетчли Парка (Bletchley Park Codebreakers)
👨💻 "Кибервойна: на передовой" ("All Watched Over by Machines of Loving Grace") - это серия из трех документальных фильмов не про ИБ, а про влияние технологий на нашу жизнь (1, 2 и 3)
Если бы в среде оленей 🦌 внедряли бы ЕБС, то фактором их идентификации стали бы рога. Оказывается, рога у каждого оленя уникальны и не повторяются. А еще из интересного, почерпнутого на выходных, в которых я охотился за северным сиянием ✨, то, что поголовье оленей у саамов - это коммерческая тайна и его обычно хранят в секрете. Спросить «сколько у вас оленей» у саама, все равно что у москвича спросить «какая у тебя зарплата» ;-)
ЗЫ. Даже на выходных, на крайнем севере, когда вокруг метель и минусовая температура, ИБ не отпускает ;-)
"Россия нападает на Финляндию (зачем???), президент Франции посылает туда войска (какое дело Франции до этого????) . Русская подлодка "Тимур-3" 🤿 из Берингова моря запустила ракету по Франции (из Калининграда, видимо, не додумались запустить????). Президент Франции приказывает своей подлодке "Грозе" нанести удар возмездия по России". Это синопсис французского фильма "Зов волка", который мне запомнился тем, что там показан интересный пример подбора пароля.
Главный герой фильма, акустик подводной лодки, подслушивает 👂, как его командир нажимает на клавиши компьютера, набирая пароль. Затем, обладая идеальным слухом, он повторяет эти нажатия, попутно применив немного OSINTерских навыков и предположив, что его босс мог использовать в качестве пароля имя своей жены.
ЗЫ. Вы же не используете в качестве пароля имя своей жены/мужа/ребенка/питомца?.. А то небезопасно это 🍽
Пока кто-то кого-то разводит ко мне пришла слава оттуда, откуда не ждали - маркетплейсы эксплойтов и хакерские группировки хотят рекламироваться в канале 👨💻
Читать полностью…Магический квадрат Гартнера по защите персональных компьютеров. Российские вендора из него исключены 😭
Читать полностью…Вся фабула оскароносного фильма "Привидение" 👻 с Патриком Суэйзи и Деми Мур основана именно на этом моменте, когда главный герой делает классическую ИБшную ошибку, показав своему другу и по совместительству отрицательному герою, пароль, записанный в блокнотик. Именно ради этого пароля и блокнотика 📓 главного героя убивают, а он пытается вывести всех на чистую воду в течение всего фильма, собравшего в 90-м году свыше полумиллиарда долларов в мировом прокате.
ЗЫ. Не записал бы Патрик Суэйзи пароль в блокнот или использовал бы он многофакторную аутентификацию, мы бы так и не узнали песню "Unchained Melody", написанную еще в 1955-м году, но получившую мировую известность именно после сцены с гончарным кругом, ставшей культовой в кинематографе.
Многофакторная аутентификация (если это не пароль по СМС) - штука достаточно полезная и повышающая защиту. Но при этом не стоит думать, что это панацея. При внедрении MFA не забудьте продумать механизмы защиты от атак на нее
Читать полностью…Обещанный обзор с антипленарки обновленной Магнитки или почему все ругают нормативку по ИБ, но не готовы признать это публично?..
Читать полностью…