alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Бытовой антифрод 👀😅

#пятничное #юмор

Читать полностью…

Пост Лукацкого

💬 «Не стоит пытаться бежать впереди паровоза и искать какие-то новомодные решения для борьбы с утечками, лучше начать с того, что у вас есть в арсенале уже сейчас. У всех есть фаерволы, у всех есть решение для мониторинга активности. В идеале вообще просто выстроить процесс обновления сегментации — это уже сильно поможет вам бороться с утечками данных и любыми другими инцидентами, связанными с данными» — советует Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

Читать полностью…

Пост Лукацкого

🔥 Сегодня стартует первый день нашего масштабного мероприятия Moscow Hacking Week!

Начнем с основ, а точнее с конференции Standoff 101 для студентов и начинающих специалистов, которые хотят развиваться в кибербезопасности и узнать больше об этой сфере. Специально для вас мы собрали на одной площадке крутых профи, которые поделятся своим опытом.

🤔 Реверс-инженер, специалист по AppSec, белый хакер, вирусный аналитик — как выбрать, кем стать? Из чего состоит жизнь специалиста по ИБ? На какой доход можно рассчитывать? Что нужно, чтобы стать востребованным в этой сфере?

Ответы на эти и многие другие базовые вопросы вы узнаете в ближайшие два дня. Подключайтесь к трансляции на сайте Moscow Hacking Week и делитесь ссылкой с друзьями, которые хотят попасть в мир кибербезопасности.

Расписание первого дня конференции на карточках

#Standoff101
#PositiveEducation
#MoscowHackingWeek

Читать полностью…

Пост Лукацкого

Если опуститься с оценки рисков к моделированию угроз, то мы помним, что из 4-х подходов в этой области есть и такой, в рамках которого мы отталкиваемся не от активов, не от угроз, а от нарушителя 👨‍💻, от его возможностей, которые и определяют то, что может сделать "плохой парень", то есть какие угрозы реализовать 💻

Известный в узких кругах Arkanoid, высказавшись на тему оценки рисков
«людям трудно понять, что лучше просто и сейчас, чем подробно и никогда»,
предложил свою вариацию на тему моделирования нарушителя, разделив их на 4 уровня:
😛 Хакер-оппортунист - мамкин-хакер или хактивист, звезд с неба не хватает, использует обычно готовый инструментарий
😂 Хакер с целеполаганием - может и кастомный эксплойт для известной уязвимости написать, но основное его отличие в целеустремленности и выборе целей
😉 Хакер-организатор - тратит много ресурсов на организацию атаки, стараясь оставаться незамеченным, может быть даже "в погонах", но не самого высокого ранга
😎 Хакер-хищник - желает стратегического доминирования в киберпространстве и предпринимает для этого максимум усилий.

По мнению автора эта градация позволяет писать модели угроз любой сложности, но как по мне, это возможно только если ты прекрасно разбираешься в теме и представляешь, какими возможностями обладает каждый из 4-х уровней. Без этого это еще одна классификация хакеров, не более.

Читать полностью…

Пост Лукацкого

Когда риск-менеджмент перестает работать, придумывают "риск-менеджмент 2.0" 😊 Но красиво, ничего не скажешь. Отсылки к физиологии, использованию искусственного интеллекта, генетического инжиниринга. Прям фьюжн какой-то... Но есть один нюанс в реализации этого подхода, о котором далее А вообще "controls physiology" звучит интригующе, но непереводимо на русский язык 🔫

Читать полностью…

Пост Лукацкого

Сегодня я выступаю на SberPro Tech 2023 с коротким выступлением про роль кибербезопасности в бизнес-модели любого коммерческого предприятия. Времени не так много выделено, поэтому пройдусь по самым верхам и покажу, что если смотреть на бизнес с точки зрения тех, кто зарабатывает деньги и обеспечивает функционирование бизнеса (а не веб-сайта, ОС, рутера или мобильного устройства), то найдется много точек, в которых кибербез играет свою роль. Да не всегда главную, иногда второго плана, но это тоже роль (за нее иногда и Оскары с Никами дают).

ЗЫ. Я по сути продолжаю и углубляю свой рассказ в Питере про морковку спереди и морковку сзади (кстати, все презентации с этой конференции уже выложены), но углубляюсь только в одно направление.

ЗЗЫ. Будет трансляция. Я выступаю в секции "Цифровая трансформация" (не "Кибербезопасность") около 13-ти часов.

Читать полностью…

Пост Лукацкого

Американцы в плане открытости по вопросам ИБ могут дать фору многим государствам. И одним из таких примеров является национальный план реагирования на инциденты ИБ, принятый в США в 2016-м году и распространяющийся на весь американский бизнес.

60 страниц текста достаточно подробно для документа национального уровня 🏢 расписывают, как происходит реагирование 🧑‍💻, какие роли у участников, как определяется уровень серьезности инцидентов, как происходят коммуникации во время инцидента, проводится ли атрибуция, как информация об инциденте доносится до заинтересованных сторон, как репортить об инциденте, как вовлечены в реагирование НКЦКИ ведомственные центры ГосСОПКИ федеральные центры кибербезопасности при ФБР, разведке, АНБ, CYBERCOM и т.п.

В соответствие с новой национальной стратегией кибербезопасности, о которой я уже не раз писал, американцы сейчас обновляют ✍️ свой план реагирования, который должен быть представлен в 2024-м году. Пока содержание новой версии плана неизвестно, но утверждается, что он будет "бла-бла-бла какой крутой" и учитывать уроки прошедших 8 лет.

#soctech

Читать полностью…

Пост Лукацкого

Как-то тренер по восточным единоборствам 👊 на наше нытье, что нельзя ставить против нас, безусых юнцов, которые фактически (когда я начинал заниматься, занятие восточными единоборствами 👊 было внесено в Уголовный Кодекс, статья 219.1, и поясов не присваивали) носили желтые, оранжевые или зеленые пояса, бойцов с синими и коричневыми поясами 🥋, и что это выглядит как избиение младенцев, он отвечал, что, чтобы перейти на другой уровень, надо бороться с более сильными противниками. Какой смысл биться и побеждать тех, кто слабее тебя? Ни удовольствия, ни уважения окружающих. Успешно противостоять тем, кто сильнее тебя, - вот истинное искусство и путь воина 🥢

Так и с ИБ. Не так интересно искать слабые места на сайте своей школы и размещать там фотку нелюбимого завуча с подписью "Раиса Петровна - дура!", как попробовать это сделать на нормальном киберполигоне, который является цифровым двойником👬 компании с нормальной ИБ. Не так интересно обнаруживать атаки, записанные и хранящиеся в специально подготовленном PCAP-файле, как ловить реальных, пусть и "белых" хакеров 💻, которые не всегда идут стандартным путем и не ведают, что там написано в 239-м приказе ФСТЭК или ДСПшной методически НКЦКИ по обнаружению и реагированию на компьютерные атаки.

На киберучения, которые пройдут на следующей неделе на Moscow Hacking Week, вы уже не успеете (но можно понаблюдать онлайн), а вот на следующий год запланируйте себе участие на нормальном киберполигоне. Это позволит вам прокачать реальные навыки с реальными воинами клавиатуры 👨‍💻

Читать полностью…

Пост Лукацкого

Отсюда и невысокая оценка эффективности используемых метрик - меньше половины опрошенных SOCоводов считают, что их метрики помогают улучшать процесс ИБ в организации. 50% вообще считают эти метрики неэффективны, а 10% даже не смогло ответить на прямо поставленный вопрос. А все потому, что бизнес нифига не понимает в этих показателях эффективности ничего. Для внутреннего потребления они вполне себе ничего, но вот для внешнего (за пределами SOC)... увы 🤠

#soctech

Читать полностью…

Пост Лукацкого

Не устаю повторять, что разговоры коммерческих SOCов про "мы за 15 минут реагируем на инциденты у наших заказчиков" - это трындёж и потрясание бубенцами вместо того, чтобы пойти и мешки ворочать.

Статистика показывает 📉, что меньше трети SOCов способны задетектить инцидент в течение хотя бы получаса (классическая метрика MTTD), а реагирует большинство (MTTR) в срок до 8 часов 📈 Так что слышите про 15 минут или видите это в рекламе - бегите от таких продаванов. Или требуйте доказательств; а вдруг этот SOC, и правда, обладает уникальными способностями укладываться в четверть часа 💪

#soctech

Читать полностью…

Пост Лукацкого

А причина такой ситуации, как мне кажется, кроется в том, что бизнесу по барабану, сколько и какие уязвимости у вас нашли, может ли ваш SOC обнаруживать и реагировать на инциденты (если не может, то накой он вообще тогда сдался). За банальным вопросом "насколько мы защищены" топы скрывают свое желание узнать, не потеряют ли они свои деньги, - не остановятся ли у них процессы, что приведет к потере денег; не нагнет ли их регулятор, что приведет к потере денег; не утечет ли база VIP-клиентов, что приведет к штрафу и уходу клиентов, что приведет к потере денег и т.д. То есть бизнес волнует то, что они понимают они под безопасностью, а не то, что под этим понимает ИБшник.

Поэтому и проверка своей защищенности должна быть немного иной, чтобы удовлетворить бизнес-руководство. Да, пентесты, red teaming, штабные киберучения и т.п. нужны и важны, но топам заходит совсем другой формат, требующий погружения ИБ в бизнес, а не попыток опустить бизнес на уровень ИБ.

Проводя оценка своей защиты, первым вопросом задайте себе "Кому мне надо демонстрировать результаты?" и уже от ответа на него "танцуйте"!

#soctech

Читать полностью…

Пост Лукацкого

А потом будет говорить, что во всем виноваты русские хакеры: Лидер польской оппозиционной коалиции и будущий премьер Польши Дональд Туск дает урок инфобезопасности 😉

🕊 РОССИЯ СЕЙЧАС - подписаться

Читать полностью…

Пост Лукацкого

Проходилj тут на днях в США мероприятие по SOCам и что-то немало мемасиков там было, местами занятных. Поспамлю сегодня 😛 #soctech

Читать полностью…

Пост Лукацкого

А вот вам еще в помощь руководство для аналитиков Threat Intelligence, которые собирают различные индикаторы вокруг доменов, IP-адресов или SSL/TLS-сертификатов. Как по мне, так по тем же доменам индикаторов там явно меньше, чем я даже перечислил в предыдущей заметке, но все-таки некое подспорье в работе, с которого можно начинать готовить свой чеклист...

#soctech

Читать полностью…

Пост Лукацкого

Вот так прилетает к тебе обновление ПО, которое обращается к репозиторию Github, содержащему вроде как обычные файлы иконок (с расширением .ico). И все бы ничего, но в конце каждой такой иконки набор закодированных Base64 строк, которые, дополнительно еще зашифрованы, и которые, о чудо, ведут на C2-сервера злоумышленников. А всего-то думаешь, что просто обновление за иконками лезет...

#soctech

Читать полностью…

Пост Лукацкого

По мнению Майкла Портера (это его имя в «пяти силах Портера»), чем сильнее развита конкуренция 🤼 на внутреннем рынке страны и выше требования покупателей, тем больше вероятность успеха компаний 🎰 из этой страны на международных рынках (и наоборот, ослабление конкуренции на национальном рынке приводит, как правило, к утрате конкурентных преимуществ) 🤔

Может и неплохо, что у нас под три десятка вендоров NGFW, с десяток SIEMов, столько же средств управления уязвимостями, DLP и вовсе без счета… 🧮

ЗЫ. А у вашего периметра (тоже слово на П) есть конец?

Читать полностью…

Пост Лукацкого

Моя презентация "Биздата. О защите бизнес-данных нетрадиционными мерами, которые реализованы у всех" с выступления на "Защите данных"

Читать полностью…

Пост Лукацкого

🤔 Знаете ли вы, что объединяет овцебыка, бабочку-шифровальщицу и кибербезопасность?

Если нет, то специально для вас Positive Education запускает бесплатный курс «Базовая кибербезопасность: первое погружение», автором которого стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

С помощью небольшого курса вы сможете понять основы отрасли: что такое кибербезопасность и как она влияет на людей, бизнес и государство. Материал в первую очередь рассчитан на новичков в этой сфере: в нем собран необходимый минимум информации, которую обычно приходится искать в различных источниках — статьях, выступлениях и видео.

Вас ждут девять коротких видеоблоков, в которых Алексей расскажет просто о сложных терминах в мире ИБ, что движет плохими парнями, кто работает на светлой стороне и даже какие инструменты ИБ использовали в Древнем Египте.

🤟 Курс доступен всем желающим, смотрите его на нашем сайте и делитесь с друзьями, которые хотят начать свой путь в сфере кибербезопасности!

@Positive_Technologies
#PositiveEducation

Читать полностью…

Пост Лукацкого

Вся это controls physiology базируется на модели FAIR-CAM, которая... не очень-то и похожа на классическое управление рисками (Risk 1.0). Магии не случилось. По сути речь идет о нормальной системе ИБ, которая зиждется на трех китах:
1️⃣ Меры поддержки принятия решений, которые позволяют приоритизировать оценить что и от чего мы защищаемся (управление активами, выбор ключевых систем, моделирование сценариев реализации угроз и т.п.)
2️⃣ Вариативные меры управления (управление уязвимостями, оценка защищенности, повышение осведомленности и т.п.)
3️⃣ Меры нейтрализации потерь, представляющие по сути собой харденинг инфраструктуры и уменьшение площади атаки.

Ничего нового, если честно. Я бы мог сказать, что это почти один в один концепция результативного кибербеза, только подана красиво и привычно использует слово «риск» в своей основе 👌

Читать полностью…

Пост Лукацкого

Устроим сегодня день риск-менеджмента 🔥 Если вы не просто слышали про оценку рисков, а реально пытались общаться с топ-менеджментом про эту тему, то знаете, что задача эта нетривиальная. Бизнес с трудом понимает абстрактные риски, которых еще и несколько сотен в реестре. Есть разные подходы к тому, чтобы решить эту непростую проблему, например, история с недопустимыми событиями. А вот г-н Шапиро (но не тот, другой) предложил свою методологию, назвав ее изящно и просто, - Двоичный анализ рисков (Binary Risk Analysis, BRA).

Идея BRA проста до безобразия - вам надо задать всего 10 вопросов, каждый из которых имеет всего два ответа - да 🆗 или нет 👎 (отсюда и "бинарный" в названии). Все вопросы делятся на пары и в зависимости от комбинации ответов (Да + Да, Нет + Нет, Да + Нет) вы получаете одно из трех значений классического "светофора" 🚦Риск оценивается экспертным путем по тому, насколько атака на актив требует нужных компетенций, актив имеет слабости в защите, каков источник угрозы и насколько актив ценен для бизнеса.

Из этого набора вопросов уже становится понятно, что облегчив саму процедуру оценки рисков методология BRA рассчитана на ИБшников (ну откуда бизнес знает про компетенции хакеров и слабости в защите активов?). А вот откуда ИБшники возьмут ответы на последнюю пару вопросов (имеет актив ценность для бизнеса и будет ли стоимость восстановления актива значительной), BRA не отвечает 🤑

Резюмируя могу сказать, что попытка облегчения оценки рисков в BRA достаточно интересная, но основную проблему она так и не решает. Бизнес все равно не будет ею пользоваться, а ИБшник не сможет донести важность темы до топ-менеджмента 🧐 Тут нужно нечто совершенно иное, простое и понятное для бизнеса.

Читать полностью…

Пост Лукацкого

А часто ли вы проверяете, нет ли в соцсетях у вас двойников, которые прикрываясь вашим именем, пишут всякую чушь и даже больше, тем самым подставляя под удар вашу репутацию? Вот, например, фейковый аккаунт моего друга и товарища по киберборьбе Алексея Волкова. "Он" участвует в ИБшных чатиках и постит всякое нелицеприятное для людей. У меня тоже как-то был фейковый аккаунт на Github 😊

Если вы личность публичная, то стоит регулярно проверять Интернет на предмет цифровых двойников. У "больших дядей" для этого есть отдельные люди и даже сервисы DRP (Digital Risk Protection), которые следят за появлением в соцсетях фейковых аккаунтов генеральных директоров компаний и организаций. А что делать обычному, пусть и популярному человеку? Только самому следить за своей цифровой репутацией 🧐 И надеяться на помощь коллег и друзей, которые увидят и обратят внимание!

Читать полностью…

Пост Лукацкого

Матрица MITRE ATT&CK, версия для АСУ ТП для отрасли энергетики с указанием техник, используемых в последних инцидентах

#soctech

Читать полностью…

Пост Лукацкого

Вчера, в ночи, с друзьями за бокалом коньяка, зашел разговор о том, что фреймворк - штука полезная не только в ИБ, но и в приготовлении плова, щей, а также во многих других вещах. Но если про плов и щи я писать в канале не планирую, то вот про ИБ поговорить можно. Фреймворков в ИБ существует немало; думаю наберется не меньше двух-трех десятков. Есть более популярные, например, NIST CSF или ISO 270xx, есть менее, например, SABSA или ISM3. В любом случае они позволяют не только построить ИБ (другой вопрос, будет ли она результативной, но это отдельный разговор), но и оценить текущий уровень защищенности и попробовать его даже "продать" топ-менеджменту. И можно себя даже сравнивать с другими компаниями на рынке, следующими тому же фреймворку. И вот в отчете, на который я ссылался вчера, был также вопрос о том, с помощью какого фреймворка/стандарта компании оцениваете зрелость своей программы ИБ? Ответы вы видите на горизонтальной гистограмме.

ЗЫ. В России фреймворков по ИБ, к сожалению, нет. И да, ГОСТ 57580.х к таковым не относится, так как он ни слова не говорит о том, как внедрять ИБ; да и сами требования ГОСТа без поллитра не разберешь (да и с литром тоже).

Читать полностью…

Пост Лукацкого

А вот какие еще метрики, помимо классической тройки MTTD-MTTR-MTTC, используются SOCами. На пьедестале с первыми тремя местами, конечно же, размер члена число инцидентов, число уязвимостей и число попыток взлома. Бестолковые, но легко измеряемые метрики, которые ложатся на стол руководству, которое недоуменно спрашивает: "И что? Как это все связано с нашим бизнесом/госуправлением? Мы стали меньше зарабатывать или хуже оказывать госуслуги гражданам?" И нет ответа на этот вопрос И все остальные почти два десятка метрик тоже не помогают отвечать на эти вопросы. Но зато считаются легко и тешат собственное самолюбие.

Выбирая метрики, задайте тот же сакраментальный вопрос: "Кому я буду показывать результаты своей деятельности?". Ответ на него подскажет вам, правильные метрики вы собирались выбирать или нет.

#soctech

Читать полностью…

Пост Лукацкого

В связи с предпринятыми недружественными действиями против текущего хостинга моего сайта, надо переезжать на новый. Это потребует некоторого времени - максимум 48 часов. Поэтому сайт https://lukatsky.ru будет в ближайшие пару дней недоступен.

ЗЫ. Предупреждаю заранее, чтобы не было потом инсинуаций по поводу взлома и вот этого вот всего...

Читать полностью…

Пост Лукацкого

Тут интересный отчетик подогнали по SOCам и в нем помимо всего, есть интересный вопрос о том, как организация оценивает 5️⃣ свою киберготовность к инцидентам и как проверяет, что ее не хакнут плохие парни. По сути речь идет об ответе на классический вопрос любого топ-менеджера, который решил поинтересоваться ИБ в своей компании, "Насколько мы защищены?" 🧐

Большинство, и это совсем не удивительно, проводят тесты на проникновение, штабные киберучения, тестирование возможностей команды реагирования, учения по непрерывности, а также red/blue/purple teaming. Достаточно стандартный набор вариантов оценки своей защищенности. А потом респондентов спросили самое главное - "Приводят ли результаты проведенных киберучений и иных методов оценки своей киберготовности к реальным атакам к значимым инвестициям или улучшению уровня ИБ организации?" И вот тут очень интересно было увидеть результаты, согласно которым, только 26% респондентов дали целиком положительный ответ 🤑 У 38% опрошенных видимых результатов либо не видно 😕 либо их нет вовсе. Оставшиеся 36% считают, что уровень защиты растет, но инвестициями от топ-менеджмента не пахнет.

#soctech

Читать полностью…

Пост Лукацкого

А это еще одно руководство для аналитиков Threat Intelligence по описанию профиля нарушителя 😂 Вроде как и простенький по структуре профиль, но многие ключевые моменты учтены:
1️⃣ Имя и возможные синонимы согласно данным разных ИБ-компаний и TI-источников
2️⃣ Общие сведения о нарушителе (группировка, тип /хактивист, шпион, криминал.../, кампания)
3️⃣ Сектор/индустрия, в котором обычно действует нарушитель, включая связанные цели
4️⃣ Атрибуты по "алмазной модели" (Diamond Model), включая инфраструктуру и возможности нарушителя
5️⃣ Тактики и техники, желательно согласно MITRE ATT&CK

#soctech

Читать полностью…

Пост Лукацкого

Помню, проходил я несколько лет назад стажировку в одном SOC, и в первый же день я задал коллегам сакраментальный вопрос — а как вы выбираете, на какие сигналы от SIEM/EDR/NTA/NDR реагировать, а какие можно отложить «на потом»? Ведь при миллионах и миллиардах событий безопасности, которые детектируют различные сенсоры и «сдают» в SOC, потеряться в них несложно. И рассказали мне лайфхак, которым я бы тоже хотел поделиться.

#soctech

Читать полностью…

Пост Лукацкого

Помню, в 2017-м году мы проводили серию мероприятий по использованию DNS в деятельности ИБ-специалистов, а также применению этого протокола злоумышленниками. Анализируя тип записи, длину домена, значения TTL, дату регистрации, владельца, ASN, данные регистратора, геолокацию, энтропию в имени домена и другие параметры можно было делать немало выводов о вредоносности не только сайтов/доменов, но и DNS-коммуникаций.

И вот достаточно интересная статья о том, как DNS используется для утечки информации. При этом используются легитимные ресурсы, что осложняет обнаружение такой активности. Мне, конечно, не хочется думать, что все последние кейсы, в которых шифровальщики вытягивали сотни гигабайт и даже терабайты данных, использовали данную схему, но это при достаточно большом сроке необнаружения вполне возможно. Правда, и бороться с этим достаточно легко, - просто настроить квоту для трафика (главное, для всего, а не только для HTTP/HTTPS).

#soctech

Читать полностью…

Пост Лукацкого

3 ноября производитель облачной SIEM компания Sumo Logic столкнулся с инцидентом, в рамках которого неназванное лицо с помощью скомпрометированной учетной записи получило доступ к учетке Sumo Logic в облаке AWS. Клиенты не пострадали, их данные были зашифрованы и надежно защищены. 7-го ноября компания оповестила об этом своих клиентов. 8-го Sumo Logic объявила, что масштаб инцидента был немного преувеличен, а 9-го был опубликован соответствующий playbook для клиентов, которым посоветовали обнулить и поменять API-ключи для работы с облачной платформой.

Из интересного: среди клиентов Sumo Logic и пострадавшие недавно 23andMe и Okta.

#soctech

Читать полностью…
Подписаться на канал