alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Лучшие практики ИБ, на которые отдельные депутаты Госдумы советуют равняться. Рекомендуют ДСПшные отчеты губернатору отправлять по внутреннему электронному документообороту или через более удобные, ну и что, что иностранные, мессенджеры!

ЗЫ. Всегда так делаю!

Читать полностью…

Пост Лукацкого

🤖 Насколько киберустойчива ваша цифровая трансформация?

В качестве одного из параметров рейтинга руководителей цифровой трансформации (РЦТ), или оперативного рейтинга, был добавлен показатель «информационная безопасность». Он в том числе позволяет оценить исполнение Указа №250.

Мы создали калькулятор для расчета показателя ИБ. С его помощью вы сможете понять, насколько ваша компания соответствует требованиям к необходимому уровню кибербезопасности, а также узнать, сколько баллов приносит соответствие каждому критерию.

🧮 Рассчитать показатель

Читать полностью…

Пост Лукацкого

К разговору о численной оценке рисков. Сегодня выступал на конференции Beeline Cloud в секции про искусственный интеллект, а до нее слушал секцию про облака, в конце которой один из слушателей спросил, какие методы численной оценки рисков используют участники сессии. И чтобы вы думали? 🤔 Никто не ответил на этот вопрос. Все ссылались либо на то, что и так все понятно, либо на то, что облака - это уже давно commodity и нет там никаких особых рисков (странно вообще сопоставлять commodity и отсутствие рисков, ну да ладно), либо на SLA по надежности.

Но про обычную оценку рисков, о которой в теории знают все, никто так и не сказал. И я буду в Дубае в том числе про это говорить - одно дело теоретизировать про расчеты вероятности и ущерба и совсем другое - пытаться на практике найти данные для расчета и не утонуть в этих самых расчетах; да еще и так посчитать, чтобы тебе поверили и не ставили под сомнение. Одно дело - говорить про метод светофора 🚦и совсем другое - идти с ним к клиентам или бизнесу. В итоге дискуссия закончилась классикой - вы либо доверяете людям, работающим в облаке, либо нет 😊

ЗЫ. Я прям хотел вырваться на сцену и закричать: "Парни, ну вы что, есть же недопустимые события и они прекрасно понятны лицам, принимающим решения", но я сдержал себя 😊

Читать полностью…

Пост Лукацкого

5 миллионов атак за 10 дней 😮 Все-таки, мне кажется, мы еще настрадаемся с разницей в терминах «компьютерная атака», «событие безопасности», «инцидент ИБ» и т.п. у НКЦКИ, ФСТЭК, ЦБ. Ну и отображать на дашбордах, особенно руководителя, все-таки лучше что-то влияющее на бизнес-показатели или показатели госуправления - инциденты с катастрофическими последствиями (недопустимые события). Просто показывать миллионы атак изо дня в день - глаз замылится и мы перестанем замечать «атаки» вообще. Ну и мне не хватило на этом дашборде подсвечивания динамики (цветом или направленной вверх/вниз стрелкой).

Читать полностью…

Пост Лукацкого

Вообще бомбические intro-видео были в этот раз на Positive Security Day. Не устаю пересматривать 😊 Не только свое, но и у коллег, представленных в форме героев "Хоббита", "Людей Икс", "Интерстеллар", "Агента 007" и т.д.

ЗЫ. Кстати, уже и сами презентации выложили на сайте, в разделе "Программа".

Читать полностью…

Пост Лукацкого

Что делать, чтобы ИБшники перестали, встретив препятствия, бежать к регулятору и требовать от него ответа? На месте регулятора я бы делал следующее:
1️⃣ Пропасть на время. Если человек понимает, что его кинули все, в кого он верил и на кого он надеялся, ему остается только полагаться на свои силы и поверить в себя.
2️⃣ Не надо обсуждать с ИБшниками проблемы - надо стимулировать ИБшника предлагать способы их решений и обсуждать именно их. Нет решения, пусть идут и думают, пока не предложат хоть что-то, что и можно будет обсуждать.
3️⃣ Не давать правильных ответов. В ИБ вообще не бывает единственного верного решения. Пусть ИБшники фокусируются на способах решениях проблемы, а не ждут, когда регулятор им спустит сверху "правильный ответ", за который "никто не накажет". Неограниченный заранее предопределенными ответами, ИБшник может найти нестандартное решение своей задачи.

Больше говорить, какого результата надо достичь. Меньше говорить, что это надо делать. Молчать о том, как это надо делать. И совсем перестать при проверках говорить, что правильно, а что нет, если достигается определенный результат. Задача регуляторов воспитывать в ИБшниках инициативу и критическое мышление, быть гибкими и способными брать на себя ответственность, умеющими учиться, а тупо выполняющими сотни страниц мало кому понятных требований.

Читать полностью…

Пост Лукацкого

В 1985-м году Лиза Белкина опубликовала в The New York Times занятную статью о том, как Procter & Gambles боролась с инцидентом ИБ с негативом в отношении себя. В 1982-году в США кто-то стал распространять слухи о том, что в шоу то ли Мерва Гриффина, то ли Фила Донахью, P&G признала, что поддерживает организацию "Церковь Сатаны". И листовки об этом были разосланы по многим американцам, 15 тысяч из которых позвонили в P&G с гневными заявлениями.

В 1985-м году история повторилась. Кто-то стал распространять слухи о том, что P&G не только скрыто поддерживает сатанистов, но и открыто пропагандирует свою связь с дьяволом. Логотип содержит перевернутое число 666, на нем изображены рога Сатаны и присутствует 13 звезд, складывающихся в тоже число 666. Компания также стала получать звонки тысячами, что привело к принятию целого ряда экстренных решений:
🧻 Был организован бесплатный телефонный номер, чтобы перенаправить на него звонки вместо основного номера компании
🧻 Наняла два детективных агентства, которые провели расследование инцидента и попытались найти источник распространения слухов
🧻 Созвала пресс-конференцию, на которой было рассказано, что логотип известен еще с 1882 года, что 13 звезд - это 13 колоний и т.п.
🧻 Призвала на помощь религиозных лидеров, которые в своих проповедях утверждали, что это все слухи и неправда.

После этого несколько виновников распространения слухов были задержаны и переданы правоохранительным органам, которые и возбудили дела против них. Но только после того, как были реализованы первые экстренные шаги, снявшие первую негативную реакцию и позволившие взять ситуацию под контроль.

К чему эта долгая прелюдия и причем тут кибербез? Все просто. Замените "слухи о поддержке сатанистов" на "сведения об утечке ПДн клиентов" и вы поймете, как вам надо выстраивать антикризисный PR в такой же ситуации:
🔤 Первая реакция должна быть незамедлительной, в течение 2-4 часов после публикации данных об инциденте. Необязательно говорить/писать что-то очень много и детально. Достаточно просто показать, что в курсе и что вы начали разбираться в ситуации. Лучше аудитория ждет вашего следующего шага, чем верит анонимным Telegram-каналам и СМИ, использующим непроверенные "факты".
🔤 Второй контакт с внешним миром должен быть более развернутым. В нем надо показать, что вы отнеслись к фактам, пусть и пока непроверенным, серьезно. Что топ-менеджмент в курсе происходящего и вовлечен в решение проблемы. Что вы привлекли внешних экспертов, которые помогают вам в расследовании. Что мы открыты и ничего не скрываем.
🔤 Третий контакт может быть уже после проведенного вами расследования с раскрытием всех деталей, которые показывают вашу невиновность или вину. В первом случае вы делитесь деталями расследования и найденным виновником всех проблем (если он есть). Во втором случае стоит объяснить причины произошедшего, извлеченные уроки и действия по недопущению схожих инцидентов впредь.

Учите основы PR - это тоже зона внимания руководителя ИБ.

Читать полностью…

Пост Лукацкого

Когда вы отсечете все "мелкие" риски, последствия от реализации которых не являются катастрофичными для совета директоров/бизнеса, у вас и останется всего с пяток серьезных проблем, которые и называются нонче недопустимыми событиями 😊 Отличия от рисков два - озвучиваются они сверху (советом директоров / бизнесом) и нет сложных формул расчета ущерба и вероятности.

Так в рисках же часто и не считает никто по сложным формулам, ограничиваясь "светофором" 🚦, скажете вы. Да, это популярнейшая история подмены понятий. Не можем/не хотим считать, упрощаем до "светофора". Но в этом случае теряется весь смысл, так как трактовка понятий "высокий", "средний" и "низкий" 🕯 у тех, кто считает, и у тех, кому представляют результаты, могут быть совершенно разные. Когда топ-менеджер сам определяет катастрофичность последствий - это совсем не то, когда это делает человек "на зарплате", не несущий никакой ответственности за бизнес-показатели.

Поэтому термин "недопустимые события" имеет право на существование именно потому, что он не имеет ненужного флёра. Если в организации ключевые риски выбирают топы и этих рисков немного, а последствия от них очень серьезные, то можно использовать и термин "риски". Почему нет? Главное, соблюсти эти условия.

Читать полностью…

Пост Лукацкого

Минцифры планомерно расширяет scope своих систем, которые планирует выводить на bug bounty. Вкупе с методикой оценки руководителей по цифровой трансформации, которая включает в себя пункт по выводу государственных информационных систем федеральных органов исполнительной власти, у регулятора вполне серьезные планы расширить требования ФСТЭК по анализу защищенности переведя их на непрерывные рельсы. Сначала от организаций требовали устранять уязвимости, потом проводить регулярные пентесты, потом ежегодные киберучения (это уже по линии НКЦКИ), теперь и вовсе требуют непрерывной оценки через механизм Bug Bounty.

Не всем это нравится по понятным причинам. Тут уже не отмазаться аттестатом соответствия - надо реально выстраивать процесс анализа защищенности и устранения выявленных багов. Не все имеют на это ресурсы. Не у всех есть квалификация. Да и с точки зрения платформ bug bounty есть свои нюансы - не хватает хакеров, не всегда понятна юридическая составляющая процесса (вчера на Positive Security Day, на финальной сессии, даже был вопрос из зала про это). Ллиха беда начало. Ломать сложившуюся годами практику непросто (это как ломать плохо сросшиеся кости - больно, но никуда не деться, если потом хочется быть здоровым). Но и жить по старому уже нельзя. Судя по поляризации мира и росту числа геополитичексих конфликтов, которые сопровождаются конфликтами и в киберпространстве, спокойная жизнь нам теперь будет только сниться. А раз так, то и готовиться к ней надо иначе.

Читать полностью…

Пост Лукацкого

История с разработкой единого перечня защитных мер (с единым именованием, и единой нумерацией) существует не первый год. Более того скажу, что эта идея обсуждалась после выхода 31-го приказа (2014-го года), так как уже тогда появилась некоторая путаница с некоторыми из мер защиты. Так что выпуск единого перечня сильно помогло бы всем, да и регулятору было бы проще вносить правки в один документ, а не в пять приказов (17/21/31v2014/31v2017/239).

А вот документ про компенсирующие меры, как мне кажется был бы лишним. По крайней мере, я не очень понимаю, что там можно написать на целый документ. Указывать, какие компенсирующие меры можно применять, а какие нет? Ну тогда это просто расширение перечня защитных мер и не более. В том и смысл компенсирующих мер, что они не регулятором навязываются и определяются.

Идея с указанием в реестре сертифицированных СрЗИ реализуемых защитных мер тоже, на мой взгляд, скорее навредит, чем поможет. Если бы у нас ФСТЭК выпускал свой требования оперативно, а не годами тянул даже с обещанными РД, а продукты выполняли на 100% требования РД и ничего более, то тогда это и имело бы смысл. Но у нас не выполняется оба условия - многих, ранее озвученных, готовящихся документов нет до сих пор, а сами решения реализуют гораздо больший функционал, чем это прописано в РД. И в чем тогда смысл? Заказчик все равно будет смотреть на описание продукта, а не новую колонку в реестре ФСТЭК. А потом будет пилотировать решения, а не доверять опять же указаниям ФСТЭК о реализуемости той или иной меры.

Читать полностью…

Пост Лукацкого

У коллег в канале отрасль ИБ в лицах в стиле анимэ. Максимов, Касперский, Сачков, Наумова, Касперская и я 😊

Читать полностью…

Пост Лукацкого

MGM сообщает, что в финансовой отчетности третьего квартала они отразят потери от инцидента с шифровальщиком в сумме около 100 миллионов долларов. Все, как и предполагалось, - пару недель простоя с 8-мью миллионами долларов потерь ежедневно. Казино Caesars, с аналогичным инцидентом, отделался 15-тью миллионами выплаченного выкупа 🤑.

Вот и думай, что лучше, - следовать традиционным ИБшным рекомендациям и не платить или заплатить и "спать спокойно". В очередной раз демонстрируется, что ИБ и бизнес думают немного по-разному 🤔

Читать полностью…

Пост Лукацкого

АНБ и CISA выпустили документ, описывающий Топ 10 типичных ошибок в конфигурации инфраструктуры, с которыми постоянно сталкиваются "красные" и "синие" команды двух американских спецслужб (с привязкой к техникам MITRE ATT&CK):
🔤 Настройки "по умолчанию" для ПО (пароли, конфиги и права для сервисов, незащищенные протоколы и т.п.)
🔤 Неэффективное разделение пользовательских и административных прав (ненужные админские права, использование сервисных учеток)
🔤 Неэффективный (или отсутствующий) внутренний мониторинг сети
🔤 Нехватка сетевой сегментации
🔤 Слабый патч-менеджмент (нерегулярность, неподдерживаемые ОС и ПО)
🔤 Обход системного контроля доступа (pass-the-hash, Kerberoasting, например)
🔤 Слабая или ненастроенная MFA (отсутствие защиты от подмены SIM, MFA bombing, атаки на ОКС7, голосовой фишинг и т.п.)
🔤 Неэффективные списки контроля доступа на сетевых шарах и сервисах
🔤 Слабая гигиена с учетными записями (легко угадываемые пароли и пароли в открытом виде)
🔤🔤 Неограниченное исполнение кода.

Там же в 40-страничном документе даны и рекомендации по защите и нейтрализации данных ошибок.

Читать полностью…

Пост Лукацкого

Как обещал, пощелкал немного в Кибердоме 🏡, на новой площадке для ИБшников, где построили свой киберполигон, на котором, среди прочего, даже космическая станция есть.

Читать полностью…

Пост Лукацкого

Израильтяне советуют всем быть бдительными и готовыми к кибератакам. При этом некоторые хакерские группировки призывают присоединиться к ним для атак на киберпространство Израиль 🇮🇱.

ЗЫ. Интересный факт. У израильтян есть приложение Цофар, которое предупреждает о ракетных ударах по Израилю. Так вот ортодоксальным евреям, соблюдающим Шаббат, по субботам запрещено пользоваться телефоном и Интернетом и многие из них вовремя просто не узнали о нападении ХАМАС. К чему это я? К тому, что процессы ИБ должны учитывать религиозные аспекты 🛐 того региона, в котором они реализуются.

Читать полностью…

Пост Лукацкого

1️⃣ Российские пранкеры Вован и Лексус разыграли глав МИД Финляндии и Швеции, а также шведского министра обороны, поговорив с ними от лица представителя Африканского континента (гуталином они что ли мазались?).
2️⃣ Украинские военные позвонили на Уралвагонзавод из-за сломанного танка еще советских времен и им оказали необходимую техническую поддержку, только потом поняв, с кем поддержка имеет дело.
3️⃣ Хакеры позвонили в техподдержку сети отелей MGM Grands и, сославшись на забытый пароль, попросили прислать им его заново, что техподдержка прекрасно и сделала.
4️⃣ "Служба безопасности Сбербанка" стала мемом, имея под собой наипопулярнейший метод мошенничества по телефону путем маскировки под сотрудников банка или представителей власти.

Внимание, вопрос! На дворе 2023-й год, люди в космос летают ИИ используют и генетический код редактируют. Неужели до сих пор никто не озаботился разработкой способов аутентификации звонящих по телефону и включении этого вектора не только в модель угроз, но и в тренинги для сотрудников? Как мы COVID-19 пережили-то?

Читать полностью…

Пост Лукацкого

Пятница... Самое время расслабиться, совместив приятное с полезным. А именно оценить уровень кибербезопасности своей цифровой трансформации, а также уровень соответствия требованиям 250-го Указа Президента. Минцифры выпустило методику, где одно из приложений посвящено как раз ИБ, а мы его оцифровали. Если вы не руководитель цифровой трансформации, то для вас это методика не имеет никакого значения, но вы можете просто оценить себя.

ЗЫ. А вдруг Минцифры распространит эту методику на всех, кто попадает под 250-й Указ?

ЗЗЫ. Никакие ваши данные не собираются и не сохраняются. Это просто сервис самопроверки и не более.

Читать полностью…

Пост Лукацкого

Крепкие мужские руки все чаще стали касается моего тела - то барбер перед очередным эфиром подравнивает мою бороду, то звукорежиссер залезет мне под рубашку, чтобы навесить петличку микрофона. А все почему?

Количество выступлений в неделю стало превышать число дней в ней и это соотношение продолжает держаться последнюю пару месяцев. Так что всего парочка выступлений в Дубае 🇦🇪 - это отдых (двусмысленно как-то прозвучало) 🏝 Правда, выступать мне на языке, на котором я не говорю 😱

ЗЫ. Из-за этого пропущу Евразийский конгресс по защите данных (EDPC), на которым традиционно выступал последние годы. Ну а вы не пропускайте, если вам близка тема персданных

Читать полностью…

Пост Лукацкого

🤖 Какие угрозы несут технологии искусственного интеллекта и больших данных для пользователей и компаний? А какую пользу приносят? Необходимо ли импортозамещение в этой сфере?

Об этом уже сегодня в 12:00 на конференции Deep Cloud Dive поговорит Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, вместе с другими экспертами IT-рынка.

👀 Посмотреть онлайн-трансляцию можно будет бесплатно, для этого необходимо заранее зарегистрироваться.

@Positive_Technologies
#PositiveЭксперты

Читать полностью…

Пост Лукацкого

Кто бы мог подумать, что депутаты-члены комитета ГД по ИТ так прямо воспримут идеи об использовании креста и святой воды для улучшения кибербеза в стране.

Читать полностью…

Пост Лукацкого

Если вдруг вы пропустили Positive Security Day, не имея возможности ни прийти физически, ни посмотрев его в онлайне, то это не беда, на сайте уже выложены записи всех выступлений. И да пребудет с вами Сила, Сила ИБ!

Читать полностью…

Пост Лукацкого

Авторы говорят, это все типы и подтипы киберпреступлений в мире. Однако, увы, не все. Но попытка все собрать в одной картинке похвальная.

Читать полностью…

Пост Лукацкого

В японском городе Киото начал свою работу XVIII Форум ООН по управлению Интернетом (IGF-2023). Я понимаю, что ООН всегда была за все хорошее против всего плохого, но последние годы она вообще оторвана от реалий и от жизни, не имея реальной силы на какие-либо серьезные изменения в геополитике. И проходящий IGF, как мне кажется, лишний раз это демонстрирует. Во-первых, среди семи треков программы один посвящен фрагментации Интернет, что уже маловероятно повернуть вспять. Опыт России, Китая и других стран с авторитарным руководством показывает, что балканизация Интернета не только возможна, но и вполне себе реализуется. И по мере расширения очагов напряженности в мире, число Интернет-анклавов тоже будет расти, совпадая с технологическими блоками (США, Китай, Индия, Россия, Европа и их сателлиты).

Во-вторых, на IGF ода из сессий посвящена вопросу регулирования Darknet. Регулирование! Даркнета! Ну это все равно, что регулировать развитие ИИ и грозить пальцем хакерам, чтобы они не использовать ИИ во вредоносных целях. Но на грозящий палец всегда находится палец другой, не грозящий, а торчащий. И тоже самое с Darknet. Ну какое там может быть регулирование? Смешно.

Наконец, Россия предлагает в 2025-м году провести в России 20-й, юбилейный IGF (не путать с RIGF). И, как мне кажется, надо быть совсем оптимистом в розовых очках, чтобы надеяться на то, что ООН согласится на эту авантюру и что к нам вообще кто-нибудь приедет. Это ООН может заявлять об одинаковых возможностях Интернета для всех (а это главная тема форума) и равенстве всех народов, но мы-то понимаем, что абсолютное большинство стран будет бойкотировать поездки в Россию.

В общем, ООН надо быть ближе к Земле и заниматься чем-то более полезным, а не популистскими темами...

Читать полностью…

Пост Лукацкого

📖 Единый классификатор мер защиты информации

ФСТЭК России подтверждает, что осуществляет работы по разработке единого классификатора мер защиты, призванного объединить и гармонизировать одновременно схожие и отличающиеся меры защиты (безопасности) из 4-ки своих приказов 17, 21, 31 и 239.
Кроме того, регулятор разрабатывает методический документ по реализации компенсирующих мер, если та или иная мера защиты, указанная в соответствующих требованиях по защите информации, не применима.
Также стоит ожидать, что в реестре сертифицированных СрЗИ может появится указание на то, какая мера защиты информации реализуется выбранным СрЗИ.

⭐️ Спасибо подписчику за информацию.

Читать полностью…

Пост Лукацкого

Новый метод аутентификации - LIPA (Lip Authentication) 👄

Читать полностью…

Пост Лукацкого

АНБ и CISA выпустили очередное руководство по идентификации и аутентификации, опираясь на сложности, с которыми сталкиваются разработчики и вендора. И это спустя полгода после выпуска руководства по управлению IAM для админов.

Читать полностью…

Пост Лукацкого

Positive Security Day начинается! Запасайтесь попкорном на весь день 🍿

Смотреть конференцию онлайн можно на нашем сайте.

@Positive_Technologies
#PositiveSecurityDay

Читать полностью…

Пост Лукацкого

Мы перестали заглядывать в окна… киберполигонов (с)

Я вот заглянул. Проработка макета конечно поражает. Я надолго залип на рассматривании мелких деталей - бутылки у девушки в руках, котика на кровати, кошачьего концерта гитариста, центра управления полетами, биржи и т.п. И ведь многие из объектов активно действующие. Например, на дашбордах ЦУПа меняются картинки, на плазме концертной площадки отображаются психоделические картинки, а на бирже меняются курсы акций и криптовалют... И все это, похоже, можно взломать и можно защитить...

Читать полностью…

Пост Лукацкого

Израильский независимый системный оператор Noga, возможно, взломан. Группировка Cyber Avengers пишет об этом, приводя соответствующие скриншоты из АСУ ТП. Правда это или нет, и по какой причине нет света, в текущих условиях не поймешь. Может взлом, а может и удар ракеты 🚀

Читать полностью…

Пост Лукацкого

Тут на всяких ресурсах хакерский журнальчик распространяют. И там самая большая статья, аж на 40 страниц, про отключение Касперского AV/EDR. С одной стороны это признание, а с другой - повод задаться вопросом, а как вы проверяете, что установленные у вас средства защиты, особенно хостовые, продолжают работать и мониторить вредоносную активность? И есть ли у вас процедура оперативного возвращения средств защиты в исходное состояние? Одно дело когда антивирус просто не видит современных вредоносов и совсем другое, когда его выносят с компа на 1-2-3.

ЗЫ. Ну а распространение через центр управления антивирусом вредоносов - это вообще нехорошо. То есть покупая средство защиты не забудьте убедиться не только в том, что оно защищает вас, но и что оно само защищено.

Читать полностью…
Подписаться на канал