Зеленский уволил главу кибербеза СБУ Илью Витюка, которого он же месяц назад наградил погонами бригадного генерала
Читать полностью…Шутка за 100 для тех, кто еще помнит эти имена 😂
ЗЫ. На сайте McAfee, кстати, из раздела Executive Team убрали данные по их гендиректору, Грегу Джонсону. Опять меняют?
ЗЗЫ. Главное, не путаться в разных McAfee, которые теперь McAfee (консьюмерские продукты), Trellix (слияние McAfee Enterprise и Fireeye) и SkyHigh (слияние SkyHigh и McAfee SSE) 😦
Мир
Труд
Май
Кибербез
Подготовили мотивирующие плакаты в советской стилистике с важными советами по кибергигиене.
🔮 Листайте карточки, ностальгируйте и пишите в комментариях, какие еще советы можно перенести на советский плакат.
💫 Все плакаты можно не только репостнуть и отправить друзьям, но и скачать в высоком разрешении и повесить у себя в офисе.
🏠 Подписаться на Кибердом & Бизнес
Новая схема от мошенников с сопредельной стороны (прислана подписчицей, за что ей спасибо!). Обзванивают 📞 бывших сотрудников (начиная с гендиректоров и бухгалтеров, данные по которым открыто лежат в ЕГРЮЛ) компаний с иностранным участием и, прикрываясь службой в правоохранительных органах и стращая уголовными делами 👮 по иноагентским статьям и госизменой, требуют всякого, например, бухгалтерские документы.
Так что, если вы еще недавно числились в какой-нибудь такой фирме, то будьте готовы к соответствующим звонкам 📞 и сообщениям. Как модификация схемы, может прилететь сообщение от вашего "бывшего генерального директора", который будет запрашивать разное, якобы в рамках следственных действий, или просить оказать содействие 🆘
ЗЫ. То же легко пробивается через соцсети (LinkedIn, Facebook, VK и иже с ними).
21 год тюрьмы получил специалист по кибербезопасности АНБ за шпионаж в пользу России 🇷🇺 За 85 тысяч долларов он слил (и пообещал слить еще) несколько совершенно секретных документов агентам ФБР, выдавшим себя за сотрудников российских спецслужб 👀
А если бы они себя выдавали за агентов 🗿 Гондураса, он тоже бы сливал данные? Может ему вовсе неважно было, кому сливать украденные файлы? А с другой стороны, зачем Гондурасу секретные документы 🤫 АНБ?
Интересное название у очередного шифровальщика - Псоглав 🐺
Иностранные исследователи пишут, что это слово из славянских языков, как бы намекая в очередной раз на Россию. Как по мне, так намек странный, - Псоглав - это слово из сербского (в хорватском или словенском языках окончания немного иные - psoglavac и psoglavec соответственно) и означает чудовище с головой собаки или волка и телом человека 🚶♂️
Вроде и «браться-славяне», но точно не Россия, где аналогичного демона в явном виде нет (кроме хоть как-то близкого «Полкана»). Но если написать ✍️ про потенциальное авторство Боснии и Герцеговины или Монтенегро, то это уже не так интересно; они же часть «правильной» Европы. Хорошо что пока не связали с релокацией многих русских в Сербию…
АНБ обновило набор национальных криптографических 🤒 стандартов (Commercial National Security Algorithm Suite 2.0, CNSA 2.0), распространив обновления на операторов и владельцев национальной системы безопасности (NSS) и военных (DIB) в обязательном порядке (остальные могут применять их по своему желанию). Изменения связаны с включением в CNSA 2.0 новых, квантово-устойчивых алгоритмов ⚛️
Читать полностью…Возвращаясь к позавчерашней статистике Mandiant, есть и другие цифры; на этот раз от PaloAlto Unit42. У этой компании на первое место в числе причин успешных атак выходит социальный инжиниринг, включая фишинг (42%). На втором месте - использование уязвимостей (31%), на третьем, с 15%, - компрометация учетных данных 🗡
А вот шифровальщики, по данным Unit42, в основном использовали эксплойты (48%) и подбор пароля (20%); последний преимущественный для RDP, который использовался в 40% всех заражений ВПО 🔓 VPN-шлюзы тоже в прицеле - в 50% на смотрящих в Интернет криптошлюзах почему-то отсутствовала многофакторная аутентификация, что вкупе с подбором пароля представляет открытые ворота для злоумышленников 🥅
Уходя на майские праздники, можете ли вы положительно ответить на следующие вопросы:
✔️ Вы уверены, что ваш корпоративный почтовый сервер готов к тому, что когда хакеры постучатся в него "тук-тук" (knock-knock), он сможет противостоять им? PT Knockin вам в помощь.
✔️ Вы уверены, что у вас выстроен процесс поиска и устранения хотя бы публичных торчащих уязвимостей, а также анализа незакрытых портов и сервисов? СКИПА от CybeOK или Censys и Shodan вам в помощь.
✔️ Вы уверены, что отслеживаете утекшие пароли ваших сотрудников. Сервис НКЦКИ вам в помощь.
✔️ Вы уверены, что у вас пропатчен RDP и он пробрасывается через VPN?
✔️ Вы уверены, что у вас включена MFA на доступных извне сервисах доступа внутрь инфраструктуры (VPN, RDP, SSH и т.п.)?
Эксперт по OSINT разоблачил видео девушки, которая пишет, что она купается 🏊♀️ в 5.30 утра в французской Ницце. Оказалось, что купается она не в 5.30, а в 6.04 утра. Если не придираться к тому, что девушка могла зайти в воду в 5.30, отплыть от берега (а видно, что она далеко от него) и снять видео (и тогда вполне возможно, что время будет таким, какое разоблачает Тревор), то вокруг OSINT ходит много всяких мифов и легенд и используют его часто в каких-то личных задачах - пробить девушку, узнать адрес или реальное имя, доказать фейковость и т.п. 🔍
Но OSINT может применяться не только против отдельных лиц, но и против компаний. И не только для изучения их слабых мест, но и для оценки площади атаки и ее снижения. Кто-то называет это Digital Risk Protection, кто-то корпоративным OSINT, кто-то да как только не называют. Суть не в названии, а в содержании и в том, занимается этим ИБ или нет. Мы, кстати, про это будем говорить на PHD2 и... что оооочень интересно, в дискуссии будет принимать участие ФСТЭК 🏛, которая подготовила проект требований по этой теме. Так что если вам интересно, что вас ждет и как это можно реализовать, то вы знаете, где об этом услышать.
Ассоциации компаний по защите и хранению персональных данных неплохо было бы сначала изучить закон о персональных данных и правоприменение по нему. Тогда они разместили бы у себя на сайте хотя бы политику в отношении персональных данных и расписали бы согласие на их обработку чуть более конкретно. Пока это сраный стыд 🤠
Мой предыдущий пост про эту, так сказать, "ассоциацию" был верен 🤮 К слову, напомню, что RPPA появилась задолго до!
Когда у сотрудников дубайского офиса 🟥 не только машины красные, но и вход в них по паролю.
И потом не говорите, что вы не знаете, как реализовать многофакторную аутентификацию на автомобиле ☺️ Ключ/брелок - фактор владения, а пароль/PIN - фактор знания! Скоро, глядишь, на бортовом компьютере надо будет пароль вводить или голосовую идентификацию проходить, чтобы двигатель завелся. Пока у многих автопроизводителей голосовые помощники просто используются для удобства 🚗
Помните кейс с американской компанией Ring (дочка Amazon), которая через свои системы видеонаблюдения скрытно наблюдала 👀 за женщинами в спальнях и ванных? Федеральная торговая комиссия (FTC) в прошлом году вынесла решение против Ring, заставив ее заплатить пострадавшим компенсацию за утечки персональных данных. И вот на днях FTC заявила, что она выплатила 5,6 миллиона долларов в виде 117 тысяч PayPal-транзакций 📱
Это хороший пример, как можно было бы решить историю с предложением Минцифры по компенсациям за утечки персональных данных. Не перекладывать это на субъекта ПДн, а взять на себя. Сам наказал (через подведомственный РКН), сам получил штраф, сам перевел деньги пострадавшим. Тем более, что сумма не очень большая. В конце концов именно Минцифры отвечает за госполитику в области ПДн в России и кому, как не ему, взять на себя эту функцию 💡 Сами граждане не будут заморачиваться общением с оператором ПДн и истребовать из него мизерную компенсацию (в случае с Ring, примерно, по 40+ долларов на человека). А вот если это делает государство (как FTC в случае с Ring), то схема может и заработать... 😅
Positive Technologies подвела итоги года с точки зрения зафиксированных 🟥 в прошлом году киберугроз. Подразделение Mandiant американской Google тоже сделало это, выпустив свой отчет M-Trends 2024. Но они, как это делают почти все ИБ-компании Нового Света, замесили все в один документ, который насчитывает под сотню страниц, что делает непростой задачу его чтения. То ли дело у нас - каждой теме свой отчет - хошь по угрозам за год, хошь по угрозам в ритейле, хошь по APT на Ближнем Востоке (очень хорошо зашло во время GISEC). А скоро будет еще один - про результаты работы наших пентестеров. Тем интереснее сравнивать то, что пишут в Mandiant с тем, что происходит у нас.
Один из основных показателей в отчете американцев - так называемое dwell time, то есть среднее время, которое есть у хакера, находящегося во внутренней инфраструктуре, пока его не заметит служба ИБ. За год этот показатель снизился с 16 дней до десяти. Что характерно, аналогичные цифры и у 🟥. Также совпадают у нас и показатели работы пентестеров - редтимерам Mandiant удается проникнуть в инфраструктуру за 5-7 дней, а "бойцам" ПТ на это требуется от 1 до 7 дней; минимальное время захвата контроллера домена у нас - 6,5 часов. К слову сказать, чтобы эффективным у службы ИБ время обнаружения и реагирования (TTR) должно быть меньше времени атаки (TTA) - в противном случае APT будут постоянно резвиться у вас в инфраструктуре.
Основной вектор атак по версии Mandiant - эксплойты. Фишинг обосновался на втором месте, третий - компрометация через ранее купленные доступы, затем идут украденные креды, а на пятом месте - подбор пароля. По данным 🟥 пятерка распределяется иначе:
1️⃣ Вредоносное ПО
2️⃣ Социальный инжиниринг, включая и фишинг
3️⃣ Эксплойты
4️⃣ Компрометация учетных данных
5️⃣ DDoS.
Кстати, именно через скопрометированные учетные записи от приложений, позволяющие персоналу удаленно подключаться к сервисам, и была взломана UnitedHealth Group, заявившая об инциденте стоимостью около 2 миллиардов долларов.
Из других тенденций, о которых пишет подразделение Google, которое взламывали в январе 2024-го года и которое троллили LockBit в 2022-м якобы имевшей место утечкой, можно назвать:
1️⃣ Фишинг эволюционирует и хакеры начинают использовать такие каналы как соцсети и мессенджеры (мы про это тоже писали)
2️⃣ Рост кейсов с обходом многофакторной аутентификации
3️⃣ Рост числа атак на облачные инфраструктуры
4️⃣ Использование ИИ в деятельности красных и фиолетовых команд (как по мне, так этот "тренд" - просто дань моде)
5️⃣ В 2023-м появилось 719 новых APT, которые отслеживает Mandiant. На мой взгляд это дурацкая метрика, так как сегодня каждый хакер создает новую "армию", один раз кого-нибудь дидоснет и затихает. А уж число группировок, появившихся в отчет на конфликт Израиля и ХАМАС, и вовсе зашкаливает. Так что не показатель, но общее число отслеживаемых группировок в 4000 штук выглядит солидно.
Вообще в отчете Mandiant много всяких циферок, так что есть в чем залипнуть 👇, пока не подоспела новая аналитика от 🟥
ЛАНИТ, IBS IT Services, IBS Infinisoft, IBS Soft, IBS Expertise, ГК "Астра", Secret Technologies, Aladdin RD, Центр кибербезопасности (Cybersecurity Center), РАМЭК-ВС, К-Технологии... Вот новый список компаний, имеющих отношение к ИБ, кто попал под очередной пакет американских санкций 🫵
Читать полностью…Я обычно не пишу про хакерские взломы компаний, так как их число очень велико и ежедневно набирается с десяток только публичных кейсов, не говоря уже о непубличных 👨💻 Но всегда бывают исключения - либо инцидент имеет некие существенные последствия для бизнеса (как с UnitedHealth Group), либо сам кейс достаточно интересен. Вот это как раз такой случай - группировка SiegedSec взломала баптистскую церковь Вестборо, религиозную организацию, известную своей непримиримой анти-ЛГБТ позицией ⛪️, как и говорится в Евангелии ☝️
SigedSec выкрала базу данных церкви, исходные коды сайта, а также приватные данные, обещая выложить все это в паблик. Попутно SiegedSec призвала делиться с ней информацией об всех гомофобных организациях, выступающих против людей определенной ориентации или принадлежащих к определенным меньшинствам. Так что ждем новых взломов от SiegedSec ⏳
Ничего святого у хакеров нет! ⚡️ Эта фраза в данном случае имеет двойной смысл - и прямой, и переносный. После множества взломов больниц и госпиталей, школ и детских садов, хакеры добрались и до церквей (а там даже бессмертные из "Горца" никогда не дрались на мечах и вампиры боялись заходить на освященную землю). Так что любые попытки провести черту между тем, что можно атаковать и что нет, провалились 👿
⚠️ На картинке, дорожка состоит не из шести и даже не из семи, а из восьми цветов. Никакой пропаганды и даже намека на нее 😈
Формирование хакерских группировок в альянсы - уже не новость. Но вот объединение российских 🇷🇺 и китайских 🇨🇳 неожиданно…
Читать полностью…На GISEC опять несколько рекордов для книги Гиннесса поставили:
🥇 Крупнейший урок повышения осведомленности по Интернету вещей - 293 человека (если бы я свои вебинары называл уроками повышения осведомленности, то я бы давно уже рекордсменом Гиннесса стал)
🥇 Наибольшее число национальностей (104), участвовавших в уроке повышения осведомленности по Интернету вещей
🥇 Наибольшее число национальностей в геймифицированном тренинге по кибербезу.
Жаль, что представители Книги рекордов Гиннесса на PHD2 не приедут - мы бы им показали, у кого больше… национальностей 💪 К слову, в России их 190, а на PHD2 будут не только граждане России... 🤝
В Великобритании 🇬🇧 заработал закон, который устанавливает минимальные требования по безопасности к устройствам, продаваемым гражданам в UK. Согласно этому закону, названному Product Security and Telecommunications Infrastructure Act (PSTI), вендора несут ответственность до 10 миллионов фунтов 💸 или 4% от годового оборота за использование легко угадываемых паролей или паролей, заданных по умолчанию, а также несвоевременное обновление выявленных уязвимостей.
Интересные последствия могут наступить. Вендора либо откажутся от поставок в UK своих незащищенных по английским требованиям товаров, включая автомобили (как в кейсе с Volkswagen) и холодильники, маршрутизаторы и ☎️ смартфоны (вообще любое Iot-устройство), либо будут внедрять защитные меры повсюду, что положительно скажется на безопасности и отрицательно на ценах 🤔
ЗЫ. Кстати, в Топ10 паролей в Англии, помимо нестареющей классики в виде 123456, входят также liverpool, chelsea и arsenal ⚽️ У нас в списке 10 самых популярных паролей ни зенита, ни спартака, ни цска. Зато есть марины и наташи 😂
10-я версия интерфейса управления ПО, которое генерит спам, разработанное северокорейской группировкой Kimsuky, мало чем отличается от интерфейсов генераторов вирусов 90-х годов. С - Стабильность
Читать полностью…В России аббревиатура CISO часто звучит как «ЦИ-СО» или «СИ-СО». Интересно, что в ОАЭ 🇦🇪 это звучит как «СИ-ЗО».
Читать полностью…Можно было бы опять написать про выбор правильной модели нарушителя, а можно и про правильную настройку 🛠пороговых значений у средств мониторинга… А можно просто радоваться жизни 😂 и продолжать готовиться к PHD2
Читать полностью…Странные люди в этой Okta работают. Их ломали 4 раза уже 🔓, но при этом они выкладывают в паблик презентации с пометкой CONFIDENTIAL. Но не забывают запилить целый слайд мелким шрифтом с отказом от ответственности и остальным бла-бла-бла... Какое-то странное отношение к кибербезопасности 😠
Читать полностью…Помните, в ФЗ-152, в ст.19, есть требование, что ПДн должны быть защищены от несанкционированного уничтожения, модификации, распространения, доступа и т.п. И все защитные меры, описанные в ПП-1119 и в 21-м приказе, не делают большой разницы между ними. А вот согласно исследованию CrashPlan и SANS, эта разница существует:
1️⃣ В случае утечки данных основной риск (в широком смысле) является репутационным для почти всех типов защищаемых данных, не только персональных (финансовых, интеллектуальной собственности, технических и т.п.)
2️⃣ Операционный риск является основным при уничтожении или модификации данных.
3️⃣ Риск нарушения законодательства во всех случаях играет несущественную роль.
Последний вывод, наверное, самый важный. Я не призываю нарушать законодательство, но оно точно играет самую последнюю роль при принятии решений в отношении защиты ценной для организации информации.
В рамках сдачи экзамена на CISSP, среди множества доменов, которые надо изучать, есть и такой - физическая безопасность. Однако, нередко, ИБшники его игнорируют, считая, что это тема для специалистов служб обычной безопасности, которым и надо заморачиваться охраной, решетками на окнах, обходом периметра и т.п. 🚪 Но на мой взгляд недооценка вопросов физической безопасности может привести к достаточно печальным последствиям, например, таким как в недавней истории с "Вкусно и точка" или более древним кейсом с NASA, в сети которой было обнаружено также устройство на базе Raspberry PI, которое перехватывало и передавало наружу конфиденциальную информацию 🤬
Поэтому стоит обращать внимание на следующие моменты (самостоятельно или делегируя их в другие подразделения с соответствующим обучением):
1️⃣ Реализация требований той же ФСБ к защите помещений (но без фанатизма и выполнения невыполнимого)
2️⃣ Ежедневный осмотр офисного пространства на предмет посторонних устройств (можно поручить уборщицам)
3️⃣ Блокирование перемещения по физическому пространству офиса за счет наличие кодовых замков на этажах и между ними 🏠
4️⃣ Контроль доступа в облачные среды и арендуемые ЦОДы
5️⃣ Контроль IoT-устройств (термостаты, СКУДы, видеонаблюдение, СмартТВ и т.п.)
6️⃣ Контроль наклеенных стикеров с паролями
7️⃣ Запирание/приковывание устройств в удаленных локациях или у мобильных сотрудников 🤒
8️⃣ Интеграция СКУД с системами контроля доступа в инфраструктуру
9️⃣ Защита систем видеонаблюдения и их данных, чтобы не повторилась история с немецким миллиардером Хаубом
1️⃣0️⃣ Готовность системы видеонаблюдения для проведения расследований инцидентов ИБ
🆕 Мы к вам с новостями. Во-первых, впереди четыре выходных (хоть суббота и рабочая). Во-вторых, новый выпуск подкаста «КиберДуршлаг» такой интересный — не оторваться. А в-третьих, команда, которая его делает, уходит на каникулы до сентября (не скучайте, скоро вернемся с новыми интересными выпусками).
Гостем финального выпуска первого сезона стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.
Обсудили с ним тренды управления уязвимостями, влияние развития искусственного интеллекта на кибербезопасность, введение оборотных штрафов за утечки данных, а также опасности, которыми нам грозят баги в роботах-пылесосах и кардиостимуляторах.
Смотрите на YouTube и слушайте на любой удобной аудиоплатформе.
🍂 До встречи осенью!
#КиберДуршлаг
@Positive_Technologies
На GISEC разговорился с одним человеком, который высказал мысль, с которой я не могу согласиться. Он считает, что если система скомпрометирована и есть подозрение на нахождение внутри злоумышленника 👿, немедленный патчинг внешних уязвимостей должен помочь в данной ситуации. Я же считаю, что патчинг скомпрометированных систем в принципе не может спасти ситуацию и, скорее, ее усугубляет, создавая иллюзию защищенности! 😈
Если хакер сидит внутри инфраструктуры, надо локализовывать его, не давая развивать наступление 💻 и расширять плацдарм, затем выносить из инфраструктуры, потом определить точку входу и причину успешной компрометации, и только потом устранять ее, в том числе и за счет установки патчей и выстраивания процесса управления активами и уязвимостями. Но просто установка патчей, увы, не спасет! 🕳
На GISEC, на одном из стендов, увидел слоган компании, которая занималась борьбой с утечками, - "Надо защищать данные, а не периметр!" Если не фокусироваться на первой части, то слоган очень хорошо 🤔 описывает ситуацию, когда мы дофига ресурсов тратим на защиту внешних границ, а когда компанию пробивают тем или иным способом, то специалисты по ИБ разводят руками, а то и вовсе не верят в это, считая свои бастионы неприступными. Но нет... 😯
Мы на GISEC в течение трех дней давали всем желающим проверить защищенность своего периметра с помощью сервиса PT Knockin 👊, который просто отправляет e-mail с обеззараженным вредоносом на корпоративную почту. Каково же было удивление многих ИБшников, которые, считая, что их почта защищена от проникновения, получали прошедшее через все преграды письмо ✉️ "с приветом". А если бы оно было не обеззаражено? Поэтому периметр периметром, но стоит думать и о том, что делать, если все-таки инфраструктура скомпрометирована. Вы же в курсе, что делать? 💪
Был у меня как-то кейс, который привел к кардинальной смене мной и используемой техники, и отношения к хранению данных. У меня накрылся SDD на ноутбуке 💻; причем достаточно серьезно, без возможности восстановления. Диск был зашифрован и никто не смог помочь мне восстановить данные. Система резервного копирования на Винде у меня была установлена компанией, но из-за ее тормозов в процессе индексации и синхронизации данных, я ее в какой-то момент отключил и получил ценный урок 💡
В результате я поменял ноут с виндой на макбук, в котором Time Machine - это просто верх удобства резервирования данных. Действительно "настроил и забыл". Но страх потерять данные все-таки остался и я стал пользоваться правилом, которое, как я позже узнал, называется "3️⃣➖2️⃣➖1️⃣". Это стратегия, предложенная фотографом Питером Крогом, который так спасал свои фотографии от потерь (саму концепцию он взял у ИТшников):
3️⃣ - столько должно быть копий данных (например, ПК, облако, флешка) 💻
2️⃣ - столько должно быть различных носителей данных (например, жесткий диск ПК и внешний HDD или облако) 🌩
1️⃣ - столько должно быть копий в удаленном месте, вне офиса или дома; в зависимости от основного места вашей работы, (например, в облаке или NAS).
В корпоративной среде такое правило тоже применимо, но только для самых ценных данных (поэтому так важна классификация информации в компании). При этом стоит помнить о ряде важных нюансов:
1️⃣ Это поможет и для защиты от шифровальщиков в том числе!
2️⃣ Резервируя данные, не допустите, чтобы и бэкапы были тоже зашифрованы.
3️⃣ Не забывайте регулярно проверять, что вы можете получить доступ к бэкапам и, если вы используете специфический формат или шифрование, восстановить данные.
4️⃣ Храня данные в облаке, уточните, кто будет считаться их владельцем и что облачный провайдер с ними может делать (например, обучать свой ИИ)? Ну и про санкции не забудьте...
Тут, конечно, можно еще накрутить "цифр", например, учитывая хранение данных в стране нахождения и за ее пределами, но это уже для иноагентов параноиков.
Пример того, как компания реагирует на инцидент, поворачиваясь лицом к клиентам и партнерам, а не засовывая голову в песок. UnitedHealth Group, которая прогнозирует почти 2 миллиарда потерь от кибератаки, запустила отдельный сайт для пострадавших.
Читать полностью…