В мае было зафиксировано более 5000 CVE, что составляет, в среднем, 164 уязвимости в день 🎯 В 2023-м году среднее число обнаруживаемых уязвимостей (которым присваивался CVE) в день было… 84. Нас ждет горячий год с точки зрения vulnerability management… ⚔️

И вряд ли ситуация будет лучше. Чем больше в процесс разработки будет внедряться ML 🤖 и чем чаще он будет обучаться на говёном коде, тем больше дыр в софте будет появляться и тем больше атак может случиться, так как, как мы помним, использование уязвимостей в публично доступных приложениях входит в тройку 3️⃣ основных причин инцидентов!

ЗЫ. NIST обещает в сентябре вернуть NVD к жизни. Верится с трудом. Никто не захотел взять на себя эту ношу. В итоге NIST законтрактовал компанию Analygence, которая не имеет опыта такой работы. Так что перспективы туманны 😶‍🌫️

Читать полностью…

В российском Darknet достаточно активно приторговывают логами, полученными в результате работы инфостилеров Raccoon, RedLine, RisePRO и др., крадущих информацию 🥷 И вот последние несколько дней у американских специалистов по ИБ стало подгорать от нового инструмента Recall от компании Microsoft. Оказалось, что это очень простой, понятный и, местами, полезный сервис, встроенный в последние версии Windows 📱 вместе с Copilot, делает каждый 5 секунд копии экрана и хранит их в течение 3-х месяцев, чтобы человек мог всегда пролистать до нужного скриншота/снэпшота, понять, что он делал в этот момент и поискать вокруг, что его интересовало в моменте.

И вот оказалось, что эти копии не особо-то и защищены, а также могут содержать достаточно чувствительную информацию, - вводимые пароли, данные банковских счетов, переписку и т.п. 📬 И все это скрупулезно собирается вполне законными инструментами, складируется на жестком диске и... может быть сперто уже нелегальным инфостилером. Или к этому контенту может быть получен доступ в случае утери ноутбука с отсутствующим шифрованием 👹

Вот так и рубятся на корню все благие начинания. А Microsoft сейчас огребает по самое не балуйся. Ему вспоминают все его последние косяки, расследования Конгресса, наезды CISA... Так, глядишь, антимонопольщики вновь потребуют их разделить и таки разделят 🔪

Читать полностью…

Мне тут в личку пишут и спрашивают, почему я ничего не пишу про взлом "Верного"? Ну а как я могу подводить подписчиков! Итак, что я могу сказать про атаку на "Верный" 🛒, а также на другие организации, которые были атакованы за последние дни. Повторю то, что я говорил в разных интервью по радио - достаточно неразумно считать, что мы пережили основной пик атак, начавшихся весной 2022-го года 📈 Более того, именно сейчас начнутся инциденты с серьезными, можно даже сказать, катастрофическими последствиями. За прошедшие пару лет плохие парни уже нащупали слабые места, закрепились в инфраструктуре и начинают реализовывать недопустимые события 💥

Но пост вообще не об этом, а о том редком в нашей области явлении, когда кто-то озвучил финансовые последствия от атаки 🤑 Да, скорее это предположение, но все-таки оно имеет под собой основу, как мне кажется. Итак, что нам говорит гендиректор «Infoline-Аналитики» Михаил Бурмистров:

По подсчетам одного из собеседника «Ъ», потери «Верного» из-за хакерской атаки уже сейчас могут составить как минимум 300 млн руб., если эта ситуация не будет исправлена в ближайшие два дня, то потери могут превысить 500 млн руб. При неработающих картах, сайте и приложении ритейлер может терять не менее 40% оборота, считает гендиректор «Infoline-Аналитика» Михаил Бурмистров. Таким образом, потери «Верного» могут составлять 120–140 млн руб. в день, или около 1 млрд руб. в неделю. Ранее в такую сумму эксперты оценивали ущерб, понесенный СДЭК от хакерской атаки.

3 дня простоя (пока) и почти полмиллиарда потерь за счет снижение объема покупок в магазинах, в онлайне, испорченных продуктах, а также оттоке покупателей в разные "Пятерочки", "Магниты", "Перекрестки", "Дикси" и т.п. 😱 То есть ущерб будет разнесенным по времени, пока покупатели не вернутся к своему прежнему поведению и среднему чеку. В интервью на радио КоммерсантФМ, г-н Бурмистров заявил, что совокупные потери "Верного" могут составить около 2 миллиардов рублей 😲

Такова цена кибератаки 💸 И после этого не говорите, что это мелочи и на уровне погрешности. Я, конечно, не знаю бюджета "Верного" на ИБ, но подозреваю, что он все-таки меньше суммы потерь. И чем масштабнее организация и чем больше в ней централизованной цифровизации, тем больше будет ущерб в случае успешной атаки. Так что делаем выводы! Отказываться от цифровизации не предлагаю!

Читать полностью…

Подогнали тут исследование, которое показывает, как LLM-агенты могут в автоматическом режиме взламывать веб-сайты. Именно в автоматическом, без участия человека, режиме 😔

Исследователи тестировали 15 способов атак - от простых к более сложным и комплексным. Например, в одном из экспериментов LLM-агент самостоятельно осуществил 38 действий 📎 - получение схемы БД, вытаскивание данных из БД, генерация SQL-запросов, обнаружение уязвимостей и итоговый взлом. При этом, тестируемые LLM-агенты ничего заранее не знали о проверяемых уязвимостях, а на каждый "взлом" им давалось ограниченное время (10 минут) 🧠

Эффективность агента на базе GPT-4 (не GPT-4o) составила 73,3%, что очень даже неплохо и ставит перед компаниями новые задачи по защите своих онлайн-ресурсов от автоматических ИИ-инструментов. У вас же есть WAF, который защищает от всех этих SQLi, XSS, CSRF и т.п.? 🕸

ЗЫ. Тем временем платформа для построения ML/AI моделей HuggingFace столкнулась с взломом.

Читать полностью…

Ситуация. У соседей хакеры зашифровали все файлы, базу данных, бэкапы и вымогают много миллионов.

Ваш испуганный техдир/техлид/тимлид прибежал и просит выделить бюджет на ИБ. Кричит, говорит что-то непонятное про какой-то рут доступ, антивирусы, selinux и apparmor.

Сохраняйте спокойствие и не ведитесь на провокацию. Спросите его, освящали ли серверную? Стоят ли там иконы? Богоугодное ли ПО использует? В храм ходит регулярно? Это база.
#база

Читать полностью…

Экс-замгубернатора Смоленской области развели на 6,5 млн рублей, пока он отдыхал в Крыму. Раньше он отвечал в регионе за цифровизацию и IT-безопасность.

До весны 2023 года Николай Кузнецов работал на должности замгубернатора и курировал в регионе в том числе информационную безопасность. После увольнения Кузнецов рассказывал в интервью, что остался работать в администрации области на должности советника-эксперта. По данным источников «Базы», мошенники связались с Кузнецовым 29 мая. Неизвестные убедили чиновника, что его накопления под угрозой и деньги необходимо срочно перевести на безопасный счёт.

Кузнецов поверил звонившим. Чтобы «обезопасить» деньги, ему пришлось прервать отпуск — из Крыма чиновник поехал в Анапу и Новороссийск, где находились указанные преступниками «безопасные» платёжные терминалы. Через них он отправил 6,5 млн рублей, а затем вернулся в Крым.

После этого Кузнецов догадался, что его обманули, и обратился в полицию.

Читать полностью…

Я тут часто писал про уязвимости в решениях Fortinet, но они не единственные из зарубежных производителей МСЭ страдают 🤬 В середине апреля Cisco Talos опубликовал у себя в блоге пост о том, что они наблюдают кампанию, нацеленную на подбор паролей VPN-устройств Cisco, Checkpoint, Fortinet, SonicWall, Mikrotik, Draytek, Ubiquiti. На днях, 27 мая, Checkpoint выпустила бюллетень, в котором рассказала об успешных атаках на некоторых своих клиентов, у которых на устройствах включен VPN или мобильный доступ 🚠

Самое интересное, что вендор пишет о возможности реализации атаки из-за нерекомендуемого способа аутентификации. Но если он не рекомендуется, то, глядь, какого рожна он не отключен? 😔 Что мешает просто отключить эту возможность в ПО и на тестах проверить невозможность ее использования? Это же вообще не проблема - не надо ничего нового добавлять. Это вам не квантовое распределение криптографических ключей в VPN-решение внедрять. Тут надо просто взять и отключить одну процедуру в коде и убрать галку из графического интерфейса. Всего делов-то... 🧑‍💻

Интересно, что Checkpoint не подписал меморандум CISA с 68 вендорами об обязательном включении MFA и отказе от использования паролей по умолчанию в продуктах ИБ. Интересно, почему?

Читать полностью…

Отдельные военные аналитики пишут, что в очень скорой перспективе мы столкнемся с качественно более мощными атаками БПЛА 🚀 на критически важные объекты на территории России (не путать КВО с ОКИИ). И текущий ресурс МинОбороны, сосредоточенный на защите собственных объектов и ведении боевых действий не способен будет эффективно защищать еще и воздушное пространство внутри страны. Росгвардия 👮‍♂️ будет в том же положении; в то время как противник сейчас только нащупывает слепые пятна в воздушной обороне, ищет слабые места и т.п. И стоят за всем этим не жаждущие мести отдельные граждане сопредельного государства, собирающие дроны у себя в гаражах, а вполне себе профессиональные службы МинОбороны, ГУР и т.п. Поэтому противостоять им службы безопасности различных НПЗ, ТЭЦ и т.п. самостоятельно не в состоянии 🤷‍♂️

Как следствие, согласно прогнозам, через несколько месяцев нас ждет рост числа атак со стороны БПЛА на все большее число критически важных объектов 🏭, что может привести к дефициту топлива и выходу из строя энергоснабжения, что, в свою очередь, может повлечь за собой отключения систем ИБ на предприятиях в целях перераспределениях дефицита электричества на более приоритетные системы и объекты. И есть подозрение, что за такими атаками БПЛА могут следовать и скоординированные теми же структурами кибератаки 😷

Отсюда возникает несколько вопросов, на которые каждый должен дать себе честный ответ:
1️⃣ Готовы ли к обнаружению и отражению атак в условиях отключения некоторых из ваших средств защиты? Насколько у вас реально реализован принцип эшелонированной обороны? 🛡
2️⃣ Тестировали ли вы работоспособность вашей системы ИБ (и вашей команды) в условиях внезапного отключения электричества? 💥
3️⃣ Есть ли у ваших ключевых средств защиты (кстати, вы знаете, какие из всех ваших средств защиты наиболее эффективны и должны отключаться в последнюю очередь?) резервное энергоснабжение? 🔋

ЗЫ. Не зря тут и тут говорится про физическую безопасность, которая является частью компетенций и сферой ответственности CISO.

Читать полностью…

В поиске работы я не нахожусь и это не случайно 😎 Но предложения интересные прилетают. Вот тут в Китай 🇨🇳 позвали преподавать.

Всегда хотел, чтобы студентки третьего курса, которые, как известно из древнего анекдота, не стареют никогда, называли меня "Профессор" или, в данном случае, "Чжаошу" (教授) 😇

Читать полностью…

На обычных мероприятиях по ИБ обычно настолько плотный график, что не всегда даже основные темы по ИБ успеваешь вставить, что уж говорить про смежные. Но PHD2 - мероприятие было необычное и поэтому я реализовал то, что давно хотел сделать, - поговорили с авторами разных книг по ИБ ✍️ о том, как они дошли до жизни такой, как выбирали темы для своих книг, как засталяли себя писать, как боролись с синдромом самозванца, сколько заработали на своих творениях, как публиковались зарубежом и много о чем еще. Так что если вы стояли перед вопросом - писать или нет, то, надеюсь, эта дискуссия даст вам нужный толчок! 🫵

Читать полностью…

В жизни тоже бывают недопустимые события. И для каждого они свои 🙃

Читать полностью…

Ходят разговоры, что Snowflake ❄️ взломали, но сама компания это отвергает, ссылаясь на то, что они не видят никаких подтверждения наличия уязвимостей, ошибок в конфигурации или взломов своих продуктов, включая облачные 🖥 В утечку учетных записей заказчиков они тоже не верят. Взлома API не было. А вот взлом демо-учетки бывшего сотрудника Snowflake был зафиксирован, но, как обычно, "никакого доступа к чувствительной информации не было".

Схожая история была с атакой на тестовое окружение Microsoft и сначала тоже, якобы ничего серьезного. Так что подождем развития событий, которые не заставят себя ждать, так как:
➖ взломали крупнейшего в мира продавца билетов Live Nation (TicketMaster), о чем он уведомил Комиссию по ценным бумагам (еще и Santander Bank так же взломали)
➖ Live Nation утверждают, что взломали их через облачного провайдера (между строк говорят про Snowflake)
➖ Snowflake, как утверждают, взломали через инфостилер Luma Stealer
➖ Snowflake пока все отрицает. Ждем…

Читать полностью…

А вот и анонс SOC Tech появился. В прошлом году эта конфа, организованная впервые, была посвящена обнаружению и реагированию на инциденты с подрядчиками (supply chain attack) 🔍 В этом году организаторы хранят интригу по поводу заглавной темы. Ну и я раскрывать секретов и поднимать завесу тайну тогда не буду. Но должно быть интересно 💃

Читать полностью…

После PHD2 мы получили массовые запросы на передачу архивов курса по базовому кибербезу 🛡, чтобы положить их в корпоративную библиотеку для обучения собственных сотрудников на рабочих местах. За 9 дней с момента выкладывания первого ролика из серии, на VK его посмотрели уже более 100 тысяч раз 😲 Делюсь ссылками на оба курса, которые мы выложили в формате SCORM для загрузки их в свои LMS:
👩‍🏫 Базовая кибербезопасность
👩‍🏫 Личная кибербезопасность

ЗЫ. Ссылки ☝️ ведут на портал Positive Education. А ссылки на эти видео на 📱 ptsecurity">вот

Читать полностью…

На ИТ-конференции, в понедельник, неизвестные создали фальшивую точку доступа 👴 и заманивали на нее ничего не подозревающих участников. Именно поэтому, когда меня спрашивают в рамках курса по персональному кибербезу, как защитить Wi-Fi (не домашний), моя первая рекомендация всегда касается полного отказа от беспроводного доступа.

В большинстве городов он не нужен - LTE 📡 работает достаточно неплохо и полностью заменяет необходимость подключаться к непонятным точкам доступа. Да, создать фейковую базовую станцию тоже можно, но все-таки это требует бОльших ресурсов, чем фальшивый 👎 Wi-Fi.

А уж на ИТ/ИБ-конференциях подключаться к беспроводной сети?.. Я даже на PHD2 не подключался к нему, помня прежние фокусы и конкурсы, которые там устраивались, а потом кто-то выкладывал на Хабре или Секлабе статью с унизительным разбором паролей и посещаемых безопасниками сайтов 🍓

Читать полностью…

Услышав в разговоре про security data lake (озеро данных безопасности), всегда уточняйте, что конкретно имеет ввиду человек, его упоминающий. А то знаете ли, мнения у всех разные и нет единого или хотя бы доминирующего 😱 А без этого впарят вам обычный SIEM под видом озера, а то и просто облачное файловое хранилище...

Читать полностью…

Интересно, никто не задавался вопросом, насколько случайно падение капель и звук дождя по крыше❓ Нельзя ли использовать их как генератор действительно случайных паролей? И хотя действительно случайные пароли, созданные таким образом, бессмысленны ввиду своей незапоминаемости, но как способ генерации случайных чисел... Почему бы и нет 💡

ЗЫ. Спасибо подписчице за ссылку на видео с Пикабу!

Читать полностью…

Это было предсказуемо, вопрос был только в том, кто первым выпустит отчет 📑 о влиянии России на Олимпийские игры в Париже, их дестабилизации и использовании хакеров против спорта. Первым оказался Microsoft 📱

ЗЫ. Фраза, что Россия десятилетиями пыталась влиять на Олимпийские игры, особенно доставила 😎

ЗЗЫ. Параллельно Жозеп Боррель, глава евродипломатии, обвинил Россию во вмешательстве в выборы в Европарламент 6-9 июня. Мол, фейки, боты, искусственный интеллект... и все это супротив демократии. Тоже было предсказуемо 🇪🇺

Читать полностью…

Я про бизнес-моделирование писал уже не раз, а применительно к рынку киберпреступности 🥷, живущему по этим законам, не раз обращался в различных непубличных выступлениях и курсах для органов внутренних дел 👮‍♀️ И вот вынес некоторые мысли оттуда на Большую спортивную арену Лужников.

Читать полностью…

А вот на этой дискуссии про OSINT 🔍 на PHD2 мы немного зарубились, а после нее осталась какая-то недосказанность. С одной стороны никто не спорит, что корпоративный OSINT (также известный как Digital Risk Protection или даже Brand Protection) позволяет открыть глаза компаниям на то, как они видны извне, злоумышленникам и вообще плохим парням. И что с этим знанием надо что-то делать. С другой, желание регулятора выпустить методический документ, который бы описывал этот этап деятельности в области ИБ (в контексте offense или defense), вызвало подозрение, что скоро на этот вид деятельности еще и лицензию 👮‍♂️ придется получать. И хотя ФСТЭК старалась снять эти опасения, говоря о методическом документе, описывающем работу с первой тактикой согласно MITRE ATT&CK (Разведка/Reconnaissance), но в это не все поверили. Особенно учитывая, что интерес регулятора к этой теме оказался неожиданным 😳

Читать полностью…

Никогда такого не было и вот опять!

ЗЫ. Спасибо подписчику 👍

Читать полностью…

Про скорую помощь от НКЦКИ пострадавшим от инцидентов ИБ я уже писал, а теперь можно посмотреть и само видео этой дискуссии c PHD2. Там есть много всякого относительно инициатив НКЦКИ и Минцифры в области ИБ для граждан, но, к сожалению, я не успел задать все вопросы, которые подготовил участникам 🤐 Но впереди еще много мероприятий - отыграюсь там.

Читать полностью…

Стадионы 🏟 собирал, в плавках на сцену перед тысячами людей выходил… Какой бы еще челендж замутить, чтобы жизнь разнообразить еще больше 😂🤡😎

Читать полностью…

Очередная карта компетенций, которыми должен обладать специалист по кибербезу

Читать полностью…

Про меня тут в арабской прессе пишут ✍️ Всякое пишут. Неверное. Мол, зовут меня Алексис, а фамилия моя Позитев 😂 А еще, что я генеральный директор компании по кибербезу 😔 И что я один из всемирно известных специалистов по ИБ.

И согласиться я могу только с последним тезисом 👍 Ну и с Алексисом - так меня иногда звали зарубежные коллеги. А вот остальное… Надо провести расследование. Не открыл ли кто на мое имя в каком-нибудь бахрейнском ЕГРЮЛе конторку по ИБ? А может у меня брат-близнец 😎, с которым меня в младенчестве разлучили, объявился, и он тоже выбрал стезю ИБшную? 🤠

Вопросов много. Но точно я могу сказать только одно - перед арабской аудиторией я точно выступал; не раз. И надеюсь еще буду. Ин ша Аллах…

Читать полностью…

Демократия - это хорошо, но нацбезопасность и интересы государства будут везде и всегда превыше всего 🫡 И любые разговоры про конституционные права человека - это звиздёж и хороши только на мероприятиях про DLP и в тематических чатиках 😝

Читать полностью…

А это еще один часто дискутируемый вопрос - "За какие сферы отвечают CISO?" ❓ Только ли классическая история с обнаружением и предотвращением угроз (A&E), а также соответствие требованиям? Или все-таки есть иные сферы ответственности? И если есть, то какие они? 🤔

На RSAC был дан ответ на этот вопрос в виде результатов исследования (предыдущая заметка оттуда же), в котором мы видим, что бывают CISO, которые не отвечают за обнаружение 👀 и предотвращение угроз (это ИТ-функция), но при этом отвечают за AppSec, Identification & Authentification Management (IAM), продуктовую безопасность, приватность и непрерывность бизнеса. Я, кстати, знаю таких и у нас в стране 🇷🇺

Самая редка зона контроля - борьба с мошенничеством 😮 На втором месте с конца - физическая безопасность ‼️ Так что, когда вы будете рассуждать о том, что включает в себя работа ИБшника, то помните, что есть те, кто берет на себя больше привычного (но и получает тоже больше). У нас бывает и так, что CISO отвечают за лифтовое хозяйство. Вы же в курсе, что за ввод в эксплуатацию лифтов у нас в стране отвечает ФСБ? (и это не шутка) И есть организации, в которых на ИБшников вешают все, что связано с ФСБ 😱 Американцам такое и не снилось 😴

Читать полностью…

Есть несколько вопросов, которые задаются ❓ из года в год и при этом не имеют однозначного ответа. Это "сколько тратить на ИБ от ИТ бюджета", "кому должна подчиняться ИБ?" 😦 и, конечно же, "какой должна быть структура подразделения ИБ". Вот тут вам пример службы ИБ в зависимости от масштаба компании. Конкретные подразделения скрываются на схеме за ролями их руководителей 🫡

ЗЫ. A&E - это Architecture & Engineering.

Читать полностью…

В ИБ очень важно понимать и учитывать контекст... Иначе можно наломать дров! 💡

Читать полностью…

Парадокс тренингов по личному кибербезу для больших начальников. Ты им про зеродеи, зероклики, АНБ, обходы UAC, написание кастомных вредоносов, многоходовые кампании… 🇺🇸 А они тебя постоянно спрашивают: «А как защитить телеграм от угона?» 📱, «А правда ли, что ФСБ меня слушает?» (правда 😂), «А вот мне позвонил майор 👮‍♀️, что спросить, чтобы понять, что это мошенник?»… 🎩

Утрирую, конечно. В реальности все немного не так. Однако разрыв в знаниях между аудиторией и спикером обычно огромен. Второй уже давно ушел вперед и ему, как правило, неинтересно в стопицотый раз рассказывать то, что он маме рассказывал несколько лет назад, а первые все еще топчатся на месте и не знают, как запоминать пароли по правилам, которые для них установили их ИБшники 🤦‍♂️

Все-таки в любом тренинге важны не знания тренера как профессионала, сколько умение донести информацию правильным образом, на правильном языке, по много раз повторяя одно и тоже. Это особый труд и умение 👨🏼‍🏫👩‍🏫

Читать полностью…