alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных со сбоем после обновления ПО CrowdStrike

Читать полностью…

Пост Лукацкого

Тут иногда возникает вопрос: "А зачем вообще фокусироваться на чужих отчетах со статистикой по ИБ?" А все просто. 97% всех ИБшников не всегда уверены в своих решениях и хотят убедиться, что они что-то делают правильно, что так делают и другие. Поэтому статистика - это некий ориентир 📌

Если вы попадаете "в большинство", то можно не переживать - большинство не может ошибаться (на самом деле может) 🥇 Если в меньшинство, то не надо сразу думать, что вы аутсайдер; хотя это и возможно. Но может вы просто консерватор и пока еще не делаете всё, как все. А может вы в числе инноваторов и делаете что-то, что станет мейнстримом попозже. Вспомните кривую инноваций (она же кривая принятия, она же кривая Роджерса) - она хорошо показывает эту идею 💡

Поэтому я и уделил столько внимания отчетам SANS по SOCам и автоматизации последние пару дней. Кстати, если вы просто смотрели на эти циферки 📈 и мои комментарии к ним в моем канале, то вы обычное большинство. Если вы хотите почитать сами отчеты, а "их есть у меня", - вы ранние последователи и хотите попробовать что-то, чего еще не делает большинство 😇 Ну а если вы инноватор, то сдам вам ссылку (https://drive.google.com/drive/folders/1dx3hblisYUno9_u1CmS-2jlaSGbBFZyP) на все сырые данные по отчету по SOCам, которые вы можете загрузить в Jupiter Notebook и сами поработать с ними, провести анализ, поискать взаимозависимости и т.п. 🤓

Читать полностью…

Пост Лукацкого

Т-Банк открыл доступ к своей фрод-рулетке «Ловушка для мошенников» 📞 Хотите развести разводил? Устали играть в сервис общения с вымогателями ChatGPT? Попробуйте пообщаться с живыми преступниками 📞 Добавь адреналина, отточи разговорные навыки, разбавь серые будни…

ЗЫ. Надеюсь сайт настоящий 🎭

Читать полностью…

Пост Лукацкого

В Cisco'вском чатике пару дней назад зашел разговор о NGFW 🤬 и двое коллег, вдруг, поделились тем, что их компании скоро выпускают NGFW, которые "прям огонь" и всех порвут на рынке. Интересно, что в сегодняшнем списке TAdviser этих вендоров нет, хотя сами компании прям на слуху 🤨

А вчера имел беседу, в рамках которой прозвучала мысль, что надо по примеру Минцифры, которое официально поддерживает только 3️⃣ операционные системы, и ИБ-регуляторам (или тому же Минцифры) поддержать только три NGFW из 40 создаваемых в России, а остальные и запретить можно, чтобы не распылять ресурсы разработчиков на проекты, которые никто не поддерживает 🤔 Интересная идея. Полдня думал, кто же может претендовать на оставшиеся 2 позиции поддерживаемых государством NGFW?.. Пока нет явных кандидатов

Но идея ограничить число разрабатываемых средств защиты каким-то вменяемым числом не дает мне покоя... Если она пройдет на уровне Григоренко, то жить станет веселее... Всем 😵‍💫

Читать полностью…

Пост Лукацкого

Больше инструментов в SOCе - больше ресурсов требуется на анализ и реагирования, что приводит к задержкам в реакции на действия хакеров Конечно, хочется иметь много всяких игрушек внутри SOCа, но это и имеет свою обратную сторону, повышая и затраты на внедрение и эксплуатацию, и требования к персоналу, и требования к необходимости автоматизации, и... что уж греха таить, вероятность пропуска инцидента и реализации им негативных последствий для бизнеса 🎮 Согласно отчету SANS по автоматизации, больше всего времени отжирают облачные и сетевые сигналы тревоги, а также алерты от средств управления аутентификацией. Учитывайте это при проектировании SOC 💡

Читать полностью…

Пост Лукацкого

Когда 🟥 спрашивают: "А чего вы свой SOAR не пилите?", ответ на самом деле очень простой и он хорошо отражен в результатах последнего отчета SANS по автоматизации ИБ. Дело не в том, что SOAR написать сложно (на самом деле достаточно легко), а в том, как его будут применять на практике. Три критических преграды при использовании SOAR согласно опросу SANS:
1️⃣ Встроенные интеграции. Их либо нет к нужным продуктам, либо они слишком универсальные, либо они сложны в настройке, либо просто нет доступа к управляемым средствам защиты
2️⃣ Контент плейбуков. На встроенные плейбуки в SOAR обычно без слез не взглянешь - их переписывать и переписывать, что превращает идею автоматизации в тыкву. Ситуация примерно как с контентом обнаружения для SIEM - больше половины пилят контент самостоятельно 🎮
3️⃣ Простота внедрения. Ну тут все понятно и не требует особо пояснения. Прежде чем вы автоматизируете процесс SecOps, вы потратите кучу времени на внедрение всех компонентов, их настройку, доработку плейбуков и т.п. 🔄

Поэтому-то у PT и появился MaxPatrol O2, который иногда называют NG SOAR или "SOAR на максималках", но это не совсем корректное сравнение. Там заложен иной принцип автоматизации, чем в SOAR ⚙️ Но про это я писать не буду - это же не рекламный канал 😏

Читать полностью…

Пост Лукацкого

Помимо отчета SANS SOC Survey 2024, мне тут в руки попал отчет SANS по автоматизации ⚙️ ИБ, который неразрывно связан с темой SOCов. Так вот основных три проблемы на пути полного использования возможностей SOC:
1️⃣ Слабая автоматизация и оркестрация. 65% времени SOC уходит на ручные классификацию инцидентов и расследование при автоматическом обнаружении и также ручном реагировании (иногда, правда, используется SOAR).
2️⃣ Нехватка квалифицированного персонала (поэтому спасением опять же будет автоматизация).
3️⃣ Неполный охват инфраструктуры мониторингом.

Интересные данные 👇 по тому, что уже автоматизировано в реагировании на инциденты ИБ у респондентов, а что планируется автоматизировать в ближайшие 18 месяцев. Предсказуемо, в Топ3 процессов, которые избавились от ручного труда, входят:
1️⃣ Борьба с фишингом ❗️
2️⃣ Обогащение данных
3️⃣ Работы с фидами Threat Intelligence.

Хуже всего автоматизированы:
1️⃣ Управление рисками и compliance
2️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики 💻
3️⃣ Анализ и исследование вредоносного ПО.

Среди того, что будет автоматизировать большинство респондентов:
1️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики
2️⃣ Анализ и исследование вредоносного ПО ⚠️
3️⃣ Управление кейсами.

Читать полностью…

Пост Лукацкого

Я не мог пройти мимо этой статистики OPSWAT относительно антивирусной защиты, которую я так глубоко и нежно люблю ❤️ Хотя я уже знаю, что мне скажут коллеги. Мол там среди логотипов нет того самого, единственного 🤐

Читать полностью…

Пост Лукацкого

Не используйте в качестве графического пароля линию своего маршрута от дома до работы в навигаторе...

Читать полностью…

Пост Лукацкого

В VirusTotal добавили функцию анализа и объяснения загружаемого кода, скриптов и т.п. 🔬 Вы можете спросить, а как так, если в отчете SANS говорится, что интерес к ИИ в мониторинге ИБ поугас? А я вам отвечу. Все просто. ИИ в ИБ обычно применяется в двух вариантах - проактивный и реактивный. В первом случае, вы с помощью ИИ пытаетесь обнаруживать атаки. Во втором - ИИ помогает вам объяснить обнаруженное (ассистенты и ко-пилоты). Так вот SANS говорит про первое, а VirusTotal внедрил второе 🧠

Читать полностью…

Пост Лукацкого

Еще одна история про влияние ИБ на руководство компании. Федеральная торговая комиссия США наказала генерального директора 🧐 алкогольного маркетплейса Drizly Джеймса Кори Релласа за утечку данных 2,5 миллионов клиентов. Помимо требования удаления собранных персданных клиентов, не требуемых для оказания услуг 🥃, FTC потребовала от гендиректора Drizly построить систему ИБ на предприятии.

Но интересно другое требование. От Джеймса Релласа также потребовали, чтобы он обязательно реализовывал систему ИБ 🛡 во всех новых компаниях, в которые Реллас перешел бы или создал бы в будущем, или в которых он стал бы топ-менеджером, несущим ответственность за кибербезопасность 😮 Кого-то наказывает лишением права занимать руководящие позиции, а кого-то обязывают заниматься ИБ на всех будущих местах работы 💡

Читать полностью…

Пост Лукацкого

Список технологий ИБ (по популярности), которые используются в качестве источников событий ИБ в SOCах, согласно отчета SANS по SOC 🔍 Если не брать в расчет SIEM, как средство анализа, то в Топ5 защитных средств входят:
1️⃣ Сенсоры для защиты оконечных устройств (EPP и EDR)
2️⃣ VPN (учитывая постоянные продажи доступов к VPN Fortinet, Check Point, Cisco, это вполне понятно)
3️⃣ Средства для защиты e-mail (SWG/SEG)
4️⃣ Межсетевые экраны следующего поколения (NGFW)
5️⃣ Средства защиты от вредоносного кода (песочницы и пока еще чудом где-то оставшиеся антивирусы).

Читать полностью…

Пост Лукацкого

SANS провел ежегодный опрос по SOCам. Из интересного в нем:
1️⃣ Типичный размер SOCа - 2-10 человек.
2️⃣ Основные две проблемы - нехватка автоматизации и персонала
3️⃣ Основной источник событий для обнаружения - EDR/XDR
4️⃣ Типичная архитектура SOC - на основе облака
5️⃣ В отличие от прошлых лет, когда использовалось несколько SOCов, в этом году обычно используется один центральный SOC
6️⃣ С точки зрения технологий у владельцев SOC чувствуется снижение удовлетворенности от применения ИИ/ML
7️⃣ Большинство (80%) SOCов работает в режиме 24х7
8️⃣ В 76% SOCов персонал работает удаленно
9️⃣ TI чаще используется при расследовании инцидентов и поиске угроз (Threat Hunting)
1️⃣0️⃣ Число тех, кто измеряет свою эффективность, немного снизилось - с 76% в прошлом году до 67% в этом
1️⃣1️⃣ Основная метрика остается той же - число инцидентов,

ЗЫ. Опрос проводился во многих странах мира (в России нет), но все-таки 2/3 респондентов из США.

Читать полностью…

Пост Лукацкого

Пока Snowflake ❄️ обещает внедрить обязательную многофакторную аутентификацию и продолжает обвинять «тупых клиентов» в том, что это все они сами виноваты, прослушайте песню про Snowflake ❄️ "Happy Little Cyber Incident", созданную ИИ 🎶

Читать полностью…

Пост Лукацкого

Заходит в McDonalds "Вкусно и точка" 🍔 чувак, вскрывает аппарат, ставит устройства для удаленного доступа и несанкционированного доступа к информации и уходит. И хоть бы какая сволочь какой сотрудник спросил его "А ты, собственно, кто такой и чего в нутрях копаешься?" 🍔 К счастью чувака и подельников все-таки взяли, а видео среди прочего послужило доказательством противоправной деятельности 🇷🇺

Читать полностью…

Пост Лукацкого

Также Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных с покушением на Дональда Трампа, извержении вулкана в Исландии, выбросившихся на берег в Испании китов, уязвимостей CVE-2021-3773 и CVE-2024-38211, а также о сотнях других событий, которые происходят в мире, но которые не имеют никакого отношения к Роскомнадзору!

Читать полностью…

Пост Лукацкого

Тут в SOCовском чатике задали вопрос: "Хочу писать все события на Linux. С помощью чего это лучше делать?" 👨‍💻 В отношении SIEM это тоже часто звучащая дилемма - какие события писать в SIEM? Все или выборочно? Если все, то нужно иметь немаленького размера ЦОД, чтобы хранить все события в течение длительного времени. И за лицензию на SIEM надо переплачивать, если схема лицензирования подразумевает оплату за объем хранения. А это приводит к разрастанию совокупной стоимости SIEM 🤑

Отчет SANS по SOCам дает нам ответ и на этот вопрос. Максимальное число ответивших на этот вопрос респондентов (152) шлют в SIEM все, что они покрывают системой мониторинга 👀 На втором месте (110) те, кто собирает в SIEM события на основе риск-ориентированного подхода, стараясь в качестве основы для выборки событий взять серьезность угроз, подлежащих обнаружению и реагированию.

Третье и четвертое место с незначительным отрывом друг от друга (40 и 38 респондентов) заняли сбор событий только с приоритетных (я бы сказал целевых/ключевых) систем и сбор событий в зависимости от use case / detection engineering 💡 Лично мне больше нравится как раз последний подход, так как он позволяет сбалансировать финансовые затраты с эффективностью мониторинга ИБ. Хотя, конечно, если у вас куча денег, то можно писать все, лить в озеро данных и там уже анализировать по мере необходимости 🙌

Читать полностью…

Пост Лукацкого

Подписчик, за что ему спасибо, прислал фрагмент интересной переписки с мошенниками, которые предлагают практически 100%-й 💯 выигрыш на аукционе на поставки средств защиты информации на электронной торговой площадке 🛒 А потом всплыл другой кейс - с мошенничеством с торговыми ботами 🤖 И мне показалось, что можно эти две истории объединить, что я и сделал. И это в копилку историй, когда чисто инфраструктурная ИБ и даже защита от ботов в WAF не всегда помогает.

Читать полностью…

Пост Лукацкого

Какими возможностями по реагированию на инциденты меньше всего удовлетворены ИБшники? В пятерку входят:
1️⃣ Реверс-инжиниринг вредоносного ПО. Да и хрен с ним - отдайте это специализированным компаниям. Все равно удержать такого специалиста будет не под силу 99% компаний. Им просто не найдется такого количества интересной работы и он все равно свалит.
2️⃣ Обманные технологии. Ну тут вообще без комментариев. Вы сначала базовые компоненты SOC внедрите, EDR и NTA, а уж потом о deception/decoy/honeypot думайте...
3️⃣ Отслеживание кампаний и атрибуция угроз. А на кой она вообще нужна? В большинстве случаев лишнее это.
4️⃣ Реверс-инжиниринг железа. Заказчикам - это вообще не надо, не потянут они такую лабу. Я имею представление о "железной" лабе Позитива и могу уверенно говорить, что это как реверсингом малвари, только дороже во много раз.
5️⃣ Реагирование на основе пдейбуков. Ну еще бы, вы пробовали автоматизировать плейбуки с помощью no code/low code конструкторов в SOAR? Поэтому некоторые вендора либо GenAI начинают использовать для автоматизации создания плейбуков и работы по ним, а некоторые и вовсе идут в сторону автопилота.

А еще на этой гистограмме показано, как их НЕ НАДО делать 🤦‍♂️ Ну кто для отрицательных значений использует зеленый, а для положительных - красный? (красный - он для позитивных 🥰) Надо было с точностью до наоборот все делать: красный для "не удовлетворен", а зеленый - для "удовлетворен". Всему этих американцев учить надо... 🫵

Читать полностью…

Пост Лукацкого

А вот кому европейского 🇨🇭 взгляда на то, как устроен китайский 🐉 рынок CTFов, программ Bug Bounty и иных способов прокачки хакерских скиллов в Поднебесной? 🖥

Читать полностью…

Пост Лукацкого

Разные российские ИБ-каналы пишут про закрытие офиса Лаборатории Касперского в США и предполагают, что сотрудников теперь перевезут в другие офисы компании (ага, граждане США так и побегут сотрудничать с подсанкционными юрлицами 😲) или что их наймет Сбер (ага, субъект КИИ наймет граждан США 😮).

А я просто опубликую прощальное письмо ЛК своим заокеанским клиентам. Прежде чем читать его, включите финальную песню Олимпиады-80 "До свиданья, наш ласковый мишка!", которая созвучна нынешним событиям, в том числе и в контексте Олимпиады в Париже 🧸

Читать полностью…

Пост Лукацкого

И хотя основные метрики оценки эффективности SOC 👀 остаются неизменными:
1️⃣ Среднее медианное время на реагирование (MTTR)
2️⃣ Среднее медианное время на обнаружение (MTTD)
3️⃣ % покрытия мониторингом
4️⃣ % расследованных сигналов тревоги
5️⃣ Соотношение true и false positive,
в этом году в отчете SANS SOC Syrvey 2024 в топ попали и три качественные метрики:
6️⃣ Загрузка аналитиков SOC
7️⃣ Качество расследования (ошибки, нехватка информации, преждевременное закрытие тикетов и т.п.)
8️⃣ Качество Threat Intelligence (аккуратность, своевременность, покрытие и т.п.)

Не могу согласиться с правильностью всех выбранных метрик, но движение в сторону оценки качества могу только приветствовать 🙂

Читать полностью…

Пост Лукацкого

Хотите удалить информацию о себе из разных web-сервисов, но не знаете как и не хотите тратить время на поиск правильных ссылок для удаления? Вот вам сервис justdelete.me для этого! 🗑 Российских сервисов там я не нашел, но западных в избытке. И если вы решили патриотично махнуть рукой иностранцам и не оставлять им свои персданные, то вперед. Правда, надо сразу сказать, что у некоторых сервисов такой возможности нет вообще, а у некоторых удаление является непростой процедурой. Но дорогу осилит идущий... 🚶‍♂️

Читать полностью…

Пост Лукацкого

19 апреля AT&T зафиксировал инцидент 💻 и «немедленно активировал процесс реагирования на инциденты». Правда, утечка продолжалась еще 6 дней 🚰, до 25 апреля. У AT&T очень специфическое понимание термина "немедленно". Либо упомянутая облачная платформа (к слову, AT&T числится среди клиентов Snowflake ❄️) просто не делилась с AT&T данными или не смогла вовремя заблокировать факт утечки?

Много вопросов к этому инциденту, если внимательно смотреть на его временные параметры Вообще, временные параметры любого публичного инцидента, перенесенные на таймлайн, всегда интересно изучать Сразу много вопросов возникает, которые у авторов пресс-релизов обычно не всплывают в процессе подготовки публичных коммуникаций. И сразу становятся видными слабые места и то, что пытаются скрыть 🫥

Читать полностью…

Пост Лукацкого

Карьерный рост 😎 перестает быть интересным для аналитиков SOC. Деньги 🤑 хоть и влияют, но не так чтобы очень сильно. А вот интересная работа продолжает быть основным драйвером, заставляющим специалистов по ИБ оставаться у своего работодателя 👨‍💻

Именно поэтому их бывает сложно удержать и они уходят к интеграторам и в аутсорсинговые SOCи. Там обычно более разнообразные кейсы и инциденты, их больше, а значит каждый день есть что-то новое, что и заставляет каждое утро или вечер (зависит от смены) приходить на работу с интересом и удовольствием🚶‍♂️

ЗЫ. Это все тот же отчет SANS по SOCам

Читать полностью…

Пост Лукацкого

Думаю, понятно, что картинка выше непросто про EDR, которые на первом месте с точки зрения обнаружения хакерской активности в SOC. В принципе сама идея, что есть какой-то Топ5 сенсоров для мониторинга или "триада технологического стека SOC", - утопична 🤨

Ничего такого нет, так как сильно зависит от тех сценариев (use cases), которые необходимо отслеживать. Условно, если вы мониторите АСУ ТП 🔍, то у вас там EDR может и не входит в Топ5, а на первое место выйдут какие-нибудь МСЭ (даже не NGFW), средства авторизации доступа админов (PAM), средства мониторинга сетевой активности и только потом, что-то, что можно поставить на HMI, SCADA-сервера и т.п. 🏭

В корпоративной среде, да, EDR сейчас становится самым популярным источником данных для обнаружения вредоносной активности на хостах, с которых часто и начинается активное развитие атаки внутри инфраструктуры 🔓 Но вот если у вас строится SOC/ЦПК и вы не знаете, какие сенсоры вам вообще будут нужны, то данная гистограмма может вам подсказать направление движения, а оно одно - начните с use cases.

Читать полностью…

Пост Лукацкого

Джет выкатил описание критической ‼️ RCE-уязвимости в Битриксе (CVSS 9.5), которая позволяет скомпрометировать сайт, работающий на этой CMS 🌐 Интересно, что в базе NVD у этой уязвимости был идентификатор CVE-2022-29268, который помечен как «отклоненный» (в прочих базах, включая и БДУ ФСТЭК, идентификаторы также не были присвоены). Судя по описанию, патча нет, есть только компенсационные меры, снижающие вероятность использования дыры 😷

⚠️ Получается, что 2 года назад (уязвимая версия Битрикса появилась в декабре 2021 года) уязвимость отклонили, но ее можно эксплуатировать до сих пор (хотя и при достаточно специфических условиях). По утверждению Джет производитель не считает это уязвимостью 😠


Именно эта уязвимость была использована при взломе сайта Jet CSIRT, как видно из результатов опубликованного расследования. Там все четко - таймлайн, индикаторы, рекомендации... У меня только один вопрос возник по результатам прочтения материалов расследования. Получается, что первый веб-шелл был размещен на сайте Jet еще в 2023-м году 😲 Второй, более функциональный веб-шелл, был размещен на сайте спустя полгода и уже через него был проведен дефейс сайта. Правда, коллеги сами признаются, что недооценили репутационный ущерб от взлома сайта-визитки и поэтому его мониторингом занимались по остаточному принципу. Видимо, поэтому и не замечали полгода внедренный веб-шелл.

ЗЫ. Jet CSIRT перестал почему-то 🤔 публиковать свои дайджесты (последний датирован 1-м апреля).

Читать полностью…

Пост Лукацкого

А я врываюсь в новую неделю с очередной заметкой про CISO, а точнее про модель оценки зрелости руководителя по ИБ глазами агентства по подбору топ-менеджеров 🧐, которые с помощью разработанной ими модели CALM (The CISO Assessment Level Maturity) оценивают как действующих CISO (соответствуют ли они компании, в которой работают), так и тех, кого ищут топ-менеджеры для себя 🤔

Читать полностью…

Пост Лукацкого

Помните историю с фейковой точкой доступа 👴 в аэропорту Шереметьево? Теперь вот подписчик пишет (за что ему спасибо), что на поездах РЖД 🚂 с этим столкнулся. И это прям интересная история, так как это требует немного иного доступа для злоумышленников. То есть либо проводники в доле, либо монтёры в депо, либо мошенник постоянно ездит на поезде и может снимать полученные данные 🖥 Ну или это ситуативная история, когда повезло задетектить левую точку во время целевой атаки на конкретного пассажира только на одном поезде…

Читать полностью…

Пост Лукацкого

Мнимые труженики – проблема, с которой регулярно сталкиваются компании разного размера.

И в большинстве случаев руководители компаний понимают, как важно контролировать эффективность сотрудников. Однако бывает и так, что «аппетит приходит во время еды» и с контролем перегибают. Читая новости про очередное новшество «для блага сотрудников» из корпоративного мира, задаешься вопросом: где та граница, за которой адекватный контроль превращается в не пойми что?

🔗 Собрал несколько технологий на грани фола для контроля за сотрудниками, которые используют работодатели.

🔲 Листайте карточки, чтобы никогда не делать также. Пишите в комментариях примеры, когда желание контролировать работника переходило разумные, на ваш взгляд, границы.

#байки_безопасника
#Алексей_Дрозд

🏠 Подписаться на Кибердом & Бизнес

Читать полностью…
Подписаться на канал