Я вот 9 лет учил немецкий в школе, а до сих пор с трудом произношу термины по ИБ на языке Гёте и Шиллера 🇩🇪 Например, Cybersicherheitsvorschriften, то есть "правила кибербеопасности". И ведь в немецком, в отличие от английского или французского, слово как пишется, так и произносится. Но тут без подготовки и не справишься сразу... 🤪
Читать полностью…Ну ладно, я мог бы понять, если у тебя нет кириллической раскладки на клавиатуре, и ты не знаешь как написать слово "Хакер" или "Репа" по-русски... Но и Х и Р есть в английской раскладке. А еще автор смешивает украинцев и русских, делая классическую ошибку большинства американских исследователей киберпреступности, называя всех "русскими хакерами", да еще и работающими на русские спецслужбы (ФСБ, СВР, ГРУ).
Читать полностью…Когда вас, как ИБшника, на корпоративе или на годовом собрании компании будут встречать также ✨, то значит вы не зря едите свой хлеб! 🎆
Читать полностью…Какая интересная новость - не очень известная ИБ-компания Pango (я о такой и не слышал, если честно) выкупила 1 миллион американских клиентов Лаборатории Касперского после запрета 🚫 последней продавать свои решения в оплоте демократии.
Сумма сделки не уточняется, но в любом случае Касперский выходит из этой истории еще и с определенной выгодой для себя 💰 Зачем это Pango тоже понятно - получить миллион клиентов - это вам не фунт изюма. Не надо тратиться на их поиск, привлечение и вот это вот все. А вот зачем это клиентам? Захотят ли они пользоваться продукцией Pango, если они не пользовались ею ранее? 🤔 Интересная схема, конечно. Я таких раньше что-то не припомню...
Как пример. Вот запретят в России MS Office и продаст Microsoft своих клиентов «Моему офису». Значит ли это, что я начну пользоваться российским офисным пакетом? Нет!
В идеальном мире компании бы хотели использовать лучшие в своем классе решения, 🤤 да еще и от одного поставщика, чтобы все интегрировалось между собой, имело общую шину обмена информацией, единое хранилище данных, унифицированный API, единую систему лицензирования и срок окончания лицензий у всех решений одинаков и вот это вот все 🤔
Но мир не идеален и поэтому обычно картинка выглядит так, как показано. Десятки разных решений от десятков вендоров, имеющих собственное представление о том, как надо Родину любить ИБ обеспечивать 🛡 И хорошо, если ты пришел первым к заказчику - тогда остальные будут подстраиваться под тебя. А если нет? Тогда ты будешь подстраиваться под других, так как заказчик точно не будет менять все строящееся годами под тебя 🎮 В этом боль любого вендора, если он не монополист. Ему приходится фокусироваться не на развитии, а на поддержке требований разных клиентов. И чем больше разных клиентов, тем больше перекос от развития в поддержку 🤷♀️
А вот вам еще один метод, с помощью которого директора по информационной безопасности могут эффективно доносить тему недопустимых событий до руководства своих компаний 😱 Основной акцент делается на важности простого и понятного бизнесу языка, связывания события, имеющих катастрофические последствия с бизнес-целями предприятия и использования метрик, чтобы показать влияние угроз на финансовые и операционные показатели, репутацию и т.п. 💥
Для этого используется график устойчивости и близости к атаке (Proximity Resilience Graph), который помогает CISO демонстрировать взаимосвязь между киберугрозами и ключевыми бизнес-функциями. Этот график отражает два ключевых параметра:
📊 Ось Y показывает уровень устойчивости компании к киберугрозам, отображая инвестиции в защиту, усилия, процессы и технологии. Например, успешное обучение сотрудников снижает их уязвимость к социальному инжинирингу, что отображается снижением на оси Y.
📊 Ось X отражает близость к атаке — данные о текущих внутренних и внешних угрозах, таких как количество фишинговых атак или рост числа атак программ-вымогателей и т.п.
Названия квадрантов — "Нестабильный", "Стабильный", "Открытый" и "Защищенный" — достаточно просты, понятны и выразительны, но CISO может настроить или убрать их в зависимости от того, как они влияют на восприятие и вовлеченность аудитории, которой представляется этот график.
График помогает CISO лучше доносить информацию о динамике киберугроз и их влиянии на различные аспекты бизнеса: операционные риски, удар по бренду, финансовые потери, конкурентные риски и правовые последствия. Это позволяет руководству видеть конкретные изменения в устойчивости компании и вовлекаться в обсуждение недопустимых событий более осознанно.
В NIST Cyber Security Framework вся ИБ делится на 6 блоков требований, где последний называется RECOVER, то есть восстановление 📎 В NIST исходят из того, что не всегда действия ИБ позволяют предотвратить или своевременно среагировать на инциденты и иногда приходится расхлебывать их последствия. Поэтому иметь стратегию восстановления от инцидентов, например, шифровальщиков, идея неплохая 💡 Включать такая стратегия должна не менее 8 пунктов:
1️⃣ Изоляция резервных копий. Держите резервные копии изолированными от основной сети, чтобы они не были скомпрометированы при атаке. Это особенно важно, так как 57% попыток компрометации резервных копий хакерами были успешными.
2️⃣ Использование технологий хранения "только для записи" (WORM, write-once-read-many). Это предотвращает изменение или перезапись данных в резервных копиях, что снижает риск потери данных из-за атаки шифровальщика.
3️⃣ Создание нескольких типов резервных копий. Включает полные и инкрементальные копии для защиты от потери данных, особенно если атака происходит в праздничные дни или периоды без резервного копирования.
4️⃣ Защита каталога резервных копий. Хакеры часто нацелены на каталоги резервных копий, а не сами файлы. Без этого каталога восстановление данных становится крайне трудным.
5️⃣ Резервное копирование всех критических данных. Убедитесь, что все целевые и ключевые системы и данные в них включены в план резервного копирования.
6️⃣ Резервное копирование целых бизнес-процессов. Важно сохранять не только данные, но и все приложения, конфигурации, зависимости и другие компоненты, необходимые для восстановления работы как минимум критических для компании бизнес-процессов.
7️⃣ Использование "горячих" резервных центров и автоматизации. Быстрое переключение на резервную площадку может значительно сократить время восстановления. В облачных инфраструктурах (не во всех) можно заранее настроить такие решения для более быстрого восстановления.
8️⃣ Тестирование процесса восстановления. Регулярно проверяйте работоспособность резервных копий и восстанавливайте данные, чтобы убедиться, что все работает корректно. Тестирование должно включать как технологические, так и человеческие факторы.
Успешная атака на Yubikey 🤔 Непростая в реализации и требующая специфических условий в виде доступа к самому аппаратному токену, но зато потом можно «клонировать» то, что считало невозможным, лишний раз доказывая, что ничего невозможного нет.
ЗЫ. Возможно, и к другим FIDO-устройствам применимо 🤒
Читая регулярно про выманивание средств у того или иного чиновника или звезды шоу-бизнеса, всегда в голове возникает вопрос: "Но как? Неужели вам никто не рассказал про то, что можно и что нельзя делать со своими деньгами, хранящимися в банке?" 🏦 А потом вспоминаю свой опыт премиального обслуживания в разных российских банках (а это не один, не два, и даже не три банка) на протяжении многих лет (в приватном банкинге, кстати, тоже, но тут у меня опыт небогатый) 🧐
И вот что я хочу вам сказать - мне еще никто и нигде не провел ликбеза по ИБ моих финансовых активов ☹️ И даже памятку никто не вручил никакую. То есть привилегированные клиенты, хранящие миллионы или десятки миллионов в кредитных организациях, действительно не знают, что можно и чего нельзя. И кажется мне, что проблема отчасти в том, что в таких отделах работают сотрудники, которые сами на премиальное обслуживание не могут рассчитывать ☹️ А раз так, то они не особо понимают своих клиентов (другое дело обычные операционисты, работающие с рядовыми клиентами). Грустно 😫
Twitter-аккаунты дочери и невестки кандидата в президенты США 🇺🇸, Тиффани и Лары соответственно, подломили и пустили там рекламу криптоскама. А вот был бы у Трампа киберконсьерж, о котором я писал и тему с которыми позже подхватил РБК, ничего бы и не произошло 🤔
Читать полностью…Contextual Vulnerability Management With Security Risk As Debt
Я думаю, каждый, кто занимался построением программы управления уязвимостями или хотя бы раз пытался добиться от ИТ-команд их устранения, знает, насколько сложно обеспечить соблюдение установленных SLA. Зачастую SLA берутся «с потолка» и, как правило, далеки от реальных возможностей организации по быстрому устранению выявленных уязвимостей. В результате в организации возникает общая фрустрация, где все сталкиваются с удручающими отчетами. А CISO за "кружкой пива" мрачно заявляет, что "у него в бэклоге 3 миллиона уязвимостей" и "он/она не знает, что с ними делать!". И хотя из общих соображений понятно, что здесь придется обращаться к приоритезации и мудрости в духе общества анонимных алкоголиков:
Господи, дай мне спокойствие принять то, чего я не могу изменить, дай мне мужество изменить то, что я могу изменить. И дай мне мудрость отличить одно от другого.
В отношении использования искусственного интеллекта 🧠 в ИБ в последний год идут достаточно большие споры. Кто-то считает, что ML позволяет реализовать прорыв при обнаружении и реагировании на инциденты. Кто-то, наоборот, считает, что ничего кроме хайпа ML с собой не несет. Вендора продолжают свои эксперименты (например, MP O2). А руководители SOCов достаточно оптимистично 🙂 смотрят в сторону автоматизации на базе ИИ, видя от ее несколько преимущества (в порядке убывания важности):
1️⃣ Обнаружение новых угроз
2️⃣ Лучшая реакция на угрозы
3️⃣ Лучшее измерение и генерация отчетов
4️⃣ Рост продуктивности аналитиков
5️⃣ Улучшение опыта аналитиков
6️⃣ Лучшая адаптация и устойчивость бизнеса
7️⃣ Найм и удержание ИБ-талантов
8️⃣ Улучшение опыта пользователей/клиентов
9️⃣ Улучшение принятия решений в SOC
1️⃣0️⃣ Снижение затрат на обнаружение и реагирование 🤖
Но несмотря на все позитивные истории применения ML в SOCах, можно увидеть, что число тех, кто оценивает перспективность ML-автоматизации сейчас и через 2 года не сильно отличается 🤷♂️ Предположу, что те, кто уже сейчас использует такую автоматизацию, планирует ее использовать и дальше. А те, кто не использует, пока не понимает, будут ли они это делать 🤔 То есть пока явных и революционных прорывов нет, о чем говорит и первая пятерка преимуществ. Если не брать различные методы обнаружения новых угроз, то остальные 4 пункта закрываются различными решениями класса CoPilot.
В упомянутом выше опросе также задали вопрос по самым важным сервисам и решениям, которые используются в SOCах. В целом, набор достаточно предсказуем, но два пункта меня там зацепили - IoT Security и AppSec. Первый понятен - все-таки сегодня уже Интернет вещей 💡 - штука популярная и поэтому его надо мониторить. Хотя я не думаю, что средства защиты IoT настолько популярны, чтобы обогнать DLP, XDR, IAM или TIP с SOAR.
А вот попадание в первую семерку AppSec меня удивило 🧑💻 У меня давно висит драфт статьи, в которой я как раз описываю возможность интеграции темы AppSec в SOC (и речь не о банальном подключении WAF в качестве сенсора в SIEM). Видимо, надо будет ускориться с этим материалом. А то получается, уже все интегрировали DevSecOps в центры мониторинга, одни мы еще только на подходе...
А попадание SOAR на предпоследнее место, возможно, объясняется тем же, о чем говорит и Gartner. А в остальном все достаточно очевидно, без революций. Современный SOC - это логи, их анализ в SIEM и, обязательно, мониторинг оконечных устройств с помощью EDR. На 4-м месте также решения по управлению уязвимостями, которые позволяют уменьшить площадь возможной атаки 😔
Коллеги с Positive Hack Media провели эксперимент по тому, можно ли с помощью тепловизора узнать пароль по оставленному тепловому следу от отпечатков пальцев 🤒 на клавиатуре. Так сложилось, что у меня тоже есть тепловизор, который я на даче использую для контроля температуры. Решил повторить эксперименты из видео 👨🏼🔬, угрохал около часа, но так и не смог определить пароль или PIN-код... Может это и хорошо 🤔
Читать полностью…Когда я мылся в душе в Абу-Даби, 🧼 то неоднократно сталкивался с непростым выбором - "красное или синее"?! Такой же вопрос стоит у тех, кто начинает свой путь в ИБ и думает, стать хакером/пентестером/багхантером или пойти на сторону тех, кто будет их ловить? 🤔 Однако можно не ломать голову и попробовать себя в разных ролях. На CyberCamp 2024, который пройдет онлайн 3-5 октября, можно будет порешать задания в рамках киберучений и понять, вам по душе реагировать, расследовать или атаковать (можно и просто выступления послушать ▶️).
На CyberCamp 2024 будет две лиги, Топ-6 команд с которых попадают без участия в отборочных в Международные игры по кибербезопасности, которые организовали Positive Technologies 🟥 и Инфосистемы Джет. Второй вариант попасть на эти игры - пройдя отборочные Standoff с практическими заданиями от лидеров индустрии кибербезопасности 👾
Подать заявку на участие в отборочных Standoff нужно до 16 сентября, а вот финальный срок подачи на CyberCamp на 3 дня позже, до 19 сентября 🕹
Победители получат много всяких плюшек - участие в кибербитве Standoff в 2025 году (без отборочных), доступ на финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания), стажировки у лидеров рынка ИБ, фото с Лукацким (это шутка), денежные призы и всякий прикольный мерч 🎁
Так что у начинающих специалистов по ИБ и даже у матерых появляется возможность почувствовать себя Нео из первой части трилогии "Матрица" и выбрать предложенную Морфиусом таблетку 💊 правильного цвета.
ЗЫ. Кстати, ответьте на вопрос, чтобы полилась холодная вода, куда надо крутить ручку в душе на фотографии? Пришедший вам в голову первым ответ скорее всего и даст вам направление вашего развития ➡️
Кстати, вдруг подумалось 💭 в Европе бы такой фокус не прошел бы - GDPR был бы против передачи ПДн без согласия субъекта, то есть клиента 🤔
Читать полностью…«Криптошифрование…» 😨 Радиостанции приглашают комментировать пункты обвинения Дурову 📱 баааальших специалистов, которые ни про Васенаарские соглашения не слышали, ни вообще про регулирование импорта криптографических средств 😲
Читать полностью…То ли журналисты солидного американского издания побоялись давать ссылку на twitter-аккаунт Positive Technologies 🟥 и поэтому указали какого-то локального производителя POS-терминалов, который тоже Positive Technologies, то ли они не очень проверяют посты перед публикацией (фактчекинг наше все).
ЗЫ. Бюллетень Intel о найденной проблеме. Исходное сообщение Марка и описание всей истории от SecurityWeek.
👁🗨 Грядущему тюменскому нефтегазовому форуму посвящается 🛢 Взлом какой-то небольшой нефтяной компании. Второй за последний месяц в России, примерно десятый в мире за меньше чем полгода. Не Хуллибёртон, конечно, но все равно неприятно.
ЗЫ. Подозреваю, что VPN от Fortinet 🤔
Интересная история - группа старших офицеров на боевом корабле ВМС США “Манчестер” тайно установила и использовала нелегальную сеть Wi-Fi во время подготовки к перебазированию в Тихий океан 🛥 Они установили спутниковое оборудование Starlink для собственного пользования, несмотря на ограничения на использование интернета на корабле из-за вопросов кибербезопасности. Сеть использовалась исключительно старшими офицерами для личных нужд, таких как просмотр фильмов и связь с родными 🍿
Этот инцидент привел к судебному разбирательству, по итогам которого одна из офицеров, Гризель Марреро, была понижена в звании. Парадоксально, но госпожа Марреро имела степень MBA в области управления кибербезопасностью и цифровизацией. Бизнес-образование Марреро не прошло даром - она взимала с офицеров плату за доступ в Интернет (от 62 долларов в месяц или одноразовый платеж в 375 долларов) 😅 ИБ-образование научило Марреро, что надо защитить сеть от посторонних, поэтому старшие офицеры установили пароли для доступа к нелегальной сети Wi-Fi, чтобы ограничить ее использование только для себя, чтобы никто из остальной команды не мог случайно или намеренно воспользоваться этой несанкционированной сетью 🇺🇸
Очевидно, что установка нелегальной Wi-Fi сети на военном корабле является серьезным нарушением правил безопасности, так как ВМС США имеют строгие ограничения на использование Интернета 🛰 и иных внешних сетей, чтобы предотвратить утечки информации и защитить суда от возможных кибератак и определения их местоположения 🗺 (а вот еще один свежий кейс про кражу GPS-координат у военных).
ЗЫ. При таких военных странно читать про киберугрозы, о которых написано в сенатском отчете, в котором говорится о том, что Россия угрожает США в киберпространстве. Тут бревно надо в своем глазу искать, а не в чужом...
Для родителей я всегда буду "тетя Зоя просила настроить ей компьютер, а ты же айтишник" 😊
Читать полностью…А это, собственно, сами прогнозы, которые я сделал применительно к будущему киберпреступности. Что-то уже активно реализуется в некоторых регионах, что-то еще только появляется, что-то только будет появляться на горизонте 1-3 лет 🥷
Читать полностью…Ну что ж, к выступлению в Абу-Даби подготовился. Поднабрал новых примеров, добавил региональной специфики, сделал прогнозы... Надеюсь аудитории будет интересно 🤔
Читать полностью…Наши китайские товарищи 👲 выпустили 23 августа новый стандарт по кибербезу автомобилей GB 44495-2024, который вступает в силу для новых авто с 1 января 2026 года, а для существующих - с 1 января 2028 года. Эти требования сильно схожи с тем, что написано в UN R155 и ISO/SAE 21434, но есть там и отличия 🚗 В частности, не требуется сертификат ИБ на автомобили, но аудит ИБ должен быть пройден (но не каждые 3 года как в UN R155). Также у китайцев детально расписаны 27 тестов, которые должны быть реализованы в автомобиле по отношению к его внешним соединения, коммуникациям, обновлению ПО и защите данных. В UN R155 такой детализации не описано - производители сами решали какие тесты и как проводить 🔨
В целом история с кибербезопасностью автомобилей меняется. В США и Европе тоже свои требования есть. У нас пока о таком что-то не слышно, что говорит, как по мне, о пока еще отсутствующей конкуренции в области автомобилестроения в нашей стране. Нам бы автопром свой для начала надо иметь, прежде чем о его ИБ думать 🏎
А новые китайские требования 🇨🇳 поднимают скорее другой вопрос. Вот приезжает на таможню китайское авто со своей криптографией, со своими средствами ИБ. А ведь авто и персданные обрабатывает, и в КИИ может использоваться (если на юрлицо будет куплено)... И вот как тогда относится к автомобилю? Как к средству передвижения и пусть у Минпромторга голова болит? Или как к средству Интернета вещей? Или как к радиоэлектронному средству (там же Wi-Fi есть) и тогда это к Минцифре? Или как к СКЗИ и тогда это к ФСБ? Или как к мобильному средству вычислительной техники и тогда это к ФСТЭК? 🤔 Или просто пока закрыть глаза?.. 👀
Я календарь переверну
И снова выступать в Дубай...
Выложили видео выступлений с ИТ-Пикника, среди которых и мое про безопасность Интернета вещей...
Читать полностью…Наткнулся тут на свежий, апрельский опрос лидеров SOCов, в котором 200 руководителей делятся своими болями и опытом, лайфхаками и т.п. Я про него еще дальше напишу, а пока в догонку к вебинару по оценке эффективности SOC (видео и презентация), который я читал недавно, еще один набор используемых метрик: 🌡
🔤 Уровень соответствия требованиям законодательства, индустриальным стандартам и внутренним политикам
🔤 Стоимость на инцидент
🔤 Время обнаружения (MTTD)
🔤 Уровень эскалации инцидента (как много инцидентов требует эскалации)
🔤 Возврат инвестиций
🔤 Время реагирования (MTTR)
🔤 Объем инцидентов
🔤 Число ложных срабатываний (FP/FN)
🔤 Уровень удовлетворенности сотрудников или клиентов.
ЗЫ. Среднее число метрик, используемых на регулярной основе, - 3,1 🌡