АНБ И Viasat поделились деталями атаки на спутниковую систему 🛰 Атрибуция показывает на Россию, но доказательств не приведено 🤷
Читать полностью…🤔 Как сложилась бы судьба Владимира Маяковского в наши дни? Волнуют ли современных поэтов те же вопросы, что и сто лет назад? Можно ли поступиться свободой ради известности и денег? А ради любимой женщины?
🎬 17 августа в прокат выходит фильм «Мотыль. Свет. Пламя. Пыль», созданный Викторией Алексеевой, продюсером киберфестиваля PHDays 12 (маскотом которого был Маяковский), при поддержке Positive Technologies.
Он посвящен 130-летию со дня рождения футуриста и создан по мотивам его биографии и поэмы «Облако в штанах», отражающей личность поэта.
Главный герой, как настоящий бунтарь, бросает вызов творческой элите и устройству общества, оспаривает искренность чувств и актуальность поэзии. Весь фильм о том, как рождается одно единственное стихотворение и какие испытания преодолевает при этом художник.
Смотрите ленту в кинотеатрах «КАРО» в Москве («КАРО 11 Октябрь»), Санкт-Петербурге («КАРО 9 Варшавский экспресс»), Новосибирске («КАРО 10 Галерея»), Екатеринбурге («КАРО 10 Радуга Парк») и Калининграде («КАРО 7 Калининград Плаза»).
P. S. Редактор канала любит Маяковского, посмотрел и в восторге.
#PositiveTechnologies #PHD12
Администрация Байдена-Харрис анонсирует двухлетнее соревнование AI Cyber Challenge, которое должно помочь американцам выявлять и устранять уязвимости в коде с помощью искусственного интеллекта (а чего они в 🟥 сразу не обратились-то?). Курирует конкурс военное агентство по передовым исследованиям DARPA (что уже как бы намекает), а помогают проводить его лидеры американского рынка ИИ - Anthropic, Google, Microsoft (вот прям "лидер" в области ИБ и неуязвимого ПО) и OpenAI.
Соревнование анонсировали на прошедшей Defcon в Лас-Вегасе (Сферу, кстати, так никто и не сломал, - ее просто отключили от греха подальше на время хакерских конференций). На DC в 2024-м пройдет полуфинал, а в 2025 там же анонсируют команду-победителя, которая получит погоны и контракт на службу в армии 4 миллиона долларов (у финалистов и полуфиналистов призы поменьше).
Мне кажется, что у нас можно было бы такое же организовать (например, на PHDays). И хотя компаний, которые бы занимались ИИ в ИБ, у нас поменьше, но это могло бы простимулировать исследования в соответствующей сфере. Да и показало бы, что государство не просто заявляет о важности искусственного интеллекта и кибербезопасности, и не просто раздает бабло одним и тем же компаниям-бигтехам, у которых деньги и так есть, но и реально стимулирует исследования в этой области, в том числе и среди ВУЗовских команд и малого бизнеса (да, в ИБ есть и такие).
ЗЫ. Сайт конкурса-соревнования - https://aicyberchallenge.com.
Еще одна фееричная история из закоулков нашего законодательства и его правоприменения. Если вкратце, то один из заводов Роскосмоса пользовался системой контроля доступа Cisco Secure ACS. Но потом завод не смог больше оплачивать поддержку решения по причине его дороговизны ☹️ (хотя, насколько я помню, на это решение Cisco цены не поднимала особенно, а курс не особо и рос; уж точно не так, как за последние месяцы) и админу завода субъекта КИИ начальством была поставлена задача сделать "также красиво, но бесплатно" (немного утрирую) 🤑. Админ был грамотным и решил скачать из Интернет FreeRADIUS, который хоть и не заменял Cisco Secure ACS, но часть задал вполне себе решал 👨💻. И что, скажете вы? Нормальная ситуация - сейчас многие так делают - кто-то скачивает пиратские версии привычных иностранных решений по ИБ, а кто-то ищет им замену в open source.
И вот тут наступает самое интересное. Против админа возбуждают уголовное дело 🧑🏻⚖️ за то, что он подключился к сети Интернет с объекта КИИ, не предприняв должных мер безопасности ✍️. При этом сам начальник, давший указание найти замену Cisco Secure ACS, и свидетельствовал против подчиненного 🤦♂️ По версии ФСБ, обвиняемый "подключил свой рабочий компьютер к интернету и нарушил правила работы с информационными ресурсами, поставив под угрозу безопасность центра обработки данных оборонного предприятия" 😕 Обвиняемый админ считает, что он не только делал все безопасно, но и сэкономил работодателю почти 2,5 миллиона рублей, но суд не учел эти доводы (ну а кто же попрет против ФСБ 🙄). В итоге полтора года... правда, условно.
Вот такие пироги с котятами 🤢 Если вы работаете с объектом КИИ, то подумайте 10 раз, стоит ли скачивать из Интернет не только open source, но и иностранное ПО в рамках серого импорта или пиратства. С ФСБ шутки плохи 🧐 Но если почитать материалы дела, то у меня сложилось впечатление, что ровно те же доводы следователи могли бы использовать и при скачивании отечественного софта с объекта КИИ. Так что стоит пересмотреть и свои регламенты обновления ПО, и вообще стратегию использования средств защиты на объектах КИИ. Ну и молитесь, что на вас не обратят внимание 🥺 На мой взгляд, следователи немножко так перегнули палку 🖕
Просто классический мини-мульт 🎞 про фишинг. Регулярно его ищу, решил вот просто в канал выложить 😊
Читать полностью…Если вдруг вам нужны сами блок-схемы для того, чтобы на их основе сделать собственные форки для своих плейбуков, то вот вам файлик со всеми схемами. Редактировать его можно в бесплатном сервисе draw.io
Читать полностью…Продолжая тему с инициативой Центробанка, интересен вопрос, как ЦБ планирует обойти часть 2-ю статьи 273 УК РФ, а именно "Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности"?
Обычно юристы ЦБ перестраховываются по 10 раз, прежде чем запускать хоть какую-нибудь инициативу от имени регулятора. Тут либо есть договоренность с правоохранительными органами, но кого это волнует, если будет заявление в полицию, либо ЦБ планирует к моменту запуску инициативы внести поправки в ст.273 УК РФ в части распространения вредоносного ПО в рамках легальных тестов на проникновения и иных схожих работ. Вот последнее было бы прям круто и могло бы способствовать росты рынка пентестов и багбаунти. Правда, легализация все равно потребует наличия договора между стороной, распространяющей вредонос, и потенциальной "жертвой", чего у ЦБ с банками просто нет. Так что вопросы к инициативе остаются, хотя сама по себе она, если не вдаваться в детали, очень правильная.
В отчете ЦСР по рынку ИБ говорится о том, что сегмент защиты данных, который включает в себя и СЗИ от НСД, и DLP, и средства шифрования (не путать с VPN), в России упал за прошлый год на 40% (один из двух просевших сегментов рынка) что странно, учитывая тот факт, что у нас с защитой этих самых данных носятся все как с писанной торбой. Может быть это связано как раз с усталостью рынка - средства защиты есть, а утечек меньше не становится. А может с тем, что сегмент защиты данных есть, а как эти данные выявлять и классифицировать, чтобы потом защищать, никто не знает. Но итог пока неутешителен - снижение сегмента рынка на 40%.
Но так как в мире этот сегмент растет на 19% ежегодно, то возникла мысль вдуть жизнь в угасающий рынок, для чего 23 октября в Москве пройдет первое масштабное мероприятие, посвященное именно защите данных. Никаких SOCов (хотя про реагирование на утечки будет), никаких VPN (хотя про гомоморфное шифрование будет), никаких персданных (хотя про практику поведения в суде будет), никаких NGFW (хотя секция "НеГартнер" про новые технологические решения тоже будет). Вообще программа выглядит вполне себе приятной (что немудрено ☺️).
Я буду вести дискуссию "То, о чем никто не хочет думать, занимаясь защитой данных", куда забрал все темы, о которых мало кто задумывается при построении архитектуры защиты данных, а именно:
1️⃣ Если данные утекают через открытые БД на периметре, то как мониторить защищенность внешнего периметра организации?
2️⃣ Если мы все говорим про уход в облака, то как там мониторить работу с данными?
3️⃣ Чтобы защищать данные, их надо выявить и классифицировать, и желательно в автоматическом режиме. Как?
4️⃣ Если утечка произошла у подрядчика в рамках supply chain, то как этого недопустить в будущем?
5️⃣ Ну и еще пару горячих тем будет; не буду раскрывать раньше времени.
Так что буду рад увидеть у себя на секции 23 октября.
Раньше, в LinkedIn была практика, когда китайцы стучались в личку и предлагали поделиться с ними уязвимостями за вознаграждение. Сейчас они перешли к другой практике. Пишут вот такие письма и предлагают поучаствовать в исследованиях или написать для них статьи по темам кибербеза, что, как мы понимаем, является прямой дорогой к статьям 275 и 275.1 УК РФ, то есть к госизмене.
ЗЫ. Может и не являться, но зачем рисковать? Объясняться-то потом с товарищем майором вам, а не Го Сяочунь, которую по-русски зовут Кристиной 😊
Интересный вектор. Не то, чтобы новый, - его даже в фильмах использовали. Но там речь шла об акустике с идеальным слухом, а тут уже речь об автоматизации данного процесса.
Читать полностью…Интересный такой дашборд по Cyber Threat Intelligence. Сделан на базе одного из многочисленных сервисов по созданию дашбордов "все в одном". Я себе такой давно ищу, но в чисто локальном варианте, без облаков, доступа в Интернет и т.п. ограничений. Пока не нашел (если вдруг знаете какой-нибудь софт для этой задачи, то напишите в личку). А этот сервис интересен еще и тем, что в явной форме позиционирует кибербез и OSINT как один из основных сценариев своего использования. На самом деле это вообще единственный сценарий из явно заявленных; все остальное банально - "для бизнеса" или "для команд" или "для персонального использования".
Читать полностью…🛡 Если вы живете в Беларуси и работаете в сфере кибербезопасности, не планируйте ничего на 28 сентября.
Именно в этот день пройдет первая конференция «Позитивный SOC» (Positive SOCcon) от Positive Technologies в Минске (отель DoubleTree by Hilton).
Указ Президента Беларуси № 40 определил концепцию национальной защиты информационной инфраструктуры организаций Беларуси от внешних и внутренних угроз.
На конференции будем говорить о том, как сделать защиту эффективной и измеримой, построить систему результативной кибербезопасности и защититься от кибератак, несущих недопустимый ущерб.
• Обсудим все актуальные вопросы организации и работы SOC.
• В деталях разъясним положения указа № 40.
• Разберемся, какие системы мониторинга, аналитики и реагирования сегодня необходимы каждой компании.
• Поговорим, насколько эффективным может быть автопилот в системах ИБ.
• Подискутируем о том, что мешает кибербезопасности стать результативной.
Забронируйте дату и следите за новостями, скоро поделимся подробной программой и расскажем, как зарегистрироваться.
@Positive_Technologies
Вам же знакомо классическое условие для нормального моделирования угроз? Надо знать, что вы защищаете, понимать, как оно работает, зачем его используют, и как его работа может быть нарушена. Тогда и модель угроз сама выстраивается без труда. Так вот чтобы понять модель угроз робота-стриптизерши надо обязательно посетить стриптиз-клуб и понять, ради чего туда ходят люди и что они там делают. Тогда вы поймете, что помимо очевидной истории взлома через беспроводной интерфейс, более реальная история - взлом за счет установки импланта в процессе засовывания купюры за резинку чулков 🤑 (это я со слов друзей знаю, вы не подумайте ничего). Кстати, купюра и может быть таким имплантом!
ЗЫ. Если пост наберет много-много лайков, то возможно в государстве F киберполигона Standoff, а также на его виртуальных аналогах - городах Софтвилл и Хакербург, появится и такая зона для тестирования безопасности. И вы на законных основаниях сможете отпроситься в стриптиз-бар "по работе" 😂
Оказывается, учебники английского языка для специалистов по кибербезу очень популярны у нас в стране (как минимум, с точки зрения их написания). После публикации заметки в выходные подписчик прислал мне еще два учебника, а я потом нашел еще три. Так что есть из чего выбрать, если вам хочется совместить полезное с полезным 😊
Читать полностью…После Джона Уика, потомственного белоруса, от сопредельного государства можно ждать всего, даже кибершпионской группировки «Усатый хвастун» 👨🦰 (MoustachedBouncer), как ее назвала ESET в своем расследовании. Почти как Turla, но не она.
ЗЫ. Может там и «Усатый вышибала», но мне кажется все-таки хвастун.
14 июля в Приморье была осуществлена кибератака, которая вывела из строя электронную систему распространения льготных лекарств 💊 Спустя 6 дней выдача лекарств была восстановлена только в некоторых аптеках. Спустя еще 4 дня (10 дней с момента атаки) электронная система в 8 аптеках все еще была недоступна. С 24-го числа данные больше не обновлялись.
По этой таблице, конечно, есть вопросы. В прежней версии желтым были отмечены аптеки, работа которых была восстановлена, но потом они опять вышли из строя 🏥 Зеленым отмечались полностью восстановившиеся аптеки - сейчас ни одна не помечена зеленым. Администрация сайта либо на ходу поменяла легенду и теперь желтым помечает восстановленные аптеки (а белым так и неработающие), либо эти аптеки до сих не в строю. А может это и вовсе ничего не значит... 💉
В федеральном проекте "Информационная безопасность" нацпроекта "Цифровая экономика" был такой целевой показатель как "Средний срок простоя государственных информационных систем (ГИС) в результате компьютерных атак, часов". Как видно на картинке он должен был уже в следующем году достичь показателя в 1 час и на мой взгляд это была очень хорошая метрика, так как чтобы ее достичь надо было сделать прям дофига всего (это примерно как выйти на багбаунти - тоже надо сделать многое). Приказом Минкомсвязи России от 30.04.2019 №178 даже была разработана методика расчета этого показателя 🧮
Но потом решили заменить этот показатель на новый и совершенно бессмысленный - "Количество ведомственных информационных систем, подключенных к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак". Минцифры, в обосновании этого решения, писало, что собирается отменяемый показатель вручную административными методами и он совершенно не показателен, так как не отражает реальное состояние защищенности ГИС от компьютерных атак. Ну да, число подключенных к ГосСОПКА систем это состояние прям отражает 🤮
ЗЫ. 7-го августа хакеры взломали сайт МосгорБТИ, который до сих пор не восстановлен. Но на защищенность это никак не влияет - всем же теперь пофигу, сколько такие системы простаивают.
А вот и еще неожиданный пример творческой жилки 🟥 - снятый при нашей помощи фильм в сети кинотеатров КАРО 🎬 С какими же креативными и творческими людьми я работаю. Прям сам себе завидую 🥳 Вика крутая!
Читать полностью…К предыдущей истории про админа Роскосмоса, которому дали срок за выход в Интернет с объекта КИИ. Подписчики присылают комментарии;
🚀 Админ поломал кому-то «схематоз» и его за это наказали 👮
🚀 Админу не надо было так рвать жопу - надо было сказать, что ничего не получилось 🤷
🚀 Админ сам дурак, работая в таком месте, должен был понимать, что делает 😰
Интересно, у всех виноват в деле админ. Мало кто говорит, что админ делал свое дело, обеспечивал работоспособность сети в имеющихся условиях. Еще меньше оценивает поведение руководителя админа, который, по сути, сдал своего подчиненного (если ориентироваться на опубликованные материалы). Про следователей молчат все 😕. Грустно... 😔
Совершенно случайно наткнулся в нашей библиотеке (да, у нас в офисе есть большая библиотека 📚) на книжку по киберпанку, которая была издана при участии 🟥 Впереди выходные - есть что почитать 🤓
ЗЫ. Прошел уже год с момента прихода в 🟥, а постоянно сталкиваюсь с чем-то приятно неожиданным и творческим. То музыкальный фестиваль, то выставка картин, то разработанные настолки; теперь вот книга. Творческая компания…
ИБ-продукт может быть один, а вот его применение совсем разное, зависящее от сценариев использования (use case). Кто-то использует средства vulnerability management для выполнения регуляторики, кто-то для поиска и устранения уязвимостей, кто-то для идентификации активов. NDR - это не только поиск угроз в сети, но и поиск аномалий для ИТ, идентификация активов, анализ правил МСЭ, анализ правил сегментации во внутренней инфраструктуре и много чего еще. Хорошие вендора готовят не только документацию к своим продуктам, но и описывают, как можно их продукты использовать в тех или иных сценариях!
Читать полностью…Помните, я делился ссылкой на рабочую тетрадь по уведомлению об утечках персональных данных? Подписчица (Анастасия, спасибо) заметила, что в схемах для плейбука местами отсутствуют стрелки, а где-то не указано их направление. Мы исправились и выложили по той же ссылке новую версию рабочей тетради. Она же опубликована ниже 👇🏻
Читать полностью…ЦБ хочет проверять реальную защищенность банков путем отправки им писем с вредоносным кодом. Хорошая инициатива, но вопросы к процедуре, конечно, есть. Помните 213-й приказ ФСБ про мониторинг защищенности, о котором я уже писал в конце весны? Там была странная конструкция про внезапный мониторинг защищенности без предупреждения, но с предварительным уведомлением. Так и тут. ЦБ планирует внезапные проверки, но при этом адреса для отправки вредоносов собираются с самих банков, которые, получаются, знают, кого будут проверять.
А это превращает всю идею в профанацию. Ну это все равно, что я иду сдавать экзамен, а ответы на вопросы у меня уже в кармане. Никакой неожиданности. Что мешает мне поставить данные адреса на дополнительный мониторинг? Ведь, если бы честными до конца, данная проверка превратится в самоцель (да-да, я снова про закон Гудхарта), а банки будут стремиться не выстроить защиту, а пройти проверку, навесив на 30 адресов e-mail кучу средств защиты, чтобы никто не прошел. 🧙♂️
По уму нельзя спрашивать ни 30, ни даже 1 адрес тех, кого будут проверять. Если уже "формировать условия, приближенные к реальным", то надо применять либо OSINT и пробить эти адреса через соцсети, либо запросить "адреса сотрудников, неработающих в службе ИБ" в других департаментах ЦБ. Если уж сюрприз, то полный, а не заранее подготовленный, когда все все знают и понимают, но делают вид, что все взаправду.
Где вы видели, чтобы реальные хакеры просили у жертв поделиться адресами для атак?..
Странные люди встречаются - пытаются убрать ссылку из каталога российских разработчиков средств защиты информации, который я у себя на сайте разместил. И при этом не имеют отношения к сайтам, ссылки на которые они требуют удалить 🤦♂️
Читать полностью…Вслед за США и многими европейскими странами запрет на китайскую микроэлектроники 🇨🇳 при разработке вооружений ввела и Индия, опасаясь, что она напичкана закладками. И это, конечно, очень интересная история. То, что китайцы ведут свою игру - это не вызывает ни у кого вопросов. И то, что они активно шпионят 👲 через свои изделия - тоже не секрет. Случаев со смартфонами, сетевым оборудованием, банкоматами и т.п. известно не мало. По прошлой жизни помню как на курсах по supply chain атакам нам показывали китайские импланты в сетевое оборудование 🐉. Так что решение Индии явно не случайно. А перед Россией встает вопрос, который был сформулирован Чернышевским еще 150 лет назад, - "Что делать?" ❓ Не использовать китайское железо мы не можем, своего у нас пока нет, а американское нам уже в достаточном количестве не поступает...
ЗЫ. У меня тоже рецепта нет 🤷
Думаю вы слушали о решениях класса Attack Surface Management? По крайней мере я про них уже писал. А о подходе по управлению сопротивляемостью атакам вы слышали? Это достаточно новая история, хотя и состоит из уже известных компонентов. Новизна - в объединении их вместе. А еще мне понравился термин - "сопротивляемость атакам"...
Читать полностью…Так как у народных избранников мозги работают не так как у народа, который их вроде избрал, то они на все смотрят с отрицательной точки зрения и пытаются не стимулировать, а запрещать. Вот и вчера заместитель председателя Госдумы Борис Чернышов (фракция ЛДПР) направил в Минцифры письмо с предложением разработать и внедрить специальный знак "ненадежного оператора" для компаний, допустивших утечку персданных клиентов ❓ По мнению депутата Чернышова, такой знак поможет гражданам нашей великой страны сразу понять, стоит ли доверять компании или нет.
Я хочу напомнить, что в 2011-м году в России уже была идея маркировки операторов персональных данных, но не тех, кто допустил утечку, а тех, кто, наоборот, уделяет должное внимание вопросам кибербеза. На картинке вы видите народный логотип, выигравший в голосовании 4500 человек на специально созданном сайте (до сих пор жив). Почему "пивная пробка" выиграла в голосовании я до сих пор не знаю (хотя 12 лет назад я и задавался этим вопросом), но сама идея не несла негативной коннотации, а была позитивной. Должны были быть разработаны правила выдачи и отзыва логотипа, вестись реестр добросовестных операторов ПДн и много чего еще полезного. Но не взлетело 😭 Вот о чем стоило бы подумать депутатам, а то и умеют только, что запрещать да блокировать.
ЗЫ. Картинка ☝️ не фейк - это именно тот логотип, который выиграл "народное голосование".
Американская NCC Group сократила 43 своих пентестеров (30% своей североамериканской команды). Но пока официально это не анонсировала. А вот HackerOne официально сообщила о сокращении 12% своего штата. Непросто американцам сейчас 😩. Однако это не помешало HackerOne выпустить неплохое исследование, отвечающее на множество интересных вопросов относительно легальных хакеров и багхантеров, среди которых:
1️⃣ Почему легальные хакеры нашли в прошлом году 65 тысяч уязвимостей, а CVE зарегистрировано только 25 тысяч?
2️⃣ Какие инструменты используют белые хакеры и багхантеры?
3️⃣ В чем мотивация багхантеров и почему они должны пойти искать уязвимости у вас на сайте или иных ИТ-активах?
4️⃣ Почему 50% найденных уязвимостей хакеры не раскрывают?
5️⃣ Какие самые популярные точки приложения сил легальных хакеров и багхантеров?
Попробовал написать об этом в блоге.
Приходите вы в самый-самый-самый банк страны. Менеджер (или менеджерша, или менеджерица?), вся такая вежливая, проводит к своему столу и предлагает установить мобильное приложение подсанкционного банка к вам на устройство 👨💻. И все бы ничего, но вот и пароль от самого лэптопа, и пароль от AppleID записаны на приклеенной к лэптопу же бумажке 👨💻. Правда, пароль длинный, со спецсимволами, все как полагается! 🧑💻 Но что-то все-таки не то в таком подходе...
Читать полностью…