5 лет прошло с этой презентации на RSAC - проблема стала только острее. Особенно по мере того, как национальная безопасность стала активно вмешиваться в бизнес-вопросы по обе стороны океана
Читать полностью…🙅 Продолжаем рассказывать о том, как отсутствие результативной кибербезопасности приводило к реализации недопустимых событий.
Одним из универсальных событий, актуальных практически для любой организации, является потеря денег. Но недопустимой такая потеря становится только при достаточно крупных суммах.
При этом причины потери могут быть разными: прямое хищение, компенсации пострадавшим от атаки клиентам, штраф за несоблюдение требований, затраты на восстановительные работы.
👀 Сегодня мы рассмотрим несколько примеров этого недопустимого события, произошедшего в разных странах. Помните, что введение оборотных штрафов за утечки персональных данных в России может пополнить этот список и отечественными именами.
#PositiveTechnologies
Не знаю, насколько вы всерьез отнеслись к новости ФСБ о том, что Apple работает на пару с американскими спецслужбами, и проверили ли вы свой iPhone с помощью утилиты, разработанной Лабораторией Касперского. Я не сделал ни того, ни другого. Но если все-таки данная новость подтолкнула вас к пересмотру модели угроз для мобильных устройств 📵, используемых в вашей организации, то рекомендую обратить внимание на свежий, вышедший в мае, документ NIST SP 800-124 Rev.2 "Guidelines for Managing the Security of Mobile Devices in the Enterprise", которая описывает не только модель угроз для личных и служебных мобильных устройств (по сравнению с прошлой версией от 2013-го года их число выросло до 17), но и стратегию их защиты, включая и централизованное управление 👨💻
В новой версии учтены и угрозы цепочке поставок, и утечки данных через синхронизацию, и Shadow IT, и даже нарушение прайваси пользователя 📲. Когда будете адаптировать документ под себя учитывайте и чисто российскую специфику - ГЛОНАСС вместо GPS, отказ в обслуживании за счет GPS Jamming 🛰, а также внедрение отечественных приложений в рамках законодательства. Последнее, как и наличие закладок в китайских поделках 🇨🇳, конечно, укладывается в угрозы supply chain, но я бы их рассматривал все-таки отдельно, так как борьба с ними требует немного иных подходов, отличающихся от поставки зараженного приложения от обычного, непривилегированного поставщика.
Была в советские времена такая форма поощрения как похлопывание по плечу. Дешево и сердито. Где-то даже сейчас продолжает использоваться. Но в продвинутых сообществах давно перешли на что-то более осязаемое 🏆 Такой, например, стала Positive Awards, которую в первый раз вручали в этом году на PHDays за вклад в развитие решений 🟥. У сообщества RUSCADASEC свой знак отличия, вручаемый уже несколько лет в знак признания поддержки и вклада в развитие сообщества RUSCADASEC, вклада в развитие промышленной кибербезопасности в России и в мире! И вот появилась новая награда 🏅 - на этот раз от компании Awillix и вручается она пентестерам.
Форма наград у всех разная (coin у RUSCADASEC, статуэтка у 🟥, техника Apple у Awillix), а вот выбор победителей у всех схожий - группа экспертов выбирает достойных большинством голосов. Единственное, что меня смущает в новой премии Pentest Award - это доказательство своих заслуг и своего опыта. Судя по описанию допускается анонимное 🥷 выставление себя на премию, а описание своих проектов оценивается голословно (а многие проекты у пентестеров и вовсе под NDA идут). То есть оценка более субъективная, чем в остальных случаях. А в остальном, больше премий, хороших и разных... 🎖
ЗЫ. У ФСТЭК тоже есть своя награда - размещение в рейтинге исследователей.
Все хорошо в этих рекомендациях, кроме одного, посыла, что вендор все, что мог сделал, а больше ничего. Поговорку про спасение утопающих, которое дело рук самих утопающих, напоминать не буду. Но почему-то Microsoft может технически и юридически заставить пользователей обновляться. А позиция "сам дурак" не выглядит выигрышной 😰
Читать полностью…5-го июня проукраинские хакеры взломали российскую телекомпанию МИР и разместили в эфире фейковое обращение президента Путина, "вводящего военное положение и объявляющего полную мобилизацию". 12 июня пророссийские хакеры взломали украинский телеканал 1+1 и разместили в эфире фейковое обращение президента Зеленского, "извиняющегося перед жителями Донбасса".
Мне это навело на два размышления:
1️⃣ Раньше, лет 15 назад, когда у нас действовали требования по защите ключевых систем информационной инфраструктуры (КСИИ), в их список входили и системы теле- и радиовещания, которые обязаны были выполнять эти требования ФСТЭК. Когда готовился ФЗ-187 почему-то в список КИИ телерадиовещание не включили (как и ряд других сфер, входящих в КСИИ). И вот мы пожинаем плоды этого. И, как мне кажется, не за горами появление обязательных требований по ИБ к СМИ. Судя по количеству взломов отечественных радиостанций и телекомпаний, это вполне ожидаемо.
2️⃣ 96% всех дипфейков применяются сегодня в порнографическом контенте. Но думаю, что скоро это соотношение чуть изменится и порно придется потесниться - политические дипфейки, а затем и дипфейки в руках киберпреступников, будут становиться более популярными. И если с политическими дипфейками пусть борются соответствующие службы, то что делать с дипфейками против компаний или обычных людей? Их стоимость сегодня не зашкаливающая - от 75$ за что-то простенькое (хотя можно и на обычном домашнем компе поиграться, если есть желание). Что характерно, датасеты в отношении интересных для создания дипфейков лиц дело обстоит очень просто - в Интернет полно аудио- и видео-интервью, что дает возможность делать очень качественные подделки.
Решил тут подсобрать в одной заметке различные обзорные исследования об использовании искусственного интеллекта для реализации различных угроз в области кибербеза - фишинг, дипфейки, поиск уязвимостей, профилирование жертв и т.п. Ничего нового в целом, но для обзора пойдет.
Читать полностью…Когда вы идете в горы и достигаете перевала, то начинающие туристы (это альпинисты берут вершины) расслабляются и считают, что они достигли главного, но это не так. Как раз самое главное начинается потом - спуск, вторая половина пути. Именно на ней многие совершают ошибки, подворачивают или ломают себе ноги, а то и не успевают до захода солнца спуститься в долину. К чему эта аналогия? 🧗
Достиг я тут на днях перевала своей жизни, прошел половину пути (ну если считать, что сотка - это полный путь, хотя хотелось бы раза в полтора больше). И вроде как сделал немало, но... Сколько всего я не сделал... Не знаю как вы, а я каждый Новый год, сжигая бумажку с желаниями на ближайшие 365 дней и запивая ее шампанским (и все это за 12 ударов курантов), ставлю себе дофига планов, но, как это часто бывает, часть из них я не реализую. Не потому что звезды так сложились, а потому что сам раздолбай. А местами страшно за что-то браться, потому что кажется, что не получится. А я же не могу, почивая на лаврах, косячить. Не солидно. Поэтому и откладываю все время то, что себе загадываю. Например, книга. Вы знаете, сколько у меня книг было начато за последние годы? Не буду пугать вас цифрами, но это число точно больше пальцев на одной руке. 😨
В общем, посидев несколько деньков на своем жизненном перевале, решил не заниматься самолюбованием, а что-нибудь пообещать публично, чтобы потом было уже некуда отступать (сам-то себе я много чего обещал, но сам же себе и прощал данные обещания). Почеленджу сам себя. Итак, через 9 месяцев (12 марта) плюс-минус два месяца представлю новую книгу ✍️ Осталось только решить с темой, но это я запилю опросик отдельный. Пусть решит жребий 😊 Да, книгу выложу в свободный доступ.
Ну что, добавим в жизнь красок 🥳
Все вышенаписанное - мой опыт; человека, который делает то, что ему нравится и не гонится за цифрами просмотров, подписчиков и др. ✍️
Можно делать телеграм-канал по разнарядке (таких большинство) и они в массе своей неинтересны. Можно писать туда раз в полгода (есть у меня таких парочку в подписке) и это может быть событием, но это другая история (это точно не назовешь «вести канал»). Можно быстро стартануть и через месяц прекратить, так как это труд, а многие ленятся. 🦥 Можно купить готовый ИБ-канал (есть и такие примеры - мне предлагали и мой канал продать и чужой купить), а можно нагонять туда ботов или лить трафик за бартер или деньги. Неважно! 🤔
Важно только то, зачем канал вам, как его создателю? Потешить самолюбие, исполнить распоряжение рукодства, заработать денег 🤑, быть как все, делиться интересным для вас?..
Подводя итоги... 10 раз подумайте 🗜, стоит ли ввязываться в историю со своим каналом. Начать-то его вы начнете, но вот поддерживать в течение длительного времени - вот где основная работа кроется 🏋️♂️
ЗЫ. Но повторюсь, все это сугубо IMHO
Я тут на днях написал про органический рост читателей и так сложилось, что пришло несколько человек и спросили, что надо сделать, чтобы вести свой Телеграм-канал и он был популярным. Ну что, могу ответить, хотя и не претендую на истину. Все-таки я не настоящий сварщик SMMщик.
Я знаю всего два способа раскрутить и удерживать внимание читателей своего канала. Да, есть возможность нагнать пользователей, купить ботов, использовать иные неорганические методы расширения абонентской базы 🤑. Картинка 3, как мне кажется, иллюстрирует такие всплески, которые очень сложно объяснить органикой (начинается сокращение пользовательской базы и чтобы рекламодатели не разбежались, закупаются новые боты). Да, бывают ситуации, когда на каком-то мероприятии канал прорекламировали и к вам придет человек 200-300, но не несколько тысяч - в жизни так не бывает; по крайней мере на нашем рынке.
Вторая картинка как раз иллюстрирует то, что бывает, когда нагнанные пользователи понимают, что их заманили и развели, - они покидают канал. Постоянно растущая аудитория выглядит так как на первой картинке - это как раз мой канал (рост был всегда, но всплеск произошел 24 февраля прошлого года и с тех пор я стал более активно что-то писать, что сказалось и на росте аудитории). Но вернемся к способам получения и удержания аудитории.
Продолжение следует...
Ну не знаю… Я 20-тисимвольный всегда с первого раза ввожу. Может пальцы не той системы?
Читать полностью…Но как же меня бесит, когда российские сайты в области ИБ блокируют доступ с иностранных IP-адресов. Ну ладно, иностранцы российские IP блочат - пропаганда и бренд "русских хакеров" делают свое дело. Ну ладно, Роскомнадзор блочит зарубежные домены. Ну ладно российские ИБ-регуляторы иногда рекомендуют блочить недружественные адреса. Но зачем организаторы российских ИБ-конференций или частные ИБ-компании запрещают доступ к своим сайтам из-за рубежа, я не понимаю 👎
Читать полностью…Редакция CISOCLUB посетила международный фестиваль по кибербезопасности Positive Hack Days 12 и пообщалась с Алексеем Лукацким из Positive Technologies про оценку эффективности систем информационной безопасности.
Вопросы:
0:22 Какие метрики или KPI могут использоваться для оценки эффективности системы информационной безопасности в бизнесе?
1:49 Как бизнес может оценивать и анализировать эффективность своих текущих решений по информационной безопасности?
3:30 В своем Telegram-канале вы проводили опросы аудитории, поделитесь результатами и подведите итоги
Спикер:
Алексей Лукацкий
Бизнес-консультант по информационной безопасности, Positive Technologies
Ну что, запущенный 12-го числа опрос дал неожиданные для меня результаты. Я думал, что с большим отрывом будет лидировать "Обнаружение угроз". Ну или она будет делить первые два места с "Построением и проектированием SOC", но оказалось, что они как раз не попали на первые два места, уступив их "Моделированию угроз" и... 🥁🎺 фанфары, "Измерению ИБ".
С другой стороны, это приятно, что читателей интересует результативный кибербез, метрики, оценки эффективности и вот этот вот все. Значит сдуем пыль с этой рукописи и возьмем ее в активную проработку. Раз уж назвался груздем, то надо лезть в кузов. К 12 марта (плюс-минус пару месяцев) должен буду книгу выложить в открытый доступ. Ну и буду понемногу выкладывать новости по статусу работы над книгой ✍️
Главное Минцифре РФ не говорить, что у них есть аккредитация на поставку средств защиты, а то может неудобно получиться. Ну и с Министерством госуправления тоже неудобняк. Такого в природе тоже не существует. Есть такие региональные министерства, обычно с приставкой "информационных технологий и связи", но это уже не так солидно выглядит.
ЗЫ. Это не у Минцифры такое, а на одном из мероприятий участник так подписался
На этой неделе американское военное ведомство обновило свою стратегию в области киберпространства (2023 DoD Cyber Strategy). Секретный документ, направленный в американский Сенат, разработан во исполнение стратегий национальной безопасности и обороны 2022-го года, а также стратегии национальной кибербезопасности, выпущенной уже в этом году.
Новая стратегия должна стать ответом на рост кибернаступательных возможностей Китая и России 🇷🇺, а также помочь отражать атаки Северной Кореи, Ирана и иных экстремистских организаций, включая и транснациональные преступные группировки.
Особых деталей в новости Пентагона не приведено (что и понятно), но говорится о том, что пора переходить от оборонительной тактики к наступательной и быть более проактивными. Когда это, интересно, американцы придерживались только оборонительной стратегии? Хотя, с другой стороны, это АНБ и ЦРУ активно действовали за пределами страны, как мы помним из разоблачений Сноудена и последующих. Теперь к ним присоединяется и МинОбороны, которое будет также учить своих сателлитов партнеров как Родину любить проводить спецоперации в киберпространстве. Это в свою очередь является ответом на недавние обвинения американцев со стороны Китая, который утверждает, что США хотят установить мировую кибергегемонию и надо положить этому конец и что все прогрессивные страны должны объединиться как один и идти нога в ногу в светлое будущее (видимо, с Китаем в руководящей роли). США 🇺🇸 хотят тоже светлого будущего, но такого, как видится им, а не Поднебесной 🇨🇳.
В целом, надо признать, что мы начинаем жить в совершенно новую эпоху, в которой роль кибербеза возрастает многократно; что дает как преимущества и перспективы, так и вводит новые ограничения. Но точно можно утверждать, скучно не будет!
Год назад, когда FIRST выпустил новую версию протокола TLP, я задавался вопросом, перейдет ли НКЦКИ на него или нет? Теперь впору задавать тот же вопрос, но уже применительно к ФСТЭК. FIRST, снова он, анонсировал новую версию системы классификации и приоритизации уязвимостей CVSS, которая используется в том числе и в нашем БДУ, а также в методичках регулятора, который уделяет немало внимания вопросам оценки защищенности. К слову, НКЦКИ тоже использует CVSS при публикации своих бюллетеней по уязвимостям. Но вернемся к CVSS 4.0.
Новая система по задумке авторов должна стать более практичной и ориентированной на результат. В частности, CVSS 4.0 должна учитывать, насколько легко проэксплуатировать уязвимость на практике, какие условия для этого должны быть, требуется ли взаимодействие с пользователем или нет, можно ли автоматизировать эксплуатации уязвимости и т.п. Также 4-я версия, которую должны официально опубликовать в 4-м квартале этого года, стала больше учитывать не только ИТ-инфраструктуру, но и системы промышленной автоматизации (АСУ ТП). ФСТЭК, похоже, придется в БДУ учитывать помимо CVSS 2.0 и 3.0 еще и 4.0 (или отказываться от 2.0).
ЗЫ. Все-таки интересно, почему ФСТЭК продолжает использовать CVSS, но не хочет перейти на матрицу ATT&CK? CVE и CWE от MITRE ФСТЭК же использует в БДУ? Мне кажется, тогда было бы проще всем - и специалистам, и регуляторам.
«1С-Битрикс» выпустил рекомендации по безопасности сайтов
Продолжение истории с Битриксом. Компания отреагировала на повышенное внимание к CMS, через которую осуществляются атаки на многие российские сайты, и выпустила первый за несколько лет пресс-релиз на тему безопасности. Если до этого позиция компании ограничивалась комментариями в СМИ в духе: «Мы все обновления давно выпустили, надо вовремя обновляться», — то теперь она гораздо более подробно прокомментировала ситуацию и дала рекомендации по обеспечению безопасности сайтов.
Основной смысл анализа: проблема в том, что компании по многу лет не обновляют сайты, в одном расследованном случае аж с 2018 года. Принудительное обновление вендором невозможно. А информирование клиенты игнорируют.
«Ваш сайт может находиться в зоне риска прямо сейчас. Неважно, кто разработчик ПО вашего веб-проекта — российский или зарубежный вендор. Популярный или малоизвестный бренд. Системный или самописный код. Для хакеров это не имеет значения.
CMS от 1С-Битрикс упоминается в части инцидентов. Это статистически логично. Доля продукта на рынке коммерческих CMS — более 50%.
Но в чем причина большинства взломов?
Ключ к заражению вашего веб-проекта — игнорирование обновлений компонентов сайта и серверного ПО. Большинство компаний не обновляют свои сайты от нескольких месяцев до нескольких лет.
Мы следим за всеми известными нам инцидентами. Мы закончили расследование двух громких случаев взлома. Обе компании — крупнейшие игроки федерального масштаба. Один сайт не обновлялся с 2020 года. Второй — с 2018 года, ни разу с момента создания!
Хакеры используют уязвимости в древних версиях системы для установки троянов и закладок. Но активируют их не сразу. Компании даже не знают, что в их системе кто-то может присутствовать. Годами.
Цели черного рынка взломов — перепродажа доступов, шантаж владельцев, кибершпионаж. Это огромная и прибыльная индустрия.
Важно понимать. Публичный слив данных сайта компании — последняя возможность хакера заработать на полностью «выпотрошенном» проекте.
Разработчики CMS «1С-Битрикс: Управление сайтом» выпустили бесплатное обновление больше года назад. Также был запущен сервис для проверки лицензии на актуальность. Все компании в зоне риска были проинформированы.
К сожалению, большинство владельцев сайтов проигнорировали эту информацию. Не стоит повторять их путь — никто не обновит ваш сайт кроме вас.
Вендор не может принудительно обновить сайт всех клиентов.
Это невозможно. Ни технически, ни юридически. Доступ есть только у администратора на стороне владельца».
Дальше идут ключевые рекомендации, которые предлагается отправить IT-службам с пометкой срочно. Так что обратите внимание, если у вас сайт на Битриксе.
В общем, такое предупреждение — правильный шаг, можно только приветствовать. Странно только, что пресс-релиз вышел так нескоро, наверно, он бы мог помочь донести информацию до клиентов.
Помните мою заметку про перспективы развития ИБ до 2040-го года? Один из описанных сценариев - балканизация, то есть разделение мира на несколько контролируемых зон со своим регулированием внутри каждой. Предполагалось, что англосаксы выделятся в один сегмент, подтянув к себе ряд сателлитов в виде европейских стран. Но, возможно, что и внутри больших блоков будут свои анклавы. Вот, например, англичане с месяц назад анонсировали вступающий через год режим обеспечения минимального уровня ИБ для всех устройств, имеющих подключение к Интернет.
Идея любителей патичасового чая практична и не связана ни с какими попытками ограничить продукты по "шпионскому" или "российскому" следу. Новая нормативка требует от всех производителей новых устройств, начиная от смартфонов и умных телевизоров и заканчивая умными автомобилями и унитазами, выполнять базовый минимум по кибербезу:
1️⃣ Запрет дефолтовых и легко угадываемых паролей. Интересно, что производителям в этом случае придется заставить пользователей выбирать пароли при первом же использовании; причем выбирать так, чтобы они не были легко подбираемы. Само по себе интересное решение и заставит поднапрячься многих вендоров консьюмерской техники.
2️⃣ Обеспечение ясной и понятной коммуникации о том, как долго будут выпускаться обновления безопасности?
3️⃣ Обязательное размещение и легко находимое на сайте производителя пояснение о длительности действия поддержки с точки зрения безопасности.
4️⃣ Опубликование производителем контактов относительно уведомления об обнаруживаемых уязвимостях.
В помощь производителям NCSC (английская ФСТЭК), наряду со своими американскими, австралийскими, канадскими, немецкими, голландскими и новозеландскими коллегами, выпустили небольшое, всего на 15 страниц, руководство "Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Security-by-Design and -Default" о том, какие принципы должны закладываться при разработке ПО.
Я уже писал недавно о том, что Роскомнадзор все активнее залезает на чужую поляну ИБ (так, глядь, они и за техническую защиту персданных начнут отвечать). И вот на прошлой неделе они на базе ГРЧЦ провели заседание НТС, на котором обсуждали планы по обеспечению ИБ российских систем и ресурсов. И вот что нас ждет, возможно даже в этом году:
1️⃣ Национальная система защита от DDoS-атак. Вероятно, на базе ТСПУ.
2️⃣ Система верификации страновой принадлежности сетевых адресов. Теперь вместо поиска по чатикам актуального списка GeoIP эту задачу возьмет на себя РКН. Но пока непонятно, как он это реализует? Будет ли выдавать всем файлик с диапазонами, привязанными к странам, или будет отдавать эту информацию по API? А может и вовсе ограничит доступ к этой информации только для госорганов и госкорпораций.
3️⃣ Самое интересное, это третий компонент, - доверенная система сканирования российского IP-пространства в поисках уязвимостей (и блокирования зарубежных сканеров типа Shodan). Я про эту идею уже тоже писал, просто теперь стало понятно, что это будет делаться на базе ЦМУ. Интересно, как эта история соотносится с новым приказом ФСБ, согласно которому 8-й Центр будет осуществлять мониторинг защищенности и искать уязвимости в публичных сервисах организаций, попавших под действие 250-го Указа.
Если с первыми двумя историями РКН ни с кем не конкурирует, то вот в третьей части, конечно, возникают вопросы. да и вообще, интересная история закручивается. Посмотрим, что получится в итоге. Пока выглядит все достаточно интересно; если не вспоминать про то, как РКН блокировал Telegram.
Не знаю, смотрели ли вы анимационный фильм "Рио", а если смотрели, то обращали ли вы внимание на заставку фильма, где попугай ара вводит пароль главной героине на ее рабочем компьютере 🦜
Сначала выглядит забавно, потом понимаешь, как низко пала героиня с точки зрения кибербеза, если она научила вводить пароль попугая. А ведь чтобы научить попугая делать что-то такое, нужно не менее 5-6 месяцев постоянных тренировок. При этом это одноразовая история - научить другой последовательности клавиш попугая уже нельзя (с разноцветными карточками или "кубиками" ситуация проще - цвета и форму попугаи различают). То есть получается, что мало того, что у героиня пароль семисимвольный, так она и не меняет его годами 🧑💻 И ладно бы у нее MFA была на вход в компьютер, но так и этого тоже нет. Ай-ай-ай... Чему нас и наших детей учит анимационная студия BlueSly Studios... Небезопасному поведению в киберпространстве. Нехорошо 👎
Вроде как все уже знают (я надеюсь), что не стоит флешку, найденную на парковке у офиса втыкать в рабочий компьютер, даже если на ней написано "фото с корпоратива". Но как вы себя поведете, если вам пришлют флешку в красивой коробочке с сопровождающим письмом от вашего партнера с заверениями долгосрочной и крепкой дружбы и предложением рассмотреть вариант договора на новый интересный проект, который сделает вас обоих богатыми? Вы втыкаете эту флешку в свой компьютер, а там...
А там, после того, как флешка проверится вашим SOCом, вот такой вот сюрприз, направленный на повышение осведомленности ваших сотрудников 😊 Будьте бдительны! Помните, что речь может идти не только о флешках, но и о любых носителях. Например, известны случаи получения жертвами фальшивых криптокошельков, что приводило к краже криптовалют.
ЗЫ. Спасибо 🟥 ESC за проверку 😊
Вариант №1. Вы должны жить тем, о чем пишете в канале. То есть это может быть ваша любимая работа или хобби, но вы должны любить его и тогда вам точно будет о чем писать; и писать интересно. Читатели сразу видят фальшь и проголосуют "ногами", если им будет неинтересно.
Вариант №2. Знаете поговорку "во время золотой лихорадки продавай лопаты"? Она очень точно отражает второй сценарий. Бессмысленно делать телеграм-канал о лопатах - он нафиг никому не нужен. Делайте канал о золоте, которое можно найти с помощью лопаты. Пишите не о себе, а о пользователях и их нуждах, мечтах и желаниях. Подпишусь ли я на канал учебного центра, если он будет постить там рекламу своих курсов? Нет. А если он будет рассказывать о том, кем можно стать, пройдя курсы, да еще и приводить истории чужого успеха, то я подпишусь, чтобы стать таким же успешным.
В первом сценарии вам не подойдет SMMщик - только вы сами сможете писать о своей страсти. Ровно по этой причине я веду свой канал сам, хотя никто в это не верит ✍️ Ни один нанятый сотрудник не будет писать так же как я. Кстати, по той же причине я не очень верю в корпоративные, обезличенные каналы. Их ведущие обычно перестраховываются на все. То слово "нахер" не захотят писать, то про депутатов лишнего не скажут, то военную операцию будут избегать всеми правдами и неправдами. Но это как в детской песенке "жопа есть, а слова нет". Это чувствуется и у корпоративных каналов в ИБ редко бывает много подписчиков.
Во втором сценарии можно нанять и SMMщика. Только нанимая его проверьте сначала его соцсети - как часто и о чем он пишет. Пройти двухнедельные курсы - это одно, а вот постоянно писать у себя в канале/странице/сторис - это совсем другое. Если ваш "SMMщик" - интроверт и ничего не пишет, то подумайте 10 раз, нужен ли он вам. У вас он тоже ничего писать не будет. Или будет вымучивать из себя тексты, а люди видят фальшь и скуку сразу. Ну или он просто будет репостить пресс-релизы в формат корткого твита. Тоже дело, конечно, но…
Окончание следует…
И хотя идея bug bounty для искусственного интеллекта выглядит достаточно интересно, особенно если роль багхантеров будет тоже выполнять искуственный интеллект (идеи Лукьяненко и Гиббсона в реале), меня немного смущает, что под bug bounty понимают программное обеспечение...
ЗЫ. Google уже расширил свою программу bug bounty за счет тематики искусственного интеллекта.
В 2020-м году сообщество по кибербезопасности АСУ ТП RUSCADASEC запланировало провести первую конференцию, но вмешался COVID-19 и конференция не состоялась. Но коронавирус был побежден и идея провести конференцию вновь захватила умы. И вот, 11 июля в Москве пройдет необычная конференция - RUSCADASEC CONF. В отличие от привычных всем конференций, эта пройдёт без стендов, рекламы и надуманных презентаций в стиле «как N раз упомянуть продукт под видом экспертного доклада». Программу готовят сами участники сообщества, голосуют за темы, выбирают форматы. Спонсорских пакетов нет и не будет. Все, кто решили поддержать конференцию, делают это на общественных началах.
Приходите, всем будут рады на конференции.
Я, конечно, не возьмусь утверждать, что это первый случай использования дипфейков, но он все равно заслуживает внимания. На картинке справа мы видим изображения "великого Ильича", которое на самом деле писалось не с вождя мирового пролетариата, а с адвоката Иосифа Славкина, который, как считалось, был очень похож на Ленина. Но увы... Надежда Константиновна Крупская, соратница и жена вождя, легко распознала подделку и возмутилась, что на портретах изображают не суженого (на картинке слева). Правда произоошло это не сразу, а спустя полтора десятка лет после смерти вождя. А до этого момента Славкин неплохо зарабатывал на этих, отчасти легальных (художники знали про натурщика), отчасти нет (власти молодой республики не догадывались о таком очковтирательстве), дипфейках.
Читать полностью…Екатеринбургская реклама задается сакраментальным вопросом... И правда, что лучше, компания ИБ, которую взломали, или та, которую еще нет? У которой уже есть опыт реального бега с горящей жопой и криками "все пропало, нам больше не будут доверять клиенты" 😭 расследования инцидента или у той, которая уверена в своих бастионах?
Читать полностью…Достаточно часто, говоря о том, что на ИБ надо смотреть с точки зрения бизнеса, я слышу возражение: «Ну мы же не владельцы бизнеса - у нас его нет. Как мы можем понять, что нужно бизнесменам?» А все просто на самом деле. Попробуйте оценить свои эмоции и мысли, когда вам надо потратиться на что-то, что имеет отношение к вашей личной безопасности и защите. Это может быть страхование жизни, ДМС (когда вы платите за него сами), КАСКО или вакцинация перед поездкой в Танзанию в платной клинике. И вы сразу поймете, что чувствует топ-менеджер, который «сцуко, опять не дал денег на ИБ».
Я вот на днях оплачивал ежегодное обслуживание газового котла в загородном доме. И поверьте, я в курсе и про важность этого вопроса, и про вероятность пожаров, и про возможные сбои в работе котла или утечки газа. Но жаба душила все равно. И уговорил я себя не потому, что я за безопасность, а потому что эти траты укладывались в мои границы риск-аппетита. Вот и все; банально. Я готов был потратить эти деньги и даже готов к тому, что за год я не воспользуюсь услугами планового техосмотра котла и аварийных выездов (за почти 10 лет аварий не было ни одной).
Вот и с бизнесом также. Работает совсем иная мотивация, отличная от классических «это позволит нам бороться с угрозами» или «мы снизим риски» или «таковы требования регуляторов». Я так думаю 😎 Я же не бизнесмен 🧐
Но важно дополнить - я все-таки в голове держу недопустимые для меня вещи, например, взрыв газа или разморозка труб зимой из-за остановшегося котла. И мне по барабану на вероятность этого события. И ущерб я оцениваю на понятийном уровне, а не с калькулятором в руках. А потом уже для этого недопустимого я оценивают риск-аппетит 🤑
ЗЫ. Прислушивайтесь к себе и регулярно задавайте самому себе вопрос: «А сам бы купил у себя с такой аргументацией, которую я планирую использовать?» Отрезвляет 😠