Очередной образчик кейса "фейковый босс" 🥷 Сначала вам пишет якобы начальник, который сообщает, что надо помочь ФСБ расследовать важное дело. А потом к вам приходит этот самый сотрудник 👮 и, конечно, для доказательства своей личины, показывает приказ с девятизначным номером, подписанный "посредством зашифрованного Канала Связи". Но что-то выдавало в письме то, что это фейк 😊 Но я не буду, как в банках, показывать 10 признаков фальшивых купюр. А то "плохие парни" быстро научатся клепать "более настоящие" приказы... 👮♀️
Читать полностью…Новые технологии — новые способы развода
Мошенники сейчас активно используют искусственный интеллект в своих целях. Уже можно подделать голос человека и сгененрировать от его имени голосовое сообщение, чтобы выманить деньги от его знакомых.
VIce нашёл скамеров и предложил им составить список новых схем с применением технологий. Для понимания, вот вам портрет одного из «источников»: бухгалтер из Лондона, который любит заниматься интернет-мошенничеством «на фрилансе». А список вышел такой:
1️⃣ Голосовой чат-бот под видом врача
Один источник рассказал, что он с товарищами создал чат-бота, которому «скормил» сотни часов лекций, интервью и подкастов известных психотерапевтов. А затем стал искать реальных клиентов, создав вымышленному психотерапевту лендинг с поддельными рекомендациями и наградами. Терапевт принимал только аудиозвонки — но многих клиентов это не останавливало.
2️⃣ Продажа несуществующих товаров
Другой мошенник генерирует с помощью ИИ фотореалистичные изображения товаров и выставляет их на платформах объявлений с предоплатой. По его словам, это различные бытовые вещи: ИИ генерирует ему детскую кровать в стиле звёздных войн, причудливую мебель с обивкой, на которой изображены коты, и прочие фантазийные вещи. В каких-то случаях вещь уходит клиенту — правда совсем не та, что на картинке. В других — не отправляется совсем ничего.
3️⃣ Бесплатный Wi-Fi в мышеловке
Фейковые сети Wi-Fi популярны как никогда, особенно в туристических местах. Мошенники создают сеть Wi-Fi без пароля, маскируют её под сеть близлежащего Starbucks — и доступ к конфиденциальной информации у них в руках.
4️⃣ Оплата по QR
Мы уже так привыкли к QR-кодам — расплачиваться в магазинах и кафе, переводить чаевые, читать дополнительную информацию о продуктах и услугах. Так вот, мошенники находят способ незаметно приклеить изображение своего QR-кода рядом с кассой, паркоматом, на заправке. Фишинговый сайт запросит данные об оплате — и вуаля.
5️⃣ Виртуальные экскурсии
Ещё в пандемию особой популярностью стали пользоваться различные онлайн-туры, чтобы не выходя из дома погулять по древним достопримечательностям и музеям. Один из мошенников создал сайт, который предлагает подобное за небольшую плату. Экскурсии там правда есть — найденные в интернете рандомные лекции об известных местах. Получается своеобразный win-win: покупатель получил какую-никакую экскурсию, а мошенник — данные его банковской карты.
Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных со сбоем после обновления ПО CrowdStrike
Читать полностью…Тут иногда возникает вопрос: "А зачем вообще фокусироваться на чужих отчетах со статистикой по ИБ?" А все просто. 97% всех ИБшников не всегда уверены в своих решениях и хотят убедиться, что они что-то делают правильно, что так делают и другие. Поэтому статистика - это некий ориентир 📌
Если вы попадаете "в большинство", то можно не переживать - большинство не может ошибаться (на самом деле может) 🥇 Если в меньшинство, то не надо сразу думать, что вы аутсайдер; хотя это и возможно. Но может вы просто консерватор и пока еще не делаете всё, как все. А может вы в числе инноваторов и делаете что-то, что станет мейнстримом попозже. Вспомните кривую инноваций (она же кривая принятия, она же кривая Роджерса) - она хорошо показывает эту идею 💡
Поэтому я и уделил столько внимания отчетам SANS по SOCам и автоматизации последние пару дней. Кстати, если вы просто смотрели на эти циферки 📈 и мои комментарии к ним в моем канале, то вы обычное большинство. Если вы хотите почитать сами отчеты, а "их есть у меня", - вы ранние последователи и хотите попробовать что-то, чего еще не делает большинство 😇 Ну а если вы инноватор, то сдам вам ссылку (https://drive.google.com/drive/folders/1dx3hblisYUno9_u1CmS-2jlaSGbBFZyP) на все сырые данные по отчету по SOCам, которые вы можете загрузить в Jupiter Notebook и сами поработать с ними, провести анализ, поискать взаимозависимости и т.п. 🤓
Т-Банк открыл доступ к своей фрод-рулетке «Ловушка для мошенников» 📞 Хотите развести разводил? Устали играть в сервис общения с вымогателями ChatGPT? Попробуйте пообщаться с живыми преступниками 📞 Добавь адреналина, отточи разговорные навыки, разбавь серые будни…
ЗЫ. Надеюсь сайт настоящий 🎭
В Cisco'вском чатике пару дней назад зашел разговор о NGFW 🤬 и двое коллег, вдруг, поделились тем, что их компании скоро выпускают NGFW, которые "прям огонь" и всех порвут на рынке. Интересно, что в сегодняшнем списке TAdviser этих вендоров нет, хотя сами компании прям на слуху 🤨
А вчера имел беседу, в рамках которой прозвучала мысль, что надо по примеру Минцифры, которое официально поддерживает только 3️⃣ операционные системы, и ИБ-регуляторам (или тому же Минцифры) поддержать только три NGFW из 40 создаваемых в России, а остальные и запретить можно, чтобы не распылять ресурсы разработчиков на проекты, которые никто не поддерживает 🤔 Интересная идея. Полдня думал, кто же может претендовать на оставшиеся 2 позиции поддерживаемых государством NGFW?.. Пока нет явных кандидатов ⏳
Но идея ограничить число разрабатываемых средств защиты каким-то вменяемым числом не дает мне покоя... Если она пройдет на уровне Григоренко, то жить станет веселее... Всем 😵💫
Больше инструментов в SOCе - больше ресурсов требуется на анализ и реагирования, что приводит к задержкам в реакции на действия хакеров ⏳ Конечно, хочется иметь много всяких игрушек внутри SOCа, но это и имеет свою обратную сторону, повышая и затраты на внедрение и эксплуатацию, и требования к персоналу, и требования к необходимости автоматизации, и... что уж греха таить, вероятность пропуска инцидента и реализации им негативных последствий для бизнеса 🎮 Согласно отчету SANS по автоматизации, больше всего времени отжирают облачные и сетевые сигналы тревоги, а также алерты от средств управления аутентификацией. Учитывайте это при проектировании SOC 💡
Читать полностью…Когда 🟥 спрашивают: "А чего вы свой SOAR не пилите?", ответ на самом деле очень простой и он хорошо отражен в результатах последнего отчета SANS по автоматизации ИБ. Дело не в том, что SOAR написать сложно (на самом деле достаточно легко), а в том, как его будут применять на практике. Три критических преграды при использовании SOAR согласно опросу SANS:
1️⃣ Встроенные интеграции. Их либо нет к нужным продуктам, либо они слишком универсальные, либо они сложны в настройке, либо просто нет доступа к управляемым средствам защиты ⌛
2️⃣ Контент плейбуков. На встроенные плейбуки в SOAR обычно без слез не взглянешь - их переписывать и переписывать, что превращает идею автоматизации в тыкву. Ситуация примерно как с контентом обнаружения для SIEM - больше половины пилят контент самостоятельно 🎮
3️⃣ Простота внедрения. Ну тут все понятно и не требует особо пояснения. Прежде чем вы автоматизируете процесс SecOps, вы потратите кучу времени на внедрение всех компонентов, их настройку, доработку плейбуков и т.п. 🔄
Поэтому-то у PT и появился MaxPatrol O2, который иногда называют NG SOAR или "SOAR на максималках", но это не совсем корректное сравнение. Там заложен иной принцип автоматизации, чем в SOAR ⚙️ Но про это я писать не буду - это же не рекламный канал 😏
Помимо отчета SANS SOC Survey 2024, мне тут в руки попал отчет SANS по автоматизации ⚙️ ИБ, который неразрывно связан с темой SOCов. Так вот основных три проблемы на пути полного использования возможностей SOC:
1️⃣ Слабая автоматизация и оркестрация. 65% времени SOC уходит на ручные классификацию инцидентов и расследование при автоматическом обнаружении и также ручном реагировании (иногда, правда, используется SOAR).
2️⃣ Нехватка квалифицированного персонала (поэтому спасением опять же будет автоматизация).
3️⃣ Неполный охват инфраструктуры мониторингом.
Интересные данные 👇 по тому, что уже автоматизировано в реагировании на инциденты ИБ у респондентов, а что планируется автоматизировать в ближайшие 18 месяцев. Предсказуемо, в Топ3 процессов, которые избавились от ручного труда, входят:
1️⃣ Борьба с фишингом ❗️
2️⃣ Обогащение данных
3️⃣ Работы с фидами Threat Intelligence.
Хуже всего автоматизированы:
1️⃣ Управление рисками и compliance
2️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики 💻
3️⃣ Анализ и исследование вредоносного ПО.
Среди того, что будет автоматизировать большинство респондентов:
1️⃣ Реагирование на инциденты с данными, включая утечки и шифровальщики
2️⃣ Анализ и исследование вредоносного ПО ⚠️
3️⃣ Управление кейсами.
Я не мог пройти мимо этой статистики OPSWAT относительно антивирусной защиты, которую я так глубоко и нежно люблю ❤️ Хотя я уже знаю, что мне скажут коллеги. Мол там среди логотипов нет того самого, единственного 🤐
Читать полностью…Не используйте в качестве графического пароля линию своего маршрута от дома до работы в навигаторе...
Читать полностью…В VirusTotal добавили функцию анализа и объяснения загружаемого кода, скриптов и т.п. 🔬 Вы можете спросить, а как так, если в отчете SANS говорится, что интерес к ИИ в мониторинге ИБ поугас? А я вам отвечу. Все просто. ИИ в ИБ обычно применяется в двух вариантах - проактивный и реактивный. В первом случае, вы с помощью ИИ пытаетесь обнаруживать атаки. Во втором - ИИ помогает вам объяснить обнаруженное (ассистенты и ко-пилоты). Так вот SANS говорит про первое, а VirusTotal внедрил второе 🧠
Читать полностью…Еще одна история про влияние ИБ на руководство компании. Федеральная торговая комиссия США наказала генерального директора 🧐 алкогольного маркетплейса Drizly Джеймса Кори Релласа за утечку данных 2,5 миллионов клиентов. Помимо требования удаления собранных персданных клиентов, не требуемых для оказания услуг 🥃, FTC потребовала от гендиректора Drizly построить систему ИБ на предприятии.
Но интересно другое требование. От Джеймса Релласа также потребовали, чтобы он обязательно реализовывал систему ИБ 🛡 во всех новых компаниях, в которые Реллас перешел бы или создал бы в будущем, или в которых он стал бы топ-менеджером, несущим ответственность за кибербезопасность 😮 Кого-то наказывает лишением права занимать руководящие позиции, а кого-то обязывают заниматься ИБ на всех будущих местах работы 💡
Список технологий ИБ (по популярности), которые используются в качестве источников событий ИБ в SOCах, согласно отчета SANS по SOC 🔍 Если не брать в расчет SIEM, как средство анализа, то в Топ5 защитных средств входят:
1️⃣ Сенсоры для защиты оконечных устройств (EPP и EDR)
2️⃣ VPN (учитывая постоянные продажи доступов к VPN Fortinet, Check Point, Cisco, это вполне понятно)
3️⃣ Средства для защиты e-mail (SWG/SEG)
4️⃣ Межсетевые экраны следующего поколения (NGFW)
5️⃣ Средства защиты от вредоносного кода (песочницы и пока еще чудом где-то оставшиеся антивирусы).
🔴На новой гостевой форме «Рубина» вшиты имена и фамилии каждого болельщика, которые покупали абонементы за последние пять лет
Так казанский клуб решил поблагодарить фанатов, которые были с «Рубином» не только во время успехов, но и ходили на матчи команды в ФНЛ 👏🏻
⚫️ Футбол России
Фраза:
"Мы уверяем наших заказчиков, что CrowdStrike функционирует нормально и эта проблема не затронула наши системы, обслуживающие платформу Falcon" ("We assure our customers that CrowdStrike is operating normally and this issue does not affect our Falcon platform systems"),
Офигенные дни для отрасли ИБшного маркетинга, PR и просто любителей пошутить 🤡 Кто-то отрывается в создании мемасиков, кто-то дает комментарии СМИ (я вчера побывал на трех прямых эфирах на ТВ и радио, дал с десяток комментов 🎙 для бизнес- и отраслевых СМИ в России и на Ближнем Востоке, а еще случайно выступил на английском в прямом эфире ТВ, хотя предполагалась запись и на русском 💪).
Очень непростые дни у PR и антикризисного комитета CrowdStrike, которые отбиваются от журналистов, блогеров и других инфлюенсеров, стараясь дать выверенные ответы, которые не уронят акции Crowdstrike еще больше 📉 (в пике было -21%) и не повлекут многомиллиардные иски, которые уже планируются 👩⚖️ Это офигенная школа для любого пиарщика, но не знаю, хотел бы я в этот момент быть в такой компании 🤔 это вам не мемасики генерить 🤠
Также Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных с покушением на Дональда Трампа, извержении вулкана в Исландии, выбросившихся на берег в Испании китов, уязвимостей CVE-2021-3773 и CVE-2024-38211, а также о сотнях других событий, которые происходят в мире, но которые не имеют никакого отношения к Роскомнадзору!
Читать полностью…Тут в SOCовском чатике задали вопрос: "Хочу писать все события на Linux. С помощью чего это лучше делать?" 👨💻 В отношении SIEM это тоже часто звучащая дилемма - какие события писать в SIEM? Все или выборочно? Если все, то нужно иметь немаленького размера ЦОД, чтобы хранить все события в течение длительного времени. И за лицензию на SIEM надо переплачивать, если схема лицензирования подразумевает оплату за объем хранения. А это приводит к разрастанию совокупной стоимости SIEM 🤑
Отчет SANS по SOCам дает нам ответ и на этот вопрос. Максимальное число ответивших на этот вопрос респондентов (152) шлют в SIEM все, что они покрывают системой мониторинга 👀 На втором месте (110) те, кто собирает в SIEM события на основе риск-ориентированного подхода, стараясь в качестве основы для выборки событий взять серьезность угроз, подлежащих обнаружению и реагированию.
Третье и четвертое место с незначительным отрывом друг от друга (40 и 38 респондентов) заняли сбор событий только с приоритетных (я бы сказал целевых/ключевых) систем и сбор событий в зависимости от use case / detection engineering 💡 Лично мне больше нравится как раз последний подход, так как он позволяет сбалансировать финансовые затраты с эффективностью мониторинга ИБ. Хотя, конечно, если у вас куча денег, то можно писать все, лить в озеро данных и там уже анализировать по мере необходимости 🙌
Подписчик, за что ему спасибо, прислал фрагмент интересной переписки с мошенниками, которые предлагают практически 100%-й 💯 выигрыш на аукционе на поставки средств защиты информации на электронной торговой площадке 🛒 А потом всплыл другой кейс - с мошенничеством с торговыми ботами 🤖 И мне показалось, что можно эти две истории объединить, что я и сделал. И это в копилку историй, когда чисто инфраструктурная ИБ и даже защита от ботов в WAF не всегда помогает.
Читать полностью…Какими возможностями по реагированию на инциденты меньше всего удовлетворены ИБшники? В пятерку входят:
1️⃣ Реверс-инжиниринг вредоносного ПО. Да и хрен с ним - отдайте это специализированным компаниям. Все равно удержать такого специалиста будет не под силу 99% компаний. Им просто не найдется такого количества интересной работы и он все равно свалит.
2️⃣ Обманные технологии. Ну тут вообще без комментариев. Вы сначала базовые компоненты SOC внедрите, EDR и NTA, а уж потом о deception/decoy/honeypot думайте...
3️⃣ Отслеживание кампаний и атрибуция угроз. А на кой она вообще нужна? В большинстве случаев лишнее это.
4️⃣ Реверс-инжиниринг железа. Заказчикам - это вообще не надо, не потянут они такую лабу. Я имею представление о "железной" лабе Позитива и могу уверенно говорить, что это как реверсингом малвари, только дороже во много раз.
5️⃣ Реагирование на основе пдейбуков. Ну еще бы, вы пробовали автоматизировать плейбуки с помощью no code/low code конструкторов в SOAR? Поэтому некоторые вендора либо GenAI начинают использовать для автоматизации создания плейбуков и работы по ним, а некоторые и вовсе идут в сторону автопилота.
А еще на этой гистограмме показано, как их НЕ НАДО делать 🤦♂️ Ну кто для отрицательных значений использует зеленый, а для положительных - красный? (красный - он для позитивных 🥰) Надо было с точностью до наоборот все делать: красный для "не удовлетворен", а зеленый - для "удовлетворен". Всему этих американцев учить надо... 🫵
А вот кому европейского 🇨🇭 взгляда на то, как устроен китайский 🐉 рынок CTFов, программ Bug Bounty и иных способов прокачки хакерских скиллов в Поднебесной? 🖥
Читать полностью…Разные российские ИБ-каналы пишут про закрытие ❌ офиса Лаборатории Касперского в США и предполагают, что сотрудников теперь перевезут в другие офисы компании (ага, граждане США так и побегут сотрудничать с подсанкционными юрлицами 😲) или что их наймет Сбер (ага, субъект КИИ наймет граждан США 😮).
А я просто опубликую прощальное письмо ЛК своим заокеанским клиентам. Прежде чем читать его, включите финальную песню Олимпиады-80 "До свиданья, наш ласковый мишка!", которая созвучна нынешним событиям, в том числе и в контексте Олимпиады в Париже 🧸
И хотя основные метрики оценки эффективности SOC 👀 остаются неизменными:
1️⃣ Среднее медианное время на реагирование (MTTR)
2️⃣ Среднее медианное время на обнаружение (MTTD)
3️⃣ % покрытия мониторингом
4️⃣ % расследованных сигналов тревоги
5️⃣ Соотношение true и false positive,
в этом году в отчете SANS SOC Syrvey 2024 в топ попали и три качественные метрики:
6️⃣ Загрузка аналитиков SOC
7️⃣ Качество расследования (ошибки, нехватка информации, преждевременное закрытие тикетов и т.п.)
8️⃣ Качество Threat Intelligence (аккуратность, своевременность, покрытие и т.п.)
Не могу согласиться с правильностью всех выбранных метрик, но движение в сторону оценки качества могу только приветствовать 🙂
Хотите удалить информацию о себе из разных web-сервисов, но не знаете как и не хотите тратить время на поиск правильных ссылок для удаления? Вот вам сервис justdelete.me для этого! 🗑 Российских сервисов там я не нашел, но западных в избытке. И если вы решили патриотично махнуть рукой ✋ иностранцам и не оставлять им свои персданные, то вперед. Правда, надо сразу сказать, что у некоторых сервисов такой возможности нет вообще, а у некоторых удаление является непростой процедурой. Но дорогу осилит идущий... 🚶♂️
Читать полностью…19 апреля AT&T зафиксировал инцидент 💻 и «немедленно активировал процесс реагирования на инциденты». Правда, утечка продолжалась еще 6 дней 🚰, до 25 апреля. У AT&T очень специфическое понимание термина "немедленно". Либо упомянутая облачная платформа (к слову, AT&T числится среди клиентов Snowflake ❄️) просто не делилась с AT&T данными или не смогла вовремя заблокировать факт утечки?
Много вопросов к этому инциденту, если внимательно смотреть на его временные параметры ⏳ Вообще, временные параметры любого публичного инцидента, перенесенные на таймлайн, всегда интересно изучать ⏱ Сразу много вопросов возникает, которые у авторов пресс-релизов обычно не всплывают в процессе подготовки публичных коммуникаций. И сразу становятся видными слабые места и то, что пытаются скрыть 🫥
Карьерный рост 😎 перестает быть интересным для аналитиков SOC. Деньги 🤑 хоть и влияют, но не так чтобы очень сильно. А вот интересная работа продолжает быть основным драйвером, заставляющим специалистов по ИБ оставаться у своего работодателя 👨💻
Именно поэтому их бывает сложно удержать и они уходят к интеграторам и в аутсорсинговые SOCи. Там обычно более разнообразные кейсы и инциденты, их больше, а значит каждый день есть что-то новое, что и заставляет каждое утро или вечер (зависит от смены) приходить на работу с интересом и удовольствием🚶♂️
ЗЫ. Это все тот же отчет SANS по SOCам
Думаю, понятно, что картинка выше непросто про EDR, которые на первом месте с точки зрения обнаружения хакерской активности в SOC. В принципе сама идея, что есть какой-то Топ5 сенсоров для мониторинга или "триада технологического стека SOC", - утопична 🤨
Ничего такого нет, так как сильно зависит от тех сценариев (use cases), которые необходимо отслеживать. Условно, если вы мониторите АСУ ТП 🔍, то у вас там EDR может и не входит в Топ5, а на первое место выйдут какие-нибудь МСЭ (даже не NGFW), средства авторизации доступа админов (PAM), средства мониторинга сетевой активности и только потом, что-то, что можно поставить на HMI, SCADA-сервера и т.п. 🏭
В корпоративной среде, да, EDR сейчас становится самым популярным источником данных для обнаружения вредоносной активности на хостах, с которых часто и начинается активное развитие атаки внутри инфраструктуры 🔓 Но вот если у вас строится SOC/ЦПК и вы не знаете, какие сенсоры вам вообще будут нужны, то данная гистограмма может вам подсказать направление движения, а оно одно - начните с use cases.
Джет выкатил описание критической ‼️ RCE-уязвимости в Битриксе (CVSS 9.5), которая позволяет скомпрометировать сайт, работающий на этой CMS 🌐 Интересно, что в базе NVD у этой уязвимости был идентификатор CVE-2022-29268, который помечен как «отклоненный» (в прочих базах, включая и БДУ ФСТЭК, идентификаторы также не были присвоены). Судя по описанию, патча нет, есть только компенсационные меры, снижающие вероятность использования дыры 😷
⚠️ Получается, что 2 года назад (уязвимая версия Битрикса появилась в декабре 2021 года) уязвимость отклонили, но ее можно эксплуатировать до сих пор (хотя и при достаточно специфических условиях). По утверждению Джет производитель не считает это уязвимостью 😠