Если вдруг вы интересовались курсами для аналитиков SOC, то для вас небольшая заметка с ссылками на онлайн и оффлайн, зарубежные и отечественные курсы 👨🎓
Читать полностью…Расскажу вам историю, о которой вы вряд ли где-то еще прочитаете; хотя и ничего нового в ней нет. Бывшим сотрудникам российского офиса Cisco активно пишет мошенник ✍️, представляющийся нынешним генеральным директором российского офиса (он же еще формально не закрыт, хотя там и не осталось сотрудников) и... та-дам, просит оказать содействие российским спецслужбам в деле обеспечения информационной безопасности 😕
Схема, конечно, топорная 🤦♂️ С кем в Cisco Russia проводить беседы не очень понятно, но то упорство, с которым с прошлой осени мошенники пытаются развести бывших сотрудников российского офиса Cisco, вызывает уважение 😎 Но незнание культуры работы в американских компаниях, правил оформления официальных документов российских госорганов и методов работы "Прикомандированных Сотрудников" всю схему превращает в тыкву 😄
PS. В мае я уже писал про схожую историю с бывшими сотрудниками иностранных компаний.
Мегафон тут посоветовал (спасибо подписчику, который обратил на это внимание) своим клиентам воспользоваться сайтом, непонятно кому принадлежащим и зарегистрированным в Польше 🇵🇱, чтобы проверять IMEI б/у мобильных устройств при их покупке. Желание покупателя не быть надутым понятно. Непонятно, зачем отправлять их в недружественную страну? ⬅️ А где гарантия, что владельцы сайта теперь не внесут присланные им из России IMEI в список украденных устройств? Внести-то туда такие сведения может кто угодно. И потом доказывай, что ты не верблюд 🐫 (например, на границе во время отпуска или про продаже).
Я бы на месте Мегафона тогда уж инициировал создание такого реестра на базе "Госуслуг". Эта же информация у наших мобильных операторов 📡 есть. У МВД есть данные по кражам мобильных устройств. Надо только объединить все и предложить россиянам полезный сервис. А Минцифры может возглавить 🫡 эту инициативу, чтобы не было коммерческого интереса у заинтересантов.
В Москве набирает популярность схема с обманом пожилых людей с помощью дипфейка мэра Москвы Собянина 👎
В апреле 75-тилетнему москвичу позвонила девушка, представившаяся секретарем мэра и предупредила, что с ним свяжется сам Собянин, который и вправду "сам" позвонил 📞 пенсионеру и предупредил, что через его банковский счет похищены государственные деньги и поэтому ему надо сотрудничать с ФСБ. Звонок от генерал-полковника спецслужбы 🇷🇺 тоже не заставил себя ждать. В итоге на "защищенный счет" были выведены 1,5 миллиона, которые и исчезли в неизвестном направлении. Об аналогичной истории (звонке от "Собянина") рассказывал ректор Иннополиса, которому мэр звонил по Whatsapp'у 📲
В июне по такой же схеме 4 миллиона похитили у бывшего главы РДКБ Николая Ваганова, правда в данном случае, это уже был видеозвонок. Бывший министр культуры Михаил Швыдкой рассказывал недавно о таком же кейсе - там "мэр" Москвы по-братски предупреждал, что со счетов жертвы были отправлены деньги на счета ВСУ и ей надо будет дать объяснения правоохранительным структурам. В этой схеме участвовал и зампред Банка России, чей дипфейк 🎭 также был задействован для солидности.
В чем особенность данной схемы? Она не массовая - список жертв небольшой и неплохо проработанный. Артисты, политики, чиновники, общественные деятели, руководители московских подведов (театры, больницы и т.п.), бывшие начальники... Люди, которых не удивишь звонком из "мэрии Москвы", которые не привыкли отвечать "нет" 👎 властьпредержащим.
Таких примеров, на самом деле, много и все их приводить большого смысла нет. Я бы хотел скорее обратить внимание на три момента:
1️⃣ Дипфейк - это уже не просто технология для организации шуток и розыгрышей, это вполне себе способ реализации угроз. И не за горами тот момент, когда его активно начнут применять и в корпоративной среде, а не только против физлиц.
2️⃣ Технологии развиваются очень быстро и рассчитывать, что "еще есть время" уже не приходится.
3️⃣ Да, это пришло уже и в Россию. Поэтому истории директора в ОАЭ или Сингапуре можно оставить в прошлом - у нас своих кейсов немало 😭
Ну и еще один мемчик про ИБ 😊 Меня тут спросили про форумы, где можно начинающему ИБшнику 👶 спрашивать совета и вот это вот все. А я и не знаю. Я же не начинающий уже; Да и на форумах я был в прошлом веке - сейчас все как-то вживую, за бокалом коньяка или кружкой иван-чая 😊 Но чтобы не просто мемчик был, а и польза (хотя улыбнуться бывает полезно), кину ссылку, которую мне ее автор прислал, - список ресурсов для начинающих ИБшников. Про форумы там, вроде, ничего нет. Но всякие курсы, лабы, CTF, стажировки и т.п. точно есть 🎓
Читать полностью…Сколько вы знаете формул оценки рисков ИБ? Одну, две, три?.. Я знаю с десяток и абсолютное большинство из них в качестве одного из двух основных параметров (помимо вероятности) используется ущерб 💥 В ооочень редких случаях вместо ущерба упоминается стоимость актива, на который влияет риск. Но все это полная фигня; особенно когда апологеты этих формул говорят, что она позволяет говорить на одном языке с бизнесом. Это похвальное стремление, но только вот бизнес не говорит на таком языке 😱
Для любого бизнесмена риск - это сочетание возможностей и опасностей; причем на возможности он смотрит с большим вниманием, чем на опасности. Я про это недавно писал, но не грех и повторить ✍️ Можно долго бегать вокруг предотвращения ущерба, но если бизнес внес его величину в себестоимость продукта, то ему уже пофиг на ущерб, он отбил свои деньги и начал зарабатывать. А ИБшники продолжают носиться с предотвращением ущерба, который уже не интересен 🤠
Поэтому если вы видите в формуле 🧮 риска, которую вам кто-то презентует, слово "ущерб" или "impact", бегите от таких людей как от чумных - они не понимают, что такое риски на самом деле, и не понимают, что такое бизнес. Вместо "ущерба" должно быть "value" или "ценность", которую мы получаем от реализации какого-то проекта или инициативы. И вот "value" может быть как положительным (заработали), так и отрицательным (потеряли) 😦
Кстати, обратите внимание, что на картинке в знаменателе есть countermeasures (защитные меры) 🛡 и exposure factor. Последний параметр по своему интересен и достаточно редко упоминается в формулах рисков. Я про него отдельно напишу. А вот на место countermeasures надо обратить внимание особо. Если вы делите ("уязвимость" * "угроза"), то это хорошо; вы тем самым снижаете опасность. А вот если вы делите "ценность", то защитные меры в знаменателе вам только все портят, так как они уменьшают ценность! И это то, про что я тоже уже писал.
ЗЫ. Поэтому, когда вам рассказывают про киберриски, всегда уточняйте, что имеет ввиду спикер, показывая классическую формулу "риск = вероятность * ущерб"? По его блеянию вы поймете, понимает он что-то в теме или нет 🤔
Все-таки есть что-то притягательное в ИБшных койнах. Вроде по сути та же грамота из олдскульных времен, но ощущения совсем иные. И подделать сложнее 😎 Это вам не грамота от директора ФСБ на Авито 🫡
Читать полностью…Сделал презу для сегодняшнего мероприятия, но показать ее не могу, условия такие, закрытое мероприятие. Поэтому только один слайд и могу в паблик выложить. Остальное, может быть, изложу в формате блога...
Читать полностью…Вот спрашивается, что я делаю среди 4-х генеральных директоров? Но начинание интересное. Так глядишь "Романовы" или "История Государства Российского" получится, но про кибербез... если меценаты найдутся. Где вы, Саввы Морозовы, Павлы Третьяковы, Саввы Мамонтовы, Алексеи Бахрушины или даже Марии Тенишевы?.. 🔍
ЗЫ. Кстати, после сегодняшних новостей, гендиректоров на картинке уже не четыре!
Помните, на PHD2, представители НКЦКИ анонсировали сервис бесплатной скорой помощи по расследованию и реагированию на инциденты ИБ? 🇷🇺 Пока коллеги оформляют все процедуры, американцы опубликовали статистику по тому, как и какие сервисы по обмену данными об угрозах используют супостатные госорганы 👮
Достаточно показательные цифры 0️⃣ Чаще всего используются либо всяческие брифинги (а значит это совершенно неоперативная информация), либо различные продукты класса TIP. Самая непопулярная история - каталог известных уязвимостей от CISA (KEV). И почему мы тогда удивляемся, что в новостях 📰 постоянно проскакивают истории об очередном зашифровании целых городов и муниципалитетов. Если ты не получаешь оперативно информацию об угрозах и уязвимостях, то и рассчитывать на оперативную защиту не приходится. Поэтому, когда Счетная палата пишет про почти повсеместное отсутствие непрерывного мониторинга, уже и не удивляешься 😭
Так уж получается, что мы с коллегами часто вступаем в заочную полемику по результатам постов друг друга 🤜 Вот и в этот раз Сергей Солдатов прокомментировал мой вброс о ненужности антивируса 🦠 (кстати, на пленарной секции на IT IS Conf в Екатеринбурге, где этот миф обсуждался, половина участников не имела антивируса на своих компьютерах; на других мероприятиях этот показатель схожий), задавшись риторическим вопросом, кого конкретно я имею ввиду 😅
Ну а я подготовил обзорную табличку, в которой достаточно поверхностно сравнил антивирус 🦠 с EPP, EDR и XDR. И кажется мне, что когда Сергей и его коллеги возмущаются на мои высказывания про антивирус и говорят, что антивирус уже давно не тот, они имеют ввиду не антивирус, а EPP. Ну так и надо называть вещи своими именами. Да, в EPP может входить антивирус, как один из модулей, но не более того. Антивирус, который мы все знаем, уже давно анахронизм и толку от него немного, и с точки зрения детекта, и с точки зрения расследования.
ЗЫ. Кстати, у меня уже больше года как закончилась лицензия на KTS (а это, извините, EPP, а не антивирус) и... я так и забил на ее продление. И вот уже год прошел с лишним и ничего 🤷♀️ И на KTS я половину функций сразу выключил после установки - с ними все тормозило 🏎 То есть и EPP мне, как домашнему пользователю, тоже как бы не очень и нужен был.
Интересный факт, персидский ковер, сотканный вручную, обязательно должен иметь изъян 🕳 И это не проблема технологии или процесса, а осознанное действие ткачей, считающих, что только Бог может создать что-то совершенное, а человек не идеален 🤦♂️
Почему еще ИТшники не следуют этому правило, оставляя дыры в своих системах? 🤔 Или следуют, только не говорят ИБшникам?
Honeywell выпустила отчет о росте числа вредоносного ПО, распространяющегося через USB 🤒 и несущего опасность для промышленных, иногда изолированных от Интернет, сред 🏭 Горизонт наблюдений составил 6 лет, что и позволило Honeywell сделать вывод о росте угрозы 📈, эксплуатирующей разные CVE, использующей многоходовые схемы, атакующей не только Windows, но и Linux и другие платформы.
Читать полностью…Мало правильно использовать NGFW - его еще и создать нужно уметь. А в создание NGFW могут не только лишь все! 🤬
Читать полностью…Коллеги, за что им спасибо, поправляют по заметке по контролю сообщений от регуляторов. Оказывает ЦБ использует не только RAR, но и ARJ (я и забыл про его существование) в качестве архиваторов. И гораздо важнее обращать внимание на реквизиты письма и контакты исполнителя! ☝️ Так что, как я и написал, приведенный шаблон надо тюнить под конкретного регулятора ☝️
Читать полностью…Если вы не любите спойлеры, то не надо читать заметку Александра о том, как он сходил на анимационный фильм "Три бгатыря. Ни дня без подвига" и какие истории про Bug Bounty он увидел в мультике и как это соотносится с реальным миром ИБ ☺️
Читать полностью…Представьте, что вы (допустим) провели 9-го мая кибератаку против ресурсов АНБ на Восточное Самоа, в его столице Паго-Паго. Чтобы запутать следы и чтобы американцы опять не ссылались, что атака осуществлялась из московского часового пояса GMT+3 ⏰, вы решили провести атаку тоже из архипелага Самое, но из города Апиа. Спустя полгода АНБ 🇺🇸 публикует совместно с CISA отчет с результатами расследования, в котором почему-то указано, что атака была организована 24-мя часами ранее, 8-го мая. При этом все остальное в отчете совпадает со всем, что вы делали 🖥
Читать полностью…На улице был ливень, град, ветрило… Ураган 🌪️ «Орхан» безраздельно царил почти весь день в Подмосковье. Решил стейк 🥩 пожарить не на огне, а на сковороде… а она хакерская ;-) Везде знаки…
Читать полностью…🎥 Как и в мультике «Головоломка», в нас живет множество эмоций.
Социальные инженеры — талантливые психологи и манипуляторы — умеют использовать каждую из них как крючок, на который можно поймать жертву.
В карточках по лекции Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies, рассказали, как именно это происходит и чем нас цепляют мошенники. С примерами, чтобы вы могли распознать такое воздействие и не поддаться ему.
Больше полезных советов — в полном видеокурсе Алексея по личной кибербезопасности на портале Positive Education.
Читайте сами, делитесь с друзьями и оставляйте социальных инженеров с носом 🤥
P. S. Кстати, посмотрели уже вторую часть мультика? Как вам?
@positive_investing
🟥 выпустил отчет с итогами проведения пентестов в 2023-м году. Там есть интересные цифры про то, как наши парни "ломают" 🤕 заказчиков, сколько времени на это уходит (я упоминал некоторые цифры, говоря про Time-to-eXploit). Но заметка о другом.
Почему так важно изучать и оценивать TTX, читать отчеты своих "белых хакеров", смотреть чужие отчеты и т.д.? Потому что мы, ИБшники, часто живем в плену иллюзий о том, как будет действовать "живой" хакер 🔓 И исходя из наших мыслей, мы создаем модель угроз, а потом по ней строим систему ИБ. А у хакера может быть совсем иной майндсет, иное мышление... и совсем иные способы реализации угроз, отличные от того, что там себе напридумывал ИБшник 🤔
Моделирование угроз - это точка зрения ИБшника. Чтобы убедиться в ее правоте, иди и попробуй хотя бы на Standoff в Blue Team пару дней простоять и отражать атаки, которые выходят за рамки модели, но при этом очень эффективны 😂 Но ведь нет. Не идут, боятся, прекрасно зная, что написанные на бумаге и согласованные с регуляторами модели угроз так и останутся на бумаге. Одно дело - согласовать с ФСТЭК модель и совсем другое - попробовать по ней защитить виртуальный город на киберполигоне. И уж совсем третье дело - защищаться от реальных "плохих парней" 🥷
ИБшники сталкиваются с так называемой "дилеммой защитника", когда им надо найти и закрыть все дыры в своей инфраструктуре, а хакеру нужно найти всего одну единственную 🤜 И чтобы эта дилемма решалась, нужно обладать майндсетом, как модно говорить на Западе, хакера, то есть думать как он и действовать как он. И вот тогда, вы сможете приблизиться к пониманию того, как вас будут реально ломать и что можно этому противопоставить 🛡
🏗 С чего начать строить кибербезопасность в компании?
С определения недопустимых событий? С реализации защитных мер, предписанных приказами и прочими нормативными актами различных ведомств? С ситуативной защиты?
🧱 Это все, конечно, вещи необходимые. Но для начала Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, советует сосредоточиться на нескольких более простых и эффективных вещах. Записали в карточках, какие кирпичики нужно заложить в фундамент киберзащищенности организации любого размера и сферы деятельности.
Готовы? Пробуйте сами и делитесь с коллегами.
#PositiveЭксперты
@Positive_Technologies
Думаю, вы неоднократно сталкивались с примерами динамического ценообразования 🤑 Самый яркий - транспорт, такси или самолеты, цены на которые могут меняться в течение дня (для такси) или недели, в зависимости от множества факторов - количество транспортных средств, спроса на них, направления и т.п. В сфере питания такое тоже бывает нередко - продукты, у которых срок годности подходит к концу, также продают со скидкой 📉
В целом, динамическое ценообразование 💸 строится обычно на одном из пяти (иногда на их комбинации) факторов:
1️⃣ по аудитории, по ее уровню дохода
2️⃣ по времени покупки
3️⃣ по времени обслуживания
4️⃣ по повышенному спросу
5️⃣ по специфическим факторам.
И вот подумалось мне, а что, если стоимость средств защиты также будет динамически меняться? 🤔 Подходит, например, к концу срок действия сертификата ФСТЭК или ФСБ - скидка 50% на покупку. Произошел крупный инцидент ИБ в отрасли - поднятие цены для компаний из этой отрасли. Стало известно о появлении новых требований регулятора - опять рост цены на решения, удовлетворяющие этим требованиям, с последующим ее снижением после некоторого насыщения рынка 🤔 Сталкивается вендор с тем, что у него все основные покупки происходят в 4-м квартале, значит он делает скидку на покупку решений в 1-2-м кварталах для сглаживания спроса и наличия продаж даже в "низкий" сезон. И т.д. Ну а что, почему бы и нет? Рынок так рынок... 🤔
Мишель Моска, эксперт в области криптографии 🤒, предложил теорему, позволяющую определить длительность подготовки к переходу на постквантовую криптографию.
"Существует 1 шанс из 7, что фундаментальная криптография с открытым ключом будет взломана к 2026 году, и 1 шанс из 2, - что к 2031 году"
Если x + y > z, то пора беспокоиться
Группировка Brain Cipher принесла извинения перед гражданами Индонезии за то, что зашифровала часть их данных и… выложила бесплатно ключи для расшифровывания 🔐 Выборочная проверка показала, что ключи рабочие!
Свою деятельность они назвали «пентестом с постоплатой» и обратили внимание на важность найма специалистов по кибербезу 🥴
Специалисты расходятся во мнении, что послужило причиной такого необычного решения - давление правоохранителей 👮 или разногласия внутри команды ❔
PS. Но вымогатели не были бы вымогателями, если бы все-таки не попросили пожертвование 🤑, еще раз особо подчеркнув, что ключи они выложили абсолютно бесплатно.
В 2022-м финансовом году американские федеральные структуры 🇺🇸 отрапортовали о 30000 инцидентов, для которых американская Счетная палата выявила 4 основные направления для улучшений:
1️⃣ Внедрение эффективной стратегии ИБ и надзора за ее реализацией
2️⃣ Защита федеральных систем и информации в них
3️⃣ Защита критической инфраструктуры
4️⃣ Обеспечение приватности 👮
В этих четырех высокоуровневых блоках Счетная палата разработала с 2010-го года 1610 рекомендаций (интересно было бы сравнить с числом рекомендаций от ФСТЭК за этот же период), из которых реализовано было 1043. По состоянию на май 2024 года 567 рекомендаций (треть) так и не была реализовано ☺️ Все это описано в новом, достаточно детальном и интересном отчете Счетной палаты. Там почти 100 страниц и пересказывать их я не буду - просто рекомендую почитать. Мне кажется, что у наших госов очень много схожих проблем. Например, отсутствие непрерывного мониторинга, отсутствие мониторинга достижения целей ИБ, отсутствие измерения эффективности ИБ и т.п. 🛡
Александр Леонов написал ✍️ пост по мотивам моей заметки о результативности управления уязвимостями. У себя в ВК Александр написал, что ему мой подход показался слишком идеалистичным и недосягаемым и поэтому он предложил свой - оценивая процесс управления уязвимостями по трем ключевым направлениям:
1️⃣ Использование средств детектирования уязвимостей 🔍
2️⃣ Охват инфраструктуры 💯
3️⃣ Выполнение SLA по исправлению уязвимостей ✔️
Не могу не прокомментировать и высказать свое, сугубо непрофессиональное мнение ☹️ Что меня сразу цепануло, так это то, что Александр измеряет процесс, не говоря ни слова о результате (я как раз шел от обратного). И это прям проблема, как по мне, так как мы тем самым подменяем то, ради чего это все делается, на то, что легче всего измерять. Процесс ради процесса... ⚙️
Возьмем к примеру SLA по плановому исправлению уязвимостей. Кто его устанавливает? ИТ? Так они ставят 30, а то и 90 дней на устранение выявленных дефектов 🛠 И мы, конечно, же выполним этот SLA. Но только вот время эксплуатации уязвимостей гораздо меньше указанного SLA (сутки для трендовых уязвимостей). И в чем тогда смысл? Да, SLA соблюден. Но только нас уже взломали и мы это обнаружили спустя 10 дней только 🤕
С предложенным параметром оценки охвата тоже все не так просто. Представим, что у нас интересующих хакеров узлов всего 10% от общего числа 🛡 Мы установили значение показателя по охвату на уровне 90% и выше (это у нас будет зеленый сигнал "светофора"). Все, что меньше, требует внимания и улучшения (мы же не будем стремиться к устранению всех уязвимостей - это невозможно). И вот мы просканировали все узлы кроме тех 10%, что интересны хакерам. И что? Показатель в 90% соблюден, мы в зеленой зоне, но толку ноль 🚦 Уязвимости на целевых системах остались непатченными, так как их никто не детектировал.
С оценкой средств детектирования вообще все сложно. Как вообще оценивать полноту базы детектов? 🤔 Вендор еще может поставить себе задачу охватить все CVE (для примера), но заказчику-то это зачем, если у него из десятка тысяч систем, для которых в CVE есть уязвимости, в инфраструктуре всего пару десятков вендоров? А как оценивать достаточность способов детектирования? Вот с оперативностью доставки детектов я не спорю - это Time to Notify из моей заметки 🤝
Да, все указанные у Александра метрики могут быть поправлены, уточнены, детализированы... Но тогда это еще больше усложнит систему оценки процесса, на что мы будем тратить время и усилия, но так и не поймем, достигаем мы результата или нет 🤔
Интересная история. Активный американский инвестор Jana Partners (активный отличается от пассивного тем, что первый не просто держит ценные бумаги, а постоянно следит за рынком и новостным фоном, анализирует компании, выбирает ценные бумаги и подходящие моменты для сделок 🤑) оказывает давление на компанию Rapid7, известного вендора в области управления уязвимостями, требуя её продажи 🛍
Основной причиной такого шага является неудовлетворительное состояние акций компании 📉, несмотря на предпринятые меры по сокращению расходов, включая увольнение 18% сотрудников (второе место из топовых вендоров ИБ по объему сокращений за последние годы) ✂️ В 2024 году стоимость акций Rapid7 снизилась на 26% (хуже только у Qualys). В прошлом Rapid7 уже рассматривалась как потенциальный объект для поглощения, но до сих пор не нашлось подходящего покупателя. Jana Partners настаивает на том, что компания нуждается в улучшении операционных показателей и перспектив 🧐
Внутренняя структура акционерного капитала Rapid7 делает её уязвимой для давления со стороны активных инвесторов 🔫, так как обычно в ИБ-компаниях большая часть акций сосредоточена в ограниченном числе рук ее основателей и владельцев. В случае Rapid7 12 топ-менеджеров владеют всего 3% акций, а институциональные инвесторы (BlackRock, Vanguard и т.п.) - всего 34%. Соответственно Jana может выкупить свободно котирующиеся акции 🛒 и добиться изменения состава совета директоров на своих кандидатов, которые и будут продвигать нужные решения, направленные на продажу компании.
Ну а к чему приводят продажи компаний мы все знаем... Тем более, что Jana Partners и ее партнер Cannae Holdings не обладают опытом в кибербезопасности - первая больше занимается пищевой промышленностью и ретритом, а вторая - футболом и ресторанами 🤠 Вот такая непростая судьба у публичных ИБ-компаний 😳
Вообще пофигу, какое средство защиты у вас на периметре, если у админа пароль "admin" и не включена многофакторная аутентификация 🪞 Рекомендации CISA ☝️ как раз для такого случая.
Читать полностью…