alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Подсобрал некоторые из существующих фреймворков по угрозе от инсайдеров, индикаторам и техникам, методам обнаружения и защиты:
🔤 Insider Threat TTP Knowledge Base v2.0.0 (писал про него)
🔤 Insider Threat Matrix (малость подзаброшен)
🔤 Insider Threat Matrix (описан выше)
🔤 Common Sense Guide to Mitigating Insider Threats, Seventh Edition
🔤 FBI: The Insider Threat: An introduction to detecting and deterring an insider spy (больше фокусируется на различных индикаторах)
🔤 National Insider Threat Task Force (NITTF) от Национальной разведки США
🔤 Insider Attack Matrix
🔤 Insider Risk Management Program Evaluation (переложение NIST CSF на борьбу с инсайдерами от CISA)

Читать полностью…

Пост Лукацкого

Риэлторы-мошенники "развели" Ларису Долину на 130 миллионов рублей!.. 🤑 Да, это реальность! 40 миллионов, 130 миллионов, 27 миллионов, 60 миллионов, 43 миллиона... Суммы, которые получают мошенники 💻 измеряются уже десятками миллионов, что даже по международным меркам в топе. В США кибермошенничество с недвижимостью тоже на первом месте по объему хищений, но там суммы все-таки поменьше, обычно несколько сотен тысяч долларов, до полумиллиона 💸

Читать полностью…

Пост Лукацкого

Знаете, в Cisco была такая практика, когда раз в квартал, какой-нибудь босс писал на всю компанию письмо ✍️ про то, какие мы все молодцы (даже если нет) и как у нас все хорошо (даже если нет) и мы скоро всех порвем (даже если нет). Во время COVID-19 такие письма сменили тональность и топ-менеджеры разного уровня стали в них писать о чем-то простом и понятном, рефлексируя 😭 публично и показывая всем, кто находится в непростой ситуации, что все в одной лодке. Схожая история была, когда в мире происходила какая-нибудь катастрофа или авария. Уже не знаю, были ли такие письма от души или по разнарядке, но создавалось впечатление, что руководство всегда на связи и всегда в курсе всего происходящего. А самое главное, что оно не бросает вас на произвол судьбы 🆘

И вот смотрю я на коммуникации в Курской области своим непрофессиональным взглядом, оцениваю то, что пишут официальные каналы руководителей разных населенных пунктов и субъектов, что пишут СМИ, что пишут в народных каналах... И понимаю, что чиновники не умеют в кризисные коммуникации от слова совсем ☹️ И PR-службы у них отвыкли от правильных коммуникаций, привыкнув только к победным реляциям 🥇 А жители не знают, куда бежать и кого слушать. Утром - "эвакуируйся", днем "все нормально", вечером "немедленно у*бывайте", а ночью "прежнее сообщение считать недействительным". Отсюда паника и очередные потоки брани в адрес руководства... 😫

К чему это я? Да к тому, что в управлении инцидентами, часть связанная с коммуникациями очень важна. Иногда даже важнее всего остального. А иначе люди будут попадаться на "фейковых боссов", "вам звонит мэр", "вам единовременная выплата от президента", "спасите свои средства, переведя их на резервный счет", "установите ПО для удаленной техподдержки"... В условиях выстроенных коммуникаций, мы начинаем додумывать и... совершать ошибки, чем и пользуются плохие парни в мире физическом и виртуальном.

Читать полностью…

Пост Лукацкого

Представьте, что вам предлагают через год возглавить ИБ-службу компании вашей мечты с подчинением генеральному директору 🧐 Рост зарплаты 10х, персональный помощник, большой кабинет с диванчиком с видом на парк, любые ИБ-«игрушки»… 🤑 Но при этом вы должны будете упахаться в течение года, чтобы получить знания и навыки, нужные для работы. Вы не сможете в течение года ездить в отпуск, встречаться с друзьями, ходить на выставки, в кино и рестораны. У вас даже не будет нормальных выходных. Все ваше время будет уходить на учебу 😫

Читать полностью…

Пост Лукацкого

Когда участники "хакерских" конференций жалуются, что персонал отелей их гнобит, не любит, шмонает и т.п., они должны понимать, что они [участники] для персонала и есть угроза 👮 Такая же, как вредоносы, DDoS, RCE и т.п. - угрозы для ИБшников. И десятких фейковых точек доступа в отеле, неработающие банкоматы, взломанные системы цифрового контента, включающаяся ночью сигнализация - это проблема для других проживающих, коим не повезло снять номер в те же даты, что и BlackHat/DEFCON, а также и для самих отелей. У всех своя модель угроз 🤔

Читать полностью…

Пост Лукацкого

Center for Threat-Informed Defense обновил свой проект Top ATT&CK Techniques, выпустив вторую версию спустя 2 года после первой. Концепция проекта не поменялась - вы задаете ряд условий применительно к вашей организации и "калькулятор" выдает вам ваш собственный Топ10, а не тот, который вам навязывают внешние компании, собирающие данные, как правило, с множества своих средств защиты (да, они видят картину шире, но могут не учитывать то, что актуально именно для вас).

Какие-то кардинальные изменения в проекте заметить сложно, но они есть. Используется версия матрицы 14.1 (правда, текущая сейчас уже 15.1), улучшили графический интерфейс. Также проект представляет пример Топ10 применительно к шифровальщикам - этот список составлялся экспертами CTID. Они, правда, обещали, что выпустят и другие Топ10, но пока кроме Ransomware Top10 Techniques ничего нет. Но и ждать чего-то совсем нового не стоит - все-таки основная логика у него под капотом и его надо просто использовать для составления списка основных техник и методов защиты от них.

Читать полностью…

Пост Лукацкого

Вот так объявляют творческий конкурс по ИБ - накреативить что-то, написать статью, мемасики выдумать и всякое такое. Призы солидные - дроны, айфоны, планшеты и даже ноутбуки. И ты весь такой креативный и писучий приходишь, участвуешь и... не выигрываешь 😭

Жюри решает, что Лукацкий не может наравне со всеми участвовать и надо его в отдельную категорию выделить, поощрить спецпризом и пусть идет отсюда и не мешает молодежи развивать свое творческое начало и демонстрировать креатив 🎨 Пусть не отнимает надежду и не отбивает охоту творить. А то, ишь, заполонил все вокруг... 🖕 И ты уходишь с утешительным призом заливать его в одиночестве коньяком 🍷 Не надо быть как Лукацкий, я тут сам как-нибудь...

Читать полностью…

Пост Лукацкого

Как вы можете быть консультантом и хотеть получать большие деньги, если у вас нет своего фреймворка или какой-нибудь модели?! Никак. Вот и в Accenture подумали также 💡 и разработали модель оценки зрелости вымогателей (Extortion Group Maturity Model, EGMM) 😷 , которую предлагается использовать как аналитический инструмент, помогающий оценить достоверность, стабильность и ожидаемое поведение активных программ-вымогателей и группировок. Правильное применение модели может помочь лицам, принимающим решения, судить о том, должны ли они взаимодействовать (и как) с вымогателями, а также указать на ожидаемое поведение группировки 🤝

EGMM помогает организациям оценить предсказуемость и стабильность группы угроз на основе 1️⃣9️⃣ уникальных параметров, которые затем используются для размещения группы на диаграмме рассеяния по двум осям - стабильность и предсказуемость, что дает попадание в один из 4 квадрантов: от хаотического поведения до стабильного и от предсказуемого до ненадежного 🤔

Все хорошо в этой идее кроме одного - ежемесячно появляется около 30 новых семейств шифровальщиков; кто будет оценивать каждое из семейств и стоящих за ними группировок по EGMM? Получается, что надо иметь в своем составе команду Threat Intelligence, которая и будет заниматься этим? Не все смогут...

Читать полностью…

Пост Лукацкого

Раз уж дал комментарий для радио, то чего пропадать контенту. Специалисты обнаружили уязвимость 18-летней давности, которая угрожает компьютерам под Linux 😁 и macOS 📱, на которых запущены браузеры Chrome 📱, Chromium, Firefox 📱 и Safari 📱. Уязвимость, названная "0.0.0.0-Day", позволяет вредоносным сайтам слать JavaScript-запросы 📱 к локальному адресу 0.0.0.0, а уязвимый браузер будет пересылать их на определенные локальные сервисы на компьютеры, что позволит злоумышленникам красть информацию, изменять настройки ПО, загружать вредоносный код и даже удаленно исполнять код.

На Windows данной проблемы нет, так как она блокирует такие внешние запросы к локальному IP. Разработчики браузеров сейчас в процессе исправления данной уязвимости: 👨‍💻
Google пообещала устранить этот баг в 128 версии Chromium (сейчас в бете) и закончить его к 133 версии Chrome.
Apple внесет изменения в очередную версию движка WebKit и в новом обновлении macOS она должна быть доставлена до пользователей
Mozilla в процессе решения данной проблемы, но когда это будет сделано не сообщается.

Процент web-сайтов, которые коммуницируют с локальным адресов 0.0.0.0 растет и сейчас составляет 0,015% от общего числа сайтов в Интернет, то есть всего около 100 тысяч web-ресурсов (с июня начался экспоненциальный рост).

Читать полностью…

Пост Лукацкого

Помните американскую компанию Johnson Controls, которую взломали 🧑‍💻 в прошлом сентябре, утянули много данных и потребовали выкуп в 50 миллионов долларов? Так вот тут на днях в ее видеокамерах, а она выпускает много всего промышленного, нашли 6 уязвимостей, которые позволяли хакерам получать доступ к видеосистемам и перехватывать видеопоток от уязвимых промышленных камер 🏭

А в Telegram-каналах вчера писали, что ВСУ получили доступ к видеокамерам, расположенным вдоль дорог 🛣 в Курской области, отслеживая перемещение российских войск в рамках контртеррористической операции. Самое интересное, что инструкции по взлому камер видеонаблюдения давно выложены на хакерских проукраинских сайтах. Ровно тот же способ применялся в начале конфликта Израиля и ХАМАС 🇮🇱

А групп в соцсетях, которые торгуют доступами к камерам видеонаблюдения в квартирах, фитнес-центрах, медкабинетах, борделях, загородных домах и т.п., вагон и маленькая тележка 🔞 И существуют они уже не первый год и с ними никто особо не борется. Но самое главное, что они показывают проблему, которая существует, - влияние хакеров на мир физический. И одно дело, когда кто-то наблюдает когда ты ковыряешься в носу, и совсем другое - когда данные перемещения войск сливают противнику, который потом бомбит колонну 🧨

То есть это тема-то не новая, но почему-то на нее мало кто обращает внимание. Видеокамеры и системы управления ими вообще могут не относится ни к ГИС, ни к КИИ, а значит и защищать их необязательно. И вот результат... 💥

Читать полностью…

Пост Лукацкого

Американская ипотечная компания LoanDepot, столкнувшаяся в январе с атакой со стороны Alphv/BlackCat, зашифровавших данные 16 миллионов пользователей, объявила о потерях в 42 миллиона долларов (около 1️⃣0️⃣🔣 всего полугодового оборота компании ❗️), которые включают в себя стоимость расследования и восстановления, стоимость уведомления клиентов об инциденте, стоимость консалтинга, судебные разбирательства и т.п. Также компанию ожидает групповой иск в размере 25 миллионов долларов 🤑

ЗЫ. Alphv/BlackCat объявили, что сейчас в процессе продажи украденных ипотечных данных 😾

Читать полностью…

Пост Лукацкого

Очередной конкурс ИБ-стартапов, на этот раз на BlackHat (BlackHat Startup Spotlight). Чем-то напоминает аналогичный конкурс на RSA Conference, но он другой 😊 В этом году финалистами стали 4 компании:
🔤 RAD Security - поведенческий мониторинг безопасности облаков и реагирование на выявленные инциденты (она же была финалистом конкурса и на RSAC)
🔤 DryRun Security - базирующаяся на ИИ защита для разработчиков, пользующихся GitHub
🔤 Knostic - контроль доступа к LLM для предотвращения передачи конфиденциальной информации
🔤 LeakSignal - классификация и защита в реальном времени конфиденциальных данных в процессе передачи

ЗЫ. Победил Knostic 🏆

Читать полностью…

Пост Лукацкого

Open-source инструмент D.I.A.N.A. на базе ИИ 🧠 - скармливаешь ему TI-отчеты с описанием TTP, даешь фрагменты логов и просишь написать детекты на нужном языке или в нужном формате. И вуаля... Мечта ИБшника... Правда, автор отмечает, что все хорошо работает только при условии хорошего "промпта", то есть описания TTP и логов. А без этого все как всегда - "на входе шлак и на выходе шлак" 🗑

ЗЫ. А вы и есть за меня будете?.. (с)

ЗЗЫ. Не путать с вредоносным фреймворком DIANA для обхода EDR, который сегодня поступил в продажу на черном рынке.

Читать полностью…

Пост Лукацкого

Сенатский комитет по разведке представил новый законопроект в рамках Закона об оборонной политике на 2025 финансовый год (NDAA), который предлагает приравнять атаки программ-вымогателей к актам терроризма 🥷 Этот законопроект направлен на борьбу с растущей угрозой со стороны программ-вымогателей, классифицируя их операторов как "враждебных иностранных киберакторов" и вводя санкции против стран, которые их защищают, обозначая их как "государственных спонсоров программ-вымогателей" ⛔️

Основные положения законопроекта включают:
1️⃣ Приравнивание шифровальщиков к терроризму, отражая их серьезное влияние и угрозу национальной безопасности 👮
2️⃣ Требование отчета от министра финансов с информацией о лицах, группах и организациях, участвующих в атаках программ-вымогателей с последующим их включением в санкции Управления по контролю за иностранными активами (OFAC) 😈
3️⃣ Генеральный ревизор будет докладывать о полномочиях различных агентств, включая Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и ФБР, по преследованию иностранных атак программ-вымогателей 🇺🇸
4️⃣ Законопроект перечисляет 18 групп программ-вымогателей, таких как Black Basta, подчеркивая изменчивую природу этих групп и продолжающиеся действия правоохранительных органов против них 🤠

Кроме того, NDAA на 2025 год фокусируется на более широких инициативах в области кибербезопасности и передовых технологий, включая программное обеспечение с поддержкой ИИ для Министерства обороны, технологии противодействия дронам и возможности квантовых вычислений. Он подчеркивает улучшение безопасности военных цепочек поставок и усиление стратегий кибербезопасности для управления мультиоблачными средами 🇺🇸

Если американцы 🇺🇸 примут законопроект и Байден его подпишет, что очень вероятно, то возможность накладывать санкции на Россию и другие потенциальные страны-спонсоры шифровальщиков можно будет даже после победы Трампа 🇺🇸

Читать полностью…

Пост Лукацкого

Написал заметку про то, почему SOAR мертвы и почему Gartner пометил эту технологию как "obsolete", то есть "изжившая себя" ⚰️

Читать полностью…

Пост Лукацкого

У MITRE есть проект по матрице внутренних угроз, очень похожий по идеологии на MITRE ATT&CK. Но, как это ни странно, он такой далеко не единственный и нашлись желающие внести свою лепту в создание очередного фреймворка по борьбе с внутренней угрозой. При этом, это не просто "очередная матрица". В новом проекте, Insider Threat Matrix, речь идет не только о методах, используемых инсайдерами, но и о мотивах и используемых ими средствах, а также о мерах обнаружения и защиты такой внутренней активности 👺

Если MITRE ATT&CK делить атаку на 14 тактик, то в Insider Threat Matrix таких фаз всего 5:
1️⃣ Мотив. Приводится 16 различных причин, побуждающих инсайдера совершать свои черные дела (шпионаж, низкая осведомленность, персональная выгода, самосаботаж, человеческая ошибка и т.п.). Можно заметить, что в списке причин не только злонамеренные, но и случайные причины.
2️⃣ Намерение (желание). 19 различных обстоятельств, которые позволяют реализовать нарушение (наличие Bluetooth, установка ПО, печать, снимки экрана, web-доступ и т.п.).
3️⃣ Подготовка. 22 действия, осуществляемые для того, чтобы достигнуть цели по нанесению вреда (обфускация данных, архивация данных, приватный/инкогнито серфинг, чтение реестра Windows, тестирование возможности печати и т.п.).
4️⃣ Нарушение. 18 приносящих вред действия (кража, неавторизованная печать документов, выноси физического носителя, нарушение бизнес-операций, установка неразрешенного ПО и т.п.).
5️⃣ Защита от расследования (антифорензика). 16 действий для заметания следов (очистка артефактов в браузере, удаление учетной записи, удаление файлов, подмена логов, стеганография, удаление ПО и т.п.).

Читать полностью…

Пост Лукацкого

Кстати, о победных коммуникациях 🥳 Был у меня в практике случай, когда меня позвали провести штабные киберучения для топ-менеджеров в одну группу компаний. Я приехал обсуждать сценарии, ограничения, проверяемые болевые точки, список участников и т.п. В конце я спросил, есть ли у заказчика какие-либо вопросы и просьбы. И я их получил 😫

Заказчик в лице CISO попросил, чтобы в рамках штабных киберучений я не проверял ряд сценариев, а по итогам я должен был бы исключить все негативные моменты и показать только то, как компания отлично справляется с инцидентами ИБ На мой логичный вопрос, а в чем тогда смысл, если никто ничего не планирует менять в процессах ИБ, я получил ответ, что в бюджете киберучения заложены 🤑 и в планах на год CISO эту тему заявлял, но его руководство не любит негативных новостей ☹️ и поэтому надо построить всего лишь потемкинские деревни, а за красивой картинкой останется разруха. От таких киберучений я отказался, но сама по себе ситуация не уникальна.

Очень важно, перед началом штабных киберучений, да и любых других ИБ-проектов, задаваться двумя вопросами - "Зачем это надо делать?" и "Какого результата мы хотим/нам надо достичь?". И уже по результатам ответов принимать решение, ввязываться в эту историю или нет.

Читать полностью…

Пост Лукацкого

Во время штабных киберучений, которые я провожу достаточно часто, один из сценариев, которые я проверяю с участниками, - "Вам прилетело письмо от регулятора. Как вы убедитесь, что это письмо от него, а не фейк?" И надо сказать, что этот сценарий все проходят по-разному - кто-то успешно справляется с ответом и предлагает варианты взаимной аутентификации, а кто-то с удивлением задается вопросом: "А что, надо проверять письма от регулятора?".

И вот яркий пример из жизни, что да, надо проверять. Хакеры из группировки UAC-0198 от имени Службы безопасности Украины отправляли фишинговые сообщения различным государственным организациям страны, с помощью которых было заражено более 100 компьютеров вредоносом AnonVNC. О последствиях не сообщается.

Такие кейсы не новость - известны случаи фишинговых сообщения от Службы нацбезопасности Армении, от ФСТЭК, новозеландского CERT, ФинЦЕРТа и т.п. Так что если у вас еще нет соответствующего плейбука, самое время задуматься и уточнить:
У почтовых доменов ваших регуляторов, включая региональные управления, включены DMARC, SPF, DKIM?
У вас есть контакты сотрудников регуляторов, у которых вы можете проверить факт отправки вам сообщений или сделанных звонков?
Вы знаете, как выглядят настоящие сообщения от регуляторов?
Вы читали мою предыдущую заметку про плейбук для сообщений регуляторов?

Читать полностью…

Пост Лукацкого

Если вдруг вы ищете презентации с BlackHat и DEFCON 2024, то их есть у меня:
👨‍💻 BlackHat
👨‍💻 DEFCON

ЗЫ. Там уже бОльшая часть, но, возможно, будут еще что-то докладывать!

ЗЗЫ. Презентации и видео с PHD2 тоже недурны ☺️

Читать полностью…

Пост Лукацкого

Тут Денис Горчаков в VK поделился размышлениями о современных HR-практиках и отношении молодежи к работе, которые могут быть отнесены в полной мере и к ИБ. И эта запись на стене Дениса меня тригернула, расставив в моей седой голове 🧔🏼‍♂️ все по полочкам. Не буду переписывать все, что написал Денис, утащу только одну фразу, которая лежит в основе трудоустройства многих молодых людей:

"Я здесь за то, что хорошо умею делать, могу и буду работать над тем, что сейчас вам нужно. Я здесь потому, что по совокупности условий у вас сейчас лучшее для меня предложение, оно максимально отвечает моим интересам. А я, очевидно, наиболее остальных отвечаю вашим требованиям"


Это некий манифест, который сильно отличается от того, что было раньше, когда именно работодатель правил балом и устанавливал крепостное право правила игры 🤕 Сегодня ситуация иная - сегодня правила устанавливает работник. А если работодателю это не нравится (и он при этом не монополист), то есть куча других, которые пойдут на условия кандидата и с этим надо мириться. Я 7 лет назад уже рефлексировал в блоге на тему "бывает ли безопасность с 10 до 18" ⌛️ и похоже я уже тогда сталкивался с проявлениями этого "кодекса фрилансера", о котором пишет Денис. Хочу - работаю там и тогда, как мне удобно; не хочу - не работаю. Я своего мнения не поменял, но похоже таких динозавров остается все меньше.

А самое главное, что это все влияет на ИБ. И с точки зрения выстраивания карьерьного пути 🗺 ИБшника внутри службы ИБ компании, и с точки зрения отношения к доверенной конфиденциальной информации (нет уже того пиетета, который был раньше), и с точки зрения выстраивания дежурных смен при круглосуточной работе, и с точки зрения мотивационных схем для ИБшников (деньги уже не решают 🤑), и с точки зрения организации рабочего пространства, и много еще с каких точек зрения. И те, кто этого не понимает, будут проигрывать гонку... и терять ИБшников, которые будут уходить в "смузяшные" компании.

Читать полностью…

Пост Лукацкого

Center for Threat-Informed Defense анонсировал новый проект по описанию процесса моделирования атак на базе матрицы ATT&CK. В целом ничего нового нет - просто процесс разложили на 4 этапа и каждый подробно описали с соответствующими примерами.

Сами этапы вытекают из типовых 4 вопросов, которые обычно задаются при моделировании угроз и применяются во многих других методиках:
Над чем мы работаем? На этом этапе мы описываем основные и второстепенные функции анализируемой системы и за счем декомпозиции выделяем ключевые активы системы.
Что может пойти не так (что может произойти плохого)? На этом этапе мы определяем и приотизируем угрозы для активов, определенных на 1-м этапе. Причем делаем мы это не в абстрактных описаниях угроз, а в виде списка техник из матрицы MITRE ATT&CK.
Что нам надо сделать с этим? Затем с помощью Mappings Explorer от CTID мы определяем защитные меры для определенных ранее техник.
Мы сделали все хорошо? А тут мы тем или иным способом проверяем, что мы ничего не упустили, например, с помощью кибериспытаний.

Что мне понравилось в этой методологии, так это важный момент, когда вам надо совместить теорию и практику. Ведь если следовать, например, методике ФСТЭК, вы просто теоретизируете, опираясь на собственный опыт, как можно реализовать ту или иную угрозу. А у того же НКЦКИ или ФинЦЕРТа рассылаются просто бюллетени с индикаторами или, иногда, с техниками по ATT&CK, на базе реальных инцидентов. Но как это совместить?

Я уже несколько лет в курсе по моделированию угроз предлагаю вариант, схожий с тем, что сейчас прописал у себя CTID - сначала вы выбираете техники из реальных инцидентов, описанных в TI-бюллетенях (то, что CTID называет "доказательствами"/evidence), а потом добавляете туда уже то, что CTID называет "теорией"/theory. А затем уже оцениваете угрозы по этим двум параметрам (то, чего у меня в курсе нет).

Читать полностью…

Пост Лукацкого

Как-то, после принятия 250-го Указа, я разговаривал с одним замминистра, который делился тем, как он проходил обучение, необходимое для замруководителя организации по ИБ, который упоминается в Указе Президента. Так вот обучение проходил не он сам 👨‍🏫 - был направлен один из администраторов ИБ, который и сидел 500+ часов на курсах, пока замминистра делом занимался. И экзамен тоже проходил админ. А все потому, что поднимать действующего руководителя отдела ИБ до замминистра никто не захотел/не смог, а Указ выполнять надо. А что делать организациям, в которых вообще нет нормального ИБшника? В таких случаях помогает vCISO 🧐

В России 🇷🇺 тоже есть такие сервисы и даже отдельные эксперты предлагают такие услуги. Поэтому достаточно интересно посмотреть, что предлагают vCISO за рубежом 🌎 Интересно, что в крупных компаниях на первое место по задачам vCISO занимает проверка существующих защитных мер 🔍, в небольших - GRC и разработка стратегии ИБ, а в самых крупных - GRC, оценка зрелости ИБ 💯 и менторинг молодых ИБшников. Если сложить упомянутые востребованные сервисы, то в Топ5 надо будет добавить еще определение бюджета на ИБ 🧮

Жаль, что в России установлены требования наличия собственного руководителя ИБ в штате (и хотя Минцифры допускает шаринг ИБшника между компаниями, ФСТЭК категорически против такого подхода) - у нас просто нет достаточного количества грамотных руководителей по защите информации 🤷‍♂️ В итоге многие занимаются очковтирательством и назначением на эти роли людей, которые очень далеки от ИБ (но близки к топ-менеджменту) 😕 Надеюсь, когда-нибудь это требование будет отменено и тогда услуги vCISO, разумеется, с четким описанием их сферы деятельности и ответственности за результат, станут еще более востребованными чем сейчас 🥺

Читать полностью…

Пост Лукацкого

Предвыборный штаб Дональда Трампа подтвердил факт взлома внутренней переписки ✉️ после того, как издание Politico начали получать документы из анонимного источника. Штаб обвинил в этом “враждебные иностранные силы”, возможно, Иран 🇮🇷, ссылаясь на отчет Microsoft о фишинговой атаке на высокопоставленного сотрудника президентской кампании в июне 2024 года. Документы, включая досье на кандидата в вице-президенты Джей Ди Вэнса, были переданы анонимом, что представляет собой серьезную утечку для кампании Трампа 🇺🇸

Вспоминается история 2016-го года, когда во время президентской гонки между Дональдом Трампом и Хилари Клинтон, хакеры взломали 👨‍💻 у последней личный почтовый сервер и утянули всю внутреннюю переписку, включая и все "грязное белье", которое затем распространялось в СМИ и в соцсетях 🤮 Отдельные эксперты считают, что эта утечка помогла Трампу получить доли процентов голосов избирателей, которых и хватило для победы. Интересно, повторится ли ситуация сейчас?.. 👠 Что еще опубликует Politico?.. 🤔

Читать полностью…

Пост Лукацкого

Алиса Сабо опубликовала триптих 🙌 про управление рисками (часть первая, вторая и третья), про подмену понятий, про то, как под анализом рисков пытаются втюхать всякую дичь, про то, что ИБшники ни хрена не понимают, что такое анализ рисков на самом деле, и вот это вот все. Я жду части про оценку вероятности и ущерба

Читать полностью…

Пост Лукацкого

Судя по тому, что сейчас пишут в каналах сопредельной страны, стоит ожидать новых фишинговых кампаний со следующими темами:
☢️ Радиационное заражение с Курской АЭС
🏃 Эвакуация Курска, Курчатова и других городов области (деньги за эвакуацию, "секретные" планы эвакуации, помощь в эвакуации и т.п.)
🏡 Сдача жилья в соседних с Курской областью городах (предоплата, сайты для поиска жилья и т.п.)
🆘 Волонтерская помощь (сайты и каналы с волонтерской помощью и т.п.)
✈️ Рост цен на авиабилеты за границу и т.п.
🔫 Мобилизация (секретные планы мобилизации и т.п.)

Как мне кажется, стоит включить эти темы в очередные занятия или расылки по повышению осведомленности, чтобы пользователи не попадались на удочку 🎣 и предупреждали и своих родных тоже; особенно если они живут и работают в Курской и сопредельных областях.

Читать полностью…

Пост Лукацкого

CrowdStrike под BlackHat выпустил очередной отчет по результатам своих расследований в... да, странно, выпускать летом отчет за 2024-й год, но как еще инициатору глобального коллапса отвлекать внимание от своих косяков?.. 🤔 На самом деле отчет берет интервал с 1 июля 2023 года по 30 июня 2024 года.

Для нашего региона отчет не то, чтобы интересный, все-таки он базируется на изучении техник, тактик и процедур группировок, атакующих, преимущественно США и их саттелитов 👨‍💻 Атаки на российские организации имеют немного иную картину, хотя анализ северокорейских и китайских группировок применим и к нам 🎃

Итак, на что обращает наше внимание CrowdStrike:
1️⃣ Интерактивных взломов (это когда хакер реально сидит в инфраструктуре жертвы и что-то там делает, а не просто заливает в нее вредоносный код, который работает по некоему алгоритму) стало на 55% больше
2️⃣ Использование средств удаленного управления выросло на 70% и в 27% всех интерактивных взломов задействованы были эти инструменты
3️⃣ Очень активна была группировка FAMOUS CHOLLIMA из Северной Кореи
4️⃣ Число атак на облачные среды выросло на 75%
5️⃣ 86% интерактивных взломов имели под собой финансовую мотивацию
6️⃣ Чаще всего атаковали технологический сектор (рост 60%). За ним идут сектор консалтинговых услуг (рост 58%), финансовые организации (25% роста), здравоохранение и ретейл. Если разделить взломы по мотивации - финансовая и таргетированная, то во втором случае в лидерах также телекоммуникационный и государственный сектора (52% и 160% роста соответственно), а в первом добавляется еще промышленность (43% роста).
7️⃣ В отчете непривычно много рекламы самих себя 🤠

Читать полностью…

Пост Лукацкого

Тут очередной опрос CISO подогнали, в котором задаются классические вопросы про ежегодный доход, подчиненность, управляемые функции и т.п. Но обратить внимание я хотел бы на один вопрос - "Как вы оцениваете эффективность трат на ИБ?" ⁉️

Самый популярный ответ - соответствие плана заранее определенным KPI 🤠 Такое себе, если честно. Поставил себе цели "на полшишечки", достиг их к концу года и все, в шоколаде. Бонус получил, медаль на грудь, и на следующий круг. На втором месте - снижение поверхности атаки. Вполне понятная, но тоже слишком техническая история. Третье место занимает соответствие требованиям и с небольшим отрывом от него - скорость и аккуратность реагирования на инциденты И снова - ни один из этих показателей не имеет никакого отношения к тому, что интересно бизнесу. Отсюда и высказывание одного CFO на нашем бизнес-завтраке - "как объясняют, так и бюджет получают". И только на последнем месте в Топ5 - снижение бизнес-затрат (потерь). Странно, что нашлось 9% тех, кто оценивает свою эффективность по снижению расходов на ИБ 🤔

Читать полностью…

Пост Лукацкого

"Кибрарий" Сбера 🏦 опубликовал карту знаний CISO, как это видится самому Сберу (она у меня уже 6-я или 7-я в коллекции). Лично мне она не зашла. Как по мне, так она не про лидера ИБ 🧐 Она описывает знания уровнем ниже, там где важны технологии ИБ, а не кросс-функциональные темы - финансы, лидерство, работа с людьми, работа с ИТ, внутренний маркетинг, общение с топами и советом директоров, антикризисное управление и т.п.

Ну и выбор иерархической структуры для карты знаний 🗺 неудачен, так как она подразумевает движение сверху вниз или снизу вверх, а карта знаний должна оперировать плюс-минус равнозначными доменами. Карта (mindmap) 🗺 того же Рафика гораздо ближе к тому, что, по моему скромному мнению, стоит знать человеку, должность которого начинается с "Chief". Но с другой стороны, кто я такой, чтобы судить о том, какие знания нужны для приема на работу в Сбер? Возможно, в одной из крупнейших в России экосистем с иерархическим управлением, другого и не надо 🛡

ЗЫ. А вот список технологий, используемых в Сбере (самый нижний уровень), - это прям хорошо. Будет полезно даже тем, кто не планирует быть CISO, а хочет просто работать в "зеленом Банке" 🏦

Читать полностью…

Пост Лукацкого

Тут вот в LinkedIn народ флеймит на тему "все беды от управления уязвимостями" 😱 CVSS - говно, всё - ложные срабатывания, патчи для Линукса и контейнеров - сложно, NVD утонула в бэклоге, "вендора" open source не заинтересованы в обновлении своего ПО, приоритизация сильно зависит от конкретной организации (о, я про это писал), управления активами ни у кого нет... 😭

ЗЫ. Рецепта, что с этим делать, автор не приводит 😊

Читать полностью…

Пост Лукацкого

МинЦифры запустило «убийцу VirusTotal” - https://virustest.gov.ru/ В прошлый раз, в 2021-м году, этот же сервис на том же адресе запускала ФСБ. А в 2019-м такой же сервис обещал запустить ФинЦЕРТ. Бог любит троицу, так что эта попытка должна быть удачной 🤞

Читать полностью…
Подписаться на канал