Австралия 🇦🇺, Великобритания 🇬🇧, Германия 🇩🇪, Канада 🇨🇦, Корея 🇰🇷, Новая Зеландия 🇳🇿, США 🇺🇸 и Япония 🇯🇵 выпустили руководство по безопасности АСУ ТП 🏭 Эти рекомендации содержат шесть ключевых принципов для обеспечения безопасности систем промышленной автоматизации: соблюдение безопасности, понимание ценности данных АСУ ТП, сегментация сетей, защита цепочек поставок и важность человеческого фактора 🤓 Ждать много от этого руководства не стоит - это все-таки принципы, то есть ответ на вопрос "ЧТО", а не детальное описание "КАК". Но как точка отсчета вполне себе...
Читать полностью…Вчера, в Нижнем Новгороде, на конференции Олег Седов, в дискуссии про руководителей ИБ, сославшись на коллег из лондонского KPMG, привел три уровня зрелости CISO, которые, как мне кажется, очень неплохо, в одно слово, показывают отличия в восприятии своей роли и бизнес-ориентированности 🧐
1️⃣-й уровень. Ответ на вопрос "🔤🔤🔤". На этом уровне специалист по ИБ, он даже еще вряд ли руководитель, просто делает то, что ему говорят регуляторы, ИТ, начальство... Особо не задумываясь о том, нужно это или нет.
2️⃣-й уровень. Ответ на вопрос "🔤🔤🔤". На этом уровне специалист начинает задумываться, как реализовать то или иное требование. Например, защита web-приложений, которую можно реализовать как через on-prem Web Application Firewall, так и через облачный WAF. Та же история с мониторингом и реагированием, которые можно реализовать за счет собственного или аутсорсингового SOC;
3️⃣-й уровень. Ответ на вопрос "🔤🔤🔤🔤🔤". На верхнем уровне важно не ЧТО и не КАК, а ЗАЧЕМ это все надо. Может оказаться, что оно и не надо или что дешевле не делать, приняв риски или заложив оплату штрафа за невыполнение в бюджет.
Как и любая модель, эти три уровня, конечно, позволяют взглянуть на роль руководителя ИБ достаточно упрощенно, но при этом подсветив ключевые задачи и отличия 🤔
Технологии искусственного интеллекта, особенно deepfake, стремительно развиваются и представляют как возможности, так и угрозы для различных отраслей 🎭 Deepfake — это гиперреалистичный, синтетический и искаженный аудио, видео и цифровой контент, который сложно отличить от реальности, что создает как положительные, так и негативные последствия для людей, бизнеса и государства 🔪 Среди рисков:
1️⃣ Мошенничество с идентификацией
2️⃣ Несогласованные манипуляции с личными данными
3️⃣ Распространение дезинформации.
Обычно все рассматривают негативные стороны дипфейков, но их можно использовать в различных сферах, таких как маркетинг, развлечение, образование и медицина с благими намерениями 😇 Предлагаемое руководство описывает как правильно и этично создавать дипфейки, а также как распознавать их рядовым пользователям. Например, разработчикам deepfake рекомендуется: 👨💻
1️⃣ Защищать данные пользователей
2️⃣ Получать согласие на использование их персональных, часто биометрических, данных
3️⃣ Обеспечивать прозрачность создания deepfake
4️⃣ Внедрять системы контроля с помощью человека.
От пользователей ждут: 🪞
1️⃣ Проверки источников цифрового контента
2️⃣ Анализа аудиовизуальных элементов на наличие несоответствий
3️⃣ Использования ИИ-инструментов для выявления признаков манипуляции.
Как по мне, так неработающие советы на практике.
Следуя описанным в руководстве рекомендациям, местами высокоуровневым, можно с пользой использовать потенциал deepfake, минимизируя его риски. Не могу сказать, что руководство отвечает на все вопросы, но то, что кто-то озаботился созданием такого документа, это прям хорошо. Не все только описывать, как бороться с дипфейками.
На октябрь у меня запланировано почти полтора десятка выступлений. Но особо я бы хотел отметить два, которые пройдут на Positive Security Day 10-го октября (регистрация открыта). Точнее, речь идет о модерации двух секции, посвященных безопасной разработке и искусственному интеллекту 🧠
В первой я вернусь почти к истокам, ведь я начинал карьеру в ИБ именно как программист средств шифрования 👨💻 Но 30 лет назад никто о DevSecOps в привычном сейчас виде не думал - максимум, это военпреды, принимающие работы перед сдачей их заказчику в погонах. Во второй дискуссии мы будем говорить не об ИИ в ИБ, а наоборот - об ИБ для ИИ. Ведь часто компании внедряют ИИ-проекты, даже не думая о безопасности и доверии к моделям и используемым датасетам 🙌
Эти две темы не так часто находятся на повестке специалистов по ИБ и хочется немного изменить эту ситуацию 🤠 К обеим подготовил недурные, как мне кажется вопросы, местами провокационные, чтобы заставить участников из 🟥 и со стороны заказчиков и партнеров поерзать на своих креслах 💺
В центре внимания — исследовательский проект “Mythical Beasts”, который изучает связи между 435 организациями, связанными с глобальным рынком шпионского ПО в 42 странах 🥷 Он раскрывает ключевые тенденции, такие как концентрация в Израиле 🇮🇱, Италии и Индии, сотрудничество с производителями аппаратного обеспечения для слежки, а также регулярные изменения в идентичности поставщиков и перемещение по юрисдикциям для обхода ограничений 🥷
Проект предлагает улучшить прозрачность рынка для более эффективного контроля шпионского ПО, что выглядит немного смешно для ПО, которое активно используется в том числе и государственными организациями, и спецслужбами, которые точно не захотят никакой прозрачности 🥷
ЗЫ. Некоторые данные местами устарели, а некоторые и вовсе не соответствуют действительности (хотя проект датируется сентябрем 2024), что ставит под сомнение и весь анализ, и выводы 🤔
Кто-то где-то когда-то мастурбировал в электричке, что попало на видео и стало распространяться в Интернете, что потребовало реакции правоохранительных органов, возбудивших уголовное дело 👮, которое уже вошло в анналы (чьи-то точно).
Поражает формулировка установочной части… Я последние лет 15 говорю, что наше уголовно-процессуальное законодательство не очень хорошо подходит для цифрового мира. Зато по данным МВД ущерб от компьютерных преступлений с начала года превысил 116 миллиардов рублей. Уж что-что, а палки статистика 📈 у нас на высоте.
В наступающем октябре разворачиваются события, которые можно смело назвать эпопеей в мире информационной безопасности, словно два тома великого романа о сражении добра и зла в цифровом пространстве ⚔️ Эти два события — SOCtech и SOCcon — представляют собой масштабные главы, описывающие вечную борьбу между светлыми силами специалистов по кибербезопасности и темными легионами хакеров 🥷
15 октября в сердце России, как на поле великого сражения, начнется SOCtech. Здесь, подобно великим полководцам, соберутся лучшие из лучших — те, кто на передовой защиты данных и сетей. Подобно героям первого тома "Войны и мира", они обсудят стратегии и тактики, готовясь к неизбежным атакам врага, делясь опытом и новейшими технологиями, словно оружием, готовым к бою 🛡
Но это лишь прелюдия к событиям второй части, ибо через две недели, 30 октября, столица Беларуси станет ареной не менее масштабной встречи — Positive SOCcon. Как во втором томе эпопеи Льва Николаевича, здесь развернется дальнейшее повествование о борьбе, в которой каждая ошибка 😵 может привести к фатальным последствиям. Силы специалистов по ИБ объединятся вновь, чтобы противостоять мощным атакам, что каждый день угрожают стабильности цифрового мира 🔓
Два города, два сражения, одна великая цель 🤕 — победа над хаосом и восстановление порядка в мире информационной безопасности. Станьте частью этой грандиозной эпопеи, где решаются судьбы киберпространства!
Регистрация на SOCtech уже открыта, а у меня для вас подготовлен промокод KazimirSOC. Регистрация на Positive SOCcon откроется совсем скоро. Следите за анонсами на сайте мероприятия 👉
Инцидент произошёл в выходной
Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.
Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.
Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.
Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.
Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).
Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.
Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.
Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.
Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».
Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.
Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.
В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.
Смотрю на очередной рейтинг лидеров мирового SIEMостроения без позитива 🏆 Все эти квадраты, волны, радары… теряют смысл, так как там или все лидеры или вот-вот станут ими. А если ты аутсайдер, то ты и не захочешь попадать в рейтинг, ссылаясь на то, что тебе не надо. И вот зачем тогда это все? 🤔
А самое главное, как этот рейтинг 🏆 отвечает на вопрос: "Подойдет ли мне SIEM из списка?" Почему критерии, которыми пользовалась IDC, должны совпадать с моими собственными? А насколько безопасен сам продукт? 🤔 Рейтинги, аналогичные IDCшному, обычно проверяют только функционал продукта или возможности самого производителя, но не его способность к реальной ИБ, так как это требует либо собственной команды пентестеров, либо привлечения внешних. Но это совсем другой уровень тестирования и оценки... 🪜
Я вот представил, что IDC говорит участникам своего обзора: «А теперь мы будем проверять вашу реальную ИБ с помощью пентеста!» 🤕 Как вы думаете, многие ли останутся на финишной прямой? Вот почему, например, не все российские разработчики WAF участвовали в независимом тестировании с участием пентестеров?
Неожиданно… Кто бы мог подумать, что Accenture - лидер по объему продаж в ИБ в мире 🤔, обойдя всех "чисто ИБ" игроков. Интересно, это на чистом консалтинге они столько зарабатывают или еще перепродажей ИБ-решений тоже занимаются?.. 🤔
Читать полностью…После моего выступления на Positive Tech Day меня спросили, почему я большинство примеров показывал применительно к Windows 🪟 и совсем не описывал кейсы с Linux, особенно с Астрой 😁 Я решил ответить не сам, а попросил в зале поднять руку тех, кто перешел на Astra Linux. Из трех сотен участников поднялось всего 3-4 руки 🤘, что можно считать ответом и на вопрос ко мне и вообще не вопрос об уровне импортозамещения в стране (я такие же вопросы часто задаю и в других городах - везде схожая история).
Поэтому тема безопасности Windows 📱 еще долго не перестанет быть актуальной для российских пользователей. Тем интереснее посмотреть на новый документ "Detecting and Mitigating Active Directory Compromises" от альянса "Пяти глаз", выпущенного на днях. В нем спецслужбы Австралии, Великобритании, Канады, Новой Зеландии и США, описывают 17 распространенных техник атак на Active Directory и способы их нейтрализации 🛡
На этом фоне не могу не напомнить. что на портале "Резбез" выложено 3 документа, посвященных безопасности Active Directory:
1️⃣ Рекомендации по защите службы каталогов Active Directory от типовых атак (на портале и в TG-канале)
2️⃣ Защита от основных типов атак в среде Active Directory (на портале и в TG-канале)
3️⃣ Встроенные средства защиты Active Directory (на портале и в карточках на TG-канале)
На прошедшем Positive Tech Day в Новосибирске (все презентации уже выложены на сайте) довелось модерировать финальную дискуссию "Как донести до топ-менеджмента важность кибербезопасности" 🤔 И один из участников дискуссии, Молдалиев Тимур, начальник управления ИБ Нефтехимсервис, рассказал свой лайфхак.
Как капитан "красной" команды Codeby, которая уже несколько лет побеждает на соревнованиях Standoff 🤜, он просто демонстрирует руководству, как можно сломать ту или иную систему в своей компании. Эта наглядная демонстрация помогает легко объяснить собственнику, что произойдет, если не инвестировать в ИБ 🤑
Не все могут сделать тоже самое, но это хороший пример, который ускоряет процесс погружения в ИБ руководителей 🏊♂️ На внешние пентесты все-таки надо еще получить деньги 💰 (хотя на дискуссии звучало, что иногда тесты делаются бесплатно в качестве помощи заказчикам и в надежде на будущие инвестиции), а тут все под ругой - сам сломал, сам защитил. Деньги на сторону не уходят - экономия налицо 🤑 Еще один довод в пользу "растить своих пентестеров и прокачивать их навыки на киберполигонах".
Все, что вы не знали о хакерах и защите от них 👀
Гость второго выпуска «Думай как» — Алексей Лукацкий, один из лучших специалистов по кибербезопасности с 30-летним стажем.
Почему в России такие сильные айтишники? Какими были первые хакеры? Как устроен мир черных и белых хакеров? Можно ли раз и навсегда избавиться от киберпреступности? Правда ли, что взломать чужой мозг будет так же просто, как смартфон? Как защититься от очередной кибератаки?
Ответы на эти и другие вопросы — в нашем интервью.
Посмотреть его можно и на других платформах:
📺 YouTube | 📺 Rutube | 📺 VK Видео
😮 Таймкоды:
00:44 — «Дедпул и Фиксики»: какие фильмы смотрит наш гость
01:34 — чем занимается Алексей Лукацкий
01:57 — в чем схож российский балет и отечественная IT-индустрия
04:03 — первые хакеры: какими они были
06:52 — почему Адама можно назвать первым хакером
07:47 — про запуск «Спутника-1» и зарождение интернета
10:22 — Роберт Моррис и его сетевой червь
12:50 — как появились киберпреступники и кто такие фрикеры
15:43 — чем отличается шпион от разведчика, а белый хакер от черного
17:15 — главные технологические открытия 90-х
19:11 — люди, которые внесли вклад в развитие отрасли кибербезопасности
23:00 — как развивается кибербезопасность в России
28:11 — ОПГ и APT: что общего у этих аббревиатур
34:18 — как действуют хакерские группировки и почему это пока только «ягодки»
39:02 — наши бабушки становятся хакерами
40:46 — когда нас ждет «Черное зеркало»
44:22 — почему деньги уже не единственный мотив для хакеров
48:05 — можно ли будет взломать мысли человека
50:08 — простые правила, которые помогут защититься от кибератак
52:31 — «Кому мы должны?»
@PositiveHackMedia
MITRE расширила свою модель угроз EMB3D, добавив ключевые защитные меры по нейтрализации угроз для встраиваемых устройств, которые используются в критической инфраструктуре 🏭 Модель помогает компаниям и производителям средств промышленной автоматизации выявлять угрозы и внедрять соответствующие механизмы защиты 🛡
Эти меры сгруппированы в три категории: базовые, промежуточные и расширенные, что позволяет организациям приоритизировать свои стратегии безопасности. Все меры соотносятся с международным стандартом ISA/IEC 62443-4-2 для автоматизации и управления промышленными системами 🛡
Тут на одной онлайн-платформе по подготовке аналитиков SOC ввели персонажей, которые помогают пользователям с лабораторками. Первый такой персонаж - это оммаж на мою главную аватарку 😇 Прикольно получилось 😎
Читать полностью…Не забывайте, что риск - это не только и не столько угроза, то есть что-то отрицательное. Это, и в первую очередь, возможности, то есть что-то положительное 💡 Да, вы можете потерять, но вы можете приобрести. Задача - не просто найти баланс, а сделать так, чтобы возможностей было больше, а не только, чтобы угроз было меньше. Подумайте, на чем вы больше сконцентрированы? Бизнес от вас ждет фокуса на возможностях, а не на угрозах! 💡
Читать полностью…Близится 1 января 2025 года... Растет число мероприятий по импортозамещению в преддверие сроков, указанных в 250-м Указе Президента. Но чуда не происходит 😱 На мероприятиях, на которых мне доводится бывать и где у меня есть возможность спрашивать о том, насколько далеко продвинулись люди в замене иностранцев на российское, они не так оптимистичны, как наши депутаты или иные чиновники, рапортующие о 90% замене ушедших компаний на отечественные продукты.
В реальности картина иная 😦 Полный переход осуществили 3-7%, процентов 20 перевели на бумаге, продолжая пользоваться привычными решениями. Треть живет по принципу "пока гром не грянет" (ответственности-то никакой не предусмотрено за отказ от импортозамещения). Остальные находятся в позе Ван Дамма между двумя грузовиками... Ждем-с...
IDentity Verification, дополненная кибербезопасность, GenAI, внутренние угрозы, Zero Trust, сторителлинг и бизнес-вовлеченность CISO, толерантность к инцидентам, киберучения, SecDevOps и безопасность цепочек поставок... Вот список основных тем, которые обсуждались на лондонском Gartner Security & Risk Management Summit 🇬🇧 О российских трендах мы поговорим через неделю, но могу сказать, что пересечений у нас от силы 35-40% 🔮
Читать полностью…Проект Russian APT Tool Matrix содержит список инструментов, которые используются якобы российскими APT-группировками 🎃 Разработан на базе проект Ransomware Tool Matrix, который содержит список инструментов, используемых различными шифровальщиками (кража данных, обход средств защиты, кража учетных записей, поиск жертв, сетевые коммуникации и т.п.) ☁️
ЗЫ. Второй проект интереснее первого.
Как говорилось в известном фильме: "Ты определись, ты Игорь Иванович или ты анонимный!.." 🤔 Либо ты настаиваешь и доказываешь, что информация не твоя (но тогда зачем признавать инцидент), либо посыпаешь голову пеплом и устраняешь причины, приведшие к инциденту 🔓
Но вообще объяснение компании, конечно, занятное и лишний раз демонстрирует отличия результативной ИБ от бумажной ✔️ Ну кого волнует, сколько бумажных требований ты выполнил, если у тебя произошел инцидент и хакеры нарушили целостность системы? Тем более, что НКЦКИ про атаки на подрядчиков говорит уже третий год. А уж пассаж "инцидент произошел в выходной день" стоит отдельного занесения в анналы... ✍️
И хотя взрывчатку 💥 в ливанских пейджерах у членов Хезболлы вряд ли можно отнести к инцидентам ИБ (чтобы и как бы там не наш МИД), но сам кейс интересен тем, что он меняет модус операнди в мире не только безопасности, но и кибербезопасности в том числе 🛡
Читать полностью…В Подмосковье объявлен конкурс на «Лучший анонимный телеграм-канал».
Организаторы конкурса за возможность выиграть приз до 500 тысяч рублей предлагают оставить все свои личные данные — вплоть до серии паспорта и домашнего адреса, а также указать, автором какого из анонимных тг-каналов является участник и подписать согласие на обработку персональных данных.
Количество желающих принять участие в конкурсе на лучший анонимный канал не известно, но сроки подачи заявок кончаются 30 сентября (так что если кому нужно, еще можно успеть).
Вот она - анонимность по Подмосковному 🤪
🚀 Котельники 24
Прислать новость 🐈⬛
После заявления Дурова, что Telegram 📱 начнет передавать правоохранительным органам контакты владельцев каналов с запрещенным и вредоносным контентом, начался предсказуемый исход из Телеги (я про него недавно в Абу-Даби рассказывал) 🎩
На первой картинке только один из примеров, где хакерская группировка заявила о своем уходе в Даркнет 🥷 А есть те, кто ничего не публикует и ни о чем не предупреждает. На втором скриншоте представитель группировки RCH-SEC, которая еще недавно активно атаковала французские ресурсы за арест Дурова, заявил, что уходит из Black Hat 🎩 из-за изменений в политике Telegram.
ЗЫ. Отслеживать группировки станет гораздо сложнее...
ЗЗЫ. Имеют ли изменения в политике мессенджера и решение о передаче данных правоохранительным органам обратную силу? Будут ли сданы IP всех, кто регистрировал каналы и учетные записи, занимающиеся плохими делами?.. 🤔
Meta (запрещена в России) оштрафовали на 91 миллион евро за хранение паролей сотен миллионов пользователей в незащищенном виде. Dr.Web сбросил пароли всем своим пользователям (ничего не произошло, говорите…). SpecOps выпустил отчет об украденных с помощью ВПО 2,1 миллионах паролей к VPN-сервисам и шлюзам. И только Eminem показывает как надо - он рекомендует выбирать всем пароли как у него ☝️
Читать полностью…В посольствах и консульствах есть определенные регламенты и инструкции на случай захвата 🎖 их врагами, например, уничтожение или сжигание всех важных и секретных документов, уничтожение ключей шифрования и самой шифртехники в определенных случаях 🤯 И вот один из подписчиков подкинул мысль, что на фоне происходящего в Курской области, когда захватываются те или иные населенные пункты со всей ИТ-инфраструктурой, модели угроз специалистов по ИБ такую возможность физического захвата зданий, в которых располагаются защищаемые системы обычно не предусматривают 🤔
Все строится на предположении, что здание всегда защищено и является контролируемой зоной ⚔️ Но различные военные операции и террористические акты в разных регионах показывают, что это не так. И при этом информационные системы связаны общими сетями, пароли хранятся в конвертах 🦺 или в файликах на дисках захваченных компьютеров, VPN-шлюзы позволяют удаленное подключение и т.д. То есть захват одного здания может скомпрометировать всю инфраструктуру и в других зданиях и регионах тоже. А вы предусмотрели это в своей модели угроз? 🫡
Красивое, но бессмысленное и имеющее такое же отношение к Cybersecurity 101, как слово из трех букв к изучению всего русского языка. Кибербез гораздо многограннее 🤠
Читать полностью…