Хочу отметить, что в пакете спутникового ТВ 📡 каналы ВГТРК так и не появились. А уже прошло три недели с момента атаки на ресурсы телерадиокомпании. В приложении KION той же компании каналы присутствуют 🤔 Анализ форумов и чатов техподдержки по другим нашумевшим кейсам последнего времени показывает, что компании восстанавливают свои основные функции не менее 10 дней, а некоторые и поболе ⏳
Читать полностью…Проект CVE на днях отпраздновал свое 25-летие, начав с 321 записи в 1999 году и достигнув почти 29 тысяч в год в 2024-м (велик шанс, что в этом году будет достигнута планка в 30 тысяч записей). Проект хороший, но последние события (да-да, я про исключение мейнтейнеров Linux, работающих в подсанкционных компаниях) показывают, что все разговоре о свободе и благе для всех заканчиваются, когда речь заходит о геополитике. Когда я 9 лет назад выступал на тему "А что если нас завтра отключат от CVE?" многие поднимали меня на смех, но вот уже 2024 год и многие прогнозы сбываются.
Китайцы пилят свою базу, европейцы начали тоже, у нас есть БДУ... Видимо мы вплотную подошли к тому моменту, когда балканизация ИТ будет неизбежна. Это один из сценариев развития, который предсказывается разными аналитиками, и он все ближе. США, Китай, Россия - три больших блока, которые создают свое - свои операционки, свое железо, свои средства защиты, свои open source проекты (как бы странно это не звучало), свои базы знаний... Еще немного и протоколы у всех будут свои. Ну или выход в зарубежных Интернет только при наличии визы разрешения.
В издательстве «Бомбора» в конце года должна выйти книга 📖 известного специалиста в области информационной безопасности Адама Шостака (Adam Shostack), которая вышла в прошлом году и в оригинале называется «THREATS. What Every Engineer Should Learn from Star Wars» 🛸 На Хабре опубликован обзор этой книги от ее переводчика, человека с сорокалетним стажем в области ИТ и перевода.
Так как я давно интересуюсь темой моделирования угроз, а Шостак является одним из самых известных специалистов в этой сфере, написавшим ✍️ до последней книги еще как минимум одну, а также сотворившего множество статей и презентаций, то я ознакомился с книгой Адама еще в оригинале. Не могу сказать, что я со всем согласен, что он пишет 🤓 И не все моменты он прям так уж подробно и понятно разъясняет. Но в любом случае его книга занимает достойное место в моей виртуальной библиотеке.
Так что рекомендую следить за анонсами издательства и купить книгу по мере ее выхода 🤑 Ну или я про это напишу, когда узнаю о выходе книги. Все-таки "издательство предполагает, а Байден располагает". Перевод и публикация книг американских авторов - сейчас занятие непростое и непредсказуемое 🤷♀️
ЗЫ. Помню кейс, когда одна отечественная компания перевела 10 стратегий построения SOC Циммермана на русский язык, но так и не смогла опубликовать его, не получив разрешения от правообладателя 🖕 А уже выложенные переведенные главы даже пришлось удалить с сайта. Сейчас, может быть, можно уже было бы и выложить этот перевод вновь, но тут решать тем, кто переводил ✍️
А вот новая матрица от автора Russian APT Tool Matrix и Ransomware Tool Matrix 😷 На этот раз про уязвимости, используемые шифровальщиками в рамках заражения, закрепления в системе, повышение привилегий, распространения по внутренней сети 🗡
Читать полностью…Интересный проект от Center for Threat Informed Defence - Attack Flow, который представляет собой, базирующийся на STIX, язык описания цепочек атак 📇 злоумышленников по достижению ими своих целей через комбинацию различных техник MITRE ATT&CK. С помощью Attack Flow можно описывать угрозы и реализующие их группировки, проводить эмуляцию угроз, разрабатывать методы обнаружения и реагирования на угрозы и т.п. Язык позволяет описывать различные действия (в том числе параллельно реализуемые), условия реализации тех или иных действий, комбинирующие операторы И и ИЛИ, активы и т.п. 🔓
В качестве примеры на сайте MITRE Engenuity приведено множество примеров описания с помощью Attack Flow различных атак, инцидентов и группировок - Turla, NotPetya и WhisperGate, взломы Uber, SolarWinds и SWIFT, использование уязвимостей в Ivanti и т.п. 🤕
Интересный проект... Иностранцы активно начинают смотреть в сторону цепочек 🔗 атак, понимая, что борьбы с атомарными событиями обречена на неудачу. Последних становится столь много, что не объединяя их в пути/цепочки, можно потратить множество ресурсов, но так и не добиться нужного результата.
Отечественная киберполиция решила сделать анимационный сериал по ИБ. Подготовлена первая серия про семью Везунчиковых и телефонных мошенников 🍿
Читать полностью…Хорошо, что мошенники немного туповаты и не могут даже разузнать, как выглядят реальные нормативные акты и предписания ФСБ 🇷🇺 Плохо то, что и большинство граждан и организаций этого не знает и ведется на такие вот письма 👮
Читать полностью…В ИТ, да и в ИБ-индустриях, которые исторически были преимущественно мужскими, многие женщины сталкиваются с ограниченными возможностями для карьерного роста 👵 Согласно исследованию, проведенному компанией Acronis, основными проблемами для женщин являются нехватка наставничества, недостаточные условия для поддержания баланса между работой и личной жизнью, а также, в некоторых случаях, культура исключения 👱🏻♀️
Одним из ключевых выводов опроса стало то, что 71% женщин в IT работают сверхурочно 👵, чтобы увеличить свои шансы на карьерный рост. При этом 31% опрошенных женщин считают, что мужчины продвигаются по службе быстрее, несмотря на равное количество выполненной работы 🚶♂️ Это указывает на продолжающееся неравенство, хотя 32% женщин отметили, что считают, что мужчин и женщин на рабочем месте уже оценивают одинаково.
Кроме того, 63% женщин в области IT и кибербезопасности отметили недостаток женского лидерства 👠, а 84% опрошенных уверены, что наличие большего числа женщин на руководящих позициях принесло бы пользу технологическим компаниям 🙂
Вопросы карьерного роста также остаются актуальными. Лишь 34% женщин считают, что программы обучения и развития, доступные для женщин, способствуют их продвижению 👠 Большинство (63%) выделяют такие мероприятия, как мастер-классы и курсы обучения, как наиболее важные для их профессионального развития. Также популярными оказались сетевые мероприятия (58%) и участие в профессиональных организациях (44%). Женсовет по ИБ рулит 🍭
Среди инициатив, которые, по мнению опрошенных, компании могли бы реализовать для улучшения гендерного равенства, на первом месте стоят возможности наставничества (51%), привлечение более разнообразных кандидатов (49%) и равенство в оплате труда (49%) 🤨
Примечательно, что 20% женщин назвали отсутствие возможностей основной причиной, по которой женщины не идут в кибербезопасность. Также 25% отметили, что предпочитают сосредоточиться на создании семьи. Некоторые женщины избегают IT, полагая, что "не впишутся" в мужской коллектив (9%) или не хотят работать в индустрии, где доминируют мужчины (15%) 👠
Наконец, 60% женщин в IT регулярно фиксируют свои достижения для дальнейшего использования при продвижении по карьерной лестнице, что может стать ключом к преодолению существующих барьеров 🤬
Алонна Геклер, вице-президент Acronis, подчеркнула, что привлечение женщин в IT не только важно с точки зрения равенства, но и приносит стратегические преимущества ❤️ Женщины вносят новые идеи и креативные подходы, что улучшает работу команд и повышает конкурентоспособность компаний ↗️
Ну и снова про Bug Bounty, но со знаком минус 🐞 Как пишет SecurityLab, жительница Красноярска обнаружила ошибку на сайте Wildberries, позволяющую получать товары бесплатно 🛒 Девушка воспользовалась багом и оформила заказов на сумму 1,2 миллиона рублей. Любительницу легкой наживы быстро поймали и сейчас ей грозит до 10 лет лишения свободы за мошенничество в особо крупном размере 👮
А ведь если бы багхантерша легально зарегалась в программе Bug Bounty компании Wildberries, то она могла вполне получить 500 тысяч рублей за найденные уязвимости и накупить себе всякого разного 🛍 Да, это меньше 1,2 миллионов, но зато честно и без риска присесть на 10 лет. Так, глядишь, ей бы понравилось и она бы стала постоянной участницей и заработала бы свои миллионы абсолютно честным путем. Но увы... 😡
Как утечки данных влияют на стоимость акций на фондовом рынке 📈📉
Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.
Основные выводы:
➡️После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.
Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.
#breach #business #stock
Сегодня я весь день на "Форуме Будущего" в Екатеринбурге, где у меня будет визионерский доклад про ближайшее будущее кибербеза ☝️, продолжающий прошлогодний рассказ здесь же, а также, по приглашению друзей из компании УЦСБ, модерация трех дискуссионных панелей про технологический суверенитет, ИБ и искусственный интеллект, а также культуру ИБ. Приходите на ИБ-трек - тут точно скучно не будет 🆗
Читать полностью…Очередная модель зрелости SOCов ↗️ На этот раз от Accenture. Вполне очевидные переходы с первого до второго уровня - от мониторинга периметра до использование централизованного сбора логов и событий и даже построения Data Lake 👩💻 Третий уровень вопросов не вызывал бы, если бы не четвертый - автоматизация и продвинутая аналитика. Где-то они меняются местами, так как проводить более глубокий анализ иногда проще, чем реализовать автоматизацию ⚙️
На пятом уровне появляется обнаружение цепочек атак, полная автоматизация, обнаружение инсайдеров 🙂 Последний момент, кстати, интересный, - обычно SOCи и средства мониторинга фокусируются на внешнем враге, на APT. А тут предлагается взглянуть еще и вовнутрь 👀
В начале сентября 2024 года Microsoft 📱 потеряла облачные логи безопасности за несколько недель, на которые клиенты компании обычно полагаются для обнаружения киберугроз 🔍 Microsoft уведомила пострадавших клиентов о том, что инцидент не связан с какой-либо угрозой безопасности (конечно, верим), но его последствия все же оказались ощутимыми 💥
Согласно публичному отчету Microsoft ⛈, причиной инцидента стал сбой в работе внутреннего агента мониторинга компании. Ошибка была вызвана, когда компания попыталась устранить другую ошибку в службе сбора логов (бабка за дедку, дедка за репку). Примерно с 23:00 UTC 2 сентября 2024 года агент мониторинга начал неправильно загружать данные журналов на внутреннюю платформу компании 💭 Это привело к частичному отсутствию указанных журналов для ряда сервисов Microsoft.
Несмотря на попытки компании исправить ситуацию, дважды перезапуская агент или сервер для восстановления сбора данных, часть логов была безвозвратно утеряна 🗑 К 5 сентября команда разработчиков Microsoft внедрила временное решение, которое помогло частично восстановить работу, но не позволило полностью восстановить все утраченные данные 👏
Проблема привела к возможной неполноте данных журналов в следующих сервисах:
1️⃣ Azure Logic Apps (платформенные логи)
2️⃣ Azure Healthcare APIs (платформенные логи)
3️⃣ Microsoft Sentinel (оповещения безопасности)
4️⃣ Azure Monitor (диагностические настройки)
5️⃣ Azure Trusted Signing (неполные логи SignTransaction и SignHistory)
6️⃣ Azure Virtual Desktop (логи в Application Insights)
7️⃣ Power Platform (различия данных в отчетах)
8️⃣ Microsoft Entra (логи входа и активности)
Дополнительно были затронуты логи, проходящие через Azure Monitor и интегрированные в такие продукты безопасности, как Microsoft Sentinel, Microsoft Purview и Microsoft Defender for Cloud. Это повлияло на способность клиентов анализировать данные, обнаруживать угрозы и генерировать оповещения о безопасности 🤦♂️
Trellix провела опрос руководителей ИБ и выяснила, что 84% CISO считают, что их роль следует разделить на две части: техническую и бизнес-ориентированную 🤔 Это связано с увеличением ответственности, включая управление рисками, соблюдение регуляторных требований и взаимодействие с советом директоров. Жаль, что не очень понятно, тех, кого опрашивали хотели бы стать теми, кто общается с бизнесом, или теми, кто занимается техническими вопросами? 🧐
93% директоров по ИБ отметили, что регулирование помогло их карьере, но 79% считают, что поддерживать темп происходящих изменений невозможно. Думая, что и в России 🇷🇺 многие бы согласились с этим. 91% опрошенных ожидают, что рост обязанностей приведет к высокой текучести кадров среди CISO. Ну это старая песня - про сокращение числа CISO, высокую текучку говорят давно...
Если почитать различные доктринальные документы по кибербезопасности, выпущенные в США и Европе, то можно увидеть, что основными источниками угроз кибербезопасности называются 4 страны - Китай 🇨🇳, Россия 🇷🇺, Северная Корея 🇰🇵 и Иран 🇮🇷 Про группировки, которые якобы происходят из этих государств пишут многие, но вот мне никогда не встречались исследования ситуации с кибербезопасностью внутри этих стран. Кто атакует их самих? Ведь не может быть так, чтобы они не представляли интереса для других государств или группировок.
И если ситуацию с ИБ внутри России я знаю достаточно неплохо; про Китай тоже можно найти материалы, то вот про остальные две страны сведений практически нет 🤷♀️ Тем интереснее мне было увидеть отчет "Iran's cybersecurity threatscape for 2021-H1 2024" (на английском), выпущенный нашей компанией 🟥, который впервые поднимает завесу тайны и раскрывает некоторые интересные кейсы и примеры инцидентов и атак в Иране, а также действий кибергруппировок против этой ближневосточной страны 🕌
Запись вчерашнего прямого эфира CyberTalks для канала CyberYozh. Планировалась на 1-1,5 часа максимум, а проговорили 2,5 часа про 🛡, 🔓 и всякое разное.
Читать полностью…Ирландский "Роскомнадзор" оштрафовал LinkedIn на 310 миллионов евро 💶 за незаконный анализ поведения пользователей и целевую рекламу в их адрес. Это в 6 раз больше недавнего штрафа для Marriott 🤑 К слову сказать, это 2,5% от оборота LinkedIn за весь прошлый год.
Но при всей своей величине 💶, эта сумма не дотягивает до рекорда и даже не входит в пятерку самых больших штрафов за нарушение GDPR, которая выглядит так:
1️⃣ Meta (2023) - 1,2 миллиарда евро 📱
2️⃣ Amazon (2021) - 746 миллионов евро 📱
3️⃣ Meta/Instagram (2022) - 405 миллионов евро 📱
4️⃣ Meta/Instagram/Facebook (2023) - 390 миллионов евро 📱📱
5️⃣ TikTok (2023) - 345 миллионов евро 📱
Во всех случаях, кроме Amazon, отличился ирландский регулятор по приватности. Текущий кейс с LinkedIn 📱 занимает шестое место в общем зачете и пятое по размеру штрафа у "ирландцев" 🇮🇪
В Топ10 лидером по штрафам является Meta 📱, которую нахлобучили уже в совокупности на 2,5 миллиарда евро. И учитывая, что это не первый, не второй и не третий раз, а компания все не извлекает уроки, то выводов я делаю два - либо архитектура решений Meta настолько сложна, что не может быть перестроена под выполнение требований GDPR (что все-таки вряд ли), либо стоимость получаемых бигтехом данных превышает все понесенные штрафы. И последнее заставляет лишний раз задуматься 🤔
CyberTalks: Истории про мошенников, утечки данных и принуждение к безопасности | Алексей Лукацкий x Павел Хавский
🌐 Прямой эфир 20:00 UTM + 3
💬 Наш Гость - Алексей Лукацкий, стаж в ИБ 30-лет, ну кто таким еще может похвастаться? Сегодня обсудим самые яркие истории о мошенничестве и утечках, страхах пользователей и новые требования к безопасности.
Что в эфире:
🟡Как изменились мошеннические схемы?
🟡Почему быть мошенником становится всё труднее?
🟡Истории из 90-х, когда вирусы на дискете заражали компании этаж за этажом.
🟡Почему некоторые ИБ-специалисты выбирают «тёмный путь»?
🟡Утечки данных: какие из них самые страшные и почему критично не оставлять цифровой след?
🟡Насколько агрессивным стало принуждение к безопасности и чем оно грозит бизнесу?
Проводим субботний вечер с пользой в компании с образованными людьми, а не с бутылкой
Интересная презентация о том, как обеспечивается ИБ в Рунете подразделением РКН. Из нее и перспективы развития систем предупреждения угроз в Интернете становятся понятны и направления будущих активностей (блокировки VPN, поиск уязвимостей, борьба с DDoS и т.п.) 🌐
Читать полностью…На роскомнадзоровском форуме в Сочи был интересный доклад про низкорбитальные спутниковые 🛰 группировки, которые должны обеспечивать не наземную связь, не через вышки 🗼, а через спутники. Были озвучены серьезные риски ИБ применения DTC (Direct-to-Cell), когда обеспечивается связь через спутник без специального терминала, сразу с мобильным устройством, многие из которых уже оснащены соответствующими чипами 📞
Риски, конечно, с точки зрения государства, когда в обход имеющихся средств блокировок, кто-то может контактировать с условным Западом 👿 Но интересно не это, а то, что реально обсуждалась история с возможным запретом ввоза соответствующих современных мобильных устройств в страну. Такая себе перспектива, если честно... 🤬
ЗЫ. Фотки украли у @toxic_digital
По данным Vectra AI, специалисты, работающие в центрах операций безопасности (SOC), считают, что они теряют способность эффективно обнаруживать и приоритизировать реальные угрозы ⁉️ Основные проблемы заключаются в чрезмерном количестве разрозненных инструментов и недостаточной точности сигналов об атаках 🎮
Многие сотрудники SOC выражают недоверие к поставщикам решений, считая, что их инструменты могут больше мешать, чем помогать в выявлении настоящих угроз. Это противоречит растущему оптимизму в отношении возможностей своих команд и потенциальных преимуществ ИИ 📎
С развитием гибридной среды атак, многие компании внедряют инструменты, основанные на генеративном ИИ (GenAI) 🤖, что, в свою очередь, создает новые возможности для кибератак и добавляет сложностей командам SOC. Несмотря на уверенность в своих защитных механизмах, 71% специалистов обеспокоены возможностью пропустить реальную атаку среди большого потока ложных срабатываний 👀 Половина специалистов не верит, что их инструменты помогут эффективно справляться с угрозами, а 54% говорят, что эти инструменты увеличивают нагрузку на SOC, а не снижают ее 🍑
Большинство команд используют более 10 различных инструментов для защиты, а 45% из них имеют более 20 инструментов 😲 62% специалистов недавно внедрили или планируют внедрить решения для расширенного обнаружения и реагирования (XDR), чтобы улучшить эффективность защиты 📈 В исследовании SANS по SOCам схожие опасения.
Среди ключевых проблем специалисты выделяют недостаточную точность оповещений и чрезмерное количество ложных тревог, что приводит к тому, что значительное количество инцидентов остается необработанным 🗑 60% специалистов считают, что поставщики продают слишком шумные инструменты, и 71% считают, что они должны нести ответственность за неспособность предотвратить утечку данных 😡
В то же время, растет доверие к ИИ в области обнаружения угроз 🧠 85% специалистов SOC увеличили свои инвестиции в ИИ за последний год, а 67% отметили положительное влияние ИИ на возможность распознавания угроз. 75% утверждают, что ИИ помог снизить рабочую нагрузку, а 73% отмечают уменьшение уровня профессионального выгорания благодаря ИИ. Забавно, что это немного противоречит аналитике SANS по SOC 🤔
Однако для широкого внедрения ИИ необходимо восстановить доверие к поставщикам решений, демонстрируя, что их инструменты действительно облегчают работу специалистов и не добавляют дополнительных сложностей 🤝
ЗЫ. О том, как бороться с частью описанных проблем поговорим на Positive SOCcon в Минске уже меньше чем через неделю.
У нас же месячник кибербеза еще идет 📆 И я тут для одного проекта готовил описания терминов ИБ для разных возрастов. Непростая задача, скажу я вам. Вот, например, как у меня был описан "белый хакер" 🧑💻 Пока еще не идеально и есть куда развивать, но даже из такого описания понятно, что для разных возрастов надо давать совершенно разные формулировки, учитывающие возрастные особенности.
Для ребенка 5 лет 👶
Белый хакер — это как добрый волшебник, который помогает защищать замки от злых волшебников. Он находит слабые места в стенах замка и говорит об этом королю, чтобы замок был всегда безопасен.
Белый хакер — это человек, который использует свои навыки взлома не для того, чтобы навредить, а чтобы помочь компаниям или людям. Он ищет слабости в системах, чтобы их можно было исправить до того, как это сделают злые хакеры.
Белый хакер — это специалист по кибербезопасности, который занимается проверкой компьютерных систем на уязвимости. Он использует свои знания для защиты компаний и организаций от кибератак, находя и устраняя уязвимости до того, как ими смогут воспользоваться злоумышленники.
Белый хакер — это как эксперт по безопасности, который помогает компании найти слабые места в её защите, чтобы злоумышленники не смогли воспользоваться этими уязвимостями. Это напоминает работу инженеров или специалистов по охране в прошлом, когда их задача была найти слабые точки в системе безопасности, чтобы сделать её надёжнее, только сегодня это делают в цифровом мире, защищая компьютеры и программы.
Обновление списка APT-групп, атакующих Россию
В апреле я публиковал список продвинутых хакерских групп, государственных или прогосударственных, которые были замечены компаниями по кибербезопасности в атаках на российские организации.
Сегодня делюсь обновлённой версией:
— добавлены отчёты российских компаний с апреля по октябрь и некоторые более давние, а также отдельные зарубежные отчёты (в том числе и два китайских). Общее количество отчётов удвоилось с 40 до 81, а количество групп в таблице увеличилось с 28 до 41;
— у некоторых групп добавлены дополнительные наименования;
— для групп без указания страны в соответствующем столбце поставлена чёрточка.
Как всегда, буду благодарен за обратную связь и дополнения.
Интересная новость - Рамблер&Co запустил программу bug bounty 🤑 для проверки своей защищенности. Можно было бы про это не писать, так как с момента, когда Яндекс запустил первую в России программу Bug Bounty более 10 лет назад, это уже становится нормой и компаний, вышедших на платформы поиска уязвимостей за вознаграждение уже немало (а в приватных программах так и того больше).
Но данный кейс интересен тем, что холдинг Rambler&Co 🖥 объявил вознаграждение не за поиск атомарных уязвимостей в своих приложениях и сервисах, и не за обычное проникновение в рамках пентеста 🤕, а за реализацию недопустимых событий, определенных компанией. За их реализацию компания платит в настоящий момент 3 миллиона рублей 💸
Интересно было бы увидеть результаты по этой программе; хотя она пока и в приватном режиме работает. Может быть к весеннему PHD 🏟 что-то появится и тогда можно будет даже собрать отдельную панельку (а мы уже программу начали формировать) - все-таки компаний, который вышли на Bug Bounty именно на недопустимые события уже не одна, не две, и даже не три. Есть о чем поговорить 💯
Интересное исследование, которое показывает влияние инцидентов с утечками данных на стоимость акций публичных компаний. В целом подтверждается давнее исследование Гордона-Лёба про +-2%. Но срок восстановления курса после инцидента существенно вырос - раньше он измерялся днями, а сейчас месяцами. Хорошо пойдет в копилку бизнес-ориентированной ИБ, когда надо показывать топ-менеджменту (если компания публичная, конечно, и работает на конкурентном рынке) реальное влияние ИБ на бизнес-показатели.
Читать полностью…⚠️ Компанию Check Point оштрафовали за сокрытие факта своего взлома!
Интересное дело. Комиссия по ценным бумагам США (SEC) оштрафовала 4 компании - Unisys, Avaya, Mimecast и Check Point за обман сокрытие факта инцидента ИБ, который произошел у каждой из компаний в результате взлома SolarWinds в 2019-м году 🔓 Иными словами, их подломали в результате компрометации SolarWinds. Интересно, что сами компании подтвердили SEC факт взлома, но публично это отрицают 🤐 Тот же Check Point говорит, что они не нашли доказательств своего взлома, но не стали спорить с Комиссией по ценным бумагам и просто откупились от нее за 1 миллион долларов 💰
Unisys, Avaya, Mimecast и Check Point оштрафованы на 4 и 1 миллиона, а также 990 и 995 тысяч долларов соответственно 🤑 Unisys заплатила больше всех, потому что не только скрыла факт инцидента, но и сознательно принизила его размер 🤐 заявив о том, что "ничего не было". В реальности у нее украли гигабайты данных через внедренную в SolarWinds программную закладку. У Avaya украли корпоративную переписку и часть файлов из облачного хранилища, о чем она скромно умолчала 🤐 У Mimecast украли код и зашифровали часть учетных записей 😬 С Check Point меньше всего ясности - в объяснениях SEC они отделались общими словами и оспаривать штраф регулятора не хотят. Почему? Проще заплатить и идти работать дальше? Или лучше не идти в суд за правдой, чтобы не всплыли неприятные детали взлома? В общем, понятно, что ничего не понятно.
Кейс SolarWinds еще долго будет аукаться и самой компании и ее клиентам, а также клиентам ее клиентов... Ну а мы в очередной раз получаем подтверждение, что ломают всех, даже ИБ-компании, которые также, как и все, зависят от подрядчиков 💡 А как вы контролируете своих подрядчиков?
Ситуация с потерей логов Microsoft 📱 напомнила о необходимости усиленного внимания к журналам регистрации, особенно после прошлогоднего инцидента с взломом почтовых аккаунтов в США китайскими хакерами. Тогда Microsoft подверглась критике за то, что не предоставляла достаточного доступа к облачным логам для клиентов без премиум-аккаунтов Microsoft Purview Audit 🤑 Это могло бы позволить обнаружить взлом раньше. В ответ на критику Microsoft расширила доступ к логам для всех пользователей и увеличила период их хранения с 90 до 180 дней.
Но что делать, чтобы такая история не повторилась или как снизить ущерб в случае ее повтора? 🤔 Я бы начал со следующих шагов:
1️⃣ Создание резервных копий журналов регистрации. Клиенты должны рассмотреть возможность сохранения резервных копий логов в независимых хранилищах для избежания потерь при сбоях в облачных сервисах. Правда, это увеличит расходы на переход в облака, но тут придется выбирать.
2️⃣ Мониторинг логов в реальном времени. Использование решений для контроля состояния облачных сервисов в реальном времени поможет оперативно выявлять подобные сбои и предотвращать последствия или снижать их масштаб.
3️⃣ Увеличение времени хранения логов. Клиентам рекомендуется увеличивать периоды хранения логов для долгосрочного анализа и повышения безопасности. Правда, это не спасет от их потери, но по крайней мере позволит иметь длинную историю до и после.
4️⃣ Регулярные аудиты безопасности. Постоянный мониторинг настроек безопасности и доступности журналов позволит своевременно выявлять проблемы и избегать их в будущем.
5️⃣ Отказаться от сервисов Microsoft 🤔
Вообще, переход в облака, это не такая уж и простая история, как кажется на первый взгляд. Если добиваться схожего уровня сервиса и гарантий, как и в on-prem, то экономии может и не случиться (если ее рассматривать в качестве основного мотиватора перехода в облака) ⛈ В будущем организациям стоит уделять внимание правильной настройке сборщиков логов и использовать имеющиеся облачные и on-prem возможности мониторинга для максимальной защиты своих данных и инфраструктуры 👀
Если верить исследованиям, компьютерные игры 🎮 улучшают когнитивные способности человека, но почти не влияют на его психическое состояние. Физические упражнения, наоборот, улучшают психическое здоровье, но никак не влияют на когнитивные возможности 🥊 "Игры будущего", прошедшие в Казани, комбинировали оба вида соревнований, позволяя развивать обе стороны человеческого организма 🕹
А что если объединить CTF/киберполигоны с пейнтболом? Не сделает ли это специалистов SOC более внимательными и быстрыми на реакцию? 🤔 Готовы к такому на майском PHD3 в следующем году?