В конце апреля Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, принял участие в благотворительном аукционе Meet For Charity.
Меценат, пожелавший остаться анонимным, заплатил за ужин с Алексеем 250 000 рублей. Все вырученные средства будут направлены в фонд Милосердие детям. За три дня аукциона ставка увеличивалась четыре раза: первая была сделана в размере 50 тысяч рублей.
У мецената будет возможность задать любые вопросы Алексею о кибербезопасности, а также посетить киберфестиваль Positive Hack Days 12 в Парке Горького с персональной экскурсией.
За время существования Meet For Charity на благотворительность было собрано более 257 млн рублей. В аукционе принимали участие многие известные люди, такие как: актер Александр Петров (было собрано 110 тыс. рублей), режиссер Федор Бондарчук (80 тыс. рублей), народный артист России Слава Полунин (290 тыс. рублей).
🤔 А что бы вы спросили у Алексея Лукацкого, оказавшись с ним на ужине?
#PositiveЭксперты
Если вдруг вы пользуетесь услугами RU-CENTER, то рекомендую проверить настройки безопасности. Эти "умелые" 🤦♂️ люди в одностороннем порядке сбросили настройки двухфакторной аутентификации, включенной на аккаунте, даже не уведомив об этом владельцев и не указав об этом факте в журнале активности.
ЗЫ. Если вдруг меня начнут обвинять в том, что это я сам забыл все включить, а теперь понапраслину навожу на солидную организацию, то вот скрин с доказательством того, что это было сделано еще полтора года назад. Но в последний месяц или два все куда улетучилось.
Интересное чтиво на 200 страниц про различные аспекты управления уязвимостями:
1️⃣ Текущий статус управления уязвимостями и различные системы оценки критичности уязвимостей
2️⃣ Роль оценки рисков в управлении уязвимостями
3️⃣ Математика, стоящая за анализом уязвимостей (машинное обучение, теория игр, статистика и т.п.)
4️⃣ Форкастирование уязвимостей
5️⃣ Оценка эффективности (метрики и вот это вот все)
6️⃣ Масштабирование управления уязвимостями (облака, управление активами, архитектура БД, поиск и т.п.)
7️⃣ Выстраивание процесса внутри компании
8️⃣ Примеры из реального мира
9️⃣ Будущее управления уязвимостями
В США последние пару недель активно идет дискуссия об ответственности CISO за результаты своей деятельности. Но если я в чатике поднимал на днях вопрос в контексте совершенно иного понимания ответственности, то в США речь идет именно б уголовной ответственности. Причиной такой дискуссии стал вердикт, вынесенный Джо Салливану, бывшему CSO Uber. Да, трехлетний срок ему дали условный, а штраф впаяли всего 50 тысяч (примерно квартальный доход), но это все-таки клеймо. И многие CISO начинают говорить о том, что их работа становится более рискованной и им надо платить больше.
Не зря Gartner предсказывает, что многие CISO покинут свою работу в ближайшее время, а сами CISO считают свою позицию расстрельной.
А почему бы в России не запретить Даркнет, подумали депутаты. Я бы пошел дальше и запретил бы заодно уязвимости и атаки. Ну а чего мелочиться. Хакеров, кстати, тоже можно запретить.
Читать полностью…Наш ритм жизни таков, что мы не всегда успеваем оглянуться по сторонам, а самое главное, посмотреть вперед и задаться вопросом: «А что там, впереди, через 5, 10 лет? Что нас ждет?»
В информационной безопасности это особенно важно, так как мы строим системы защиты не только от текущих угроз, но и делаем системы устойчивыми к будущим недопустимым событиям.
На форсайт-сессии «Угрозы 2030. Что может стать недопустимым?» представители различных организаций, включая и регуляторов, под руководством опытного футуролога попробуют сформировать перечень будущих угроз ИБ и недопустимых событий в России — с учетом технологических, экономических, социальных и геополитических тенденций 🔮
Что войдет в этот шорт-лист?
Угрозы для квантовых вычислений и блокчейна, искусственного интеллекта и больших данных? А может быть впору задуматься об угрозах для биотехнологий и кибератаках на геномный редактор CRISPR/Cas9? Возможно, мы осмелеем и замахнемся на графеновые нанотрубки? А может, все это блажь и через 7-10 лет мы и дальше будем бороться с шифровальщиками, утечками персональных данных и DDoS-атаками?
Обсудим это на бизнес-треке PHDays 12.
Ждем вас 19 и 20 мая в Парке Горького!
🎫 Приобрести билеты можно на нашем сайте.
#PHD12
Какова вероятность, что вы наведете камеру на гигантский QR-код, сделанный дронами, увидев его в небе? А если это мошеннический код, ведущий на вредоносный или фишинговый сайт?
ЗЫ. Представьте, что вы такое увидите на PHDays?!
Мы скачали вредоносный семпл из вашего репозитория и запустили на боевой системе. Мы думали, что семпл уже обезврежен…
Мир непуганных идиотов
Как-то, несколько лет назад, компания Apple захотела купить компанию Corellium, которая занималась ПО, позволяющем запускать iOS на устройствах не-производства Apple и проводить ее анализ с точки зрения ИБ. Предложив "смешные" 23 миллиона долларов, Apple столкнулась с отказом от Corellium, хотевшей больше денег. В итоге Apple подала в суд на малую, но гордую калифорнийскую компанию за нарушение авторских прав. И вот в начале недели независимый американский суд признал, что Apple была не права и ее иск был отклонен.
Читать полностью…В бизнес-треке PHDays будет одна секция, которую я скромно назвал "Утекло? Да и ... с ним!", где мне хотелось бы поговорить с компаниями, которые реально столкнулись с различными инцидентами; не только утечками персональных данных. И знаете, что я вам скажу, это оказалось непростой задачей. Во многих компаниях, в которые мы обращались с предложением выступить и поделиться своим опытом реагирования на инцидент, нам отказали. Во многих случаях это было решение PR 🤷
Хотя, как по мне, если уж он произошел, то почему бы не извлечь пользу и не показать свою открытость перед рынком, рассказать, что случилось, почему, что было предпринято, какие уроки извлечены и т.д. Но нет, часто компанию ограничиваются просто сухим постом в блоге. Возможно с точки зрения PR это и хорошо, но все-таки.
Тем ценнее, что на секции "Утекло? Да и ... с ним!" согласились участвовать компании, которые смогут рассказать, что у них произошло. Не у всех дошло до утечки - но все столкнулись с подозрительными или явно вредоносными действиями в своей инфраструктуре. Где-то это была даже APT. И вот qze1ov-sad-retail-is-story">одна из таких историй, которую мы среди прочего обсудим на секции. Но будут и другие, в том числе и ранее нестановившиеся достоянием публики.
Ну что, еще одну компанию по кибербезопасности сломали; частично. Не нашу, американскую. Известную в области промышленного кибербеза. Речь идет о Dragos. Скрывать они этот факт не стали и даже попытались извлечь из этого какую-то пользу, правильным образом преподнеся результаты расследования.
Их описание (на русском и английском) мало чем отличается от обычного расследования - исходный вектор (как и в случае с недавним инцидентом у BI.ZОNE атаковали через внешний облачный сервис), временная шкала, техники и тактики, индикаторы компрометации, скрины переписки с вымогателями, извлеченные уроки, рекомендации, контакты для связи. Ну все, что может быть интересно в такого рода кейсах.
Утверждается, что это была "попытка" атаки - злоумышленники не смогли проникнуть в инфраструктуру (а облако к своей почему-то никто не относит). Ну эта песня знакомая - все-таки хочется нивелировать неприятный осадочек от своего взлома; все-таки ИБ-компания как-никак.
В любом случае, несколько выводов я бы сделал из этой истории:
1️⃣ Ломают любую компанию. ИБ и не ИБ. Вопрос стоит не "если", а "когда".
2️⃣ Скрывать такого рода факты бессмысленно - всплывет.
3️⃣ Открытость нивелирует негативные последствия от взлома; в отличие от попытки скрыть всеми правдами и неправдами.
ЗЫ. Из интересного, но объяснимого - расследования Dragos проводит внешняя компания, хотя Dragos и сам имеет такую экспертизу. Думаю это связано с тем, чтобы показать свою непредвзятость в этом деле и показать, что компания ничего не скрывает.
Когда оружейная компания (Glock) начинает выпускать шторки для веб-камер и продавать их за 7 евро, то это является сигналом перспективности рынка ИБ; как минимум сегмента веб-шторок от подсматривания 😊
Читать полностью…С технологической точки зрения уровень удовлетворенности в ИБ хуже всего от управления активами, автоматизации ИБ (SOAR), предотвращения утечек данных, уничтожения вредоносного ПО на лету и захвата полной копии сетевого траффика. А вот VPNами, SIEMами и мониторингом логов на оконечных устройствах довольны чаще всего.
Интересная статистика с точки зрения приложения сил отечественных вендоров соответствующих классов решений. Да, бездумно копировать Запад конечно не нужно, но посмотреть на часто встречающиеся там проблемы и извлечь из них уроки здесь, вполне себе полезное занятие.
ЗЫ. Но управление активами - это конечно адский ад. Та компания, которая лучше всех реализует эту задачи, озолотится.
Мечта ИБшника - средство защиты с одной кнопкой «защити меня», а не вот это вот все с тысячами настроек… Само смотрит телеметрию, само коррелирует и выстраивает цепочки атак, само оценивает опасность, само реагирует, само генерит и отправляет отчет об успехе с привязкой к бизнес-целям предприятия (недопустимым событиям). Сказка, а не ИБ. Будет ли когда-нибудь такое?
Помню, в 98-м году, когда мы строили SOC (тогда еще такого-то слова никто не знал) в Нацбанке сопредельного государства, с которым мы сейчас конфликтуем, первая недоSIEM, собирающая и автоматически коррелирующая данные от IDS и сканеров безопасности, выглядела как космос. Сейчас - это уже норма и в некоторых IDS это встроенная фича, не требующая внешнего коррелятора. А SIEM уже умеют коррелировать данные от десятков разных средств защиты и автоматически реагировать на выявленные атаки (при наличии интеграции с SOAR). Так что думаю не за горами тот момент, когда в одном решении будет и SIEM, и SOAR, и сканер уязвимостей, и встроенная CMDB, и ASM, и много чего еще. Осталось чуть-чуть подождать - технологии сейчас развиваются очень быстро.
Сыну в институте дали задание... Интересная история, кстати. Я тут подумал, а что если вместо тестового вируса EICAR 🦠, используемого как раз для демонстрации сработки антивирусных программ, преподаватель по доброте душевной отправит что-нибудь из коллекции vx-underground, а студенты доверяя преподу запустят вирус на своем домашнем компе? А если это единственный комп в семье и на нем же работает папа/мама на удаленке? Интересная конструкция может получиться 🤔
С другой стороны, это хорошая проверка наличия критического мышления у студента. Если он, не задумываясь, запускает вирус, который преподносится как тестовый, на своем компе, то в ИБ ему еще рановато идти и есть, куда и какие навыки развивать. А вот если он начинает спрашивать у препода про гарантии и ответственность или просто интересоваться вопросом из песни Слепакова "А что, глядь, если нет?", то это прям хороший кандидат в ИБ.
ЗЫ. Сын 👦🏼 не стал бездумно запускать вирусы - поинтересовался последствиями и т.п. Значит не зря все 🤠
😡 ШОК-КОНТЕНТ!!! 😱
Одно меня примиряет с этой историей, что есть еще люди, кто понимает, кто такой Слава Полунин ("Асисяй" и "сНежное шоу") 😊, и готов за ужин с ним заплатить больше чем со мной . Но вообще до сих пор нахожусь под впечатлением 😵💫
ЗЫ. Хоть кто-то, помимо 🟥, оценил меня по достоинству ✅
Алексея Лукацкого не проведёшь 👍
Я предотвратил и регулярно предотвращаю немассовую фишинговую атаку на меня. Мне пытаются регулярно разослать электронные письма с приглашениями для «уточнения персональных данных», предложением повышения моих инвестиционных накоплений, напоминанием о ждущем меня призе или выигрыше в лотерею.
В письмах бывают фишинговые ссылки или вредоносные вложения, маскирующиеся под различные документы, которыми хотели заразить IT-инфраструктуру Алексея Лукацкого. Но мои системы защиты не допустили попадания этих писем мне.
Хакеры могут использовать этот приём против других людей, организаций и их клиентов. Никогда не открывайте подозрительные файлы! А Алексей Лукацкий всегда под надёжной защитой!
ЗЫ. Если мне когда-нибудь будет нечего писать, то вторым сценарием спасения меня после обращения к ChatGPT, будет написание ежедневных постов об очередной попытке меня развести, заразить, атаковать, вывести из строя и вот это вот все. Учитывая наличие у меня нескольких аккаунтов e-mail, соцсетей, мессенджеров, сайта и того же у членов моей семьи, поверьте, я могу об атаках на себя писать по несколько раз на день!
В дополнение к первым двум выпуска (тут и тут) SANS выпустил третий выпуск руководства SANS по безопасности АСУ ТП для новичков
Читать полностью…- Дверь есть?
- Есть!
- Тогда какие к нам претензии?! Еще и инновационно!
Когда ты бездумно выполняешь требование нормативки, не осознавая, зачем оно нужно
"Я бы в хакеры пошел, пусть меня научат!" МинОбороны США активно и не скрываясь нанимает хакеров в свои ряды
Читать полностью…На Хлебозаводе замечен троянский конь🐴
Инсталляция из разноцветных стикеров является одним из символов фестиваля по кибербезопасности Positive Hack Days. А если снять с арт-объекта светло-розовый стикер и прийти с ним на фестиваль 19 и 20 мая в Парк Горького, можно получить ценный подарок от Rambler&Co.
Есть же интересные профессии у людей. Измеритель параметров вращения Земли! 🤔 Или вот, например, кибер-переговорщик, который с вымогателями общается. Мы как раз про такого сейчас думаем в контексте программы на PHDays.
Это к разговору о том, что такое специалист по ИБ. Споры идут постоянно, а четкого ответа нет. Мне вообще видится программа обучения специалиста по ИБ как Lego - куча атомарных модулей по разным темам, включая технологии, нормативку, бизнес, психологию и т.п., а дальше ты сам из них строишь свое «здание». И нет никаких предопределенных треков и стримов (может за редким исключением). И никаких 4-5 лет обучения по ФГОСам, устаревающим к концу обучения (а в связи с всерашним указом президента, так и все 7 лет). Такие модули и обновлять гораздо легче ✍️
Да, диплом гособразца за такое не получить. Но это как с сертификацией/аттестацией/аудитом. Шашечки или ехать, бумажка или реальная ИБ, диплом или полезные знания…
Вроде сейчас меняется система образования и можно было бы все по другому сделать, но похоже, что все опять будут жрать ФГОС кактус 🌵, а потом ругать стстему образования, готовящую бесполезных в практической жизни ИБшников.
А сегодня у нас опять праздник! И это не пятница! Интерпол решил, что 12-го мая надо праздновать день шифровальщика. Но не тот, который 5-го мая, а тот который ransomware 😊 Точнее конечно не день шифровальщика, а антишифровальщика, то есть Anti-Ransomware Day. Дата приурочена к началу эпидемии WannaCry 12-го мая 2017 года. 🥃
Читать полностью…Когда вы будете на PHDays, то там будет четыре дискуссии, имеющие прямое отношение к тем темам и опросам, которые я в последние дни поднимал в канале и которые очень хорошо укладываются в набившее оскомину "ИБ, общающаяся с бизнесом" 🧐:
1⃣ "Как руководство компании оценивает недопустимые события". Тут топы разных компаний будут говорить о том, как они смотрят на риски, недопустимые события и приходящих к ним CISO. Этакий взгляд "сверху". 🤑
2⃣ "CISO 2.0. С бордом на одном борде". Тут сами CISO будут делиться опытом общения с топами и лайфхаками, как им удается (или не удается) доносить смыслы ИБ до руководства. 💪
3⃣ "Готовы ли вы отвечать своими фаберже за результат". Тут представители преимущественно вендоров, интеграторов и провайдеров ИБ-услуг (но будет и заказчик) будут рассказывать, готовы ли они нести ответственность за результат ИБ и если да, то какую, и что для них результат. 😡
4⃣ "CISO 2.0 и его команда". А тут преимущественно CISO будут обсуждать необходимые руководителю ИБ компетенции, чтобы нормально общаться с бизнесом. ✍️
На PHDays будет и много другого полезного контента, но эту группу дискуссий я решил выделить отдельно, так как, как мне кажется, получается целостная картина взгляда на ИБ с точки зрения бизнеса.
ЗЫ. В ближайшие несколько дней буду еще постить описания разных секций с PHDays. Потерпите. Я последнее время был погружен в подготовку этого мероприятия и я считаю, что получилось очень даже неплохо.
Американская ФСТЭК (CISA) предлагает разработчикам ПО, поставляемого в госорганы США, проводить самоаттестацию, подтверждающую выполнение требований по безопасной разработке.
У нас требования по безопасной разработке тоже есть, но непонятно, как подтверждать их реализацию. Американцы показывают вариант.
Предсказуемо, администрирование средств защиты, защита данных, compliance, разработка архитектуры ИБ и планирование развития ИБ делаются преимущественно внутри организаций. А вот пентесты, redteaming, форензика, Threat Intellgence и purple teaming чаще всего реализуются внешними компаниями/организациями.
Это не то, чтобы догма, но некий срез по преимущественно американским организациям, имеющим SOCи. Ну и как набор сервисов и функций SOC тоже достаточно интересно взглянуть и сравнить с тем, что есть у вас.
Хакнули одного облачного провайдера и 60 клиентов оказались тоже скомпрометированы. Я бы назвал этот кейс «Kaseya 2.0».
Передавать в облака свои данные, приложения и инфраструктуру - это, конечно, хорошо, но только если вы выставляете к облачному провайдеру требования по ИБ и знаете, как их контролировать. Без этого облака могут протечь 🌧 а вы и сделать ничего не сможете.
Основой для формирования требований по оценке защищенности выбранного вами облачного провайдера могло бы стать руководство по аудиту от Cloud Security Alliance. Да, это преимущественно "бумажные" проверки, но и это уже что-то. Сертификация SOC2 (в России такую уже не пройти) тоже ничего не говорит о реальной защищенности (уже писал на днях про это), но хотя бы подтверждает, что хоть что-то в области ИБ у облачного провайдера сделано. Аналогичная история с "аттестацией" по ФЗ-152. Можно, конечно, потребовать от облака регулярного подтверждения прохождения пентестов или размещения себя на багбаунти, но многие ли согласятся? В любом случае, ответственность за контроль реализации защитных мер лежит только на вас и ни на ком другом.