alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

В свежевышедшем исследовании "The Future of Application Security 2024" компании Checkmarx поднимался интересный вопрос о том, почему ИБ допускает публикацию в прод уязвимых приложений🤔
Респонденты, среди которых были как аппсеки, так и разработчики, отвечали довольно предсказуемо:
🖕 Сроки горят, бизнес давит
🦥 Уязвимость некритична/будет исправлена в следующей версии.
На этом фоне среди ответов директоров по ИБ выделяются пропитанные страхом и надеждой:
🙏 Надеялся, что уязвимость не проэксплуатируют
😎 Уязвимость не эксплуатабельна.

Это я к чему... Нет предела совершенству, а также приоритезации устранения уязвимостей и процедуре принятия рисков — лишь бы CISO спал спокойно😁

Читать полностью…

Пост Лукацкого

🔜 Грядет PHD2, на котором я буду нести с гордо поднятой головой ответственность за бизнес-трек 🧐, который в этом году будет идти 4 дня на 4-х разных площадках в пределах стадиона "Лужники" 🏟 - тут вам и Большая спортивная арена, и шатер поменьше на 600 человек, и совсем маленькие залы. Для каждого из них предлагается достаточно обширная и емкая программа, которая должна по задумке учесть интересы совершенно разных категорий специалистов - от начинающих ИБшников до CISO и от безопасных разработчиков до генеральных директоров 🤓

Мы уже объявили CFP на доклады во всех треках программы, но так как описать всю грандиозную задумку на сайте киберфестиваля оказалось непросто, я написал отдельную заметку, где и изложил и идею, и подробно описал все стримы внутри бизнес-трека, и сдал все явки и пароли 🫴

Так что если вам есть что сказать и вы хотите выступить на арене, на которой до вас стояли Леонид Агутин, Майкл Джексон, Rammstein и "Машина времени", то самое время податься на CFP 🫵

Читать полностью…

Пост Лукацкого

Red Canary выпустила уже 6-й ежегодный отчет с обзором угроз 🤕, который был сделан за счет анализа данных, получаемых с инфраструктуры заказчиков. Как по мне, так отчет не так чтобы и интересен с практической точки зрения. Учитывая постоянные изменения в тактике злоумышленников (не в контексте MITRE ATT&CK), читать про них спустя год после их использования... ну такое себе. Каких-то открытий в отчете нет - все идут в облака, злоумышленники используют ИИ, человеческий фактор рулит, при всем многообразии техник, хакеры используют от силы 10-20 🚫

Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
1️⃣ Для борьбы с первичным векторов атаки необходимо выстроить процесс управления уязвимостями и патчами. Если организация не в состоянии это сделать, то хотя бы бы закрывать трендовые уязвимости на периметре.
2️⃣ Отключите автоматическое монтирование контейнеров в Windows.
3️⃣ Управляйте активами, а то защищать, не зная, что, - это такое себе занятие.
4️⃣ Простые рекомендации для защиты от звонков мошенников под видом сотрудников в службу поддержки, а также от имени последних (рекомендации ENISA ☝️ могут помочь решить эту задачу)
5️⃣ Неплохие рекомендации по защите от подмены SIM-карт (SIM Swapping)
6️⃣ Разработайте и внедрите стратегию мониторинга за средствами удаленного управления.
7️⃣ И еще куча рекомендаций для защиты от разных техники и вредоносов
8️⃣ Рекомендаций по ИИ почему-то не дали 😭

ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест 👍 Я бы его все-таки разбил на множество маленьких частей - тогда пользы было бы больше.

Читать полностью…

Пост Лукацкого

Вот уже и крест на мне ставят 🦬 Хорошо, что не мне 😇

Читать полностью…

Пост Лукацкого

В последние пару дней многие обсуждают тему отключения облачных сервисов 😶‍🌫️ Microsoft и Amazon для российских пользователей. Обсуждается эта новость в контексте различных бизнес- и офисных приложений, а я бы хотел посмотреть на нее с точки зрения ИБ. Какие ИБ-сервисы из облака предлагал Microsoft, которые 20-го числа могут быть отключены (не претендую на полноту):
1️⃣ Microsoft Defender for Cloud/Endpoint/Office 365/Identity/IoT
2️⃣ Microsoft Azure Active Directory и MS Azure AD Conditional Access
3️⃣ Microsoft Entra Permission Management (бывший CloudKnox) и Entra Verified ID
4️⃣ Microsoft Purview Privileged Access Management
5️⃣ Microsoft Endpoint Manager и Microsoft Intune
6️⃣ Microsoft Sentinel
7️⃣ RiskIQ Intelligence
8️⃣ Azure Security Center
9️⃣ Microsoft Information Protection & Rights Management Service (RMS)
1️⃣0️⃣ Microsoft Advanced Threat Analytics
1️⃣1️⃣ Azure Firewall
1️⃣2️⃣ Microsoft Passport и Azure MFA
1️⃣3️⃣ Azure Key Vault
1️⃣4️⃣ GitHub Advanced Security (под вопросом).

Вообще вопрос, зачем было использовать на протяжении пары лет сервисы компании, которая ушла из России и которая неоднократно порывалась прекратить доступ к своим продуктам российскому бизнесу и пользователям, но что уж тут поделать 🙌 За оставшиеся 3 дня (17-19 марта) осталось решить кучу вопросов - от поиска альтернативы до удаления ПДн, которые располагались в облаках Microsoft, от выгрузки событий безопасности в открытом формате (если они вам нужны) до подготовки процедуры удаления всех установленных в вашей инфраструктуре агентов, а также блокирования ранее открытых портов на периметровых МСЭ для средств защиты Microsoft

ЗЫ. Хотя после того, как еще и на западном побережье Африки 3 из 4 Интернет-кабеля оказались попорченными (хуситы баловались в Красном море, это восточная часть Африки), вопрос осмысленности использования облачных сервисов встает особенно остро 🤔

Читать полностью…

Пост Лукацкого

У Макдональдса по всему миру глобальный сбой 🍔 - онлайн-заказы, заказы через приложение, заказы через киоски в самих ресторанах не работают. Компания уверяет, что это не результат кибератаки. А я в этой истории жду оценок ущерба 🤑 от такого сбоя. Всегда интересно посмотреть, во сколько оценивают простой бизнес-сервиса в течение нескольких часов. И не так уж и важна причина (сбой на стороне подрядчика или DDoS). Потому что потом это можно экстраполировать и на другие схожие бизнесы, завязанные на онлайн-заказы 🛍 (типа вот этой истории).

Читать полностью…

Пост Лукацкого

💥💥💥 Запускаем «Резбез Challenge» — конкурс на лучшую статью по результативной кибербезопасности

Как участвовать? Напишите статью по теме из перечня, в работе должны быть глубокий анализ проблемы и предложения, как ее решать.

Три лучших автора получат денежные призы, а их работы будут опубликованы на Резбезе. Статья участника должна соответствовать:
🟢 Принципам результативной кибербезопасности.
🟢 Политике сообщества.
🟢 Правилам конкурса.

Когда?
Работы принимаются с 15 марта по 31 мая включительно. Победители будут объявлены до 15 июня.

Где заполнить заявку? Прямо в этих буквах!

Читать полностью…

Пост Лукацкого

Из интересного:
1️⃣ Первые признаки аномальной активности были замечены 25 октября, но блиц-расследование ничего не выявило. Однако, ИТ/ИБ-служба заблокировала активность, провела сканирование сети (ничего не выявлено), мониторило логи (ничего не выявлено), смена пароля.
2️⃣ Спустя 2 дня Интернет-провайдер зафиксировал аномальный всплеск выкачиваемых данных - 440 ГБ. Позже выкачали еще 160 ГБ.
3️⃣ Проникновение произошло скорее всего (до конца не выяснили) через ферму терминальных серверов, используемых внутренними ИТ-админами и внешними, доверенными партнерами. Авторы отчета склоняются к атаке именно через партнеров, которых поймали на фишинг.
4️⃣ MFA на терминальных серверах не было, а антивирусы и МСЭ были, так как "дорого".
5️⃣ Хакеры задействовали легальные инструменты ИТ, сделали резервные копии 22 баз данных и выкачали их (помимо разрозненных файлов с чувствительной информацией).
6️⃣ Калькуляция финансового ущерба продолжается, а вот остальные виды потерь прописаны неплохо (хотя бы и на уровне категорий).
7️⃣ Описаны способы кризисных коммуникаций, которые позволили уведомить всех сотрудников, но при этом не раскрыть деталей расследования инцидента хакерам, которые могли находиться еще в сети.
8️⃣ Подробно расписаны шаги по перестройке всей, ранее плоской legacy инфраструктуры, - сегментация, ролевой доступ, air-gap резервирование, MFA, PAM для удаленного доступа третьих лиц, управление уязвимостями и инцидентами...
9️⃣ Из рекомендаций интересно выглядит совет заранее подготовиться и иметь на готове контакт фирмы, которая может оперативно приехать и помочь с расследованием

Читать полностью…

Пост Лукацкого

Сама по себе история не так чтобы и интересна и уникальна - 9 грабителей в американской Миннесоте подозреваются в том, что выводили из строя беспроводные камеры видеонаблюдения 👀 за счет подавителей сигнала Wi-Fi (джаммеров), после чего обкрадывали дома своих жертв. Но автор вынес в заголовок очень мудрую мысль - технологии становятся дешевле и проще для приобретения 💯

Этот вывод можно распространить не только на подавителей сигнала (и не только Wi-Fi, но и GPS/ГЛОНАСС), но и на многие другие направления, которые раньше казались недосягаемыми - спутники, банкоматы, беспилотный транспорт и т.п. Их можно без труда приобрести на Интернет-аукционах и маркетплейсах и потом использовать (не) по назначению. А значит то, что еще раньше казалось невозможным или очень дорогостоящим и потому считалось неактуальным, сегодня или уже завтра может стать вполне себе реальной проблемой 🔜 Так что стоит регулярно пересматривать свою модель угроз на предмет реалистичности сделанных оценок относительно возможностей нарушителя!! 👨‍💻

Читать полностью…

Пост Лукацкого

Совершенствуется CAPTCHA... Все для защиты от пронырливых роботов 🤖 Скоро для решения таких задачек понадобятся свои программы и сервисы, для доступа к которым нужны будут тоже свои CAPTCHA... 🤖

Читать полностью…

Пост Лукацкого

Для апологетов американской системы летоисчисления, когда дата начинается с месяца, а не дня, напоминаю, что сегодня празднуется «день Пи» с чем вас и поздравляю!

Читать полностью…

Пост Лукацкого

🆕 BlackCat/ALPHV ушли в туман, LockBit потерял свою инфраструктуру, но есть жизнь вымогательская и после них. В феврале было зафиксировано 32 новых семейства шифровальщиков 🤒, нападающих на организации (даже LockBit 4.0, о котором я писал в списке уже есть). Там где есть деньги, всегда кто-то будет крутиться 🤑

Читать полностью…

Пост Лукацкого

В новом отчете Recorded Future интересен не только список потенциальных жертв из совершенно разных стран, по части из которых задаешься вопросом "а нахрена этих-то атаковать?" (Ангола, Ботсвана, Монголия, Тринидад и Тобаго и т.д.) 🏝 И не то, что целевыми устройствами для обнаруженного ВПО является смартфоны. И даже не способами атак на них через уязвимости в Whatsapp и iMessage 📱

Отчет показывает, что обнаруживать такие кампании можно и не имея средств защиты на оконечных мобильных устройствах 📞 Компенсировать их отсутствие можно за счет анализа сетевого трафика, который по любому будет, если ВПО захочет коммуницировать с C2-инфраструктурой. И анализировать его можно за счет применения решений класса NTA/NDR 💡 или DNS Firewall/NGFW/SASE, то есть того инструментария, который есть в нашем распоряжении. Главное 🤔, не забывать их правильным образом настраивать.

Читать полностью…

Пост Лукацкого

Если вдруг у вас случится казус с непатченными Fortinet'ами, в которых нашли зеродей, 🤬 то у вас есть возможность протестировать новый сайт ГосСОПКИ и через него сообщить об инциденте 📞 Ну и вообще поглядывайте за ним наряду с safe-surf.ru

Читать полностью…

Пост Лукацкого

Что объединяет основного антагониста главного героя романа "Гарри Поттер" 😈 и средства, используемые для обхода блокировок, введенных Роскомнадзором? То, что их нельзя называть! 🤐 Одного - на протяжении всех романов Джоан Роулинг, второе - с 1-го марта 2024 года. В связи с этим предлагаю ввести в оборот новую аббревиатуру - ССКНП, то есть "средства и сервисы, которые нельзя пропагандировать" (сокращенно, "ссука"; не путать с СуКИИ)!

Читать полностью…

Пост Лукацкого

Тут Gartner описал сферы влияния CISO, которые помогают ему достигать 🤔 чего-то важного и ценного в своей деятельности. Интересная такая картинка, с которой я местами согласен, а местами как-то не очень. Но идея показано верно - больше всего времени тратится там, где большого толка ждать не приходится ☹️ И если уж стремиться к нанесению бизнес-пользы, то и общаться надо с правильными людьми. Ну или наоборот - общаясь с правильными людьми, начинаешь думать как они и приносить для них пользу 🤑

Читать полностью…

Пост Лукацкого

Депутат заявляет, что сейчас из всех средств защиты в России отечественных уже 97%. В прошлом июне он заявлял, что таких средств "всего" 90%. И это рекорд, такой же как и число голосов, отданных за никому неизвестных кандидатов в президенты страны 🤥

Читать полностью…

Пост Лукацкого

Интересный документ выпустило ENISA - про различные практики подтверждения подлинности субъекта при удаленной идентификации 🫦 Начав с обзора сценариев, где это необходимо, они описывают модель угроз для разных сценариев и методов, а затем уже описывают, как это сделать правильно и безопасно 🛡

Читать полностью…

Пост Лукацкого

Не знаю, что вы больше празднуете, День Святого Патрика 🍀 или Масленицу 🥞, но в любом случае поздравляю вас с применением гомоморфного шифрования на выборах главы государства! Да пребудет с вами гомоморфизм! 🥂

Читать полностью…

Пост Лукацкого

Тут в "Коммерсанте" кратко формулируют, почему новости об утечках персональных данных никого не пугают и кому выгодна шумиха про них и введение оборотных штрафов 💡

Я только добавлю свои 5 копеек 🪙 относительно комаров и болота. С точки зрения теории вероятностей у жителя Земли умереть от укуса комара 🦟 шансов в 140 тысяч раз больше, чем стать жертвой акулы. То есть это мелкое насекомое не так уж и безобидно, как мы к этому привыкли (и это лишний раз показывает иррациональность человеческой оценки риска - мы акул боимся, но то, что от бегемотов и коров умирает больше людей, чем т них, в расчет не берем) 🦈

И про болото. Все-таки тут у меня есть выбор - ходить туда, где воет собака Баскервилей или нет. А вот с персданными, которые я вынужден оставлять на множестве ресурсов, чтобы не быть вырванным из жизни, увы, ситуация иная - у меня нет выбора. И, как минимум, различные госорганы обрабатывают мою личную информацию. Но в остальном всецело поддерживаю мысль Максима 🤝

Читать полностью…

Пост Лукацкого

Кстати, в последней загадке, правильный ответ 042!

Читать полностью…

Пост Лукацкого

Во исполнение ранее принятых требований по повышению безопасности ПО, используемого в госорганах США, CISA разработала аттестационную форму, которую обязаны заполнять все поставщики софта для госов. Если поставщик ее не заполняет, то предприятия обязаны запрашивать ее, а если те отказываются предоставлять, то это является формальным поводом для отказа от использования небезопасного программного обеспечения. При этом указание недостоверных сведений в этой форме будет рассматриваться как уголовное преступление со всеми вытекающими 😡

Самоаттестация требуется для любого ПО, выпущенного после 14.09.2022, крупно обновленного после этой даты, а также для всех остальных видов ПО, которые имеет регулярные обновления. Самоаттестация не требуется для
ПО, разработанного госорганами
open source, которое свободно доступно и получено федеральными агентствами (для этого другие требования есть)
для проприетарных компонентов и open source, встроенного в ПО, поставляемое в госорганы (для этого другие требования есть)
для общедоступного ПО.

Форма подписывается гендиректором компании-разработчика и должна содержать доказательства выполнения требований к безопасной разработке, подтвержденные третьей стороной, так называемыми Third Party Assessor Organization (3PAO), аккредитованными для этой работы. В требования по безопасной разработке, которые надо подтверждать, включены многие пункты из NIST SSDF:
1️⃣ Разделение сред для разработки и сборки
2️⃣ Регулярный аудит, мониторинг и регистрация событий для доверенных отношений между окружениями разработки и сборки
3️⃣ Внедрена MFA
4️⃣ Шифрование секретов и кредов
5️⃣ Мониторинг инцидентов ИБ
6️⃣ Средства анализа исходных кодов (SAST/DAST/SCA)
7️⃣ Поиск уязвимостей перед выпуском релиза
8️⃣ Наличие программы vulnerability disclosure

У меня, конечно, есть определенные вопросы к отдельным формулировкам и требованиям этой формы, но сама идея - прямо огонь 🔥 Если бы у нас Минцифры выпустило аналогичные требования для всего ПО, попадающего в реестр отечественного, или хотя бы для того ПО, которое закупается за государственные деньги, то уровень безопасности в стране существенно бы поднялся, качество разработки бы выросло, квалификация разработчиков бы поднялась, с рынка бы ушли фирмы-однодневки. И вообще наступил бы безопасно-софтверный рай 😇

Читать полностью…

Пост Лукацкого

Очень интересный отчет по результатам расследования взлома английской библиотеки 📚 в октябре прошлого года. Приятный пример открытости компании, пострадавшей от взлома, в результате которого утекло 600 ГБ персональных данных и другой информации. Компания не стала скрывать этот факт, провела расследование 👨‍💻 и опубликовала его результаты. Можно только приветствовать такую открытость.

Структура отчета описывает все ключевые и интересные для аудитории моменты:
резюме
причины и анализ атаки
оценка ущерба
реагирование и восстановление
технологическая инфраструктура
будущая оценка рисков
извлеченные уроки и рекомендации

Читать полностью…

Пост Лукацкого

Раз уж я начал эту неделю с темы про невозможность оценки вероятности рисков ИБ, то и закончу неделю тоже темой про риски. Но замахнусь на святое и попробую доказать, что сам термин "риск ИБ" не имеет смысла, так как его используют некорректно.

Читать полностью…

Пост Лукацкого

Счетная палата США 🇺🇸 выпустил отчет о безопасности американской критической инфраструктуры, который можно рассматривать как неплохой такой обзор всех активностей и инициатив, которые реализуются у нашего геополитического соперника 🏭

Перечислены все КИИ, все министерства, вся нормативка, все государственные ИБ-проекты, все продукты и сервисы, предоставляемые CISA для КИИ с их описанием, а также возможные последствия от реализации недопустимых для КИИ событий 💥

Ключевых выводов у Счетной палаты два:
1️⃣ У некоторых "подопечных" негативный опыт использования продуктов и сервисов CISA. Например, бывали случаи, когда между репортингом об уязвимости в средствах промышленной автоматизации до ее опубличивания проходил год и более.
2️⃣ У CISA не хватает квалифицированного персонала в области защиты АСУ ТП персонала. Их всего 9 человек (интересно, сколько в 8-м Управлении ФСТЭК?).
Передовые практики подсказывают, что для устранения этих проблем надо лучше планировать загрузку персонала и заниматься оценкой пользовательского опыта, но CISA этим не занимается 🗑

Знакомая ситуация, не правда ли?..

ЗЫ. А последние примеры недопустимых событий в списке почему-то все связаны с Россией. Почему? Не любят они нас что ли? 😈

Читать полностью…

Пост Лукацкого

Насколько богат русский язык ✍️ смыслами и нюансами. Вот вроде простое слово "подвержен", но какой смысл 😦 вкладывали в него авторы текста? Речь идет о свершившемся факте? Я бы тогда на их месте использовал более понятное и короткое "подвергся". Или речь о том, что сайт был настолько "хорошо" спроектирован и внедрен, что его архитектура была изначально подвержена DDoS-атаке? А что сейчас? 🥺 Уже не подвержена или все еще подвержена и хакеры могут повторить свой успех?

Читать полностью…

Пост Лукацкого

Курс "Базовая кибербезопасность: первое погружение", который я записывал, разместили на платформе Альпина.Лаб, что, безусловно, приятно 😇 Теперь в кибербез могут погрузиться все, у кого куплено корпоративное обучение на этой платформе

Читать полностью…

Пост Лукацкого

Офис директора национальной разведки США 🇺🇸 выпустил отчет с оценкой угроз оплоту демократии Америке. Документ, не в пример литовскому, получился более адекватным и конкретным (видна школа). На вдвое меньшем количестве страниц американцы четко выделили:
4 основные источника угроз (тут ничего нового - Китай 🇨🇳, Россия 🇷🇺, Иран 🇮🇷 и Северная Корея 🇰🇵), с описанием основных активностей актора, экономических и технологических драйверов, влияющих на нацбезопасность, вопросов ядерных и обычных вооружений, космических, кибер- и разведопераций. Все предельно конкретно и без воды, как у прибалтов; картинок и фоточек тоже нет.
Про наши кибервозможности пишут, что Россия активно "работает" по Украине, а также нацелена на АСУ ТП и подводные кабеля (а как же хуситы?).
Китай 👲 в киберпространстве активно плющит инфраструктуру некоренных американцев на Гуаме и пытается нарушить коммуникации📡 между Азией и США, проводит кибероперации против критической и военной инфраструктуры первой экономики мира, а также мониторит своих граждан и проводит репрессии против диссидентов, нарушая их права (кто бы говорил).
Тегеран наращивает киберпотенциал и может стать основной угрозой ИБ для США; продолжает активно атаковать инфраструктуры на Ближнем Востоке 🕌, а также пытается сорвать выборы 2024-го года.
Пхеньян стоит за множеством попыток кибершпионажа и многими киберпреступлениями, а также активно атакует США и Южную Корею.
Из конфликтов, которые могут перерасти во что-то большее, что станет угрозой США, называют палестино-израильскую войну, конфликт в Китайском море, конфликт Индии 🇮🇳 и Китая, Индии и Пакистана 🇵🇰, Азербайджана 🇦🇿 и Армении 🇦🇲, а также потенциальные проблемы на Балканах, в Судане 🇸🇩, Эфиопии 🇪🇹, регионе Сахель (это Африка - Мали, Чад, Буркина-Фасо, Нигер и т.п.; помните литовцы про это тоже писали?), Гаити 🇭🇹 и Венесуэле 🇻🇪. У них пупок порвется, если они везде начнут вмешиваться.
Также у угрозам относят искусственный интеллект 🧠, цифровой авторитаризм и транснациональные репрессии.
Из других упомянутых угроз перечислены оружие массового уничтожения 💥 (ядерное, химическое, биологическое), изменения климата, эпидемии 🦠, миграция, организованная преступность, включая киберпреступность 🤒, торговлю людьми, терроризм, а также частные военные компании. Все это с примерами.

ЗЫ. Про ИБ там немного, но есть. Основное предназначение документа - понимать, куда обращен взор одной и сверхдержав, где и кому она будет вставлять палки в колеса.

Читать полностью…

Пост Лукацкого

Я много раз подступался к теме предсказания кибератак, но последняя заметка подхлестнула мое желание «закрыть гештальт» с этой темой и подсобрать 🫴 воедино все разрозненные заметки и мысли, которые у меня были написаны ✍️ на протяжении последних лет 20 с лишним. Но тему я так и не закрыл и, как мне кажется, даже выпустил джина из бутылки, так как там дофига чего еще всплывает, если начать копать глубже... 🪙

Читать полностью…

Пост Лукацкого

"Интернет был построен, чтобы объединять, а не защищать" (с) CISO Microsoft

Смелое заявление от компании, которая регулярно попадает на передовицы из-за очередного взлома своих сервисов или ее клиентов, использующих продукты Microsoft.

Читать полностью…
Подписаться на канал