Ну что ж, к выступлению в Абу-Даби подготовился. Поднабрал новых примеров, добавил региональной специфики, сделал прогнозы... Надеюсь аудитории будет интересно 🤔
Читать полностью…Наши китайские товарищи 👲 выпустили 23 августа новый стандарт по кибербезу автомобилей GB 44495-2024, который вступает в силу для новых авто с 1 января 2026 года, а для существующих - с 1 января 2028 года. Эти требования сильно схожи с тем, что написано в UN R155 и ISO/SAE 21434, но есть там и отличия 🚗 В частности, не требуется сертификат ИБ на автомобили, но аудит ИБ должен быть пройден (но не каждые 3 года как в UN R155). Также у китайцев детально расписаны 27 тестов, которые должны быть реализованы в автомобиле по отношению к его внешним соединения, коммуникациям, обновлению ПО и защите данных. В UN R155 такой детализации не описано - производители сами решали какие тесты и как проводить 🔨
В целом история с кибербезопасностью автомобилей меняется. В США и Европе тоже свои требования есть. У нас пока о таком что-то не слышно, что говорит, как по мне, о пока еще отсутствующей конкуренции в области автомобилестроения в нашей стране. Нам бы автопром свой для начала надо иметь, прежде чем о его ИБ думать 🏎
А новые китайские требования 🇨🇳 поднимают скорее другой вопрос. Вот приезжает на таможню китайское авто со своей криптографией, со своими средствами ИБ. А ведь авто и персданные обрабатывает, и в КИИ может использоваться (если на юрлицо будет куплено)... И вот как тогда относится к автомобилю? Как к средству передвижения и пусть у Минпромторга голова болит? Или как к средству Интернета вещей? Или как к радиоэлектронному средству (там же Wi-Fi есть) и тогда это к Минцифре? Или как к СКЗИ и тогда это к ФСБ? Или как к мобильному средству вычислительной техники и тогда это к ФСТЭК? 🤔 Или просто пока закрыть глаза?.. 👀
Я календарь переверну
И снова выступать в Дубай...
Выложили видео выступлений с ИТ-Пикника, среди которых и мое про безопасность Интернета вещей...
Читать полностью…Наткнулся тут на свежий, апрельский опрос лидеров SOCов, в котором 200 руководителей делятся своими болями и опытом, лайфхаками и т.п. Я про него еще дальше напишу, а пока в догонку к вебинару по оценке эффективности SOC (видео и презентация), который я читал недавно, еще один набор используемых метрик: 🌡
🔤 Уровень соответствия требованиям законодательства, индустриальным стандартам и внутренним политикам
🔤 Стоимость на инцидент
🔤 Время обнаружения (MTTD)
🔤 Уровень эскалации инцидента (как много инцидентов требует эскалации)
🔤 Возврат инвестиций
🔤 Время реагирования (MTTR)
🔤 Объем инцидентов
🔤 Число ложных срабатываний (FP/FN)
🔤 Уровень удовлетворенности сотрудников или клиентов.
ЗЫ. Среднее число метрик, используемых на регулярной основе, - 3,1 🌡
Вы знаете, что у таких ИБ-компаний, как Cisco, Fortinet, PaloAlto, CheckPoint и т.п., основные доходы приходят от продажи межсетевых экранов, доходя до 70-80% от всего объема продаж ИБ-решений 🤬
И вот в обсуждаемом в последнее время на Западе опросе Barclays 🏦 был вопрос - насколько изменяются инвестиции в межсетевые экраны в ближайшие три года. И вот что интересно, взгляд CIO на этот класс средств защиты достаточно пессимистичен - только 28% считает, что они увеличат инвестиции в МСЭ 🤑 29% считают, что они сократят свой бюджет на эти решения, а 43% - оставят на том же уровне, что и были.
Рост 📈 будет происходить там, где требуются мощные (и дорогие) железки для инспекции зашифрованного трафика, а также для внутренней сегментации в инфраструктуре, позволяющей уменьшить площадь атаки. То есть по сути речь идет об обычных МСЭ, а не NGFW. С другой стороны, облака, пусть и частные, снижают потребность в аппаратных МСЭ, которых могут заменить либо виртуальные (а там тоже в меньшей степени нужна NG-функциональность), либо встроенные решения IaaS-провайдеров 😶🌫️ Также, на Западе продолжается дискуссия на тему "заменит ли SASE межсетевые экраны, особенно в филиалах и малом бизнесе?". Отсюда и итоговой результат - 72% CIO, а именно они являются основными бюджетодержателями для МСЭ, не видят перспектив для данного класса продуктов 👎
Но все это не относится к России, где одна из основных задач на годы вперед - замена МСЭ и NGFW кинувших своих заказчиков американских компаний. Поэтому у нас цифры Barclays не работают - у нас по направлению NGFW только рост... 🇷🇺
Список основных глобальных рисков - штука не новая. Такое делает ВЭФ в Давосе, такое публикует страховая компания «Цюрих» (из хорошо известного). Поэтому данный вариант не то, чтобы уникален, но… у него интересная визуализация 🎨 Она показывает временной горизонт влияния/ущерба текущих рисков - уже влияет (те же кибериски), будет влиять в течение 1-5 лет, и на горизонте 5-10 лет.
Если заменить все риски только недопустимыми для конкретной организации событиями и ввести размер/серьезность потенциального ущерба (отображается размером кружочка), то будет неплохая стратегическая визуализация 💡
В Бразилии запретили X (бывший Twitter). Но на этом все не закончилось, как у нас 😅 После запрета судья Александр де Мораес 👨⚖️ заявил, что компании и физлица, попытавшиеся обойти запрет и подключиться к соцсети, ждет штраф в размере 50 000 реалов (примерно 9 тысяч долларов США) в день.
Все познается в сравнении… Хорошо, что я уже улетел, а то как раз перед вылетом я… ну вы поняли 🖥
Не все могут инвестировать 🤑 в создание реалистичного мини-города как Standoff для демонстрации последствий от реализации недопустимых событий и обучения специалистов по ИБ. Но это не значит, что не надо пытаться. Например, в австралийском университете TAFE при создании мини-города для обучения Blue/Red Team использовался конструктор Lego! 💡
ЗЫ. Фото честно утащил у Олега Вайнберга, преподающего в TAFE.
ЗЗЫ. Хотя, подозреваю. что закупка Lego такого масштаба тоже выйдет в копеечку. Там же еще и автоматизация под капотом 🏠
Вот и Катя прошлась по оценке рисков... 🔪 Мне кажется, чем больше будет статьей на тему реального применения оценки рисков в ИБ, тем более зрелым будет становиться рынок и тем более осознанным использование различных правильных подходов к тому, как говорить с бизнесом 🤝 Не вот это вот "аааа, все пропало" и метод светофора, а учет не только потерь от реализации риска, но и пользы, которую тот или иной риск может принести, а также поиск баланса между ними, что и отличается бизнесмена и предпринимателя от наемного менеджера и безопасника 🚦
Читать полностью…Думаю, многие видели модель разделения ответственности за безопасность в различных моделях оказания облачных услуг (IaaS, PaaS и SaaS). Вот аналогичная, но для машинного обучения 🧠 Тут и вам про персональные данные, и про этику, и про реагирование инцидентов... 💭
Читать полностью…Ну и по традиции краткая выжимка из второй прочитанной в Бразилии презентации. Да, она не на бразильском португальском языке, mas então não ficaria claro nem para você nem para mim :-)
PS. Учите иностранные языки. Это отличный способ оттянуть, а то и вовсе исключить из своего будущего болезнь Альцгеймера 😎
ЗЗЫ. У этой презентации есть один секрет, который очень сильно помог нам в Бразилии. Но я его не расскажу (хотя он и показан на слайдах ☝️) - оставлю при себе. А то все побегут в Бразилию 🏃
Рассказывал в Бразилии 🇧🇷 про результативную кибербезопасность, недопустимые события и вот это вот всё. После подошел CISO крупной компании и говорит:
О, Боже! Наконец-то я услышал то, что мне нужно. А то ко мне приходили ребята из Big4, приносили простыни со своими реестрами рисков и пытались всучить их оценку. А я понимаю, что к моменту, когда они закончат оценивать, мне надо будет начинать все заново и более того, появятся новые риски, и все начинать сначала; и так по кругу.
В американском ИБ-издании на редкость неплохой материал по российскому рынку Bug Bounty 🤑 Автор пишет, что HackerOne, BugCrowd, Intigriti вышвырнули русских багхантеров со своих платформ, а американские бигтехи типа Apple и др. отказываются платить русским за найденные у них уязвимости, что и привело к предсказуемому росту рынка Bug Bounty в России 🇷🇺
Упоминается первая программа Bug Bounty от Яндекса, начавшаяся в 2012-м году. Есть информация о трех крупнейших платформах - BugBounty[.]ru, Stnadoff 365 Bug Bounty 🟥 и BIZONE Bug Bounty, а также о суммах выплат, которые, по мнению автора, сопоставимы с тем, что платились на HackerOne. Не обойдена вниманием и тема Минцифры, которая вышла на BugBounty со своими ГИСами. Также дается небольшой экскурс в уголовное законодательство в контексте истории с легализацией белых хакеров 👨💻
В заключении автор пишет, что у российской экосистемы Bug Bounty большое будущее 💪, так как эти платформы будут привлекать 🫴 не только российских багхантеров, которых только сейчас насчитывается около 20 тысяч, но и исследователей из других юрисдикций, которые с высокой степенью вероятности могут попасть под очередные санкции США. Это приведет к тому, что уязвимости в западных продуктах будут продаваться не вендорам на иностранных платформах, а в России, что, потенциально, может означать, что их покупателями станут российские спецслужбы, что создаст дополнительные угрозы шпионажа для Запада 😕 Ну и по аналогии с недавно вышедшей статьей о том, что иностранцам надо присматривать за Astra Linux, автор предлагает присматривать и за российским рынком Bug Bounty 😮
Оказалось, что в Бразилии вообще мало кто рассказывает про кибербез, так как это сделали мы 🤹♂️ Не только нестандартная тема (ИБ с точки зрения бизнеса), но и сама подача, оформление были очень хорошо восприняты аудиторией. И это при том, что на весь первый день CISO Forum было всего две англоязычных презентации - моя и еще одна спикера, девушки, которая отвечала на вопросы модератора (без презентации); все остальное было на бразильском языке 🇧🇷
Люди тут скучают по нормальным, а не согласованным строгим корпоративным PR и маркетингом, скучным презентациям с кучей ограничений, выверенными нейтральными картинками из фото-стоков... 🤠 Ну а я особо не заморачивался - взял тему оценки защищенности и провел аналогии с футболом, который в Бразилии введен чуть ли не в религиозный культ. Зашло на ура! 🎆
ЗЫ. В итоге организаторы попросили "на бис" выступить и во второй день 😂
ЗЗЫ. Мой вам совет: ваша целевая аудитория - это слушатели, а не ваш маркетинг.
Contextual Vulnerability Management With Security Risk As Debt
Я думаю, каждый, кто занимался построением программы управления уязвимостями или хотя бы раз пытался добиться от ИТ-команд их устранения, знает, насколько сложно обеспечить соблюдение установленных SLA. Зачастую SLA берутся «с потолка» и, как правило, далеки от реальных возможностей организации по быстрому устранению выявленных уязвимостей. В результате в организации возникает общая фрустрация, где все сталкиваются с удручающими отчетами. А CISO за "кружкой пива" мрачно заявляет, что "у него в бэклоге 3 миллиона уязвимостей" и "он/она не знает, что с ними делать!". И хотя из общих соображений понятно, что здесь придется обращаться к приоритезации и мудрости в духе общества анонимных алкоголиков:
Господи, дай мне спокойствие принять то, чего я не могу изменить, дай мне мужество изменить то, что я могу изменить. И дай мне мудрость отличить одно от другого.
В отношении использования искусственного интеллекта 🧠 в ИБ в последний год идут достаточно большие споры. Кто-то считает, что ML позволяет реализовать прорыв при обнаружении и реагировании на инциденты. Кто-то, наоборот, считает, что ничего кроме хайпа ML с собой не несет. Вендора продолжают свои эксперименты (например, MP O2). А руководители SOCов достаточно оптимистично 🙂 смотрят в сторону автоматизации на базе ИИ, видя от ее несколько преимущества (в порядке убывания важности):
1️⃣ Обнаружение новых угроз
2️⃣ Лучшая реакция на угрозы
3️⃣ Лучшее измерение и генерация отчетов
4️⃣ Рост продуктивности аналитиков
5️⃣ Улучшение опыта аналитиков
6️⃣ Лучшая адаптация и устойчивость бизнеса
7️⃣ Найм и удержание ИБ-талантов
8️⃣ Улучшение опыта пользователей/клиентов
9️⃣ Улучшение принятия решений в SOC
1️⃣0️⃣ Снижение затрат на обнаружение и реагирование 🤖
Но несмотря на все позитивные истории применения ML в SOCах, можно увидеть, что число тех, кто оценивает перспективность ML-автоматизации сейчас и через 2 года не сильно отличается 🤷♂️ Предположу, что те, кто уже сейчас использует такую автоматизацию, планирует ее использовать и дальше. А те, кто не использует, пока не понимает, будут ли они это делать 🤔 То есть пока явных и революционных прорывов нет, о чем говорит и первая пятерка преимуществ. Если не брать различные методы обнаружения новых угроз, то остальные 4 пункта закрываются различными решениями класса CoPilot.
В упомянутом выше опросе также задали вопрос по самым важным сервисам и решениям, которые используются в SOCах. В целом, набор достаточно предсказуем, но два пункта меня там зацепили - IoT Security и AppSec. Первый понятен - все-таки сегодня уже Интернет вещей 💡 - штука популярная и поэтому его надо мониторить. Хотя я не думаю, что средства защиты IoT настолько популярны, чтобы обогнать DLP, XDR, IAM или TIP с SOAR.
А вот попадание в первую семерку AppSec меня удивило 🧑💻 У меня давно висит драфт статьи, в которой я как раз описываю возможность интеграции темы AppSec в SOC (и речь не о банальном подключении WAF в качестве сенсора в SIEM). Видимо, надо будет ускориться с этим материалом. А то получается, уже все интегрировали DevSecOps в центры мониторинга, одни мы еще только на подходе...
А попадание SOAR на предпоследнее место, возможно, объясняется тем же, о чем говорит и Gartner. А в остальном все достаточно очевидно, без революций. Современный SOC - это логи, их анализ в SIEM и, обязательно, мониторинг оконечных устройств с помощью EDR. На 4-м месте также решения по управлению уязвимостями, которые позволяют уменьшить площадь возможной атаки 😔
Мы скоро будем проводить уже вторую конференцию Positive SOCcon (материалы первой можно увидеть на сайте мероприятия), где я тоже планирую выступать с чем-нибудь интересным. На SOCtech я в этом году не попадаю (буду на GITEX в ОАЭ), но Positive SOCcon не пропущу. Так как больше ничего достойного моего внимания по теме SOCов у нас больше не будет, а контента у меня много, то поэтому потихоньку собираю всякое разное про SOCи и буду что-то из этих материалов постить в канале.
Читать полностью…1-е сентября... День знаний 👩🎓 Я провел его в самолете. На Москву была атака дронов и мы сначала час кружили над столицей, а потом нас отправили в Питер, пережидать когда снова откроют аэропорт. Было время поразмышлять. Мне кажется, что мы сейчас скатываемся в достаточно жесткий прагматизм в обучении, когда надо получить знания (и в ИБ тоже) здесь и сейчас и применить их также здесь и сейчас 👨🎓 Вся "философия" и гуманитарные науки отбраковываются в пользу каких-то конкретных задач, которые указываются рекрутерами в резюме.
Я удивляюсь ВУЗовским дисциплинам сына, который учится вроде на той же специальности, что и я 30 лет назад, но у нас совпадение по предметам процентов на 15-20%. Да, у него сугубо практические дисциплины и проекты, в которых он участвует, которые сейчас очень востребованы 👨🏫 Но они же и быстро устаревают, как мне кажется, в силу динамики происходящих в отрасли изменений. Да, это приводит к тому, что процесс получения знаний становится непрерывным (это ценнейший навык), но это же приводит к тому, что образование у нас является не частью развития человека как раньше, а инструментом решения насущных задач и достижения каких-то краткосрочных целей 🤕
Смысл высшего образования теряется 🥹 Скоро и получение диплома перестанет быть причиной похода в ВУЗ (отсрочка от армии уже не особо работает в нынешних условиях). Все, что нужно "здесь и сейчас", можно будет получить на курсах повышения квалификации или в разных онлайн-университетах 🖥 Это приводит к тому, что современная молодежь может решать многие задачи гораздо лучше и быстрее, чем это было раньше. Но большинство этих задач носит приземленный характер - стратегические и методологические вещи становятся молодежи неподвластны, так как у них нет того кругозора, который нужен, чтобы взглянуть на проблему с разных стороны и учесть разные точки зрения - культурологические, социальные, исторические и даже религиозные 🎮
ЗЫ. Да, это про и про ИБ тоже 🛡
Одна российская компания заявила позавчера о разработке NGFW на 100 Гбит/сек. Другая не стала мелочиться и заявила про разработку NGFW для каналов 200-400 Гбит/сек 📏 Поверьте, качество и эффективность NGFW определяется не длиной пропускной способностью. В конце концов - это не firewall 🤬
В 2021 году в компании Andreessen Horowitz описали “парадокс облачных технологий”, когда компании, несмотря на высокую эффективность и гибкость облачных сервисов, сталкиваются с неожиданно высокими затратами при их масштабировании 🤑 Этот парадокс заключается в том, что облако, которое должно быть экономичным и гибким решением, в итоге становится значительной статьей расходов для крупных компаний, что может ограничивать их возможности для инноваций 😶🌫️ Одной из стратегией оптимизации затрат на облачные услуги инвесторы из AH предложили репатриацию, то есть перенос некоторых рабочих нагрузок обратно в локальные дата-центры для снижения расходов 📉
И вот недавно Barclays Bank подтвердил этот тренд в своем большом опросе CIO. Мы видим, что последние 3 года идет неуклонный рост желающих репатриировать свои данные и приложения обратно из публичных облаков либо в частные, либо в собственные центры обработки данных 🫴 При этом, в первую очередь это касается облачных хранилищ данных и систем управления базами данных. Так что ситуация с облаками не такая радужная, как об этом говорят различные аналитики. Раньше их выбирали, не желая закупать собственное железо под это все и желая переложить большую часть ИТ-задач на чужие плечи. Да и нехватка персонала тоже приводила к стремлению уйти в облака 🏃 Но все оказалось не так радужно, как рисовалось вначале. И не последнюю роль тут сыграли инциденты ИБ с облачными провайдерами 🔓
России это пока не так чтобы сильно касается, но для понимания общих тенденций полезно. Особенно для тех компаний, которые смотрят за пределы локального рынка 🤔 Ну а причем тут безопасность, я думаю, рассказывать не надо.
В полной традиции с манерой ведения канала "то пусто, то густо", написала лонгрид на тему оценки рисков, как соотносится стоимость риска и стоимость защиты, и причем тут "нобелевская" совокупная теория перспектив Канемана и Тверски.
Очень хочу обсудить, велкам в комментарии.
Мне на следующей неделе лететь в Абу-Даби для выступления на конференции по киберпреступности, к которой я готовлю различные кейсы. И вот один из свежих примеров, когда на компании Ближнего Востока 🕌 нацелились хакеры, распространяющие вредонос под видом средства защиты Palo Alto (Palo Alto GlobalProtect). Сама по себе схема не нова - сначала предположительно идет фишинговое письмо ❗️, в котором жертве предлагается установить средство защиты американской компании. На второй стадии компьютер заражается и попадает под контроль хакеров, которые управляют им через C2-инфраструктуру. Пострадавшие от этой атаки пока неизвестны.
Читать полностью…У коллег из канала "Резбез" вышло два поста про то, что должен содержать в себе отчет по анализу защищенности и каковы критерии качества работ по оценке защищенности. И я сразу вспомнил один отчет по пентесту, который попался мне в руки в Бразилии 🤕 Всего 4 страницы, на которых просто указаны меньше 10 найденных с помощью Nmap, Nikto, WPScan уязвимостей на периметре заказчика. Рекомендации впечатляют. Думаю, даже не знающие португальский, легко поймут, о чем идет речь. И "это" у кого-то поворачивается язык называть пентестом, а кто-то за это еще и платит 🤠 Тьфу таким быть. Должно быть стыдно выдавать "это" за пентест.
Читать полностью…Ну где тебя 🟥 еще так встретят и проводят? Только в Бразилии 🇧🇷 И хотя я не попал на день рождения компании, который празднуется сегодня в Москве, в Бразилии мы тоже отметили как смогли 💃
Читать полностью…20 августа Верховный суд оставил решение нижестоящих инстанций о тюремном заключении 😡 Илья Сачкова без изменений, посчитав, что оснований для пересмотра дела нет ☹️ В резолютивной части приговора говорилось, что в деле имеются вещественные доказательства, включая визитки сотрудников ФБР, сотрудников посольств США и Великобритании в РФ и сотрудников британского МИД 🇺🇸
Официально заявляю, что после того, как я это прочитал в прошлом году, я сразу уничтожил все визитки, которые у меня были от сотрудников различных посольств, которые бывали в офисе Cisco по роду службы, а также от сотрудников АНБ и ФБР 🇺🇸, которые [визитки, а не сотрудники] у меня скопились после многократного посещения RSA Conference и других мероприятий, на которых указанных сотрудники выступали 👮
Интересно, кстати, как организован CISO Forum в Бразилии 🇧🇷 Единственный keynote-доклад (от меня) и потом одни дискуссионные панельки. И в первый день точно такая же история. Никакой рекламы, никаких спонсорских «мы платим - вы должны включить наш доклад про мегасуперпупернгфв» 🤬 Про продукты вообще ничего нет. Респект и уважуха оргам 🙂
Читать полностью…Как-то я смотрел выступление Джеки Чана на церемонии получении Оскара и думал: "Вот ведь классный чувак, давно в Голливуде, но до сих пор говорит по-английски так себе и не парится на эту тему. Он делает то, что он считает нужным и не заморачивается, насколько хорошо или плохо он при этом говорит по-английски. Его ведь понимают!" 😱
Меня достаточно долгое время напрягал мой английский. Да что говорить, он до сих пор меня напрягает. Я реально не чувствую себя уверенным, когда выступаю на не родном для меня языке, который я и учить-то стал уже после института, когда попал в Cisco (до этого у меня было 8 лет немецкого в школе), то есть в зрелом возрасте 😛 Но я влезаю во все международные инициативы 🟥 именно потому, что иначе я не смогу перестать бояться. Не бояться выступать, с этим у меня нет проблем. И не бояться оказаться вне повестки ИБ, с этим тоже нет сложностей (я вообще понял за годы в ИБ, что мы можем дать фору иностранцам по многим вопросам, так как опережаем их в обеспечении практической, результативной ИБ).
Позитив, даже не Cisco, дал мне возможность не бояться говорить на иностранном языке. Это офигенное ощущение, когда ты выступил на знакомую тебе тему и она зашла аудитории 🎆 Да, ты косячил с временами и спряжениями, но это не так важно. Я выступал не перед native speakers. Для них английский - такой же не родной, как и для меня. И в любой стране мира, где мне доводилось выступать очно или онлайн, я могу сказать, что все очень лояльны к тебе, так как мало кто родился со знанием английского. Арабы, бразильцы, чехи, поляки, норвеги, испанцы... Все они учились английскому также как и я (ну или почти также). Даже многие англичане снимают шляпу (не мою 🤠) перед теми, кто изучает их язык, так как у нас есть коренное отличие от них - они знают только один язык, свой, английский, а все остальные знают как минимум два языка - свой родной и английский. И это не мы плохо говорим - это они вообще не говорят ни на каком языке, кроме своего. То есть это не нам должно быть стыдно, что мы плохо говорим на английском, а им, что они не говорят на русском, португальском, испанском, немецком, чешском, сербском и т.п.
Так что не надо бояться выступать - на другом языке, перед незнакомой аудиторией, на не до конца изученную тему (хотя тему лучше изучить, конечно). Вы тем самым пересиливаете себя и свой страх. А это дорогого стоит! Ну а после выступления и выпить не грех, снять стресс и расслабиться, что я и сделал после своего выступления в Бразилии 🇧🇷