5 стадий становления индустриального аналитика по кибербезопасности: 🪜
1️⃣ Ты скачиваешь чужие отчеты из разных источников и хранишь в своем хранилище.
2️⃣ Ты читаешь чужие отчеты.
3️⃣ Ты пересказываешь чужие отчеты, вытаскивая оттуда главное и делясь этим с другими.
4️⃣ Ты не соглашаешься с чужими отчетами, добавляя свои размышления и предложения.
5️⃣ Ты пишешь свои отчеты!
Есть такая ИБшная шутка (правда, она на английском звучит хорошо, не на русском). Какой у тебя пароль? 12345678, имея ввиду не 8 последовательно идущих цифр, а одна двойка, три четверки, пять шестерок и семь восьмерок, то есть 2️⃣4️⃣4️⃣4️⃣6️⃣6️⃣6️⃣6️⃣6️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣ Есть те, кто считает, что этот пароль надежнее самой популярной последовательности. Сервис haveibeenpwned говорит, что таких аж 2133 человека 😉 (на самом деле не человека, но это не так важно). А вот любителей пароля 1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣7️⃣8️⃣ почти 7 миллионов!
Читать полностью…Устроим вечер ностальгии, раз уж так получилось. Чего только не найдешь при очередном разборе завалов на даче 🏠 Когда-то и Лаборатории Касперского не было, и сам антивирус назывался по-другому...
Читать полностью…Это сейчас никто уже и не знает никаких стеков протоколов кроме TCP/IP. А раньше в моде были другие - IPX/SPX, X.25 и средства защиты для них делались… Но может мы скоро и классический TCP/IP забудем, - перейдем на IPv17 (это не шутка, кстати) 😨
Читать полностью…К разговору о том, что квишинг (QR phishing) - это пока еще не популярная угроза 😎
Читать полностью…Я вот 9 лет учил немецкий в школе, а до сих пор с трудом произношу термины по ИБ на языке Гёте и Шиллера 🇩🇪 Например, Cybersicherheitsvorschriften, то есть "правила кибербеопасности". И ведь в немецком, в отличие от английского или французского, слово как пишется, так и произносится. Но тут без подготовки и не справишься сразу... 🤪
Читать полностью…Ну ладно, я мог бы понять, если у тебя нет кириллической раскладки на клавиатуре, и ты не знаешь как написать слово "Хакер" или "Репа" по-русски... Но и Х и Р есть в английской раскладке. А еще автор смешивает украинцев и русских, делая классическую ошибку большинства американских исследователей киберпреступности, называя всех "русскими хакерами", да еще и работающими на русские спецслужбы (ФСБ, СВР, ГРУ).
Читать полностью…Когда вас, как ИБшника, на корпоративе или на годовом собрании компании будут встречать также ✨, то значит вы не зря едите свой хлеб! 🎆
Читать полностью…Какая интересная новость - не очень известная ИБ-компания Pango (я о такой и не слышал, если честно) выкупила 1 миллион американских клиентов Лаборатории Касперского после запрета 🚫 последней продавать свои решения в оплоте демократии.
Сумма сделки не уточняется, но в любом случае Касперский выходит из этой истории еще и с определенной выгодой для себя 💰 Зачем это Pango тоже понятно - получить миллион клиентов - это вам не фунт изюма. Не надо тратиться на их поиск, привлечение и вот это вот все. А вот зачем это клиентам? Захотят ли они пользоваться продукцией Pango, если они не пользовались ею ранее? 🤔 Интересная схема, конечно. Я таких раньше что-то не припомню...
Как пример. Вот запретят в России MS Office и продаст Microsoft своих клиентов «Моему офису». Значит ли это, что я начну пользоваться российским офисным пакетом? Нет!
В идеальном мире компании бы хотели использовать лучшие в своем классе решения, 🤤 да еще и от одного поставщика, чтобы все интегрировалось между собой, имело общую шину обмена информацией, единое хранилище данных, унифицированный API, единую систему лицензирования и срок окончания лицензий у всех решений одинаков и вот это вот все 🤔
Но мир не идеален и поэтому обычно картинка выглядит так, как показано. Десятки разных решений от десятков вендоров, имеющих собственное представление о том, как надо Родину любить ИБ обеспечивать 🛡 И хорошо, если ты пришел первым к заказчику - тогда остальные будут подстраиваться под тебя. А если нет? Тогда ты будешь подстраиваться под других, так как заказчик точно не будет менять все строящееся годами под тебя 🎮 В этом боль любого вендора, если он не монополист. Ему приходится фокусироваться не на развитии, а на поддержке требований разных клиентов. И чем больше разных клиентов, тем больше перекос от развития в поддержку 🤷♀️
А вот вам еще один метод, с помощью которого директора по информационной безопасности могут эффективно доносить тему недопустимых событий до руководства своих компаний 😱 Основной акцент делается на важности простого и понятного бизнесу языка, связывания события, имеющих катастрофические последствия с бизнес-целями предприятия и использования метрик, чтобы показать влияние угроз на финансовые и операционные показатели, репутацию и т.п. 💥
Для этого используется график устойчивости и близости к атаке (Proximity Resilience Graph), который помогает CISO демонстрировать взаимосвязь между киберугрозами и ключевыми бизнес-функциями. Этот график отражает два ключевых параметра:
📊 Ось Y показывает уровень устойчивости компании к киберугрозам, отображая инвестиции в защиту, усилия, процессы и технологии. Например, успешное обучение сотрудников снижает их уязвимость к социальному инжинирингу, что отображается снижением на оси Y.
📊 Ось X отражает близость к атаке — данные о текущих внутренних и внешних угрозах, таких как количество фишинговых атак или рост числа атак программ-вымогателей и т.п.
Названия квадрантов — "Нестабильный", "Стабильный", "Открытый" и "Защищенный" — достаточно просты, понятны и выразительны, но CISO может настроить или убрать их в зависимости от того, как они влияют на восприятие и вовлеченность аудитории, которой представляется этот график.
График помогает CISO лучше доносить информацию о динамике киберугроз и их влиянии на различные аспекты бизнеса: операционные риски, удар по бренду, финансовые потери, конкурентные риски и правовые последствия. Это позволяет руководству видеть конкретные изменения в устойчивости компании и вовлекаться в обсуждение недопустимых событий более осознанно.
В NIST Cyber Security Framework вся ИБ делится на 6 блоков требований, где последний называется RECOVER, то есть восстановление 📎 В NIST исходят из того, что не всегда действия ИБ позволяют предотвратить или своевременно среагировать на инциденты и иногда приходится расхлебывать их последствия. Поэтому иметь стратегию восстановления от инцидентов, например, шифровальщиков, идея неплохая 💡 Включать такая стратегия должна не менее 8 пунктов:
1️⃣ Изоляция резервных копий. Держите резервные копии изолированными от основной сети, чтобы они не были скомпрометированы при атаке. Это особенно важно, так как 57% попыток компрометации резервных копий хакерами были успешными.
2️⃣ Использование технологий хранения "только для записи" (WORM, write-once-read-many). Это предотвращает изменение или перезапись данных в резервных копиях, что снижает риск потери данных из-за атаки шифровальщика.
3️⃣ Создание нескольких типов резервных копий. Включает полные и инкрементальные копии для защиты от потери данных, особенно если атака происходит в праздничные дни или периоды без резервного копирования.
4️⃣ Защита каталога резервных копий. Хакеры часто нацелены на каталоги резервных копий, а не сами файлы. Без этого каталога восстановление данных становится крайне трудным.
5️⃣ Резервное копирование всех критических данных. Убедитесь, что все целевые и ключевые системы и данные в них включены в план резервного копирования.
6️⃣ Резервное копирование целых бизнес-процессов. Важно сохранять не только данные, но и все приложения, конфигурации, зависимости и другие компоненты, необходимые для восстановления работы как минимум критических для компании бизнес-процессов.
7️⃣ Использование "горячих" резервных центров и автоматизации. Быстрое переключение на резервную площадку может значительно сократить время восстановления. В облачных инфраструктурах (не во всех) можно заранее настроить такие решения для более быстрого восстановления.
8️⃣ Тестирование процесса восстановления. Регулярно проверяйте работоспособность резервных копий и восстанавливайте данные, чтобы убедиться, что все работает корректно. Тестирование должно включать как технологические, так и человеческие факторы.
Успешная атака на Yubikey 🤔 Непростая в реализации и требующая специфических условий в виде доступа к самому аппаратному токену, но зато потом можно «клонировать» то, что считало невозможным, лишний раз доказывая, что ничего невозможного нет.
ЗЫ. Возможно, и к другим FIDO-устройствам применимо 🤒
Читая регулярно про выманивание средств у того или иного чиновника или звезды шоу-бизнеса, всегда в голове возникает вопрос: "Но как? Неужели вам никто не рассказал про то, что можно и что нельзя делать со своими деньгами, хранящимися в банке?" 🏦 А потом вспоминаю свой опыт премиального обслуживания в разных российских банках (а это не один, не два, и даже не три банка) на протяжении многих лет (в приватном банкинге, кстати, тоже, но тут у меня опыт небогатый) 🧐
И вот что я хочу вам сказать - мне еще никто и нигде не провел ликбеза по ИБ моих финансовых активов ☹️ И даже памятку никто не вручил никакую. То есть привилегированные клиенты, хранящие миллионы или десятки миллионов в кредитных организациях, действительно не знают, что можно и чего нельзя. И кажется мне, что проблема отчасти в том, что в таких отделах работают сотрудники, которые сами на премиальное обслуживание не могут рассчитывать ☹️ А раз так, то они не особо понимают своих клиентов (другое дело обычные операционисты, работающие с рядовыми клиентами). Грустно 😫
Согласно ежегодно обновляемой таблице времени перебора паролей, состоящих их разных последовательностей символов, пароль состоящий из 8 цифр перебирается за 37 секунд, а из 16 - за 119 лет. Из этого можно сделать вывод, что пароль 2️⃣4️⃣4️⃣4️⃣6️⃣6️⃣6️⃣6️⃣6️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣8️⃣ перебирать дольше, чем 1️⃣2️⃣3️⃣4️⃣5️⃣6️⃣7️⃣8️⃣, но это не так. На самом деле время взлома таких паролей одинаковое, так как они оба находятся в парольных словарях и время на перебор не расходуется.
ЗЫ. Я рекомендую изучить статью Hive Systems, в которой они объясняют, как они получили данные значения, на каком оборудовании и при каких алгоритмах хэширования паролей 🤒
ЗЗЫ. Надеюсь, что ваши текущие пароли от критических сервисов находятся в зеленой зоне ✅ (при условии, что они не были зафиксированы в утечках и не попали в словари, используемые в реальных атаках и в рамках тестов на проникновение).
Ну и завершим вечер воспоминаний вот этим отечественным решением по ИБ, которое было камнем преткновения между ФСБ ФАПСИ и ФСТЭК Гостехкомиссией 👊 Одним из основных механизмов защиты в «Кобре» было шифрование и несмотря на это систему сертифицировали, но не в ФАПСИ, а в другом ведомстве. И был конфликт, и были разборки, и до сих пор мы чувствуем отголоски…
Вот с этого я начинал свой путь в открытой, коммерческой ИБ, уже после работы в «ящике» и участия в разработке средств защиты под нужды МинОбороны (да, был у меня такой эпизод в карьере) 🫡
Читать полностью…Хакерские «Доширак» и энергетик из Чехии. Что может быть лучше во время CyberCamp, Standoff или Международных игр по кибербезопасности?.. 🍿 Не реклама - все равно в России не достать 😭
Читать полностью…Мне тут несколько человек задало вопрос, а как правильно крутить ручку в душе 🤔 Правильный ответ - влево 🖕 Температура воды определяется не по тому, в какую сторону должна смотреть ручка смесителя, а в какую смотрит красная пимпочка на смесителе ⏳
ЗЫ. Лично у меня везде ручку надо поворачивать вправо, чтобы получить холодную воду 🤡
Коллеги с Positive Hack Media провели эксперимент по тому, можно ли с помощью тепловизора узнать пароль по оставленному тепловому следу от отпечатков пальцев 🤒 на клавиатуре. Так сложилось, что у меня тоже есть тепловизор, который я на даче использую для контроля температуры. Решил повторить эксперименты из видео 👨🏼🔬, угрохал около часа, но так и не смог определить пароль или PIN-код... Может это и хорошо 🤔
Читать полностью…Когда я мылся в душе в Абу-Даби, 🧼 то неоднократно сталкивался с непростым выбором - "красное или синее"?! Такой же вопрос стоит у тех, кто начинает свой путь в ИБ и думает, стать хакером/пентестером/багхантером или пойти на сторону тех, кто будет их ловить? 🤔 Однако можно не ломать голову и попробовать себя в разных ролях. На CyberCamp 2024, который пройдет онлайн 3-5 октября, можно будет порешать задания в рамках киберучений и понять, вам по душе реагировать, расследовать или атаковать (можно и просто выступления послушать ▶️).
На CyberCamp 2024 будет две лиги, Топ-6 команд с которых попадают без участия в отборочных в Международные игры по кибербезопасности, которые организовали Positive Technologies 🟥 и Инфосистемы Джет. Второй вариант попасть на эти игры - пройдя отборочные Standoff с практическими заданиями от лидеров индустрии кибербезопасности 👾
Подать заявку на участие в отборочных Standoff нужно до 16 сентября, а вот финальный срок подачи на CyberCamp на 3 дня позже, до 19 сентября 🕹
Победители получат много всяких плюшек - участие в кибербитве Standoff в 2025 году (без отборочных), доступ на финал весеннего сезона Международных игр на PHDays Fest (с оплатой трансфера и проживания), стажировки у лидеров рынка ИБ, фото с Лукацким (это шутка), денежные призы и всякий прикольный мерч 🎁
Так что у начинающих специалистов по ИБ и даже у матерых появляется возможность почувствовать себя Нео из первой части трилогии "Матрица" и выбрать предложенную Морфиусом таблетку 💊 правильного цвета.
ЗЫ. Кстати, ответьте на вопрос, чтобы полилась холодная вода, куда надо крутить ручку в душе на фотографии? Пришедший вам в голову первым ответ скорее всего и даст вам направление вашего развития ➡️
Кстати, вдруг подумалось 💭 в Европе бы такой фокус не прошел бы - GDPR был бы против передачи ПДн без согласия субъекта, то есть клиента 🤔
Читать полностью…«Криптошифрование…» 😨 Радиостанции приглашают комментировать пункты обвинения Дурову 📱 баааальших специалистов, которые ни про Васенаарские соглашения не слышали, ни вообще про регулирование импорта криптографических средств 😲
Читать полностью…То ли журналисты солидного американского издания побоялись давать ссылку на twitter-аккаунт Positive Technologies 🟥 и поэтому указали какого-то локального производителя POS-терминалов, который тоже Positive Technologies, то ли они не очень проверяют посты перед публикацией (фактчекинг наше все).
ЗЫ. Бюллетень Intel о найденной проблеме. Исходное сообщение Марка и описание всей истории от SecurityWeek.
👁🗨 Грядущему тюменскому нефтегазовому форуму посвящается 🛢 Взлом какой-то небольшой нефтяной компании. Второй за последний месяц в России, примерно десятый в мире за меньше чем полгода. Не Хуллибёртон, конечно, но все равно неприятно.
ЗЫ. Подозреваю, что VPN от Fortinet 🤔
Интересная история - группа старших офицеров на боевом корабле ВМС США “Манчестер” тайно установила и использовала нелегальную сеть Wi-Fi во время подготовки к перебазированию в Тихий океан 🛥 Они установили спутниковое оборудование Starlink для собственного пользования, несмотря на ограничения на использование интернета на корабле из-за вопросов кибербезопасности. Сеть использовалась исключительно старшими офицерами для личных нужд, таких как просмотр фильмов и связь с родными 🍿
Этот инцидент привел к судебному разбирательству, по итогам которого одна из офицеров, Гризель Марреро, была понижена в звании. Парадоксально, но госпожа Марреро имела степень MBA в области управления кибербезопасностью и цифровизацией. Бизнес-образование Марреро не прошло даром - она взимала с офицеров плату за доступ в Интернет (от 62 долларов в месяц или одноразовый платеж в 375 долларов) 😅 ИБ-образование научило Марреро, что надо защитить сеть от посторонних, поэтому старшие офицеры установили пароли для доступа к нелегальной сети Wi-Fi, чтобы ограничить ее использование только для себя, чтобы никто из остальной команды не мог случайно или намеренно воспользоваться этой несанкционированной сетью 🇺🇸
Очевидно, что установка нелегальной Wi-Fi сети на военном корабле является серьезным нарушением правил безопасности, так как ВМС США имеют строгие ограничения на использование Интернета 🛰 и иных внешних сетей, чтобы предотвратить утечки информации и защитить суда от возможных кибератак и определения их местоположения 🗺 (а вот еще один свежий кейс про кражу GPS-координат у военных).
ЗЫ. При таких военных странно читать про киберугрозы, о которых написано в сенатском отчете, в котором говорится о том, что Россия угрожает США в киберпространстве. Тут бревно надо в своем глазу искать, а не в чужом...
Для родителей я всегда буду "тетя Зоя просила настроить ей компьютер, а ты же айтишник" 😊
Читать полностью…А это, собственно, сами прогнозы, которые я сделал применительно к будущему киберпреступности. Что-то уже активно реализуется в некоторых регионах, что-то еще только появляется, что-то только будет появляться на горизонте 1-3 лет 🥷
Читать полностью…