Хоть и работаем мы по разные стороны баррикад океана, но шуточки у ИБшников все равно одинаковые... 🤤
На SOCtech или SOCcon будут говорить преимущественно про технологии. А что если вы хотите погрузиться в менеджерские темы? 👨💻 Это, конечно, не полноценное руководство SOC Manager 👑, но как шпаргалка вполне себе 🧐 Ну а если вам хочется еще прокачать и свой английский и послушать о том, что болит в американских SOCах, то можно посетить SOC Analyst Appreciation Day 16 октября 🧑💻
Читать полностью…Славное название "пентест" взято хакерской группировкой, которая в публичном поле появилась совсем недавно и которая специализируется на атаках на АСУ ТП 🏭 Группировка взяла на себя ответственность за взлом систем водоснабжения в Арканзасе, о котором много писали в западной прессе 🚰
Про остальные кейсы беглый поиск результатов не дал, но сам факт атаки на пищевое производство вполне распространен 👨💻 Например, на днях вышло интервью про атаку и месячный (!) простой в одном из северозападных российских агрокомплексов. Также известны атаки на пищевые предприятия на юге страны, о них тоже писали в СМИ. Из непубличного я слышал про взлом системы управлениям рецептурой на одном из отечественных производств с последующим отравлением людей некачественной пищей 🤮
Взломы систем водоснабжения и водоочистки тоже не редкость в последнее время. Так что все возможно... 🤷♀️
MITRE расширила свою модель угроз EMB3D, добавив ключевые защитные меры по нейтрализации угроз для встраиваемых устройств, которые используются в критической инфраструктуре 🏭 Модель помогает компаниям и производителям средств промышленной автоматизации выявлять угрозы и внедрять соответствующие механизмы защиты 🛡
Эти меры сгруппированы в три категории: базовые, промежуточные и расширенные, что позволяет организациям приоритизировать свои стратегии безопасности. Все меры соотносятся с международным стандартом ISA/IEC 62443-4-2 для автоматизации и управления промышленными системами 🛡
Тут на одной онлайн-платформе по подготовке аналитиков SOC ввели персонажей, которые помогают пользователям с лабораторками. Первый такой персонаж - это оммаж на мою главную аватарку 😇 Прикольно получилось 😎
Читать полностью…Не забывайте, что риск - это не только и не столько угроза, то есть что-то отрицательное. Это, и в первую очередь, возможности, то есть что-то положительное 💡 Да, вы можете потерять, но вы можете приобрести. Задача - не просто найти баланс, а сделать так, чтобы возможностей было больше, а не только, чтобы угроз было меньше. Подумайте, на чем вы больше сконцентрированы? Бизнес от вас ждет фокуса на возможностях, а не на угрозах! 💡
Читать полностью…Близится 1 января 2025 года... Растет число мероприятий по импортозамещению в преддверие сроков, указанных в 250-м Указе Президента. Но чуда не происходит 😱 На мероприятиях, на которых мне доводится бывать и где у меня есть возможность спрашивать о том, насколько далеко продвинулись люди в замене иностранцев на российское, они не так оптимистичны, как наши депутаты или иные чиновники, рапортующие о 90% замене ушедших компаний на отечественные продукты.
В реальности картина иная 😦 Полный переход осуществили 3-7%, процентов 20 перевели на бумаге, продолжая пользоваться привычными решениями. Треть живет по принципу "пока гром не грянет" (ответственности-то никакой не предусмотрено за отказ от импортозамещения). Остальные находятся в позе Ван Дамма между двумя грузовиками... Ждем-с...
IDentity Verification, дополненная кибербезопасность, GenAI, внутренние угрозы, Zero Trust, сторителлинг и бизнес-вовлеченность CISO, толерантность к инцидентам, киберучения, SecDevOps и безопасность цепочек поставок... Вот список основных тем, которые обсуждались на лондонском Gartner Security & Risk Management Summit 🇬🇧 О российских трендах мы поговорим через неделю, но могу сказать, что пересечений у нас от силы 35-40% 🔮
Читать полностью…Проект Russian APT Tool Matrix содержит список инструментов, которые используются якобы российскими APT-группировками 🎃 Разработан на базе проект Ransomware Tool Matrix, который содержит список инструментов, используемых различными шифровальщиками (кража данных, обход средств защиты, кража учетных записей, поиск жертв, сетевые коммуникации и т.п.) ☁️
ЗЫ. Второй проект интереснее первого.
Как говорилось в известном фильме: "Ты определись, ты Игорь Иванович или ты анонимный!.." 🤔 Либо ты настаиваешь и доказываешь, что информация не твоя (но тогда зачем признавать инцидент), либо посыпаешь голову пеплом и устраняешь причины, приведшие к инциденту 🔓
Но вообще объяснение компании, конечно, занятное и лишний раз демонстрирует отличия результативной ИБ от бумажной ✔️ Ну кого волнует, сколько бумажных требований ты выполнил, если у тебя произошел инцидент и хакеры нарушили целостность системы? Тем более, что НКЦКИ про атаки на подрядчиков говорит уже третий год. А уж пассаж "инцидент произошел в выходной день" стоит отдельного занесения в анналы... ✍️
И хотя взрывчатку 💥 в ливанских пейджерах у членов Хезболлы вряд ли можно отнести к инцидентам ИБ (чтобы и как бы там не наш МИД), но сам кейс интересен тем, что он меняет модус операнди в мире не только безопасности, но и кибербезопасности в том числе 🛡
Читать полностью…В Подмосковье объявлен конкурс на «Лучший анонимный телеграм-канал».
Организаторы конкурса за возможность выиграть приз до 500 тысяч рублей предлагают оставить все свои личные данные — вплоть до серии паспорта и домашнего адреса, а также указать, автором какого из анонимных тг-каналов является участник и подписать согласие на обработку персональных данных.
Количество желающих принять участие в конкурсе на лучший анонимный канал не известно, но сроки подачи заявок кончаются 30 сентября (так что если кому нужно, еще можно успеть).
Вот она - анонимность по Подмосковному 🤪
🚀 Котельники 24
Прислать новость 🐈⬛
Нужно что-нибудь техническое по SOCам? 🛠 А вот вам руководство по развертыванию SOC в домашней лабе (на базе AWS). Это, конечно, еще не SOC, но все равно... Показывает, что для самостоятельного изучения не обязательно иметь кучу серверов с набором дорогого ПО - все можно сделать попроще, но все равно достигнуть результата и прокачать навыки. Было бы желание 😘
Читать полностью…Сегодня выступаю на программе "Цифровая трансформация бизнеса" для руководителей компаний, где буду рассказывать про кибербез (ну а про что мне еще рассказывать) 🛡 Построил презу с точки зрения CJM при разработке продукта и месте ИБ на всех этапах этого процесса - от архитектуры и DevOps до сопровождения и маркетинга 😵 Все с примерами, ущербом, недопустимыми событиями (как мы любим) 👉
Читать полностью…В продолжение истории про наличие в модели угроз реальной опасности захвата здания. Подписчик, за что ему спасибо, прислал фотографию. "О времена, о нравы..." ⚔️
Интересно, можно ли это рассматривать как средство гарантированного уничтожения информации? 🤔 Думаю, результат зависит от размера серверной 😊
Австралия 🇦🇺, Великобритания 🇬🇧, Германия 🇩🇪, Канада 🇨🇦, Корея 🇰🇷, Новая Зеландия 🇳🇿, США 🇺🇸 и Япония 🇯🇵 выпустили руководство по безопасности АСУ ТП 🏭 Эти рекомендации содержат шесть ключевых принципов для обеспечения безопасности систем промышленной автоматизации: соблюдение безопасности, понимание ценности данных АСУ ТП, сегментация сетей, защита цепочек поставок и важность человеческого фактора 🤓 Ждать много от этого руководства не стоит - это все-таки принципы, то есть ответ на вопрос "ЧТО", а не детальное описание "КАК". Но как точка отсчета вполне себе...
Читать полностью…Вчера, в Нижнем Новгороде, на конференции Олег Седов, в дискуссии про руководителей ИБ, сославшись на коллег из лондонского KPMG, привел три уровня зрелости CISO, которые, как мне кажется, очень неплохо, в одно слово, показывают отличия в восприятии своей роли и бизнес-ориентированности 🧐
1️⃣-й уровень. Ответ на вопрос "🔤🔤🔤". На этом уровне специалист по ИБ, он даже еще вряд ли руководитель, просто делает то, что ему говорят регуляторы, ИТ, начальство... Особо не задумываясь о том, нужно это или нет.
2️⃣-й уровень. Ответ на вопрос "🔤🔤🔤". На этом уровне специалист начинает задумываться, как реализовать то или иное требование. Например, защита web-приложений, которую можно реализовать как через on-prem Web Application Firewall, так и через облачный WAF. Та же история с мониторингом и реагированием, которые можно реализовать за счет собственного или аутсорсингового SOC;
3️⃣-й уровень. Ответ на вопрос "🔤🔤🔤🔤🔤". На верхнем уровне важно не ЧТО и не КАК, а ЗАЧЕМ это все надо. Может оказаться, что оно и не надо или что дешевле не делать, приняв риски или заложив оплату штрафа за невыполнение в бюджет.
Как и любая модель, эти три уровня, конечно, позволяют взглянуть на роль руководителя ИБ достаточно упрощенно, но при этом подсветив ключевые задачи и отличия 🤔
Технологии искусственного интеллекта, особенно deepfake, стремительно развиваются и представляют как возможности, так и угрозы для различных отраслей 🎭 Deepfake — это гиперреалистичный, синтетический и искаженный аудио, видео и цифровой контент, который сложно отличить от реальности, что создает как положительные, так и негативные последствия для людей, бизнеса и государства 🔪 Среди рисков:
1️⃣ Мошенничество с идентификацией
2️⃣ Несогласованные манипуляции с личными данными
3️⃣ Распространение дезинформации.
Обычно все рассматривают негативные стороны дипфейков, но их можно использовать в различных сферах, таких как маркетинг, развлечение, образование и медицина с благими намерениями 😇 Предлагаемое руководство описывает как правильно и этично создавать дипфейки, а также как распознавать их рядовым пользователям. Например, разработчикам deepfake рекомендуется: 👨💻
1️⃣ Защищать данные пользователей
2️⃣ Получать согласие на использование их персональных, часто биометрических, данных
3️⃣ Обеспечивать прозрачность создания deepfake
4️⃣ Внедрять системы контроля с помощью человека.
От пользователей ждут: 🪞
1️⃣ Проверки источников цифрового контента
2️⃣ Анализа аудиовизуальных элементов на наличие несоответствий
3️⃣ Использования ИИ-инструментов для выявления признаков манипуляции.
Как по мне, так неработающие советы на практике.
Следуя описанным в руководстве рекомендациям, местами высокоуровневым, можно с пользой использовать потенциал deepfake, минимизируя его риски. Не могу сказать, что руководство отвечает на все вопросы, но то, что кто-то озаботился созданием такого документа, это прям хорошо. Не все только описывать, как бороться с дипфейками.
На октябрь у меня запланировано почти полтора десятка выступлений. Но особо я бы хотел отметить два, которые пройдут на Positive Security Day 10-го октября (регистрация открыта). Точнее, речь идет о модерации двух секции, посвященных безопасной разработке и искусственному интеллекту 🧠
В первой я вернусь почти к истокам, ведь я начинал карьеру в ИБ именно как программист средств шифрования 👨💻 Но 30 лет назад никто о DevSecOps в привычном сейчас виде не думал - максимум, это военпреды, принимающие работы перед сдачей их заказчику в погонах. Во второй дискуссии мы будем говорить не об ИИ в ИБ, а наоборот - об ИБ для ИИ. Ведь часто компании внедряют ИИ-проекты, даже не думая о безопасности и доверии к моделям и используемым датасетам 🙌
Эти две темы не так часто находятся на повестке специалистов по ИБ и хочется немного изменить эту ситуацию 🤠 К обеим подготовил недурные, как мне кажется вопросы, местами провокационные, чтобы заставить участников из 🟥 и со стороны заказчиков и партнеров поерзать на своих креслах 💺
В центре внимания — исследовательский проект “Mythical Beasts”, который изучает связи между 435 организациями, связанными с глобальным рынком шпионского ПО в 42 странах 🥷 Он раскрывает ключевые тенденции, такие как концентрация в Израиле 🇮🇱, Италии и Индии, сотрудничество с производителями аппаратного обеспечения для слежки, а также регулярные изменения в идентичности поставщиков и перемещение по юрисдикциям для обхода ограничений 🥷
Проект предлагает улучшить прозрачность рынка для более эффективного контроля шпионского ПО, что выглядит немного смешно для ПО, которое активно используется в том числе и государственными организациями, и спецслужбами, которые точно не захотят никакой прозрачности 🥷
ЗЫ. Некоторые данные местами устарели, а некоторые и вовсе не соответствуют действительности (хотя проект датируется сентябрем 2024), что ставит под сомнение и весь анализ, и выводы 🤔
Кто-то где-то когда-то мастурбировал в электричке, что попало на видео и стало распространяться в Интернете, что потребовало реакции правоохранительных органов, возбудивших уголовное дело 👮, которое уже вошло в анналы (чьи-то точно).
Поражает формулировка установочной части… Я последние лет 15 говорю, что наше уголовно-процессуальное законодательство не очень хорошо подходит для цифрового мира. Зато по данным МВД ущерб от компьютерных преступлений с начала года превысил 116 миллиардов рублей. Уж что-что, а палки статистика 📈 у нас на высоте.
В наступающем октябре разворачиваются события, которые можно смело назвать эпопеей в мире информационной безопасности, словно два тома великого романа о сражении добра и зла в цифровом пространстве ⚔️ Эти два события — SOCtech и SOCcon — представляют собой масштабные главы, описывающие вечную борьбу между светлыми силами специалистов по кибербезопасности и темными легионами хакеров 🥷
15 октября в сердце России, как на поле великого сражения, начнется SOCtech. Здесь, подобно великим полководцам, соберутся лучшие из лучших — те, кто на передовой защиты данных и сетей. Подобно героям первого тома "Войны и мира", они обсудят стратегии и тактики, готовясь к неизбежным атакам врага, делясь опытом и новейшими технологиями, словно оружием, готовым к бою 🛡
Но это лишь прелюдия к событиям второй части, ибо через две недели, 30 октября, столица Беларуси станет ареной не менее масштабной встречи — Positive SOCcon. Как во втором томе эпопеи Льва Николаевича, здесь развернется дальнейшее повествование о борьбе, в которой каждая ошибка 😵 может привести к фатальным последствиям. Силы специалистов по ИБ объединятся вновь, чтобы противостоять мощным атакам, что каждый день угрожают стабильности цифрового мира 🔓
Два города, два сражения, одна великая цель 🤕 — победа над хаосом и восстановление порядка в мире информационной безопасности. Станьте частью этой грандиозной эпопеи, где решаются судьбы киберпространства!
Регистрация на SOCtech уже открыта, а у меня для вас подготовлен промокод KazimirSOC. Регистрация на Positive SOCcon откроется совсем скоро. Следите за анонсами на сайте мероприятия 👉
Инцидент произошёл в выходной
Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.
Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.
Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.
Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.
Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).
Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.
Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.
Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.
Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».
Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.
Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.
В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.
Смотрю на очередной рейтинг лидеров мирового SIEMостроения без позитива 🏆 Все эти квадраты, волны, радары… теряют смысл, так как там или все лидеры или вот-вот станут ими. А если ты аутсайдер, то ты и не захочешь попадать в рейтинг, ссылаясь на то, что тебе не надо. И вот зачем тогда это все? 🤔
А самое главное, как этот рейтинг 🏆 отвечает на вопрос: "Подойдет ли мне SIEM из списка?" Почему критерии, которыми пользовалась IDC, должны совпадать с моими собственными? А насколько безопасен сам продукт? 🤔 Рейтинги, аналогичные IDCшному, обычно проверяют только функционал продукта или возможности самого производителя, но не его способность к реальной ИБ, так как это требует либо собственной команды пентестеров, либо привлечения внешних. Но это совсем другой уровень тестирования и оценки... 🪜
Я вот представил, что IDC говорит участникам своего обзора: «А теперь мы будем проверять вашу реальную ИБ с помощью пентеста!» 🤕 Как вы думаете, многие ли останутся на финишной прямой? Вот почему, например, не все российские разработчики WAF участвовали в независимом тестировании с участием пентестеров?
Неожиданно… Кто бы мог подумать, что Accenture - лидер по объему продаж в ИБ в мире 🤔, обойдя всех "чисто ИБ" игроков. Интересно, это на чистом консалтинге они столько зарабатывают или еще перепродажей ИБ-решений тоже занимаются?.. 🤔
Читать полностью…