Есть чатик по 250-му Указу и там постоянно идет дискуссия о том, как выполнять положения этого нормативного акта. Самое забавное, когда в чат приходят люди, которые настолько далеки от ИБ, что прости диву даешься и которые рассказывают, что им какой-нибудь ФОИВ спустил сверху требование выполнить Указ, даже не удосужившись подумать, кому надо выполнять Указ и зачем он вообще появился. Вот тут звукорежиссер филармонии погрузился в ИБ 👿
Читать полностью…К разговору о том, может ли ChatGPT искать уязвимости? Не может, если уж его разработчики объявили программу Bug Bounty и пригласили людей с естественным интеллектом искать дыры в интеллекте искусственном 😊
Читать полностью…Противодействие киберугрозам в марте
Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), созданный на базе Главного радиочастотного центра, круглосуточно выявляет и устраняет инциденты в области информационной безопасности.
В марте 2023 года специалисты Центра:
🛡 Отразили DDoS-атаки на ресурсы банковского, энергетического секторов России и одного из операторов связи.
🛡 Cовместно с экспертами ИБ Сбербанка выявили сеть устройств, через которую проводились DDoS-атаки на ресурсы банковского сектора. Операторам связи направили оперативные указания по устранению уязвимостей, позволяющих их использовать.
🛡 Выявили вредоносный ботнет, используемый для кражи персональных данных. Совместно с НКЦКИ провели работу по его блокировке.
🛡 Получили обращение о случаях подмены абонентского номера с определенных IP-адресов. Указанные IP-адреса заблокировали с помощью технических средств противодействия угрозам.
🛡 Направили 107 общедоступных уведомлений операторам связи о выявленных уязвимостях в программном обеспечении и способах их устранения.
🛡 Оперативно устранили 867 нарушений маршрутизации трафика.
Сегодня выступаю на конференции Securika перед директорами по общей/физической безопасности и проектировщиков систем безопасности, рассказывая им про кибербез, про то, что общего между физической и информационной безопасностью, какие привычные слушателям технологии имеют аналоги в мире виртуальном, и т.д.
PS. Теперь можно сосредоточиться на подготовке к CISO Forum, который уже послезавтра.
А это распределение бюджета из другого отчета по результатам опроса около 500 CISO. И мы видим какую-то несуразицу - в прошлом варианте среднестатистический CISO тратил на зарплату персонала около 40% своего бюджета, а по этой таблице - в 3 раза меньше. И это колоссальная разница!
О чем нам говорят эти две картинки? Только о том, что все такие "среднестатистические" опросы по бюджетам смотреть интересно, но они мало помогают в принятии решений о том, сколько тратить на ИБ. Отталкиваться надо от потребностей бизнеса, определенных им недопустимых событий и мероприятий, требующихся для их недопущения и поддержания организации в таком состоянии.
В прошлые годы я по весне несколько раз публиковал новости про зарубежные отчеты, которые описывали самые популярные техники и тактики по матрице MITRE ATT&CK, которые использовали хакеры за прошедший год. В этом году я тоже расскажу о таком отчете, но немного другом 🤔 Речь о свежем отчете 🟥 "Как обнаружить 10 популярных техник пентестеров". Он базируется на другом отчете 🟥, сделанном по итогам пентестов в 2022-м году. В нем, 80 основных техник, используемых пентестерами, были наложены на матрицу MITRE ATT&CK, что в итоге привело к тепловой карте, показанной на первой картинке.
А в свежем отчете анализируются уже не просто Топ10 техник пентестеров (вторая картинка), а описывается как с ними бороться и с помощью каких классов защитных средств можно их обнаруживать и нейтрализовывать.
Чтобы показать, что все эти популярные техники вполне могут быть "закрыты" требованиями регуляторов, если выполнять их не формально, мы также увязали Топ10 выявленных техник с мерами защиты из 17-го приказа ФСТЭК.
Не знаю, видели ли вы эту рекламу РОЦИТа, но выглядит она, как по мне, немного туповато 🤦♂️ Во-первых, в России нет своих VPN-сервисов, которые могли бы активно воровать ПДн россиян и продавать их тут же в России. Во-вторых, VPN бывают еще и корпоративные. И это не говоря, что даже привычные обывателю VPN-сервисы бывают вполне себе достойными и не замеченными в воровстве данных. А тут РОЦИТ одним росчерком всех под одну гребенку и облил грязью. А уж когда он заявляет, что VPN не гарантирует безопасности, то тут всплывают вопросы к компетенциям тех, которые работают в Центре Интернет-технологий? Или VPN к Интернет-технологиям уже не относятся?
Мысль, которую хотели донести авторы ролика вполне понятна, - не надо разбрасывать свои персональные данные направо и налево; в том числе и участвуя в различных акциях и ненужных программах лояльности. Ну так это и надо было прямым текстом сказать. А еще лучше - дать совет, что делать, когда у госорган твои персданные и утекли? Сослались хотя бы на Центр правовой помощи гражданам в цифровой среде РКН, который должен помогать гражданам в таких историях.. Но нет, решили зачем-то смешать политику, права граждан и технологии. Понятно, что "мы не виноваты, нам заплатили и мы сделали все по ТЗ", но надо и 🧠 иметь.
ЗЫ. Всего выпущено 8 таких роликов; все про вред VPN, которые крадут персданные доверчивых россиян.
А это уже забавно. Пару недель назад ко мне стучался совсем другой человек с тем же предложением, звучающим буквально дословно. То ли запрограммированный бот 🤖, то ли сейл-джун, работающий по скрипту
Читать полностью…Интересные результаты опроса 3522 топов компаний, которые выделили ключевые вектора атак на свои организации в 2023-м году, которых они опасаются больше всего.
E-mail в тройке выглядит вполне нормально, но попадание мобильных устройств на первое место и облаков на третье не совсем типичны. Да, в России место облачного вектора можно было бы и понизить, но мобильные устройства вполне себе распространены и у нас. Вы вообще защищаетесь от этих векторов?
Веб-приложения на 4-м месте (а если убрать облака, то на 3-м) находятся вполне заслужено. В 🟥 есть аксиома, что если в организации есть web-сайт, то на нем всегда есть RCE, который всегда находится в рамках пентестов, багбаунти или верификации недопустимых событий.
Так как прилетает много вопросов в личку по поводу новости об уничтоженном оборудовании российского офиса Cisco на почти 2 миллиарда рублей хочу ответить сразу всем. К уничтожению отношения не имею; у меня и бульдозера-то нет! Но допускаю, что все это было сделано в полном соответствии с ESG-политикой - все оставшееся и невывезенное было выброшено не в атмосферу, а в пропасть!
Читать полностью…А вы говорите, бизнес не любит в ИБ, не понимает в киберучения и вот это вот все ;-)
Читать полностью…Мда, в СПЧ явно что-то распыляют... Если поискать в канале заметки по ключевому слову "СПЧ", то они все описывают какую-то ахинею, которую несут члены Совета по правам человека. То ПДн надо защищать как гостайну, то все операторы ПДн должны проходить аккредитацию на право работы с ПДн. Вот и сейчас они продемонстрировали свое глубокое знание законодательства по персональным данным, заявив, что в России всего 50 тысяч операторов персданных, а это много и надо их число подсократить до 10-20 (да, без "тысяч"). И чтобы все организации в России обращались именно к этим организациям за ПДн россиян. Повеяло ЕБС, где за доступ к биометрическим ПДн бради деньги. И это если не вспоминать, что у нас по закону ЛЮБАЯ организация является оператором ПДн, а их число измеряется миллионами; по данным того же Совета Федерации у нас 6 миллионов операторов ПДн, а не 50 тысяч, как думают в СПЧ. Лучше бы права человека защищали нормально, а не лезли туда, в чем они мало понимают.
Читать полностью…Немного погрузился в рынок кибербеза Китая 🇨🇳. Могу сказать, что это целая терра инкогнито. Вендора Поднебесной, которые у многих на слуху, на самом деле не входят даже в Топ5 локальных игроков; а тех, кто продает на сотни миллионов долларов, мы вообще ни разу не слышали.
Всего у нашего текущего стратегического партнера 3256 компаний, которые занимаются ИБ, из которых около полутора тысяч - продуктовые. Полторы тысячи (!) компаний-разработчиков 🐲. Нам, с нашими двумястами, есть куда стремиться. Кстати, и объем рынка у нас примерно в 6 раз меньше, чем у Китая. Утверждать, конечно, что между числом вендоров и объемом рынка прямая связь я не буду, но что-то в этом все равно есть 🏮
Зато в Китае более 25% всего рынка ИБ сосредоточено в руках (кошельках) всего 4 игроков 🐉. Этим Поднебесная похоже на российский рынок, где схожая ситуация.
ЗЫ. На картинке облако тегов, описывающих ключевые технологии ИБ, распространенные на китайском рынке. Разумеется на китайском языке 🧧
А вообще крутая идея. На вход систему подается нормативный акт регуляторов и на лету отображается построение системы защиты, а ты сразу видишь все ее слабые места и недоработки, подсвечивая болевые точки на инфраструктурном, прикладном и процессном уровне, в которые будут бить "плохие парни". По сути речь идет о цифровом двойнике инфраструктуры, на который одна систему по текстовому описанию насаживает внешнюю и внутреннюю нормативку, а другая ищет уязвимости. Будущее ИБ будет таким... Если доживем.
Читать полностью…На сайте kassу.ru висит достаточно интересное объявление от администрации. С одной стороны она подтверждает, что сайт был атакован, а с другой - что он не пострадал (то есть недоступность сайта и утекшие данные - это не ущерб?). С одной стороны многие годы портал прекрасно, со слов администратции, справлялся со всеми атаками, но в этот раз она была какая-то нетипичная (какая?). С одной стороны ИБшники лажанули (явно их никто не обвиняет, но это прям чувствуется по тексту), а с другой - бравые айтишники все восстановили.
Вообще, вот это самое обидное, как мне кажется. У ибшников негативный имидж, а айтишники прям святые и всех спасли 👨💻
Но зато не скрывают. Но все-таки есть куда развиваться в части антикризисного PR. Мы, кстати, планируем на PHDays в одной из секций бизнес-трека поговорить о том, как надо общаться с внешним миром в случае взлома 👨💻
ЗЫ. Вообще, картина занятная. Если кого-то где-то сломали, то виноваты ИБшники. А если кто-то всех спас, не жалея себя, то это ИТшники. Абыдна, да 😫
Если развить последний пост, то сегодня мы наблюдаем интересную картину, когда у нас растет число регуляторов стратегического (ЦБ, ФСТЭК, ФСБ, Минцифры) и оперативного (ФинЦЕРТ, ЦМУ ССОП, НКЦКИ) уровней, сферы ответственности которых сегодня не всегда четко очерчены. Мне кажется, что пора бы уже всем договориться между собой и "поделить" эту поляну.
Можно было бы вспомнить идею с единым регулятором по ИБ, как это сделано в некоторых странах. Не знаю, если по старинке посмотреть на США, то у них единого регулятора до сих пор нет, но есть координация между ними (насколько вообще в такой бюрократической стране как США возможна координация).
Вот интересно. В условиях вакуума публичной информации о деятельности ФинЦЕРТа в части отражения угроз (публикация отчета раз в год с суммами потерь - это ни о чем), своей статистикой нас радует НКЦКИ (ФСБ) и ЦМУ ССОП (Роскомнадзор).
Интересно, что РКН потихоньку залезает на чужие поляны. Например, информирование операторов связи об уязвимостях в используемом ими ПО и железе. Откуда они вообще берут эти данные? Сами ищут или от кого-то получают? В любом случае интересно, они в БДУ ФСТЭК отдают эту информацию? А если сами находят, то отправляют ли вендорам в недружественных государствах? И как вообще патчатся эти уязвимости в условиях отсутствия официальных обновлений от ушедших из России вендоров?
Вот если бы РОЦИТ использовал такую историю для сценария своих антиVPNовских роликов, то это было бы более понятно и релевантно. Правда, есть одно «но». Чтобы получить такую картинку на своем смартфоне мне пришлось помучаться, пока я наткнулся на воедоносный сайт, выдавший мне такой popup; то есть данная угроза не в топе 😈
Читать полностью…Тут, девочки, американские медии продолжают выяснять, кто же виноват в утечках сверхсекретных американских военно-политических документов.
Оказалось, что утечка произошла в соцсети Discord, в чате, посвященном игре Minecraft. Кто-то решил “нарастить свой социальный капитал” и давай кидаться секретными материалами в собеседников. А потом эти документы англоязычные товарищи начали настойчиво анализировать и доанализировались до того, что украинцам скоро настанет полный карачун — ничего не спасет, патронов не хватает, ракеты заканчиваются.
У американцев тем временем стоит жуткий вой: утечка наносит страшный ущерб отношениям с союзниками, секретные документы — страшно секретные и очень свежие (им всего-то 40 дней), рядом не стоят с утечками “Викиликс” и с тем, что сделал “жалкий клерк” Сноуден. Русские, короче, выиграли информационную войну, расходимся.
На деле, девочки, к утечкам этим больше вопросов, чем ответов: что вообще это было? Откуда такой синхронный вой и заламывание рук о чудовищных размерах ущерба? А всего-то утекла презентация, написанная по каким-то неясным источникам с мутными данными. Теперь из этого делают вселенскую трагедию. Зачем? Вряд ли потому что стало не о чем писать или поменялся темник мейнстрим.
На деле, девочки, стоит помнить, что практически всё существенное, происходящее сегодня в информационном пространстве — это пропаганда, мероприятия содействия и информационное противоборство вместе взятые. Как говорил Мюллер: “Верить в наше время нельзя никому, даже самому себе”.
В широком контексте это выглядит не как чье-то головотяпство и уж точно не как попытка дезинформировать российский генштаб, а как способ намекнуть украинцам, что в случае чего, сольют их без всяких сантиментов и максимально быстро.
А то, что в страшно тайных документах, которые до кучи оказались в чатике про Minecraft (и лежали там неделями, видимо, для надежности) рассказывалось про то, что американцы шпионят за ближайшими союзниками, так, простите, это что? Для кого-то секрет?
Не говоря уже о том, что страшно секретные материалы бывшие сотрудники американского правительства выносят с рабочего места коробками. И никто не воет.
🫱 Подписаться
Считается, что так выглядит ИБ-бюджет среднестатической службы ИБ в США и Канаде (по опросу 500 CISO) по итогам 2022 года. В России это скорее всего не так, как минимум по причине отсутствия у нас большого числа "off premise software" (облачное ПО). Ну и доля, уходящая на персонал, у нас тоже будет существенно ниже по причине более низких зарплат в ИБ. Затраты на "железо" у нас сейчас должны быть выше по причине сложностей с логистикой и возросшей из-за этого ценой. А в остальном 🤔
Читать полностью…А это другой пример повышения осведомленности. Уже от "Одноклассников" и VK. Комиксы, котики, собачки, единорожки, прикольчики всякие... Они много всего публикуют (и в ОК) для своей целевой аудитории 👨💻 Местами достаточно занятно 😂
Читать полностью…Чем похож бар и реанимация вечером пятницы? Ты накачиваешься 1-2 литрами, а потом много бегаешь в туалет и у тебя сильнейший сушняк. Но в одном случае в тебя вливается пиво, а в другом хлорид натрия. Вот такое странное наблюдение 🤔 Но вернемся к ИБ - надо восполнять несколько дней информационного вакуума и для вас и для меня.
Пока разгребаю собранное умным ботом за эти дни из мира ИБ, начну с анонса. 14 апреля, уже в эту пятницу, в Москве пройдет ежегодный CISO Forum 2023 под многозначительным девизом "Мобилизуйся". У меня там будет достаточно насыщенная программа; в разном качестве я там буду:
1️⃣Модератором традиционной пленарной сессии с CISO, на которой мы поговорим о том, какие уроки мы извлекли за прошедший год и как изменилась и будет меняться роль CISO.
2️⃣Интервьюером Владимира Бенгина (директор Департамента кибербезопасности Минцифры) в рамках секции вопросов и ответов. Минцифры сейчас много чего делает в сфере ИБ и многое из этого касается и коснется многих CISO.
3️⃣Участником дискуссии с сотрудниками иностранных компаний "Бывшие и настоящие". Предлагали ли релокацию? Как искали новую работу? Ограничения для тех, кто остался? Что вышло на первый план после продажи российского бизнеса?
4️⃣Спикером мастер-класса "От CISO к BISO. Как сесть за один стол с большими мальчиками?", где я буду делиться всяким разным про то, как CISO в новых условиях показать себя с лучшей стороны и не только заручиться поддержкой бизнеса, но и доказать, что достоин сидеть за одним столом с большими боссами.
Ну и конечно будет нетворкинг, не менее достойный, чем сама программа. А также будут российские вендора, которые за 1+ год с начала СВО уже освоились в новой реальности и с ними можно вести более предметный разговор, чем в прошлом году, когда многие еще не до конца осознавали свою стратегию развития. А в этом году уже можно будет даже про новые на рынке продукты узнать (например, про PT NGFW, которым все так интересуются 😊).
Так что приходите, будет интересно. Для CISO бесплатно.
ЗЫ. Онлайна не будет.
А тут у 3-х с половиной тысяч топов спросили, какие 5 недопустимых событий (критических рисков) включены в планы реагирования компаний, в которых работают респонденты?
Интересно, что катастрофические киберриски были поставлены на первое место! Это ответ тем ИБшникам, которые пытаются доказывать, что топам и бизнесу не интересна ИБ и с ними сложно обсуждать эту тему, так как они ее не понимают. Но цифры опроса 3500+ топов говорят об обратном. Стоит задуматься, кто прав, а кто нет?..
У нас в бюджете образовались лишние 100 косарей. Решил инвестировать их в безопасность и тимбилдинг. В этом месяце делимся на две команды:
Контр-теppopиcты: девопсы, админы, безопасники и все остальные, кому положен доступ к базам. Вы должны защитить боевые базы данных, и тогда сотка ваша. Если не сможете, то из ваших квартальных премий вычтем сотку, на которую будем играть в следующем месяце.
Тeppoриcты — все остальные. Должны дропнуть хотя бы одну боевую базу, желательно вместе со всеми бэкапами. Тот, кто нанесёт больше всего ущерба, забирает банк.
Правил никаких нет, можете хоть с паяльниками друг друга в подъездах ловить.
#путьсамурая
По разным данным, от 80 до 95 процентов всей разведывательной информации добывается из открытых источников. Я тут подумал, что технологии на базе генеративных языковых моделей (GPT) могут сильно облегчить не только поиск конфиденциальной информации в открытых источниках, но и упростить и автоматизировать сопоставление таких источников.
Представьте себе, что один ученый сначала опубликовал парочку работ в открытых изданиях, потом выступил на конференции, запись чего попала на Youtube, потом на форуме сделал какой-то комментарий... Вручную все это найти и сопоставить занимает немало времени, а с помощью искусственного интеллекта решение задачи облегчается в разы 👨💻 И да, ИИ может также помочь первым отделам это все выявлять на ранних стадиях (я уже писал про использование ИИ для вычленения смыслов в тексте, аудио, видео). То есть опять классическая борьба брони и снаряда 🧐
Будущие стартапы будут выглядеть так 😊 Но хорошо, что нашлось место и для безопасника. Плохо то, что его тоже заменит искусственный интеллект, если он не научится демонстрировать свою ценность
Читать полностью…Пользователь вводит текстовое описание, и на лету создается трехмерный мир. Вообще скорость появления новых ИИ-приложений шокирует — раз в неделю появляется что-то впечатляющее, раз в месяц — поражающее воображение.
— Представьте, что оживут ваши любимые книги.
— Представьте возможности в связке с 3D печатью.
— Представьте, что самым важным навыком будущего становится навык формулировать свои мысли.
@yusufovruslan
Ещё один подход к приоритезации устранения уязвимостей, основанный на использовании оценки CVSS, EPSS и информации из каталога CISA KEV.
За основу берется методика от FIRST по совместному использованию оценок CVSS и EPSS. Для разграничения приоритетов в качестве пограничных значений берутся средневзвешенные значения CVSS=6 и EPSS=0.2, которые делят график на четыре квадранта.
Итого имеем 5 приоритетов:
1️⃣ CVE есть в каталоге CISA KEV - суперкритично, т.к. уже эксплуатируются.
2️⃣ CVE из верхнего правого квадранта - опасные уязвимости, которые могут нанести критический ущерб активам, и при этом имеют высокую вероятность использования злоумышленниками.
3️⃣ CVE из нижнего правого квадранта - опасные уязвимости, но с невысокой вероятностью использования злоумышленниками.
4️⃣ CVE из верхнего левого квадранта - уязвимости, эксплуатация которых не нанесет большого ущерба активам, но большой вероятностью использования злоумышленниками.
5️⃣ CVE из нижнего левого квадранта - оставшиеся уязвимости с низкой оценкой CVSS и невысокой вероятностью использования.
Алгоритм можно использовать в боевом режиме, хотя, как и любой иной, он не лишен минусов - многие CVE могут отсутствовать в каталоге CISA KEV, но при этом активно эксплуатироваться. Да и в целом для свежих уязвимостей инструмент не сильно удобен, но кто мешает периодически пересматривать приоритет? Был бы только инструмент автоматизации.
Для данной методики приоритезации есть инструмент, который можно доработать под свои нужды.