А вы уже внесли себе в расписание даты проведения Moscow Hacking Week? 18-26 ноября! «Синие» начинают и... выигрывают. Но могут и «красные». Целых 8 дней реальной битвы «красных» и «синих», которая покажет, ху из кто?
ЗЫ. Начало видео смотрите в первой серии.
Уникальный кастомизированный бинарник для каждой жертвы. Вы все еще надеетесь, что антивирус вас спасет? 🆘 Для таких вредоносов без EDR и песочницы не обойтись 👋 Да и NTA/NDR для отслеживания C2-коммуникаций тоже будет не лишним.
Читать полностью…Из свежих кейсов, которые достойны того, чтобы обратить на них внимание с точки зрения моделирования угроз. Ну я, по крайней мере, точно обратил. Итак, первая история с группировкой Lazarus, которая атаковала аэрокосмическую компанию в Испании. Детали об атаке будут раскрыты завтра на конференции Virus Bulletin, но какие-то моменты уже просочились. В частности меня зацепил первичный вектор атаки, когда хакеры под видом фейкового рекрутера через LinkedIn связались с жертвой и предложили ему сменить работу и перейти в запрещенную в России корпорацию Meta, для чего жертве надо было выполнять ряд тестовых заданий, за которыми и скрывался вредонос, позволяющий расширить затем плацдарм внутри компании. Это все к разговору о том, что за разработчиками нужен глаз да глаз и пускать их одних в бушующее море Интернета без надзора со стороны ИБ не стоит.
Вторая история связана с 26-тилетним бывшим инвестиционным аналитиком из Goldman Sachs, который сливал инсайдерскую информацию через аудиочат игровой консоли Xbox. Осужденный думал, что его никто не отследит, о чем он прямо сообщал своим подельникам. И вот тут у меня, конечно, возникает ряд вопросов насчет того, кто вообще решил мониторить этот канал утечки. Это было сделано службой ИБ или ФБР, уже после получения подозрений в торговле инсайдерскими сведениями. Если первое, то ИБшникам Goldman Sachs прям респект и уважуха - не часто такие каналы берут на мониторинг. Да и инструментов для их мониторинга не так чтобы и много. Ваша DLP может такое?
Интересно, доживем ли мы до того момента, когда Минцифры через Госуслуги будет предупреждать об учебной кибер-тревоге и рассылать в почтовые ящики граждан соответствующие уведомления? 🤔
ЗЫ. Уж лучше учебная тревога, чем настоящая!
Если вдруг вам не хватало красивой инфографики по актуальным угрозам, их есть у меня ✍️
Читать полностью…Лень заниматься приоритизацией? Хочет сразу иметь перечень уязвимостей, которые точно стоило бы устранить?
Тогда вот ежечасно обновляемый перечень наиболее опасных и эксплуатируемых уязвимостей😉
Список формируется из нескольких источников:
➡️CISA KEV
➡️Rapid 7 Metasploit Modules
➡️Project Discovery Nuclei Templates
➡️EPSS
На текущий момент чуть более 2000 уязвимостей получается🙂
Подробнее о проекте ➡️Patchthis.app
Вообще странная история. На киберучениях на Сахалине один из кейсов был связан с летним бюллетенем НКЦКИ о компрометации инфраструктуры через легитимные инструменты 🥁, включая Kaspersky Security Center.
То есть хакер, получивший доступ 💻 к центру управления средством защиты получал полный доступ к инфраструктуре 🥳 Тоже самое применимо ко многим схожим инструментам, но НКЦКИ писал именно про Каспера.
И вот я обыгрывал этот кейс. Оказалось, что многие даже представить себе такое не могли и для специалистов по кибербезу это оказалось открытием и сюрпризом 🤔 В Минске на Positive SOCcon тоже у многих удивление было, услышав про данный кейс. Из чего я сделал вывод, что сайт НКЦКИ многие не читают, на канал в Телеграм не подписаны. А зря, сюрпризов 😳 было бы меньше.
Джен Эстерли, глава американской CISA, внесенная в список российских санкций, поставила амбициозную цель 🎯 - довести число женщин в ИБ (видимо, в американской) до 🚺 50% от общего числа к 2030-му году👮 Кстати, на последней конфе Women in Cyber Security, где Эстерли и озвучила свою цель, собралось аж 1700 делегатов. Или делегаток? Все время путаюсь с феминитивами 👵
ЗЫ. Интересно, на регулярных встречах российского женсовета по ИБ такие же цели ставят? Если что, мужская часть российской ИБ может помочь с достижением этой цели!
HDMI-адаптер для iPhone, который собирает данные о вашем местоположении, истории серфинга в Интернет, ваши фоточки и видео, трекает ваши закладки и инсталлированные приложения.
А вы проверяете, что вы суете в свои смартфоны?
Многие пишут (а уж на Западе все как с цепи сорвались) о том, что некая российская платформа по скупке Zero Day с доменом, срок оплаты которого истекает в октябре этого года, в виду ажиотажного спроса на рынке решила поднять цену на зеродеи определенного типа для iOS и Android с 200 тысяч долларов аж до 20 миллионов (в 100 раз) 🌡. Это, предсказуемо, вызвало ажиотаж. Меня и журналисты, и некоторые каналы стали просить комментарии на эту тему. А я не даю 🤐, так как анекдот, который я бы мог рассказать в тему, вряд ли опубликуют. Но у себя в канале почему бы и нет:
Старый Мойша на приеме у сексопатолога:
— Доктор, у меня больше 3-х раз в неделю с моей Сарочкой уже не получается.
— Мойша, а лет вам сколько?
— 85.
— Мойша, ну это же превосходно!
— Да? А сосед мой Рабинович говорит, что у него с женой ежедневно, а ему 95!
— Ну так и вы говорите!
Есть еще анекдот про мешки, которые ворочат, но его даже я у себя не опубликую, а то доблестный РКН за мат канал прикроет и придется уходить в виртуальное подполье.
ЗЫ. Чего хакер на картинке, закрыв глаза, правой рукой под столом делает? Нейросетке Сбера явно надо датасет для обучения менять.
Еще большим числом утечек?! Возьмем на себя повышенные обязательства?! Догоним и перегоним?!
Как же задолбали эти лозунги и подсчеты 🧮 количества утекших записей и самих утечек. Как будто это важно и именно это определяет результативность.
Все больше скатываемся в советские времена победных реляций, ничем неподкрепленных заявлений, дурацкой статистики, словоблудия «свадебных генералов» в пленарках и вот этого всего. Осталось только переименовать это все в съезд, на сцене вручать грамоты лучшим дояркам, комбайнерам и трактористам операторам SOC, багхантерам и настройщикам пианино NGFW, а также целоваться долго и взасос с председателем оргкомитета! 🤮
Американцы выпустили предупреждение ⚠️ о взломе сетевого оборудования Cisco со стороны китайских хакеров 🇨🇳. Причем те действуют достаточно изощренно и подменяют прошивку маршрутизатора, что позволяет оставаться им в инфраструктуре даже после перезагрузки устройства.
Учитывая, что Cisco до сих пор полно и в России, а китайцы 🐉 нам не друзья, а всего лишь ситуативные союзники и российские предприятия они ломают несмотря на "дружбу Пу и Си", я бы обратил внимание на эту проблему. И хотя Cisco уже много лет не выпускает оборудование без SecureBoot, Trust Anchor и других технологий защиты от аппаратных и программных закладок, есть немало компаний, использующих устаревшие, но все еще работающие сетевые устройства. Поэтому посмотрите на рекомендации Cisco по защите их оборудования. Это не сложно и бесплатно.
Одна из старейших частных логистических компаний Великобритании KPN Logistics Group прекращает свое существование 😮после июньской атаки шифровальщика. 730 сотрудников потеряли свою работу 😭
Невозможно? Недопустимо! ☹️
Спасая кого-то от хакеров убедись, что он готов к твоей помощи. Учитывай возможности спасаемого и уровень его подготовки. Именно поэтому в фрейморке PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lesson Learned) на самом первом этапе стоит обучение. Иначе и навредить можно 🤕
Читать полностью…Ко мне тут пришли и говорят: "Вот ты тут проводил штабные киберучения и нам очень понравилась идея. Мы хотим также!". Так вот я хочу сказать, что «Хочу также» - это не постановка задачи 😊 Чтобы провести штабные киберучения нужно как минимум ответить себе на вопрос - хотите вы фана или вам реально нужно прокачать навыки персонала. Ибо в первом случае подготовки почти никакой от заказчика не надо - предоставь помещение, оборудование, призы подготовь, да народ созови. А все остальное я сам сделаю 💪
А вот во втором случае все гораздо сложнее - нужно провести предварительный анализ текущий ситуации с ИБ в организации, с ее процессами и их недостатками. Затем сформировать перечень тем для прокачки навыков, потом разработать сценарий и согласовать его с заказчиком, потом провести киберучения и... Нет, не почивать на лаврах, а проанализировать их ход, оценить ответы команд, составить список слабых мест и рекомендаций по их нейтрализации, а также улучшению проверенных процессов. И все это не в одно лицо, а вместе с заказчиком киберучений. Поэтому "хочу также" говорит только о том, что кто-то просто хочет выехать на чужом горбу хайпе, организовав что-то прикольное, а потом отчитаться за его проведение.
Кстати, у госов такое бывает сплошь и рядом - ты у них делаешь всё, готовишь кейсы, отрабатываешь сценарий, проводишь киберучения, а все лавры они приписывают себе. Как в известном анекдоте: "мы пахали", сказала муха 🪰, сидя на голове у лошади. Кто-то еще и бюджетные деньги за это получает. Ну да ладно. Может все равно на пользу пойдет и хоть какие-то знания после киберучений останутся ☝️
📣📣📣📣📣
Все по плану!
4 октября во всех субъектах России будут проверять систему оповещения населения.
🎤Зазвучат сирены и громкоговорители - так подается сигнал "Внимание всем!"
Эфир общероссийских теле- и радиоканалов будет замещен информацией по безопасности.
Также информация будет доступна в мобильном приложении «МЧС России».
Все это делается для проверки работоспособности систем оповещения регионального и муниципального уровней.
❗Сохраняйте спокойствие - подача звуковых сигналов плановая.
@mchs_official
Подогнали тут красивый отчет про мегатренды от Копенгагенского института изучения будущего и инвестиционной компании Pictet. Если не погружаться в 60 страниц чтива, то что можно вынести из этого исследования по нашей с вами теме кибербеза. Основных тендеций три:
1️⃣ Дефицит ресурсов. Тут я не вижу прямой связи с ИБ.
2️⃣ Деглобализация. Тут все понятно. Балканизация, в том числе и рынка ИБ. Никакого больше глобального доминирования американцев несмотря на все их желание; собственно как и китайцев. Будут анклавы (США и сателлиты, Китай, Индия, Россия, возможно, Южная Америка и Европа). По их составу споры идут бесконечно, но возврата к прежней истории с опорой на ИБ-решения из США, видимо, уже не произойдет в обозримые десятилетия.
3️⃣ Экономика услуг. Тут можно про подписочные модели что-нибудь сказать, но не буду 😊
Среди 21 трендов поменьше, эксперты выделяют 5 технологических, которые стоит учитывать с точки зрения ИБ (как объект защиты как минимум):
🔤 Виртуализация мира (метавселенные, цифровые двойники и вот это вот все)
🔤 Искусственный интеллект, роботизация и автоматизация повысят производительность, но и создадут проблему с рабочими местами
🔤 Рост connectivity между любьми и объектами поставят ребром вопрос надежности и отказоустойчивости
🔤 Био- и нейротехнологии ждут; как и хакеры, которые готовы будут пентестить наш мозг напрямую
🔤 Новые материалы (пока не вижу, что тут можно с ИБ связать).
Есть в отчете и раздел про кибербезопасность. Ей предрекают небывалый взлет - рост интереса к стартапам, увеличение инвестиций, новые возможности и вот это вот все...
У вас нет EDR и даже хостовых логов и есть только прокся на периметре? Из ее логов тоже можно извлечь немало полезного для обнаружения угроз
Читать полностью…Круто, когда для включения двухфакторной аутентификации на сайте надо принимать целое Постановление Правительства! Я вот у себя на сайте, хочу - включаю, не хочу - отключаю ее (хотя я всегда хочу). А тут, наверное, целое совещание собирают, министры, оторванные от важных государственных дел, приходят, часа два совещаются, надо ли включать на сайте 2FA. А от них наверняка вопросы поступают, а чем 2FA отличается от MFA? А можно ли перехватить одноразовый код в СМС (да, можно)? А чем двухшаговая верификация отличается от двухфакторной аутентификации?
А министр цифрового развития на все эти вопросы уверенно отвечает и министры единогласно голосуют за это постановление, которое потом уходит в администрацию и юристы долго обсуждают, какой термин использовать в нормативно-правовом акте - многофакторная аутентификация или двухфакторная (а это же большая разница с юридической точки зрения, так как два - это не "много", а "много" - это не два).
ЗЫ. А вообще, все правильно. 2SV/2FA на портале "Госуслуг" давно пора вводить в обязаловку.
Очередная попытка найти способ приоритизации уязвимостей 👉 На этот раз предлагают ежечасно (!) обновляемый список критических уязвимостей. Автоматизация через файлик CSV... Не знаю, кто такое потянет 🤷
Читать полностью…Октябрь - месяц ИБ во многих странах мира. В США он, в частности, будет посвящен 4 темам:
1️⃣Включение многофакторной аутентификации
2️⃣Использование надежных паролей и парольных менеджеров
3️⃣Обновление программного обеспечения
4️⃣Распознавание и уведомление о фишинге
Патчиться надо было
Сказал мне Dark River на ухо
Подкравшись к локалке моей
почти Басё (с)
Задорнов был прав, когда говорил, что «американцы тупые» (не все, конечно). Гораздо безопаснее с точки зрения последствий красть пачки денег 💵 (если они не помечены), чем новенькие iPhone 📱, имеющие уникальный идентификатор и элементарно отслеживаемые по местоположению вплоть до пары метров.
Читать полностью…Толерантненькая реклама от CISA про необходимость думать 🤔 о кибербезопасности своих близких. Если CISA завтра уйдет в неоплачиваемый отпуск, то хотя дело их в виде рекламы будет жить 👌
Читать полностью…Иногда, в погоде за инновациями и красивостью авторы забывают о приватности пользователей 😶🌫️ Пора уже вводить при приеме на работу разработчиков ПО, сайтов и т.п. тест на отношение к приватности и защите персданных. И если проходящий тест получает невысокий балл, то на работу его не брать 💡 Ну или прогонять вот через такой вот туалет 🚽, установленный специально для таких целей. Мне кажется, один раз в таком креативном месте и вопросы о необходимости учитывать вопросы privacy отпадут сами собой.
Читать полностью…Крупный производитель решений по промышленной автоматизации Johnson Control подвергся атаке шифровальщика группировки Dark Angels. Судя по длительности инцидента, сумме выкупа в 50+ миллионов долларов и абсолютно беспомощному уведомлению в Комиссию по ценным бумагам США у вендора все плохо.
Как можно не заметить утечку 27 терабайт (!) данных? Ладно у вас NTA/NDR наверное нет. Но хотя бы traffic quote настроить на периметровом межсетевом экране можно было?.. ⛔️
Если до 1 октября Конгресс США 🇺🇸 не договорится о финансировании 🤑 правительственных структур (с 01.10 начинается новый финансовый год), CISA вынуждена будет отправить до 80% своих служащих в отпуск. А это значит, что многие проекты по ИБ, включая оперативный мониторинг угроз (а-ля ГосСОПКА), распространение IOCов и т.п. будут остановлены.
И это касается не только CISA, а всех федеральных госорганов США. ИБшников отправят в неоплачиваемый отпуск. Атакуй, не хочу 👨💻
А у вас в модели угроз такая есть?