Сергей Солдатов тут написал пост, с чего надо начинать работу CISO, поставив на первое место аудит ✔️ А я вот не соглашусь, что аудит - это хорошая точка старта. Начав с аудита, мы сами себя загоняем в тупик, начиная заниматься не результативной ИБ, цель которой будет соотнесена с потребностями бизнеса, а с неких требований, соответствие которым мы и должны проверить ☑️
В одном случае CISO становится рабом чеклистов, которые он разработает сам, скачает из Интернета или ему принесут их интегратору и аудиторы 🤠 В этом случае он занимается не тем, что нужно бизнесу, а тем, что написано в том или ином стандарте. Если это будет CIS (на этой неделе вышла новая версия 8.1) или NIST CSF 2.0, в последних версиях которых появился совершенно новый пункт - Governance, который как раз про соотнесение целей ИБ и бизнеса, то это и неплохо 💪 Вот с Governance, которого нет в отечественных стандартах, и надо начинать. Но аудит проверяет, что сделано (в прошедшем времени), а надо именно делать - идти к бизнесу и понимать его боли, его задачи, его риск-аппетит, его страхи, но с прицелом на сферу влияния CISO 🏋️♂️ В этом случае CISO превращается из бумажного ИБшника в человека, который чаще сталкивается с разными инструментами, чем с чеклистами.
Иными словами, начинать надо не с аудита, а с общения с бизнесом. Потом уже определить, как этого достичь, потом понять, чего не хватает (вот на этот вопрос может частично ответить аудит) и устранить разрыв за счет реализации различных мер - своими силами и с помощью других подразделений 🤔
Вы задумывались, почему есть вроде как посредственные ИБ-эксперты 🤠, но они гораздо более удачливы, чем более экспертные специалисты, не имеющие хорошей работы, хорошего дохода, и всех остальных признаков успешности? Известный ученый, Альберт Барабаши, придумал "науку об успехе", обосновав ее множеством исследований в разных сферах жизни 😎 Согласно им:
Успех любой карьеры зависит от связей человека (определяемых его местом в профессиональной социальной сети – офлайн плюс онлайн) и его престижа (авторитета, уважения, влияния, «кармы» среди участников этой сети).
Чем «центральней» (в сетевом смысле) человек в такой сети, тем выше его шансы стать еще более «центральным». Это 100%но соответствует евангельскому «Закону Матфея» - "богатые становятся еще богаче” - феномен неравномерного распределения преимуществ, в котором сторона, уже ими обладающая, продолжает их накапливать и приумножать, в то время как другая, изначально ограниченная, оказывается обделена ещё сильнее и, следовательно, имеет меньшие шансы на дальнейший успех.
Если майнинг криптовалют 💸 сопровождается ростом температуры окружающей среды 🌡, то значит ли это, что вирус гриппа тоже что-то майнит в нашем организме, когда мы болеем и у нас поднимается температура? 🤔 Где моя доля? Или у вируса гриппа 🦠есть свой C2-сервак, который и забирает все себе?
Читать полностью…Если раньше синие и красные 🤜 бились только на Standoff, то теперь их битва (в проекции на 🟥) вылилась в соцсети. Против канала красных PT SWARM был выставлен абсолютно новый канал синих - PT ESCalator, в котором мои коллеги будут публиковать всякое с расследований инцидентов ИБ - трюки, лайфхаки, индикаторы, артефакты, советы...
И пусть победит сильнейший ⚔️
И на старуху бывает проруха... Это к разговору о вчерашней "цитате" Никола Тесла - в теории знать, как бороться с мошенниками, - это одно, а на практике - совсем другое 🥷 Проект Т-Банка надо выводить на более широкую аудиторию...
Читать полностью…Я год назад писал про цвет кибербезопасности (он синий) 🌀 Так вот если смотреть чуть шире и научнее, то все цвета ИБ вы видите ниже, а датасет, собранный за 2 года, и доказывающий это, выложен на Kaggle 🎨
Читать полностью…Продолжим тему с оценкой защищенности. Простая визуализация, которая показывает, что часто забывают включить в область оценки защищенности (и мониторинга); независимо от того, идет речь о поиске уязвимостей (покрытии сканером), пентесте, багбаунти или любой иной форме оценки 🎩
Читать полностью…Хочется ли вам, чтобы покупаемые вами продукты были результативными? Наверное, да. Всегда хочется похвастаться тем, что используемое решение дает некий результат, а значит мы не сделали ошибки, выбрав то или иное решение; Даже если оно бесплатное и open source. Но что такое результативность продукта? В чем она измеряется. Я тут готовился к выступлению, где как раз поднимал эту тему и сейчас хотел бы поделиться своими мыслями. Не претендую на полноту, но мне показалось, что логика в моих рассуждениях есть.
Читать полностью…В очередной раз, когда вы будете рвать на себе волосы из-за того, что вы вовремя не прочитали и не выполнили очередной нормативно-правовой акт по ИБ, подумайте вот о чем 🤔 Если никто не прилетел из будущего и не исправил то, что вы натворили (или не натворили), то может вы и не сделали ничего катастрофического? 🤔
Ну или будущего у нас уже нет. Вам решать 😂
Детская загадка
Три CISO сидели на конференции PHD2. Один из них решил 💡 решил прыгнуть на новую ступеньку в своем развитии, изменить свою жизнь и начать общаться с бизнесом на его языке, начать нести ответственность за свои инициативы, оценивать результаты своей деятельности с точки зрения бизнеса 😮💨 Сколько CISO осталось на прежнем уровне понимания, восприятия топ-менеджментом, компенсации и др.? 🤔
Большинство ИБшников отвечают: аутсайдерами осталось два CISO. Ответ неверный. Правильный ответ - аутсайдерами осталось три CISO. Вы спросите почему? Потому что решение изменить себя и изменение себя - это не одно и тоже! 🤔
АНО "Цифровая экономика" при участии Минцифры выпустило "Белую книгу цифровой экономики" (как по мне, так от дословного перевода white paper стоило бы давно уже отказаться, он распространен еще меньше, чем "дорожная карта"), в которой подсобрали тренды, статистику 📈 и конкретные кейсы по развитию цифры в России 🇷🇺 в 2023-м году. Как руководство к действию использовать ее сложно, но как сборник всяческих цифр для презентаций 📈 - вполне себе.
Читать полностью…«Грибной» дождь прошел… Группировки появляются как после него… В целом пофигу, но атрибуцию осложняет 🤯
Читать полностью…Как обжечься 🔥 на криптографии?
Все просто - возьмите книжку по квантовой криптографии с собой в баню 🧖 Глянцевая обложка там накалится и мое нежное тело с кожей, как у младенца, будет обожжено 🔥 Надеюсь, она ничего не излучает ☢️
ЗЫ. Урок - не надо критиковать квантовую криптографию ☝️
Вот тут иностранцы пишут про недопустимые события, ой, нет, про катастрофические события ИБ ⚠️ Мол, несмотря на скептицизм, такие события существуют, их немало и становится все больше (тут вам и отключение электричества в одном из регионов России пару лет назад, и двухмесячный простой UnitedHealth, и неработающие аптеки в Приморье, и свежий пример с CDK Global, из-за атаки на которого тысячи автодилеров в США остались не у дел) 💥 И киберкатастрофы происходят не из-за вымышленных сценариев, которыми нас пичкают сценаристы Голливуда, а из-за роста цифровизации и взаимосвязанности ИТ/ОТ-систем.
А вот дальше автор пишет, что вместо того, чтобы полагаться на сенсационные и драматические представления о киберугрозах, необходимо проводить глубокий анализ 😦 внешних и внутренних данных, получаемых изнутри компании и от внешних поставщиков (этакий кибербарометр, измеряющий киберпогоду ⛈), чтобы понять и прогнозировать реальные киберкатастрофы. Такие модели позволяют страховым компаниям принимать более обоснованные решения по страхованию своих клиентов от потенциальных угроз 😦
И вот к этому тезису у меня неоднозначное отношение. Да, страховой бизнес построен на актуарных таблицах, которые составляются на основе статистики многих десятилетий (для страхования жизни) или лет (для автострахования) 🧮 Но в ИБ очень сложно найти репрезентативную статистику. А главное, как, на том, что происходило и зависело от кучи постоянно меняющихся факторов, предсказать, что будет происходить в будущем? 🔮 Мне это представляется малореальным. Ущерб считать еще можно, но пост-фактум, а не закладывать его в совокупную стоимость владения, как предлагают в чатике (я бы посмотрел на такие рассчеты, которые примет реальный заказчик на этапе выделения денег) 🎲
ЗЫ. Наверное именно потому, что я не люблю риски и достаточно жестко дискутирую на эту тему с ее апологетами, нас сначала пригласили на эфир по управлению рисками, а потом внезапно «мест нет» 🖕
ЗЗЫ. Кстати, про голливудские сценарии. Мы тут в рамках Positive Hack Media запустили шоу "Хак Так", в котором хакеры обсуждают реалистичность придумок сценаристов и режиссеров мировой киноиндустрии. В первом выпуске обсуждают сцену минета 🔞 в фильме "Пароль рыба-меч", во время которого хакер должен взломать базу данных МинОбороны 🇺🇸 Ну а эксперты "Хак Так" сразу стали фантазировать о том, что такие конкурсы надо бы устроить на PHD, а также взять в практику собеседований на работу в ИБ-компании 🤦♂️
Повторяйте это как мантру - "Threat Intelligence - это не тоже самое, что индикаторы компрометации и фиды"!!! Пять раз в день - два раза утром, четыре раза в полдень, четыре раза перед вечером, три раза вечером и четыре раза ночью! 🤲
Читать полностью…Год назад русские (и немножко сербские) хакеры атаковали крупнейший морской порт Европы 🚢 - Роттердам, на несколько часов выведя из строя веб-сайты порта. И вот спустя год морская гавань отрапортовала ⛴ о запуске квантовой защищенной сети, которая, по мнению авторов проекта, позволит защитить порт, обрабатывающий 15 миллионов контейнеров ежегодно и обеспечивающий 8,2% голландского ВВП от кибератак 👨💻 Хотя, как по мне, ни от DDoS, ни от шифровальщиков, системы квантового распределения ключей 🤒 не защищают.
Но тут интересно другое. Из этой истории, учитывая роль порта Роттердама 🛳 в экономике Голландии и Европы, можно сделать хорошую диверсификацию, построив на базе порта свой центр управления ключами и предоставляя услугу всем контрагентам, а их там десятки тысяч по всему миру, пользующихся морскими перевозками, перевалкой грузой и т.п. То есть это уже ближе к деньгам, чем к ИБ 🤑
Threat Intelligence - это как ошибка выжившего, если вы понимаете, о чем идет речь 🤔 Мы узнаем о том из отчетов о том, что смогли расследовать, описать и внести в анналы, базы, отчеты, фиды и иные примеры документированной информации об угрозах ⚠️ Очевидно, что что-то остается за кадром и никуда не попадает. И причин тому много - не знают, как расследовать, не пригласили нормальных пацанов для расследования 🤠, провели расследование, но решили не делиться ни с кем результатами (страшно и стыдно)... Причин много - результат один 🤐
По этой же причине и техники в MITRE ATT&CK описывают далеко не все способы, которыми ломают организации. Сколько уже было случаев, когда технику не возьмут, потому что ее подсанкционная компания зарепортила, или потому что "у нас нет доказательств, что техника применялась в дикой природе"... 🤦♂️ Поэтому MITRE ATT&CK - это хорошо, это must have, это обязательно, но этого недостаточно. И если у вас в инфраструктуре не замечено индикаторов из очередного TI-отчета, то это еще не гарантия, что внутри у вас никто не сидит 🏝
В 2016-м году CNN в реальном времени показывало 📺, как ломать компанию с помощью социального инжиниринга 🎣 "Жертва" сама обратилась к белым хакерам и готова была заплатить, если они смогут обмануть сотрудников и заставить их сделать что-то в нарушение политик ИБ. Хакерам это удалось чуть ли не в прямом эфире 🫢
А вы готовы на такой эксперимент в прямом эфире? Уверены в крепости своих виртуальных бастионов? 🤕
Бывший высокопоставленный прокурор продал машину и отдал все накопления по указу мошенников — в общем счете он перевел им 20 миллионов рублей. В 2015 году он рассказывал в СМИ, как избежать мошенничества.
Экс-начальнику управления по надзору за соблюдением федерального законодательства прокуратуры Москвы Евгению Манеркину начали звонить с 13 июня. Преступники представлялись то сотрудниками Мосэнерго, то Роскомнадзором и в конце перешли к Росфинмониторингу. 69-летнему Манеркину объяснили, что его накопления под угрозой и все деньги нужно перевести на «безопасный счет».
После денег мошенники взялись за «Ауди Q7», принадлежащую экс-прокурору. Манеркина убедили продать автомобиль, а деньги за продажу также перечислить на счета по «рабочей схеме». За 10 дней преступники получили от Манеркина 20 млн рублей.
Интересно, что в 2015 году Манеркин советовал россиянам, как не попасться на уловки мошенникам:
Это банально, но, чтобы избежать мошенничества, надо внимательно читать всё, что предлагается подписать либо отметить галочкой. А если персональные данные стали достоянием третьих лиц без вашего согласия, обращайтесь с заявлением в правоохранительные органы.
Совет Европы ввел санкции против шести россиян 🎃, обвиняемых в проведении кибератак:
1️⃣ и 2️⃣ - Руслан Перетятько и Андрей Коринец - за участие в группировке Callisto, приписываемой российским спецслужбам
3️⃣ и 4️⃣ - Александр Склянко и Николай Черных - за участие в группировках Gamaredon/Armageddon, ассоциированной по мнению иностранцев с ФСБ
5️⃣ и 6️⃣ - Михаил Царев и Максим Галочкин - за якобы распространение вредоносного кода Trickbot и Conti и вовлеченных в группировку Wizard Spider.
Всего по кибер-теме европейцы ввели санкции против 14 человек и 4 компаний, что подразумевает запрет на поездки в ЕС 🇪🇺 и заморозку всех активов. Ранее четыре из шести упомянутых лиц уже попали под санкции США 🇺🇸
ЗЫ. Ну не список Treadstone71, уже хорошо...
Вообще Тесла ⚡️ такого не говорил; он говорил про ученых, заменивших эксперименты теоретической математикой, но суть та же 💡 Если бы Тесла жил в нынешнее время, он бы такое мог сказать и про ИБ 💡
Читать полностью…Если продолжать утреннюю заметку, то упомянутый в ней параметр Coverage of Key Assets определяет насколько у вас выстроен процесс управления активами, от которого зависит и то, насколько быстро вы определяете, скомпрометированы ваши активы или нет, то есть параметр Time to Exploit 🤔
ЗЫ. Чем-то напоминает концепцию "Окна Джохари", о которой я писал 8 лет назад ✍️ Только тогда я приземлял это все на обнаружение угроз, а сейчас - на управление уязвимостями и активами 📞
Джулиан Ассанж согласился признать себя виновным 👮 в краже материалов, угрожающих национальной безопасности США, заключив соответствующую сделку с американским правосудием 🇺🇸 Ему будет назначен срок длительностью 62 месяцев, что эквивалентно 5 годам, которые он отбывал в Великобритании, ожидая экстрадиции в США 😳 Этот срок и будет зачтен ему, что позволит уже в конце этой неделе отбыть Ассанжу обратно на Родину, в Австралию. На этом эпопея, длившаяся с 2010-го года, закончится и Ассанж сможет считать себя свободным человеком 🗽
Читать полностью…Опрос выше 👆 не про математику, он про жизнь. Нельзя похудеть до 0. Потеряв половину массы своего тела, вы, скорее всего, отбросите коньки. Есть предел, который вы не можете преодолеть без ущерба для здоровья 🤔 Даже лежа в гробу, даже пройдя кремацию, вы что-то да весите (правда, вам уже все равно будет) 😃
Поэтому не надо ставить целью снижение количества инцидентов или уязвимостей до нуля - это опасно для службы ИБ. Выброшенные на ветер деньги, стресс… 🤔 Нужен баланс, приоритизация и вот это вот все.
Что касается ответа на вопрос. С точки зрения математики да, 490 - правильный ответ, но математика тут не применима. Если следовать мнению, что человек может похудеть до 40-60% своего веса, то есть 50% в среднем, то вариант 245 дней ближе к той границе, где нужно остановиться в похудении при указанных исходных данных. Но если смотреть на смысл вопроса, то правильного ответа там вообще нет 😊 (это специально так сделано) - поэтому последние два ответа ближе всего по сути 👙
Ветка обсуждения на Twitter повествует о случае, когда автор, находясь на встрече с потенциальным клиентом — крупной нефтегазовой компанией 🛢, столкнулся с неожиданным требованием со стороны CISO этой компании. Во время презентации продукта CISO прервал их и заявил, что не будет рассматривать продукт, если ему не предложат стать советником их компании и не дадут долю в ней 🫴
Он объяснил, что является "воротами" 🚪 ко всем остальным нефтегазовым компаниям, и если инициатор обсуждения в Twitter хочет продать свой продукт другим компаниям в этой отрасли, его компания должна предоставить ему долю в бизнесе за такую помощь. Это было откровенное вымогательство предупреждение о том, что без его поддержки они не смогут продать свой продукт в этой сфере, и их ждет бойкот ⛔️
Автор был шокирован таким требованием, считая, что CISO не имеет представления о их продукте и отрасли, и не принесет никакой пользы как советник. Несмотря на это, участники встречи со стороны вендора вежливо сказали 😠, что обсудят предложение, но в итоге отказались, посчитав его "слишком неприятным" и не полезным 👎
В результате их компания не была выбрана для дальнейшей оценки ☺️, и за время работы автора их продукт так и не был продан ни одной нефтегазовой компании. Автор не утверждает, что их заблокировали, но также не исключает этой возможности. Написал он про это только сейчас, имен не назвал. В комментах народ пишет, что с таким тоже встречались.
❓ Вы ждали и спрашивали, когда же записи докладов с киберфестиваля PHDays Fest 2 появятся на нашем YouTube-канале
Мы не теряли времени и выкладывали сотни гигабайтов и часов видео. Они распределены по трекам и темам для того, чтобы было удобнее искать и смотреть то, что нужно именно вам (впереди для этого целые выходные 😊).
⬇️ Делимся ссылками на плейлисты ⬇️
👀 Для всех
• Научпоп
• Lifestyle
🛡 Кибербезопасность:
• Offense
• Defense
• AI Track
• Blockchain
• Fast Track
• Community
• Evasion
• Международный
• Standoff
🧑💻 Разработка:
• General Development
• Secure Development
• Team Lead
• Data Engineering
• Languages and tools
• Python
• Platform Engineering
💰 Бизнес:
• Государство
• Школа CISO
• Архитектура ИБ
• SOC будущего
• Кибербез с разных сторон
• День инвестора Positive Technologies
• Big Boss
• Партнерский
• Вместе
• HR-трек
• Кибербез: с чего начать
Смотрите сами и делитесь ссылками с теми, кому будет интересно!
#PHD2
В следующий раз, когда вы пойдете стращать 😱 руководство страшными рисками и карами, а также штрафами в 60 тысяч рублей за нарушение закона о персональных данных, обратите внимание на то, какие часы носит человек, которому вы будете рассказывать о "катастрофических" или даже "серьезных" потерях 😱
Часы справа стоят 60 тысяч, только не рублей. Рассказывать таким людям о масштабе потерь, которые вы измеряете вашими "часами", - только время тратить, его и свое ⏳ Да еще и репутацию себе портить, так как вас будут считать человеком, недостойным, чтобы садиться с руководством за один стол.
Кстати, а у вас самих какие часы и сколько они стоят? ⌚️ Apple Watch за 50 тысяч (уже рублей)? Или "Слава Традиция" (на фото слева) за 40 тысяч? И вам самим не стыдно рассказывать про ущерб в 60 тысяч, который еще надо умудриться получить? Да вы на услуги юристов потратите больше 🤔
Я про операцию "Конец игры" (Operation Endgame) ♟ не писал, хотя и затрагивал вскользь ее в заметке про использование правоохранителями психологических приемов раскола в киберпреступном мире. Если вкратце, то в ее рамках западные спецслужбы 🇺🇸 из пары десятков стран совместно с некоторыми ИБ-компаниями прикрыли инфраструктуры шести крупнейших в мире ботнетов 🤠 - Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC и Trickbot, которые, по данным правоохранительных органов предоставлялись операторам ransomware при оказании услуг Ransomware-as-a-Service ⚠️
Но мне понравилось в этой истории, что организаторы Endgame выпустили по итогам своей операции анимационный сериал 🎬 - с легким троллингом, множеством намеков и т.п. Прям хорошо получилось 🍿
Компания Аny[.]run, выпустившая облачную песочницу, была скомпрометирована через скомпрометированного клиента, отправившего фишинговое письмо сотруднику аny[.]run. Пишут, что доступа к инфраструктуре или исходным кодам сотрудник не имел 🤔
Читать полностью…По радио тут было интервью с серийным ИТ-предпринимателем ("серийный", мать его, ИТ-преприниматель), который "придумал" сервис виртуального трупа 💀, то есть, общение с умершим человеком, оцифрованным при жизни 💀 Умолчу, что этой идее 10 лет в обед, но она меня навела тоже на предпринимательскую идею в области ИБ. Представьте, что хакер эксплуатирует уязвимость на публичном web-сайте, как лебедь в "Лебедином озере" перемещается боком, добирается до базы данных... и ему вылезает баннер: 💀
1️⃣ Посмотреть фотографии сисек
2️⃣ Забрать все данные
Нажмите 1 или 2.