alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Тут вот в LinkedIn народ флеймит на тему "все беды от управления уязвимостями" 😱 CVSS - говно, всё - ложные срабатывания, патчи для Линукса и контейнеров - сложно, NVD утонула в бэклоге, "вендора" open source не заинтересованы в обновлении своего ПО, приоритизация сильно зависит от конкретной организации (о, я про это писал), управления активами ни у кого нет... 😭

ЗЫ. Рецепта, что с этим делать, автор не приводит 😊

Читать полностью…

Пост Лукацкого

МинЦифры запустило «убийцу VirusTotal” - https://virustest.gov.ru/ В прошлый раз, в 2021-м году, этот же сервис на том же адресе запускала ФСБ. А в 2019-м такой же сервис обещал запустить ФинЦЕРТ. Бог любит троицу, так что эта попытка должна быть удачной 🤞

Читать полностью…

Пост Лукацкого

Как и предполагалось, Cencora в своей финансовой отчетности не подтверждает выплату 75 миллионов долларов, о котором писал ZScaler в своем отчете по шифровальщикам, как о рекордной выплате вымогателям 🤑 Потери фармацевтического гиганта из Fortune 50 от кибератаки составили "всего" 30 миллионов долларов за первый квартал 2024-го года. В итоге место лидера антирейтинга по выплатам пока вакантно и пока этот кейс попадает в разряд "городских легенд", а не подтвержденных фактов 🏆

Читать полностью…

Пост Лукацкого

Что-то кучно пошло... Хакеры 👨‍💻 взломали английскую компанию Mobile Guardian, которая выпускает решения по безопасности мобильных устройств (MDM) и удаленно потерли данные на тысячах управляемых устройствах под управлением iOS и Chrome OS 📱

Компания уже признала инцидент и сообщила, что он никак не связан с ранее зафиксированной ошибкой в конфигурации устройств iPad, используемых только в Сингапуре 🇸🇬 В инциденте 4 августа пострадало гораздо больше устройств в Северной Америке, Европе и Сингапуре, которые используются преимущественно в сегменте образования 👨‍🏫 Только в Сингапуре известно об уничтожении 13 тысяч устройств в 26 школах (по данным министерства образования). Компания предсказуемо сообщает о небольшом проценте пострадавших устройств и о том, что хакеры не получили доступ к данным (ну а нахрена, если данные можно все стереть?) 🤦‍♂️

В качестве реакции, Mobile Guardian остановила все свои сервера управления, что привело к тому, что студенты не могут пока пользоваться своими мобильными устройствами (еще не легче). В ряде случаев требуется реактивация устройства, зачастую вручную. Продолжается расследование... 🔍

Читать полностью…

Пост Лукацкого

Немного смущают якобы профессиональные ИБ-каналы, которые тупо репостят непроверенные новости 😰 Свежий пример. ФСТЭК публикует проект поправок в 17-й и 239-й приказы, которые к ранее существовавшим там мерам защиты добавляют всего одну - защиту информационной системы от угроз типа "отказ в обслуживании". Все, ничего более ☹️ Дальше, ФСТЭК просто поясняет, что включается в эту меру, а там много всего:
выявление публично доступных интерфейсов и сервисов и исключение неиспользуемых
инвентаризация публичных адресов и доменных имен
формирование матрицы коммуникаций с внешними ресурсами, включая используемые протоколы
составление списка разрешенных во время DDoS адресов для взаимодействия
использование средств или сервисов борьбы с DDoS (сами требования к таким средствам у ФСТЭК утверждены еще несколько лет назад)
наличие двукратного резерва по пропускной способности каналов передачи данных
использование GeoIP от Роскомнадзора (не обязательно блокирование по GeoIP)
хранение в течение трех лет данных о DDoS-атаках
взаимодействие с ГосСОПКА
работа с провайдерами услуг по защите от DDoS, расположенных только в России.

Что пишут "профессиональные" ИБ-каналы про этот приказ? Только про хранение данных об атаках в течение трех лет. Все! 😮 В итоге целиком меняется смысл предлагаемых ФСТЭК поправок, в которых вообще нет ничего нового и сверхестественного, исключая, быть может, двукратный резерв по пропускной способности. Все остальное - просто здравый смысл 🤔

ЗЫ. В итоге от ряда каналов отписался 😠

ЗЗЫ. При этом украинские официальные лица признали проведение массированных DDoS-атак на российские финансовые организации.

Читать полностью…

Пост Лукацкого

Выписал тезисы по статье Алексея Лукацкого про методы приоритизации уязвимостей.

🔹 Количество CVE уязвимостей растёт с большим ускорением; считается, что на одну зарегистрированную уязвимость есть 3 незарегистрированных.
🔹 Исходя из статистики, устранение уязвимостей осуществляется гораздо позже, чем эти уязвимости начинают использовать атакующие.
🔹 Отсутствие выстроенного процесса приоритизации уязвимостей - одна из причин задержек в их устранении.
🔹 Единственного правильного метода приоритизации уязвимостей нет: у каждого свои преимущества, недостатки и область применения.
🔹 Выбор у корпоративных пользователей небогат: довериться методам приоритизации VM-вендора, либо пилить свой процесс (собирая temporal и environmental данные самостоятельно).
🔹 Можно попробовать разработать собственную методику, однако все равно нужно где-то брать исходные данные. Большинство компаний берут за основу CVSS Base Score + временные метрики (EPSS, Coalition ESS, AI Score, CVE Shield, CISA KEV и т.п.). Каверзные вопросы. Что делать с новыми уязвимостями, по которым еще нет данных? И что делать с уязвимостями, для которых нет, и возможно, не будет данных в CVE (например, с уязвимостями в российских продуктах)? 🤔 Информации по их эксплуатабельности в западных источниках не будет. 😏
🔹 "Уникальная и революционная система приоритизации уязвимостей" = учёт информации о наличии эксплойта, использовании уязвимости в реальных атаках, активности обсуждения в СМИ и соцсетях и т.д. + обработка ML-ем.
🔹 Упрощённые критерии принятия решений (НКЦКИ, SSPP, CISA) всё равно требуют автоматизации и источника информации об активности эксплуатации уязвимостей вживую.

@avleonovrus #Prioritization #РезБез

Читать полностью…

Пост Лукацкого

❤️ Написали один из самых долгожданных постов этого лета, судя по вашим вопросам

Да, мы объявляем о новом наборе на стажировку PT Start, по результатам которой вы сможете получить офер и стать сотрудником Positive Technologies.

👩‍🎓 Кого ждем на стажировку

Студентов и выпускников вузов по специальностям «информационная безопасность» и «информационные технологии». Если вы участвовали в соревнованиях CTF, хакатонах и профильных олимпиадах, это будет преимуществом.

🤔 Как туда попасть

Тут все просто: успейте подать заявку и пройти онлайн-тестирование на сайте PT Start до 18 августа.

🧑‍🏫 Что будет дальше

Мы разберем все заявки и отправим приглашения всем подходящим кандидатам (в прошлый раз его получили 1300 человек из 3000 заявившихся).

Всех счастливчиков ждет базовое, а потом и углубленное обучение по основным направлениям: кибербезопасность, разработка, обеспечение качества (Quality Assurance), системный анализ. А после вы сможете сами выбрать, в какой из команд стажироваться.

В конце — финальный босс возможный офер и, что самое важное, бесценные знания и опыт, которые точно пригодятся вам для будущей карьеры.

🏃 Еще думаете? А остальные уже подают заявки!

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Российскому рынку ИБ 🇷🇺 похвастаться такими оборотами пока не получается, как и местом в экономике страны. Однако хочется верить, что со временем и у нас будет не хуже, чем в США 🇺🇸 Но есть и обратная сторона у такого положения в экономике страны. Влияние ИБ 🛡 на нее становится достаточно ощутимым, что привлекает внимание регуляторов и кейсы SolarWinds, CrowdStrike, Microsoft и т.п. лишний раз это доказывают 🔍

Читать полностью…

Пост Лукацкого

Решил поглубже погрузиться в свежий отчет Gartner Hype Cycle for Security Operations. Помимо предсказания скорой смерти SOAR там много и другого интересного, что изменилось с прошлого года. Для интересующихся - отчет за 2022-й год и за 2023-й.

Читать полностью…

Пост Лукацкого

17 августа в Москве, в музее-заповеднике "Коломенское", пройдет семейный фестиваль "ИТ-Пикник", на котором будут лекции, интерактивы, музыка и вот это вот все 🤹‍♂️ Буду и я выступать с рассказом "От стелек и кардиостимуляторов до умных пылесосов и колонок. Что делать с их небезопасностью?" 🤔

В современном мире мы окружены умными устройствами 🤖 — от стелек с сенсорами и кардиостимуляторов до роботов-пылесосов и умных колонок. Эти устройства делают нашу жизнь проще и удобнее, но вместе с этим несут в себе и определённые риски 🤖

В рамках выступления я простым и понятным языком буду говорить о том, какие угрозы могут представлять собой умные гаджеты. Я разберу реальные примеры взломов и обсужу, какие последствия это может иметь для нас. Также я затрону важные вопросы:
🔤 Как и почему инсулиновые помпы, автомобили, лампочки и иные умные устройства могут быть уязвимы для хакеров? 💻
🔤 Что может случиться, если злоумышленники получат доступ к вашему умному пылесосу? 💻
🔤 Какие простые меры безопасности можно предпринять, чтобы защитить свои устройства и личные данные, хранящиеся в них или обрабатываемые ими?

Этот фееричный рассказ предназначен для всех, кто пользуется современными технологиями, но не имеет глубоких знаний в области информационной безопасности. Я объясню сложные вещи простым языком и дам полезные советы, которые помогут вам сделать вашу цифровую жизнь безопаснее, не отказываясь при этом от инноваций и фана, который мы получаем нося умные трусы или бюстгальтеры 🔞, пользуясь умным холодильником или фитнес-трекером и др.!

Регистрация на сайте "ИТ-Пикника" 💤

Читать полностью…

Пост Лукацкого

В последнем отчете ZScaler про шифровальщиков упоминается рекордная выплата в размере 75 миллионов долларов 🤑 Жертвой является некая компания из списка Fortune 50, которая пострадала в начале этого года. Если посмотреть список атак шифровальщиков в первые месяцы этого года, то там нет компаний из Fortune 50. Если чуть расширить поиск, то есть американская Cencora, работающая в области здравоохранения, которая в феврале столкнулась с утечкой данных, но является ли она следствием ransomware или нет, до конца не известно 🤔 В обязательном уведомлении в Комиссию по ценным бумагам компания не пишет о шифровальщике и не упоминает о финансовых убытках. Других кандидатов на эту историю пока нет и правда ли это, выяснится, когда Cencora опубликует свою финансовую отчетность, в которой обязана будет отразить эту огромную сумму 💰

Из группировок тогда никто не взял на себя ответственность, что дает основание думать, что выкуп был выплачен. Но кто знает, что было в реальности? Мне эта история пока напоминает утечку в 500 миллионов персональных данных, о которой рассказывал РКН, но не представил ни одного доказательства, которое бы подтвердило факт утечки 🚰 Но зато все СМИ про это написало и регулятор урвал свой кусочек славы (как и ZScaler в кейсе про 75 миллионов). А помните кейс про сталелитейный завод в Германии, в котором атака вывела из строя домну, о чем написал немецкий регулятор в своем годовом отчете? Ведь тогда тоже не было представлено ни одного доказательства и никто не смог найти следов такого взлома (а выход из строя домны сложно скрыть) 🔍

🤔

Читать полностью…

Пост Лукацкого

Получил спецприз за то, что пришел в пост своей же компании и нафлудил там про морковку сзади 🥕 Теперь жду, что за спецприз меня ждет. Не морковка же 🤔

Читать полностью…

Пост Лукацкого

А всего-то прошло пару лет с массовых разговоров о VPN и о том, как их использовать для доступа к ресурсам, которые блокируют российские IP-адреса ⛔️ И вот уже VPN у нас скоро будут под запретом и придется использовать Эзопов язык 😱, погружаться в технологии стеганографии и другие способы обеспечения конфиденциальности 👨‍💻

На днях был на интервью, где мы говорили о хакерах в исходном смысле этого слова, о людях, которые не стояли на месте, а из-за своего любопытства копались в системах, пытались обходить правила и т.п. 🧑‍💻 И я во время интервью сказал, что надо быть благодарным Роскомнадзору, который для формирования поколения хакеров в стране сделал больше, чем кто-либо еще. Есть курсы, куда приходят десятки и сотни людей. Есть киберфестивали 🟥, куда ходят сотни тысяч людей. А есть РКН, который своими действиями заставляет миллионы людей изучать способы обхода ограничений и постоянно ужесточаемых правил. Роскомнадзор, так держать! 👍

PS. Если вы пишущий человек, то советую провести инвентаризацию всех своих материалов на предмет упоминаний VPN. Требования РКН работают и задним числом, то есть для статей, видео и т.п., опубликованных ДО вступления новых норм в силу.

ЗЗЫ. А вот с криптовалютами иная история - от полного неприятия и страха уголовки до «это инструмент инноваций и обхода санкций» 🤔

Читать полностью…

Пост Лукацкого

Я оооочень не люблю тему импортозамещения, так как продолжаю считать, что она не только не имеет никакого отношения к кибербезу, но и уводит от решения действительно важных задач. А уж у нас она и вовсе реализуется достаточно странновато. И вот свежий кейс на стыке ИБ и ИТ, о котором предупреждает НКЦКИ 👮‍♀️ Был такой широко разрекламированный отечественный браузер "Спутник", который имел поддержку Минцифры, был внесен в реестр отечественного ПО и работал с TLS-сертификатами от национального удостоверяющего центра. И вот грянул гром - в 2022-м году компанию прекратила техподдержку своего продукта, в 2023-м ООО "Спутниклаб" было признано банкротом ⚰️, а в марте 2024-го браузер "Спутник" был исключен из реестра Минцифры. Все бы ничего, мало ли таких кейсов было и будет, но...

Сам продукт продолжает массово применяться в государственных информационных системах 🏢, он "стучится" за обновлениями на домен, который был недавно выкуплен американской компанией и что может оттуда прилететь с подмененным обновлением, никто не знает ☹️Более того, у "СпутникЛаб" еще 20 доменов, которые могут быть использованы в фишинговых целях, а также могут быть зарегистрированы иные, схожие домены, а также организованы вредоносные кампании, связанные с браузером "Спутник" 🖥

ЗЫ. На месте Минцифры я бы срочно от их имени опубликовал рекомендации по сносу "Спутника" из государственных систем со ссылкой на сайт НКЦКИ.

Читать полностью…

Пост Лукацкого

DigiCert отзывает 83267 сертификатов, фишеры от имени уязвимых устройств по защите e-mail ✉️ компании ProofPoint рассылают фишинговые 🎣 сообщения и спам, хакер USDoD спарсил 330 миллионов e-mail с сервиса SOCradar, а также выложил 100 тысяч IoC из 250 миллионов, украденных у CrowdStrike. Наконец, Microsoft, у которой был новый масштабный сбой, сообщила, что ее система защиты только усилила негативный эффект от направленной на нее DDoS-атаки, что повлекло за собой нарушение работоспособности многих клиентов по всему миру на 10 с лишним часов 💥

Это не к разговору о том, что "сапожник без сапог", а к тому, что проблемы бывают и у ИБ-компаний (я в начале недели писал уже о пяти взломах компаний по кибербезу за последнюю неделю) и слепо доверять им, считая, что их нельзя взломать, не стоит 👨‍💻 Как раз наоборот, такая иллюзия может привести к еще худшим результатам для всех - и клиентов, и самой компании. Поэтому к продукции и сервисам ИБ-компаний надо относиться также, как и к любому другому поставщику товаров и услуг, не делая для них никаких исключений 🙅‍♂️

Читать полностью…

Пост Лукацкого

Написал заметку про то, почему SOAR мертвы и почему Gartner пометил эту технологию как "obsolete", то есть "изжившая себя" ⚰️

Читать полностью…

Пост Лукацкого

Тут команда экспертов из разных организаций разработала очень неплохую модель оценки зрелости процесса Cyber Threat Intelligence (CTI-CMM). Да, это еще одна модель зрелости в области CTI, но новая ориентирована на предоставление некой ценности различным стейкхолдерам (бизнес-подразделениям) в организации. Авторы выделяют несколько таких стейкходдеров/доменов, для каждого из которых оценивают вклад Threat Intelligence:
1️⃣ Управление активами, конфигурациями и изменениями
2️⃣ Управление угрозами и уязвимостями
3️⃣ Управление рисками
4️⃣ Управление идентификацией и доступом
5️⃣ Ситуационная осведомленность
6️⃣ Мониторинг, реагирование на инциденты и непрерывность операций
7️⃣ Управление взаимоотношениями с третьими лицами
8️⃣ Управление аналитиками CTI
9️⃣ Архитектура кибербезопасности
1️⃣0️⃣ Управление мошенничеством и злоупотреблениями (еще в процессе разработки).

Уровней зрелости выделяется 4 (от 0-го до 3-го) и для каждого предлагается свой набор критериев оценки.

Читать полностью…

Пост Лукацкого

В 2016-м году я написал заметку "Искусственный интеллект скоро вытеснит пентестеров", которую активно хейтили пентестеры 😇 В 2019-м я вновь вернулся к теме полной автоматизации пентестов. В 2024-м про это стал писать Gartner, предрекая полную автоматизацию этому направлению 🤖 Недавно было представлено исследование, в котором демонстрируется, что агенты на базе ИИ способны самостоятельно выявлять уязвимости, не имея о них никакого представления.

И вот вчера очередной стартап XBOW (а на RSAC и BlackHat таких немало) заявил, что их автономный ИИ-агент 🤖 способен справляться с пентестерскими бенчмарками лучше большинства пентестеров-людей, затрачивая на это в 80 раз меньше времени (28 минут вместо 40 часов). Как это часто бывает, в материале не без хайпа и надувательства щек (стартап сам себя не продаст), но курс на полную автоматизацию постепенно приходит во все сферы ИБ и привычные подходы скоро перестанут работать 🎈

Да, XBOW подтверждает, что пока сложные задачи ИИ решает хуже высококлассных экспертов и означает это только одно - скоро рынок середнячков и начинающих пентестеров, только закончивших двухнедельные курсы, будет сильно прорежен и заменен на автономных ботов, решающих типовые задачи быстрее и эффективнее. Останутся они и профессиональные команды, которых в России можно пересчитать по пальцам одной руки ☝️ Базовая история станет недорогой и будет продаваться по подписке (реальный непрерывный пентест), а продвинутая, с участием людей, подорожает. И к этому надо быть готовым...

Читать полностью…

Пост Лукацкого

Все делают мемы про турецкого снайпера, который после стрельбы вытер рукоятку пистолета и выбросил оружие в Сену, и я не буду исключением 😂

Читать полностью…

Пост Лукацкого

Европейский центральный банк (ЕЦБ) завершил стресс-тестирование на устойчивость кибератакам, в котором приняли участие 109 банков 🏦 Целью теста было оценить, как банки смогут реагировать и восстанавливаться после инцидентов с серьезными негативными последствиями. В рамках теста использовался сценарий, при котором все превентивные меры оказались неэффективными, и кибератака привела к серьезным сбоям в работе критически важных систем банков 🏦

Основные выводы и рекомендации:
1️⃣Общая готовность. В большинстве банков есть базовые структуры для реагирования на кибератаки и восстановления после них, но требуются значительные улучшения в управлении кризисами, коммуникациях и планах восстановления ✔️
2️⃣Кризисное управление:
Банкам рекомендовано улучшить планы кризисного управления и непрерывности бизнеса.
Важно активировать планы по управлению кризисами и обеспечить эффективное взаимодействие с внешними стейкхолдерами, включая клиентов, поставщиков услуг и правоохранительные органы 🇷🇺
3️⃣Коммуникации:
Обеспечить своевременные и эффективные коммуникации с внешними и внутренними стейкхолдерами во время инцидента 💬
Провести сценарный анализ, чтобы определить, какие услуги будут затронуты и как минимизировать влияние на бизнес.
4️⃣Восстановление:
Активировать планы восстановления, включая восстановление данных из резервных копий и координацию с ключевыми поставщиками услуг.
Обеспечить полное восстановление всех затронутых областей и внедрение уроков, извлеченных из инцидента ✍️
5️⃣Оценка рисков:
Банки должны уметь правильно оценивать зависимости от критически важных поставщиков ИТ-услуг и адекватно оценивать прямые и косвенные убытки от кибератак 🤑

Результаты стресс-теста будут использоваться для дальнейшего надзорного процесса ЕЦБ в 2024 году, что должно помочь банкам улучшить свои стратегии обеспечения киберустойчивости (ну ЕЦБ так, по крайней мере, думает) 🔍 ЕЦБ продолжит работать с банками над улучшением их операционной надежности и будет проводить аналогичные киберучения в будущем, учитывая эволюцию киберугроз и желая добиться лучшего результата. Важную роль также сыграет внедрение Регламента ЕС 🇪🇺 по цифровой операционной устойчивости (DORA), который вступит в силу в январе 2025 года и будет требовать от банков усиления мер по управлению киберрисками и вовлечения топ-менеджмента в вопросы ИБ🛡

Читать полностью…

Пост Лукацкого

В последние годы киберпреступники все чаще нацеливаются на состоятельных людей и их семьи 🥷 В ответ на это, как пишут западные бизнес-СМИ, набирает популярность новая услуга – персональные киберконсьержи 🎩 Эти специалисты обеспечивают круглосуточную защиту и безопасность личных устройств и сетей своих клиентов. Например, одна из компаний предлагает такую защиту 365 дней в году, выступая в роли “цифровых телохранителей”. Услуги включают в себя не только техническую поддержку, но и обучение клиентов базовым мерам кибербезопасности, таким как настройка конфиденциальности на устройствах 📲, добавление многофакторной аутентификации и идентификация подозрительных писем ❗️

О такой профессии еще в 2014-м, а потом и в 2017-м году писало Агентство стратегических инициатив в своем Атласе новых профессий. После истории с Дзюбой эта тема всплыла вновь, но и тогда она ничем не закончилась ⚽️ И вот иностранцы осознали, что на этом можно делать деньги 🤑 Например, в крупных банках, таких как JPMorgan, появились специализированные команды, которые помогают состоятельным клиентам защитить их цифровую жизнь. Они предлагают услуги по настройке и защите домашних сетей и устройств, а также удаление личной информации из публичных источников и социальных сетей 🗑

У нас я такой услуги пока не встречал, но, как мне кажется, она может стать все более востребованной, так как количество подключенных к интернету устройств растет, и их защита становится все сложнее 🛡 Кроме того, киберпреступники становятся все изощреннее, проводя тщательное планирование и сбор информации о состоятельных жертвах перед атаками 🤕 Правда, тут, как никогда, очень важна репутация тех/того, кто предоставляет услугу цифрового телохранителя. Ведь он может быть посвящен в очень интимные подробности жизни своего клиента, начиная от того, в каких банках у него счета и какие риэлторские агентства управляют его недвижимостью, и заканчивая контактами любовниц, секретами детей и двойной бухгалтерией семейного офиса 🤫

Читать полностью…

Пост Лукацкого

В апреле 2023-го года исследователи ESET обнаружили атаки на некоммерческие организации в Китае 🇨🇳, реализуемые через вредоносные обновления ПО. Однако тогда было непонятно, как эти обновления доставляются жертвам - через атаку "человек посередине" или через компрометацию подрядчиков. И вот, спустя время, стало понятно, как это происходит, что, в контексте истории с браузером "Спутник" и обновлениями CrowdStrike становится очень даже важной темой 🔄

Исследователи Volexity выяснили, что группировка StormBamboo 🐉 (она же Evasive Panda, она же StormCloud) подменяет DNS-запросы к интересующим доменам, связанных с автоматическим обновлением ПО по незащищенным каналам HTTP и отсутствии проверки целостности обновлений 🔗 Поэтому, вместо установки легитимных обновлений, жертвы сами устанавливали себе вредоносы MACMA для macOS и POCOSTICK (он же MGBot) для Windows. Затем уже устанавливались вредоносные расширения Chrome 📱

Исследователи Volexity пока не смогли определить, каким образом подменялись DNS-записи на устройствах, управляемых Интернет-провайдерами, но предполагается, что не обошлось без CATCHDNS, вредоноса, перехватывающего запросы DNS и HTTP и используемого уже ранее китайскими APT-группировками 🐲

Впору задуматься о том, как у вас устроен процесс управления обновлениями ПО, насколько вы доверяете вашим вендорам и как проверяете все, что прилетает вам вроде как из доверенных источников?..

Читать полностью…

Пост Лукацкого

История с CrowdStrike продолжается... Гендиректор авиакомпании ✈️ Delta, задавшись риторическим вопросом: "Когда вы в последний раз слышали о крупном сбое у Apple?", заявил о потерях от простоя в результате инцидента с CrowdStrike в 500 миллионов долларов за 5 дней. И это больше средних 143 миллионов для авиакомпаний из Fortune 500, которые насчитала страховая компания Parametrix. 5000 отмененных рейсов, компенсации пассажирам, 40 тысяч серверов, восстановленных вручную... Такие потери не могут быть оставлены от внимания и Delta наняла крутых адвокатов для оценки ущерба и предъявления иска CrowdStrike 🤑

Помимо этого в суд 👩🏼‍⚖️ был подан еще один коллективный иск, в котором утверждается, что ответчики (руководство CrowdStrike) нарушили федеральные законы о ценных бумагах и правила Комиссии по ценным бумагам и биржам США (SEC). Предъявляемые обвинения касаются трех основных претензий:
1️⃣ Недостаточные меры по контролю обновлений. CrowdStrike якобы не имел надлежащих мер контроля и тестирования обновлений своего основного программного продукта Falcon 🦅 перед их выпуском для клиентов. Это создало значительный риск сбоев, что и произошло, вызвав серьезные проблемы у миллионов пользователей по всему миру 🌎
2️⃣ Ошибочные заявления. Ответчики в течение определенного периода делали ложные и вводящие в заблуждение заявления, утверждая, что их технологии тестируются, проверяются и сертифицируются. Эти заявления оказались ложными, так как CrowdStrike не обеспечивал достаточное тестирование своих обновлений 🌎
3️⃣ Серьезные последствия сбоев. В результате недостаточного тестирования, обновление Falcon привело к масштабным сбоям на устройствах с операционной системой Microsoft Windows, что вызвало серьезные последствия для финансовых учреждений, правительственных организаций и крупных корпораций 💥

Истцы требуют признания иска групповым, компенсации убытков, понесенных в результате мошеннических действий ответчиков, и возмещения судебных расходов 💸

Вспоминая свежий кейс с обвиненным гендиректором Intrusion Inc. и кейс с руководством SolarWinds, можно сделать вывод, что американским компаниям по ИБ придется серьезнее отнестись к своей деятельности и качеству своих продуктов. А иначе это может обойтись достаточно дорого для компании и ее топ-менеджмента 👮

Читать полностью…

Пост Лукацкого

В понедельник грядет BlackHat. Вы представляете каково сотрудникам CrowdStrike будет стоять на своем стенде? 🤔 А уж как будут троллить в соцсетях за рекламные баннеры… Но маркетинг делает покерфейс 😐 и не извлекает уроков 🙄

Стендистам Tenable тоже будет непросто. Bloomberg написал, что неназванный покупатель проявил интерес к поглощению ИБ-компании и Tenable, в отличие от Wiz, которую хотел за 23 миллиарда купить Google, не отказала, а ведет переговоры 🤝 Но кто может купить компанию, оцениваемую сейчас в 5 миллиардов, не очень понятно. С учетом мультипликатора, покупателей, способных выложить такую сумму, по пальцам одной руки перечесть ☝️

Читать полностью…

Пост Лукацкого

Если физлиц 👵 разводят по-разному (ФНС сверяет платежи, бесплатная флюорография от Собянина и т.п.) ради одноразового кода от Госуслуг, то юрлиц пытаются развести от имени Минтруда, Минцифры, Минобразования, ПФР и т.п. под видом повышения информационной безопасности ради перевода денежных средств 🤑. В одном случае все сделают за вас, в другом - заставят все сделать за мошенников. Но суть одна…

В борьбу с мошенничеством вступает Минцифры, которое создает 🏗 единую платформу для защиты граждан от злоумышленников в интернете 👨‍💻 и телефонных мошенников 📞 Первый этап должен завершиться к концу 2026 (!) года. Надеюсь, доживем до того момента, когда с мошенниками будет покончено

Читать полностью…

Пост Лукацкого

- Алексей, это были лучшие шесть часов в моей жизни!
- Жаль, что это говорит мне не женщина 😇

Это с упомянутого выше интервью 🎙

Читать полностью…

Пост Лукацкого

Gartner «грохнул» 🔪SOAR, посчитав, что как самостоятельная технология этот класс решений больше не жилец 🔪SOAR скорее станет частью SIEM или иных классов решений, например, TDIR или SIEM. Хорошо, что в России их не успели наплодить. Помянем… 🥺

Читать полностью…

Пост Лукацкого

Когда я 3 с лишним года назад делал верхний мем 💻, я не думал, что он так долго продержится (хотя чего ждать в закрытом инфополе, когда у многих компаний нет иных инфоповодов для того, чтобы напомнить о себе) и даже получит развитие 🤔 Ведь если посчитать количество компаний, которые у нас пользуются антивирусами, а я думаю, таких сотни тысяч, то это какой огромный поток новостей можно генерить не просто каждый день, а каждые полторы минуты! Золотая жила!!! 🤑

Читать полностью…

Пост Лукацкого

В интересное время живем, как будто все с ног на голову перевернулось. Два киберпреступника 🏴‍☠️, Роман Селезнев, он же Track2, и Владислав Клюшин, среди прочих осужденных заграницей россиян, были обменены на американских и иных граждан и возвращены в страну ✈️ Я могу понять, когда СССР поменял Луиса Корвалана на Владимира Буковского. Но двух хакеров?.. И ладно если их обменяли бы по тихому, без шума и пыли, как это было в фильме "Мертвый сезон" 😕 Но нет... Нарочито публично, с помпой, с красной дорожкой, почетным караулом и Гарантом Конституции у трапа.

Кто-то скажет, что мы отзеркалили американцев 🪞 - там тоже президент встречал 4-х освобожденных (3-х американцев и одного россиянина с грин-картой) и это, мол, дипломатические правила. Но кто сейчас вообще соблюдает дипломатические правила?.. Кто-то скажет, что "мы своих не бросаем" И я бы с радостью ухватился за эту версию, если бы не слышал рассказы о том, как "не бросают своих" в отечественных посольствах и консульствах (и речь даже не о релокантах, а просто о людях, кто поехал отдыхать не в Крым, не в Териберку и не на берег Белого моря). Кто-то скажет, такие сейчас времена; эти люди боролись против супостатов в киберпространстве и значит они герои 🤜

Я же вижу в этом вполне определенный сигнал, который государство дает хакерам:

"Ребята, воруйте у них все, что плохо лежит, обманывайте и мошенничайте в Интернет. Ничего вам не будет. И даже если вы по дурости поедете отдыхать в страну, которая выдает преступников в США, мы вас потом обменяем на очередного журналиста-шпиона, баскетболистку-клофелинщицу и неудачно влюбившегося морпеха"


И это только подхлестнет "гонку кибервооружений" 🛫 и рост числа кибератак. А самое главное, и я это уже много раз говорил, что делать с этими "киберптенцами Керенского" когда все закончится (оно же, мать его, закончится когда-нибудь)? 🤨 Их же обратно не отправишь за школьную парту или на завод, "Москвичи" собирать из китайских запчастей.

Ох, не ту страну назвали Гондурасом... 🤌

Читать полностью…

Пост Лукацкого

IBM выпустил ежегодный отчет "Cost of a Data Breach Report 2024", который смотрит на проблему утечек немного с другой точки зрения - с точки зрения различных их цены - временной, финансовой, людской и т.п. В чем-то цифры бьются с тем, что мы недавно выпустили, но в остальном там другой срез проблемы, из которого я обращу внимание на некоторые моменты:
1️⃣ Лидерство по средней стоимости утечки 14-й год подряд занимает США, что не удивительно. На втором месте Ближний Восток, у которого существенный рост средней стоимости за прошедший год. Страны Европы, Канада и Япония продолжают топ10, который замыкает Латинская Америка. Последние три страны в Топ15 - это Южная Африка, Индия и Бразилия.
2️⃣ Самые дорогие утечки по отраслям распределяются так - здравоохранение, финансы, промышленность, технологический сектор и энергетика. Везде рост стоимости кроме медицины - там идет спад на 11% по сравнению с прошлым годом.
3️⃣ Медианное время обнаружение утечки составляет 194 дня (меньше 204 в прошлом году), а время локализации - 64 (против 73 в 2023-м). Общее время составляет 258 дней, что является самым низким значением за последние 7 лет.
4️⃣ Цена потери бизнеса (включает потери доходов из-за простоев, репутационный ущерб, уход клиентов) и реагирования на утечку (кредитный мониторинг, организация call center для пострадавших, штрафы и т.п.) выросла на 11% по сравнению с прошлым годом.
5️⃣ Основные вектора, приводящие к утечкам - фишинг и украденные или скомпрометированные учетные записи. В пятерку также входят ошибочные конфигурации облаков, неизвестные уязвимости и компрометация бизнес email (BEC). Для каждого из причин в отчете указаны временные показатели на обнаружение и реагирование. Обнаружение и реагирование на утечки из-за украденных или скомпрометированных учеток происходит дольше всего - 292 дня. Быстрее всего это делается для утечек из-за 0Day - 252 дня.
6️⃣ Человеческие ошибки и ИТ-сбои является причинами утечек в 45% случаев (22% и 23%); оставшиеся 55% - это атаки или злоупотребления.
7️⃣ Атакующие раскрывают факт утечки в 24% (они же обходятся дороже всего и на них дольше всего реагирование), третьи лица - в 34%, а оставшиеся 42% приходятся на обнаружение силами службы ИБ, что подразумевает наличие соответствующих плейбуков для работы с внешними лицами.
8️⃣ Активное использование ИИ и автоматизации для обнаружения и реагирования на утечки встречается всего у 31% компаний. Но это же позволяет снизить стоимость утечки и среагировать быстрее, чем в случае отсутствия ИИ и автоматизации.
9️⃣ Интересно, что утечка влияет на стоимость продуктов и услуг пострадавшей компании, перекладывая цену утечки на плечи клиентов. 70% компаний считает, что утечка существенно влияет на ухудшение бизнес-показателей.
1️⃣0️⃣ Полное восстановление после утечки занимает не менее 100 дней у 78% жертв (трети компаний требуется 150 дней).
1️⃣1️⃣ Больше всего на снижение стоимости утечки влияет обучение персонала, использование ИИ, SIEM, планирование управлением инцидентами, шифрование, Threat Intelligence и DevSecOps. Влияет, но меньше всего, - MSSP, назначение CISO, надзор со стороны топ-менеджмента компании, средства защиты данных (вот это сюрприз) и ассистенты на базе GenAI.
1️⃣2️⃣ Увеличивает стоимость утечки сложность системы ИБ, нехватка персонала и взлом подрядчиков (для каждого пункта в отчете приведены свои стоимостные показатели).
1️⃣3️⃣ Среднее время уведомления регулятора составляет 72 часа - для половины компаний. Для 34% это время еще больше.
1️⃣4️⃣ Больше всего инвестиций компании будут делать в планирование и тестирование реагирования на инциденты (киберучения), технологии обнаружения и реагирования и обучение персонала. Решения IAM и внешний анализ защищенности (пентесты/Red Teaming/кибериспытания) замыкают пятерку основных инвестиций.

Читать полностью…
Подписаться на канал