В Бразилии запретили X (бывший Twitter). Но на этом все не закончилось, как у нас 😅 После запрета судья Александр де Мораес 👨⚖️ заявил, что компании и физлица, попытавшиеся обойти запрет и подключиться к соцсети, ждет штраф в размере 50 000 реалов (примерно 9 тысяч долларов США) в день.
Все познается в сравнении… Хорошо, что я уже улетел, а то как раз перед вылетом я… ну вы поняли 🖥
Не все могут инвестировать 🤑 в создание реалистичного мини-города как Standoff для демонстрации последствий от реализации недопустимых событий и обучения специалистов по ИБ. Но это не значит, что не надо пытаться. Например, в австралийском университете TAFE при создании мини-города для обучения Blue/Red Team использовался конструктор Lego! 💡
ЗЫ. Фото честно утащил у Олега Вайнберга, преподающего в TAFE.
ЗЗЫ. Хотя, подозреваю. что закупка Lego такого масштаба тоже выйдет в копеечку. Там же еще и автоматизация под капотом 🏠
Вот и Катя прошлась по оценке рисков... 🔪 Мне кажется, чем больше будет статьей на тему реального применения оценки рисков в ИБ, тем более зрелым будет становиться рынок и тем более осознанным использование различных правильных подходов к тому, как говорить с бизнесом 🤝 Не вот это вот "аааа, все пропало" и метод светофора, а учет не только потерь от реализации риска, но и пользы, которую тот или иной риск может принести, а также поиск баланса между ними, что и отличается бизнесмена и предпринимателя от наемного менеджера и безопасника 🚦
Читать полностью…Думаю, многие видели модель разделения ответственности за безопасность в различных моделях оказания облачных услуг (IaaS, PaaS и SaaS). Вот аналогичная, но для машинного обучения 🧠 Тут и вам про персональные данные, и про этику, и про реагирование инцидентов... 💭
Читать полностью…Ну и по традиции краткая выжимка из второй прочитанной в Бразилии презентации. Да, она не на бразильском португальском языке, mas então não ficaria claro nem para você nem para mim :-)
PS. Учите иностранные языки. Это отличный способ оттянуть, а то и вовсе исключить из своего будущего болезнь Альцгеймера 😎
ЗЗЫ. У этой презентации есть один секрет, который очень сильно помог нам в Бразилии. Но я его не расскажу (хотя он и показан на слайдах ☝️) - оставлю при себе. А то все побегут в Бразилию 🏃
Рассказывал в Бразилии 🇧🇷 про результативную кибербезопасность, недопустимые события и вот это вот всё. После подошел CISO крупной компании и говорит:
О, Боже! Наконец-то я услышал то, что мне нужно. А то ко мне приходили ребята из Big4, приносили простыни со своими реестрами рисков и пытались всучить их оценку. А я понимаю, что к моменту, когда они закончат оценивать, мне надо будет начинать все заново и более того, появятся новые риски, и все начинать сначала; и так по кругу.
В американском ИБ-издании на редкость неплохой материал по российскому рынку Bug Bounty 🤑 Автор пишет, что HackerOne, BugCrowd, Intigriti вышвырнули русских багхантеров со своих платформ, а американские бигтехи типа Apple и др. отказываются платить русским за найденные у них уязвимости, что и привело к предсказуемому росту рынка Bug Bounty в России 🇷🇺
Упоминается первая программа Bug Bounty от Яндекса, начавшаяся в 2012-м году. Есть информация о трех крупнейших платформах - BugBounty[.]ru, Stnadoff 365 Bug Bounty 🟥 и BIZONE Bug Bounty, а также о суммах выплат, которые, по мнению автора, сопоставимы с тем, что платились на HackerOne. Не обойдена вниманием и тема Минцифры, которая вышла на BugBounty со своими ГИСами. Также дается небольшой экскурс в уголовное законодательство в контексте истории с легализацией белых хакеров 👨💻
В заключении автор пишет, что у российской экосистемы Bug Bounty большое будущее 💪, так как эти платформы будут привлекать 🫴 не только российских багхантеров, которых только сейчас насчитывается около 20 тысяч, но и исследователей из других юрисдикций, которые с высокой степенью вероятности могут попасть под очередные санкции США. Это приведет к тому, что уязвимости в западных продуктах будут продаваться не вендорам на иностранных платформах, а в России, что, потенциально, может означать, что их покупателями станут российские спецслужбы, что создаст дополнительные угрозы шпионажа для Запада 😕 Ну и по аналогии с недавно вышедшей статьей о том, что иностранцам надо присматривать за Astra Linux, автор предлагает присматривать и за российским рынком Bug Bounty 😮
Оказалось, что в Бразилии вообще мало кто рассказывает про кибербез, так как это сделали мы 🤹♂️ Не только нестандартная тема (ИБ с точки зрения бизнеса), но и сама подача, оформление были очень хорошо восприняты аудиторией. И это при том, что на весь первый день CISO Forum было всего две англоязычных презентации - моя и еще одна спикера, девушки, которая отвечала на вопросы модератора (без презентации); все остальное было на бразильском языке 🇧🇷
Люди тут скучают по нормальным, а не согласованным строгим корпоративным PR и маркетингом, скучным презентациям с кучей ограничений, выверенными нейтральными картинками из фото-стоков... 🤠 Ну а я особо не заморачивался - взял тему оценки защищенности и провел аналогии с футболом, который в Бразилии введен чуть ли не в религиозный культ. Зашло на ура! 🎆
ЗЫ. В итоге организаторы попросили "на бис" выступить и во второй день 😂
ЗЗЫ. Мой вам совет: ваша целевая аудитория - это слушатели, а не ваш маркетинг.
Выложено видео нашего вебинара "Как измерить эффективность SOC", презентацию с которого я выкладывал чуть раньше 🧮
Читать полностью…Главврач 👀 уфимской больницы, ссылаясь на законодательство о безопасности и борьбе с терроризмом, распорядился установить видеокамеру 👀 в гинекологическом кабинете. Теперь-то стало понятно, где террористы и экстремисты закладывают взрывные устройства, прячут килограммы наркотиков, нарушают законодательство о криптографии и снимают порнофильмы 🤦♂️
Читать полностью…Если посмотреть внимательно на текст предъявленных Павлу Дурову обвинений, то из 12 пунктов три (3) касается нарушения владельцем Telegram законодательства Франции по криптографии, а именно:
🔤 Предоставление криптологических, а не просто криптографических, услуг, направленных на обеспечение функций конфиденциальности без соответствующего декларирования (у нас бы сказали лицензирования)
🔤 Предоставление криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления
🔤 Импорт криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления.
Отмечу, что в России существуют схожие с французским законодательством требования по импорту и экспорту шифровальных средств и, так как Telegram не считался отечественным, то к нему и у нас должно было применяться схожее тому, что действует в стране-хозяйке недавних летних Олимпийских игр. Интересно, если бы Дуров прилетел в Россию, его бы по прилету ждала такая же судьба?.. 🤔
США 🇺🇸 подали иск против технологического института Джорджии и исследовательской корпорации Джорджии за невыполнение требований Министерства обороны США в области кибербезопасности. Кроме того, "обвиняемые" сфальсифицировали результаты проведенной оценки уровня своей ИБ, чтобы показать свое соответствие и получить "вкусные" контракты МинОбороны 🇺🇸 Информация об этом была доведена до сведения американского Минюста, который еще в 2021-м году запустил новую инициативу, в рамках которой все желающие могут сообщить об обмане со стороны получателей государственных контрактов, которые сознательно:
➖ используют или предоставляют некачественные продукты или сервисы ИБ
➖ нарушают стандарты и регламенты ИБ
➖ отказываются от непрерывного мониторинга ИБ и уведомления об инцидентах ИБ 🤬
И таких дел у Минюста США уже несколько, что говорит о серьезности намерений американских надзорных органов строго следить за тем, как обеспечивается безопасность данных и систем, владельцем которых является государство.
Ох, незамутненные такие... 🇨🇳 Раньше приходили за зеродеями или вредоносами. Теперь вот данные по LinkedIn им подавай. А когда отказываешь, обижается, и просит контакты самых лучших хакеров, чтобы вместе атаковать американцев... 👨💻
Читать полностью…ИБ-компания Cado Security столкнулась с атакой typosquatting, когда злоумышленники, готовящие атаку против клиентов компании (а может и самих сотрудников), создали похожий домен cadosecurlty[.]com (а вы заметили разницу с написанием реального домена?), а заодно и аккаунт в соцсети X (бывший Twitter). Также, эти же злоумышленники создали фишинговые домены для атак на компании ClickUp (ciickup[.]com), Scribd (scrib3[.]com) и других, менее известных в России.
Cado, идентицифировав атаку, сразу сделала следующее:
1️⃣ Информировала своих сотрудников о попытке атаки
2️⃣ Провела поиск на почтовом сервере всех сообщений, исходящих с вредоносного домена, а также включила мониторинг и блокировку новых сообщений с него
3️⃣ Сообщила о проблеме регистратору доменов.
Я бы к этому списку добавил уведомление специализированных компаний, занимающихся борьбой с фишингом, типа Google или Phishtank, а в России, соответственно, - ИС "Антифишинг", НКЦКИ или проект "Нетоскоп" КЦ домена .ru/.рф, а также, если вы являетесь субъектом КИИ или финансовой организацией, то в центр ГосСОПКА или ФинЦЕРТ.
В 2021 году в компании Andreessen Horowitz описали “парадокс облачных технологий”, когда компании, несмотря на высокую эффективность и гибкость облачных сервисов, сталкиваются с неожиданно высокими затратами при их масштабировании 🤑 Этот парадокс заключается в том, что облако, которое должно быть экономичным и гибким решением, в итоге становится значительной статьей расходов для крупных компаний, что может ограничивать их возможности для инноваций 😶🌫️ Одной из стратегией оптимизации затрат на облачные услуги инвесторы из AH предложили репатриацию, то есть перенос некоторых рабочих нагрузок обратно в локальные дата-центры для снижения расходов 📉
И вот недавно Barclays Bank подтвердил этот тренд в своем большом опросе CIO. Мы видим, что последние 3 года идет неуклонный рост желающих репатриировать свои данные и приложения обратно из публичных облаков либо в частные, либо в собственные центры обработки данных 🫴 При этом, в первую очередь это касается облачных хранилищ данных и систем управления базами данных. Так что ситуация с облаками не такая радужная, как об этом говорят различные аналитики. Раньше их выбирали, не желая закупать собственное железо под это все и желая переложить большую часть ИТ-задач на чужие плечи. Да и нехватка персонала тоже приводила к стремлению уйти в облака 🏃 Но все оказалось не так радужно, как рисовалось вначале. И не последнюю роль тут сыграли инциденты ИБ с облачными провайдерами 🔓
России это пока не так чтобы сильно касается, но для понимания общих тенденций полезно. Особенно для тех компаний, которые смотрят за пределы локального рынка 🤔 Ну а причем тут безопасность, я думаю, рассказывать не надо.
В полной традиции с манерой ведения канала "то пусто, то густо", написала лонгрид на тему оценки рисков, как соотносится стоимость риска и стоимость защиты, и причем тут "нобелевская" совокупная теория перспектив Канемана и Тверски.
Очень хочу обсудить, велкам в комментарии.
Мне на следующей неделе лететь в Абу-Даби для выступления на конференции по киберпреступности, к которой я готовлю различные кейсы. И вот один из свежих примеров, когда на компании Ближнего Востока 🕌 нацелились хакеры, распространяющие вредонос под видом средства защиты Palo Alto (Palo Alto GlobalProtect). Сама по себе схема не нова - сначала предположительно идет фишинговое письмо ❗️, в котором жертве предлагается установить средство защиты американской компании. На второй стадии компьютер заражается и попадает под контроль хакеров, которые управляют им через C2-инфраструктуру. Пострадавшие от этой атаки пока неизвестны.
Читать полностью…У коллег из канала "Резбез" вышло два поста про то, что должен содержать в себе отчет по анализу защищенности и каковы критерии качества работ по оценке защищенности. И я сразу вспомнил один отчет по пентесту, который попался мне в руки в Бразилии 🤕 Всего 4 страницы, на которых просто указаны меньше 10 найденных с помощью Nmap, Nikto, WPScan уязвимостей на периметре заказчика. Рекомендации впечатляют. Думаю, даже не знающие португальский, легко поймут, о чем идет речь. И "это" у кого-то поворачивается язык называть пентестом, а кто-то за это еще и платит 🤠 Тьфу таким быть. Должно быть стыдно выдавать "это" за пентест.
Читать полностью…Ну где тебя 🟥 еще так встретят и проводят? Только в Бразилии 🇧🇷 И хотя я не попал на день рождения компании, который празднуется сегодня в Москве, в Бразилии мы тоже отметили как смогли 💃
Читать полностью…20 августа Верховный суд оставил решение нижестоящих инстанций о тюремном заключении 😡 Илья Сачкова без изменений, посчитав, что оснований для пересмотра дела нет ☹️ В резолютивной части приговора говорилось, что в деле имеются вещественные доказательства, включая визитки сотрудников ФБР, сотрудников посольств США и Великобритании в РФ и сотрудников британского МИД 🇺🇸
Официально заявляю, что после того, как я это прочитал в прошлом году, я сразу уничтожил все визитки, которые у меня были от сотрудников различных посольств, которые бывали в офисе Cisco по роду службы, а также от сотрудников АНБ и ФБР 🇺🇸, которые [визитки, а не сотрудники] у меня скопились после многократного посещения RSA Conference и других мероприятий, на которых указанных сотрудники выступали 👮
Интересно, кстати, как организован CISO Forum в Бразилии 🇧🇷 Единственный keynote-доклад (от меня) и потом одни дискуссионные панельки. И в первый день точно такая же история. Никакой рекламы, никаких спонсорских «мы платим - вы должны включить наш доклад про мегасуперпупернгфв» 🤬 Про продукты вообще ничего нет. Респект и уважуха оргам 🙂
Читать полностью…Как-то я смотрел выступление Джеки Чана на церемонии получении Оскара и думал: "Вот ведь классный чувак, давно в Голливуде, но до сих пор говорит по-английски так себе и не парится на эту тему. Он делает то, что он считает нужным и не заморачивается, насколько хорошо или плохо он при этом говорит по-английски. Его ведь понимают!" 😱
Меня достаточно долгое время напрягал мой английский. Да что говорить, он до сих пор меня напрягает. Я реально не чувствую себя уверенным, когда выступаю на не родном для меня языке, который я и учить-то стал уже после института, когда попал в Cisco (до этого у меня было 8 лет немецкого в школе), то есть в зрелом возрасте 😛 Но я влезаю во все международные инициативы 🟥 именно потому, что иначе я не смогу перестать бояться. Не бояться выступать, с этим у меня нет проблем. И не бояться оказаться вне повестки ИБ, с этим тоже нет сложностей (я вообще понял за годы в ИБ, что мы можем дать фору иностранцам по многим вопросам, так как опережаем их в обеспечении практической, результативной ИБ).
Позитив, даже не Cisco, дал мне возможность не бояться говорить на иностранном языке. Это офигенное ощущение, когда ты выступил на знакомую тебе тему и она зашла аудитории 🎆 Да, ты косячил с временами и спряжениями, но это не так важно. Я выступал не перед native speakers. Для них английский - такой же не родной, как и для меня. И в любой стране мира, где мне доводилось выступать очно или онлайн, я могу сказать, что все очень лояльны к тебе, так как мало кто родился со знанием английского. Арабы, бразильцы, чехи, поляки, норвеги, испанцы... Все они учились английскому также как и я (ну или почти также). Даже многие англичане снимают шляпу (не мою 🤠) перед теми, кто изучает их язык, так как у нас есть коренное отличие от них - они знают только один язык, свой, английский, а все остальные знают как минимум два языка - свой родной и английский. И это не мы плохо говорим - это они вообще не говорят ни на каком языке, кроме своего. То есть это не нам должно быть стыдно, что мы плохо говорим на английском, а им, что они не говорят на русском, португальском, испанском, немецком, чешском, сербском и т.п.
Так что не надо бояться выступать - на другом языке, перед незнакомой аудиторией, на не до конца изученную тему (хотя тему лучше изучить, конечно). Вы тем самым пересиливаете себя и свой страх. А это дорогого стоит! Ну а после выступления и выпить не грех, снять стресс и расслабиться, что я и сделал после своего выступления в Бразилии 🇧🇷
Прекрасный пост на Хабре о том, как мой коллега, Алексей Усанов, написал книгу ✍️ по реверс-инжинирнгу встраиваемых систем. Помните дискуссию на PHD2, где мы обсуждали в узком кругу ИБ-писателей зачем и как писать 📝 книги (эфир тоже можно посмотреть)? Так вот Алексей раскрыл эту тему в статье еще шире. Так что если вы стояли перед выбором, писать или нет, то прочитав мысли Алексея у вас отпадут все сомнения ✍️
Читать полностью…Первый визит в Южную Америку, первое выступление в Южном полушарии на английском, первый полет на A380, впервые такие приключения с организацией выступления русской компании в Бразилии... Ну что ж, с почином...
ЗЫ. И пусть кусают локти те, кто не взял на меня на работу из-за того, что я не знаю английского 😂 Бразильцев это совершенно не смущает 🤝
Если вдруг меня примут американские спецслужбы 🇺🇸 и начнут на полиграфе выпытывать, был ли я в ГРУ, то смело могу отвечать, что да, был, решал вопросы кибербезопасности 🛡 И ни один полиграф не поймает меня на неуверенном ответе или попытке увильнуть ;-) ☺️
Читать полностью…Я, конечно, победил 🤼 хакеров на киберполигоне, но у меня три вопроса:
🔤 Почему для трояна есть только варианты «пометить» и «пропустить», но нет «заблокировать» или «удалить»? ❌
🔤 Почему анализ статистический, а не статический?
🔤 Почему рекламируются продукты ушедших из России американских компаний? 🤔
Ждем роста кибератак от хактивистов на Францию…. ✈️ (они уже начались). Руслан у себя высказался про сложившуюся ситуацию и склонен согласиться с его взвешенным мнением. А я только отмечу одно - любая централизованная система коммуникаций, неподконтрольная какому-либо государству, рано или поздно вызывает вопросы к ней со стороны разных государств и спецслужб 😕 А за вопросам следует желание контролировать. И если владелец платформы делает вид, что сигналов не понимает или прямо говорит, что он за свободу слову, то извините, ждите последствий 😡
Если вам кто-то впаривает абсолютно надежный и безопасный мессенджер и его название не Anom, Phantom Secure, Sky ECC или EncroChat, то я бы 10 раз задумался 🤔 А с указанными названиями и думать нечего - там и так все понятно. Но лично мне ясно одно - примерно так, как сейчас авторы шифровальщиков начинают писать собственные криптографические подсистемы, так скоро появятся децентрализованные или очень непубличные и на малые группы пользователей защищенные мессенджеры. И бороться с ними будет гораздо сложнее, чем с популярными средствами коммуникаций 👀
Австралийский Medibank провел в четверг звонок с инвесторами, где, помимо прочего, рассказал о последствиях кибератаки, о которой я уже как-то писал. Итак, страховая компания, столкнувшаяся с шифровальщиком:
➖ Ожидает совокупные расходы на модернизацию своей системы ИТ-безопасности в размере 85 миллионов американских долларов за 3 года (126 миллионов австралийских долларов). В результате атаки годовой бюджет на ИБ вырос в 40 раз! 👇
➖ Потратила 40 миллионов австралийских долларов в 2024-м году на обновление ИТ-систем (в прошлом году было потрачено чуть больше денег на это)
➖ Могла получить штраф в размере фантастических 21,5 триллионов долларов, если бы суд по максимуму наказал компанию, но итоговая сумма штрафа была существенно ниже.
Для информации: до атаки шифровальщика Medibank тратил на свою ИБ всего 1 (один) миллион австралийских долларов (это менее 60 миллионов рублей), на ИТ-бюджет - 4-5 миллиона; и это при годовом доходе Medibank в 7,1 миллиарда долларов. Число сотрудников Medibank составляет 3291 человек, а штат ИБ - всего 13 специалистов.
"Амеравиация" (она же Federal Aviation Administration, FAA) выпустила проект новых требований по кибербезопасности самолетов ✈️, которые учитывают новые угрозы для авиации и должны помочь повысить уровень защищенности бортов от целенаправленных воздействий, которые могут быть реализованы через:
➖ бортовое ПО (Field Loadable Software)
➖ ноутбуки специалистов поддержки
➖ сети аэропортов и авиакомпаний
➖ публичные сети
➖ Интернет
➖ беспроводные сенсоры самолетов
➖ мобильные сети
➖ USB-устройства
➖ спутниковые коммуникации
➖ мобильные компьютеры and портативные electronic flight bags (EFBs)
➖ системы навигации, например, GPS.
Интересно, для МС-21, Ту-204/214, SSJ, Ил-114 есть такие же требования по кибербезу? ✈️
ЗЫ. И будет у нас тогда вот так ✈️