🤔 Кого можно назвать человеком года в сфере кибербезопасности?
Узнаете, посмотрев на обложку нового Positive Research. Ищите свежий выпуск, если хотите разгадать загадку.
Больше никаких спойлеров — только короткие анонсы нескольких материалов, опубликованных в бумажной версии и на сайте нашего медиа:
• «Из любви к запретному»: история XSpider и создания Positive Technologies — подробное интервью с Дмитрием Максимовым, сооснователем Positive Technologies и «отцом» нашего первого продукта — сканера уязвимостей XSpider, которому недавно исполнилось 25 лет. Без скандалов, интриг, расследований, но подробно и с душой.
• В рубрике «Темная комната» по традиции сохраняем анонимность автора, который говорит о проблеме CISO — отрицании киберинцидентов и нежелании признавать, тем более, публично свои ошибки.
• Презентуем еще одну интересную рубрику — «Неудобные вопросы», в которой спрашиваем экспертов по кибербезопасности о том, о чем не принято говорить в корпоративном мире.
Читайте, делитесь впечатлениями, а кто же там все-таки на обложке… напишем в другой раз, чтобы не портить сюрприз.
#PositiveResearch
Лежащая на поверхности идея сделать на базе матрицы ATT&CK таксономию попыток мошенничества. Вот в проекте ATT&CK4FRAUD эту попытку попробовали реализовать, но не довели до конца...
Читать полностью…Picus Security выложили свою десятку техник, используемых хакерами в 2023-м году. Относиться к данному 🔝 надо с определенной долей скепсиса, так как это только то, что наблюдают специалисты Picus Security у своих заказчиков. У других ИБ-компаний, которые делились своими Топ10 TTP, другая десятка 🔟 Например, у WatchTower (вы слышали про эту ИБ-компанию?) в десятку входят техники, 7 из которых отсутствуют у Picus. 7 из 10 ‼️ Это очень большое отклонение.
Читать полностью…Немного смущает, когда у удостоверяющего центра вдруг оказывается просроченным сертификат и несколько дней этого никто не замечает… 🤔
Читать полностью…Нет позиции - пусть будет экспозиция! Это краткий пересказ заметки Александра Леонова про термин "exposure", который активно используется у иностранцев. Александр считает, что раз наши регуляторы его не определили (а должны?), то пусть будет дословная калька - "экспозиция". Как по мне, так exposure прекрасно переводится как "незащищенность". Можно еще и игривое "обнаженность" 🍑 или "нагота" использовать. Ну уж точно не фотографическое "экспозиция"... 🤕
Хотя зачем вообще задумывать о переводе этого термина? "Exposure Management" вполне себе можно произносить в тех редких случаях, когда это зачем-то надо. И если уж на то пошло, то Александр забыл про свой проект с аббревиатурами для разных классов управления уязвимостями. Если уж у него есть СУУ, СДУП, СДУК и иже с ними, то почему бы не быть и СУНК (система управления незащищенности или наготой компании)? 🍞
Закономерный вопрос - кто победит ❓ Хакеры, занимающиеся "чистым" творчеством, или ИБшники, уехавшие на Магнитку, которые погружены в корпоративную бюрократию и на практическую ИБ у которых остается всего 23 минуты из всего рабочего дня ⁉️
ЗЫ. В каждой шутке есть только доля шутки 🤡
Вот чего не хватает нашей ИБ - когда о ней начинают говорить топовые инстаграмщицы и блогеры 😲 Представляете, что было бы, когда какая-нибудь Бузова 😱 у себя в Инсте скажет, что для доступа к ее видео надо поставить сертификат Минцифры?.. Шок-контент 😲
Читать полностью…Дошли наконец-то руки дочитать список новых санкций от США 🇺🇸. В этот раз они существенно расширили список ИБ-компаний. Все они попали в список по разным основаниям - кто-то из-из того, что относится к технологическому сектору, кто-то из-за активной работы с оборонкой. В любом случае это следующие имена:
1️⃣ Код безопасности
2️⃣ Редсофт (выпускают сертифицированную по требованиям ФСТЭК операционную систему)
3️⃣ Т1 Холдинг
4️⃣ РусБИТех
5️⃣ Валидата
6️⃣ КриптоПро
7️⃣ Фактор-ТС
8️⃣ Системы практической безопасности.
В этот раз американцы не сильно запаривались с поиском оснований и просто стали включать в санкционный список ⛔️ просто потому, что компания "having operated in the technology sector of the Russian Federation economy", то есть просто работает в технологическом секторе, что открывает для Байдена огромное поле для все новых и новых пакетов санкций (в технологическом секторе у нас много кто работает) ⛔️
ЗЫ. 5 игроков рынка криптографической 🗝 защиты информации, в том числе выпускающие и "железные" СКЗИ. И осталась у нас вроде только одна криптографическая компания, лицензиат ФСБ, которая не под санкциями 👏 Ну или две.
🆕 Интересный пример реакции компании на инцидент ИБ. Компания Change Healthcare (США) столкнулась 21-го февраля с инцидентом 🔓 Первоначально компания не признавала это проблемой ИБ и просто ссылалась на недоступность отдельных приложений, а потом и сетевых коммуникаций. Спустя 12 часов компания признала, что это инцидент ИБ 🤕 Ожидалось, что нарушение работы сервисов продлится не менее одного дня. Но прошло уже 4 дня, а компания все еще не восстановилась.
С 21-го по 23-е февраля компания отделывалась на специально созданной страничке повторяющейся фразой, что они знают про инцидент, что во избежании проблем у клиентов и партнеров они отключили себя от внешнего мира, что это внутренняя проблема компании и на другие активы группы UnitedHealth Group 🏥 этот инцидент не распространился и что инцидент продлится не менее суток.
С 23-го риторика поменялась. К стандартной фразе добавились слова о том, что компания работает 🛠 над разными подходами к восстановлению, что они не готовы брать на себя ответственность за озвучивание сроков восстановления, что они будут предпринимать агрессивные (как это?) меры по восстановлению и т.п. 🤕
Логика в публикации апдейтов на сайте не прослеживается. Где-то идентичные сообщения разделяют 3 часа, где-то 12 минут, где-то 9, где-то и вовсе 1 минута. В чем смысл постить одно и тоже случайным образом не очень понятно. Ясности это точно не добавляет 🤦♂️
Согласно источникам, атака началась через Zero Day в ConnectWise и это привело к сбоям в поставке лекарств в аптечные сети по всей Северной Америке 🇺🇸 Рейтинговое агентство Moody's заявило, что эта атака негативно 📉 скажется на кредитном рейтинге UnitedHealth Group, в которую входит Change Healthcare (другое регйтинговое агентство, Fitch, правда, уверяет, что негативного влияния на рейтинг пока никакого нет). Сама пострадавшая компания пока никак не оценивает финансовые потери от данного 4-хдневного (пока) инцидента 🤑
📌 Для информации: Схожая история случилась в России летом прошлого года, когда в Приморье вышла из строя система распространения льготных лекарств. А 4-мя годами ранее, наше Правительство предлагало разрешить продажу лекарств в Интернет только тем аптекам, которые имеют аттестат ФСТЭК на свои информационные системы.
Когда я был маленький... я рос на балете 🩰 Петра Ильича Чайковского "Лебединое озеро", которое очень часто ставили по телевизору 📺. Чуть постарше переключился на авторскую песню и так на ней и застрял. Современную музыку принимаю не сразу; иногда не воспринимаю вообще. С интересом наблюдаю, когда пытаются скрестить ИБ и музыку 👨🏻🎤 - как это было на последних PHDays, где ИТшники показывали свою творческую сторону с неожиданной стороны или как это делают различные зарубежные ИБшники и ИБ-компании, чье творчество я регулярно выкладываю тут 🎤
И вот воскресенье, утром. Сижу, пью свежесваренный кофе ☕️, листаю даркнет... Стучат... Не в дверь, пока только в личку. Творческая группа "Код404" решила, что со мной можно поделиться своим музыкальным творчеством про кибербез и ИТ. Сам дуэт имеет ИБшное образование, один из участников имеет отношение к ММА 👊 (смешанные боевые искусства), снимают кино (сейчас монтируют фильм "Уязвимость"), хотят пропагандировать ИТ и выбивать для них льготы... Разносторонние личности, почти как я 🤠
Мне прислали 2 трека - "Кибербез" и "Дедлайн", один из которых я и решил выложить в канале. Давать оценку не буду - вкусы у всех разные, а навязывать свой не хочу. Как и рекламировать ребят тоже - у них в канале, созданном в декабре 2023-го года, и так больше 50 тысяч фанатов. Так что это не мне их продвигать надо, а скорее мне к ним напрашиваться 🫴 Найти в телеге их не сложно, как и на музыкальных площадках страны.
Разгребая книжные завалы, наткнулся на этот неудачный пример моего выхода на англоязычный книжный рынок. Было это в начале 2000-х годов. В моем активе уже была книжка про обнаружение атак 🔍 (вроде еще до второго издания) и издательство предложило мне доработать ее для американского читателя. Работа была сделана - я написал новую редакцию книги и издательство взялось за ее перевод ✍️
И вот тут и произошел сбой. Переводчик оказался далек от темы (это видно уже по заголовку, где используется protection вместо security) и родил нечто, за что мне до сих пор стыдно 🤠 Договор не предусматривал моего вмешательства в процесс и книга ушла вот в таком варианте. Продажи были единичными (по словам издательства), гонорар я не получил, отзывы на Amazon нелицеприятными. Завоевания американского рынка не произошло, а я извлек соответствующие уроки 🤡
Сначала у вас в коде open source появляется мааааленький такой захардкоженный бэкдорчик 🚪 Потом этот код копируется в корпоративный продукт по управлению ИБ и находится там годы (!). Потом через бэкдор взламывают компании по миру…
Угадайте название продукта. Да, это Ivanti Endpoint Manager
ЗЫ. Это все к разговору о важности процесса SecDevOps 👨💻 и необходимости проверять заимствованный код. Особенно важно это для ИБ-компании 👀
📺 Музеи — это окно в мир истории и культуры, где прошлое становится доступным для нас здесь и сейчас.
На протяжении последних десятилетий компьютеры и информационные технологии стали неотъемлемой частью человеческого бытия. Виртуальные миры, программные коды и вычислительные машины, которые изменили нашу жизнь — все это можно найти в IT-музеях, где каждый сможет не только увидеть артефакты цифрового прогресса, но и вдохновиться для будущих инноваций. Музеи являются источником знаний о том, как современность стала такой, какой мы ее знаем.
Мы составили подборку интересных IT-музеев, в которых вы почувствуете себя участником развития цифровой эпохи, узнаете о первых вирусах, ознакомитесь с техникой советского и зарубежного производства, а также увидите другие экспонаты, благодаря которым так стремительно эволюционировал наш рукотворный мир. Подробнее читайте в наших карточках.
Яндекс-музей
Музей криптографии
Политехнический музей
Музей советских игровых автоматов
Онлайн-музей вредоносных программ
Почему у меня слово "чеклист" на смартфоне автоматически меняется на "чекист"? 🫡 Вроде день сотрудника госбезопасности уже прошел...
Читать полностью…Во всей этой истории с Lockbit безопасникам интересно не то, что группировка меньше чем через неделю восстановила инфраструктуру, и не то, что они уже снова начали заражать новых жертв, и не то, что они пишут более сложную и опасную версию Lockbit 4.0, и не то, что они вдруг порефлексировали в открытом письме в адрес ФБР, а всего одна фраза из него:
I didn't pay much attention to it, because for 5 years of swimming in money I became very lazy, and continued to ride on a yacht with titsy girls.
Я не уделил достаточно внимания [результатам пентеста своей инфраструктуры], потому что после 5 лет купания в деньгах я стал очень ленивым и продолжал ходить на яхте с грудастыми девками.
Вторая моя публичная презентация на Digital Kyrgyzstan 🇰🇬 посвящена SOCам и она продолжает первую историю про методы атак на банковские инфраструктуры. Если в ней я только наметил технологии, которые позволяют выявлять и бороться 🛡 с описываемыми атаками, то во второй презентации я рассказываю, как это все объединить 🎮 вместе, на каких принципах строится свой центр противодействия киберугрозам и почему триады SIEM+NTA+EDR недостаточно, чтобы называться SOCом! 🧃
3-я презентация посвящена больше стратегии построения SOC и на чем ему нужно фокусироваться, чтобы быть эффективным и приносить результат и пользу 🍬 Ну а 4-е выступление (3-4 в закрытой части 🤫) уже про то, как вообще увязать ИБ с бизнесом и на чем стоит фокусироваться, в том числе и с точки зрения центров противодействия киберугрозам. Все 4 выступления дают целостную картину мониторинга и реагирования, которое не только важно для ИБ, но и понятно для топ-менеджеров. Что и требовалось... 🤗
Кстати, о спецслужбах... 👮🏻 Мне тут после вчерашней заметки про недопустимые события несколько человек уже написало в личку, что они уже эти НС в страшных снах 😴 видят. Так вот, как муж психоаналитика, могу сказать, что этому есть свое название - "энэсэофобия". Но этот страх не имеет отношения к НС - это боязнь спецслужб, следящих за тобой в соцсетях 👀. У некоторых ИБшников это уже стало профессиональным заболеванием. И недопустимые события тут ни причем 🤷♀️
Читать полностью…Альянс пяти глаз (на пятерых) 👀 во главе с английским NCSC выпустил бюллетень, в котором описал изменения в тактиках и техниках группировки, за которой якобы стоит СВР, которая атакует западную демократию 🤕 Честно говоря, в этот раз не особо интересное чтиво оказалось 🤠 Все изменение - первичный вектор сместился с использования уязвимостей на периметре и внутренних системах на поиск слабых мест в облаках 😶🌫️, используемых жертвами (кража токенов, атаки на MFA и т.п.).
После того, как американцы 2 года назад кинули всех россиян с доступом к облачным сервисам, доверие к облакам сильно пошатнулось (и не только в России, но и в других регионах и странах). Так что даже почерпнуть из бюллетеня что-то интересное и полезное не получится... 🤷♀️
Я уже упоминал, что у меня в Бишкеке 🇰🇬 будет 4 или 5 выступлений. Одно из них посвящено атакам на инфраструктуры финансовых организаций и тому, как этому противостоять. Времени будет немного, поэтому буду перемежать конкретные кейсы взлома организаций из Кыргызстана с общей статистикой атак на финансовые организации 🛡
Читать полностью…Пора создавать ассоциацию ИБ-компаний, которые попали под санкции (Association of Sanctioned Security), так как их число уже перевалило за 20. Сокращенно, я бы ее назвал 🔤🔠🔠 И пусть попробуют ее тоже санкционировать - предвижу заголовки американской прессы 🍑
Читать полностью…Хакерские форумы все активнее включают в правила запрет на любые операции, связанные с шифровальщиками (продажу, разработку, рекрутинг персонала и т.п.). И лично у меня это поднимает несколько вопросов:
1️⃣ Если эта тема токсична и ею стремно заниматься, так как поймают и накажут (как Lockbit и др.), то значит остальные темы не так опасны для их организаторов и спецслужбы и правоохранительные органы не сильно напрягаются в борьбе с продажей доступов в организации, продаже зеродеев и т.п.?
2️⃣ Если на обычных форумах такие темы блочат, то скорее всего рансомварьщики перейдут на специалиазированные форумы (такие есть) и в чем тогда смысла? Прикрыть свою жопу?
3️⃣ Сокращение числа площадок, где рекламируются шифровальщики, сокращение кормовой базы, а также более активная роль правоохранителей в поимке, не означает ли более агрессивной политики группировок вымогателей и роста суммы выплат? Раньше они не позволяли себе атаки на медицинские организации, а сейчас в полный рост.
Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события 💥 С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так:
Пусть Минцифры даст 🫴 нам список недопустимых событий и мы тогда сможем с ними эффективно бороться!
Испанский стыд стартап Variston, разрабатывавший шпионское 🔍 ПО, испытывает проблемы. Часть сотрудников покидает его после того, как Google раскрыла используемые им эксплойты, а сама компания, похоже, закрывает свою деятельность ❌
В сентябре 2021 года международной организации по стандартизации ISO была подписана Лондонская декларация по климату, которая обязывает включать тему изменения климата 🌪 во все стандарты ISO, включая и серию ISO/IEC 270xx. И вот первой жертвой стал основополагающий стандарт ISO/IEC 27001:2022 - к нему принята первая поправка, которая как раз и определяет, что при управлении ИБ надо брать во внимание тему управления климата ☄️
Стандартизаторы ISO считают, что она затрагивает множество разных направлений - управление цепочками поставок 🚛, здоровье и безопасность персонала (вот выйдет аналитик SOC, сидящий на Шпицбергене, пописать на мороз и отморозит 🥶 пальцы), доступность и использование ресурсов и энергии 🔋, непрерывность бизнеса, управление активами и встречи с заказчиками, контрактные обязательства и т.п. Может ИБ это все и затрагивает, но зачем в стандарт-то все это тянуть?
Такими темпами они и толерантность в стандарт ISO/IEC 270xx включат и будут требовать от CISO иметь в своем штате определенное количество представителей меньшинств и определенных рас 👨🏿🦳! Не дело это, смешивать политику и ИБ на уровне международной организации, которая стандарты для 160+ стран разрабатывает.
В четверг в Совете Федерации прошла встреча на тему страхования киберрисков и там страховщики привели интересные цифры 0️⃣ емкости рынка для этого вида услуг.
Хотя 5️⃣0️⃣0️⃣0️⃣ как сумма компенсируемого морального ущерба - это не то, что хотят пострадавшие. По проведенному мной опросу порядок цифр совсем другой. На выплату в 5000 💸 согласно всего 2% опрошенных.
Так что будем посмотреть, продавят в парламенте эту идею или все-таки откажутся?.. 🗑 Если продавят, то страховщики будут всеми правдами и неправдами отказываться от страхования, а если их обяжут это делать, то они найдут способы не выплачивать компенсации 🤷♀️. И сделать это будет несложно - достаточно сослаться на то, что за атакой стоят поддерживаемые сопредельным государством хакеры, то есть речь идет о форс-мажоре (такие кейсы уже были в страховании зарубежом). И сама идею страхования киберрисков будет похоронена ⚰️ надолго. Может в этом план?
MITRE выпустила новую, пятую версию средства для эмуляции нарушителей CALDERA с кодовым названием Magma. Несмотря на то, что речь идет о мажорном обновлении, многие из них особо незаметны. В частности, в новую версию:
1️⃣ добавили новый графический интерфейс (не все плагины поддерживаются в нем, например, для тестирования АСУ ТП),
2️⃣ внедрили возможность для будущего тестирования базирующихся на ИИ атак (хотя плагин для тестирования атак из MITRE ATLAS уже есть),
3️⃣ добавили инструменты повышения осведомленности оператора CALDERA,
4️⃣ повысили скорость тестирования
5️⃣ повысили контролируемость тестов.
ЗЫ. CALDERA поможет вам ответить на 4 и 5 вопросы из предыдущей заметки.