Отзыв сертификата ФСТЭК на антивирус Dr.Web поднял и другую проблему (за что спасибо подписчику, который обратил на это внимание). Согласно перечню контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. №171, у лицензиата должно быть 3 антивируса от разных производителей, но работающих на Windows и Linux.
Так вот, с сентябрьским отзывом сертификата на Dr.Web (и прошлогодним отзывом сертификатов на иностранные антивирусы) у нас в стране не осталось нужного количества сертифицированных решений, чтобы выполнять требования ФСТЭК к лицензиатам. Вот такой пердимонокль случился... Верю, что решение найдется 🥺
Я думаю, что я знаю, как распознать фишинговое письмо (я же, глядь, безопасник). И если мне ИТ скажет, что они сами за меня будут решать, какую почту мне получать, а какую нет (в целях моей кибербезопасности, конечно), то я возбухну и пойду (или не пойду) качать права, что я в ИБ больше, чем им лет и лучше них знаю, что такое фишинг. Хотел написать, что я стоял у истоков, но это как-то странно звучать будет. Мне же не столько лет, чтобы стоять у истоков фишинга ;-)
Но вот рядовым пользователям вбить в голову простую мысль, что если письмо выглядит как фишинг, то это скорее всего фишинг, стоит. Лучше перебдеть, чем потом разгребать последствия. По сути, это яркий пример утиного теста: «Если это выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка.»
Не могу не поделиться. Выступал позавчера на Positive CISO Club про визуализацию ИБ, связь с бизнесом и вот это вот все. После выступления ко мне подходит, внимание, руководитель компании, обеспечивающей кейтеринг и бар в бизнес-центре, где мы проводили мероприятие, и говорит, что после моего выступления он решил к нам обратиться за безопасностью ;-) Одно дело, когда ты рассказываешь на профессиональную аудиторию и совсем другое, когда выступление заходит даже тем, на кого он не было изначально рассчитано 👌
Читать полностью…LockBit хочет ввести минимальную сумму выкупа в размере 3% от годового оборота жертвы с возможной скидкой до 50%.
Мне кажется тут не обошлось без Роскомнадзора ;-) А еще откуда могли взяться 3%? Представьте, что российская компания стала жертвой LockBit и ее ПДн утекли. Она встанет перед выбором - 3% Роскомнадзору за утечку или оператору Lockbit, который еще и скидку может сделать. Выбор очевиден ;-)
ЗЫ. Хорошо, что LockBit по России не работает.
Помните, год назад я писал про российский анимационный фильм «Киберслав», который должен был выйти в 2022-м году? Кинопоиск вчера анонсировал, что они не забили на него 🔩 и все еще надеятся его выпустить в своем стриминге. Но уже в 2024-м году. Но тизер уже есть. Но короче и слабее трейлера. Но мы всё равно ждем 🛠 Пора уже не только русских хакеров, но и русских кибервитязей и киберстрижей на международную арену выводить 🪖
Читать полностью…Неназванные источники утверждают, что какой-то чувак приперся в отель MGM в Лас-Вегасе и потребовал 40 миллионов за восстановление после кибератаки. И это прям странно, так как хакеры в здравом уме такие выкрутасы не проделывают.
Это какими надо обладать умственными способностями, чтобы припереться в казино, где охраны больше чем игроков (шучу, но все равно немало) и потребовать выручку за 2-3 дня работы одного казино и отеля? Или это кто-то недалекий из MGM решил распространить неофициально в СМИ, чтобы показать, что расследование идет по плану? А может просто какой-то идиот так неадекватно решил пошутить? В любом случае хакеры уже опубликовало свое официальное пояснение по сложившейся ситуации...
Продолжает развиваться проект OpenCRE - агрегатор требований по безопасной разработке из различных стандартов и баз (ASVS, SAMM, ISO27XXX, NIST, CWE, CAPEC и другие).
Проект просто пушка 🔥
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐
Странное мероприятие. Я про него услышал первый раз, а на нем ожидается 2000 человек. И это не Москва. А еще участники из 12 стран, что будет покруче ПМЭФ и ВЭФ. Но программы нет, хотя до мероприятия меньше месяца. И только странные организаторы (никого от ИБ) и название НКЦКИИ среди ключевых участников выдавало странность. Хотя на фишинг тоже похоже. В последнее время число атак на специалистов по ИБ выросло; может и это тоже один из вариантов такой атаки? Но вроде нет - сайт чистый и даже симпатичный. В общем, все странно как-то.
Читать полностью…21-22 сентября буду на Сахалине участвовать в конференции Сахалин Security 2023 и, среди прочего, я там провожу штабные киберучения. И если процедура проведения у меня уже отработана и проходит на автомате, то сценарий я каждый раз придумываю заново, опираясь на свежие кейсы и инциденты. А тут вот выпустили интересный инструмент AiCEF для генерации контента для киберучений. Построенный на базе искусственного интеллекта, он подтягивает различные данные Threat Intelligence из публичных источников - группировки, активности, техники и тактики и т.п., и на их основе с помощью GPT строит связанный контент для проведения киберучений.
Читать полностью…Продавцов «Вайлдберриз» начали массово взламывать неизвестные. Хакеры создают сотни фейковых товаров и разоряют предпринимателей многомиллионными штрафами.
В последние недели личные кабинеты продавцов на «Вайлдберриз» атакуют неизвестные мошенники. Причём работают они по очень странной схеме: сперва аккаунт просто взламывают, а затем начинают массово создавать несуществующие позиции дорогих товаров по крайне низким ценам. Так, к примеру, на ВБ то и дело появляются телевизоры, холодильники, телефоны и бассейны по ценам от 50 рублей. В качестве бонуса мошенники, растрачивая бюджеты продавцов, настраивают от их лица рекламу на фейковые вещи.
Итог в таких случаях почти всегда один: увидев небывалую щедрость, пользователи начинают скупать дешёвые товары. У продавцов же набегают сотни заказов на миллионы рублей, которые им приходится срочно отменять, — и за это у ВБ предусмотрен штраф в размере 50% от стоимости позиции. Дальше всё становится хуже: из-за отмен у продавца падает рейтинг, а его личный кабинет блокируют и выставляют штраф. Впрочем, некоторые взломщики действуют иначе: одни напрямую шантажируют продавцов блокировками и требуют выкуп, другие — оставляют во взломанных профилях свои данные, чтобы перенаправить покупателей к себе. @banksta
Официально сообщаю, что я НЕ запускаю никаких подкастов - ни революционных, ни эволюционных, ни прожектерских, ни разговорных, ни молчаливых, ни часовых, ни пятисекундных, ни кружковых, ни квадратно-гнездовых.
Читать полностью…Спустя два года после обнаружения Google Threat Analysis Group северокорейской группировки, которая в качестве своих жертв выбрала специалистов по кибербезу, "птенцы Ким Чен Ына" вновь взялись за свое. Выявлены попытки завязать знакомства с ИБ-исследователями, которым отправляют вредоносы, использующие 0-Day, которые крадут всю информацию с компьютеров жертв. Будьте бдительны!
Читать полностью…Достаточно часто, при проектировании безопасной инфраструктуры, сегмент разработки жестко отделяется от корпоративной среды, так как заставить разработчиков жить по общим правилам проблематично. И ИБ, чтобы не связываться с неуправляемой массой людей, стараются дистанцироваться от них и всего происходящего. Но это является и потенциальной проблемой, так как самоуправство и нежелание соблюдать правила ИБ может привести к различным проблемам, например, внедрению вредоносного кода в разрабатываемые решения, которые потом уходят в прод и попадают внутрь корпоративной среды.
Вот возможный пример такого вектора атаки через популярный инструмент разработки - VSCode, который позволяет пробросить порт наружу через Azure. Вы в своей модели угроз учитываете такой сценарий? Мониторите его? Знаете, как выявить это?
У страха глаза велики 🚲 На iPhone 📲 издателя Медузы нашли шпионское ПО Pegasus. Версий, кто за этим стоит, множество - Россия, Германия, Латвия, Эстония, Казахстан по просьбе России…
Читать полностью…Нельзя было эту историю обойти вниманием 🤼♂️ Раньше конкурсы мемасиков на SOC-мероприятиях проводили. Можно считать это моим вкладом, если такой конкурс есть, или идеей для его возрождения. Почему бы и нет 😃
Читать полностью…На заметку... У российских средств защиты не так часто приостанавливают действие сертификата. И я в очередной раз задаюсь вопросом "И что?" Что делать заказчику, если у средства защиты, им используемого, отозвали сертификат? Хоть какую-то процедуру или разъяснение на сайте регулятора повесили. Я помню месяца три отвечал на вопросы после отзыва сертификатов на зарубежные средства защиты после начала СВО и все мои ответы были "Не знаю, пишите в ФСТЭК".
Главное, чтобы Dr.Web не уехал за границу. А то будет как с Group-IB. Они официально объявили об уходе из страны в апреле 2023 года и уже в мае действие сертификатов на BotTrek TDS и Group-IB Threat Hunting Framework было приостановлено. В реестре ФСТЭК сейчас всего три продукта, у которых приостановлены действия сертификатов, - два от Group-IB и один от Dr.Web.
А пока у нас подвисает вопрос. По требованиям ЦБ в финорганизации должно быть два (а иногда и три) разных средства защиты от вредоноса. А так как ДИБ почему-то считает, что это может быть только антивирус, да еще и сертифицированный, то возникает проблемка; особенно если проверка ЦБ будет осуществляться именно сейчас, когда формально сертификат не действует.
И в России (раньше), и в США есть требования об уведомлении об инцидентах. Но есть два небольших нюанса, которые кардинальным образом отличают наши подходы. В Америке уведомлять надо не о каждом спамерском сообщении или случайной отправке письма, в подписи к которому ПДн указаны, а только о серьезных кейсах. А во-вторых, и это главное, такие кейсы становятся публичными.
Вот, например, уведомление MGM в Комиссию по ценным бумагам. А вот уведомление от казино Caesars. То есть у американцев нет вот этого: "Ничего не утекало и вообще это не у нас". Инцидент - будь добр уведоми, а регулятор будь добр опубликуй его, чтобы граждане понимали, что и как. И в следующий раз руководство компании десять раз подумает, прежде чем решит скрывать инцидент или отправлять восвояси CISO, пришедшего на инвестиционный комитет защищать годовой бюджет своего подразделения.
ЗЫ. Вот если бы у нас было требование публиковать данные об инцидентах на сайте какого-нибудь регулятора, которого все боятся и который бы был непредвзятый. Только где ж у нас такого найти...
Все-таки, погружаясь в изучение языков программирования, не стоит забывать и про родной язык 😔
Читать полностью…Под пехотным киберкомандованием США (ARCYBER) есть отдельная, 780-я разведывательная бригада, отвечающая за кибер-тематику у американской пехоты (у ВВС и моряков есть свои подразделения). В бригаду входит 11- кибербатальон "Левиафан", созданный в прошлом году, который занимается так называемой кибер-электромагнитной активностью (Cyber Electromagnetic Activity, CEMA), а по-русски, кибербезом и радиоэлектронной борьбой. И они на днях меняли свою командиршу, по каковому случаю опубликовали слезливые фотки с церемонии передачи знамени батальона и вот это вот всё.
Но заметка не об этом. Фотографии выложены в 4K и на них прекрасно можно рассмотреть лица всей киберпехоты в хорошем разрешении. И то ли они не боятся, что их можно идентифицировать по лицам, а это дает оперативный простор для маневра, то ли просто не запариваются об этом. А теперь попробуйте вспомнить, видели ли вы когда-нибудь схожие фотографии со сборищ наших кибер-подразделений? У нас это вообще, чуть ли не под гостайну попадает. Как говориться "два мира - два Шапиро".
Вот этот "пресс-релиз" группировки ALPHV по поводу атаки на MGM и о том, как шли переговоры с представителями MGM по поводу выкупа.
Вы же знаете, что и как делать, если вы, вдруг, столкнетесь со схожей ситуацией? У вас есть контакты переговорщиков? А криптовалютный кошелек или понимание процедуры оплаты на него? А просто человек, который уполномочен вести такие переговоры?
А вы знаете, как хакнули MGM в Вегасе? Нашли работника отеля через LinkedIn, позвонили от его имени в HelpDesk и... Дальше пока непонятно, но вроде как сказали, что забыли пароль и попросили помочь вернуть доступ. Бинго… Всего 10 минут общения хакера со службой поддержки и компания с оборотом в десятки миллиардов долларов не устояла. Чем закончится вся история пока непонятно - идет расследование и восстановление. Но MGM, в отличие от Caesars, также столкнувшегося с хакерами, платить скорее всего не будет.
А пока у них идет расследование, задайтесь вопросом - а как вы проверяете подлинность звонящих в Helpdesk сотрудников? У вас есть какое-то секретное слово или вы выдали сотрудникам скретч-карты или вы аутентифицируете их по голосу? Есть у вас соответствующая процедура удаленной аутентификации сотрудников? Что интересно, проблема не нова, - она известна еще с COVID-19, когда многие ушли на удаленку и хакеры также представлялись работниками на дистанционке во время звонков в HelpDesk. 3 года прошло...
ЗЫ. Тем временем в отелях Venetian и Palazzo тоже проблемы с игровыми автоматами - принимают только наличные. Опять хакеры или ИБ решила пойти на опережение и сама все отключила?
Тут на днях зашел разговор о том, что драйвера ИБ бывают разного масштаба. Например, продажа страха, то есть разговор о киберугрозах, универсален для любой страны мира (исключая тему с русскими хакерами). Разговор за compliance обычно ограничивается уже границами одной страны. А вот экономика (подсчет преимуществ ИБ, P&L и т.п.) может отличаться от компании к компании. Кому-то нужно что-то одно, кому-то другое. Кто-то ратует за снижение ущерба, а кому-то подавай операционную эффективность, кто-то требует ускорения сделок и новых каналов продаж (а ИБ там везде вовлечена), а кому-то подавай контроль текучки кадров 📉 Так и с потерями. Для кого-то штраф в 500 миллионов рублей за утечку персданных - это недопустимое событие, а для кого-то выплата 15 миллионов долларов (1,5 миллиарда рублей) вполне себе нормальное явление (чтобы не потерять больше, конечно)💰
Именно 15 миллионов долларов выплатило казино Caesars в Лас-Вегасе 🎢 вымогателям после атаки на казино через их взломанного ИТ-подрядчика. При этом, в отличие от истории с сетью MGM Resorts, которая до сих пор не может оклематься от схожей атаки, казино Caesars 🎰 продолжало функционировать; у него только утекли данные клиентов. Но владельцы казино не захотели, чтобы эти данные стали достоянием гласности и просто отдали за молчание полтора миллиарда рублей. А вот размер финансового ущерба в MGM пока еще не подсчитан, но кажется мне, что сумма там будет поболее 15 миллионов долларов 🔤
Схожий инцидент в схожих организациях, но совершенно разные решения топ-менеджмента и разные последствия ☝️ Поэтому про угрозы и compliance удобно рассказывать - можно даже не вникать в деятельность и процессы компании. А вот с бизнес-риторикой все сложнее...
А у нас с минуты на минуту начинается Positive CISO Club, где я буду выступать на тему визуализации в ИБ 📊 Ну и как всегда подготовил коротенькую 🌡 презентацию слайдов на 1️⃣🔠🔠 и то пришлось сокращать с пары сотен 👉
Читать полностью…😎 Создаем сценарии безопасного завтра уже сегодня. Хотите увидеть?
Присоединяйтесь 9 октября к ежегодной конференции Positive Security Day, которую мы впервые будем транслировать онлайн для всех желающих.
Как будем шагать в безопасное цифровое будущее:
🚩 Расскажем про весь наш продуктовый портфель, включая те продукты, которые еще находятся в разработке.
🚩 Примеры и кейсы — наше все. Покажем, как продукты и решения Positive Technologies помогают строить результативную кибербезопасность.
🚩 Поделимся экспертизой, которая является ключевым элементом нашего лидерства.
🚩 Презентуем новый продукт.
🚩 Побудем футуристами: обсудим новые угрозы, уязвимости, инструменты и знания, которые понадобятся специалистам по кибербезопасности в ближайшем будущем, чтобы успешно противостоять хакерам.
С полной программой конференции можно ознакомиться на нашем сайте.
Регистрируйтесь и отмечайте 9 октября в календаре!
@Positive_Technologies
Хороший кейс, как мне кажется, который заставляет задуматься над тем, где заканчивается граница работы CISO. Если ломают личный кабинет клиента, то кто виноват - клиент или маркетплейс? Но даже если клиент, то должен ли CISO предпринять какие-то усилия по защите тех, благодаря кому маркетплейс зарабатывает деньги? 🤑
Вопрос неоднозначный, кстати, и не имеет очевидного решения. Как по мне (хотя я ненастоящий сварщик), так это зона ответственности ИБ. Все-таки, когда клиенты теряют миллионы рублей из-за инцидентов ИБ, то они начинают меньше доверять платформе 🛒 и могу ее и вовсе покинуть, тем самым нанося ущерб бизнесу, который будет измеряться гораздо большими суммами. Допустимо ли у маркетплейса такое? Так и из списка Форбс можно вылететь 😕
Новые санкции от американцев, под которые попали из сектора ИБ 3 компании - НПО Эшелон, Крафтвэй, Ростелеком Солар. Кто там из ИБ следующий?
ЗЫ. Нейросеть "Кандинский" от Сбера на запрос "американцы блокируют технологии" почему-то сгенерила вот такую картинку. Опять однорукие, уже безногие, да еще и сиамские разнополые близнецы. Что ж у них за датасет-то такой?..
Министерство обороны Франции, вслед за своими американскими и английскими коллегами, решило активно заняться информационными операциями в киберпространстве в отношении России, и открыло соответствующую вакансию руководителя направления. Не очень понятно - операции, которые проводит Россия, или операции против России, а также идет ли речь о дезинформации и пропаганде или и о кибероперациях тоже?
Читать полностью…США и Великобритания ввели санкции против 🔤🔤 членов киберпреступной группировки, стоящей за кампанией Trickbot. Как обычно, американцы обвиняют российские спецслужбы, но я бы обратил внимание на другое - на структуру группировки. Старший администратор, руководитель группы тестировщиков, руководитель группы разработчиков, главный финансист и HR, закупёр, руководитель внутренней поддержки и т.п. Никаких вам одиночек или микро-команд. Все повторяет обычный бизнес, только со знаком минус.
Читать полностью…Gartner составил дорожную карту (да, в виде круга) по технологиям ИБ, которые уже применяются, пилотируются и планируются к применению в корпорациях по всему миру США. Размер окружности означает ценность для предприятия, а цвет - риски для внедрения технологии с точки зрения стоимости внедрения, нехватки персонала для работы с технологией, технологической сложностью и т.п. Почему покинувшая Россию Gartner относит SIEM, МСЭ, WAF, приоритизацию уязвимостей к высокорискованным технологиям, а, например, NAC, EDR, CASB, SCA нет? Странновато.
ЗЫ. Интересно, конечно, посмотреть на эту карту с точки зрения возможностей российского рынка ИБ.
Когда-то у меня было желание попасть на работу в Gartner и заниматься исследованиями и аналитикой по ИБ. Мне казалось это перспективным. Желание прошло, но посматривать за Gartner я продолжаю. И вот тут на днях стало известно, что Gartner приняла решение удалить все блоги своих аналитиков со своего сайта, в том числе и ранее написанные.
А ведь для многих из аналитиков публичность была частью компенсационного пакета, которую Gartner одним росчерком пера уничтожила, сильно сократив возможности аналитиков для самопиара. Помню, когда я уходил из Cisco и рассматривал разные варианты трудоустройства, возможность публично высказывать свое мнение, иногда опасное для работодателя, было одним из моих условий. И про парочку солидных и именитых мест мне прямо сказали, что там придется забыть о том, чтобы говорить от своего лица. Либо просто молчать, либо согласовывать все с PR, который ничего не согласовывает, во избежание так сказать... Так что так себе решение компании, к мнению которой раньше в России прислушивались 🤷
ЗЫ. Если вы внимательно смотрели картинки в канале сегодня, то наверное задавались вопросом, почему нейросеть Кандинского нарисовала в утренней заметке шестипалого голубоглазого чувака, куда делась кисть на заднем плане и почему системный блок левитирует? Где еще одна нога у персонажа на картинке, не спрашивайте. Кандинский от Сбера именно так видит аналитиков безопасности 😊 - инвалидами. А в заметке про SOCtech у аналитика всего одна рука. У Сбера какой-то странный датасет был для обучения - все люди с ограниченными возможностями...