alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Когда вы отсечете все "мелкие" риски, последствия от реализации которых не являются катастрофичными для совета директоров/бизнеса, у вас и останется всего с пяток серьезных проблем, которые и называются нонче недопустимыми событиями 😊 Отличия от рисков два - озвучиваются они сверху (советом директоров / бизнесом) и нет сложных формул расчета ущерба и вероятности.

Так в рисках же часто и не считает никто по сложным формулам, ограничиваясь "светофором" 🚦, скажете вы. Да, это популярнейшая история подмены понятий. Не можем/не хотим считать, упрощаем до "светофора". Но в этом случае теряется весь смысл, так как трактовка понятий "высокий", "средний" и "низкий" 🕯 у тех, кто считает, и у тех, кому представляют результаты, могут быть совершенно разные. Когда топ-менеджер сам определяет катастрофичность последствий - это совсем не то, когда это делает человек "на зарплате", не несущий никакой ответственности за бизнес-показатели.

Поэтому термин "недопустимые события" имеет право на существование именно потому, что он не имеет ненужного флёра. Если в организации ключевые риски выбирают топы и этих рисков немного, а последствия от них очень серьезные, то можно использовать и термин "риски". Почему нет? Главное, соблюсти эти условия.

Читать полностью…

Пост Лукацкого

Минцифры планомерно расширяет scope своих систем, которые планирует выводить на bug bounty. Вкупе с методикой оценки руководителей по цифровой трансформации, которая включает в себя пункт по выводу государственных информационных систем федеральных органов исполнительной власти, у регулятора вполне серьезные планы расширить требования ФСТЭК по анализу защищенности переведя их на непрерывные рельсы. Сначала от организаций требовали устранять уязвимости, потом проводить регулярные пентесты, потом ежегодные киберучения (это уже по линии НКЦКИ), теперь и вовсе требуют непрерывной оценки через механизм Bug Bounty.

Не всем это нравится по понятным причинам. Тут уже не отмазаться аттестатом соответствия - надо реально выстраивать процесс анализа защищенности и устранения выявленных багов. Не все имеют на это ресурсы. Не у всех есть квалификация. Да и с точки зрения платформ bug bounty есть свои нюансы - не хватает хакеров, не всегда понятна юридическая составляющая процесса (вчера на Positive Security Day, на финальной сессии, даже был вопрос из зала про это). Ллиха беда начало. Ломать сложившуюся годами практику непросто (это как ломать плохо сросшиеся кости - больно, но никуда не деться, если потом хочется быть здоровым). Но и жить по старому уже нельзя. Судя по поляризации мира и росту числа геополитичексих конфликтов, которые сопровождаются конфликтами и в киберпространстве, спокойная жизнь нам теперь будет только сниться. А раз так, то и готовиться к ней надо иначе.

Читать полностью…

Пост Лукацкого

История с разработкой единого перечня защитных мер (с единым именованием, и единой нумерацией) существует не первый год. Более того скажу, что эта идея обсуждалась после выхода 31-го приказа (2014-го года), так как уже тогда появилась некоторая путаница с некоторыми из мер защиты. Так что выпуск единого перечня сильно помогло бы всем, да и регулятору было бы проще вносить правки в один документ, а не в пять приказов (17/21/31v2014/31v2017/239).

А вот документ про компенсирующие меры, как мне кажется был бы лишним. По крайней мере, я не очень понимаю, что там можно написать на целый документ. Указывать, какие компенсирующие меры можно применять, а какие нет? Ну тогда это просто расширение перечня защитных мер и не более. В том и смысл компенсирующих мер, что они не регулятором навязываются и определяются.

Идея с указанием в реестре сертифицированных СрЗИ реализуемых защитных мер тоже, на мой взгляд, скорее навредит, чем поможет. Если бы у нас ФСТЭК выпускал свой требования оперативно, а не годами тянул даже с обещанными РД, а продукты выполняли на 100% требования РД и ничего более, то тогда это и имело бы смысл. Но у нас не выполняется оба условия - многих, ранее озвученных, готовящихся документов нет до сих пор, а сами решения реализуют гораздо больший функционал, чем это прописано в РД. И в чем тогда смысл? Заказчик все равно будет смотреть на описание продукта, а не новую колонку в реестре ФСТЭК. А потом будет пилотировать решения, а не доверять опять же указаниям ФСТЭК о реализуемости той или иной меры.

Читать полностью…

Пост Лукацкого

У коллег в канале отрасль ИБ в лицах в стиле анимэ. Максимов, Касперский, Сачков, Наумова, Касперская и я 😊

Читать полностью…

Пост Лукацкого

MGM сообщает, что в финансовой отчетности третьего квартала они отразят потери от инцидента с шифровальщиком в сумме около 100 миллионов долларов. Все, как и предполагалось, - пару недель простоя с 8-мью миллионами долларов потерь ежедневно. Казино Caesars, с аналогичным инцидентом, отделался 15-тью миллионами выплаченного выкупа 🤑.

Вот и думай, что лучше, - следовать традиционным ИБшным рекомендациям и не платить или заплатить и "спать спокойно". В очередной раз демонстрируется, что ИБ и бизнес думают немного по-разному 🤔

Читать полностью…

Пост Лукацкого

АНБ и CISA выпустили документ, описывающий Топ 10 типичных ошибок в конфигурации инфраструктуры, с которыми постоянно сталкиваются "красные" и "синие" команды двух американских спецслужб (с привязкой к техникам MITRE ATT&CK):
🔤 Настройки "по умолчанию" для ПО (пароли, конфиги и права для сервисов, незащищенные протоколы и т.п.)
🔤 Неэффективное разделение пользовательских и административных прав (ненужные админские права, использование сервисных учеток)
🔤 Неэффективный (или отсутствующий) внутренний мониторинг сети
🔤 Нехватка сетевой сегментации
🔤 Слабый патч-менеджмент (нерегулярность, неподдерживаемые ОС и ПО)
🔤 Обход системного контроля доступа (pass-the-hash, Kerberoasting, например)
🔤 Слабая или ненастроенная MFA (отсутствие защиты от подмены SIM, MFA bombing, атаки на ОКС7, голосовой фишинг и т.п.)
🔤 Неэффективные списки контроля доступа на сетевых шарах и сервисах
🔤 Слабая гигиена с учетными записями (легко угадываемые пароли и пароли в открытом виде)
🔤🔤 Неограниченное исполнение кода.

Там же в 40-страничном документе даны и рекомендации по защите и нейтрализации данных ошибок.

Читать полностью…

Пост Лукацкого

Как обещал, пощелкал немного в Кибердоме 🏡, на новой площадке для ИБшников, где построили свой киберполигон, на котором, среди прочего, даже космическая станция есть.

Читать полностью…

Пост Лукацкого

Израильтяне советуют всем быть бдительными и готовыми к кибератакам. При этом некоторые хакерские группировки призывают присоединиться к ним для атак на киберпространство Израиль 🇮🇱.

ЗЫ. Интересный факт. У израильтян есть приложение Цофар, которое предупреждает о ракетных ударах по Израилю. Так вот ортодоксальным евреям, соблюдающим Шаббат, по субботам запрещено пользоваться телефоном и Интернетом и многие из них вовремя просто не узнали о нападении ХАМАС. К чему это я? К тому, что процессы ИБ должны учитывать религиозные аспекты 🛐 того региона, в котором они реализуются.

Читать полностью…

Пост Лукацкого

Осень… Птицы улетают на юг, а депутаты и сенаторы готовят кучу 💩 законодательных инициатив в области ИБ (персданные, VPN, аутентификация, биометрия…). И попытка понять, зачем они это делают и что они вообще имеют ввиду, похожа на диалог с обкуренным наркоманом 😵‍💫

А самое главное, что с ними бессмысленно обсуждать что-то. У них либо разнарядка сверху, либо собственная инициатива, что еще хуже. Все объяснения приводят только к тому, что они переписывают законопроект так, как они поняли (а поняли они неправильно) и ситуация становится еще драматичнее.

Читать полностью…

Пост Лукацкого

Интересная история. Некие хакеры взломали популярный сервис анализа генетической информации 23andMe и утверждают, что утянули очень чувствительные данные 7 миллионов пользователей. Там не только фото и идентификационные данные, но и сведения о здоровье, геноме человека, маркерах возможной родословной и т.п., то есть то, что у нас бы назвали спецкатегорией ПДн. Компания 23andMe до сих пор не подтвердила инцидент, а виновник утечки обижается, что этому инциденту уделяется так мало внимания. Более того, он обещает выложить все данные в Интернет, если компания не признает случившийся инцидент. А пока одни не признаются, а другие требуют к себе внимания, акции компании упали на 15% 📉

Если честно, это очень хорошая иллюстрация к истории про недопустимые события. По большому счету насрать, был реальный взлом или кто-то надергал данных за счет веб-скраппинга (ага, 7 миллионов записей о состоянии здоровья), бизнес пострадал и пострадал значительно (падение на 15% - это прям много). ИБшники могут валить все на ИТ, мол, это они порты не прикрыли и допустили скраппинг. ИТ может валить все на ИБ, мол, это они нормально не умеют в обнаружение и реагирования. Но факт есть факт - произошло то, что волнует именно бизнес и то, что не должно было быть допущено. Недопустимым событием тут является - падение курса акций более 15% (ну или 10% - у всех свои пороговые значения). Произошло оно из-за косяков в ИТ-инфраструктуре. Предотвратить его можно было путем харденинга (ИТ-епархия) или за счет оперативного мониторинга и реагирования (зона внимания ИБ). А признают это инцидентом или нет, вопрос уже десятый...

Читать полностью…

Пост Лукацкого

Если у вас на домашнем Wi-Fi нельзя включить многофакторную аутентификацию, то хотя бы пароль сделайте подлиннее!

Читать полностью…

Пост Лукацкого

Выступал сегодня на GIS DAYS с темой про искусственный интеллект в ИБ. Часть слайдов 🤘, а я три вывода с выступления повторю тут:
🔤Не может компания, выпускающая средства защиты от угроз, не иметь своего центра исследований угроз, своих хакеров и своего круглосуточного SOC. Если у нее этого нет, то как она может вообще что-то знать об угрозах? Побирается по рынку и тырит чужие сигнатуры (есть у нас такие)? Или как школьники в подворотне обсуждают с умным видом секс, не разу его не попробовав?
🔤Нельзя сегодня заниматься искусственным интеллектом в ИБ (в контексте борьбы с угрозами), не имея актуального, релевантного и постоянно обновляемого датасета с хакерскими техниками. И получить его можно только либо имея доступ к большому объему трафика (поэтому у провайдеров есть фора в этом вопросе), либо имея киберполигон, либо постоянно гоняя своих белых хакеров в хвост и в гриву, чтобы они прокачивали свои скиллы, а вы собирали данные об их действиях. Ну или надо быть Сбером, чтобы тебя постоянно пытались похекать.
🔤Нельзя заниматься искусственным интеллектом в ИБ, если у вас нет специалистов (отдела), которые выделенно занимаются этим вопросом. Купить чужую экспертизу, не разбираясь в ней, не поможет.

Читать полностью…

Пост Лукацкого

На фоне вчерашнего распространения депутатами комитета по информационной политике новостей о том, что бизнес должен перенимать методы ИБ госорганов, которые защищены лучше коммерсантов 🤔, фрагменты слитой переписки руководителя ИБ одного из крупнейших госов, выглядят особенно пикантно. Вот почему ИБ в госах лучше - просто святой воды жалеть не надо 🛐

Читать полностью…

Пост Лукацкого

А мне никто не пишет и не звонит 😭 И ведь даже не полковник.

Читать полностью…

Пост Лукацкого

Поздравлю сам себя с днем учителя 👨‍🏫 Тем более и картинка у Руста подходящая оказалась. Я думал, это у блогеров такая отмазка только, а оказывается у учителей тоже 🫥

Ну и чтобы дважды не вставать и заставить себя довести до завершения задачу - обязуюсь в понедельник выложить в онлайн-школе «Вышибала» новый курс по визуализации ИБ. Два года уже как записан, а выложить на платформу не доходят руки 💪

Читать полностью…

Пост Лукацкого

В японском городе Киото начал свою работу XVIII Форум ООН по управлению Интернетом (IGF-2023). Я понимаю, что ООН всегда была за все хорошее против всего плохого, но последние годы она вообще оторвана от реалий и от жизни, не имея реальной силы на какие-либо серьезные изменения в геополитике. И проходящий IGF, как мне кажется, лишний раз это демонстрирует. Во-первых, среди семи треков программы один посвящен фрагментации Интернет, что уже маловероятно повернуть вспять. Опыт России, Китая и других стран с авторитарным руководством показывает, что балканизация Интернета не только возможна, но и вполне себе реализуется. И по мере расширения очагов напряженности в мире, число Интернет-анклавов тоже будет расти, совпадая с технологическими блоками (США, Китай, Индия, Россия, Европа и их сателлиты).

Во-вторых, на IGF ода из сессий посвящена вопросу регулирования Darknet. Регулирование! Даркнета! Ну это все равно, что регулировать развитие ИИ и грозить пальцем хакерам, чтобы они не использовать ИИ во вредоносных целях. Но на грозящий палец всегда находится палец другой, не грозящий, а торчащий. И тоже самое с Darknet. Ну какое там может быть регулирование? Смешно.

Наконец, Россия предлагает в 2025-м году провести в России 20-й, юбилейный IGF (не путать с RIGF). И, как мне кажется, надо быть совсем оптимистом в розовых очках, чтобы надеяться на то, что ООН согласится на эту авантюру и что к нам вообще кто-нибудь приедет. Это ООН может заявлять об одинаковых возможностях Интернета для всех (а это главная тема форума) и равенстве всех народов, но мы-то понимаем, что абсолютное большинство стран будет бойкотировать поездки в Россию.

В общем, ООН надо быть ближе к Земле и заниматься чем-то более полезным, а не популистскими темами...

Читать полностью…

Пост Лукацкого

📖 Единый классификатор мер защиты информации

ФСТЭК России подтверждает, что осуществляет работы по разработке единого классификатора мер защиты, призванного объединить и гармонизировать одновременно схожие и отличающиеся меры защиты (безопасности) из 4-ки своих приказов 17, 21, 31 и 239.
Кроме того, регулятор разрабатывает методический документ по реализации компенсирующих мер, если та или иная мера защиты, указанная в соответствующих требованиях по защите информации, не применима.
Также стоит ожидать, что в реестре сертифицированных СрЗИ может появится указание на то, какая мера защиты информации реализуется выбранным СрЗИ.

⭐️ Спасибо подписчику за информацию.

Читать полностью…

Пост Лукацкого

Новый метод аутентификации - LIPA (Lip Authentication) 👄

Читать полностью…

Пост Лукацкого

АНБ и CISA выпустили очередное руководство по идентификации и аутентификации, опираясь на сложности, с которыми сталкиваются разработчики и вендора. И это спустя полгода после выпуска руководства по управлению IAM для админов.

Читать полностью…

Пост Лукацкого

Positive Security Day начинается! Запасайтесь попкорном на весь день 🍿

Смотреть конференцию онлайн можно на нашем сайте.

@Positive_Technologies
#PositiveSecurityDay

Читать полностью…

Пост Лукацкого

Мы перестали заглядывать в окна… киберполигонов (с)

Я вот заглянул. Проработка макета конечно поражает. Я надолго залип на рассматривании мелких деталей - бутылки у девушки в руках, котика на кровати, кошачьего концерта гитариста, центра управления полетами, биржи и т.п. И ведь многие из объектов активно действующие. Например, на дашбордах ЦУПа меняются картинки, на плазме концертной площадки отображаются психоделические картинки, а на бирже меняются курсы акций и криптовалют... И все это, похоже, можно взломать и можно защитить...

Читать полностью…

Пост Лукацкого

Израильский независимый системный оператор Noga, возможно, взломан. Группировка Cyber Avengers пишет об этом, приводя соответствующие скриншоты из АСУ ТП. Правда это или нет, и по какой причине нет света, в текущих условиях не поймешь. Может взлом, а может и удар ракеты 🚀

Читать полностью…

Пост Лукацкого

Тут на всяких ресурсах хакерский журнальчик распространяют. И там самая большая статья, аж на 40 страниц, про отключение Касперского AV/EDR. С одной стороны это признание, а с другой - повод задаться вопросом, а как вы проверяете, что установленные у вас средства защиты, особенно хостовые, продолжают работать и мониторить вредоносную активность? И есть ли у вас процедура оперативного возвращения средств защиты в исходное состояние? Одно дело когда антивирус просто не видит современных вредоносов и совсем другое, когда его выносят с компа на 1-2-3.

ЗЫ. Ну а распространение через центр управления антивирусом вредоносов - это вообще нехорошо. То есть покупая средство защиты не забудьте убедиться не только в том, что оно защищает вас, но и что оно само защищено.

Читать полностью…

Пост Лукацкого

И второй важный момент про инцидент с 23andMe. На днях я читал курс по реагированию на инциденты для одной весомой финансовой организации. И среди прочего зашел разговор о том, как работать с публичным пространством, если происходит недопустимое событие или инцидент ИБ. И мнения в группе предсказуемо разделились, но большинство все-таки было за то, чтобы не выносить сор из избы (классическое ИБшное мышление; сам таким был). А вот эта история показывает, что пока мы думаем, скрывать или раскрывать, как общаться со СМИ и инвесторами, как доносить с пользой для себя (а это можно), наступает серьезный ущерб бизнесу.

Тут на портале результативной кибербезопасности как раз на неделе (это действительно совпадение) выложили статью "Как общаться с внешним миром, если вас взломали". Там даны базовые рекомендации (думаю, скоро там появятся и более расширенное руководство, с шаблонами, примерами и т.п.) по тому, как себя вести в схожих случаях. И всегда помните правило 4-х часов - "если за 4 часа вы не успели среагировать на инцидент в публичном поле и взять ситуацию под контроль, то вы упустили момент, дальше ситуация будет развиваться неуправляемо и взять ее под контроль обойдется гораздо дороже".

Читать полностью…

Пост Лукацкого

Когда 166-й Указ настигает даже физлиц. Какого рожна, спрашивается, меня должен касаться 166-й Указ? А вот поди ж ты…

Читать полностью…

Пост Лукацкого

В Москве появилась новая площадка для проведения ИБшных мероприятий - «Кибердом». Вот так выглядит один из входов. Прям взрывает мозг 🤯 Но и другие места этой площадки тоже заслуживают внимания. Если не прощелкаю, то нащелкаю еще чего-нибудь

Читать полностью…

Пост Лукацкого

Смотрите, что у меня есть 😊 Сейчас за прохождение таких курсов можно и по статье загреметь.

ЗЫ. А вообще это фейк - взял на страничке одной мадам и просто поменял там имя. Даже не знаю, стоит ли такие сертификаты выкладывать в Интернет. А то ведь взял, затер имя, написал свое и вуаля, теперь ты обучался в Центре компетенций НАТО по кибербезопасности. Хотя если кому-то надо пыль в глаза пустить, то вполне себе тема. Проверить-то все равно невозможно.

Читать полностью…

Пост Лукацкого

📨 Сегодня несколько наших сотрудников получили сообщения в Telegram — якобы от нашего коллеги, эксперта по кибербезопасности.

Начинается все со звонка для привлечения внимания, переходящего в диалог, в котором собеседник просит перевести деньги на карту или криптокошелек.

Наши сотрудники хорошо осведомлены о базовых принципах кибербезопасности и сразу поняли, что по ту сторону экрана — мошенник. И решили воспользоваться моментом, чтобы немного пошутить над ним.

Как пишут коллеги из ISACA, наш случай не единственный. Злоумышленники массово распространяют такие фишинговые сообщения и выдают себя за известных экспертов в области ИБ.

💬 На что стоит обратить внимание, если вы получили такое сообщение?

‎ Главное: если человек уже есть в ваших контактах, то вверху диалога не должно быть кнопок «Добавить в контакты» и «Заблокировать».

Проверяйте написание ника и номера телефона. Если номера у аккаунта нет, но вы точно уверены, что пользователь есть в ваших контактах, — это еще один повод насторожиться.

Позвоните реальному человеку по номеру телефона, который вам известен, и предупредите его.

Заблокируйте аккаунт мошенника.

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Хакеры не щадят никого - даже рукодельниц 🪡 Спектр жертв поражает - от фанатов квиллинга, валяния и декупажа до «Красного креста».
Ничего святого у людей 😈

ЗЫ. Хорошо, что недоступные вчера сервисы ГИБДД и сервера Xiaomi на хакеров не повесили 🤷

Читать полностью…

Пост Лукацкого

Ну вот и трейлер этого самого сериала 🤕 Не знаю, насколько он про хакеров 🔓 Судя по ролику скорее комедия с элементами ИТ на хайповую тему. Но посмотрим, когда выпустят. Может и родят что-то интересное 😂 Хотя там упоминается ИРИ 😱, а они ни в чем-то полезном замечены пока не были 🛡

Читать полностью…
Подписаться на канал