alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Известная карточная ИБ-игра "Backdoors & Breaches" теперь и в онлайне. Ее физический аналог (я о нем писал в блоге) был разработан для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны карт, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. Теперь ее перенесли и в онлайн, предложив и что-то новое, - теперь там помимо основного варианта игры еще 5 расширений:
🔤Расширение основной игры новыми TTP
🔤Расширение от компании Huntress (там есть интересные новые механизмы защиты)
🔤"Облачное" расширение
🔤Расширение от Red Canary (свой набор карт TTP)
🔤Расширение для промышленной тематики (разработано совместно с Dragos).

Читать полностью…

Пост Лукацкого

Из наших регуляторов только Центробанк публикует дорожные карты по обеспечению ИБ в рамках своей компетенции. Ни ФСТЭК, ни ФСБ, ни Минцифры, ни РКН этим не "балуются", иногда только рассказывая на пресс-конференциях и мероприятиях о своих краткосрочных планах, но не более. Поэтому приходится изучать планы потенциальных противников, например, стратегический план CISA на 2023-2025 годы.

34-страничный план красивый и содержит 19 целей, которые CISA разбила на 4 направления:
🔤Обеспечение защиты и устойчивости национального киберпространства. Тут вам и управление уязвимостями, и внедрение безопасной разработки, и обнаружение угроз, и управление инцидентами.
🔤Снижение рисков и обеспечение устойчивости критической инфраструктуры. Тут больше про анализ рисков, разработку методологий и развитие аналитических возможностей, защиты системы электронных выборов и т.п.
🔤Операционное взаимодействие с партнерами агентства. Тут про обмен информацией, интеграцию, доступ партнеров к продуктам и сервисам CISA и т.п.
🔤Улучшение функций агентства. Тут про повышение культуры внутри агентства, усиление и улучшение всего и вся внутри, оптимизация операций и т.п.

Читать полностью…

Пост Лукацкого

"Сфера" в американском Лас-Вегасе все-таки накрылась. Кто-то подумал, что это наконец-то хакеры, приехавшие на Defcon и BlackHat добились своего, но нет... Все просто. В Лас-Вегасе сегодня дождь. Не такой, как в Москве, когда за час выпало 40% месячной нормы осадков. Но для центра пустыни любой дождь - это аномалия (примерно, как для работников ЖКХ снег зимой). И эту аномалию забыли предусмотреть в "модели угроз" "Сферы", так как вероятность такого события мала. Я много раз был в Вегасе и действительно, дождя там не видел ни разу. И это к разговору о том, надо ли закладываться на события, вероятность которых низка?..

Читать полностью…

Пост Лукацкого

Да, среди стратегий защиты существует и такая - «увеличь стоимость атаки для хакера, делая ее невыгодной для него». Возможно, раньше она и работала, но при нынешних ценах на разработку вредоносов, организацию DDoS-атак, готовые фишинговые киты и др., говорить об этом уже не приходится 🤷

Читать полностью…

Пост Лукацкого

Вот сейчас неожиданно было. Более 50% своего годового бюджета CISO тратят на решению по управлению идентификацией и аутентификацией…

Читать полностью…

Пост Лукацкого

Только читая такие сообщения, начинаешь задумываться о том, а как получить доступ к ноутбуку/компьютеру/смартфону умерших близких 🪦 и готовы ли мы к такому сценарию? ⚰️

Читать полностью…

Пост Лукацкого

Между делом Cyentia Institute выпустил уже девятое исследование на тему приоритезации устранения уязвимостей и, в целом, по сложным вопросам управления уязвимостями.

В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).

Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.

Читать полностью…

Пост Лукацкого

FAIR Institute, известный своим стандартом количественной оценки рисков FAIR и разных методик и стандартов на его основе, выпустил новый стандарт - FAIR Materiality Assessment Model (FAIR-MAM), задача которого, в стиле MITRE ATT&CK, описать различные формы потерь/ущерба от инцидентов ИБ (параметр "Loss Magnitude" в стандарте FAIR).💰Все потери делятся на 10 крупных блоков (прерывание бизнеса, мошенничество, ущерб репутации и т.п.), а так как это открытая модель, то она может быть адаптирована под любую организацию, которая еще не дозрела до недопустимых событий, но при этом ее уже не устраивает светофор при оценке рисков и хочется некой количественной оценки.

Читать полностью…

Пост Лукацкого

Почему вендора, делающие вклад в развитие CVSS, сами его не используют, стараясь придумать что-то свое? Таких систем приоритизации уязвимостей сегодня уже под десяток от разных компаний, организаций и регуляторов. И это, конечно, сильно мешает установлению некоего единого языка общения между специалистами. Каждый считает своим долгом обругать CVSS (хотя там и правда есть свои косяки) и предложить что-то свое на его базе, а то и вообще отдельное.

Читать полностью…

Пост Лукацкого

Достаточно частая практика - нанимать на L1 в SOC джунов и иногда даже «без опыта работы» 👦🏼. Но вот можно ли брать на первую линию тех, кто не способен отличить изощренную атаку от фолса и скорее всего закроет тикет, так в нем не разобравшись и не эскалировав выше, опасаясь «насмешек» от старших товарищей с L2? 👶

ЗЫ. Кстати, во внутреннем SOC Cisco в какой-то момент времени отказались от вертикальной иерархии L1-L3, используя совсем иное "деление".

Читать полностью…

Пост Лукацкого

У одной американской ассоциации, объединяющей энергетиков 🪫 (нет, это не NERC), есть интересная схема эскалации инцидентов в зависимости от их критичности. Интересно, что тут взаимоувязаны инциденты уровня компании, штата/отрасли и всей страны. И очень хорошо показано, что не надо обо всем сообщать сразу в ФБР или Нацгвардию; иногда достаточно просто сообщить на уровень своего локального МЧС (да, там МЧС еще и в вопросы ИБ вовлечено). Ну и, конечно, нашлось место и отраслевым CERTам (в США они называются ISAC, Information Sharing & Analysis Center) ⚡️

Читать полностью…

Пост Лукацкого

В этом списке еще и 10-й инцидент, который мог бы привести к недопустимым событиям, должен был появиться. Но у Telegram есть ограничение на количество карточек в одной заметке...

Читать полностью…

Пост Лукацкого

Интересный портал https://dfiq.org/. Является базой знаний по расследованию инцидентов. Активно пополняется. На первой картинке интересный и живой пример - сотрудник компании подозревается в краже конфиденциальной информации. Какие признаки того, что сотрудник может скрывать свою деятельность? А какие индикаторы говорят о том, что утечка может произойти в будущем? Среди других рассматриваемых кейсов - подозрительные DNS-запросы, расширение плацдарма в инфраструктуре (Lateral Movement), компрометация облачной среды, сотрудник использует конфиденциальные данные совего бывшего работодателя на новом месте (ну какой же это инцидент - типичная история 😂), скрытие активности на скомпрометированном узле...

Читать полностью…

Пост Лукацкого

Вчера я написал про компрометацию устройств Fortinet (а их в стране только смотрящих в Интернет сейчас около двух тысяч), а сегодня решил чуть раскрыть мысль о том, что средства ИБ тоже надо защищать, как и сетевое оборудование, на которое поставить EDR нельзя, как и вокруг выстроить стены тоже, что делает такие устройства хорошей мишенью для хакеров, долго остающихся незамеченными для специалистов по ИБ.

Читать полностью…

Пост Лукацкого

Если бы не последний пункт, то можно было бы подумать, что идет обычный набор в ИБ-компанию. Но нет... В группировку, которая атакует государственные и прогосударственные структуры...

Читать полностью…

Пост Лукацкого

Когда все достали, психанул и решил сделать надежный пароль к беспроводке ;-)

Читать полностью…

Пост Лукацкого

WAF Testing Dataset

Всем привет!

Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.

При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.

Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).

Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.

А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.

Читать полностью…

Пост Лукацкого

Много лет назад уже был инцидент с вмешательством хакеров в работу канала коммуникаций "Земля - МКС", но деталей, как и по многим инцидентам середины-конца 90-х осталось маловато. И вот новая история. Я не очень верю в то, что проукраинская группировка смогла это сделать, хотя, если посмотреть на новости даже только у меня в канале, кейсы про атаки на спутники упоминаются на протяжении последних пяти лет 🛰

Из свежего, американцы проводили конкурс по взлому на последней Defcon, а Positive Technologies и RUVDS проводили аналогичный CTF в России. Американцы при этом еще и нормативку хотят выпустить по защите спутниковых группировок и систем от хакеров. То есть тема вполне себе живая. Но вот в контексте "Луны-25" 🌒 я что-то больше верю в "явную лажу", чем в "тайную ложу". Хотя свалить все на проукраинских хакеров?.. Что может быть лучше в текущих условиях...

ЗЫ. А с другой стороны, атаки спутников за последние полтора года происходят сплошь и рядом. То пророссийские группировки выведут из строя вещание в Украине или европейских странах, то проукраинские группы начнут по российскому ТВ гнать фейковые сообщения об экстренной и всеобщей мобилизации. Так что фиг знает... 📡

ЗЗЫ. Ну а насчет внесения изменений в координаты и сход с орбиты, достаточно вспомнить историю с первым стартом французской Ariane 5 4-го июня 1996 года.

Читать полностью…

Пост Лукацкого

Авторы вредоноса анонсируют конкурс по взлому своего детища, чтобы продемонстрировать качество своего ПО и найти слабые места в нем, если есть. Вознаграждение вполне себе на уровне и даже выше многих Bug Bounty программ.

Вендора по ИБ, ау! А почему вы не объявляете вознаграждение за легальный взлом ваших продуктов? Где ответственность за результат?

Читать полностью…

Пост Лукацкого

Забытая тема… COVID-19… 🦠 Немало человек пишут, что либо заразились на DEFCON и BlackHat, либо уже там были зараженными и могли заразить кого-нибудь 🤒 Предлагают всем контактерам пройти тестирование… Ответственные люди! 🤒

ЗЫ. Судя по опросу, DEFCON/BlackHat собрали неплохой урожай заразившихся… 😷

Читать полностью…

Пост Лукацкого

Вроде как сегодня группировка Cl0p должна выложить данные, украденные у двух ИБ-компаний - NortonLifeLock и Netscout. Последняя до сих не подтвердила свой взлом, что объяснимо, - иметь в своем портфолио решение класса NDR и не задетектить шифровальщика?.. Все-таки попадание ransomware, взаимодействие с внешними C2 и, самое главное, расширение плацдарма и распространение по внутренней инфраструктуре - это один из типовых сценариев для NDR. Либо они сапожник без сапог и не используют у себя свои продукты?

ЗЫ. NetScout также владеет и Arbor...

Читать полностью…

Пост Лукацкого

А потом, из FAIR-MAM могут получаться вот такие отчеты с финансовой оценкой ущерба

Читать полностью…

Пост Лукацкого

Мне кажется пора уже переставать называть отечественные продукты NGFW. Есть же требования ФСТЭК к многофункциональным межсетевым экранам уровня сети, то есть МФМСЭУС! Долой наследие Гартнера! Даешь русский язык в российскую ИБ!!! "Российский МФМСЭУС" - это звучит гордо!

Читать полностью…

Пост Лукацкого

Тот случай, когда джун в L1 SOC 🚼 прекрасно умеет разбирать вполне конкретные кейсы, укладываясь во все возможные метрики оценки эффективности, но не способен выйти за их рамки 🥅

Читать полностью…

Пост Лукацкого

У АНБ блокнотики красивые, а у НКЦКИ удобные. Не знаю, что выбрать 🤷 Хотя с первыми на встречах стремно появляться в наше непростое время. Не так поймут; настучат, объясняйся потом.

Может вообще розыгрыш в канале устроить? Иностранные блокнотики и в лучшие-то годы было сложно достать, а уж в нынешнее-то время и подавно. Раритет почти.

ЗЫ. Надо только повод придумать 🤔 Может в ноябре, на 71-ю годовщину с основания американской спецслужбы?..

Читать полностью…

Пост Лукацкого

Иногда смотришь на вакансии в АНБ и диву даешься… Вот и сейчас, криогенного инженера ищут. Но не для замораживания людей, а для постройки системы охлаждения высокопроизводительных систем 😮 Нашего «Кузнечика» 🦗 сломать хотят?!..

Читать полностью…

Пост Лукацкого

🤔 «Когда ученый видит нечто, что кажется ему техническим открытием, он хватается за это „нечто“, осуществляет его и только потом задает вопрос, какое применение найдет открытие, — потом, когда само открытие уже сделано», — говорил Роберт Оппенгеймер, один из создателей атомной бомбы и главный герой второй по популярности кинопремьеры этого лета.

Он же был одним из первых ученых, которые настаивали на особом контроле и обеспечении защищенности обиталищ мирного атома: электростанций, рудников и заводов по обогащению радиоактивных материалов. Многие считают, что они изолированы от внешнего мира и максимально прикрыты от большинства угроз. А причиной аварии может стать скорее природный катаклизм, как было 12 лет назад с атомной электростанцией Фукусима в Японии, чем киберугроза. Однако это не так.

👀 В нашей подборке вы найдете несколько примеров инцидентов, которые могли бы быть признаны недопустимыми событиями. Все они случались в реальной жизни. И да, мы не будем ничего писать про Stuxnet (ну почти).

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Тут коллеги из МТС RED дали рекомендации, как выбирать надежные и безопасные пароли, в том числе при регистрации или доступе к сервисам МТС. А я же человек послушный; раз эксперты советуют, "надо брать". Но нет, попытка применить эти советы на одном из сервисов МТС дала сбой - в качестве пароля принимаются только буквы и цифры и никаких спецсимволов. Более того, присылаемые одноразовые пароли вообще регистронезависимые. Тебе присылают какой нибудь "08C0D8", ты вводишь "08c0d8" и все работает. И как после этого верить экспертам 🤷

Читать полностью…

Пост Лукацкого

Есть хакерские группировки, кто прям связывает себя с конкретным государством или властями, а есть те, кто всеми силами опровергает свою аффилированность. Вот SiegedSec пишут, что они не пророссийские, они сами по себе

Читать полностью…

Пост Лукацкого

Прекрасно понимаю, почему некоторые компании продолжают использовать иностранные средства ИБ и сетевое оборудование (аналогов пока нет). Но тогда надо хотя бы процесс Threat Intelligence нормальный выстраивать, отслеживать появление эксплоитов и зеродеев для используемого оборудования и оперативно искать патч или использовать иные меры нейтрализации. А иначе в чем смысл использования дырявого Фортинета, создающего иллюзию безопасности?

ФСТЭК в своих рекомендациях по управлению уязвимостями писала про этот момент, но, мне кажется, тут надо идти дальше. Используешь официально необновляемую железку, покажи выстроенный процесс TI, а регулятор должен провести киберучения и убедиться, что процесс работает и не на бумаге 👋 А то рекомендация есть, а вот реализуют ее или нет, хрен поймешь. Тут бы идея ФСБ/Минцифры с анализом защищенности периметра помогла, но будут ли они делиться инфой с ФСТЭК, которая в итоге и отвечает за защиту (хотя бы ГИС. И КИИ)?

А иначе все разговоры об технологическом суверенитете, как мертвому припарка. Все понимают, почему используются иностранные NGFW или сетевые устройства. Все понимают, что вокруг одно УГ (это интернет-мем, если что). Все понимают, что российские вендора активно пилят (продукты, а не то, что некоторые подумали). Но пока не допилили надо на компенсационных процессах фокусироваться 🧘 а не глаза 👀 закрывать на проблему.

ЗЫ. А китайцы продолжают ломать инфраструктуры..,

Читать полностью…
Подписаться на канал