Тут некоторые российские специализированные СМИ выпустили новость под заголовком "Технологии Passkey бессильны перед атаками Adversary-in-the-Middle" 😷 В оригинале заголовки зарубежных СМИ звучали не так безапелляционно - "Passkeys aren’t attack-proof, not until properly implemented", то есть "Технологии Passkey не защищены от атак, пока не будут должным образом внедрены". Согласитесь, немного другие интонации. Исходное же исследование, на которое ссылаются все, звучало и вовсе в иной коннотации - "Securing Passkeys: Thwarting Authentication Method Redaction Attacks" 🤒
Идея исследования очень проста - Passkey, беспарольная технология аутентификации пользователей, несмотря на свою популярность, может быть уязвим для атак “adversary-in-the-middle” (AitM) 🥷 Некорректная реализация Passkey, например, предоставление менее защищенных методов резервной аутентификации, может позволить AitM обойти процесс аутентификации 😲 путем изменения отображаемых пользователю запросов. Используя open source решения для атак AitM, например, Evilginx, можно обмануть пользователей популярных сервисов, таких как GitHub, Microsoft и Google, захватив их токены аутентификации и сессионные cookies 😮
Большинство методов резервной аутентификации, такие как пароли, контрольные вопросы, push-уведомления на доверенные устройства, коды по SMS и email, подвержены атакам AitM 👨💻 Единственным надежным по мнению авторов исследования методом является использование второго Passkey или аппаратного ключа FIDO2, защищенного PIN-кодом 🤒 Использование нескольких Passkey, один из которых является аппаратным ключом, считается наиболее безопасным методом 👍 Для восстановления аккаунта при потере Passkey или аппаратного ключа, наименее уязвимым методом является использование магической ссылки по заранее определенному email или номеру SMS.
Вывод простой - не все так страшно, если думать головой и правильно внедрять Passkey. А если не думать, то создается иллюзия защищенности. И кое-кто про это уже arkenoi/whats-wrong-with-passkeys-advocacy-e3b6806b3277">писал (и это не я).
ЗЫ. Тем временем, Microsoft 📱 планирует запретить своим сотрудникам в Китае пользоваться смартфонами на базе Android 📱
В одном из сервисов пробива появилась база уехавших из страны после февраля 2022 года россиян 🇷🇺 Источник формирования базы, как и ее подлинность неизвестны. Но выборочная проверка журналистами некоторых лиц показывает, что данные об уехавших 🏎 в основном верны.
В базе лиц, которые выехали из страны разными видами транспорта ✈️ ⛴ 🚘 🚶 более чем на два месяца, указаны ФИО, дата рождения, дата выезда из России и название страны, куда уехал гражданин России. В качестве причины отъезда в базе написано "Начало СВО", "Объявление мобилизации" и "Мятеж ЧВК Вагнер" 🎖 Вот именно это у меня и вызывает сомнение в подлинности базы - откуда эта причина взята? Кто в здравом уме на границе скажет правду о причинах отъезда?.. 🤦♂️
Даже если база фейковая (а каналы по утечкам про нее почему-то пока не написали), то ее опасность в том, что на ее основе могут начать выискивать "уехавших" - с разными целями. В свое время по утекшей базе сайта "Свобода Навальному" с работы увольняли людей. Тут может быть схожая неприятная история... 🫵
ЗЫ. Также в этом сервисе появилась база "Оппозиционеры 2022-2024", в котором собраны ФИО, ИНН, СНИЛС, адрес электронной почты, дата рождения, номер телефона и ID человека в Telegram.
Алекс Тейкшейра задался вопросом ❔, можно ли рассматривать Sysmon как альтернативу EDR? И в различных околоSOCовских чатиках эта тема тоже регулярно всплывает. Продвинутые эксперты рассказывают, что они никогда не будут платить EDR-вендорам, так как все тоже самое они могут сделать с помощью условно бесплатного Sysmon'а. Алекс решил расставить все точки над i, предварительно исключив из рассмотрения кейсы домашнего применения, компаний-противников коммерческого ПО 😠, а также истории, где необходимо пост-инцидентный анализ и форензика. По сути, он отвечал на вопрос, хорош ли Sysmon именно для детекта угроз?
И ответ его был отрицательным для 99% случаев. И дело даже не в управлении Sysmon в крупной территориально-распределенной сети, а в поддержке разработки новых детектов на базе получаемой телеметрии. Кто будет их писать? ✍️ Sysmon дает вам огромный объем ценнейшей телеметрии, которую надо уметь правильно обрабатывать. Если у вас есть такие специалисты и вы уверены, что они надолго с вами, тогда Sysmon вполне себе инструмент (если не вспоминать про функцию реагирования) 👨💻 Но если у вас специалистов нет, то надо довериться вендорам, которые уже взяли телеметрию, проанализировали ее, написали детекты и оснастили ими свои EDR-решения, сделав эту работу за вас.
Да, детекты в EDR - это черный ящик для большинства продуктов. Вы не можете увидеть ни список детектов, ни логику/код, скрывающиеся за ними. Но тут все зависит от выстроенного у вас процесса Detection Engineering 🎮 и как вы тестируете возможности по обнаружению угроз в вашей инфраструктуре. Как и любой продукт класса xDR, он не работает в парадигме "поставил и забыл" (это, пожалуй, единственное преимущество, которое есть у антивирусов), - с ним надо постоянно работать 👀 Писать кастомные детекты, разбирать телеметрию, реагировать, отрабатывать фолсы... Просто у Sysmon надо делать все тоже самое, только в разы больше.
От себя добавлю, что все тоже самое применимо не только к "Sysmon vs EDR", но и к любым другим схожим баталиям - "Wireshark vs IDS/NTA", "Log Management vs SIEM", "NBAR2 vs NGFW" и т.п.
Казахстан 🇰🇿 планирует оценивать уровень кибербезопасности в стране, для чего МЦРИАП (местное Минцифры) подготовило проект приказа "Об утверждении форм, предназначенных для сбора административных данных в области информационной безопасности" 📐 Вся ИБ Казахстана будет оцениваться по трем ключевым показателям:
🔤 Уровень осведомленности населения по вопросам кибергигиены 📈 Как этот параметр будут измерять не определено. Как-то ✌️ И раз в год.
🔤 Доля государственных информационных систем, подключенных к сервису контроля доступа к персональным данным
🔤 Уровень защищенности объектов информатизации электронного правительства, который ежегодно определяется по наличию протокола испытаний на соответствие требованиям ИБ, наличию договора с организацией - центром ОЦИБ (аналог Центра ГосСОПКИ) 🤔
И ни слова про число инцидентов, время простоя государственных ИС и объектов КИИ, число утечек ПДн 📉, число квалифицированных ИБ-специалистов, число обученных кибергигиене граждан, количество киберстраховок, количество систем, выставленных на Bug Bounty, число киберпреступлений и т.п. А жаль...
Но есть во всем этом и положительный момент. В Казахстане хоть пытаются измерять уровень ИБ на уровне государства. У нас пока это получается не очень 🤠 Хотя попыток было несколько; я как-то писал об этом и о тех показателях, которые могли быть использованы у нас. Из последних попыток можно назвать показатель «информационная безопасность», который был добавлен в качестве одного из параметров рейтинга руководителей 🧐 цифровой трансформации (РРЦТ), или оперативного рейтинга, который измеряет Минцифры. Мы по нему калькулятор делали 🧮 и вы можете посмотреть, какие показатели туда включены.
Если вы не любите спойлеры, то не надо читать заметку Александра о том, как он сходил на анимационный фильм "Три бгатыря. Ни дня без подвига" и какие истории про Bug Bounty он увидел в мультике и как это соотносится с реальным миром ИБ ☺️
Читать полностью…Представьте, что вы (допустим) провели 9-го мая кибератаку против ресурсов АНБ на Восточное Самоа, в его столице Паго-Паго. Чтобы запутать следы и чтобы американцы опять не ссылались, что атака осуществлялась из московского часового пояса GMT+3 ⏰, вы решили провести атаку тоже из архипелага Самое, но из города Апиа. Спустя полгода АНБ 🇺🇸 публикует совместно с CISA отчет с результатами расследования, в котором почему-то указано, что атака была организована 24-мя часами ранее, 8-го мая. При этом все остальное в отчете совпадает со всем, что вы делали 🖥
Читать полностью…На улице был ливень, град, ветрило… Ураган 🌪️ «Орхан» безраздельно царил почти весь день в Подмосковье. Решил стейк 🥩 пожарить не на огне, а на сковороде… а она хакерская ;-) Везде знаки…
Читать полностью…🎥 Как и в мультике «Головоломка», в нас живет множество эмоций.
Социальные инженеры — талантливые психологи и манипуляторы — умеют использовать каждую из них как крючок, на который можно поймать жертву.
В карточках по лекции Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies, рассказали, как именно это происходит и чем нас цепляют мошенники. С примерами, чтобы вы могли распознать такое воздействие и не поддаться ему.
Больше полезных советов — в полном видеокурсе Алексея по личной кибербезопасности на портале Positive Education.
Читайте сами, делитесь с друзьями и оставляйте социальных инженеров с носом 🤥
P. S. Кстати, посмотрели уже вторую часть мультика? Как вам?
@positive_investing
🟥 выпустил отчет с итогами проведения пентестов в 2023-м году. Там есть интересные цифры про то, как наши парни "ломают" 🤕 заказчиков, сколько времени на это уходит (я упоминал некоторые цифры, говоря про Time-to-eXploit). Но заметка о другом.
Почему так важно изучать и оценивать TTX, читать отчеты своих "белых хакеров", смотреть чужие отчеты и т.д.? Потому что мы, ИБшники, часто живем в плену иллюзий о том, как будет действовать "живой" хакер 🔓 И исходя из наших мыслей, мы создаем модель угроз, а потом по ней строим систему ИБ. А у хакера может быть совсем иной майндсет, иное мышление... и совсем иные способы реализации угроз, отличные от того, что там себе напридумывал ИБшник 🤔
Моделирование угроз - это точка зрения ИБшника. Чтобы убедиться в ее правоте, иди и попробуй хотя бы на Standoff в Blue Team пару дней простоять и отражать атаки, которые выходят за рамки модели, но при этом очень эффективны 😂 Но ведь нет. Не идут, боятся, прекрасно зная, что написанные на бумаге и согласованные с регуляторами модели угроз так и останутся на бумаге. Одно дело - согласовать с ФСТЭК модель и совсем другое - попробовать по ней защитить виртуальный город на киберполигоне. И уж совсем третье дело - защищаться от реальных "плохих парней" 🥷
ИБшники сталкиваются с так называемой "дилеммой защитника", когда им надо найти и закрыть все дыры в своей инфраструктуре, а хакеру нужно найти всего одну единственную 🤜 И чтобы эта дилемма решалась, нужно обладать майндсетом, как модно говорить на Западе, хакера, то есть думать как он и действовать как он. И вот тогда, вы сможете приблизиться к пониманию того, как вас будут реально ломать и что можно этому противопоставить 🛡
🏗 С чего начать строить кибербезопасность в компании?
С определения недопустимых событий? С реализации защитных мер, предписанных приказами и прочими нормативными актами различных ведомств? С ситуативной защиты?
🧱 Это все, конечно, вещи необходимые. Но для начала Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, советует сосредоточиться на нескольких более простых и эффективных вещах. Записали в карточках, какие кирпичики нужно заложить в фундамент киберзащищенности организации любого размера и сферы деятельности.
Готовы? Пробуйте сами и делитесь с коллегами.
#PositiveЭксперты
@Positive_Technologies
Думаю, вы неоднократно сталкивались с примерами динамического ценообразования 🤑 Самый яркий - транспорт, такси или самолеты, цены на которые могут меняться в течение дня (для такси) или недели, в зависимости от множества факторов - количество транспортных средств, спроса на них, направления и т.п. В сфере питания такое тоже бывает нередко - продукты, у которых срок годности подходит к концу, также продают со скидкой 📉
В целом, динамическое ценообразование 💸 строится обычно на одном из пяти (иногда на их комбинации) факторов:
1️⃣ по аудитории, по ее уровню дохода
2️⃣ по времени покупки
3️⃣ по времени обслуживания
4️⃣ по повышенному спросу
5️⃣ по специфическим факторам.
И вот подумалось мне, а что, если стоимость средств защиты также будет динамически меняться? 🤔 Подходит, например, к концу срок действия сертификата ФСТЭК или ФСБ - скидка 50% на покупку. Произошел крупный инцидент ИБ в отрасли - поднятие цены для компаний из этой отрасли. Стало известно о появлении новых требований регулятора - опять рост цены на решения, удовлетворяющие этим требованиям, с последующим ее снижением после некоторого насыщения рынка 🤔 Сталкивается вендор с тем, что у него все основные покупки происходят в 4-м квартале, значит он делает скидку на покупку решений в 1-2-м кварталах для сглаживания спроса и наличия продаж даже в "низкий" сезон. И т.д. Ну а что, почему бы и нет? Рынок так рынок... 🤔
Мишель Моска, эксперт в области криптографии 🤒, предложил теорему, позволяющую определить длительность подготовки к переходу на постквантовую криптографию.
"Существует 1 шанс из 7, что фундаментальная криптография с открытым ключом будет взломана к 2026 году, и 1 шанс из 2, - что к 2031 году"
Если x + y > z, то пора беспокоиться
Группировка Brain Cipher принесла извинения перед гражданами Индонезии за то, что зашифровала часть их данных и… выложила бесплатно ключи для расшифровывания 🔐 Выборочная проверка показала, что ключи рабочие!
Свою деятельность они назвали «пентестом с постоплатой» и обратили внимание на важность найма специалистов по кибербезу 🥴
Специалисты расходятся во мнении, что послужило причиной такого необычного решения - давление правоохранителей 👮 или разногласия внутри команды ❔
PS. Но вымогатели не были бы вымогателями, если бы все-таки не попросили пожертвование 🤑, еще раз особо подчеркнув, что ключи они выложили абсолютно бесплатно.
Роберт Хансен придумал кодекс этики CISO, включив в него 9 пунктов:
1️⃣ CISO должен соблюдать NDA, кодекс этики и трудовой договор своей компании.
2️⃣ CISO обязан раскрывать работодателю любое вознаграждение, акции, деньги, обещания будущих позиций, подарки любого размера или любые формы вознаграждений, включая соглашения о консультациях и выплаты супругам или другим лицам, от которых CISO может получить финансовую или другую выгоду.
3️⃣ Если у CISO есть консультативная практика, клиенты и характер консультационных соглашений должны быть прозрачны для работодателя CISO и не содержать конфликта интересов.
4️⃣ В случае неизбежных конфликтов интересов, CISO должен отказаться от участия.
5️⃣ CISO может присоединиться к консультативным советам клиентов только с разрешения своей компании, и если предлагается компенсация, она также должна быть одобрена работодателем CISO.
6️⃣ Если CISO вкладывает личные средства в поставщика или входит в совет директоров поставщика, они должны избегать конфликта интересов, отказавшись от оценки конфликтующих продуктов.
7️⃣ Все продукты и услуги поставщиков должны оцениваться по эффективности, цене, совместимости и полезности для компании, и это должно быть документально оформлено.
8️⃣ У CISO должен быть как минимум один человек, проверяющий их статус на предмет конфликта интересов при каждом решении о закупке и имеющий право наложить вето в случае обнаружения такого конфликта.
9️⃣ По причинам национальной безопасности, CISO не должны становиться советниками других компаний по безопасности, которые не находятся в той же стране, что и их работодатель.
Еще несколько лет назад я мог бы сказать, что для нас это не такая уж и актуальная история. Хотя я помню (хоть и не CISO), как меня звали в совет директоров одной отечественной ИБ компании (но не сложилось). Но лично у меня регулярно всплывали кейсы, в которых мог образоваться конфликт интересов, если бы я согласился на предлагаемые условия. Сейчас ситуация в РФ стала немного иной. Я знаю, что многие коллеги CISO не чураются внешнего консалтинга и подработок, но иногда забывают о соблюдении интересов своего основного работодателя. Поэтому пост Роберта вполне релевантен и нам.
Дочь переслала мне пост из одного канала, у автора которого примерно такое же количество подписчиков, как у меня. Но количество лайков там несоизмеримо больше 👍
Н Е С О И З М Е Р И М О!!! 😖
Одно только и утешает - в ИБ так не принято. У нас тут одни интроверты, нежелающие коммуницировать даже таким образом, или параноики, считающие, что по лайкам можно глубоко изучить человека как в кейсе Cambridge Analytics. Я, кстати, сам такой - интроверт-параноик, и тоже мало где и что лайкаю. Хотя может все проще - дети выражают свои эмоции гораздо охотнее, чем взрослые!
Раздумываю над экспериментом по открытию комментариев 🤔
ЗЫ. Может запеть? 🎤
Прокомментирую последний опрос. Со смартфона не до конца виден ответ, поэтому я его опубликую целиком:
"Несмотря на то, что Паго-Паго и Апиа разделяет всего 70 км, они находятся по разные стороны от линии перемены дат и разница во времени между ними составляет 24 часа!".
Если вдруг вы интересовались курсами для аналитиков SOC, то для вас небольшая заметка с ссылками на онлайн и оффлайн, зарубежные и отечественные курсы 👨🎓
Читать полностью…Расскажу вам историю, о которой вы вряд ли где-то еще прочитаете; хотя и ничего нового в ней нет. Бывшим сотрудникам российского офиса Cisco активно пишет мошенник ✍️, представляющийся нынешним генеральным директором российского офиса (он же еще формально не закрыт, хотя там и не осталось сотрудников) и... та-дам, просит оказать содействие российским спецслужбам в деле обеспечения информационной безопасности 😕
Схема, конечно, топорная 🤦♂️ С кем в Cisco Russia проводить беседы не очень понятно, но то упорство, с которым с прошлой осени мошенники пытаются развести бывших сотрудников российского офиса Cisco, вызывает уважение 😎 Но незнание культуры работы в американских компаниях, правил оформления официальных документов российских госорганов и методов работы "Прикомандированных Сотрудников" всю схему превращает в тыкву 😄
PS. В мае я уже писал про схожую историю с бывшими сотрудниками иностранных компаний.
Мегафон тут посоветовал (спасибо подписчику, который обратил на это внимание) своим клиентам воспользоваться сайтом, непонятно кому принадлежащим и зарегистрированным в Польше 🇵🇱, чтобы проверять IMEI б/у мобильных устройств при их покупке. Желание покупателя не быть надутым понятно. Непонятно, зачем отправлять их в недружественную страну? ⬅️ А где гарантия, что владельцы сайта теперь не внесут присланные им из России IMEI в список украденных устройств? Внести-то туда такие сведения может кто угодно. И потом доказывай, что ты не верблюд 🐫 (например, на границе во время отпуска или про продаже).
Я бы на месте Мегафона тогда уж инициировал создание такого реестра на базе "Госуслуг". Эта же информация у наших мобильных операторов 📡 есть. У МВД есть данные по кражам мобильных устройств. Надо только объединить все и предложить россиянам полезный сервис. А Минцифры может возглавить 🫡 эту инициативу, чтобы не было коммерческого интереса у заинтересантов.
В Москве набирает популярность схема с обманом пожилых людей с помощью дипфейка мэра Москвы Собянина 👎
В апреле 75-тилетнему москвичу позвонила девушка, представившаяся секретарем мэра и предупредила, что с ним свяжется сам Собянин, который и вправду "сам" позвонил 📞 пенсионеру и предупредил, что через его банковский счет похищены государственные деньги и поэтому ему надо сотрудничать с ФСБ. Звонок от генерал-полковника спецслужбы 🇷🇺 тоже не заставил себя ждать. В итоге на "защищенный счет" были выведены 1,5 миллиона, которые и исчезли в неизвестном направлении. Об аналогичной истории (звонке от "Собянина") рассказывал ректор Иннополиса, которому мэр звонил по Whatsapp'у 📲
В июне по такой же схеме 4 миллиона похитили у бывшего главы РДКБ Николая Ваганова, правда в данном случае, это уже был видеозвонок. Бывший министр культуры Михаил Швыдкой рассказывал недавно о таком же кейсе - там "мэр" Москвы по-братски предупреждал, что со счетов жертвы были отправлены деньги на счета ВСУ и ей надо будет дать объяснения правоохранительным структурам. В этой схеме участвовал и зампред Банка России, чей дипфейк 🎭 также был задействован для солидности.
В чем особенность данной схемы? Она не массовая - список жертв небольшой и неплохо проработанный. Артисты, политики, чиновники, общественные деятели, руководители московских подведов (театры, больницы и т.п.), бывшие начальники... Люди, которых не удивишь звонком из "мэрии Москвы", которые не привыкли отвечать "нет" 👎 властьпредержащим.
Таких примеров, на самом деле, много и все их приводить большого смысла нет. Я бы хотел скорее обратить внимание на три момента:
1️⃣ Дипфейк - это уже не просто технология для организации шуток и розыгрышей, это вполне себе способ реализации угроз. И не за горами тот момент, когда его активно начнут применять и в корпоративной среде, а не только против физлиц.
2️⃣ Технологии развиваются очень быстро и рассчитывать, что "еще есть время" уже не приходится.
3️⃣ Да, это пришло уже и в Россию. Поэтому истории директора в ОАЭ или Сингапуре можно оставить в прошлом - у нас своих кейсов немало 😭
Ну и еще один мемчик про ИБ 😊 Меня тут спросили про форумы, где можно начинающему ИБшнику 👶 спрашивать совета и вот это вот все. А я и не знаю. Я же не начинающий уже; Да и на форумах я был в прошлом веке - сейчас все как-то вживую, за бокалом коньяка или кружкой иван-чая 😊 Но чтобы не просто мемчик был, а и польза (хотя улыбнуться бывает полезно), кину ссылку, которую мне ее автор прислал, - список ресурсов для начинающих ИБшников. Про форумы там, вроде, ничего нет. Но всякие курсы, лабы, CTF, стажировки и т.п. точно есть 🎓
Читать полностью…Сколько вы знаете формул оценки рисков ИБ? Одну, две, три?.. Я знаю с десяток и абсолютное большинство из них в качестве одного из двух основных параметров (помимо вероятности) используется ущерб 💥 В ооочень редких случаях вместо ущерба упоминается стоимость актива, на который влияет риск. Но все это полная фигня; особенно когда апологеты этих формул говорят, что она позволяет говорить на одном языке с бизнесом. Это похвальное стремление, но только вот бизнес не говорит на таком языке 😱
Для любого бизнесмена риск - это сочетание возможностей и опасностей; причем на возможности он смотрит с большим вниманием, чем на опасности. Я про это недавно писал, но не грех и повторить ✍️ Можно долго бегать вокруг предотвращения ущерба, но если бизнес внес его величину в себестоимость продукта, то ему уже пофиг на ущерб, он отбил свои деньги и начал зарабатывать. А ИБшники продолжают носиться с предотвращением ущерба, который уже не интересен 🤠
Поэтому если вы видите в формуле 🧮 риска, которую вам кто-то презентует, слово "ущерб" или "impact", бегите от таких людей как от чумных - они не понимают, что такое риски на самом деле, и не понимают, что такое бизнес. Вместо "ущерба" должно быть "value" или "ценность", которую мы получаем от реализации какого-то проекта или инициативы. И вот "value" может быть как положительным (заработали), так и отрицательным (потеряли) 😦
Кстати, обратите внимание, что на картинке в знаменателе есть countermeasures (защитные меры) 🛡 и exposure factor. Последний параметр по своему интересен и достаточно редко упоминается в формулах рисков. Я про него отдельно напишу. А вот на место countermeasures надо обратить внимание особо. Если вы делите ("уязвимость" * "угроза"), то это хорошо; вы тем самым снижаете опасность. А вот если вы делите "ценность", то защитные меры в знаменателе вам только все портят, так как они уменьшают ценность! И это то, про что я тоже уже писал.
ЗЫ. Поэтому, когда вам рассказывают про киберриски, всегда уточняйте, что имеет ввиду спикер, показывая классическую формулу "риск = вероятность * ущерб"? По его блеянию вы поймете, понимает он что-то в теме или нет 🤔
Все-таки есть что-то притягательное в ИБшных койнах. Вроде по сути та же грамота из олдскульных времен, но ощущения совсем иные. И подделать сложнее 😎 Это вам не грамота от директора ФСБ на Авито 🫡
Читать полностью…Сделал презу для сегодняшнего мероприятия, но показать ее не могу, условия такие, закрытое мероприятие. Поэтому только один слайд и могу в паблик выложить. Остальное, может быть, изложу в формате блога...
Читать полностью…Вот спрашивается, что я делаю среди 4-х генеральных директоров? Но начинание интересное. Так глядишь "Романовы" или "История Государства Российского" получится, но про кибербез... если меценаты найдутся. Где вы, Саввы Морозовы, Павлы Третьяковы, Саввы Мамонтовы, Алексеи Бахрушины или даже Марии Тенишевы?.. 🔍
ЗЫ. Кстати, после сегодняшних новостей, гендиректоров на картинке уже не четыре!
Помните, на PHD2, представители НКЦКИ анонсировали сервис бесплатной скорой помощи по расследованию и реагированию на инциденты ИБ? 🇷🇺 Пока коллеги оформляют все процедуры, американцы опубликовали статистику по тому, как и какие сервисы по обмену данными об угрозах используют супостатные госорганы 👮
Достаточно показательные цифры 0️⃣ Чаще всего используются либо всяческие брифинги (а значит это совершенно неоперативная информация), либо различные продукты класса TIP. Самая непопулярная история - каталог известных уязвимостей от CISA (KEV). И почему мы тогда удивляемся, что в новостях 📰 постоянно проскакивают истории об очередном зашифровании целых городов и муниципалитетов. Если ты не получаешь оперативно информацию об угрозах и уязвимостях, то и рассчитывать на оперативную защиту не приходится. Поэтому, когда Счетная палата пишет про почти повсеместное отсутствие непрерывного мониторинга, уже и не удивляешься 😭
Так уж получается, что мы с коллегами часто вступаем в заочную полемику по результатам постов друг друга 🤜 Вот и в этот раз Сергей Солдатов прокомментировал мой вброс о ненужности антивируса 🦠 (кстати, на пленарной секции на IT IS Conf в Екатеринбурге, где этот миф обсуждался, половина участников не имела антивируса на своих компьютерах; на других мероприятиях этот показатель схожий), задавшись риторическим вопросом, кого конкретно я имею ввиду 😅
Ну а я подготовил обзорную табличку, в которой достаточно поверхностно сравнил антивирус 🦠 с EPP, EDR и XDR. И кажется мне, что когда Сергей и его коллеги возмущаются на мои высказывания про антивирус и говорят, что антивирус уже давно не тот, они имеют ввиду не антивирус, а EPP. Ну так и надо называть вещи своими именами. Да, в EPP может входить антивирус, как один из модулей, но не более того. Антивирус, который мы все знаем, уже давно анахронизм и толку от него немного, и с точки зрения детекта, и с точки зрения расследования.
ЗЫ. Кстати, у меня уже больше года как закончилась лицензия на KTS (а это, извините, EPP, а не антивирус) и... я так и забил на ее продление. И вот уже год прошел с лишним и ничего 🤷♀️ И на KTS я половину функций сразу выключил после установки - с ними все тормозило 🏎 То есть и EPP мне, как домашнему пользователю, тоже как бы не очень и нужен был.
Интересный факт, персидский ковер, сотканный вручную, обязательно должен иметь изъян 🕳 И это не проблема технологии или процесса, а осознанное действие ткачей, считающих, что только Бог может создать что-то совершенное, а человек не идеален 🤦♂️
Почему еще ИТшники не следуют этому правило, оставляя дыры в своих системах? 🤔 Или следуют, только не говорят ИБшникам?