Очередная версия о том, что в SOC можно отдавать на аутсорсинг, а что оставить на инсорсинге. При этом оценка дается по двум срезам - ценности для организации и «продуктовости» (хрен знает, как это по-русски сказать, когда часть решений уже давно в перешла в commodity (стала как электричество), а састь требует кастомной доработки и настройки
Читать полностью…Cyentia Institute провел анализ данных, предоставленных компанией XM Cyber из их продукта класса CTEM (Continuous Threat Exposure Management), и на основе полученных результатов выкатил интересное исследование "Navigating the Paths of Risk: The State of Exposure Management in 2023".
В отчете привлекла аналитика по популярным уязвимостям, которые могут быть использованы (до сих пор) для реализации кибератак в организациях (первый скрин).
Например, уязвимости в ПО UltraVNC и aPAColypse, выявленные в 2017-2019 годах, наряду с EternalBlue и BlueKeep, всё еще не везде устранены... И это с учетом того факта, что в этих организациях, судя по всему, есть приличные бюджеты на КБ раз они купили решение класса CTEM/APM🤪
А всё почему?А потому что, цитирую, "it
can take a surprisingly long time to remediate vulnerabilities in enterprise environments"🥲
В подтвеждение этому информация о времени устранения выявленных уязвимостей на втором скрине - на ликвидацию их всех может уходить больше 6 месяцев! И это речь лишь про активно эксплуатируемые уязвимости😵💫
А вы знаете, что у американской CISA есть своя ГосСОПКА? Называется эта программа CyberSentry. По сути это SOC с функцией MDR (мониторинг и реагирование), реализуемый не силами самой CISA, а партнерами, которые на волонтерских началах готовы заниматься защитой критической инфраструктуры США. В последней устанавливаются "черные ящики", которые и передают телеметрию в CyberSentry и через которые реализуется реагирование на выявленные инциденты в офисных сетях и АСУ ТП. Для участников, пожелавших отдаться в руки CISA, участие в программе бесплатное.
Читать полностью…Отзыв сертификата ФСТЭК на антивирус Dr.Web поднял и другую проблему (за что спасибо подписчику, который обратил на это внимание). Согласно перечню контрольно-измерительного и испытательного оборудования, программных (программно-технических) средств, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 марта 2012 г. №171, у лицензиата должно быть 3 антивируса от разных производителей, но работающих на Windows и Linux.
Так вот, с сентябрьским отзывом сертификата на Dr.Web (и прошлогодним отзывом сертификатов на иностранные антивирусы) у нас в стране не осталось нужного количества сертифицированных решений, чтобы выполнять требования ФСТЭК к лицензиатам. Вот такой пердимонокль случился... Верю, что решение найдется 🥺
Я думаю, что я знаю, как распознать фишинговое письмо (я же, глядь, безопасник). И если мне ИТ скажет, что они сами за меня будут решать, какую почту мне получать, а какую нет (в целях моей кибербезопасности, конечно), то я возбухну и пойду (или не пойду) качать права, что я в ИБ больше, чем им лет и лучше них знаю, что такое фишинг. Хотел написать, что я стоял у истоков, но это как-то странно звучать будет. Мне же не столько лет, чтобы стоять у истоков фишинга ;-)
Но вот рядовым пользователям вбить в голову простую мысль, что если письмо выглядит как фишинг, то это скорее всего фишинг, стоит. Лучше перебдеть, чем потом разгребать последствия. По сути, это яркий пример утиного теста: «Если это выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка.»
Не могу не поделиться. Выступал позавчера на Positive CISO Club про визуализацию ИБ, связь с бизнесом и вот это вот все. После выступления ко мне подходит, внимание, руководитель компании, обеспечивающей кейтеринг и бар в бизнес-центре, где мы проводили мероприятие, и говорит, что после моего выступления он решил к нам обратиться за безопасностью ;-) Одно дело, когда ты рассказываешь на профессиональную аудиторию и совсем другое, когда выступление заходит даже тем, на кого он не было изначально рассчитано 👌
Читать полностью…LockBit хочет ввести минимальную сумму выкупа в размере 3% от годового оборота жертвы с возможной скидкой до 50%.
Мне кажется тут не обошлось без Роскомнадзора ;-) А еще откуда могли взяться 3%? Представьте, что российская компания стала жертвой LockBit и ее ПДн утекли. Она встанет перед выбором - 3% Роскомнадзору за утечку или оператору Lockbit, который еще и скидку может сделать. Выбор очевиден ;-)
ЗЫ. Хорошо, что LockBit по России не работает.
Помните, год назад я писал про российский анимационный фильм «Киберслав», который должен был выйти в 2022-м году? Кинопоиск вчера анонсировал, что они не забили на него 🔩 и все еще надеятся его выпустить в своем стриминге. Но уже в 2024-м году. Но тизер уже есть. Но короче и слабее трейлера. Но мы всё равно ждем 🛠 Пора уже не только русских хакеров, но и русских кибервитязей и киберстрижей на международную арену выводить 🪖
Читать полностью…Неназванные источники утверждают, что какой-то чувак приперся в отель MGM в Лас-Вегасе и потребовал 40 миллионов за восстановление после кибератаки. И это прям странно, так как хакеры в здравом уме такие выкрутасы не проделывают.
Это какими надо обладать умственными способностями, чтобы припереться в казино, где охраны больше чем игроков (шучу, но все равно немало) и потребовать выручку за 2-3 дня работы одного казино и отеля? Или это кто-то недалекий из MGM решил распространить неофициально в СМИ, чтобы показать, что расследование идет по плану? А может просто какой-то идиот так неадекватно решил пошутить? В любом случае хакеры уже опубликовало свое официальное пояснение по сложившейся ситуации...
Продолжает развиваться проект OpenCRE - агрегатор требований по безопасной разработке из различных стандартов и баз (ASVS, SAMM, ISO27XXX, NIST, CWE, CAPEC и другие).
Проект просто пушка 🔥
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐
Странное мероприятие. Я про него услышал первый раз, а на нем ожидается 2000 человек. И это не Москва. А еще участники из 12 стран, что будет покруче ПМЭФ и ВЭФ. Но программы нет, хотя до мероприятия меньше месяца. И только странные организаторы (никого от ИБ) и название НКЦКИИ среди ключевых участников выдавало странность. Хотя на фишинг тоже похоже. В последнее время число атак на специалистов по ИБ выросло; может и это тоже один из вариантов такой атаки? Но вроде нет - сайт чистый и даже симпатичный. В общем, все странно как-то.
Читать полностью…21-22 сентября буду на Сахалине участвовать в конференции Сахалин Security 2023 и, среди прочего, я там провожу штабные киберучения. И если процедура проведения у меня уже отработана и проходит на автомате, то сценарий я каждый раз придумываю заново, опираясь на свежие кейсы и инциденты. А тут вот выпустили интересный инструмент AiCEF для генерации контента для киберучений. Построенный на базе искусственного интеллекта, он подтягивает различные данные Threat Intelligence из публичных источников - группировки, активности, техники и тактики и т.п., и на их основе с помощью GPT строит связанный контент для проведения киберучений.
Читать полностью…Продавцов «Вайлдберриз» начали массово взламывать неизвестные. Хакеры создают сотни фейковых товаров и разоряют предпринимателей многомиллионными штрафами.
В последние недели личные кабинеты продавцов на «Вайлдберриз» атакуют неизвестные мошенники. Причём работают они по очень странной схеме: сперва аккаунт просто взламывают, а затем начинают массово создавать несуществующие позиции дорогих товаров по крайне низким ценам. Так, к примеру, на ВБ то и дело появляются телевизоры, холодильники, телефоны и бассейны по ценам от 50 рублей. В качестве бонуса мошенники, растрачивая бюджеты продавцов, настраивают от их лица рекламу на фейковые вещи.
Итог в таких случаях почти всегда один: увидев небывалую щедрость, пользователи начинают скупать дешёвые товары. У продавцов же набегают сотни заказов на миллионы рублей, которые им приходится срочно отменять, — и за это у ВБ предусмотрен штраф в размере 50% от стоимости позиции. Дальше всё становится хуже: из-за отмен у продавца падает рейтинг, а его личный кабинет блокируют и выставляют штраф. Впрочем, некоторые взломщики действуют иначе: одни напрямую шантажируют продавцов блокировками и требуют выкуп, другие — оставляют во взломанных профилях свои данные, чтобы перенаправить покупателей к себе. @banksta
Официально сообщаю, что я НЕ запускаю никаких подкастов - ни революционных, ни эволюционных, ни прожектерских, ни разговорных, ни молчаливых, ни часовых, ни пятисекундных, ни кружковых, ни квадратно-гнездовых.
Читать полностью…Расследуя киберпреступления в Международном уголовном суде (МУС), главное, - не выйти на самого себя 🤨
Читать полностью…Когда вы оцениваете эффективность своей системы обучения ИБ, то какие вы метрики для этого используете? Количество обученных? Количество пройденных ими курсов? Число фишинговых симуляций? Но ведь эти, лежащие на поверхности метрики, никак не показывают реальную эффективность и, более того, результат обучения. Можно сколько угодно много проходить тренингов, но если поведение работников после них не меняется, то грош цена такому обучению.
Я бы использовал другие метрики (не отменяя предыдущих):
🔤Число инцидентов, связанных с работником, до и после обучения (можно еще инциденты и на ущерб завязать)
🔤(более широко) Число событий/действий по теме обучения, связанных с работником, до и после обучения
🔤Число уведомлений о нарушениях ИБ, о которых сообщает работник до и после обучения
🔤Число успешных пройденных фишинговых симуляций
🔤Время реакции работника (если можно замерить) на действия/события по теме обучения до и после обучения
🔤Тоже самое, что и в п.5, но применительно к частоте действий
🔤Число новых внедренных после обучения мер ИБ (переход на MFA, новые сегменты, снижение числа привилегированных учетных записей, классификация ценной для компании информации и т.п.) применительно к отдельным работникам или подразделениям.
Вообще, таким образом можно оценивать не только отдельных работников, но и целые подразделения, функции или даже отдельные предприятия в рамках группы компаний.
Я тут игрался с инструментом Ransomware Business Impact Analysis, который позволяет оценивать вероятность и ущерб от шифровальщиков, а также порекомендовать меры снижения вероятности наступления негативного события.
С ущербом, конечно, получилась шляпа. Инструмент разделяет ущерб на виды (продуктивность, репутация, реагирование, юридические издержки, замена, конкурентные преимущества и т.п.), но вот суммы (минимальную/максимальную/вероятную) туда надо вбивать самостоятельно (как их считать не сказано). Затем вы указываете используемые у вас защитные меры (далеко не все).
А вот дальше происходит магия и опираясь на введенные значения, вы получаете значение вероятности успешного заражения вас шифровальщиком в ближайший год и насколько это значение снизится, если вы реализуете нужные механизмы защиты из набора CIS Controls. И вот расчет вероятности, мне кажется, самым интересным моментом этого инструмента. Но как он его считает, я пока не понял. Покопаю еще. Сама же идея не то чтобы уникальна, но, отвечая на вопросы, ты волей или неволей задумываешься о том, на что с точки зрения воздействия на бизнес может повлиять шифровальщик, попавший к вам в инфраструктуру. А это уже немало.
Наши «Госуслуги» теперь и в Алжире! Не зря форум «Россия - Африка» провели - результат продвижения наших технологий на новые материки налицо. Скоро и ИБ там будет наша!
А если серьезно, то число мошеннических звонков через WhatsApp 📱 растет и никакие системы «Антифрод» тут не помогают и вряд ли помогут. В курсы повышения осведомленности эту угрозу, наряду со «службой безопасности Сбербанка», пора включать обязательно.
ЗЫ. А для блокираторов всего законодателей - это еще один повод для блокировки мессенджера. Правда, если они не боятся бунта мамочек из родительских чаток, которые поголовно создаются в WhatsApp ;-)
На заметку... У российских средств защиты не так часто приостанавливают действие сертификата. И я в очередной раз задаюсь вопросом "И что?" Что делать заказчику, если у средства защиты, им используемого, отозвали сертификат? Хоть какую-то процедуру или разъяснение на сайте регулятора повесили. Я помню месяца три отвечал на вопросы после отзыва сертификатов на зарубежные средства защиты после начала СВО и все мои ответы были "Не знаю, пишите в ФСТЭК".
Главное, чтобы Dr.Web не уехал за границу. А то будет как с Group-IB. Они официально объявили об уходе из страны в апреле 2023 года и уже в мае действие сертификатов на BotTrek TDS и Group-IB Threat Hunting Framework было приостановлено. В реестре ФСТЭК сейчас всего три продукта, у которых приостановлены действия сертификатов, - два от Group-IB и один от Dr.Web.
А пока у нас подвисает вопрос. По требованиям ЦБ в финорганизации должно быть два (а иногда и три) разных средства защиты от вредоноса. А так как ДИБ почему-то считает, что это может быть только антивирус, да еще и сертифицированный, то возникает проблемка; особенно если проверка ЦБ будет осуществляться именно сейчас, когда формально сертификат не действует.
И в России (раньше), и в США есть требования об уведомлении об инцидентах. Но есть два небольших нюанса, которые кардинальным образом отличают наши подходы. В Америке уведомлять надо не о каждом спамерском сообщении или случайной отправке письма, в подписи к которому ПДн указаны, а только о серьезных кейсах. А во-вторых, и это главное, такие кейсы становятся публичными.
Вот, например, уведомление MGM в Комиссию по ценным бумагам. А вот уведомление от казино Caesars. То есть у американцев нет вот этого: "Ничего не утекало и вообще это не у нас". Инцидент - будь добр уведоми, а регулятор будь добр опубликуй его, чтобы граждане понимали, что и как. И в следующий раз руководство компании десять раз подумает, прежде чем решит скрывать инцидент или отправлять восвояси CISO, пришедшего на инвестиционный комитет защищать годовой бюджет своего подразделения.
ЗЫ. Вот если бы у нас было требование публиковать данные об инцидентах на сайте какого-нибудь регулятора, которого все боятся и который бы был непредвзятый. Только где ж у нас такого найти...
Все-таки, погружаясь в изучение языков программирования, не стоит забывать и про родной язык 😔
Читать полностью…Под пехотным киберкомандованием США (ARCYBER) есть отдельная, 780-я разведывательная бригада, отвечающая за кибер-тематику у американской пехоты (у ВВС и моряков есть свои подразделения). В бригаду входит 11- кибербатальон "Левиафан", созданный в прошлом году, который занимается так называемой кибер-электромагнитной активностью (Cyber Electromagnetic Activity, CEMA), а по-русски, кибербезом и радиоэлектронной борьбой. И они на днях меняли свою командиршу, по каковому случаю опубликовали слезливые фотки с церемонии передачи знамени батальона и вот это вот всё.
Но заметка не об этом. Фотографии выложены в 4K и на них прекрасно можно рассмотреть лица всей киберпехоты в хорошем разрешении. И то ли они не боятся, что их можно идентифицировать по лицам, а это дает оперативный простор для маневра, то ли просто не запариваются об этом. А теперь попробуйте вспомнить, видели ли вы когда-нибудь схожие фотографии со сборищ наших кибер-подразделений? У нас это вообще, чуть ли не под гостайну попадает. Как говориться "два мира - два Шапиро".
Вот этот "пресс-релиз" группировки ALPHV по поводу атаки на MGM и о том, как шли переговоры с представителями MGM по поводу выкупа.
Вы же знаете, что и как делать, если вы, вдруг, столкнетесь со схожей ситуацией? У вас есть контакты переговорщиков? А криптовалютный кошелек или понимание процедуры оплаты на него? А просто человек, который уполномочен вести такие переговоры?
А вы знаете, как хакнули MGM в Вегасе? Нашли работника отеля через LinkedIn, позвонили от его имени в HelpDesk и... Дальше пока непонятно, но вроде как сказали, что забыли пароль и попросили помочь вернуть доступ. Бинго… Всего 10 минут общения хакера со службой поддержки и компания с оборотом в десятки миллиардов долларов не устояла. Чем закончится вся история пока непонятно - идет расследование и восстановление. Но MGM, в отличие от Caesars, также столкнувшегося с хакерами, платить скорее всего не будет.
А пока у них идет расследование, задайтесь вопросом - а как вы проверяете подлинность звонящих в Helpdesk сотрудников? У вас есть какое-то секретное слово или вы выдали сотрудникам скретч-карты или вы аутентифицируете их по голосу? Есть у вас соответствующая процедура удаленной аутентификации сотрудников? Что интересно, проблема не нова, - она известна еще с COVID-19, когда многие ушли на удаленку и хакеры также представлялись работниками на дистанционке во время звонков в HelpDesk. 3 года прошло...
ЗЫ. Тем временем в отелях Venetian и Palazzo тоже проблемы с игровыми автоматами - принимают только наличные. Опять хакеры или ИБ решила пойти на опережение и сама все отключила?
Тут на днях зашел разговор о том, что драйвера ИБ бывают разного масштаба. Например, продажа страха, то есть разговор о киберугрозах, универсален для любой страны мира (исключая тему с русскими хакерами). Разговор за compliance обычно ограничивается уже границами одной страны. А вот экономика (подсчет преимуществ ИБ, P&L и т.п.) может отличаться от компании к компании. Кому-то нужно что-то одно, кому-то другое. Кто-то ратует за снижение ущерба, а кому-то подавай операционную эффективность, кто-то требует ускорения сделок и новых каналов продаж (а ИБ там везде вовлечена), а кому-то подавай контроль текучки кадров 📉 Так и с потерями. Для кого-то штраф в 500 миллионов рублей за утечку персданных - это недопустимое событие, а для кого-то выплата 15 миллионов долларов (1,5 миллиарда рублей) вполне себе нормальное явление (чтобы не потерять больше, конечно)💰
Именно 15 миллионов долларов выплатило казино Caesars в Лас-Вегасе 🎢 вымогателям после атаки на казино через их взломанного ИТ-подрядчика. При этом, в отличие от истории с сетью MGM Resorts, которая до сих пор не может оклематься от схожей атаки, казино Caesars 🎰 продолжало функционировать; у него только утекли данные клиентов. Но владельцы казино не захотели, чтобы эти данные стали достоянием гласности и просто отдали за молчание полтора миллиарда рублей. А вот размер финансового ущерба в MGM пока еще не подсчитан, но кажется мне, что сумма там будет поболее 15 миллионов долларов 🔤
Схожий инцидент в схожих организациях, но совершенно разные решения топ-менеджмента и разные последствия ☝️ Поэтому про угрозы и compliance удобно рассказывать - можно даже не вникать в деятельность и процессы компании. А вот с бизнес-риторикой все сложнее...
А у нас с минуты на минуту начинается Positive CISO Club, где я буду выступать на тему визуализации в ИБ 📊 Ну и как всегда подготовил коротенькую 🌡 презентацию слайдов на 1️⃣🔠🔠 и то пришлось сокращать с пары сотен 👉
Читать полностью…😎 Создаем сценарии безопасного завтра уже сегодня. Хотите увидеть?
Присоединяйтесь 9 октября к ежегодной конференции Positive Security Day, которую мы впервые будем транслировать онлайн для всех желающих.
Как будем шагать в безопасное цифровое будущее:
🚩 Расскажем про весь наш продуктовый портфель, включая те продукты, которые еще находятся в разработке.
🚩 Примеры и кейсы — наше все. Покажем, как продукты и решения Positive Technologies помогают строить результативную кибербезопасность.
🚩 Поделимся экспертизой, которая является ключевым элементом нашего лидерства.
🚩 Презентуем новый продукт.
🚩 Побудем футуристами: обсудим новые угрозы, уязвимости, инструменты и знания, которые понадобятся специалистам по кибербезопасности в ближайшем будущем, чтобы успешно противостоять хакерам.
С полной программой конференции можно ознакомиться на нашем сайте.
Регистрируйтесь и отмечайте 9 октября в календаре!
@Positive_Technologies
Хороший кейс, как мне кажется, который заставляет задуматься над тем, где заканчивается граница работы CISO. Если ломают личный кабинет клиента, то кто виноват - клиент или маркетплейс? Но даже если клиент, то должен ли CISO предпринять какие-то усилия по защите тех, благодаря кому маркетплейс зарабатывает деньги? 🤑
Вопрос неоднозначный, кстати, и не имеет очевидного решения. Как по мне (хотя я ненастоящий сварщик), так это зона ответственности ИБ. Все-таки, когда клиенты теряют миллионы рублей из-за инцидентов ИБ, то они начинают меньше доверять платформе 🛒 и могу ее и вовсе покинуть, тем самым нанося ущерб бизнесу, который будет измеряться гораздо большими суммами. Допустимо ли у маркетплейса такое? Так и из списка Форбс можно вылететь 😕
Новые санкции от американцев, под которые попали из сектора ИБ 3 компании - НПО Эшелон, Крафтвэй, Ростелеком Солар. Кто там из ИБ следующий?
ЗЫ. Нейросеть "Кандинский" от Сбера на запрос "американцы блокируют технологии" почему-то сгенерила вот такую картинку. Опять однорукие, уже безногие, да еще и сиамские разнополые близнецы. Что ж у них за датасет-то такой?..