Ну что, вот и с межсетевыми экранами Cisco тоже беда. Не успела PaloAlto отчитаться о 10-тибалльной уязвимости, как в МСЭ Cisco ASA и Cisco Firepower нашли несколько уязвимостей с CVSS 8.6 (еще у двух CVSS 6.0), которые позволяют имплантировать в средства сетевой безопасности вредоносный код 👨💻, выполнять команды, потенциально перехватывать и передавать куда надо трафик, проходящий через устройство и даже использовать МСЭ как плацдарм для развития дальнейшей атаки 🧑💻 Кампания ArcaneDoor, за которой стоит прогосударственная группировка UAT4356 (или STORM-1849 по именованию Microsoft), началась еще прошлым летом, но с первыми признаками атак клиенты столкнулись в этом январе 🧑💻
Как пишет Cisco, обновления можно скачать в рамках действующего контракта на техподдержку, а для тех, у кого контракта нет, обратиться 📞 к представителю Cisco или в службу поддержки Cisco TAC за получением ссылки на обновление. Российским заказчикам это все сейчас недоступно. Так что делаем выводы, чтобы не попасть впросак, как ряд российских организаций, которые использовали МСЭ Fortinet, но не смогли вовремя их пропатчить 👨💻 и были взломаны через трендовые уязвимости, которые хакеры начали эксплуатировать очень быстро 😂
Техники, тактики и индикаторы описаны в блоге Talos, но конкретных рекомендаций, кроме как поставить патч, не дано. И не факт, что они есть в такой ситуации. Но в любом случае присмотритесь к рекомендациям вендорам по защите своих межсетевых экранов. В данном кейсе это не поможет, но на будущее (если вы не стремитесь перейти на PT NGFW, конечно, 😎) стоит их учесть.
Есть в криптографии такое понятие - "одноразовый блокнот". Его идея заключается в том, что при шифровании текста криптографический ключ 🗝 равен длине шифруемого текста, ключ случаен и используется в качестве гаммы ("накладывается" на открытый/закрытый текст), а также ключ используется только один раз! 1️⃣
В основе идеи одноразовых блокнотов 🗒 лежит шифр Вернама, для которого Клод Шеннон в 1949-м году доказал абсолютную криптографическую стойкость. Но использование таких шифров сопряжено с рядом неудобств - основным из которых является необходимость использования ключа с длиной, равной шифруемому сообщению, который используется только один раз. То есть вам нужно выстроить непростую инфраструктуру генерации, хранения и уничтожения ключевого материала 🗝
На видео (за что спасибо подписчику) вы видите пример простого принтера AMRRON DARK LABS- OTP, который как раз и пытается решать все эти задачи. Генеря одноразовые блокноты на 250/500/1000 символов, вы можете надежно защитить свою переписку в мессенджерах (не спрашивайте, 🤐 как вы будете переносить коды из блокнота в ПО для шифрования). Исходники ПО, включая и генератор случайных чисел, также выложены на сайте производителя. Так что если вы криптоанархист и фанат зашифрованной переписки, то этот принтер для вас! Даешь гражданскую криптографию в массы!!! 🤘
Первый день GISEC завершился позитивно 🤘 Яркие краски, теплая атмосфера, куча встреч, глубокие инсайты, новые идеи, старые друзья, много проектов... Люблю такую движуху, когда ты не выходишь из зоны комфорта, а расширяешь ее, получая новый опыт, который можно применить с пользой для всех.
ЗЫ. Стенд у нас в этот раз еще круче прошлогоднего и затмевает всех соседей, даже именитых 🤘
Согласно статистике ShadowServer Foundation в России имеется 44 устройства Palo Alto, уязвимых к CVE-2024-3400 (CVSS 10.0), о которой подробно написал Александр Леонов. В Казахстане таких устройств 58, в Узбекистане 7, в Кыргызстане, Беларуси и Таджикистане по 2, в Туркменистане 3, а в Азербайджане аж 88. В Южной Осетии и Грузии по 15, а в Армении - 14 уязвимых устройств. Больше всего в США - почти 10 тысяч непатченных еще железок.
Читать полностью…Приехал я на выставку-конференцию по ИБ GISEC и, на фоне буквально еще не высохшего после небывалого ливня и последующего наводнения Дубая, вдруг вспомнил о том, что столь катастрофические последствия, с которыми столкнулся крупнейший город ОАЭ 🇦🇪, могли бы произойти и по причине кибератаки. Тем более, что за последнее время было уже несколько кейсов, которые могли закончиться плохо.
Три небольших техасских города пострадали в этом январе от рук хакеров, которые попытались вывести из строя местные системы водоснабжения. В Панхендле (2000 жителей) хакеры 37000 раз за 4 дня пытались проникнуть за межсетевой экран 🤬, защищающий локальную критическую инфраструктуру. По словам муниципальных властей "атака была неуспешна, так как город отключил систему водоснабжения и управлял ею вручную". Как по мне, так это не то, чтобы неуспешная атака, а с другой стороны цели хакеры не достигли. В соседнем Мулшу (5000 жителей) атака была более успешной - система водоснабжения ⛲️ была переполнена прежде чем ее отключили и перевели в ручной режим работы. Аналогичные атаки наблюдались и в соседнем Локни (1500 жителей).
Ответственность за атаки взяла на себя группировка CyberArmyofRussia_Reborn, которая помимо американских систем водоснабжения в январе атаковала схожие объекты КИИ и в Польше. Но атакуют системы водоснабжения 🚰 не только они. В прошлом ноябре CISA выпустила предупреждение об атаках на такие системы со стороны иранских хакеров, а уже в марте советник по нацбезопасности Джек Салливан и администратор агентства по защите окружающей среды разослали письмо с предупреждением о росте числа атак на водоснабжение со стороны еще и китайских хакеров 👲
В Израиле тоже имело место инциденты с системами водоснабжения. А потом у нас были атаки на "Московский коллектор" со стороны проукраинской группировки. Число таких атак растет и только Нептун знает, когда количество перейдет в качество и на улицы хлынут потоки воды, сточных вод, фекалий и т.п. Хорошо бы никогда, но это уже маловероятно.
Медицинский центр в французских Каннах (CHC-SV) объявил о кибератаке, которая привела к тому, что госпиталю 🏥 пришлось прекратить проведение многих врачебных операций из-за недоступности медицинских систем. Часть процедур выполняется вручную. Пока никаких требований выкупа не поступало, расследование продолжается 🕵🏻♀️
Интересно читать заявление больницы между строк. С одной стороны они пишут, что риск кибератаки для них был одним из приоритетных 🔝 и они даже проводили киберучения по его отражению, но при этом недопустимое все-таки произошло и они ничего не смогли сделать, кроме как очень быстро принять решение об отключении медицинских систем. С другой стороны, у них выделены ключевые и целевые системы, которые завязаны на обследования пациентов и ведение электронных медицинских записей) и они в первую очередь фокусируют свое внимание на них, а не на всех системах больницы 🤹♂️
В конце они пишут, что по опыту других больниц, подвергшихся кибератаке 🔓, восстановление может быть очень долгим и займет немало времени, тем самым давая себе пути для отступления и не гарантируя скорейшего возвращения всех медицинских систем в строй 🧑🏼⚕️
ЗЫ. Все попытки разграничить военные и гражданские объекты в киберпространстве, распространить на больницы и другие схожие организации положения Женевской и Гаагской конвенций, разработать маркировку для защиты от кибератак, - это как мертвому припарки. Джин 🧞♀️ выпущен из бутылки и никто правила соблюдать не будет. И если за прошедшие годы от шифровальщиков, атаковавших медучреждения в США, погибло "всего" около 60 человек, то это число может существенно вырасти, если не начать предпринимать серьезные усилия по результативному кибербезу в здравоохранении, а не реализации тупой бумажной ИБ.
Интересные какие курсы на GISEC (завтра начинается) в Дубае 🇦🇪 Создание своего кибероружия... ⚔️ Раньше такие темы на публичных конференциях особо не поднимали 😮 Видимо, напряженность нарастает и в киберпространстве, раз становятся доступными такие мероприятия.
ЗЫ. С завтрашнего дня буду на GISEC и пока не знаю, как получиться постить что-то, но точно будут какие-то наблюдения с того, как видится ближневосточный рынок ИБ ☪️
Synopsys выпустил очередной ежегодный отчет по безопасности и анализу рисков open source (OSSRA) 👨💻 Достаточно пессимистичный взгляд на проблему, особенно после истории с имплантом XZ Utils. Ключевые выводы исследования показаны на картинке, а я хочу в целом отметить только одно - разговоры про то, что open source более защищен, потому что его "могут смотреть тысячи глаз" 🧑💻 - это все полная фигня. Не важно сколько глаз может смотреть на код, важнее - сколько реально смотрит и какова вообще их мотивация смотреть куда-то. Если процесс безопасной разработки не реализован, а используемый чужой код не проходит многоступенчатую проверку, то все это только создает иллюзию защищенности, которая дорого обходится 💻
Читать полностью…На этом фрагменте из статьи 2021-го года я взоржал 😂 Сингапур 🇸🇬 - первая страна, установившая требования по лицензированию ИБ-компаний?.. Это они про закон 2022-го года. Ага, щаз...
Читать полностью…Еще один аналог импланта в XZ Utils найден, на этот раз в проекте OpenJS. Схема та же - некто захотел стать мейнтейнером проекта и "устранять критические уязвимости". Также аналогичные истории были найдены и в двух других JavaScript проектах. По ссылке особых деталей новых кейсов нет, а вот рекомендации по борьбе с ними, - даны.
Читать полностью…По ту сторону баррикад новая тенденция - вместо активного использования модели Ransomware-as-a-Service и работы на крупные группировки ALPHV, Cl0p, LockBit и т.п. с миллионными выкупами 🤑, стали появляться облегченные, не самые навороченные, но при этом дешевые (300-400 долларов) шифровальщики, которые продаются всем желающим 👨💻 и которые нацелены на малый бизнес, а то и физлиц. И самое неприятное, что эта категория лиц скорее всего не будет сильно заморачиваться с обращением в компании по ИБ - им проще будет заплатить, а не строить серьезные системы защиты. И множество таких инцидентов будет оставаться в тени незамеченными 🥷
ЗЫ. Мы в первый день PHD2 хотим как раз в рамках бизнес-трека, на одной из площадок, поговорить про кибербез для самых маленьких - для тех, кто не всегда в состоянии защитить себя также, как это делают крупные предприятия.
ЗЗЫ. В свою очередь LockBit готовит новую функциональность своих «творений», ориентированную на решения Nutanix
ВЧК-ОГПУ стало известно, как хакеры взломали систему отечественного заменителя Макдональдса — ресторана Вкусно и точка. Напомним, в прошлом году вокруг ситуации с утечкой данных 300 тысяч соискателей работы в фастфуд-компании разгорелся нешуточный скандал. ООО Система ПБО (Вкусно и точка) заявляли о хакерских атаках и прочем, но на самом деле следы приведи к «микрокомпьютеру». Так, по версии следствия, не позднее 7 декабря 2022 года, неустановленные лица, осуществили неправомерный доступ к серверам ООО, путем вмешательства в функционирование систем хранения и обработки компьютерной информации. А именно путем установки микрокомпьютера марки «Raspberry Pi» модели «4 Model B 8 Gb» с установленной в него SD-картой, модема модели «IK41VE1» и сетевого коммутатора марки «HIKVISION» марки «DS-3E0105D-E» в терминал самообслуживания ПБО «Вкусно – и точка» в целях модификации (предварительно, хищения) компьютерной информации, хранящейся на серверах. По данному факту на днях было возбуждено уголовное дело по статье 272 УК РФ «Неправомерный доступ к компьютерной информации».
Читать полностью…MITRE взломали. Через уязвимые устройства Ivanti с последующим распространением по исследовательской сети с помощью скомпрометированного пароля админа виртуальных машин VMware. Ранее через Ivanti уже ломали CISA и ряд других госорганов, что навело немалый шухер в США 🇺🇸. MITRE была бы не MITRE, если бы не извлекла и из собственного взлома пользу и не выпустила предложения для отрасли по улучшению ситуации с ИБ.
Читать полностью…Google так и на поляну Endpoint Security залезет через свой браузер... А потом это и Яндекс скопирует? 💡
Читать полностью…Я вот тоже участвовал в DataGuard у Тинькофф и даже получил мерч от них за найденную ошибку/уязвимость в обработке ПДн. А еще у Тинькофф интересное средство автоматизации поиска персональных данных в инфраструктуре. Про это рассказ был на конференции "Защита данных"
Читать полностью…А вот сейчас обидно было... Когда ты не эмигрант, не релокант, не иноагент, а всего лишь временно покинувший пределы родного Отечества гражданин, волею пославшей его работы, выехавший в дружественные к нам ОАЭ 🇦🇪 И тебе блокируют доступ извне к государственным ресурсам и ты не можешь не только получить госуслугу, но и даже получить доступ к сайту госоргана для уточнения контактной информации. И ведь даже VPN не поднимал...
Читать полностью…В 1981-м году профессор Роджер Фишер, специализирующийся на теме переговоров 🤝 и управлении конфликтами в Гарвардском университете, занимался среди прочего и тематикой ядерной войны, включая и тему предотвращения случайного нажатия ядерной кнопки. Согласно предложенной им идеи 💡, пароли доступа от красной кнопки, которая находилась в ядерном чемоданчике Президента США, должны были храниться в капсуле, которая вшивалась в грудь офицера, сопровождавшего президента страны. При этом носитель чемоданчика с кнопкой ▶️, должен был также носить с собой и большой мясницкий нож, которым американский президент должен был сначала убить носителя капсулы, вынуть ее из бездыханного тела, вскрыть ее, вынуть оттуда пароли доступа, после чего уже ввести их для запуска ядерных ракет 🚀
Пентагон отказался от этой идеи, посчитав, что требование убить человека может повлиять на решение 🧐 президента нажать красную кнопку. С другой стороны ее нажатие приведет к смерти не одного, не ста и даже не миллиона, а сотен миллионов человек, что заставит человека десять раз подумать 😦 и, возможно, не допустить ядерного апокалипсиса. Прежде чем убить миллионы тех, кто где-то далеко, сначала надо было убить своими руками одного, того кто рядом. Это реальная история, но интересна она тем, что это очень интересный способ хранения одноразовых паролей, открывающих доступ к несказанно критическим системам, воздействие на которые могло бы привести к настолько катастрофическим последствиям, что я даже не знаю, можно ли такое событие называть недопустимым или ему надо придумывать свой собственный термин 🫡
В 1996-м году, когда Интернета в России еще почти не было и олдскульные ИТшники пользовались FIDOnet для обмена информацией, я столкнулся с первым в моей жизни примером атаки 📌 на цепочку поставок. В одной из эхоконференций (сейчас бы ее назвали каналом), которые распространяли обновления для антивируса Dr.Web 🕸, выложили фейковое обновление антивирусной базы, установка и запуск которой приводили к форматированию жесткого диска 🤦♂️ Прошло 30 лет, а антивирусные компании так и не делают выводы о том, что механизм распределения обновлений должен быть защищен!!!
Индийский 🇮🇳 антивирусный вендор eScan использовал для обновления обычный HTTP, без всякого шифрования (HTTPS), чем не преминули воспользоваться злые северокорейские 🇰🇵 хакеры, предположительно Kimsuky, которые засунули в обновления бэкдор и майнер криптовалют. Avast, нашедшая эту кампанию, назвала ее GuptiMiner. По ссылке "многабукаф", но ключевая идея уже описана - уязвимость в архитектуре обновления и все, амба 🔓
Чтобы у вас не создавалось ложных иллюзий напомню, что в 2017-м году от той же самой фигни пострадала и сама Avast, когда через ее сайт распространяли зараженное ПО CCleaner, которое успело скачать, по разным оценкам, от полумиллиона до миллиона пользователей Интернет 😮 А до этого, в феврале 2008 года, сайт индийского антивирусного разработчика AvSoft Technologies был взломан и на него был инсталлирован вредоносный код, заражающий компьютеры посетителей 😈 В феврале 2004 года, антивирусная компания F-Secure разослала своим подписчикам 👎 в Великобритании письмо с вирусом Netsky.B, а в ноябре 2002 года аналогичным образом отличилась Лаборатория Касперского, список рассылки которой был взломан и тысячи подписчиков получили копии червя Braid 🪱
У меня нет цели показывать пальцем 🫵 и кричать "сапожник без сапог" (все-таки и на старуху бывает проруха), просто отмечу два важных факта:
1️⃣ Сегодня архитекторы ИБ на вес золота 🏗, так как этому нигде не учат, а знания у людей этой специальности обычно выходят за рамки традиционных менеджеров по продуктам или даже разработчиков. Архитектор - это высшая каста ИБшников, которые знают все слабые места системы и могут путем изменения исходного проекта/архитектуры нивелировать потенциальные проблемы, которые потом могут дорого обойтись (по данным Forrester, устранение проблемы на этапе проектирования обходится в 30 раз дешевле 🤑, чем на этапе промышленной эксплуатации).
2️⃣ ZeroTrust придумали не просто так. И если отбросить в сторону маркетинговый булшит, когда вендора рассказывают, что они полностью реализовали ZT в своих продуктах, то важна сама идея, что нельзя никому безоговорочно доверять 🧐 и надо регулярно (в идеале постоянно) проверять любые соединения, попытки доступа, поведение, действия, трафик и т.п. "Доверяй, но проверяй" - это про ZeroTrust!
Ну а корпоративным ИБшникам я бы посоветовал при работе со своими вендорами по ИБ:
1️⃣ Узнать, есть ли в компании архитектор (не по должности, а по сути) и пообщаться с ним, чтобы он рассказал вам про архитектуру предлагаемого решения, а не просто зачитал маркетинговую листовку 🙏
2️⃣ Уточнить, как происходит обновление ваших продуктов; не важно, идет ли речь о сигнатурах, правилах, фидах TI, или об обновлении самого ПО 🆕
3️⃣ Разработать плейбук в расчете на то, что именно через обновление доверенного поставщика к вам прилетит бяка (посмотрите рекомендации ФСТЭК по обновлению ПО, там есть здравые мысли о том, как проверять все апдейты).
ЗЫ. Кстати, на PHD2 у нас будет целый Evasion-трек про обход средств защиты информации и что с этим делать...
Сначала вы говорите, что в QR-кодах может скрываться угроза и ни при каких условиях не надо сканировать их, если вы на 101% не уверены в чистоте кода 🤓 А потом вы делаете QR частью Passkeys и призываете всех сканировать QR. И все это за пару лет 😈 Такая вот динамическая ИБ в стиле Agile...
Читать полностью…Еврокомиссия выпустила рекомендации по разработке дорожной карты по переходу на постквантовую криптографию 🤒 Ничего интересного в документе нет - одни разговоры о приверженности защите цифровой Европы, необходимости переходить на постквантовую криптографию, необходимости выбора стойкого и устраивающего все государства ЕС алгоритма и бла-бла-бла. Сама дорожная карта 🗺 должна быть разработана в течение ближайших двух лет, до 11 апреля 2026 года.
Читать полностью…Комикс про независимого расследователя по киберстрахованию. Создает чувак в свободное время, на свои деньги, реализуя детскую мечту… 🤤 В третьей части он выкрадывает оператора русской ransomware-группировки и оставляет его перед офисом ФБР 👮♂️ Сказочник 😂
Читать полностью…Часто публикуемые исследования показывают, как обойти, заблокировать или удалить агенты EDR 📌 с рабочих мест, а то, что было представлено на BlackHat Asia в докладе "The Dark Side of EDR: Repurpose EDR as an Offensive Tool" показывает, как превратить PaloAlto Cortex XDR в скрытое и эффективное средство нападения, сильно напоминающее вредоносный код. Исследователи обошли все защитные модули - машинного обучения, поведенческий, контроля целостности и т.п. 🔫
В итоге авторам исследования удалось закрепиться на атакуемой системе, красть пользовательские креды, шифровать данные на компе, дампить память (LSASS), скрывать уведомления о вредоносной активности, обходить механизмы обнаружения и действовать у XDR под носом. Исследователь говорит, что другие EDR он может обойти схожим способом... 🔓
ЗЫ. Презу пока не выложили, а другие можно глянуть тут
EdgeScan выпустил отчет с интересной статистикой по уязвимостям, который интересен своими цифрами. Пусть он и за прошлый год, но не думаю, что ситуация сильно меняется. Из ключевых тезисов:
1️⃣ 3 из 100 активов в корпоративных сетях имеют не менее одной уязвимости с вероятностью эксплуатации выше 70%
2️⃣ 2 из 100 активов в корпоративных сетях имеют не менее десяти уязвимостей с вероятностью эксплуатации не менее 70%
3️⃣ 3,42% всех активов имеют не менее одной уязвимости с EPSS > 0,7
4️⃣ В Топ10 чаще всего атакуемых портов (49,8% всех портов), доступных извне, входят 443 (TLS/HTTPS), 80 (HTTP), 161 (SNMP), 1720 (H.323), 500 (IKE), 22 (SSH), 5060 (SIP), 2000 (SSCP), 8443 (HTTPS) и 541 (Fortinet). Особенно последний член десятки заставляет задуматься 🤬
5️⃣ 45% непатченных уязвимостей имеют возраст от 1 до 4 лет
Ну а выше показаны средние сроки устранения уязвимостей для web-приложений, а также сетевых устройств, доступных и недоступных извне. Тоже показательная история 😭
Microsoft анонсировала очередную нейросеть для создания дипфейков генерации видео по отдельным фото и аудио. Речь идет о VASA, которая пока доступна в виде презентации, но скорее всего гигант из Редмонда ее выпустит в обозримом будущем. И да, там будут всякие защиты от генерации дипфейков и использования ее мошенниками, но, во-первых, мы знаем, как это все обходится, а во-вторых, если это сделала Microsoft, то могут и другие, не столь щепитильные 🎭
Нейросетка интересная - на вход получает фотографию человека 🤒 и любой голосовый фрагмент, которые затем объединяются в единое целое. При этом фото превращается в видео, а голос синхронизируется с движением губ, получая целостную картинку. При этом лицо можно крутить в нужные стороны и показывать его с нужных ракурсов 🧐
2024-й год станет переломным с точки зрения дипфейков... Страшновато немного.... 😱
Созданный АНБ в сентябре центр безопасности искусственного интеллекта 🧠 выпустил новое руководство по безопасному внедрению систем на базе ИИ. Открытий ждать не стоит - по сути речь идет о применении традиционных защитных мер 🛡 к системам с ИИ (MFA, ZeroTrust, защита API, защита виртуальных машин и контейнеров, патчинг, пентесты и т.п.). С одной стороны все банально и ожидаемых рассказов про защиту датасетов от атак data poisoning, защиту моделей 😵 от накруток и т.п. не случилось. А с другой это и хорошо - традиционные и уже привычные механизмы ИБ просто нужно применить к новым системам.
Читать полностью…Сотрудники оператора связи T-Mobile, который все время отрицает свои взломы и утечки ПДн, столкнулись с массовыми предложениями денег за реализации атак SIM Swapping (выдача SIM-карты с номером действующего абонента оператора связи мошеннику) 📱
Не будем отрицать, что сотрудники операторов связи не боги и вполне себе падки на взятки и желание незаконно заработать 🤑 Не случайно именно они вместе с банковскими сотрудниками чаще всего становятся героями криминальных хроник пробивов ПДн. Если они готовы сливать ПДн за копеечку малую, то и организовать SIM Swapping тоже вполне могут. И тут впору задать вопрос - а вы еще по-прежнему реализуете MFA на базе одноразовых кодов в SMS? ❓
Ведь если ваш ответ утвердительный, то это значит, что вы можете стать жертвой SIM Swapping и злоумышленники одноразовые коды аутентификации могут завернуть на себя, а вы об этом даже не узнаете. Подумайте об этом на досуге и попробуйте посмотреть в сторону иных способов MFA 📵 - хотя бы через пуши в приложениях типа Яндекс.Ключ или Google Authenticator. А в идеале вообще выбирать для критичных сервисов что-то более надежное, железное и отчуждаемое... 💳
🤠 В России начинает работать очередная ассоциация... по защите персональных данных. Спустя 18 лет с момента принятия закона. Конечно же ее преподносят как "первую". Организаторов тоже называют "заметными экспертами в своих нишах" (видимо они же сами). Лично мне они не известны 🤷 И кажется, что ничего хорошего из этого не получится.
ЗЫ. А еще Яндекс, Авито, Тинькофф и Билайн разработали свой стандарт защиты данных.
Подумал, что 4 основных мировых киберугрозы (по версии США и сателлитов), Россия, Иран, Северная Корея и Китай, прекрасно собираются в аббревиатуру РИСК 💡 Был у нас БРИКС (особенно в контексте свежих новостей), а теперь будет РИСК!
Читать полностью…Безопасность данных в компании обеспечивают далеко не только специалисты ИБ. Причиной утечки может быть любой рядовой менеджер, установивший на компьютер вредоносное ПО. Тут важны комплексные инициативы.
На конференции Data Fusion вице-президент и директор департамента информационной безопасности Тинькофф Дмитрий Гадарь рассказал об одном из вариантов решения проблемы. Банк развернул у себя внутри комплексную программу поиска уязвимостей DataGuard на все 90 тысяч человек.
Каждый сотрудник может сообщить о найденной уязвимости или ошибке и получить вознаграждение в виде внутренней валюты Тинька и потратить их во внутреннем магазине на технику, гаджеты и мерч. Пул жалоб, за который можно получить вознаграждение, максимально широкий и связан далеко не только с IT: рискованные бизнес-процессы, проблемы с разграничением доступа к данным, передача избыточных данных.
У компании это уже не первая инициатива подобного рода:
➖ есть привычные для рынка программы bug bounty, в рамках которых Тинькофф выплатил «белым хакерам» более 25 млн рублей.
➖ проходят соревнования Month of Bugs по поиску уязвимостей за вознаграждение, а также чемпионат по спортивному хакингу среди сотрудников CTF.
Понимание каждым сотрудником важности защиты персональных данных и данных организаций — ключевое звено в цепочке информационной безопасности. Такой подход позволяет предотвратить потенциальные угрозы и создает прочную основу для доверия клиентов, укрепляя репутацию компании как надежного хранителя данных.
Тем временем Forrester констатировал, что "классическое" повышение осведомлённости, базирующееся на использовании решений SA&T (Security Awarness and Training), мертво — наступила эра решений HRM (Human Risk Management)🤔
На скриншотах можно увидеть сценарии использования решений HRM и описание функциональности, которые я стащил отсюда😅
В общем-то, проблемы и недостатки классического "аварнесса" очевидны — "человек не исправим", а если служба ИБ ещё зациклится на классических метриках типа "сколько кликнуло по ссылке/сколько ввело учётные данные/сколько обучилось", то можно пошатнуть психологическое здоровье сотрудников компании🫠
Ок, что тогда делать? Приходим к мысли формирования группы повышенного риска — тоже очевидная вещь, которой скоро будет десяток лет. А дальше? Дальше надо ставить особо доверчивых сотрудников "на карандаш" — т.е. как минимум сообщать коллегам из SOC, чтобы их взяли под особый контроль, и применять более "жесткие" политики средств защиты и мониторинга. HRM-платформы призваны решить проблемы, связанные с более точным определением уровней риска, групп риска и интеграции с различными техническими средствами защиты, с целью автоматизации реагирования на "приоритетные риски", рождаемые невнимательными сотрудниками.
А в целом, интеграция решений класса SA&T или HRM в единую систему защиты всегда неизбежна, хотя бы для того, чтобы нормально сформировать группы риска, учитывающие различные критерии поведения сотрудников💯