Пост Лукацкого

06 февраля 2023 08:57

К разговору о том, что ИБ - это не только технологии и оргмеры, но и другие задачи, под которые тоже нужны люди. В российских компаниях (правда, немаленьких), в их службах ИБ, уже появляются новые должности, о чем и написал в блоге

Пост Лукацкого

05 февраля 2023 19:45

«Исчерпывающе описано конечным числом первых событий…» Нууу, такое… Посмотрел бы я на современное ИТ-решение, которое имеет конечное число состояний и событий и для которого исключены недокументированные возможности. Возможно, где-то в теории такое и существует, но вот на практике…

Пост Лукацкого

05 февраля 2023 15:34

Похоже, что авторы вместо КИИ по закону рассматривают КИИ по смыслу. Ну как всерьез можно утверждать, что для какой-нибудь почтовой системы районной поликлиники недопустимы остаточные риски (а это тоже КИИ)? Само упоминание недопустимости событий мне импонирует, но вот вывод… Это для какой-нибудь системы управления прохождением нефтепродукта по трубопроводу можно всерьез рассматривать, что остаточные риски недопустимы; и то с оговорками. Даже для АЭС есть остаточные риски, вполне себе допустимые.

ЗЫ. Это в теории нет разницы между теорией и практикой. А на практике есть.

Пост Лукацкого

05 февраля 2023 11:14

Книга предлагает за счет асимптотического повышения уровня защищенности стремиться к идеальной ИБ. Уже одно это утопия, но на ней построена вся книга. Но это и удобно. Не надо разбираться в реальной работе SOCа и его компонентов. Достаточно сказать, что мы идем к идеалу "как должно быть". Поэтому можно приводить вот такие формулы оценки качества детекта…

Пост Лукацкого

04 февраля 2023 20:08

Ода режиму шифрования ECB (Electronic Code Book)

Пост Лукацкого

04 февраля 2023 15:00

Для обхода санкций и возможности доступа к ресурсам Сбера с зарубежных браузеров банк стал использовать «неофициальные» домены, например, securecardpayment[.]ru и secure-payment-way[.]ru. Оно и понятно - бизнес есть бизнес и терять клиентов никто не хочет. Но тут мы видим прямое нарушение рекомендации, которую ИБшники дают уже много лет, - проверяйте домены, на которые ходите. А тут как быть? Вот, например, скриншот фишингового домена microsoftidentity[.]dev для аутентификации в сервисах Microsoft.

Пост Лукацкого

04 февраля 2023 11:11

OSC&R (Open Software Supply Chain
Attack Reference) - база знаний, описывающая тактики, техники и процедуры, используемые злоумышленниками для атак на цепочки поставок программного обеспечения.
Структура фреймворка OSC&R аналогична MITRE ATT&CK. Разработана бывшими и действующими сотрудниками Gitlab, Microsoft, Google Cloud, Check Point и OWASP.

Пост Лукацкого

04 февраля 2023 07:40

Слабый пароль в GitHub теперь считается как CVE? Вы серьезно? Я таких CVE тысячами могу нагенерить!

Пост Лукацкого

03 февраля 2023 17:40

Дорвался я что-то до отечественной ИБ-литературы (что книги, что диссертации)... Ох, зря... Но тут я не мог пройти мимо, все-таки темой SOCов я занимаюсь давно, а тут прям целая книга, да еще и с научными основами. Дай, думаю, просвещусь. Вообще, всегда удивлялся писучести ВУЗовских преподавателей. Строчат книги пачками; когда только успевают студентов учить... Ну да ладно, к книге.

Скажу честно, не зашло. Вот вообще. Ни научной ценности не увидел, ни практической. Построить даже SOC, не говоря уже о ЦПК (отличие в фокусе на предотвращении, а не мониторинге, но не суть), по этой книге нельзя. Даже высокоуровневая архитектура SOC нормально не описана; не говоря уже о низкоуровневой. Из нескольких десятков процессов SOC худо-бедно описаны 4 (и то есть вопросы). Модель зрелости SOC упомянута, но не описана. Технологический стек ограничивается преимущественно SIEM и ЖРС (это Log Management по-русски). Раздел про SIEM 3.0 убил окончательно - предлагается строить совершенные SIEMы на базе блокчейна (я бы посмотрел хотя бы на прототип системы, которая осуществляет запись в блокчейн хотя бы нескольких миллионов событий в сутки, не говоря уже о миллиардах). Утверждается, что даны вербальные описания ключевых индикаторов компрометации, но я их не нашел 🙁 Практические основы работы с источниками телеметрии?.. Нет. Use cases, плейбуки, RE&CT?.. Нет, не слышали.

Окончательно гвоздь в крышку ⚰️ забил раздел про практическую значимость книги и указание примеров организаций, в которых якобы было проведено внедрение в промышленную эксплуатацию описанных в книге результатов исследований. Но так получилось, что я в курсе того, как строилась система мониторинга в как минимум двух упомянутых автором солидных организациях. Там описанного в книге нет 🙁 А вот с тем, что материалы книги нашли свое отражение в ФГОСах 3 и 3+ по ИБ, верю.

Вообще все очень поверхностно - даже обидно при таком количестве свободно находимой в Интернет литературе. Я даже не говорю о минимум десятке книг по SOCам (именно по SOCам, а не по отдельным его процессам - реагирование, TI, аналитика, визуализация и т.п.; в этом случае только книг было бы под сотню), которые были выпущены за последнее время. Статей, WP и брошюр по теме еще больше. У меня только в электронной библиотеке таких, с любовью собранных и отсортированных, материалов 800+. То есть даже ради списка литературы книгу я бы не рекомендовал (хотя обычно у пишущих вузовских преподавателей самое ценное в книгах это именно этот раздел).

ЗЫ. А может просто это зависть во мне говорит, что я не книг давно не выпускал, ни диссер так и закончил (хотя дважды брался)? Мне тут предъявили, что я критикую одно ИБшное мероприятие потому что меня в программный комитет не позвали... Пойду к коучу-психотерапевту на сессию запишусь - может он мне подскажет, что ж я все критикую-то. Может проблема с ИБ все-таки не вокруг, а во мне?

Пост Лукацкого

03 февраля 2023 12:17

Получаем много вопросов о том, какую профессию в сфере информационной безопасности выбрать, куда пойти учиться, и чем именно занимаются наши сотрудники. Поэтому мы решили подробно разобрать тему профессий в ИБ в новом сезоне подкаста «Hack me, если сможешь».

В первом эпизоде поговорим с ML-инженерами. Гости выпуска, руководитель отдела перспективных технологий Александра Мурзина и старший специалист отдела перспективных технологий Артем Проничев, расскажут, как устроена их работа в Positive Technologies, какие стеки технологий используют, куда можно развиваться работая ML-специалистом в ИБ и как попасть к ним в команду.

Будем рады поддержке этого выпуска лайком и репостом ❤️

Пост Лукацкого

03 февраля 2023 09:02

ПО автомобиля нельзя обновить, потому что владелец живет на холме (дорога крутая). Интересная история… Если чуть подправить код (а я думаю, там простая бинарная проверка), то можно просто реализовать угрозу (даже можно сказать недопустимое событие для владельца авто), когда авто будет нельзя обновить вовсе

Пост Лукацкого

02 февраля 2023 20:22

Представил… Поехал я на Магнитку 🧲, вышел на горнолыжный склон, стою, пью глинтвейн, осмысливаю доклад «Как достойно выстоять в противостоянии «Приказ ФАПСИ №152 vs. IIoT»… Подходит ко мне афроамериканец, говорит «Хаузит» («привет» на африкаанс) и намекает, что он сотрудник южноафриканских спецслужб. Я, конечно, сразу же сообщаю, что знаком с российскими спецслужбами, забыв упомянуть, что у многих из них я в черном списке ;-) Картина маслом…

ЗЫ. На Магнитку я, кстати, еду ✈️, а название доклада взято из программы. Все остальное - художественный вымысел. В контактах с южноафриканской разведкой пока не замечен.

Пост Лукацкого

02 февраля 2023 17:40

Навороченная Intelligence Architecture Mindmap, которая базируется на интервью с кучей экспертов по ИБ и разведке о том, как проводится анализ информации при принятии решений в области ИБ.

ЗЫ. Сам черт ногу сломит - надо сильно увеличивать.

Пост Лукацкого

02 февраля 2023 12:14

Кстати, портал НКЦКИ (safe-surf.ru) обновили. Симпатичненько так получилось.

ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?

Пост Лукацкого

02 февраля 2023 09:38

А это варианты дашбордов для темы внутреннего аудита, включая и вопросы кибербезопасности, оценки защищенности приложений и т.п.

Пост Лукацкого

06 февраля 2023 05:40

Обзор 12 онлайн-курсов по ИБ (многие бесплатные, но все на английском) с получением сертификатов по окончанию

Пост Лукацкого

05 февраля 2023 17:49

Зачем писсуару SD Card? Они бы еще TouchID туда встроили. Бездумная автоматизация и интернетовещейоснащение…

Пост Лукацкого

05 февраля 2023 13:19

Конфликты, они всегда одинаковы, что физические, что виртуальные. Один думает, что он прав, другой - что он сильнее. А сгорают в итоге оба ;-(

ЗЫ. Бардин все-таки гениальный мультипликатор.

Пост Лукацкого

05 февраля 2023 07:40

Сегодня у нас опять книжный день. Купился на аннотацию еще одной отечественной книжки, в которой рассказывалось о SOCах в КИИ, мониторинге ИБ в КИИ и т.п. Вот такой типовой SOC предлагается строить - все на нейросетях… но немного умалчивается момент, связанный с обучением нейросетки. Где взять реальные события для обучения? Список датасетов в приложении к книге есть, но он немного устаревший и совсем неполный - обучить на нем современный SOC невозможно ☹️

Пост Лукацкого

04 февраля 2023 17:27

Челядь самарского губернатора Дмитрия Азарова сообщила о взломе портала с отчётом об исполнении самарской «Народной программы» «Единой России». Экстравагантное заявление о порче базы данных появилось после того, как выяснилось, что портал набит мусором. В буквальном смысле – случайными числами и стоковыми картинками. Бесстыжую халтуру Дмитрий Азаров богато продал Андрею Турчаку («только в Самаре», «уникальное», «выполнено 5400 объектов» и т.п.). После фотосессии с планшетом (лица мыслителей, думы о народе, бровки домиком) самарский фуфел был рекомендован Турчаком к повсеместному внедрению.
Тем временем объявлена премия 100 тыс. руб. тому, кто найдет азаровскую Народную программу - 2018. В неё, якобы, внесены 340 тыс. предложений от 205 тысяч граждан. Парадоксальным образом программы нет на «взломанном» портале с отчётом о её исполнении, а на месте портала для сбора предложений – реклама казино. Исчезло и приложение «Мы вместе», которое по заказу Департамента управления делами Азарова было разработано за неделю и 24 млн.руб. бывшим продавцом М-Видео.  Как, впрочем, нет и никаких следов того, что кто-либо интересовался Народной программой - 2018 до губернаторских выборов - 2023. Из 205 тысяч граждан телеграмм-каналом Народной программы заинтересовалось 84 человека. Её «уникальный информационный портал» имеет нулевую посещаемость и по какой-то необъяснимой причине не образует единое целое с официальным сайтом «Единой России». Обвинить хакеров в отсутствии интереса к продуктам губернаторской жизнедеятельности сложно. Поэтому стоит задуматься о том, насколько народной оказалась азаровская Народная программа - 2018. Если она вообще когда-либо существовала кроме как медийный фантом.  

Пост Лукацкого

04 февраля 2023 13:06

ФБ напомнил, что 10 лет назад я задавался сакраментальным вопросом, который в неизменном виде могу снова задать и сейчас. Все-таки есть стабильность у нас в стране, есть…

Пост Лукацкого

04 февраля 2023 09:40

Не работала учетка ребенка в школе. Написал в поддержку, получил гениальный ответ!

Пост Лукацкого

03 февраля 2023 20:32

Регулярно стал видеть такое в соцсетях. Будьте бдительны - включите хотя бы двухфакторную аутентификацию!

Пост Лукацкого

03 февраля 2023 15:12

Запись митапа Яндекса про внутреннюю кухню ИБ ИТ-компании. 4 доклада про безопасность финтех-сервисов в Yandex Cloud, методы защиты от современных DDoS-атак, организацию привилегированного доступа к Linux-инфраструктуре, автоматизацию процессов безопасности в корпорациях.

ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.

Пост Лукацкого

03 февраля 2023 10:31

В прошлой заметке, когда я упомянул СПЧ, предлагающего приравнять защиту ПДн и гостайны, еще была надежда, что член СПЧ Кабанов ошибся, но теперь все встало на свои места. Тот же член предлагает аккредитовывать все организации, работающие с персданными 🤡. И ничего, что каждое российское юрлицо и ИП работает с ПДн. А потом этот член вспомнит, что раньше от каждого оператора ПДн требовали лицензию на ТЗКИ… 🥳

Пост Лукацкого

03 февраля 2023 05:40

Спорил с преподавателем английского на тему, что такое искусство и, в частности, перформанс. Я придерживаюсь мысли, что, если в центре выставки наложить кучу говна, то это будет куча говна. А препод считает, что если автор вложил в это некий смысл и вокруг кучи говна строится целая история, то это уже перформанс.

К чему это я? На фото взломанная (или упавшая) винда, управляющая подсветкой колонн в торговом центре. Это я так приземленно думаю. А айтишник ТЦ может представить это как перформанс, демонстрирующий иллюзорность этого мира, ненадежность столпов, основ, на которых держится все наше мироздание.

Пост Лукацкого

02 февраля 2023 17:41

Intelligence Architecture Mindmap в хорошем разрешении

Пост Лукацкого

02 февраля 2023 15:01

Во-первых, это красиво - если убрать слово компьютерной (а это вполне допустимо), то название книги состоит из 9 существительных подряд. Во-вторых, уже на первых страницах авторы, ссылаясь на "Теорию положений о криминологии" Беккария и Бентама, строят свою методику прогнозирования атак на предположении, что если:
😈 у человека есть возможность совершить преступление и
😈 человек в случае совершения преступления получает достаточную (с точки зрения нарушителя) полезность,
то любой человек становится нарушителем.

То есть если бухгалтер может (а он может) перевести 25 миллионов рублей на подставной счет и при его зарплате в 50 тысяч рублей этой суммы ему хватит на 40 лет, то, согласно теории, такой бухгалтер станет обязательно нарушителем?.. И с этим тезисом я как-то пока не могу согласиться - буду читать дальше. Может по ходу авторы обоснуют свою методику. Пока же это выглядит странновато. Хотя эта же исходная предпосылка позволяет гораздо проще предсказывать атаки - вокруг же одни враги!

ЗЫ. Но обзор методик моделирования угроз и рисков, включая и методику ФСТЭК, сделан в целом неплохой.

Пост Лукацкого

02 февраля 2023 10:10

На календаре 2 февраля, а это значит, что наступил 2nd FActor Day!
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация✔️
Например, на сайте Гослуслуг или в Telegram.

А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.

Пост Лукацкого

02 февраля 2023 07:47

🤔 Как управлять компанией в период цифровой трансформации и под шквалом кибератак? Как при этом выполнить положения Указа Президента №250 и организовать собственную «команду кибербезопасности»?

Поговорим об этом на вебинаре, который пройдет 2 февраля в 11:00. Кроме того, обсудим:

🔸новое понимание роли руководителя в обеспечении киберустойчивости компании, и как эта роль соотносится с требованиями регуляторов;

🔸как участие руководителя в решении вопросов информационной безопасности помогает избежать катастрофических последствий кибератак;

🔸что вообще происходит в кибербезопасности: в мире, России, отраслях и компаниях.

Также на вебинаре анонсируем программу по ИБ для топ-менеджеров «Киберустойчивая организация: управление компанией в цифровом шторме», которую Positive Technologies запускает совместно с МГУ.

🔗 Зарегистрироваться на вебинар можно на нашем сайте.

#PositiveWebinars