Несмотря на то, что сейчас идет RSAC, а через пару недель начнется PHDays, я еще не закрыл тему с GISEC. Выложу просто нарезку разных стендов с этой ИБ-выставки (еще парочка видео и на этом мои монтажёрские опыты закончатся) 😱
Читать полностью…В России представили первую дорожную карту по ИИ для ИБ‑специалистов 🗺. Если вам эта тема интересна, то у одного из авторов карты есть свой канал про ИБ ИИ. Также не могу не сказать, что на PHD2 (23-26 мая) у нас будет отдельный трек по связки ИБ и ИИ, а также отдельные выступления и дискуссии по этой теме в рамках бизнес-трека. Кроме того, 27 мая в Москве пройдет 2-й форум "Технологии доверенного искусственного интеллекта". Самое время прокачаться в этой области 🧠
Читать полностью…7 мая 1983 года, в фильме “Военные игры” впервые использовали термин firewall 🤬 так, как мы его сейчас и применяем! Так что снова с праздником 🎆 4️⃣1️⃣ годик 👍
Читать полностью…Когда все жалуются на пробки на отечественных мероприятиях по ИБ, вы еще не видели, что ждет участников RSA Conference, которая началась 3 минуты назад. Некие новые индустриальные стандарты безопасности, требуют дополнительный скрининг фотоаппаратов, зонтов, визитниц, чехлов для очков и даже таблетниц 👀
Читать полностью…Начнем с некоторых дат 🗓:
10 августа 2020 - появляется группировка DarkSide 🕶
7 мая 2021 - DarkSide взламывает Colonial Pipeline 🛢
8 мая 2021 - Colonial Pipeline платит выкуп 🤑
13 мая 2021 - DarkSide прекращает все свои операции 🤒
31 июля 2021 - появляется группировка BlackMatter
1 ноября 2021 - BlackMatter прекращает все свои операции 🤒
21 ноября 2021 - появляется группировка BlackCat 🐈⬛
2 февраля 2024 - RansomHub анонсирует новый сервис RaaS 🔈
21 февраля 2024 - BlackCat атакует Change Healthcare 🐈⬛
1 марта 2024 - Change Healthcare выплачивает выкуп 🤑
5 марта 2024 - BlackCat прекращает все свои операции 🤒
8 апреля 2024 - RansomHub заявляет, что у них все данные, украденные у Change Healthcare
Группировки, скрывающиеся под именами DarkSide, BlackCat, BlackMatter (не путать с BlackBasta) исчезали с радаров после шумных взломов, которые становились серьезной проблемой национального масштаба в США и привлекали ненужное внимание к деятельности группировки ❗️
У экспертов есть подозрение, что это все одна и та же группировка, которая сейчас активно наращивает возможности и восстанавливает инфраструктуру. Возможно, RansomHub - это временное название перед тем, как будет выбрано что-то темное с приставкой Dark или Black. Подождем 😲 А пока Евросоюз решил наложить санкции на группировку APT28, за которой, как считают, стоит Россия 😏
Никогда такого не было и вот снова - немецкие военные забыли правильно сконфигурировать систему видеоконференций Cisco Webex 🤦♂️ и выставили на всеобщее обозрение тысячи записей прошедших встреч, в том числе и с секретной информацией 😠
ЗЫ. Спасибо подписчику за ссылку 🤗
И еще один альянс, в который входят разные группировки, в том числе и другие альянсы (например, Cyber Team Indonesia, состоящая из более чем десятка других группировок). В этой истории интересно не то, как тасуются группировки, входящие то в один, то в другой альянс 🤗, а сам факт консолидации усилий, когда ранее разрозненные группировки начинают обмениваться целями, тактиками, координируют свои действия. Это, прям, интересный поворот в развитии компьютерного подполья. Посмотрим, куда это дальше все пойдет 🧐
ЗЫ. У нас на бизнес-треке PHD2, кстати, в последний день будет несколько докладов на тему кибервойн, киберпреступности, черного рынка ИБ и т.п.
Во времена Холодной войны, так и хочется добавить «Первой», американские моряки пытались разработать способ защищенной коммуникации для подлодок 🤿, основанный на звуках, издаваемых китами, дельфинами, морскими львами и другими морскими животными 🐋
Почти 20 лет шли исследования и эксперименты, которые закончились… ничем. И технологии на тот момент были неспособны решить задачу, и, как утверждают морские биологи 👩🔬, она в принципе нерешаема.
Похоже у американцев свой Амвросий Амбруазович Выбегалло 😐 из «Понедельник начинается в субботу» Стругацких был. «Наш», правда, речь обезьян 🙊 записывал и расшифровывал…
Однако, само направление мысли 💭 интересное 💡
А такими мне запомнились "рукастые" активности 🤹♂️ на GISEC - киберучения, различные лабы, киберполигон, который никто не ломает, но выглядит он красиво 🎪, Escape Room и все такое
Читать полностью…У вас есть умный дом? 🏡 если вдруг у вас внезапно погас в нем свет 💡, не спешите звонить в Россети ⚡️ Возможно его атаковали хакеры, о чем они стали писать в своих каналах ✍️
На майских праздниках, в перерыве между шашлыком и копанием грядок впору глянуть в документацию на «умный дом» и поменять пароли и порты, заданные по умолчанию, в т.ч. и в облачных админках, а также настроить автоматическое обновление ПО и прошивок ☝️
Когда уведомление об инциденте вы получаете в виде обычного, а не электронного письма 📨, то не значит ли это, что и email у жертвы накрылся медным тазом? Но у нее осталась база клиентов, что уже неплохо 😎 Во всем надо видеть позитив (даже в красном прямоугольнике сверху 🥰)
Читать полностью…В Даркнете продается доступ к админским панелям 3000 (!) Fortinet’ов, скорее всего с непатченными уязвимостями в SSL VPN, и позволившими получить несанкционированный доступ. Причем уже не в первый раз Fortinet оправдывает свое неформальное название «форточки», через которые хакеры пролезают внутрь инфраструктуры. Так они скоро подвинут Ivanti с пьедестала (сейчас они на втором месте по числу активно эксплуатируемых уязвимостей).
- Вы еще не поменяли чужестраный NGFW?
- Тогда хакеры идут к вам (если уже не пришли)
Запись эфира подкаста "Безопасно говоря" от Яндекс.Облака про безопасность в облаках 🌩, в котором мне довелось поучаствовать и где меня и Муслима Меджлумова назвали мастодонтами рынка ИБ 🦣
Читать полностью…Наконец, MITRE завершает поддержку TAXII 2.0, переходя на 2.1, что позволит расширить возможности ATT&CK Navigator и Workbench (для описания собственных компонентов, отсутствующих в оригинальной матрице). Из других планов:
1️⃣ Расширения числа техник для Linux и macOS
2️⃣ Фокусировка на облаках и контейнерах
3️⃣ Сдвиг в сторону описания логики обнаружения в формат, приближенный к современным SIEM
4️⃣ Появление подтехник для АСУ ТП версии матрицы
5️⃣ ATT&CK Navigator, Workbench и сам сайт будут переработаны для большего удобства и эффективной работы с группировками, вредоносами и кампаниями
6️⃣ Планируется развитие сообщества ATT&CK в Европе и Азии
7️⃣ Пересмотр подхода к описанию мер отражения атак, чтобы он был более практичным и применим различными средствами защиты за счет описания не только в формате Splunk, но и за счет добавления конкретных идентификаторов событий, например, для платформы, Windows.
Я уже писал о том, как была представлена тема искусственного интеллекта в ИБ на прошедшей в Дубае GISEC, а теперь и небольшое смонтированное мной видео подоспело 🧠 Режиссер и монтажер из меня такой себе, но настроение, надеюсь, передал!
Читать полностью…Шутки про "киберимунные ИИ-системы на базе блокчейна для защиты данных в построенных на ИИ бизнес-приложениях от ИИ-атак" шутками, но на RSAC и правда много все вокруг искусственного интеллекта. Вот только некоторые из представленных решений:
🧠 AISIRT (AI Security Incident Response Team) от Университета Карнеги-Меллона, прародителя CERT/CC. Ребяты встроили управление инцидентами с ИИ в общие процессы CSIRT. Скоро во всех SOCах страны...
🧠 Включение функции обнаружения и реагирования в решения класса SaaS Security Posture Management (SSPM) применительно к ИИ-приложениям
🧠 Ассистент Deep Instinct’s Artificial Neural Network Assistant (DIANNA), который помогает разбираться в неизвестных угрозах (этакий co-pilot для реверс-инжиниринга)
🧠 Generative AI Security Scanner
🧠 DLP для разных GenAI тулов для отслеживания конфиденциальной информации, которую используют в ChatGPT и всяких иных инструментах GenAI
🧠 AI-based Cyber Resiliency as a Service (CRaaS) - обычный анализ прилетающей телеметрии с помощью ИИ (тут больше маркетинга, чем чего-то нового)
🧠 Различные LLM Firewall, которые, как и CASB, включают в себя кучу разных фич от разных технологий (контроль доступа, Zero Trust, DLP и т.п.), но применительно к LLM-сервисам.
Особенно мне понравилось в описании одного продукта полное ИИ-булшит-бинго: "...uses statistical analysis, machine learning, and generative AI, including LLM and NLP models". А используется это все многообразие для анализа купленных компанией стека технологий ИБ и поиска слабых мест в архитектуре кибербезопасности организации. Хотел бы я посмотреть на это чудо 😎
Ну и у каждого второго реализовано обнаружение угроз с помощью ИИ, а у каждого первого - ИИ-ассистент для аналитиков ИБ. Как я и упоминал после GISEC, если у вас в продукте нет ИИ, то делать на международке вам нечего 🖕
Как вы знаете, грядущий PHD2 пройдет в космической стилистике. И это не только потому, что весной празднуется 90-летие со дня рождения Юрия Гагарина 👨🏻🚀. Космос становится новой ареной кибербитв и число атак на спутники, космические аппараты, центры управления полетами и т.п. только растет (вот только некоторые примеры). Но сейчас не про PHD (хотя про атаки на космос там тоже будут выступления) 🛰
Американская Счетная палата завершила аудит трех проектов NASA (Gateway Power and Propulsion Element, the Orion Multi-Purpose Crew Vehicle, and the Spectro-Photometer for the History of the Universe, Epoch of Reionization and Ices Explorer (SPHEREx) и обнаружила, что, с одной стороны, NASA требовала от всех подрядчиков соблюдения требований по ИБ 👍, а с другой - выпущенный в 2019-м году стандарт по ИБ космических систем в этих требованиях не учтен, а выпущенные в прошлом декабре лучшие практики по безопасности космических систем остаются рекомендуемыми, а не обязательными 👀
NASA в своем ответе согласилось с предложениями Счетной Палаты, но при этом отметило, что есть два нюанса:
🚀 NASA запускает совершенно разные космические аппараты - от малых спутников до управляемых шатлов с людьми, и поэтому требования не могут быть едиными.
🚀 Вычислительная техника, используемая в космосе, отличается от земной, и поэтому ряд технических решений по ИБ нетривиально.
Но в целом интересно, что Счетная Палата проводит анализ защищенности не только корпоративных систем или АСУ ТП, но и достаточно сложных проектов, таких как космические.
Если вы думаете о резервном способе аутентификации 👣 на смартфоне на случай забывчивости пароля, потери пальцев или перекошенного с перепоя от укуса пчелы лица, то подумайте об использовании биометрии своих питомцев, которые всегда под рукой 🐹
Спасибо подписчику за видео!
Хакер 👨💻 - это призвание или результат воспитания/обучения? Вопрос философский. Скорее все-таки призвание. А вот переход на черную или белую сторону - это уже воспитание. Так начинается статья с рассказом о Кевине О'Конноре, который со средней школы был хакером, потом, уже в университете, учился на аналитика ЦРУ, а потом, после ряда бесед с сотрудниками АНБ, он попал в их ряды, став "государственным хакером" 🫡, как он сам говорит.
Дальше идет рассказ о том, что большинство хакеров - нейродивергенты, нейроразнообразные люди, у которых работа мозга отличается 🤯 от большинства людей. Аутисты, дислексики, люди с синдромом дефицита внимания (ADHD) или синдромом Аспергера и т.п. часто являются хакерами по своей сути. Сейчас герой статьи покинул АНБ и занимает руководящую компанию в одной из американских ИБ-компаний 🤵🏻
И надо сказать, что это не то, чтобы редкий пример развития карьеры тех, кто начинал как хакер, а затем перешел в иную весовую категорию, вплоть до руководства собственной компанией. У нас на PHD2 будет даже отдельная дискуссия "Из хакера в гендиры", посвященная этой теме, в которой примут участие владельцы отечественных ИБ-бизнесов, которые стартовали свои карьеры с технических позиций. Так что если вы 🫵 видите себя в костюме, за дубовым столом и со своей секретаршей в роли директора, то приходите послушать лайфхаки.
Главное не идти по пути Ярослава Васинского, украинского хакера, участника группировки REvil (Sodinokibi), которого в 2021-м году задержали в Польше и на днях приговорили к 13-ти годам заключения в американской тюрьме 😡 за его роль в вымогательстве 700 миллионов долларов. Он стартовал свою "карьеру" примерно также как и Кевин, в средней школе (ему было 15 лет), но потом пошел по наклонной (видимо, с ним не проводили беседу сотрудники АНБ и не направили на путь истинный). Участие в арбитраже, собственный спамерский бизнес, а затем и "работа" в REvil, атака на Kaseya (до сих пор считается крупнейшим требованием выкупа в 70 миллионов долларов) 🤑
Каждому свое...
Сегодня начинается RSA Conference 2024, где я тоже участвую. Буду потихоньку постить всякое оттуда. Начну вот с распределения представленных вендоров по типам средств защиты. В тройку входят, как можно легко заметить, облачная безопасность, управление рисками и compliance, а также сетевая безопасность. Защита данных и SecOps замыкают пятерку лидеров. Интересно, что в России распределение игроков, если бы вдруг у нас проводилась выставка по ИБ, было бы иным. Ни облака, ни управление рисками не вошли бы даже в пятерку.
Всего на RSAC будет представлено более 640 производителей, если верить самому сайту, или 425, если верить независимым компаниям, занимающимся аналитикой рынка ИБ (правда, 425 без учета консультантов, сервисных компаний, реселлеров и дистрибьюторов). В любом случае это меньше, чем еще лет 10 назад; тогда было под тысячу игроков. К слову, на GISEC было по официальным данным около 750 брендов, хотя мне казалось, что изначально речь шла о 500+ компаний. Видимо, все накручивают 😊
Если не брать в расчет, что каждый второй будет рассказывать про ИИ в своих решениях (а кто-то и вовсе будет представлять ИБ с ИИ для защиты ИИ-приложений от растущего числа атак на базе ИИ), то есть и интересные решения. Например, центр сертификации и аттестации от Legit Security, который позволит, если верить анонсу, быстро тестировать свои решения на соответствие SLSA, PCI DSS, SOC2 и ISO 27001. А Halcyon вместо новых продуктов решил представить программу Halcyon’s Ransomware Warranty, которая, нет, не гарантирует защиту от шифровальщиков, а предполагает сервис реагирования и восстановления в случае обхода защитных механизмов решений Halcyon. Что тут нового, непонятно, но маркетинг есть маркетинг. А вот Commvault предложит Cloud Cleanroom Recovery, этакую изолированную комнату, которая позволяет тестировать разные сценарии ИБ, новые угрозы и т.п.
ЗЫ. И кстати, в этом году PaloAlto отказалась от участия в RSAC. Чуть ли не впервые в своей истории. И курс акций за последние 3 месяца упал на 22%. Что-то назревает?..
В России около 5,3 миллионов сайтов в домене .ru и около 0,7 миллиона в .рф. Если итальянские 🇮🇹 анонимусы дефейсят по 4-6 сайтов в день, то они себя обеспечили работой надолго. Правда, толку от взлома таких сайтов немного. Но чем бы дитя не тешилось… 🐵
Читать полностью…И снова очередной альянс российских хакерских группировок 🧤🤗
ЗЫ. Как по мне, так это не 424, а 929. А щит вообще странновато размещен, в паху. Но зато исконно русский маскот, хоть и безликий и черный
ЗЗЫ. Интересно, в слове "благотварительный" ошибка сделана осознанно? Как и в то ли Shield, то ли Sheld.
С днем шифровальщика! 🎆 Но не того, который вымогает, а того, который защищает!
ЗЫ. Военных шифровальщиков я, как и полагается, поздравлю в ноябре! А то они обижаются, что их поздравляют в мае ☹️
Вот почему все, как один, вдруг решили разродиться бюллютенями и заявлениями о русской киберугрозе: 🔈
🔤 1 мая американские АНБ, CISA, ФБР, МинЭнерго, Минсельхоз, Агентство по охране окружающей среды, MS-ISAC, а также канадский и английский центры кибербезопасности публикуют бюллетень о русской киберугрозе системам водоснабжения и канализации 🚰
🔤 3 мая Правительство Германии (при поддержке Евросоюза, НАТО и неназванных международных партнеров) публикует заявление о том, что APT28 осуществила атаки на ряд немецких политических партий и что за этим стоит Россия 🇷🇺
🔤 3 мая Министерство иностранных дел Чехии публикует схожее заявление про "русских хакеров" 🆕
🔤 3 мая ДССТЗИ Украины публикует отчет о российских кибероперациях во второй половине 2023-го года 🛡
Если посмотреть на временную шкалу публикаций, то еще и статус "заявителей" хорошо показывается - кто первый пишет, кто второй, кто третий, кто в арьергарде мировой политики. Вряд ли же это связано с грядущими Днем Победы и инаугурацией? Как говорил Жванецкий: "Тщательнее надо, ребята" (с)
🌺 Хотя на календаре еще весна, «Позитивное лето кибербезопасности» уже в самом разгаре
Где?
В «Гранд Макет Россия» в Санкт-Петербурге. С начала мая и до конца августа именно там остановился гость с далекой планеты Posiland — ее главный специалист по кибербезопасности.
Вместе с ним вы сможете не только посмотреть разные уголки нашей страны, но и прокачать азы своей цифровой грамотности — узнать, что такое кибербезопасность и как защитить себя не только в физическом, но и в виртуальном мире.
Как?
Приходите в «Гранд Макет Россия», сканируйте QR-код и принимайте участие в увлекательном квесте, где вы сможете одновременно проверить, насколько хорошо ориентируетесь в мире кибербезопасности, и узнать, как защититься от мошенников.
Каждому участнику — приятный бонус, промокод, которым можно воспользоваться на выходе, чтобы на интерактивной стойке сделать фото на память с необычным гостем.
И пусть любое время года будет для вас кибербезопасным!
@Positive_Technologies
Небольшой видео-обзор зоны ИБ-стартапов на GISEC. Ну какие стартапы, такой и обзор 😊 На самом деле хорошо, что всем этим игрокам дали пару квадратов стандартной застройки, чтобы показать себя потенциальным покупателям 🤑
Я немного задержался на питч-сессии, где перед весомым жюри надо было выступать, "продавая" свое детище 🙊 Из того, что я услышал, не зашло ничего. Классическая проблема большинства технарей, решивших, что они все познали, знают боли клиентов и могут заработать на этом много денежек 🤑
Увы, нечеткая речь, отсутствие понимания проблем заказчика (хотя, казалось бы), неумение четко и кратко доносить свою мысль, а самое главное, - нежелание встать на место слушающего. Рассказать "почему я такой крутой" может быть и можно научиться, а вот рассказать "зачем я вам таким крутым" - мало у кого получается... Зато квантово-имунная система защиты данных на базе ИИ следующего поколения у каждого второго 🤦♂️
Проблемы с американской базой уязвимостей NVD продолжаются. NIST пытается их как-то решить, но пока получается не очень. Руки доходят 👻 только до критических уязвимостей и то не всех. При этом балканизация Интернет усиливается и NVD уже не может считаться единым для всех источников уязвимостей (хотя когда он считался?). Российских 🇷🇺 продуктов там нет и вряд ли уже будет. Китайских 🇨🇳 тоже. Да и с CVE тоже свои сложности - он присваивается далеко не всем даже забугорщиной.
В итоге возникает закономерный вопрос - а что делать? Про это тоже попробуем поговорить на PHD2 с представителями разработчиков сканеров безопасности, вендоров, БДУ ФСТЭК... А пока вопрос не решился хотя с трендовыми уязвимостями стоит разобраться и выстроить процесс их обнаружения и устранения. Потом можно и к ежечасно обновляемому списку опасных уязвимостей перейти, а потом уже и дальше...
В японской 🇯🇵 префектуре Фукуи полиция придумала нестандартный ход - они стали размещать в магазинах платежные карты «Удаление вируса/троянского коня» и «Неоплаченный выкуп» («Virus/Trojan horse removal fee payment card» и «Unpaid charges/delinquent charges payment card»), выявляя тем самым… нет не кибермошенников, а их жертв 💡
Когда кто-то покупает 🛒 такую карту, полиция сразу уведомляется. Пишут, что таким образом спасли несколько пожилых 🍜 японцев, которые чуть не стали жертвами вымогателей.
Данных по эффективности этого метода нет, но полицейские, придумавшие его, получили повышение 🫡 Наши полицейские тоже на выдумки сильны!
🆕 23 апреля, не нарушая традиций, MITRE выпустила новое обновление матрицы ATT&CK, сфокусировавшись на том, что нужно обнаруживать и как это сделать наиболее эффективно. С точки зрения цифр, было добавлено 12 техник в Enterprise-матрицу, 5 - в "мобильную" версию и 2 - в версию для АСУ ТП, а также 34 новых вредоносов (29 для корпоративной и 5 для мобилок), 13 новых группировок 👨👨👦👦 (7, 5 и 1 соответственно) и 9 новых хакерских кампаний. Всего в 15-ю версию MITRE ATT&CK теперь включено 14 техник (по 12 для мобильной и АСУ ТП версий), 368 техник, 481 подтехника (в 16-й версии добавят подтехники и для АСУ ТП версии), 152 группировки, 794 вредоноса и 30 кампаний. Добавления были и российских компаний, но без их упоминания (геополитика-с) 🔢
Следуя трендам были добавлены новые техники, связанные с компрометацией сетевых устройств (T1584.008), Fortinet, привет, а также с применением искусственного интеллекта 🧠 (T1588.007). Множество техник было модифицировано под влиянием новых кейсов, зафиксированных за последнее время (особенно в контексте взломов облаков).
В отличие от прошлой версии, в которую добавили псевдокод, демонстрирующий способ описание детекта техники, в новой версии от него отказались, посчитав достаточно сложным для восприятия. Но сама идея была правильная, поэтому в 15-й версии псевдокод поменяли на язык запросов, схожий со Splunk'овским.
(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688" )Читать полностью…
( (CommandLine="reg" CommandLine="add" CommandLine="/d" ) OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value" )) CommandLine=" Microsoft \Windows NI\CurrentVersion|Winlogon" (CommandLine="Userinit" OR CommandIine="Shell" OR CommandLine="Notify")
⚠️ Dropbox уведомил Комиссию по ценным бумагам об инциденте с сервисом Dropbox Sign.
Но, что странно, Dropbox пишет, что неизвестные хакеры 👨💻 получили доступ к e-mails, именам пользователей, настройкам учетных записей, а также, в ряде случаев, к хэшированным паролям, номерам телефонов, ключам API, токенам OAuth и MFA. И при этом Dropbox уверяет, что доступа к данным пользователей нет 🤔
Имея такой «фулхаус» 🃏 на руках и не воспользоваться? Врут, небось, и готовят аудиторию к следующему анонсу?.. 🔈
Но прямо сейчас я пойду и поменяю не только пароль 💡 от Dropbox, в день пароля-то, но и отозву все токены аутентификации (ими можно пользоваться даже при измененном пароле).