Что вас спросит американский судья, если вас взломают и вы станете частью разбирательства:
1️⃣ Была ли угроза предсказуема?
2️⃣ Вы учитывали вред, который мог быть причинен?
3️⃣ Получили ли жертвы инцидента какие-либо преимущества от использования вами их данных?
4️⃣ Какую выгоду вы получили от использования данных жертв инцидента?
5️⃣ Какие альтернативные меры защиты могли бы снизить риски?
6️⃣ Привели бы эти альтернативные защитные меры к чрезмерным обременениям для вас?
7️⃣ Насколько хорошо эти альтернативные меры защиты снижают риски?
8️⃣ Создают ли предлагаемые защитные меры новые, остаточные риски?
Мы, конечно, не в американском суде, но вопросы интересные. Заставляют задуматься о том, что мы делаем, будем делать и могли бы сделать, когда инцидент происходит. И самое главное - как будем доказывать, что "я не виновата, он сам пришел"?..
Судя по фразам, которыми люди "отключают" Алису, они не стесняются при общении с искусственным интеллектом. Я тоже не стеснялся казаться глупым и необразованным, когда потратил позавчера пару часов на общение с ChatGPT и получение от него вариантов расчета NPV, ROI, IRR, PbP, CBA, BCR, LEF, LEM, RAROI, CPI, Sunk Cost для проекта внедрения NGFW. И я задумался о том, что скоро ИИ заменит на фиг все ИБшные специальности, связанные с общением с человеком, - преподы, тренеры, аналитики, консультанты, специалисты поддержки и т.п. Порефлексировал, немного...
Читать полностью…В рамках поддержки курса на импортозамещение в ИБ решил погрузиться немного в российскую литературу по кибербезу. Выбрал для себя четыре интересные книги, которые, как пишут авторы, рассчитаны на практиков. Аннотации выбранных книг следующие:
1️⃣ Сегодня формируются различные полидисциплинарные направления исследований. Одно из них – синтез теорий динамического хаоса и оптических вихрей с принципами конфиденциальной связи. Книга излагает опыт авторов по сближению и синтезу исследовательских подходов из различных сфер знания, а также инженерных решений, развиваемых в радиофизике, радиоэлектронике, нелинейной, сингулярной и адаптивной оптике. Описаны разработанные авторами книги комплексы математических моделей и экспериментальных макетов устройств, применимых для защиты информации. Раскрыты предложенные авторами понятия: пространственный детерминированный хаос, самоизменяемая нелинейность, пеленгатор вихрей. Книга содержит только оригинальные результаты, которые важны и интересны в прикладном плане, но неизвестны широкому кругу специалистов, работающих в таких областях, как передача и защита информации, применение вихрей для кодирования данных, теория нелинейных колебаний и волн.
2️⃣ Описана разработанная авторами научно-обоснованная методика оценки угроз информационной безопасности организации на основе учета экономической заинтересованности нарушителя в проведении компьютерной атаки (КА) на выбранную организацию, базирующаяся на «Теории положений о криминологии» Ч. Беккариа и И. Бентама, а также теории диффузии инноваций Э. Роджерса, Ф. Басса, Э. Мэнсфилда и Т. Хагерстранда. Обсуждаются результаты прогнозирования динамики векторов КА с точки зрения нарушителя, подтверждающие адекватность данной методики.
3️⃣ Рассмотрены новые математические методы, направленные на обнаружение и предотвращение компьютерных атак на крупномасштабные системы. Методы инвариантны к типам реализуемых компьютерных атак за счет анализа временных рядов, сформированных из значений ключевых показателей состояния системы. Разработанные автором методы опираются на теорию фракталов, теорию вейвлетов и используют подходы искусственного интеллекта. Эффективность методов подтверждена практическими результатами, демонстрирующими высокую точность верного распознавания компьютерных атак на различные промышленные системы.
4️⃣ В монографии представлен результат рассмотрения основной проблемы параметрической и ситуационной неопределенности воздействия компьютерных атак (КА) на информационно телекоммуникационную систему объекта критической информационной инфраструктуры (КИИ) с позиции системного анализа, предложен подход к ситуационному управлению процессами информационной безопасности (ИБ) объектов КИИ на методологической основе интеллектуализации процессов управления, начиная от формирования политики ИБ объекта КИИ и заканчивая обнаружением и предупреждением компьютерных атак (КА) с помощью нейросетей, нечеткой логики, генетического алгоритма, базы знаний, экспертной системы поддержки и принятия решений, как процедур искусственного интеллекта (ИИ), должностными лицами в рамках концепции Государственной системы обнаружения и предупреждения КА (ГосСОПКА). Все предложения служат основанием реализации государственной интеллектуальной системы управления ИБ объектов КИИ, обнаружения и предупреждения КА.
Почитаем... Потом поделюсь впечатлениями. По аннотациям так вообще бомбические темы - иностранцам до нас далеко. Пеленгатор вихрей в конфиденциальной связи, теория диффузии инноваций для прогнозирования будущих действий нарушителей, фракталы и вейвлеты в обнаружении атак, а также генетические алгоритмы и нечеткая логика в ГосСОПКЕ...
Записал я вчера полуторачасовую презентацию с обзором основного российского законодательством по кибербезопасности - персданные, КИИ, ГИСы, ЦБшные ГОСТы, когда можно забить болт на требования, а когда нет, как реализуются меры защиты, какие регуляторы у нас есть, что является объектом регулирования и т.п. Так что если не хотите читать 800+ заметок по нормативке в моем блоге, а хотите быстро прокачать основные моменты (я даже проект Указа по государственной системе защиты информации учел), то welcome 🙂
Читать полностью…Мы открываем прием заявок на стипендию Тинькофф 🚀
В этом году все будет куда масштабнее: будем поддерживать не 80, а 200 талантливых студентов по трем направлениям — разработка, информационная безопасность и аналитика.
Подавайте заявку сейчас, и можно начинать готовиться к экзаменам. По информационной безопасности он пройдет 22 апреля, а по аналитике и разработке можно сдать в любой день с 3 до 23 апреля. Форму для заявки и ответы на часто задаваемые вопросы ищите тут: https://l.tinkoff.ru/scholarship2023
Если вся инфраструктура компании может быть скомпрометирована или выведена из строя из-за одного фишингового письма сотруднику, то виноват в последствиях точно не сотрудник
Читать полностью…Интересно встретить в SOC бестиарий Лавкрафта. Захотелось даже сделать в таком же стиле бестиарий с APT-группировками 🤔
ЗЫ. Фоткнул у нас в 🟥 ESC
Я начинал свою карьеру (тогда это слово не было так модно) в ИБ как разработчик СКЗИ. Писал на асме, паскале, си, ооп, все дела... Потом жизнь ИБшная свернула в другую сторону и я стал далек от программирования. Но вот некоторое время назад вновь погрузился в разработку. Причем не просто в DevOps или SecDevOps, а в реальный кодинг. И причина банальна - оказалось, что я теряю немалое количество времени на сон, а его можно было бы занять чем-то продуктивным; даже те 5-6 часов сна, что у меня в среднем выходит. Я подумал, что надо это время заставить компьютер заняться обработкой огромных архивов моего видео (не home), трансляцией его в текст, чтобы у меня был материал для выкладывания в блог, в канал, в статьи, на Хабр (давно туда не писал) и т.п. И чтобы не платить кучу бабла за всякие ИИ-сервисы, поставил себе на комп библиотеки для перевода голоса в текст, расстановки знаков препинания и т.п. Ну а для автоматизации этого всего нужны различные программерские тулзы, скриптики, встраивание в локальный портал и все такое.
К чему такое предисловие? Не к тому, что ИБшник без навыков программирования хотя бы простеньких и рутинных задач скоро будет выброшен на задворки истории и его заменит ИИ, о чем я говорил в недавно выпущенном для выпускников мини-курсе у себя в онлайг-школе. А к тому, что за 30 лет ситуация в программировании поменялась; местами сильно. Приходится по сути заново изучать то, что я забросил дестилетия назад, взламывать свой мозг, заставляя его не просто складывать буквы в слова, а их в предложения (это уже на автомате получается), а решать какие-то инженерные задачки, отлаживать коды, искать взаимозависимости и почему они не срабатывают, отслеживать версионность софта и библиотек, разбираться почему твой "гениальный код" не работает. Ну и не забывать про ИБ этой всей инфраструктуры, а то постоянные завязки на Git, подгрузки с него чужих библиотек и т.п. малость напрягают мою профдеформацию 🙂
А тут еще и проблемы возникли. Раньше, как сейчас помню, был у тебя 286-й Пентиум и тебе его хватало для всех задач - и покодить на каком-нибудь Delphi, не говоря уже об ASMе, и в "Принца Персии" или Scorch поиграть, и на Lexicon курсовую забацать. А сейчас компа на 16 ГБ оперативки с трудом хватает на обработку голосовых файлов. Поэтому думаю уже о том, что пора купленный и доставленный за несколько дней до начала СВО NAS на 32 ТБ задействовать не только под сторадж контента, но и под собственный стенд разработки, развернуть в нем докер и запускать ИИ-софтины там - пусть круглосуточно молотит и сдает мне готовый результат. И это тоже интересная задача с точки зрения ИБ 🙂 Одно дело - рассказывать КАК правильно и совсем другое - делать это на практике 🙂 Это как с собственным сайтом. Одно дело - говорить, что безопасность стоит дорого, но она того стоит, и совсем другое дело - тратить собственные деньги на защиту онлайн-ресурса, вкладывая их в различные плагины по поиску уязвимостей, вредоносов, MFA и т.п. Особенно в 🟥, где классные пентестеры и тебе говорят, что если есть web-приложение, то в нем гарантировано есть RCE и они ее найдут. А значит могут найти и другие; уже не наши ребята. И значит надо серьезно думать, оставлять NAS работать в локальном режиме или все-таки организовать к нему удаленный доступ? А это требует проработки архитектуры ИБ, оценки угроз и недопустимых для меня событий, выбора решений, сбалансированных по цене и функционалу, и вот это всё.
Но, блин, интересно. Прям вторая жизнь в ИБ начинается :-)
Кстати, вы в курсе, что защищенность продукта определяется не числом уязвимостей в нем, а скоростью и выстроенным процессом их устранения? Конечно, совсем доводить до абсурда не стоит, но все-таки, при большом числе продуктов, тысячах разрабов, десятках и сотнях миллионов строк кода, не бывает так, чтобы уязвимостей не было. К чему это я? К тому что и ИБ-компании ломают. Только в России их за последние полгода сломали раз 5, а уж в мире и того больше - я веду базу таких инцидентов и за 20 лет там накопилось немало интересных кейсов. Регуляторов по ИБ ломают, конечно, реже, но чем они хуже? Их тоже могут сломать. И вопрос не в том, могут или нет, а в том - как они реагируют на взлом.
Вот угнали у вас базы с ПДн, сертификаты ключей электронной подписи, данные личных кабинетов, переписку и т.п. Неприятно? Безусловно. Но можно засунуть голову в песок и обвинять во всем всех, кроме себя. А можно признать вину, провести расследование, рассказать о нем публично (почему нет?) и извлечь уроки. И это сыграет только на руку регулятору - все поймут, что да, и на старуху бывает проруха, но регулятор признает проблему и пытается ее решить. "Повинную голову меч не сечет"... Каждый выбирает для себя. Пока у нас регуляторы не начнут вести себя достойно с теми, кого они регулируют, никакого нормального отношения к ним не будет. Увы...
Хорошая тема 🙂 Я бы тоже в процессе преподавания использовал ChatGPT, так как он сильно облегчает и ускоряет процесс обучения. Но жаль, что россиянам, без ухищрений с виртуальными SIM-картами, история с продуктами OpenAI недоступна 🙁
Читать полностью…Прогрессивная общественность задается вопросом - а будет ли сертифицироваться ScanOVAL от ФСТЭК? И я даже не знаю, как ответить на этот сакраментальный вопрос. Как «любитель» бумажной ИБ, я понимаю его правомерность. Нельзя в госухе использовать несертифицированные средства, даже если они разработаны под эгидой ФСТЭК и распространяются с его сайта.
Но как проповедник результативной ИБ не могу не сказать, что регулятор помогает сделать мир безопаснее и это главнее отсутствующих на спасение мира индульгенций.
Вчера был выложен проект Указа Президента "Об утверждении Положения о государственной системе защиты информации в Российской Федерации", о котором я упоминал уже более полугода назад и который может внести определенные коррективы в построение системы ИБ на многих предприятий в 2023-м году. В новой заметке я хотел бы тезисно подсветить то, что мне запомнилось в этом проекте больше всего. И хотя это пока проект и в него еще могут быть внесены коррективы, могу сказать, что на мой взгляд финальная версия будет не сильно отличаться от того, что выложено на regulations.
Читать полностью…"Игры престолов" не могли обойти вниманием при создании постеров повышения осведомленности ИБ
Читать полностью…Уже есть сервисы, которые позволяют в публичных выступлениях (до или после публикации) проводить их автоматический анализ и вычленять ключевую тему/темы, наличие запрещенки (конфиденциальной информации), маскировать персональные данные и т.п.
Интересно, кто-нибудь из ИБ уже предложил свою помощь PR-службам в этом? Тут ИБ вполне может стать помощником для бизнеса, оптимизируя усилия служб по внешним коммуникациям в части исключения из публикаций (в том числе и печатных) любых, нарушащих требования политики ИБ, требований. И это достаточно несложно автоматизировать - запустил внутренний портал, на котором PR может заливать файлы, тексты и внешние ссылки, а на выходе получать вердикт "чисто/нарушаем".
Даже спам в Питере с уклоном в образование и расширение кругозора 🙂
ЗЫ. Чтение папки спам в блоге иногда приносит, прям, интересные инсайты и заставляет задуматься о том, как развивается мысль спамерская....
Давно думаю о собственном мерче, который можно было бы дарить/вручать в особых случаях. Например, регуляторам, которых я достал своей критикой ;-) Уже даже есть прототип худи и футболки с таким принтом 😂
Читать полностью…«Удар по репутации» от кибератак - это распространенный фетиш, когда ИБшник хочет с бизнесом говорить на его языке, но не знает, как посчитать ущерб от недопустимых событий. Но есть ряд нюансов.
Во-первых, чтобы нанести ущерб репутации, ее надо иметь, что случается далеко не всегда.
А во-вторых, устоявшемуся бренду это не наносит непоправимого вреда. Бренды восстанавливаются и после худшего - мошенничества, обвинений в сексизме, расизме и работе на нацистов во время войны, доказанного шпионажа против клиентов. Киберугрозы не отличаются от этих примеров; иногда даже менее заметны. Ущерб в данном случае - это стоимость восстановления репутации, которая считается легко, если провести декомпозицию статей затрат на восстановление (взаимодействие с пострадавшими, взаимодействие со СМИ, досудебные издержки, затраты на привлечение внешних компаний по ИБ, простои, зарплата своих специалистов и т.п.).
Не часто делаю такие репосты, но тут как-то все объединилось - ИБ, разработка, аналитика… Тинькофф готов стипендии выдавать самым достойным в этих областях
Читать полностью…Термин «недопустимые события» часто ругают, считая это попыткой отстроиться от привычных угроз и рисков. Но это не совсем так. В этом термине есть и свои смыслы. Вот, например, пошла массовая кибератака на Германию за ее решение поставлять «Леопарды» Украине. И что?
Ну полежат какие-то сайты пару часиков (если не повезет). Это помешает поставлять «Леопарды» и «Абрамсы»? Нет. Решение уже принято, процессы запущены. Ничего недопустимого из-за этих кибератак не произойдет. На них и реагировать-то большого смысла нет. А шумихи много. А толку ноль.
Угроза есть? Да, налицо. Риск существует? Конечно. Но ты сначала посчитай их, оцени, потом решай - нейтрализовывать/снижать или нет? С недопустимыми событиями проще - все х**ня, ущерба никакого, внимания можно не обращать, ресурсы не тратить. Ну разве что в СМИ шумиху поднять про прусских хакеров и руку Кремля, которые мешают демократию насаживать…
Последний пост навеян увиденным инвайтом на наш митап в Нижнем Новгороде, где можно совместить ИБ и разработку. Если будет у меня время, то хотел бы попасть на него для более быстрого погружения в тему и актуализации знаний. А то самообразовываться по мануалам можно, но сила комьюнити дает результат быстрее.
ЗЫ. Если на программерских форумах увидите ламерские вопросы, связанные с ИБ и подписанные «Седой бородатый джун», знайте, это я ;-)
Иногда мне кажется, что многие ИБшники специально не внедряют средства автоматизации, чтобы показывать свою нужность и незаменимость. А ведь могли бы заняться тем, что еще не автоматизировано. Таких творческих задач существует в ИБ немало и все они не только интересны, но и лучше оплачиваются.
Но нет, мы продолжаем жрать кактус рутинной ручной работы, чтобы все думали, что без нас не справятся. Но ведь в руководстве компаний тоже сидят не идиоты и они тоже могут, в том числе и на фоне шумихи про ChatGPT, начать задавать вопросы о том, почему мы еще не автоматизировали ту или иную ИБ-задачу? И надо быть готовым к ответу на этот вопрос. Иначе этот ответ найдут за нас и нам он может не понравиться 😫
ЗЫ. Последний раз сидел за ручной коробкой пару десятков лет назад, когда сдавал на права. Сейчас уже и не вспомню ни фига 🚘 и угнать тоже 😂
ChatGPT для образования
Интересная заметка к дискуссии о вариантах использования ChatGPT в сфере ИБ. Томас Рид рассказывает, как Хуан Андре Герреро-Сааде провёл курс по Malware Analysis and Reverse Engineering в Alperovitch Institute. Это исследовательский институт при School of Advanced International Studies Университета Джонса Хопкинса, основанный пару лет назад при поддержке Дмитрия Альперовича. Основная аудитория — исследователи, студенты и преподаватели, занимающиеся международными исследованиями, без серьёзных технических навыков.
ChatGPT использовался как раз для того, чтобы упростить им освоение материала. Слушателей пятидневного курса заранее попросили зарегистрировать аккаунты в OpenAI, большинство получило их к началу занятий.
Во-первых, чат-бот использовался для «глупых вопросов» — точнее вопросов, очевидных лектору, но не всем слушателям.
Во-вторых, с его помощью можно было уточнять значение тех или иных терминов (“What’s an ‘offset’ in a binary file?” “What is an embedded resource in malware?”), не отвлекая лектора. Как пишет Рид, раньше можно было потратить несколько минут для поиска в Google, но ChatGPT выдаёт ответы на 5-15 секунд. «Такая быстрота ответов оказалась крайне важной на прошлой неделе, потому что мы могли следить за преподавателем в режиме реального времени, читая объяснения ChatGPT о встроенных ресурсах и одновременно слушая Хуана Андреса, рассказывающего о том же самом». Это в свою очередь повысило и эффективность лектора. Использование чата помогло сгладить разный уровень технических компетенций между слушателями курса.
В-третьих, чат-бот помогал студентам понимать код, отвечая на вопросы вроде: «Что делает этот кусок кода?»
Наконец, чат-бот помогал слушателям писать код.
Рид также пишет о недостатках ChatGPT: он не очень точен, придумывает фейковые имена в ответ на вопрос об обзоре литературы, некоторые его знания, в том числе в части кода устарели (модель во временном плане ограничена 2021 годом). «Не просите его объяснить криптонимы. Не доверяйте рекомендациям книг. Он может галлюцинировать. Он будет делать ошибки. Он будет показывать тем более низкие результаты, чем ближе вы будете подходить к границе человеческого знания. Он оказывается слабым в некоторых технических вопросах. Некоторые из этих ограничений будут преодолены в следующих версиях, другие — нет».
Но в целом Рид, скептик хайпа вокруг искусственного интеллекта, остался под большим впечатлением от использования ChatGPT и убеждён, что подобные чат-боты трансформируют высшее образование.
Интересный проект. Вы создаете фейковую, но неотличимую от настоящей, кредитку (кто сказал ханипот?) и помещаете ее где нужно (почта, браузер, заметки…). А потом вам остается только ждать, когда прилетит уведомление, что кто-то воспользовался вашей картой 🤑, что и будет признаком компрометации. Вам, при этом, прилетит уведомление, - самому ничего мониторить не надо.
Читать полностью…ФСТЭК продолжает свою деятельность на пути повышения защищенности российских организаций. На прошлой неделе на сайте регулятора был опубликован методический документ «Рекомендации по обеспечению безопасной настройки операционных систем Linux», который является "обязательным" для ГИС и ЗОКИИ. Документ распространяется на настройку несертифицированных ОС (всякие Debian, Ubuntu, CentOS, openSUSE и т.д.) "до их замены на сертифицированные отечественные операционные системы". Для отечественных сертифицированных ОС надо руководствоваться документацией разработчиков, которые обязаны включать в нее разделы по безопасной настройке.
Помимо этого, ФСТЭК разработала бесплатный инструмент ScanOVAL для Linux (сейчас проводится опытная эксплуатация), который предназначена для оперативного автоматизированного обнаружения уязвимостей программного обеспечения на рабочих станциях и серверах, функционирующих под управлением операционных систем семейства Linux, а именно Astra Linux SE, Альт и РОСА "Кобальт". Данный инструмент работает только локально.
Также, технологический центр исследования безопасности ядра Linux, созданный на базе ИСП РАН под эгидой ФСТЭК, имеет свои рекомендации по безопасному использованию ядра Linux, а также рекомендует бесплатный open source инструмент kconfig-hardened-check, разработанный Александром Поповым из 🟥, который позволяет проверить вашу конфигурацию ядра и получить отчёт о том, какие рекомендации по безопасности выполнены, а какие нет.
Все это бесплатно и позволяет обеспечить безопасную среду на базе Linux, о которой говорится в проекте Указа, который я рассмотрел утром.
Фейк или нет? Если да, то интересна реакция регулятора ИБ, который меньше чем за полгода второй раз сталкивается с компрометацией и утечкой. Опять сошлются на то, что это не у них и вообще вся информация публичная?
Если нет, то кому РКН должен сообщать об утечке из РКН и как отреагирует Минцифры на косяк своей «дочки»? А, кстати, кто мониторит ИБ РКН?
ЗЫ. Мы, кстати, сейчас пишем руководство по тому, как общаться с внешним миром в случае утечки.
Думаю, еще три поста с примерами постеров и день повышения осведомленности будем считать завершенным 🧑🎓
Читать полностью…