alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Когда мы считаем ущерб по произошедшим инцидентам, то там ничего сложного нет. Методология понятна (я про нее даже экспресс-курс делал). Бери, декомпозируй и считай. Ну разве что исходных данных могут не дать, но это отдельная тема. А вот как быть с ущербом будущих периодов? Посчитать его просто так нельзя - от множества параметров зависит и будущий результат. У вас может быть ущерб 3 миллиона, 10 тысяч, 1 миллиард или вообще никаких потерь. И как это просчитать? Как понять, какой из вариантов наиболее вероятен? Тут может помочь метод Монте-Карло. При определенных условиях...

Читать полностью…

Пост Лукацкого

Чаты и каналы Telegram по информационной безопасности 2023: https://zlonov.ru/telegram-security-list-2023/

Читать полностью…

Пост Лукацкого

Очень интересная диаграмма, которая показывает, что бизнес-руководство опрошенных компаний смотрит на ИБ именно с точки зрения бизнеса; как на тему, которая способствует развитию бизнеса. А вот ИБшники на 20% реже так думают, считая, что ИБ - это больше тема соответствия требованиям. То есть сами ИБшники загоняют себя в тупик, больше занимаясь бумажной безопасностью, чем результативной. И вроде бизнес готов смотреть на ИБ правильными глазами, но ИБ к этому не готова 🙁 То есть это не "бизнес не понимает ИБ", а ровно наоборот 🙁

Читать полностью…

Пост Лукацкого

В режиме опытной эксплуатации опубликован раздел, содержащий результаты тестирования обновлений программного обеспечения и программно-аппаратных средств в соответствии с Методикой тестирования обновлений безопасности программных и программно-аппаратных средств

Читать полностью…

Пост Лукацкого

Что-то вдруг вспомнился свой старый мем на тему нового Постановления Правительства №2360 про изменение правил категорирования объектов КИИ.

ЗЫ. Есть еще и мемасики, которые я делал по случаю.

Читать полностью…

Пост Лукацкого

Почитал рассказ главы "Газпром-Медиа" Жарова про майскую атаку на RuTube. Двойственное какое-то ощущение. Сравнивать свой взлом с атакой на ядерные объекты Ирана - это, конечно, сильно. Кто не помнит, то операция "Олимпийские игры", в рамках которой и было осуществлено проникновение на завод по обогащению в Натанзе (пресловутый Stuxnet), готовилась не один день и потребовала даже (судя по открытым источникам) тренировок на макете, повторяющем завод в Натанзе. Так себе и представляю, что кто-то построил макет RuTube, чтобы атаковать его. Или они на YouTube тренировались?

Дальше больше. В одном месте статьи Жаров говорит, что они готовились к атаке и "дежурная бригада" зафиксировала начало атаки. С другой стороны, почему тогда атака оказалась столь успешной? Жаров говорит, что хакеры не смогли реализовать свою цель, но поражение 90% резервных копий и выход из строя платформы на несколько дней, как-то не очень сочетается с этим заявлением. Про самоотверженный труд программистов RuTube особенно хорошо получилось. В стиле советских передовиц... Про root cause тоже ничего не сказано - разные источники то говорят про инсайдера, то отрицают это, то говорят о злонамеренной атаке, то о случайной.

В общем непонятно, зачем сейчас эта статья вышла, спустя 9 месяцев после атаки... Если бы там были какие-то интересные детали расследования или советы другим, как не повторить путь RuTube, то имело бы смысл. Но просто напомнить о себе и заявить, что во всем виноваты поставщики импортных электронных компонентов и импортного ПО... Нуууу, такое...

Читать полностью…

Пост Лукацкого

С инициативами ИБ у CISO, общающегося с топ-менеджментом, обычно вопросов не возникает. Об этом приятно говорить, так как они носят позитивный характер, позволяют показать движение вперед, а не латание дыр, помогают получить ресурсы и т.п. Но и требуют выполнения обещаний в указанные сроки с заданным качеством и в рамках установленного бюджета. Об этом в сегодняшней заметке в блоге.

Читать полностью…

Пост Лукацкого

В то время как вся российская отрасль ИБ должна сплотиться в деле борьбы с мировым киберзлом, находятся российские ИБ-компании, которые блокируют доступ к своим материалам для других российских ИБ-компаний 🤔 Как будто такие блокировки чему-то мешают и сотрудники ИБ компаний не могут их обойти... Ну, что за странные люди? ☕️ Или это тест на профпригодность такой? 👍 Давайте жить дружно!

Читать полностью…

Пост Лукацкого

Видимо вода камень точит. Идея с отраслевыми центрами реагирования на инциденты ИБ витает давно - на моей памяти в первый раз об этом заговорили еще в самом начале 2000-х годов (был такой проект МЕГА). Потом к идее подступались не единожды, пока в конце 2010-х - начале 2020-х годов эта тема не попала в три трека - федеральный проект "Цифровая экономика", Постановление Правительства №2360 по внесению изменений в правила категорирования объектов КИИ, а также в еще один, пока неопубликованный (и не факт, что будет опубликован хотя и принят) проект документа. В итоге все это дало некий эффект и в этом году, возможно, будут создаваться отраслевые центры компетенций, которые дополнят уже существующие ФинЦЕРТ при ЦБ и Energy CERT при Минэнерго, а также частные инициативы - БИП-Клуб, PT ESC, Kaspersky ICS CERT.

Читать полностью…

Пост Лукацкого

Вы же помните историю с 12 агентами ГРУ, которые якобы взломали сервера Демпартии США, в том числе почту Хиллари Клинтон, опубликовав грязное белье кандидата в президенты, что, по мнению многих экспертов, повлияло на голоса избирателей, которые в итоге выбрали президентом США Дональда Трампа? Я всегда привожу этот пример в качестве одного из недопустимых событий при моделировании угроз.

Но сейчас о сыне другого президента США, а именно о Хантере Байдена. Помните скандал с ноутбуком Байдена-младшего в 2020-м году? Возможно, нет. Суть вот в чем. В день космонавтики, а именно 12 апреля 2019 года Хантер Байден принес свой сломанный ноутбук в мастерскую с просьбой восстановить испорченные данные на нем. Мастер это сделал, но сын на тот момент кандидата в президенты США не пришел за своей собственностью. Мастер по ноутбукам ознакомился с его содержанием и обнаружил много нелицеприятных для семейства Байденов фактов - начиная от причастности к проституции (причем есть версия, что сын в ряде случаев прикрывал папашу) и наркотикам (в том числе и в компании с несовершеннолетними) и заканчивая торговлей людьми и получением денег за посредничество между международным бизнесом и папой Хантера.

Проведенное позже исследование показалло, что в файлах Хантера Байдера есть доказательства 459 (!) преступлений, включая и отвергаемую папой связь с Украиной. Интересно, что опрос, проведенный в США, показал, что если бы данные с ноутбука Хантера придали гласности до выборов, 16% избирателей Джо Байдена проголосовали бы по-другому. Но эти факты скрывали по максимуму, чтобы не дать Трампу стать президентом во второй раз.

К чему вся эта предыистория? Я думаю вы уже догадались. А как вы купируете угрозу с вышедшими из строя вычислительными устройствами (ноутбуками, ПК, серверами, планшетами и смартфонами)? Вы их сразу утилизируете? Или сдаете в ремонт без каких-либо действий с вашей стороны? Или все-таки имеет процедуру очистки данных на жестких дисках (разная для HDD и SSD)? У вас в модели угроз учтена эта проблема, которая могла повлиять на результаты выборов президента США?

Читать полностью…

Пост Лукацкого

История с донесением до топов темы с инцидентами всегда не очень простая. В отличие от демонстрации уровня зрелости, инициатив ИБ, метрик и т.п., много и подробно разговаривать о том, что стало результатом упущения CISO. Поэтому и презентация этой темы обычно не очень детальная. Об этом сегодня в блоге

Читать полностью…

Пост Лукацкого

SANS выпустил второй выпуск руководства по ИБ промышленных систем для новичков

Читать полностью…

Пост Лукацкого

Не надо развивать свой бренд "торговца катастрофами", который приходит (или которого вызывают на ковер) к руководству только когда произошел критический инцидент. Регулярно информируйте его о рисках/угрозах/недопустимых событиях, сценариях их реализации и потенциальных последствиях от их реализации.

Читать полностью…

Пост Лукацкого

С одной стороны, измерение уровня своей зрелости, — задача непростая. Нужна непредвзятая оценка и адекватная методология, которая бы охватывала все необходимые направления обеспечения ИБ в организации. С другой стороны, уровень зрелости, — это некое численное значение, которое легко воспринимается и которое позволяет его сравнивать с другими организациями в отрасли, с конкурентами, или даже проводить оценку уровня ИБ между различными дочерними предприятиями или подразделениями организации. Этот же уровень отражает текущее состояние ИБ и позволяет быстро оценить, насколько мы близки или далеки от желаемого, целевого состояния. Среди других преимуществ — демонстрация прогресса, а также соотношение со стандартами, принятыми в отрасли. Продолжаю обзор практик общения CISO с топ-менеджментом.

Читать полностью…

Пост Лукацкого

Когда в материалах пишут "государство несет ответственность", то значить это может много чего...

Читать полностью…

Пост Лукацкого

В отчете Всемирного экономического форума есть и другие интересные выводы:
1️⃣ характер киберугроз меняется и на первый план выходит нарушение бизнес-процессов и ущерб репутации (это два основных опасения всех респондентов)
2️⃣ геополитическая нестабильности помогла уменьшить разрыв в восприятии ИБ у CISO и топ-менеджмента, которые ожидают катастрофических киберсобытий в ближайшие пару лет. 43% руководителей считают, что киберугрозы приведут к материальному ущербу, а не просто финансовым или репутационным потерям. Это приведет к большему выделению денег на повседневную ИБ (SecOps), чем на долгосрочные инвестиции в ИБ
3️⃣ Защита данных и геополитика приводит к балканизации (фрагментации), что приводит к изменению принимаемых решений касательно инвестиций в ИБ-решения и в то, как управляется бизнес
4️⃣ Руководство компаний понимает, что их безопасность зависит от ИБ на всем протяжении бизнес-процесса, включая и всю цепочку поставок
5️⃣ Бизнес и ИБ стали чаще встречаться. 56% CISO говорят, что встречи проходят ежемесячно.
🔤 Ну и до кучи рекомендации о том, что ИБ и бизнесу надо говорить на одном языке, метрики помогают наладить коммуникации, людей не хватает и т.п.

Читать полностью…

Пост Лукацкого

Это, конечно, занимательная иллюстрация. Руководителей бизнеса и ИБ спросили, насколько они чувствуют свои организации устойчивыми в цифровой сфере. У топ-менеджмента уверенность в своей киберустойчивости пошатнулась за прошедший год. А вот у ИБшников она наоборот выросла.

Читать полностью…

Пост Лукацкого

К Всемирному экономическому форуму был подготовлен не только отчет о глобальных рисков (см.👆), но и отчет по кибербезопасности, в котором руководители бизнеса и руководители ИБ делились своим видением влияния ИБ на бизнес и геополитику. Отчет достаточно высокоуровневый, но есть интересные моменты, которые меня зацепили и о которых я напишу дальше.

Читать полностью…

Пост Лукацкого

Ну что, завершаю серию заметок про то, как иностранные CISO ходят к топ-менеджменту, защищая себя, свои проекты, своих подчиненных, свои инициативы. На этот раз поговорим на мою любимую тему - о метриках, которые позволяют демонстрировать определенные достижения в области кибербезопасности. CISO из описываемых мной примеров в части применения метрик при общении с руководством активно спорили о том, что лучше, - больше рассказывать, а не фокусироваться на числах, или наоборот. Понятно, что какие-то метрики все равно будут включены в отчеты для руководства (тот же уровень зрелости), но надо сразу сказать, что универсального перечня метрик не было, нет и вряд ли будет. Все очень сильно зависит от кучи условий, ключевых инициатив и инцидентов, отрасли компании и множества других факторов.

Читать полностью…

Пост Лукацкого

Помните фильм "Падение Олимпа", где доблестный бывший начальник охраны американского президента побеждает всех северокорейских террористов?

Всегда удивлялся количеству ляпов, которые допущены в этом фильме. Но больше всего удивляли ИБшные ляпы. Главного героя увольняют из секретной службы, переводят на работу клерком в Казначейство, что подразумевает, что ему должны были не просто заблокировать учетную запись, но и вообще ее аннулировать. Но нет, все продолжает работать, как ни в чем не бывало...

Хотя после истории с секретными документами у двух президентов США и ноутбуком сына действующего президента уже и не так удивительно. Может авторы фильма 2013-го года что-то уже тогда знали? Или у них были действительно хорошие консультанты, знающие, как обстоят дела с ИБ в Белом доме?

ЗЫ. А может главный герой был просто прикомандированным сотрудником службы охраны к Казначейству? 🤔 В России такое часто бывает, когда сотрудники ФСБ прикомандировываются к различным важным организациям.

Читать полностью…

Пост Лукацкого

В этом году Positive Hack Days 12, который пройдет 19–20 мая в парке Горького, станет более масштабным и пройдет под открытым небом. Будет много активностей для всех желающих, но при этом сохранятся все традиционные мероприятия и треки, в том числе соревнования по кибербезопасности.

Как человек, немного вовлеченный в процесс организации, могу сказать, что в этом году мероприятие станет более масштабным и рассчитанным не только на ИБшников, но и на более широкие слои населения, которым не плохо будет, да и интересно, прокачать в игровой форме свои знания и навыки по ИБ. Геймификация - наше все!

Что же касается профессионального сообщества, то на PHDays 12 мы ждем доклады специалистов по defensive и offensive security. Также мы ищем докладчиков по темам DevOps, Blockchain и Machine learning применительно к кибербезу. Также хочу пригласить экспертов и в бизнес-трек PHDays 12, где хочется поговорить о том, что дает ИБ для бизнеса, как бизнес влияет на ИБ, роль государства в развитии ИБ, сделки слияния и поглощения, заменит ли ИИ ибшников и т.п. Прием заявок от спикеров уже открыт. PHDays 12 открыт для всех исследователей: заявки будут рассматриваться как от признанных экспертов по ИБ, так и от новичков. Главное — оригинальный взгляд на одну из актуальных проблем защиты информации.

Выступить можно на русском или английском языках в одном из двух форматов:
🟥 доклад — 50 минут,
🟥 Fast Track — 15 минут.

О подаче заявок, правилах CFP и бонусах для спикеров можно прочитать на сайте. Предложить свой доклад можно до 25 марта, но тянуть не стоит - слоты обычно занимают достаточно быстро.

ЗЫ. Что касается билетов для обычных участников, то следите за анонсами на сайте и в официальных соцсетях 🟥 - мы сообщим там в свое время все детали.

Читать полностью…

Пост Лукацкого

Есть еще отдельные члены, которые считают себя умнее других и поэтому предлагают всякую хрень. С одной стороны, конечно, приятно, что Совет по правам человека наконец-то задумался о защите прав субъектов ПДн. Но с другой, члену СПЧ не мешало бы сначала разобраться в вопросе. Тогда бы он знал, что единые требования по хранению и защите ПДн у нас установлены тем же 21-м приказом ФСТЭК, который через месяц празднует свое десятилетие. А ориентироваться в защите ПДн на защиту гостайны - это вообще за гранью. Член СПЧ, видимо, сам не сталкивался с такими требованиями (судя по утечке переписки СПЧ, в которой немалое количество перлов и некоторые члены СПЧ открываются с новой стороны, а некоторые, типа Ашманова, только подтверждают сложившееся о них мнение). Но опять же, напомню, что у нас уже было четверокнижие по защите ПДн, принятое в 2008-м году, которое местами было даже жестче требований по гостайне и поэтому оно долго не продержалось, будучи заменено сначала 58-м приказом ФСТЭК (тоже не самым лучшим образчиком творчества регулятора), а потом уже и 21-м приказом.

Читать полностью…

Пост Лукацкого

В РФ появятся центры компетенций для защиты государственных ресурсов от кибератак, сообщили в пресс-службе Совета безопасности.

На текущий момент уже одобрены основные направления, типовые функции и организационная структура центров компетенций. Эксперты Совета безопасности подчеркнули, что это сделано в целях всестороннего обеспечения деятельности государственных органов и организаций по вопросам защиты информации и противодействия компьютерным атакам.

«Создание центров компетенций позволит сосредоточить профильные силы и средства, а также оптимизировать усилия и материальные затраты для повышения защищенности информационных ресурсов с учетом отраслевой специфики обеспечения информбезопасности в органах государственной власти, государственных корпорациях и компаниях», - заявили в Совбезе.

Читать полностью…

Пост Лукацкого

Интересно, ФСБ планирует признать утратившими силу ряд своих приказов по оказанию госуслуг: 🤔
1️⃣ по принятию решений о возможности ввоза на таможенную территорию Евразийского экономического союза и вывоза с таможенной территории Евразийского экономического союза специальных технических средств, предназначенных для негласного получения информации
2️⃣ по лицензированию деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны
3️⃣ по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации
4️⃣по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)
5️⃣ по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)
6️⃣ по лицензированию деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации.

Связано это с тем, что согласно 427-ФЗ от 04.11.2022 "О внесении изменений в отдельные законодательные акты Российской Федерации", вся деятельность ФСБ, ФСО, СВР и ФСТЭК не относится к госуслугам, а следовательно не должна подчиняться соответствующему законодательству, не должна соответствовать административным регламентам, а значит будет менее прозрачной и многие вопросы будут решаться в частном порядке 😫

Читать полностью…

Пост Лукацкого

IP Intelligence - сервис (с API) по проверке использования прокси, Тора, VPN и т.п.

Может использоваться для защиты от фрода, ботов, краулеров и т.п.

Читать полностью…

Пост Лукацкого

Если вдруг вы пропустили первый выпуск руководства SANS по безопасности АСУ ТП для новичков

Читать полностью…

Пост Лукацкого

Пользователи системы управления воздушным движением Украины подверглись фишинговой атаке. Вроде рядовое событие. Но сопоставляя его с недавним сбоем в системе управления воздушным движением в США, уже и не так все однозначно…

Читать полностью…

Пост Лукацкого

Вот стало известно об очередном Zero Day в решениях Fortinet и возник у меня вопрос; даже два.

Если фортик до сих пор используется госорганом, то как происходит его обновление и устранение уязвимостей при отсутствии официального канала для этого? А продолжает ли действовать аттестат на объект информатизации, в котором продолжает использоваться фортик?

ЗЫ. Данная уязвимость, по словам исследователей, активно эксплуатируется против госорганов.

Читать полностью…

Пост Лукацкого

У Трампа на даче нашли секретные документы, которых там быть не должно было. У Байдена дома тоже нашли секретные документы, которых у него быть не должно было. Разве можно себе такое представить, что на дачу или домой к президенту России вот так зашли, обнаружили секретные документы, обнародовали этот факт и даже начали расследование... Россия - это вам не Америка 🖕

Читать полностью…

Пост Лукацкого

5 причин обновления политик ИБ:
1️⃣ Часть запланированного пересмотра
2️⃣ Как реакция на изменение законодательства (например, в части защиты ПДн, новые ГОСТы 57580.3/4 и т.п.)
3️⃣ Как реакция на изменение оргструктуры компании (в части ИБ, ИТ, рисков, появления "института" Security Champion и т.д.)
4️⃣ Как реация на частые ошибки пользователей из-за несоблюдения или нарушения требований политик ИБ
5️⃣ Как реакиця на инцидент ИБ

Читать полностью…
Подписаться на канал