Вроде как все уже знают (я надеюсь), что не стоит флешку, найденную на парковке у офиса втыкать в рабочий компьютер, даже если на ней написано "фото с корпоратива". Но как вы себя поведете, если вам пришлют флешку в красивой коробочке с сопровождающим письмом от вашего партнера с заверениями долгосрочной и крепкой дружбы и предложением рассмотреть вариант договора на новый интересный проект, который сделает вас обоих богатыми? Вы втыкаете эту флешку в свой компьютер, а там...
А там, после того, как флешка проверится вашим SOCом, вот такой вот сюрприз, направленный на повышение осведомленности ваших сотрудников 😊 Будьте бдительны! Помните, что речь может идти не только о флешках, но и о любых носителях. Например, известны случаи получения жертвами фальшивых криптокошельков, что приводило к краже криптовалют.
ЗЫ. Спасибо 🟥 ESC за проверку 😊
Вариант №1. Вы должны жить тем, о чем пишете в канале. То есть это может быть ваша любимая работа или хобби, но вы должны любить его и тогда вам точно будет о чем писать; и писать интересно. Читатели сразу видят фальшь и проголосуют "ногами", если им будет неинтересно.
Вариант №2. Знаете поговорку "во время золотой лихорадки продавай лопаты"? Она очень точно отражает второй сценарий. Бессмысленно делать телеграм-канал о лопатах - он нафиг никому не нужен. Делайте канал о золоте, которое можно найти с помощью лопаты. Пишите не о себе, а о пользователях и их нуждах, мечтах и желаниях. Подпишусь ли я на канал учебного центра, если он будет постить там рекламу своих курсов? Нет. А если он будет рассказывать о том, кем можно стать, пройдя курсы, да еще и приводить истории чужого успеха, то я подпишусь, чтобы стать таким же успешным.
В первом сценарии вам не подойдет SMMщик - только вы сами сможете писать о своей страсти. Ровно по этой причине я веду свой канал сам, хотя никто в это не верит ✍️ Ни один нанятый сотрудник не будет писать так же как я. Кстати, по той же причине я не очень верю в корпоративные, обезличенные каналы. Их ведущие обычно перестраховываются на все. То слово "нахер" не захотят писать, то про депутатов лишнего не скажут, то военную операцию будут избегать всеми правдами и неправдами. Но это как в детской песенке "жопа есть, а слова нет". Это чувствуется и у корпоративных каналов в ИБ редко бывает много подписчиков.
Во втором сценарии можно нанять и SMMщика. Только нанимая его проверьте сначала его соцсети - как часто и о чем он пишет. Пройти двухнедельные курсы - это одно, а вот постоянно писать у себя в канале/странице/сторис - это совсем другое. Если ваш "SMMщик" - интроверт и ничего не пишет, то подумайте 10 раз, нужен ли он вам. У вас он тоже ничего писать не будет. Или будет вымучивать из себя тексты, а люди видят фальшь и скуку сразу. Ну или он просто будет репостить пресс-релизы в формат корткого твита. Тоже дело, конечно, но…
Окончание следует…
И хотя идея bug bounty для искусственного интеллекта выглядит достаточно интересно, особенно если роль багхантеров будет тоже выполнять искуственный интеллект (идеи Лукьяненко и Гиббсона в реале), меня немного смущает, что под bug bounty понимают программное обеспечение...
ЗЫ. Google уже расширил свою программу bug bounty за счет тематики искусственного интеллекта.
В 2020-м году сообщество по кибербезопасности АСУ ТП RUSCADASEC запланировало провести первую конференцию, но вмешался COVID-19 и конференция не состоялась. Но коронавирус был побежден и идея провести конференцию вновь захватила умы. И вот, 11 июля в Москве пройдет необычная конференция - RUSCADASEC CONF. В отличие от привычных всем конференций, эта пройдёт без стендов, рекламы и надуманных презентаций в стиле «как N раз упомянуть продукт под видом экспертного доклада». Программу готовят сами участники сообщества, голосуют за темы, выбирают форматы. Спонсорских пакетов нет и не будет. Все, кто решили поддержать конференцию, делают это на общественных началах.
Приходите, всем будут рады на конференции.
Я, конечно, не возьмусь утверждать, что это первый случай использования дипфейков, но он все равно заслуживает внимания. На картинке справа мы видим изображения "великого Ильича", которое на самом деле писалось не с вождя мирового пролетариата, а с адвоката Иосифа Славкина, который, как считалось, был очень похож на Ленина. Но увы... Надежда Константиновна Крупская, соратница и жена вождя, легко распознала подделку и возмутилась, что на портретах изображают не суженого (на картинке слева). Правда произоошло это не сразу, а спустя полтора десятка лет после смерти вождя. А до этого момента Славкин неплохо зарабатывал на этих, отчасти легальных (художники знали про натурщика), отчасти нет (власти молодой республики не догадывались о таком очковтирательстве), дипфейках.
Читать полностью…Екатеринбургская реклама задается сакраментальным вопросом... И правда, что лучше, компания ИБ, которую взломали, или та, которую еще нет? У которой уже есть опыт реального бега с горящей жопой и криками "все пропало, нам больше не будут доверять клиенты" 😭 расследования инцидента или у той, которая уверена в своих бастионах?
Читать полностью…Достаточно часто, говоря о том, что на ИБ надо смотреть с точки зрения бизнеса, я слышу возражение: «Ну мы же не владельцы бизнеса - у нас его нет. Как мы можем понять, что нужно бизнесменам?» А все просто на самом деле. Попробуйте оценить свои эмоции и мысли, когда вам надо потратиться на что-то, что имеет отношение к вашей личной безопасности и защите. Это может быть страхование жизни, ДМС (когда вы платите за него сами), КАСКО или вакцинация перед поездкой в Танзанию в платной клинике. И вы сразу поймете, что чувствует топ-менеджер, который «сцуко, опять не дал денег на ИБ».
Я вот на днях оплачивал ежегодное обслуживание газового котла в загородном доме. И поверьте, я в курсе и про важность этого вопроса, и про вероятность пожаров, и про возможные сбои в работе котла или утечки газа. Но жаба душила все равно. И уговорил я себя не потому, что я за безопасность, а потому что эти траты укладывались в мои границы риск-аппетита. Вот и все; банально. Я готов был потратить эти деньги и даже готов к тому, что за год я не воспользуюсь услугами планового техосмотра котла и аварийных выездов (за почти 10 лет аварий не было ни одной).
Вот и с бизнесом также. Работает совсем иная мотивация, отличная от классических «это позволит нам бороться с угрозами» или «мы снизим риски» или «таковы требования регуляторов». Я так думаю 😎 Я же не бизнесмен 🧐
Но важно дополнить - я все-таки в голове держу недопустимые для меня вещи, например, взрыв газа или разморозка труб зимой из-за остановшегося котла. И мне по барабану на вероятность этого события. И ущерб я оцениваю на понятийном уровне, а не с калькулятором в руках. А потом уже для этого недопустимого я оценивают риск-аппетит 🤑
ЗЫ. Прислушивайтесь к себе и регулярно задавайте самому себе вопрос: «А сам бы купил у себя с такой аргументацией, которую я планирую использовать?» Отрезвляет 😠
Россияне 🇷🇺, вы же помните, какой праздник 12-го июня?! Вы же проверили свои плейбуки, процессы, арсенал и специалистов, которые в выходной день будут противостоять атакам, число которых может возрасти? Еще не поздно все это проверить, чтобы не бегать с горящей 🍑 в этот день.
Это, конечно, неточно, но логика в этом предположении есть. Praemonitus praemunitus, как говорили латиняне ⛔️
А пока все солидные люди готовятся к поездке на ПМЭФ ТК26 подготавливает проект рекомендаций по квантово-криптографической защите.
Читать полностью…АНБ, CISA, ФБР и ряд других организаций и компаний выпустили очередной бюллетень об опасностях ПО для удаленного доступа, которое может быть использовано не только в легитимных, но и вредоносных целях. В бюллетене даны TTP по MITRE ATT&CK, которые стоит отслеживать для мониторинга работы ПО для удаленного доступа, а также рекомендации - общие для всех рекомендаци и конкретные для MSP/SaaS, MSSP, разработчиков ПО для удаленного доступа.
Читать полностью…MITRE вместе с NIST разработали проект документа NIST IR 8441"Cybersecurity Framework Profile for Hybrid Satellite Networks (HSN)" по защите гибридных спутниковых систем (земля + космос). Достаточно оперативно пишут, заразы (либо из загашников достали). О фокусе на защиту спутниковых группировок в целях нацбезопасности Байден высказал совсем недавно, а вот уже и документ почти готов. Вкупе с представленными матрицами атак (тут и тут) и конкурсом по легальному взлому спутника Moonlighter на DEFCON выглядит это все как то, что американцы сильно напряглись по поводу защиты спутников 🛰
ЗЫ. И это еще Илон Маск не включился в процесс 😊
Verizon выпустил свой традиционный ежегодный отчет по инцидентам DBIR. И хотя его почему-то называют все отчетом по утечкам, это не так. Тут скорее классическая ошибка, которая переводит слово "breach" как "утечку". Аналогичная проблема была и в GDPR и в нашем ФЗ-152 - почему-то все говорят об уведомлении об утечках, хотя в реальности число проблем, требующих уведомления гораздо шире. Но вернемся к DBIR.
В работе над отчетом принимало участие 67 организаций по всему миру; преимущественно из США и Европы. Из условно российских в работе над отчетом принимала Лаборатория Касперского ("условно", потому что ЛК тут выступает больше как международная компания). При этом с точки зрения проанализированных инцидентов львиная доля (3/4) приходится на США и Канаду, на втором месте регион EMEA (Европа, Ближний Восток и Африка); затем идет азиатский регион и Южная Америка.
Интересно, что в разных регионах отличаются популярные шаблоны организации атак. Например, у азиатов на первое место выходит социальный инжиниринг, а у остальных - это проникновение через уязвимости. Мотивация тоже в азиатоском регионе отличается от других - если везде на первое место выходит финансовый интерес (в США - это вообще 99% всех атак), то в Азии хоть монетизация и интересна хакерам, но не в 90+% как у других. Шпионаж занимает 39%, что в 4-5 раз превышает аналогичный показатель предыдущих стран.
В отчете много различной статистики по тому, как злоумышленники получали доступ к данным, что закономерно приводит нас к вопросу: "А маппинг на MITRE ATT&CK есть?" Есть! Также как и маппинг в защитные меры CIS Controls. Эти два фреймворка, один для описания действий хакеров, второй - для описания защитных мер, стали уже стандартом де-факто в США. И хорошо то, что DBIR стал теперь не только описывать тренды и давать статистику, но и перешел в более практическую плоскость - позволяет понять самые популярные техники "плохих парней", а также способы противодействия им.
В 2018-м году Gartner предсказывал, что скоро пентесты уйдут с рынка и их заменят BASы и Red Teaming. Пока мы видим, что ушел Gartner 😂
ЗЫ. Но разделение red team и пентестов интересное… 👍
В 2013-м году Роскомнадзор выпустил 996-й приказ, утверждающий методы обезличивания. Так вот в ту самую пору я из лесу вышел, был сильный мороз был я участником разработки этого самого приказа и методички к нему. И к предложенным изначально 4-м методам обезличивания я предложил 5-й, хеширование и шифрование. Так как вообще-то, в нормальном обществе, хеширование, как и криптография в целом, как раз и являются методами обезличивания персональных данных (если не вдаваться в отличия обезличивания от анонимизации и псевдонимизации).
И только у нас это считают средством криптографической защиты (хотя хеш-функция не может быть средством, в отличие от продукта, реализующего хеш-функцию) со своим отдельным регулированием. И руководство РКН того времени направило версию проекта приказа по обезличиванию, включающую и шифрование с хешированием, на согласование в разные ведомства. Из ФСБ тогда пришел отлуп и пятый метод обезличивания был исключен из финальной версии приказа №996. А жаль...
ЗЫ. Как из хешированных данных понять, что там есть хоть какая "информация, относящаяся прямо или косвенно к определенному или определяемому лицу", представители РКН вряд ли смогут ответить - они вообще в технических вопросах не очень сильны. Также они ли вряд ли смогут объяснить, почему хеширование не попадает под определение обезличивания, то есть "действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных"?
ЗЗЫ. Скан взят из канала @bureaucraticsecurity
Если вчера в блоге я рассмотрел курс на практическую безопасность, взятый нашими регуляторами, то сегодня мы пойдем чуть дальше и посмотрим на результативный кибербез, который развивает описанный тренд за счет четкого целеполагания и контроля его достижения. Недопустимые события, багбаунти, пентесты на максималках и вот это вот все. Результативный кибербез не противоречит практическому, описанному вчера. 2-й и 3-й этапы, упомянутые в конце вчерашней заметки, и есть реализация практической ИБ. Поэтому все, что вы делаете в рамках выполнения свежих требований ФСТЭК, ФСБ, Минцифры, не пропадет. Но чтобы перейти на новый уровень и сделать шаг в развитии и своего кибербеза и себя, вам нужно сфокусироваться на том, что важно для бизнеса и доказать, что вы можете это не допустить.
Читать полностью…Все вышенаписанное - мой опыт; человека, который делает то, что ему нравится и не гонится за цифрами просмотров, подписчиков и др. ✍️
Можно делать телеграм-канал по разнарядке (таких большинство) и они в массе своей неинтересны. Можно писать туда раз в полгода (есть у меня таких парочку в подписке) и это может быть событием, но это другая история (это точно не назовешь «вести канал»). Можно быстро стартануть и через месяц прекратить, так как это труд, а многие ленятся. 🦥 Можно купить готовый ИБ-канал (есть и такие примеры - мне предлагали и мой канал продать и чужой купить), а можно нагонять туда ботов или лить трафик за бартер или деньги. Неважно! 🤔
Важно только то, зачем канал вам, как его создателю? Потешить самолюбие, исполнить распоряжение рукодства, заработать денег 🤑, быть как все, делиться интересным для вас?..
Подводя итоги... 10 раз подумайте 🗜, стоит ли ввязываться в историю со своим каналом. Начать-то его вы начнете, но вот поддерживать в течение длительного времени - вот где основная работа кроется 🏋️♂️
ЗЫ. Но повторюсь, все это сугубо IMHO
Я тут на днях написал про органический рост читателей и так сложилось, что пришло несколько человек и спросили, что надо сделать, чтобы вести свой Телеграм-канал и он был популярным. Ну что, могу ответить, хотя и не претендую на истину. Все-таки я не настоящий сварщик SMMщик.
Я знаю всего два способа раскрутить и удерживать внимание читателей своего канала. Да, есть возможность нагнать пользователей, купить ботов, использовать иные неорганические методы расширения абонентской базы 🤑. Картинка 3, как мне кажется, иллюстрирует такие всплески, которые очень сложно объяснить органикой (начинается сокращение пользовательской базы и чтобы рекламодатели не разбежались, закупаются новые боты). Да, бывают ситуации, когда на каком-то мероприятии канал прорекламировали и к вам придет человек 200-300, но не несколько тысяч - в жизни так не бывает; по крайней мере на нашем рынке.
Вторая картинка как раз иллюстрирует то, что бывает, когда нагнанные пользователи понимают, что их заманили и развели, - они покидают канал. Постоянно растущая аудитория выглядит так как на первой картинке - это как раз мой канал (рост был всегда, но всплеск произошел 24 февраля прошлого года и с тех пор я стал более активно что-то писать, что сказалось и на росте аудитории). Но вернемся к способам получения и удержания аудитории.
Продолжение следует...
Ну не знаю… Я 20-тисимвольный всегда с первого раза ввожу. Может пальцы не той системы?
Читать полностью…Но как же меня бесит, когда российские сайты в области ИБ блокируют доступ с иностранных IP-адресов. Ну ладно, иностранцы российские IP блочат - пропаганда и бренд "русских хакеров" делают свое дело. Ну ладно, Роскомнадзор блочит зарубежные домены. Ну ладно российские ИБ-регуляторы иногда рекомендуют блочить недружественные адреса. Но зачем организаторы российских ИБ-конференций или частные ИБ-компании запрещают доступ к своим сайтам из-за рубежа, я не понимаю 👎
Читать полностью…Редакция CISOCLUB посетила международный фестиваль по кибербезопасности Positive Hack Days 12 и пообщалась с Алексеем Лукацким из Positive Technologies про оценку эффективности систем информационной безопасности.
Вопросы:
0:22 Какие метрики или KPI могут использоваться для оценки эффективности системы информационной безопасности в бизнесе?
1:49 Как бизнес может оценивать и анализировать эффективность своих текущих решений по информационной безопасности?
3:30 В своем Telegram-канале вы проводили опросы аудитории, поделитесь результатами и подведите итоги
Спикер:
Алексей Лукацкий
Бизнес-консультант по информационной безопасности, Positive Technologies
Подумалось 💭, если вдруг, откуда не возьмись, к нам приехал зашибись и Windows перестала обновляться и на всех рекламных плазмах страны появилось вот такое. Лучше, наверное, порно, как когда-то на Садовом кольце в Москве 🤔 Всё, интересное, чем экран загрузки или синий "экран смерти"... 🐇 А с другой стороны, как в этом здании работать, если тебе в окно тычется нечто 🙏
Читать полностью…10 лет прошло с разоблачений Сноудена. И что изменилось? Правительства стали меньше шпионить за своими гражданами? Нет. Даже наоборот. Рынок шпионского ПО вырос многократно, а шпионские скандалы со слежкой за чиновниками, диссидентами, журналистами и другими превратились в норму жизни. Все это, как и прежде, преподносится как обеспечение национальной безопасности, борьба с терроризмом и защита интересов граждан.
Такого ли будущего хотел Эдвард Джозеф Сноуден, российский граждан с сентября 2022 года, празднующий через пару недель свое сорокалетие? Где ты Эдвард? Счастлив ли ты? Доволен ли тем, как все повернулось? Нашел ли ты себя в России? Повторил бы ты все еще раз, если бы тебе представилась возможность все вернуть вспять?
Вы еще не пересматривали видео с PHDays? А зря. Во-первых, мы разбили на Youtube все по positiveevents5242/playlists">плейлистам, соответствующим трекам программы PHD. А во-вторых, вы можете увидеть там то, что пропустили на самом мероприятии, так как не смогли физически присутствовать на всех 13 параллельно идущих треках.
Например, доклад Росбанка о том, как они считают рублем свою кибербезопасность и согласовывают свои расчеты с финансовым директором. Озвученный вывод о том, что инвестировать в ИБ банка и в сам Росбанк выгоднее, чем инвестировать в акции Microsoft, Apple, Google, Amazon и Nvidia, конечно, еще требует осмысления. По такой логике вкладывать в акции Позитива еще выгоднее - у 🟥 рост даже больше (мы еще и дивиденды выплачиваем, не что, что некоторые 🤑). Но это уже детали. Тут интересен сам опыт расчета ROI, а также рисков ИБ, и согласования этих расчетов с топ-менеджментом компании.
Олег у себя написал заметку про атаки на web-сайты под управлением Битрикс и задался сакраментальным и риторическим одновременно вопросом. Если ФСТЭК выпускает рекомендации и требования по оценке защищенности и устранению уязвимостей, НКЦКИ выпускает бюллетени по уязвимостям в Битриксе, РКН расследует факты утечек через уязвимый Битрикс, ресерчеры находят уязвимости, ИБ-компании выпускают рекомендации по защите, сам Битрикс вроде как выпускает обновления, то почему Битрикс продолжают ломать, а его клиенты не обновляют свои web-ресурсы? 😕 Я решил чуть развернуто прокомментировать его заметку и добавить несколько предложений по решению этой проблемы.
ЗЫ. Исходная заметка Олега.
Я за этим делом слежу по телеграм-каналам, но вот и Коммерсант написал статью. Оно, конечно, интересное. Хакерская группа, ломавшая банки по всему миру (кроме России и СНГ), была задержана ФСБ и ее пытаются осудить в военном гарнизонном суде. Это уже само по себе интересно, так как военные суды у нас занимаются делами военнослужащих, а значит кто-то из задержанных носил погоны во время своих хакерских проделок (на самом деле речь идет о сотруднике ФСБ, хотя первоначально следствие это опровергало, но в финальным материалах дела уже согласилось с этим). Интересно, почему еще западные СМИ не публикуют сенсационные расследования о том, что наконец-то появились доказательства, что пресловутые русских хакеры - это и есть военные 🫡
Особую пикантность в дело добавляет тот факт, что предполагаемый главарь группировки имеет благодарность от Президента Путина за обеспечение кибербезопасности при проведении Чемпионата мира по футболу в РФ в 2018 году, а также грамоту от директора ФСБ РФ за обеспечение кибербезопасности РФ. При этом в защищающих группировку телеграм-каналах утверждается, что одно время она выполняла даже функции кибервойск РФ, а один из участников группировки обращался и ФСБ, и к Евгению Пригожину (ЧВК Вагнер), с предложением вернуть группировку в «строй», чтобы она послужила России в текущем геополитическом конфликте.
В общем, интересная история.
Сегодня я читал в одной солидной компании тренинг для топ-менеджеров по кибербезопасности и в качестве одного из кейсов показывал, как можно сделать дипфейк на обычном домашнем компьютере и насколько он будет неотличим от реального видео. А тут очень удачно попалось две новости, показывающие, что это уже не единичный случай, а вполне себе серьезная история, имеющая далеко идущие последствия 😭
Во-первых, взлом телекомпании "МИР" и демонстрация в ее эфире в течение почти 40 минут фейкового выступления Президента России, который "объявил" о всеобщей мобилизации и введении военного положения в приграничных районах. А во-вторых, история с китайским г-ном Гуо, который работает в технологической компании в Фучжоу (Китай) и который после проведения видео-звонка с мошенником, использующим дипфейк и замаскировавшемся под друга жертвы, перевел ему "на бизнес-проект" 4,3 миллиона юаней (667 тысяч долларов) 🤑
Три кейса. В одном я представился генеральным директором компании, а мог бы и его фото подставить в любой ролик, в том числе и нелицеприятный. Во втором, дипфейк (а там голос не совпадал с движением губ) мог бы обрушить курс акций компаний, если бы в уста высокопоставленного чиновника вложить совсем другой текст. Третий же кейс показывает как дипфейки могут повлиять на конкретного человека и заставить его выполнить то, о чем он потом будет жалеть 😰
А вы знаете, что противопоставить дипфейкам?
Приветствую различные формы обучения, но в данном случае у меня есть вопросы к этим организаторам обучающего марафона желаний:
1️⃣ Где они видели таких женщин после 40? У меня, конечно, есть предположение, но боюсь тогда для них не очень актуально это предложение. Хотя такой образ может быть у 14-тилетнего СММщика, для которого девушка в 25 уже старуха 👵, а 40+ - вообще ближе к сказочной героине, жрущей добрых молодцев, с именем, начинающемся на Б, а заканчивающемся на А (из двух слов)
2️⃣ Когда обещают доход в миллион, но денег не берут, это выглядит как реклама от прыщавых юнцов «зрелым дамам куни бесплатно» (извините за мой французский)
3️⃣ «До 1 миллиона»? 13 тысяч тоже подходит 😭
4️⃣ До 1 миллиона в год? Тогда для ИТшника это немного. В месяц? Что ж ты сам тогда там не работаешь?
5️⃣ Почему в одной рекламе из женщины хотят сделать айтишницу, а в другой - айтишника? Или на тест-драйве профессий будущего совмещают ИТ и толерантность, а будущий айтишни(к|ца) становится еще и трансгендером. А что, айтиквир, это модно 😱
Хорошо, что кибербез так не рекламируют. А то я бы вышел с инициативой о пожизненном блокировании автора такой рекламы.
Обновляю тут презентацию по повышению осведомленности в области ИБ для рядовых пользователей...
Читать полностью…