Пост Лукацкого

16 декабря 2022 11:20

И облегченная версия - https://www.mitre.org/sites/default/files/2022-11/pr-2022-3616-medical-device-cybersecurity-regional-preparedness-response-companion-guide.pdf

Пост Лукацкого

16 декабря 2022 11:20

В дополнение к прошлогоднему руководству по моделированию угроз для медицинских устройств, MITRE выпустила руководство по реагированию на инциденты, связанные с медицинскими устройствами.

Пост Лукацкого

16 декабря 2022 05:40

В продолжение поста про WannaCry небольшая рекомендация. Проверьте (сами или спросите вендора), а ваши средства защиты ловят WannaCry в данный момент? А то у наших вендоров (антивирусов и МСЭ) есть особенность отключать обнаружение «старых» атак и сигнатур. И получается, что на бумаге оно ловит, а в реальности нет 🤔

Пост Лукацкого

15 декабря 2022 17:40

Отличный способ выбрать случайный пароль - использовать супы из букв латинского алфавита. Зачерпнул ложкой… и вот случайный набор символов, который за пароль можно выдать.

Пост Лукацкого

15 декабря 2022 13:15

Занимательная арифметика:
🤔 На конец 2020 года в ЕБС данные 160 тысяч граждан
🤔 В мае 2021-го - 200 тысяч граждан
🤔 В мае 2022-го - 236 тысяч граждан
🤔 В декабре 2022-го - 70 миллионов граждан сдали свою биометрию по версии чиновников.

Что за магия произошла между маем и декабрем 2022-го года? Только не надо говорить, что это за счет присоединенных территорий…

Пост Лукацкого

15 декабря 2022 07:50

Но, раз пошла такая дискуссия, то хочется вспомнить, что разговоры о безопасности удаленного доступа ведутся давно и в целом уже давно найдено немало решений по эффективной защите такого доступа.

Я 18 лет отработал в компании в режиме удаленки и вся стратегия ИБ Cisco строилась по принципу - "один в поле воин", то есть "ноутбук в Интернете может быть защищен независимо от того, находится он внутри корпоративной сети или нет". Более того, у нас была принята концепция Trusted Device еще до того, как Zero Trust стал модным. И я уже приводил простейший тест на проверку защищенности своего мобильного рабочего места - если ты его выставляешь в Интернет и у тебя начинается "жим-жим", то с безопасностью удаленки у тебя все не очень.

И дело тут не в наличии VPN-клиента на рабочем месте и защите канала от удаленного устройства (в Cisco последние годы вообще распространялся удаленный доступ к ресурсам компании без VPN, с помощью Zero Trust). Защита строилась на базе множества технологий. Тут и многофакторная аутентификация с ML, отслеживающая непривычные местоположения и время доступа к корпоративным ресурсам. Тут и контроль поведения с помощью решений NDR (NTA/NAD). Тут и EDR на оконечных устройствах. Тут и UEBA при работе с серверными приложениями. И много чего еще. То есть даже при удаленке можно было с высокой степенью уверенности сказать, работает в данный момент тот самый работник или под его учеткой маскируется злоумышленник.

У нас же пошли по пути наименьшего сопротивления - вместо того, чтобы научиться контролировать и защищать решили блокировать и запрещать, выдавая это за один из вариантов мотивации россиян вернуться обратно и защиту чувств неуехавших... Не знаю, мотивирует ли это кого-то вернуться (что-то мне подсказывает, что нет), но вот число отказников от российского гражданства точно возрастет. Хотя может этого и добиваются авторы столь "востребованного" законопроекта?..

Пост Лукацкого

14 декабря 2022 17:40

Приходит печальная дочь к отцу ИБшнику и жалуется:
- Папа, у нас новогодний праздник в садике, а мне надеть нечего. Какой костюм мне купить/придумать?

Папа, не будь дураком, и говорит:
- Давай тебе костюм УТЕЧКИ ПДН придумаем!
- Это как?, - удивленно спрашивает дочь.
- Все просто, - отвечает добрый папа. - Ты приходишь вся такая расфуфыренная и делаешь вид, как будто ты в шоколаде, а когда тебя спрашивают про твой костюм, закрываешь лицо ладошками и говоришь, что тебя нет!

Пост Лукацкого

14 декабря 2022 07:09

Решил вдруг измерить свою писучесть 🧑‍💻. 2858 постов в блоге за 15 лет 🧑‍🎓 (и 17800 комментариев к ним), 6750 публикаций в Telegram за 5 лет 🤓. 30500 твитов за 11 лет 💪. 4+2 единоличных книг 🧑‍🎓 и 3 в соавторстве. Число статей - за 200, но их подсчитать уже сложно - я в последний раз их считал несколько лет назад, после отправки на спецпроверку при подаче документов на американскую визу ✍️. Но визу не дали и стимула обновлять список статей больше нет.

Написано немало, но сколько еще всего впереди...

Пост Лукацкого

13 декабря 2022 16:18

Почему бы вместо метрики «Число устраненных критических уязвимостей» или «Время устранения критических уязвимостей» не ввести другую - SLA, определяющий, как много уязвимостей определенного уровня пропатчено в установленное временное окно?

Пост Лукацкого

13 декабря 2022 09:11

«Не доводите до маразма» (с). Так говорила Елена Торбенко (ФСТЭК) на сентябрьском ИнфоБЕРЕГе, имея ввиду, что если у вас изолированная (на практике, а не на бумаге) от внешнего мира система, то не надо подрываться и ставить на нее антивирусы и весь остальной пакет требований из 31/239 приказов.

Вроде очевидная мысль и регулятор ее озвучивает, но… дальше вступает в игру классическое «слова к делу не пришьешь». А если придут, проверят, найдут несоответствие и накажут? Лучше перебдеть. И регулятору лучше вопросов не задавать, чтобы не привлекать внимание. А то еще и хуже будет.

В итоге, нормативные документы живут своей жизнью. Проверяющие их трактуют буквально, писавшие их готовы отвечать, но их никто не спрашивает и статус их ответов неочевиден. А заказчики вынуждены дуть на воду, делая не как целесообразно, а как написано ;-(

Пост Лукацкого

12 декабря 2022 21:42

пока глупцы спешат в европу
гаврила едет в белозерск
учтя его бесперспективность
в идущей щаз кибервойне

Пост Лукацкого

12 декабря 2022 08:55

Про пожар в химкинском OBI, который сгорел дотла, думаю, уже слышали все. Про недавний пожар на также подмосковном складе OZON тоже, думаю, слышали все. И возник у меня в связи с этими двумя вроде бы и несвязанными событиями вопрос.

OZON был застрахован - сам склад в Альфа-Страховании на 6 ярдов, а товар - в Ингосстрахе на 11 ярдов. OBI был застрахован также в Ингосстрахе. По данным Всероссийского союза страховщиков предварительная оценка ущерба составляет 20-30 ярдов (интересно, эта сумма учитывает предновогодний рост доходов арендаторов). То есть Ингосстраху надо будет выплатить от 30 до 40 миллиардов рублей возмещения.

И вопрос не в том, есть ли у него такие деньги, а что делать компаниям, которые застраховали в Ингосстрахе свои киберриски и если вдруг сейчас наступит страховой случай? Хватит ли у страховой компании денег на возмещение и этих случаев? И как вообще приоритизируются такие кейсы? Кто первый пришел, того и тапки? Или еще как-то? И учитывают ли ИБшники, страхующие свои киберриски, такие нюансы (невозмещения)?

Пост Лукацкого

11 декабря 2022 20:47

Вот был бы пароль Spiritus Sancti и было бы цинично. А так изящно ;-)

Пост Лукацкого

11 декабря 2022 16:47

Операторы ransomware в ожидании сего чуда, которое позволит им почти со 100% вероятностью добиваться выплаты выкупа

Пост Лукацкого

11 декабря 2022 07:20

В Древней Руси, где есть современные технологии — от кибернетических имплантатов и плазменного оружия до экзоскелетов и гигантских роботов, богатырь-полукровка по имени Киберслав пытается распутать жестокое преступление, чтобы узнать, кому помешала княжеская семья — озлобленному люду или нечисти, заполонившей местные леса.

Таков синопсис российского мультфильма "Киберслав" про православный киберпанк, который должен был выйти на "Кинопоиске" в 2022-м году. Но что-то пока ничего не слышно...

Пост Лукацкого

16 декабря 2022 11:20

https://www.mitre.org/sites/default/files/2022-11/pr-2022-3034-medical-device-cybersecurity-regional-preparedness-response-playbook.pdf

Пост Лукацкого

16 декабря 2022 08:01

АНБ выпустило отчет о своей деятельности; точнее ее публичной части. Верю, когда-нибудь настанет время, когда и наши регуляторы смогу выпускать такие же обзоры; тем более, что каждому есть чем похвастаться - кому-то больше, кому-то меньше, но есть 😌 А пока приходится сводить все за них ☕️

Пост Лукацкого

15 декабря 2022 21:07

Шел 2022-й год… WannaCry продолжал входить в десятку самых-самых, в том числе и в солидных российских организациях 🤬

Пост Лукацкого

15 декабря 2022 14:46

Без цензуры и заранее согласованных вопросов 🔥 Лукацкий (Positive Technologies), Гадарь (Тинькофф Банк), Голованов (Лаборатория Касперского), Горчаков (VK) и Куликов (СДЭК) 22 декабря в 11:00 обсудят неформальные итоги 2022 года SecLabNews">в прямом эфире Секлаб News.

Как на рынок повлиял массовый уход иностранных вендоров? Кому нужны утечки баз никому ненужных данных? Взломы российских ИБ-компаний: кого полюбят следующим? Выгорание или подгорание у специалистов ИБ? Что нас ждет в год нетолерантного кролика?

🤔 Хотите задать вопрос, который действительно вас волнует? Пишите в комментариях. Автору лучше вопроса подарим брендированную толстовку.

Пост Лукацкого

15 декабря 2022 10:14

Ну и немного ссылок для тех, кто решит пересмотреть свои подходы к оценке защищенности удаленного доступа:
📌 Результаты опроса "Как устроена удаленная работа в России и странах СНГ" от Positive Technologies
📌Обзор рекомендаций по безопасной удаленной работе для предприятий критической инфраструктуры и не только от ЛК
📌 Требования ФСТЭК к средствам обеспечения безопасной дистанционной работы
📌 Рекомендации ФСТЭК по обеспечению безопасности объектов КИИ при реализации дистанционного режима работы
📌 Меры безопасной организации удаленной работы от НКЦКИ.
📌 Моя серия из четырех статей про безопасность удаленки, написанная еще во время COVID-19 (1, 2, 3 и 4).

Пост Лукацкого

15 декабря 2022 05:40

Депутаты решили вновь заняться самым важным в текущий момент делом и тем, что они умеют лучше всего - что-нибудь позапрещать. А именно, они решили запретить удаленный доступ для уехавших заграницу россиян. Конечно же, не всем! Пока так и не ясно, кого коснутся запреты, - называются чиновники, работники госкомпаний и специалисты по ИБ; последних иногда сопровождает приписка про работу с секретной информацией, иногда нет. С чиновниками все понятно - по закону и так запрещено иметь части информационных систем госорганов за пределами страны, а удаленное рабочее место - это часть такой системы. Но вот со специалистами по ИБ, конечно, пока непонятно.

Запретят всем работникам или только, имеющим допуски к гостайне? Запретят везде или только в недружественных странах? Запретят всем организациям или только, например, субъектам КИИ? Запретят навсегда или во время отпуска или даже командировки в Беларусь (тоже иностранное государство, кстати) будет можно? Вопросов пока больше чем ответов. Я после начала частичной мобилизации хотел провести опрос по тому, что можно поручить "ох, уехавшим" айтишникам и ибшникам, но не успел. Депутаты меня опередили, посчитав, что нельзя ничего 🤬

Меня, безусловно, интересует механизм реализации законопроекта в случае его принятия, а судя по комментариям, его примут обе палаты не задумываясь (все для защиты чувств людей, "испытывающих ненависть к бежавшим, которых считают трусами"). Как депутаты вообще видят такую блокировку? Спустят сверху циркуляр "не пущать"? Или на погранконтроле будут снимать IP-адреса у всех уезжающих, вносить их в базу данных и передавать в ТСПУ для блокировки? А может просто заблокируют все внешние соединения? Вообще, запрещать удаленку - это как запрещать депутатам иметь собственность за границей. Запретить можно - проконтролировать нет 🤷‍♂️

ЗЫ. А Минцифры опять выступило хорошо - заявило, что они против тотального запрета удаленки. Посмотрим, прислушаются ли к профильному ведомству народные избранники?

Пост Лукацкого

14 декабря 2022 14:40

Мне кажется, наших чиновников, исправит только могила 🙁 Госорган рассылает требование заполнить форму с персданными на врачей. На Google.Docs!!! Полный фарш персональных данных, который… очень быстро попадает в руки хакеров сопредельного государства.

И вот как это может быть в текущих условиях? И кто понесет за это ответственность? И кто должен на это реагировать?

Пост Лукацкого

13 декабря 2022 19:35

Криптографии с младенчества и в игровой форме ;-)

Пост Лукацкого

13 декабря 2022 12:44

Сегодня в Питере читаю про архитектуру ИБ. Вдарим фреймворками по ибшному бездорожью и направим его в правильном направлении!

ЗЫ. Презентация на 200+ слайдов. Все, как мы любим ;-)

Пост Лукацкого

13 декабря 2022 05:40

Жизнь вокруг нас меняется. Не всегда к лучшему, но меняется. В том числе и корпоративная жизнь, в которой ИБ могла бы играть гораздо более важную роль, чем она играет сейчас.

В руках у ИБ есть все нити, все потоки информации и вся жизнь каждого сотрудника - сколько времени он тупил в Telegram (и сейчас тоже), на какие ссылки он кликал в VK, какие картинки смотрел, работал или тупо смотрел в окно, наблюдая за очередным перекладыванием плитки и асфальта. Но ИБ редко использует свои возможности даже на 50%, не говоря уже о чем-то большем. Ну нормативку выполнить, ну угрозы ловить. И все? И все!

Но ИБ может гораздо больше. Но не может. А иногда не хочет. А иногда новые функции ИБ вступают в противоречие с традиционной этикой и моралью. И ИБ решать, готова ли она к этому или нет… Стоит помнить, что под лежачий камень вода не течет!

Пост Лукацкого

12 декабря 2022 15:49

Как-то на одной конференции по ИБ критически важных объектов было представлено исследование угрозы со стороны джаммеров, подавляющих GPS/ГЛОНАСС. Автор проводил натурные эксперименты. Оказалось, что установка хорошего джаммера на Останкинской телебашне подавит сигнал не только в Москве, но и в области.

Врядли такое дадут сделать супостату, но в рамках борьбы с терроризмом под раздачу могут попасть и вполне себе легальные сервисы точного времени, геолокации и т.п., применяемые в ИБ. Стоит учитывать такой риск?

Пост Лукацкого

12 декабря 2022 05:40

Редкий пример, когда российская компания не только признала утечку персданных своих клиентов и опубликовала об этом новость у себя на сайте, но и отвечает на вопросы своих клиентов.

Пост Лукацкого

11 декабря 2022 16:47

До воплощения фильма Матрица осталось совсем немного времени.

Суррогатное материнство выходит на новый уровень - вынашивания детей без женщин.

Компания EctoLife представила свой концепт первой в мире установки для искусственного взращивания младенцев.

Установка будет растить 30 тысяч младенцев в год. За процессом роста будущие родители смогут следить через приложение в смартфоне как за тамагочи.

Пост Лукацкого

11 декабря 2022 12:20

Ну и еще одна история про анимацию и киберпространство. На этот раз сериал "Вселенная хакинга". Краткая аннотация не говорит ничего: "Хакер Федор всю жизнь пытается найти родителей, которые оставили его в детстве. В этом ему помогают верные друзья — стиляга-кодер Борис и технарь-интроверт Игнат. Очередная попытка приводит к тому, что хакеры впутываются в межгалактический конфликт землян и комодианцев. Теперь от Федора, Бориса и Игната зависит судьба всей планеты."

Но сам сериал занятный - с кучей отсылок на существующие известные фильмы и иные произведения, но при этом с юмором, понятным местами только нам.

ЗЫ. Первую серию также можно посмотреть на Youtube.

Пост Лукацкого

10 декабря 2022 20:18

За месяц это уже, как минимум, четвертый случай взлома российских ИБ-компаний (пока все немосковские и не из Топ5). Все предлагают услуги пентестов, защиты КИИ, расследования инцидентов... Но самим не повезло. Что тут можно сказать? У меня пока вырисовываются следующие мысли:
📌 И на старуху бывает проруха. Вопрос не в том, сломают или нет, а в том, когда ты это обнаружил и как ты на это среагировал?
📌 Должны ли ИБ-компании сообщать об этих инцидентах в ГосСОПКУ или хотя бы в ФСТЭК? Формально нет. А по сути? Они достаточно чувствительную инфо о своих заказчиках могут обрабатывать.
📌 Не должны ли ИБ-компании в обязательном порядке свои публично доступные системы выставлять на платформы Bug Bounty или заказывать их пентест у коллег? Если уж ты заявляешь о себе, как о профи, то как это доказать (не лицензию же демонстрировать)?
📌 Как оценивать качество пентеста компании, если ее взломали? Говорит ли вообще взлом ИБ-компании о качестве ее пентестеров или только о том, что "сапожник без сапог" и себя сам не проверяет, потому что все пентестеры заняты на инфраструктуре заказчиков?

ЗЫ. Кстати, может и не 4-й случай. Если посмотреть на свежие взломы госорганов, их подведов и госкомпаний, и посмотреть, кто обеспечивал им мониторинг ИБ и реагирование на инциденты, то можно ли распространить на эти организации факт взлома? Если ты это не увидел у клиента, то увидишь ли у себя?