alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Есть же интересные профессии у людей. Измеритель параметров вращения Земли! 🤔 Или вот, например, кибер-переговорщик, который с вымогателями общается. Мы как раз про такого сейчас думаем в контексте программы на PHDays.

Это к разговору о том, что такое специалист по ИБ. Споры идут постоянно, а четкого ответа нет. Мне вообще видится программа обучения специалиста по ИБ как Lego - куча атомарных модулей по разным темам, включая технологии, нормативку, бизнес, психологию и т.п., а дальше ты сам из них строишь свое «здание». И нет никаких предопределенных треков и стримов (может за редким исключением). И никаких 4-5 лет обучения по ФГОСам, устаревающим к концу обучения (а в связи с всерашним указом президента, так и все 7 лет). Такие модули и обновлять гораздо легче ✍️

Да, диплом гособразца за такое не получить. Но это как с сертификацией/аттестацией/аудитом. Шашечки или ехать, бумажка или реальная ИБ, диплом или полезные знания…

Вроде сейчас меняется система образования и можно было бы все по другому сделать, но похоже, что все опять будут жрать ФГОС кактус 🌵, а потом ругать стстему образования, готовящую бесполезных в практической жизни ИБшников.

Читать полностью…

Пост Лукацкого

Если взломать сайт ООН, то можно ли считать, что ты взломал весь мир?

Читать полностью…

Пост Лукацкого

А сегодня у нас опять праздник! И это не пятница! Интерпол решил, что 12-го мая надо праздновать день шифровальщика. Но не тот, который 5-го мая, а тот который ransomware 😊 Точнее конечно не день шифровальщика, а антишифровальщика, то есть Anti-Ransomware Day. Дата приурочена к началу эпидемии WannaCry 12-го мая 2017 года. 🥃

Читать полностью…

Пост Лукацкого

Когда вы будете на PHDays, то там будет четыре дискуссии, имеющие прямое отношение к тем темам и опросам, которые я в последние дни поднимал в канале и которые очень хорошо укладываются в набившее оскомину "ИБ, общающаяся с бизнесом" 🧐:
1⃣ "Как руководство компании оценивает недопустимые события". Тут топы разных компаний будут говорить о том, как они смотрят на риски, недопустимые события и приходящих к ним CISO. Этакий взгляд "сверху". 🤑
2⃣ "CISO 2.0. С бордом на одном борде". Тут сами CISO будут делиться опытом общения с топами и лайфхаками, как им удается (или не удается) доносить смыслы ИБ до руководства. 💪
3⃣ "Готовы ли вы отвечать своими фаберже за результат". Тут представители преимущественно вендоров, интеграторов и провайдеров ИБ-услуг (но будет и заказчик) будут рассказывать, готовы ли они нести ответственность за результат ИБ и если да, то какую, и что для них результат. 😡
4⃣ "CISO 2.0 и его команда". А тут преимущественно CISO будут обсуждать необходимые руководителю ИБ компетенции, чтобы нормально общаться с бизнесом. ✍️

На PHDays будет и много другого полезного контента, но эту группу дискуссий я решил выделить отдельно, так как, как мне кажется, получается целостная картина взгляда на ИБ с точки зрения бизнеса.

ЗЫ. В ближайшие несколько дней буду еще постить описания разных секций с PHDays. Потерпите. Я последнее время был погружен в подготовку этого мероприятия и я считаю, что получилось очень даже неплохо.

Читать полностью…

Пост Лукацкого

Американская ФСТЭК (CISA) предлагает разработчикам ПО, поставляемого в госорганы США, проводить самоаттестацию, подтверждающую выполнение требований по безопасной разработке.

У нас требования по безопасной разработке тоже есть, но непонятно, как подтверждать их реализацию. Американцы показывают вариант.

Читать полностью…

Пост Лукацкого

Предсказуемо, администрирование средств защиты, защита данных, compliance, разработка архитектуры ИБ и планирование развития ИБ делаются преимущественно внутри организаций. А вот пентесты, redteaming, форензика, Threat Intellgence и purple teaming чаще всего реализуются внешними компаниями/организациями.

Это не то, чтобы догма, но некий срез по преимущественно американским организациям, имеющим SOCи. Ну и как набор сервисов и функций SOC тоже достаточно интересно взглянуть и сравнить с тем, что есть у вас.

Читать полностью…

Пост Лукацкого

Хакнули одного облачного провайдера и 60 клиентов оказались тоже скомпрометированы. Я бы назвал этот кейс «Kaseya 2.0».

Передавать в облака свои данные, приложения и инфраструктуру - это, конечно, хорошо, но только если вы выставляете к облачному провайдеру требования по ИБ и знаете, как их контролировать. Без этого облака могут протечь 🌧 а вы и сделать ничего не сможете.

Основой для формирования требований по оценке защищенности выбранного вами облачного провайдера могло бы стать руководство по аудиту от Cloud Security Alliance. Да, это преимущественно "бумажные" проверки, но и это уже что-то. Сертификация SOC2 (в России такую уже не пройти) тоже ничего не говорит о реальной защищенности (уже писал на днях про это), но хотя бы подтверждает, что хоть что-то в области ИБ у облачного провайдера сделано. Аналогичная история с "аттестацией" по ФЗ-152. Можно, конечно, потребовать от облака регулярного подтверждения прохождения пентестов или размещения себя на багбаунти, но многие ли согласятся? В любом случае, ответственность за контроль реализации защитных мер лежит только на вас и ни на ком другом.

Читать полностью…

Пост Лукацкого

Разгребая виртуальные завалы, наткнулся на презентацию, которую я делал в 2008-м году для конференции 🟥 (за 3 года до PHDays). Я тогда попытался посмотреть на будущее сканеров безопасности (в 2006-м я у 🟥 на мероприятии рассказывал про настоящее, на тот момент, решений класса Vulnerability Management), куда они могут развиваться и каким функционалом обладать. Просматривая сейчас эту презентацию, понимаешь, что что-то из описанного уже реализовано на рынке, что-то в процессе реализации, а что-то так пока и находится на стадии прототипа.

ЗЫ. Будь я нескромен, сказал бы, что я - пророк 😊 А так просто скромно потуплю взгляд в пол и пойду работать дальше. Программа бизнес-трека PHDays, за которую я отвечаю, сама себя не сделает и в ограненный алмаз не превратится 😊

Читать полностью…

Пост Лукацкого

Третий по величине город Техаса, Даллас, столкнулся с атакой шифровальщика. Началась она 3-го мая и последствия ощущаются до сих пор. Были выведены из строя суд, системы оплаты за водоснабжение, аварийные системы 911 и 311, онлайн-библиотека, городская администрация и куча других департаментов. Как и в любой иной публичной истории, город не мог скрыть этот факт (не то, что у нас) и ведет подробный рассказ у себя на сайте о том, что и когда перестало работать и когда восстановлено. Если не с точки зрения правильной защиты, то с точки зрения открытости, Даллас можно поставить в пример.

ЗЫ. А в это время шериф другого американского города, Сан-Бернардино, выплатил вымогателям 1,1 миллиона долларов.

Читать полностью…

Пост Лукацкого

Если верить статистике, средняя стоимость выкупа у вымогателей составляет порядка 20-24 биткойнов. Это в мире. А в России у взломанных компаний требуют выкуп гораздо ниже, на порядки. Не это ли доказательство того, что надо переводить юрлица в российскую юрисдикцию - как минимум выплаты киберпреступникам будут ниже!

ЗЫ. Но вообще, требовать выкуп в майские праздники, когда одни на шашлыках, а другие на параде, это не разбираться в своей целевой аудитории. Ну или заранее принять решение о выкладывании украденной информации.

ЗЗЫ. Мне кажется, что уже все должны были настроить свои средства защиты на такой индикатор как «объем выкачиваемых за интервал времени данных». Очевидно же, что выгрузка такого объема (если это не дистрибутивы или обновления ПО) - это аномалия и на нее надо реагировать. Но видно не для всех.

Читать полностью…

Пост Лукацкого

И хотя акцию "Бессмертный полк" немало где запретили, это не помешает многим публиковать сегодня в соцсетях истории своих воевавших бабушек и дедушек, указывая их полные имена и фамилии. Это история, которую надо помнить (в том числе и чтобы не совершать повторных ошибок).

Но также стоит помнить, что не надо использовать в качестве пароля или секретного слова девичью фамилию своей матери. И я думаю понятно, почему 🤔 Ну а если вы где-то их используете, то в этот майский день самое время сменить их. Пусть это будет вашей маленькой победой на пути к вашей безопасности!

ЗЫ. С праздником! За нашу Победу!

Читать полностью…

Пост Лукацкого

Google запустил бесплатный базовый курс по кибербезу

Читать полностью…

Пост Лукацкого

🥸 Представлена информация о новом российском транспортном протоколе RUSTP/UDTP.

🤔 Авторы не понимают сути задержек и тестировали протокол на передачи одного файла. В результате разработчики уверяют, что новый протокол полностью защищен от DDoS атак на L3 и L4, позволяет значительно сократить расходы провайдеров и обучение программистов, поддерживает историю сессии и соединения на технологии блокчейн, и обладает уникальными характеристиками переноса информации, поддерживая качество передачи трафика при произвольных задержках и потерях.

🤨 Авторы также пишут, что смогли повысить скорость передачи данных в их Москвы в Амстердам в 3 раза, а в Сидней в 50 раз, а сетевая технология «IPv17» удовлетворяет решениям ООН, требованиям ITU и рекомендациям IETF в части «Сети будущего».

#rustp #udtp #протокол @SecLabNews

Читать полностью…

Пост Лукацкого

Диссертация про историю CTF (на английском)

Читать полностью…

Пост Лукацкого

А Шекспир-то был в теме ✍️

Читать полностью…

Пост Лукацкого

Как-то, несколько лет назад, компания Apple захотела купить компанию Corellium, которая занималась ПО, позволяющем запускать iOS на устройствах не-производства Apple и проводить ее анализ с точки зрения ИБ. Предложив "смешные" 23 миллиона долларов, Apple столкнулась с отказом от Corellium, хотевшей больше денег. В итоге Apple подала в суд на малую, но гордую калифорнийскую компанию за нарушение авторских прав. И вот в начале недели независимый американский суд признал, что Apple была не права и ее иск был отклонен.

Читать полностью…

Пост Лукацкого

В бизнес-треке PHDays будет одна секция, которую я скромно назвал "Утекло? Да и ... с ним!", где мне хотелось бы поговорить с компаниями, которые реально столкнулись с различными инцидентами; не только утечками персональных данных. И знаете, что я вам скажу, это оказалось непростой задачей. Во многих компаниях, в которые мы обращались с предложением выступить и поделиться своим опытом реагирования на инцидент, нам отказали. Во многих случаях это было решение PR 🤷

Хотя, как по мне, если уж он произошел, то почему бы не извлечь пользу и не показать свою открытость перед рынком, рассказать, что случилось, почему, что было предпринято, какие уроки извлечены и т.д. Но нет, часто компанию ограничиваются просто сухим постом в блоге. Возможно с точки зрения PR это и хорошо, но все-таки.

Тем ценнее, что на секции "Утекло? Да и ... с ним!" согласились участвовать компании, которые смогут рассказать, что у них произошло. Не у всех дошло до утечки - но все столкнулись с подозрительными или явно вредоносными действиями в своей инфраструктуре. Где-то это была даже APT. И вот qze1ov-sad-retail-is-story">одна из таких историй, которую мы среди прочего обсудим на секции. Но будут и другие, в том числе и ранее нестановившиеся достоянием публики.

Читать полностью…

Пост Лукацкого

Ну что, еще одну компанию по кибербезопасности сломали; частично. Не нашу, американскую. Известную в области промышленного кибербеза. Речь идет о Dragos. Скрывать они этот факт не стали и даже попытались извлечь из этого какую-то пользу, правильным образом преподнеся результаты расследования.

Их описание (на русском и английском) мало чем отличается от обычного расследования - исходный вектор (как и в случае с недавним инцидентом у BI.ZОNE атаковали через внешний облачный сервис), временная шкала, техники и тактики, индикаторы компрометации, скрины переписки с вымогателями, извлеченные уроки, рекомендации, контакты для связи. Ну все, что может быть интересно в такого рода кейсах.

Утверждается, что это была "попытка" атаки - злоумышленники не смогли проникнуть в инфраструктуру (а облако к своей почему-то никто не относит). Ну эта песня знакомая - все-таки хочется нивелировать неприятный осадочек от своего взлома; все-таки ИБ-компания как-никак.

В любом случае, несколько выводов я бы сделал из этой истории:
1️⃣ Ломают любую компанию. ИБ и не ИБ. Вопрос стоит не "если", а "когда".
2️⃣ Скрывать такого рода факты бессмысленно - всплывет.
3️⃣ Открытость нивелирует негативные последствия от взлома; в отличие от попытки скрыть всеми правдами и неправдами.

ЗЫ. Из интересного, но объяснимого - расследования Dragos проводит внешняя компания, хотя Dragos и сам имеет такую экспертизу. Думаю это связано с тем, чтобы показать свою непредвзятость в этом деле и показать, что компания ничего не скрывает.

Читать полностью…

Пост Лукацкого

Когда оружейная компания (Glock) начинает выпускать шторки для веб-камер и продавать их за 7 евро, то это является сигналом перспективности рынка ИБ; как минимум сегмента веб-шторок от подсматривания 😊

Читать полностью…

Пост Лукацкого

С технологической точки зрения уровень удовлетворенности в ИБ хуже всего от управления активами, автоматизации ИБ (SOAR), предотвращения утечек данных, уничтожения вредоносного ПО на лету и захвата полной копии сетевого траффика. А вот VPNами, SIEMами и мониторингом логов на оконечных устройствах довольны чаще всего.

Интересная статистика с точки зрения приложения сил отечественных вендоров соответствующих классов решений. Да, бездумно копировать Запад конечно не нужно, но посмотреть на часто встречающиеся там проблемы и извлечь из них уроки здесь, вполне себе полезное занятие.

ЗЫ. Но управление активами - это конечно адский ад. Та компания, которая лучше всех реализует эту задачи, озолотится.

Читать полностью…

Пост Лукацкого

Мечта ИБшника - средство защиты с одной кнопкой «защити меня», а не вот это вот все с тысячами настроек… Само смотрит телеметрию, само коррелирует и выстраивает цепочки атак, само оценивает опасность, само реагирует, само генерит и отправляет отчет об успехе с привязкой к бизнес-целям предприятия (недопустимым событиям). Сказка, а не ИБ. Будет ли когда-нибудь такое?

Помню, в 98-м году, когда мы строили SOC (тогда еще такого-то слова никто не знал) в Нацбанке сопредельного государства, с которым мы сейчас конфликтуем, первая недоSIEM, собирающая и автоматически коррелирующая данные от IDS и сканеров безопасности, выглядела как космос. Сейчас - это уже норма и в некоторых IDS это встроенная фича, не требующая внешнего коррелятора. А SIEM уже умеют коррелировать данные от десятков разных средств защиты и автоматически реагировать на выявленные атаки (при наличии интеграции с SOAR). Так что думаю не за горами тот момент, когда в одном решении будет и SIEM, и SOAR, и сканер уязвимостей, и встроенная CMDB, и ASM, и много чего еще. Осталось чуть-чуть подождать - технологии сейчас развиваются очень быстро.

Читать полностью…

Пост Лукацкого

Иностранцы написали про новую коалицию русских хакеров... 🤔 Дай, думаю, зайду, посмотрю на "секреты мастерства, различные техники и приемы". Зашел и сразу вышел. Кроме котиков, мемасиков и тому подобной "полезной информации" 😺 там нет ничего. Сразу напомнило "Союз меча и орала" из "12-ти стульев" 😂 А на Западе ведь преподнесут это как нечто ужасное, несущее угрозу западным ценностям и демократии. А там одни 🤡

Читать полностью…

Пост Лукацкого

Напомнило шутку про крутого и сверхсекретного хакера, который прекратил ломать Пентагон, потому что его мама позвала делать уроки 😊

Читать полностью…

Пост Лукацкого

В Европе сегодня запускают новый центр компетенций по ИБ. Европейский. В довесок к центру компетенций НАТО (CCDCOE). Новый будет в Бухаресте, «старый» размещен в Таллине. Европа, как мне кажется, начинает отходить от своего «старшего брата» и хочет выстраивать свою политику, не только внешнюю и военную, но и в киберпространстве.

Читать полностью…

Пост Лукацкого

На самом первом PHDays я рассказывал про нормативку и про публичные примеры кибервойн, когда одно государство атакует другое. Атака на Газпром в 1982-м, "Лунный лабиринт", "Титановый дождь", "Аврора", "Сад", ну и, конечно же, Stuxnet. Но 12 лет назад приходилось по крупинкам собирать то, что сегодня происходит ежедневно и уже особо и не скрывается.

Одни государства пестуют киберармии в других, обучают их, снабжают технологиями и знаниями, а то и вовсе руководят. Арсенал, в свое время существовавший только у спецслужб, сегодня доступен многим. Деяния в киберпространстве, приводящие к существенному ущербу и недопустимым событиям, поощряются, а их авторы не наказываются. Можно только фантазировать о том, что будет еще через 12 лет...

Читать полностью…

Пост Лукацкого

Коллеги подогнали презентацию проекта IPv17, датированную 2012-м годом, которая объясняет, что же предлагается под соусом протокола, соответствующего решениям ООН, требованиям ITU и рекомендациям IETF.

Читать полностью…

Пост Лукацкого

Если кому интересно, то презентация RUSTP/UDTP от 2019 года обнаружена здесь. На слайде результаты теста.

Читать полностью…

Пост Лукацкого

Израильтяне делают «Киберкупол» (по аналогии с ПВОшным «Железным куполом») на базе DNS и хотят его предлагать своим компаниям из разных сфер экономики. Англичане такое же для своих госорганов предлагают. Бесплатно

Читать полностью…

Пост Лукацкого

Gazprom Locker?! Все как в реальной жизни - все заблокировано, требует денег, еще и шантажирует ростом цены.

Читать полностью…

Пост Лукацкого

Многие DDoS-атаки, о которых хвалятся хакерские группировки с двух сторон, похожи на это видео. На первый взгляд выглядят страшно, но на самом деле - "встал, отряхнулся и пошел". Ну кто-то схватит PRа немного, но, в целом, простой в течение даже нескольких часов для большинства опубликованных целей никакого ущерба не несет...

Читать полностью…
Подписаться на канал