alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Мы скоро будем проводить уже вторую конференцию Positive SOCcon (материалы первой можно увидеть на сайте мероприятия), где я тоже планирую выступать с чем-нибудь интересным. На SOCtech я в этом году не попадаю (буду на GITEX в ОАЭ), но Positive SOCcon не пропущу. Так как больше ничего достойного моего внимания по теме SOCов у нас больше не будет, а контента у меня много, то поэтому потихоньку собираю всякое разное про SOCи и буду что-то из этих материалов постить в канале.

Читать полностью…

Пост Лукацкого

1-е сентября... День знаний 👩‍🎓 Я провел его в самолете. На Москву была атака дронов и мы сначала час кружили над столицей, а потом нас отправили в Питер, пережидать когда снова откроют аэропорт. Было время поразмышлять. Мне кажется, что мы сейчас скатываемся в достаточно жесткий прагматизм в обучении, когда надо получить знания (и в ИБ тоже) здесь и сейчас и применить их также здесь и сейчас 👨‍🎓 Вся "философия" и гуманитарные науки отбраковываются в пользу каких-то конкретных задач, которые указываются рекрутерами в резюме.

Я удивляюсь ВУЗовским дисциплинам сына, который учится вроде на той же специальности, что и я 30 лет назад, но у нас совпадение по предметам процентов на 15-20%. Да, у него сугубо практические дисциплины и проекты, в которых он участвует, которые сейчас очень востребованы 👨‍🏫 Но они же и быстро устаревают, как мне кажется, в силу динамики происходящих в отрасли изменений. Да, это приводит к тому, что процесс получения знаний становится непрерывным (это ценнейший навык), но это же приводит к тому, что образование у нас является не частью развития человека как раньше, а инструментом решения насущных задач и достижения каких-то краткосрочных целей 🤕

Смысл высшего образования теряется 🥹 Скоро и получение диплома перестанет быть причиной похода в ВУЗ (отсрочка от армии уже не особо работает в нынешних условиях). Все, что нужно "здесь и сейчас", можно будет получить на курсах повышения квалификации или в разных онлайн-университетах 🖥 Это приводит к тому, что современная молодежь может решать многие задачи гораздо лучше и быстрее, чем это было раньше. Но большинство этих задач носит приземленный характер - стратегические и методологические вещи становятся молодежи неподвластны, так как у них нет того кругозора, который нужен, чтобы взглянуть на проблему с разных стороны и учесть разные точки зрения - культурологические, социальные, исторические и даже религиозные 🎮

ЗЫ. Да, это про и про ИБ тоже 🛡

Читать полностью…

Пост Лукацкого

Одна российская компания заявила позавчера о разработке NGFW на 100 Гбит/сек. Другая не стала мелочиться и заявила про разработку NGFW для каналов 200-400 Гбит/сек 📏 Поверьте, качество и эффективность NGFW определяется не длиной пропускной способностью. В конце концов - это не firewall 🤬

Читать полностью…

Пост Лукацкого

В 2021 году в компании Andreessen Horowitz описали “парадокс облачных технологий”, когда компании, несмотря на высокую эффективность и гибкость облачных сервисов, сталкиваются с неожиданно высокими затратами при их масштабировании 🤑 Этот парадокс заключается в том, что облако, которое должно быть экономичным и гибким решением, в итоге становится значительной статьей расходов для крупных компаний, что может ограничивать их возможности для инноваций 😶‍🌫️ Одной из стратегией оптимизации затрат на облачные услуги инвесторы из AH предложили репатриацию, то есть перенос некоторых рабочих нагрузок обратно в локальные дата-центры для снижения расходов 📉

И вот недавно Barclays Bank подтвердил этот тренд в своем большом опросе CIO. Мы видим, что последние 3 года идет неуклонный рост желающих репатриировать свои данные и приложения обратно из публичных облаков либо в частные, либо в собственные центры обработки данных 🫴 При этом, в первую очередь это касается облачных хранилищ данных и систем управления базами данных. Так что ситуация с облаками не такая радужная, как об этом говорят различные аналитики. Раньше их выбирали, не желая закупать собственное железо под это все и желая переложить большую часть ИТ-задач на чужие плечи. Да и нехватка персонала тоже приводила к стремлению уйти в облака 🏃 Но все оказалось не так радужно, как рисовалось вначале. И не последнюю роль тут сыграли инциденты ИБ с облачными провайдерами 🔓

России это пока не так чтобы сильно касается, но для понимания общих тенденций полезно. Особенно для тех компаний, которые смотрят за пределы локального рынка 🤔 Ну а причем тут безопасность, я думаю, рассказывать не надо.

Читать полностью…

Пост Лукацкого

В полной традиции с манерой ведения канала "то пусто, то густо", написала лонгрид на тему оценки рисков, как соотносится стоимость риска и стоимость защиты, и причем тут "нобелевская" совокупная теория перспектив Канемана и Тверски.
Очень хочу обсудить, велкам в комментарии.

Читать полностью…

Пост Лукацкого

Мне на следующей неделе лететь в Абу-Даби для выступления на конференции по киберпреступности, к которой я готовлю различные кейсы. И вот один из свежих примеров, когда на компании Ближнего Востока 🕌 нацелились хакеры, распространяющие вредонос под видом средства защиты Palo Alto (Palo Alto GlobalProtect). Сама по себе схема не нова - сначала предположительно идет фишинговое письмо ❗️, в котором жертве предлагается установить средство защиты американской компании. На второй стадии компьютер заражается и попадает под контроль хакеров, которые управляют им через C2-инфраструктуру. Пострадавшие от этой атаки пока неизвестны.

Читать полностью…

Пост Лукацкого

У коллег из канала "Резбез" вышло два поста про то, что должен содержать в себе отчет по анализу защищенности и каковы критерии качества работ по оценке защищенности. И я сразу вспомнил один отчет по пентесту, который попался мне в руки в Бразилии 🤕 Всего 4 страницы, на которых просто указаны меньше 10 найденных с помощью Nmap, Nikto, WPScan уязвимостей на периметре заказчика. Рекомендации впечатляют. Думаю, даже не знающие португальский, легко поймут, о чем идет речь. И "это" у кого-то поворачивается язык называть пентестом, а кто-то за это еще и платит 🤠 Тьфу таким быть. Должно быть стыдно выдавать "это" за пентест.

Читать полностью…

Пост Лукацкого

Ну где тебя 🟥 еще так встретят и проводят? Только в Бразилии 🇧🇷 И хотя я не попал на день рождения компании, который празднуется сегодня в Москве, в Бразилии мы тоже отметили как смогли 💃

Читать полностью…

Пост Лукацкого

20 августа Верховный суд оставил решение нижестоящих инстанций о тюремном заключении 😡 Илья Сачкова без изменений, посчитав, что оснований для пересмотра дела нет ☹️ В резолютивной части приговора говорилось, что в деле имеются вещественные доказательства, включая визитки сотрудников ФБР, сотрудников посольств США и Великобритании в РФ и сотрудников британского МИД 🇺🇸

Официально заявляю, что после того, как я это прочитал в прошлом году, я сразу уничтожил все визитки, которые у меня были от сотрудников различных посольств, которые бывали в офисе Cisco по роду службы, а также от сотрудников АНБ и ФБР 🇺🇸, которые [визитки, а не сотрудники] у меня скопились после многократного посещения RSA Conference и других мероприятий, на которых указанных сотрудники выступали 👮

Читать полностью…

Пост Лукацкого

Интересно, кстати, как организован CISO Forum в Бразилии 🇧🇷 Единственный keynote-доклад (от меня) и потом одни дискуссионные панельки. И в первый день точно такая же история. Никакой рекламы, никаких спонсорских «мы платим - вы должны включить наш доклад про мегасуперпупернгфв» 🤬 Про продукты вообще ничего нет. Респект и уважуха оргам 🙂

Читать полностью…

Пост Лукацкого

Как-то я смотрел выступление Джеки Чана на церемонии получении Оскара и думал: "Вот ведь классный чувак, давно в Голливуде, но до сих пор говорит по-английски так себе и не парится на эту тему. Он делает то, что он считает нужным и не заморачивается, насколько хорошо или плохо он при этом говорит по-английски. Его ведь понимают!" 😱

Меня достаточно долгое время напрягал мой английский. Да что говорить, он до сих пор меня напрягает. Я реально не чувствую себя уверенным, когда выступаю на не родном для меня языке, который я и учить-то стал уже после института, когда попал в Cisco (до этого у меня было 8 лет немецкого в школе), то есть в зрелом возрасте 😛 Но я влезаю во все международные инициативы 🟥 именно потому, что иначе я не смогу перестать бояться. Не бояться выступать, с этим у меня нет проблем. И не бояться оказаться вне повестки ИБ, с этим тоже нет сложностей (я вообще понял за годы в ИБ, что мы можем дать фору иностранцам по многим вопросам, так как опережаем их в обеспечении практической, результативной ИБ).

Позитив, даже не Cisco, дал мне возможность не бояться говорить на иностранном языке. Это офигенное ощущение, когда ты выступил на знакомую тебе тему и она зашла аудитории 🎆 Да, ты косячил с временами и спряжениями, но это не так важно. Я выступал не перед native speakers. Для них английский - такой же не родной, как и для меня. И в любой стране мира, где мне доводилось выступать очно или онлайн, я могу сказать, что все очень лояльны к тебе, так как мало кто родился со знанием английского. Арабы, бразильцы, чехи, поляки, норвеги, испанцы... Все они учились английскому также как и я (ну или почти также). Даже многие англичане снимают шляпу (не мою 🤠) перед теми, кто изучает их язык, так как у нас есть коренное отличие от них - они знают только один язык, свой, английский, а все остальные знают как минимум два языка - свой родной и английский. И это не мы плохо говорим - это они вообще не говорят ни на каком языке, кроме своего. То есть это не нам должно быть стыдно, что мы плохо говорим на английском, а им, что они не говорят на русском, португальском, испанском, немецком, чешском, сербском и т.п.

Так что не надо бояться выступать - на другом языке, перед незнакомой аудиторией, на не до конца изученную тему (хотя тему лучше изучить, конечно). Вы тем самым пересиливаете себя и свой страх. А это дорогого стоит! Ну а после выступления и выпить не грех, снять стресс и расслабиться, что я и сделал после своего выступления в Бразилии 🇧🇷

Читать полностью…

Пост Лукацкого

Прекрасный пост на Хабре о том, как мой коллега, Алексей Усанов, написал книгу ✍️ по реверс-инжинирнгу встраиваемых систем. Помните дискуссию на PHD2, где мы обсуждали в узком кругу ИБ-писателей зачем и как писать 📝 книги (эфир тоже можно посмотреть)? Так вот Алексей раскрыл эту тему в статье еще шире. Так что если вы стояли перед выбором, писать или нет, то прочитав мысли Алексея у вас отпадут все сомнения ✍️

Читать полностью…

Пост Лукацкого

Первый визит в Южную Америку, первое выступление в Южном полушарии на английском, первый полет на A380, впервые такие приключения с организацией выступления русской компании в Бразилии... Ну что ж, с почином...

ЗЫ. И пусть кусают локти те, кто не взял на меня на работу из-за того, что я не знаю английского 😂 Бразильцев это совершенно не смущает 🤝

Читать полностью…

Пост Лукацкого

Если вдруг меня примут американские спецслужбы 🇺🇸 и начнут на полиграфе выпытывать, был ли я в ГРУ, то смело могу отвечать, что да, был, решал вопросы кибербезопасности 🛡 И ни один полиграф не поймает меня на неуверенном ответе или попытке увильнуть ;-) ☺️

Читать полностью…

Пост Лукацкого

Я, конечно, победил 🤼 хакеров на киберполигоне, но у меня три вопроса:
🔤 Почему для трояна есть только варианты «пометить» и «пропустить», но нет «заблокировать» или «удалить»?
🔤 Почему анализ статистический, а не статический?
🔤 Почему рекламируются продукты ушедших из России американских компаний? 🤔

Читать полностью…

Пост Лукацкого

Вы знаете, что у таких ИБ-компаний, как Cisco, Fortinet, PaloAlto, CheckPoint и т.п., основные доходы приходят от продажи межсетевых экранов, доходя до 70-80% от всего объема продаж ИБ-решений 🤬

И вот в обсуждаемом в последнее время на Западе опросе Barclays 🏦 был вопрос - насколько изменяются инвестиции в межсетевые экраны в ближайшие три года. И вот что интересно, взгляд CIO на этот класс средств защиты достаточно пессимистичен - только 28% считает, что они увеличат инвестиции в МСЭ 🤑 29% считают, что они сократят свой бюджет на эти решения, а 43% - оставят на том же уровне, что и были.

Рост 📈 будет происходить там, где требуются мощные (и дорогие) железки для инспекции зашифрованного трафика, а также для внутренней сегментации в инфраструктуре, позволяющей уменьшить площадь атаки. То есть по сути речь идет об обычных МСЭ, а не NGFW. С другой стороны, облака, пусть и частные, снижают потребность в аппаратных МСЭ, которых могут заменить либо виртуальные (а там тоже в меньшей степени нужна NG-функциональность), либо встроенные решения IaaS-провайдеров 😶‍🌫️ Также, на Западе продолжается дискуссия на тему "заменит ли SASE межсетевые экраны, особенно в филиалах и малом бизнесе?". Отсюда и итоговой результат - 72% CIO, а именно они являются основными бюджетодержателями для МСЭ, не видят перспектив для данного класса продуктов 👎

Но все это не относится к России, где одна из основных задач на годы вперед - замена МСЭ и NGFW кинувших своих заказчиков американских компаний. Поэтому у нас цифры Barclays не работают - у нас по направлению NGFW только рост... 🇷🇺

Читать полностью…

Пост Лукацкого

Список основных глобальных рисков - штука не новая. Такое делает ВЭФ в Давосе, такое публикует страховая компания «Цюрих» (из хорошо известного). Поэтому данный вариант не то, чтобы уникален, но… у него интересная визуализация 🎨 Она показывает временной горизонт влияния/ущерба текущих рисков - уже влияет (те же кибериски), будет влиять в течение 1-5 лет, и на горизонте 5-10 лет.

Если заменить все риски только недопустимыми для конкретной организации событиями и ввести размер/серьезность потенциального ущерба (отображается размером кружочка), то будет неплохая стратегическая визуализация 💡

Читать полностью…

Пост Лукацкого

В Бразилии запретили X (бывший Twitter). Но на этом все не закончилось, как у нас 😅 После запрета судья Александр де Мораес 👨‍⚖️ заявил, что компании и физлица, попытавшиеся обойти запрет и подключиться к соцсети, ждет штраф в размере 50 000 реалов (примерно 9 тысяч долларов США) в день.

Все познается в сравнении… Хорошо, что я уже улетел, а то как раз перед вылетом я… ну вы поняли 🖥

Читать полностью…

Пост Лукацкого

Не все могут инвестировать 🤑 в создание реалистичного мини-города как Standoff для демонстрации последствий от реализации недопустимых событий и обучения специалистов по ИБ. Но это не значит, что не надо пытаться. Например, в австралийском университете TAFE при создании мини-города для обучения Blue/Red Team использовался конструктор Lego! 💡

ЗЫ. Фото честно утащил у Олега Вайнберга, преподающего в TAFE.

ЗЗЫ. Хотя, подозреваю. что закупка Lego такого масштаба тоже выйдет в копеечку. Там же еще и автоматизация под капотом 🏠

Читать полностью…

Пост Лукацкого

Вот и Катя прошлась по оценке рисков... 🔪 Мне кажется, чем больше будет статьей на тему реального применения оценки рисков в ИБ, тем более зрелым будет становиться рынок и тем более осознанным использование различных правильных подходов к тому, как говорить с бизнесом 🤝 Не вот это вот "аааа, все пропало" и метод светофора, а учет не только потерь от реализации риска, но и пользы, которую тот или иной риск может принести, а также поиск баланса между ними, что и отличается бизнесмена и предпринимателя от наемного менеджера и безопасника 🚦

Читать полностью…

Пост Лукацкого

Думаю, многие видели модель разделения ответственности за безопасность в различных моделях оказания облачных услуг (IaaS, PaaS и SaaS). Вот аналогичная, но для машинного обучения 🧠 Тут и вам про персональные данные, и про этику, и про реагирование инцидентов... 💭

Читать полностью…

Пост Лукацкого

Ну и по традиции краткая выжимка из второй прочитанной в Бразилии презентации. Да, она не на бразильском португальском языке, mas então não ficaria claro nem para você nem para mim :-)

PS. Учите иностранные языки. Это отличный способ оттянуть, а то и вовсе исключить из своего будущего болезнь Альцгеймера 😎

ЗЗЫ. У этой презентации есть один секрет, который очень сильно помог нам в Бразилии. Но я его не расскажу (хотя он и показан на слайдах ☝️) - оставлю при себе. А то все побегут в Бразилию 🏃

Читать полностью…

Пост Лукацкого

Рассказывал в Бразилии 🇧🇷 про результативную кибербезопасность, недопустимые события и вот это вот всё. После подошел CISO крупной компании и говорит:

О, Боже! Наконец-то я услышал то, что мне нужно. А то ко мне приходили ребята из Big4, приносили простыни со своими реестрами рисков и пытались всучить их оценку. А я понимаю, что к моменту, когда они закончат оценивать, мне надо будет начинать все заново и более того, появятся новые риски, и все начинать сначала; и так по кругу.


Так что тема понятна и вполне заходит 😎 Вторая дискуссия была с девушкой из страховой компании, которая пыталась убедить, что топы любят цифры, Excel’вские расчеты, актуарные таблицы, вероятности и вообще, чем больше цифр, тем лучше 🧮 И вообще топы тупенькие и неправильно оценивают последствия от кибератак.

Тут мы, конечно, немного зарубились с ней на тему восприятия последствий от кибератак и того, для чего собственно нужны сложные калькуляторы и цифры - для продажи страховых продуктов или для погружения топов в тему ИБ. И вроде как мы пришли к некой срединной линии, где наши взгляды сошлись 🤝 Но тему недопустимых событий для страхового бизнеса еще надо, конечно, дорабатывать.

Читать полностью…

Пост Лукацкого

В американском ИБ-издании на редкость неплохой материал по российскому рынку Bug Bounty 🤑 Автор пишет, что HackerOne, BugCrowd, Intigriti вышвырнули русских багхантеров со своих платформ, а американские бигтехи типа Apple и др. отказываются платить русским за найденные у них уязвимости, что и привело к предсказуемому росту рынка Bug Bounty в России 🇷🇺

Упоминается первая программа Bug Bounty от Яндекса, начавшаяся в 2012-м году. Есть информация о трех крупнейших платформах - BugBounty[.]ru, Stnadoff 365 Bug Bounty 🟥 и BIZONE Bug Bounty, а также о суммах выплат, которые, по мнению автора, сопоставимы с тем, что платились на HackerOne. Не обойдена вниманием и тема Минцифры, которая вышла на BugBounty со своими ГИСами. Также дается небольшой экскурс в уголовное законодательство в контексте истории с легализацией белых хакеров 👨‍💻

В заключении автор пишет, что у российской экосистемы Bug Bounty большое будущее 💪, так как эти платформы будут привлекать 🫴 не только российских багхантеров, которых только сейчас насчитывается около 20 тысяч, но и исследователей из других юрисдикций, которые с высокой степенью вероятности могут попасть под очередные санкции США. Это приведет к тому, что уязвимости в западных продуктах будут продаваться не вендорам на иностранных платформах, а в России, что, потенциально, может означать, что их покупателями станут российские спецслужбы, что создаст дополнительные угрозы шпионажа для Запада 😕 Ну и по аналогии с недавно вышедшей статьей о том, что иностранцам надо присматривать за Astra Linux, автор предлагает присматривать и за российским рынком Bug Bounty 😮

Читать полностью…

Пост Лукацкого

Оказалось, что в Бразилии вообще мало кто рассказывает про кибербез, так как это сделали мы 🤹‍♂️ Не только нестандартная тема (ИБ с точки зрения бизнеса), но и сама подача, оформление были очень хорошо восприняты аудиторией. И это при том, что на весь первый день CISO Forum было всего две англоязычных презентации - моя и еще одна спикера, девушки, которая отвечала на вопросы модератора (без презентации); все остальное было на бразильском языке 🇧🇷

Люди тут скучают по нормальным, а не согласованным строгим корпоративным PR и маркетингом, скучным презентациям с кучей ограничений, выверенными нейтральными картинками из фото-стоков... 🤠 Ну а я особо не заморачивался - взял тему оценки защищенности и провел аналогии с футболом, который в Бразилии введен чуть ли не в религиозный культ. Зашло на ура! 🎆

ЗЫ. В итоге организаторы попросили "на бис" выступить и во второй день 😂

ЗЗЫ. Мой вам совет: ваша целевая аудитория - это слушатели, а не ваш маркетинг.

Читать полностью…

Пост Лукацкого

Выложено видео нашего вебинара "Как измерить эффективность SOC", презентацию с которого я выкладывал чуть раньше 🧮

Читать полностью…

Пост Лукацкого

Главврач 👀 уфимской больницы, ссылаясь на законодательство о безопасности и борьбе с терроризмом, распорядился установить видеокамеру 👀 в гинекологическом кабинете. Теперь-то стало понятно, где террористы и экстремисты закладывают взрывные устройства, прячут килограммы наркотиков, нарушают законодательство о криптографии и снимают порнофильмы 🤦‍♂️

Читать полностью…

Пост Лукацкого

Если посмотреть внимательно на текст предъявленных Павлу Дурову обвинений, то из 12 пунктов три (3) касается нарушения владельцем Telegram законодательства Франции по криптографии, а именно:
🔤 Предоставление криптологических, а не просто криптографических, услуг, направленных на обеспечение функций конфиденциальности без соответствующего декларирования (у нас бы сказали лицензирования)
🔤 Предоставление криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления
🔤 Импорт криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления.

Отмечу, что в России существуют схожие с французским законодательством требования по импорту и экспорту шифровальных средств и, так как Telegram не считался отечественным, то к нему и у нас должно было применяться схожее тому, что действует в стране-хозяйке недавних летних Олимпийских игр. Интересно, если бы Дуров прилетел в Россию, его бы по прилету ждала такая же судьба?.. 🤔

Читать полностью…

Пост Лукацкого

США 🇺🇸 подали иск против технологического института Джорджии и исследовательской корпорации Джорджии за невыполнение требований Министерства обороны США в области кибербезопасности. Кроме того, "обвиняемые" сфальсифицировали результаты проведенной оценки уровня своей ИБ, чтобы показать свое соответствие и получить "вкусные" контракты МинОбороны 🇺🇸 Информация об этом была доведена до сведения американского Минюста, который еще в 2021-м году запустил новую инициативу, в рамках которой все желающие могут сообщить об обмане со стороны получателей государственных контрактов, которые сознательно:
используют или предоставляют некачественные продукты или сервисы ИБ
нарушают стандарты и регламенты ИБ
отказываются от непрерывного мониторинга ИБ и уведомления об инцидентах ИБ 🤬

И таких дел у Минюста США уже несколько, что говорит о серьезности намерений американских надзорных органов строго следить за тем, как обеспечивается безопасность данных и систем, владельцем которых является государство.

Читать полностью…

Пост Лукацкого

Ох, незамутненные такие... 🇨🇳 Раньше приходили за зеродеями или вредоносами. Теперь вот данные по LinkedIn им подавай. А когда отказываешь, обижается, и просит контакты самых лучших хакеров, чтобы вместе атаковать американцев... 👨‍💻

Читать полностью…
Подписаться на канал