Тестирование ChatGPT на выходных вновь подняло множество вопросов о будущем ИБ, которое вроде как еще и далеко, а вроде как уже и на пороге. И вновь задаешься вопросом о том, кому из ИБшников схожие модели укажут на дверь, а кто найдет себя в новом мире.
Читать полностью…В свое время, одним из крупных заказчиков высокоскоростного сетевого оборудования были порностудии ☺️, которые стримили происходящее у них в прямом эфире 🧼 и, при большом числе зрителей, им требовались высокие скорости и надежность передачи данных. Мне всегда было интересно, как обеспечивается кибербезопасность таких студий 😔 Вот приходишь ты на конференцию по ИБ и, представляясь, говоришь, что ты CISO в Brazzers 🥳 Внимание аудитории тебе обеспечено 😌
Потом уже стало интересно, как осуществляется защита информации в ФСТЭК, Минцифры, ФСБ. Всегда интересно узнать у людей изнутри регуляторов, как они сами относятся к требованиям, разработанными своими же коллегами 🤔. Но в какой-то момент я ответил себе на этот вопрос; как минимум в отношении ФСТЭК и Минцифры. А задавать такие вопросы в отношении ФСБ после вступления в силу 547-го приказа уже как-то и не хочется. Такой же вопрос был относительно тюрем 👮, но не думаю, что в нашей стране это настолько прогрессивная история, как в тех же США с их автоматизацией мест заключения. Но в обеспечении ИБ тюрем одного из сопредельных государств мне доводилось принимать участие много лет назад.
Или вот, как обеспечивают ИБ в РПЦ? 😇 Добавляют ли они молитвы к приказам ФСТЭК; дополняя защиту традиционную еще и небесной? Наконец, в этом году стало интересно, а в частных военных компаниях и выросших как грибы после дождя хакерских группах 🧑💻 как обеспечивается ИБ? Или у первых все решается нетрадиционными методами, а у вторых - децентрализованная схема - сам ломаешь, сам себя и защищаешь?
У ДИТа, единственного из госструктур, встречается нормальная рекомендация по выбору легко запоминаемого, но стойкого 💪 пароля.
Читать полностью…Может и хорошо, что иностранные автопроизводители ушли из России? А то возможность удаленно найти, разблокировать, запустить (а остановить на ходу?) известные автомарки пугает…
Читать полностью…r/ #technology
Банкомат, который показывает всем окружающим твоё фото и твой баланс на карте
Спонсором этой кампании является… Роскомнадзор. Кто бы сомневался…
Так что ждем в декабре активной рекламы с теми, кто согласится на щедрое предложение и будет топить за то, что наказание за утечку ПДн надо усилить, углубить и все такое 😈
Этот эфир на Standoff получился самым для меня насыщенным - в течение часа мы поговорили о том:
📌 почему компании не ограничиваются пентестами и идут в программы Bug Bounty,
📌 почему платформа Bug Bounty лучше своей собственной программы,
📌 во сколько обойдется участие в Bug Bounty для компании,
📌 чем Bug Bounty отличается от пентеста и когда надо их применять,
📌 какие выгоды получает компания от участия в Bug Bounty,
📌 и т.п.
Парадоксальная ситуация. Когда публикуешь дайджест законодательных инициатив раз в месяц и там набирается 25-28 пунктов, он не вызывает такой реакции, как дайджест сразу за два месяца с 50-56 НПА 🤔
С точки зрения математики и здравого смысла - это одно и тоже (число НПА за заданный период). Но второе воспринимают как «достали уже со своей писаниной регуляторы», а первое такой реакции не вызывает.
Интересно, если подвести годовой итог и там получится под триста НПА по ИБ, то какой будет реакция?
Но все это, конечно, объяснимо - психология. Чем реже мы о чем-то слышим/узнаем, тем бОльшую реакцию это вызывает в момент ознакомления. В психологии восприятия рисков та же история - события с меньшей частотой чаще преувеличиваются, а события, происходящие постоянно, принижаются.
Мы часто ругаем регуляторику, считая, что она мешает заниматься реальной ИБ. И на этом основании даже не пытаемся поставить нормативку себе на службу, правильно ее интерпретируя для решения задач, которые ставит перед ИБ бизнес.
Непрерывный мониторинг, устранение уязвимостей, пентесты, повышение осведомленности, MFA, мониторинг сетевых аномалий, обнаружение и реагирование (xDR) на разных уровнях, киберучения, сегментация… Все это есть в нормативке и все это составные части результативной ИБ.
Но нет… Мы прицепимся к какой-нибудь дурацкой фразе (а они есть, чего уж тут скрывать) и на этом основании будем утверждать, что весь документ говно. Вместо того, чтобы сочетать формулировки НПА по ИБ с современными технологиями и подходами, мы ищем причины, почему оно не взлетит 🤬, и требуя отменить весь приказ/стандарт/методичку.
Да, было идеально, если бы регулятор выпускал сразу идеальные документы, но увы… Чего ждать от госоргана, который часто в глаза не видел того, безопасность чего он регулирует? Но такова уж специфика вообще регуляторов во всем мире. Не нравится - подскажи, как правильно. Есть регуляторы, открытые к диалогу. Сообща может родиться что-то полезное. Есть регуляторы упертые и думающие не о том, чтобы сделать лучше. Тут приходится творчески трактовать их требования, что тоже возможно. А можно уйти в глухую оборону «все говно». Каждый выбирает для себя…
В ГИС министерства использовались несертифицированные средства защиты?! А так можно было?
Читать полностью…Частота сканирования уязвимостей для активов, доступных из Интернет. Явного лидера нет, но смущает, что 45% делает это раз в квартал или реже. И речь не о пентестах, а об обычном сканировании тех ресурсов, через которые и могут пролезть плохие парни и вредоносы.
Читать полностью…Аналитики любят глазами, а потому вендора по ИБ пытаются решить эту проблему, уходя от табличных представлений данных (атаки, инциденты, уязвимости, контроли и т.п.) в своих решениях в сторону визуализации, приближенной к реальной инфраструктуре потребителя. Отсюда появляются истории про решения, визуализирующие цепочку действий злоумышленников, возможные вектора атак и т.п. Где-то это просто прогнозирование возможного развития событий, опираясь на данные об уязвимостях, где-то эта информация сочетается с данными об атаках в реальном времени для слежения за хакерами "здесь и сейчас".
Читать полностью…Англичане 🇬🇧 в один из своих законопроектов по ИБ (Online Safety Bill) хотят ввести ответственность 👮 CIO, CIO, CTO и т.п. за любое несоответствие требованиям государства; независимо от нанесенного ущерба. А вы говорите, наши регуляторы лютуют ;-)
Читать полностью…Microsoft «убьет» рынок DLP?!.. Они включили в свои решения новую функцию по борьбе с инсайдерами, а именно отслеживание движения мыши, нажатия клавиш и все такое. Все для борьбы с кражей интеллектуальной собственности и другими внутренними инцидентами.
Читать полностью…В выходные "поигрался" с ChatGPT. Завтра в блоге опишу этот опыт. Есть интересные сценарии....
Читать полностью…Уравнение доверия… к человеку, ПО, вендору, регулятору… Очень простая модель, но многое объясняющая.
Например, у регуляторов часто заниженная С и завышенная S, что приводит к снижение доверия к их документам. У вендоров высокое S и низкое I. У open source - низкое R…
Так и источники Threat Intelligence можно оценивать наверное?..
Подогрев кресла или руля в авто по подписке? Процессоры по подписке? Что дальше? Кардиостимуляторы?
Желание заработать бабла - это нормально, но наличие возможности отключать купленное решение за неуплату открывает новые возможности для плохих парней (а также государств, давящих на несогласных). Тут вам и пиратство, и взлом подписки, и… блокировка действующих лицензий с требованием выкупа (возможность же есть)
CERT Societe Generale обновил свои плейбуки по реагированию на инциденты, выложив их в паблик. Русскую версию они обновлять не стали, оставив вариант шестилетней давности
Читать полностью…Интересный способ применения геймификации в банковском деле 😂 Интересно, какая ачивка будет у лидера списка? Кирпич, бита, паяльник?..
ЗЫ. Спасибо подписчику Виталию за ссылку!
Вы же знаете Анну Семенович? Вы думаете она фигуристка ⛸️? Нет! Певица 👩🎤? Нет! Она инфлюенсер!
Пришло тут ко мне рекламное агентство, которое продвигает топовых инфлюенсеров, и предложило снять со мной ролик. Ну все, думаю. Вот она слава пришла. Теперь Тик-Ток у моих ног, я с Анной Семенович, Лизой ЛПшкой или Лерой Изумруд в одном ряду. Софиты, поклонницы, миллиарды доходов…
Но все оказалось куда прозаичнее ;-(
Последние пару дней ознаменовались тем, что две ИБ-компании столкнулись с инцидентами. Одна, уже известная LastPass, которая уже страдала от взлома в августе этого года и вот снова - кто-то, получивший доступ к аутентификационной информации еще в августе, использовал ее сейчас для доступа к облачным сервисам LastPass. И хотя LastPass ссылается на то, что пароли пользователей не пострадали (у них же архитектура Zero Knowledge, ё-моё), я бы все-таки их поменял. На всякий случай.
Второй инцидент у компании ENC Security, технологии которой используются в USB таких производителей как Sandisk, Sony, Lexar и т.п. Утекли конфигурации и файлы сертификатов за целый год. Причина - некорректная конфигурация поставщика.
Известная поговорка, что и на старуху бывает проруха, доказана дважды. Нет смысла делать какие-то выводы (все могут пострадать), кроме одного - подумайте о безопасности цепочек поставок и о том, как вы защищаетесь от возможной компрометации ваших подрядчиков и поставщиков, в том числе и в области ИБ.
🔸Генеральная прокуратура выявила нарушение закона о защите персональных данных в Минэкономразвития РФ. До настоящего времени Минэкономразвития не приняты нормативно-правовые акты, определяющие угрозы безопасности персональных данных, актуальные при их обработке в их информационных системах..
🔸Также ов министерстве допускается эксплуатация государственных информационных систем без учета требований безопасности, а также "применяется несертифицированное уполномоченными органами программное обеспечение".
🔸По материалам проверки Генеральной прокуратуры в отношении виновного лица уже составлен протокол. И будут решен вопрос о рассмотрении дела об административном правонарушении.
🇷🇺⚡🏛️ #минэк #прокуратура #испд #сзпд #сертификация
В Албании 5-х специалистов по ИТ/ИБ, работавших в госорганах, посадили под домашний арест в качестве наказания за нарушение имеющихся правил по ИБ, что и привело к успешной атаке Ирана на албанские госресурсы летом этого года. Блин, ведь бывает же так. Прям как в фантастическом кино. Виноват - наказан и не важно, что ты в госоргане работаешь и вроде как рука руку моет. Нет!
У нас это обычно заканчивается тем, что проблему замылили и реальных виновных не наказали. Зато можно попросить бюджетов на ИБ, потребовать пучок новых статей в Уголовный Кодекс, рассказать журналистам о растущей важности ИБ и покрасоваться на телевизионном канале, обсуждая хакеров всего мира, которые неустанно долбят российскую демократию.
Вся проблема в правоприменении. Бессмысленно принимать новые поправки в КоАП и УК, если у нас даже текущие статьи нормально не применяются, судьи не понимают "компьютерных" дел, следователи не любят "глухарей" из дел по 272-274-й статьям, надзор редкий и без оргвыводов, проверяющие низкоквалифицированные. Без исправления этого, все остальное бессмысленно, - так и будем постоянно говорить о том, как организовать борьбу вместо того, чтобы реально "бороться".
NIST подготовил 2-ю версию проекта документа по защите личных мобильных устройств (BYOD)
Читать полностью…Интересно, если это управление по организации борьбы, то кто занимается самой борьбой?
Читать полностью…День Китая 🇨🇳 в канале продолжается. Чтобы обойти цензуру, китайские диссиденты обмениваются новостями и сведениями о местах ближайших манифестаций с помощью Airdrop, который позволяет это делать, минуя Интернет и, как следствие, цензуру.
Китайские власти попросили и Apple не мог не прислушаться - в итоге обмен по Airdrop в Китае ограничили.
Это к разговору о том, чье мнение важно для коммерческой компании - миллиарда потенциальных потребителей или государства, которое может вообще не дать достучаться до этого миллиарда.
Существование любой успешной ИТ/ИБ-компании - это всегда баланс между требованиями рынка, государства и человеческими ценностями. Хотим мы того или не хотим 🤷
У смартфонов Хуавей обнаружилась интересная фича - он удаляет видео китайских протестов. Сам, по своей воле. Ну или по воле пославшей его жены партии. Очень удобная функция в демократическом обществе. Этакий Managed Smartphone Service.
Интересно, что еще может делать китайский смартфон удаленно, по команде из Пекина? А то ведь эта марка у многих российских чиновников сейчас используется вместо продукции Apple 🍎