alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

26862

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Verizon выпустил свой традиционный ежегодный отчет по инцидентам DBIR. И хотя его почему-то называют все отчетом по утечкам, это не так. Тут скорее классическая ошибка, которая переводит слово "breach" как "утечку". Аналогичная проблема была и в GDPR и в нашем ФЗ-152 - почему-то все говорят об уведомлении об утечках, хотя в реальности число проблем, требующих уведомления гораздо шире. Но вернемся к DBIR.

В работе над отчетом принимало участие 67 организаций по всему миру; преимущественно из США и Европы. Из условно российских в работе над отчетом принимала Лаборатория Касперского ("условно", потому что ЛК тут выступает больше как международная компания). При этом с точки зрения проанализированных инцидентов львиная доля (3/4) приходится на США и Канаду, на втором месте регион EMEA (Европа, Ближний Восток и Африка); затем идет азиатский регион и Южная Америка.

Интересно, что в разных регионах отличаются популярные шаблоны организации атак. Например, у азиатов на первое место выходит социальный инжиниринг, а у остальных - это проникновение через уязвимости. Мотивация тоже в азиатоском регионе отличается от других - если везде на первое место выходит финансовый интерес (в США - это вообще 99% всех атак), то в Азии хоть монетизация и интересна хакерам, но не в 90+% как у других. Шпионаж занимает 39%, что в 4-5 раз превышает аналогичный показатель предыдущих стран.

В отчете много различной статистики по тому, как злоумышленники получали доступ к данным, что закономерно приводит нас к вопросу: "А маппинг на MITRE ATT&CK есть?" Есть! Также как и маппинг в защитные меры CIS Controls. Эти два фреймворка, один для описания действий хакеров, второй - для описания защитных мер, стали уже стандартом де-факто в США. И хорошо то, что DBIR стал теперь не только описывать тренды и давать статистику, но и перешел в более практическую плоскость - позволяет понять самые популярные техники "плохих парней", а также способы противодействия им.

Читать полностью…

Пост Лукацкого

В 2018-м году Gartner предсказывал, что скоро пентесты уйдут с рынка и их заменят BASы и Red Teaming. Пока мы видим, что ушел Gartner 😂

ЗЫ. Но разделение red team и пентестов интересное… 👍

Читать полностью…

Пост Лукацкого

В 2013-м году Роскомнадзор выпустил 996-й приказ, утверждающий методы обезличивания. Так вот в ту самую пору я из лесу вышел, был сильный мороз был я участником разработки этого самого приказа и методички к нему. И к предложенным изначально 4-м методам обезличивания я предложил 5-й, хеширование и шифрование. Так как вообще-то, в нормальном обществе, хеширование, как и криптография в целом, как раз и являются методами обезличивания персональных данных (если не вдаваться в отличия обезличивания от анонимизации и псевдонимизации).

И только у нас это считают средством криптографической защиты (хотя хеш-функция не может быть средством, в отличие от продукта, реализующего хеш-функцию) со своим отдельным регулированием. И руководство РКН того времени направило версию проекта приказа по обезличиванию, включающую и шифрование с хешированием, на согласование в разные ведомства. Из ФСБ тогда пришел отлуп и пятый метод обезличивания был исключен из финальной версии приказа №996. А жаль...

ЗЫ. Как из хешированных данных понять, что там есть хоть какая "информация, относящаяся прямо или косвенно к определенному или определяемому лицу", представители РКН вряд ли смогут ответить - они вообще в технических вопросах не очень сильны. Также они ли вряд ли смогут объяснить, почему хеширование не попадает под определение обезличивания, то есть "действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных"?

ЗЗЫ. Скан взят из канала @bureaucraticsecurity

Читать полностью…

Пост Лукацкого

Если вчера в блоге я рассмотрел курс на практическую безопасность, взятый нашими регуляторами, то сегодня мы пойдем чуть дальше и посмотрим на результативный кибербез, который развивает описанный тренд за счет четкого целеполагания и контроля его достижения. Недопустимые события, багбаунти, пентесты на максималках и вот это вот все. Результативный кибербез не противоречит практическому, описанному вчера. 2-й и 3-й этапы, упомянутые в конце вчерашней заметки, и есть реализация практической ИБ. Поэтому все, что вы делаете в рамках выполнения свежих требований ФСТЭК, ФСБ, Минцифры, не пропадет. Но чтобы перейти на новый уровень и сделать шаг в развитии и своего кибербеза и себя, вам нужно сфокусироваться на том, что важно для бизнеса и доказать, что вы можете это не допустить.

Читать полностью…

Пост Лукацкого

Что-то меня смущает, что все, о чем я фантазирую в канале, потом вдруг где-то всплывает в реальности. Писал я тут про MITRE ATT&CK для космической отрасли и космических аппаратов 🛰. И вот в субботу стало известно, что на августовском DEFCON 5 команд хакеров будет пробовать взломать космический спутник Moonlighter. Учитывая атаки на украинский Viasat 📡, а также российские спутники вещания во время СВО, данный сценарий уже не кажется таким уж и фантастическим.

Поэтому отработка техник и тактик нападения, а также защиты, вполне укладывается в общий курс обеспечения национальной безопасности США, который затем будет навязываться всем их сателитам (двусмысленно читается, согласен). Ну а если меня читают коллеги из Роскосмоса и они тоже хотят проверить свои спутники, то у нас осенью будет очередной Standoff и еще есть время реализовать этот сценарий.

ЗЫ. Картинка Бена Каплана

ЗЗЫ. То, что сегодня взломали очередное телерадиовещание и разместили якобы экстренное сообщение В.В.Путина о введении военного положения и всеобщей мобилизации, опять случайность. Пост к этому никакого отношения не имеет!!!

Читать полностью…

Пост Лукацкого

Инфотекс опубликовал итоги расследования компрометации пользователей своего сайта 🧑‍💻. Если вкратце, то атака supply chain через разработчика нового сайта 😈

К опубликованным результатам, как и к первоначальному сообщению об инциденте, есть вопросы. Но открытость компании все равно можно только приветствовать.

А всем лишнее напоминание о том, что обычно веб-студии нихрена не понимают в ИБ и их работы надо проверять и перепроверять. У меня был опыт запуска сайта Информзащиты два десятка лет назад и промо-сайта Cisco и с тех пор ситуация несильно изменилась 😭

ЗЫ. Сайт был на Битриксе, который в последнее время ломают частенько. Поэтому обратите внимание на рекомендации.

Читать полностью…

Пост Лукацкого

Про новый приказ ФСБ по мониторингу защищенности я уже написал в пятницу вечером. В блоге же я попробовал не просто пересказать приказ, а задаться рядом вопросов, которые у меня возникли при его прочтении. Да, по мере правоприменения, думаю, многое станет ясно, но пока вопросов больще чем ответов. Также я попробовал порассуждать над тем, кто же у нас отвечает за защищенность - ФСТЭК, ФСБ или Минцифры, каждый из которых выпустил какой-то НПА (и не один) на эту тему. Ну и завершил все списком полезных, как мне кажется, ссылок по теме анализа защищенности.

Читать полностью…

Пост Лукацкого

У Gmail появилась фича, позволяющая проверить, попала ли ваша почта в базы, слитые в Darknet, и узнать, какие действия стоит предпринять для защиты своей учетной записи. Пока что данная функция доступна только для американцев с подпиской Google One, но обещают, что эта возможность появится у пользователей еще 20 стран в ближайшее время. Может и Россию не забудут.

Тут интересно не сама возможность, а то, что рядовых пользователей все активнее вовлекают в свою персональную ИБ. Такое же делает Mozilla, VK, Яндекс. Они интегрировали свои продукты и системы с внешними или внутренними сервисами по проверке утечек и сообщают пользователям, когда их учетные записи стали достоянием плохих парней. Тут главное, чтобы пользователь на основе полученной информации что-то все-таки сделал, а не игнорил предупреждения, а то потом он же будет обвинять всех вокруг, что о его кибербезопасности никто не побеспокоился.

ЗЫ. Вношу рацпредложение: сделать такой же сервис на Госуслугах! Тогда и охват будет шире!

Читать полностью…

Пост Лукацкого

Кто-то тут видит рекламу средства для повышения потенции, висящую над писсуарами в туалете аэропорта Внуково. А я вижу рекламу средства защиты информации, которое удлиняет путь злоумышленника до его цели.

Читать полностью…

Пост Лукацкого

Whatsapp запустил центр безопасности, рассказывающий, как сделать работу с мессенджером более защищенной

Читать полностью…

Пост Лукацкого

На портале правовой информации опубликован приказ ФСБ от 11.05.2023 № 213 "Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими", разработанный во исполнение подпункта в) пункта 5 Указа 250.

Согласно данному приказу:
1️⃣ Мониторингом защищенности занимается 8-м Центром ФСБ.
2️⃣ Мониторинг осуществляется только в отношении периметра организаций, попадающих под действие Указа 250.
3️⃣ Все попавшие под действие приказа организации должны отправить в ФСБ информацию о свою доменах, внешних IP, а также об их изменении (по мере изменения и добавления)
4️⃣ Мониторинг осуществляется непрерывно и заключается в выявлении публично доступных сервисов, уязвимостей и оценки защищенности организаций
5️⃣ Блокировать сканирование запрещено
6️⃣ Оценка защищенности осуществляется без предупреждения со стороны ФСБ
7️⃣ Оценка защищенности осуществляется на основании плана, утверждаемого начальником 8-го Центра ФСБ. Выписки из них направляются тем, кого будут оценивать
8️⃣ Если в результате оценки защищенности ресурсы организации выходят из строя, об этом надо сообщить в порядке, определенном приказом
9️⃣ Если по результатам оценки защищенности выявляется неспособность ресурсов организации противостоять угрозам ИБ, ФСБ выдает предписание по обеспечению безопасности

Читать полностью…

Пост Лукацкого

Многие средства защиты, продаваемые на российском рынке, похожи на представленные средства стимуляции мозга. Деньги на них тратятся, а эффекта ноль; кроме чувства ложной защищенности и помощи 🆘 Некоторые еще и вредят. Но их покупают. Потому что никто не хочет прилагать усилия к своей защите - все хотят волшебную пилюлю.

В лучшем случае продукт сертифицирован, что говорит только о его соответствии требованиям регулятора, но не применимости в конкретном сценарии. Иногда продукт просто покупают, потому что реклама хорошая или бюджет надо потратить или еще какие причины. Но вот вписать в договор на поставку условие оплаты только при достижении результата купленным продуктом, увы, нет. И вендор, продающий «AS IS», не согласен, и заказчик не готов. Потому что сам не знает, какой результат нужен от покупаемого продукта. И еще не хочет сам отвечать за достижение результата (это же совместный труд).

Так и живем 😕

ЗЫ. Кстати, кабину Райха с первой фотки я бы купил. Это, похоже, обычный шкаф из ИКЕА, но названный иначе. А мне как раз шкаф на дачу нужен…

Читать полностью…

Пост Лукацкого

Если бы не пресс-релиз ФСБ, то о новом вредоносе для Apple 🍎 никто бы и не узнал кроме специалистов. Да и они бы пропустили эту новость, так как их сыпется вагон и маленькая тележка 🛒 ежедневно. Что говорит о силе бренда ФСБ, одним росчерком пера которой она привлекла внимание к необходимости отключения iMessage на своих айфонах 📱

А тут еще и Маск подключился, а значит новость разойдется просто массово и все получат немножко славы, а пользователи опять будут задаваться сакраментальным вопросом "а делать-то чо?". Но их никто не услышит, так как одни пойдут пилить суперапп и думать, как объяснить пользователям, зачем Twitter переименовали в X (ну русскоязычные пользователи-то знают), другие будут ловить новые вредоносы, третьи - ловить террористов и экстремистов. И только грядущие выходные примут всех без ограничений в свои объятия 🤗

ЗЫ. А у нас пока бенефициар новостей про опасный Apple нарисовался.

Читать полностью…

Пост Лукацкого

Коллеги меня регулярно ругают за то, что я везде "пихаю" Bug Bounty как средство оценки эффективно выстроенной результативной кибербезопасности, хотя это не так. Мол Bug Bounty сама по себе ничего не может оценить, а точнее оценивает защищенность в моменте. Но... тут и кроется ключевой момент. Когда я говорю или пишу про багбаунти, я исхожу из предпосылки, что предыдущий этап (построение центра противодействия угроз) реализован в должной мере, а оценка защищенности в виде багбаунти или киберучений или верификации недопустимых событий - только вишенка на торте.

Вроде (для меня, как минимум) очевидно, что прежде чем выводить системы на багбаунти надо выстроить процессы безопасной разработки, AppSec, управления уязвимостями, реагирования на инциденты, их мониторинга и т.п. Если этого ничего нет, то соваться в багбаунти нет смысла - выплаты будут слишком большими, а найденные дыры будут накапливаться так и оставаясь неустраненными. Об этом, кстати, я писал, описывая выступления на PHDays про багбаунти. Поэтому когда я рисую всякие дорожные карты достижения результативного кибербеза, их надо рассматривать целостно, а не отдельные их промежуточные точки.

Поэтому цепочка следующая:
1️⃣ Определяем то, что недопустимо для бизнеса. Это позволяет нам сузить область будущего внимания/защиты/контроля.
2️⃣ Модернизируем инфраструктуру, чтобы она сама нейтрализовывала типовые или более сложные угрозы (харденинг).
3️⃣ Построение центра противодействия угроз (ЦПК), то есть выстраивание процессов мониторинга, реагирования и предотвращения киберугроз.
*️⃣2-й и 3-й этапы могут строиться вместе (и это лучший вариант), но могут и независимо друг от друга.
4️⃣ Оценка защищенности в виде банбаунти, пентестов, киберучений и т.п.

Читать полностью…

Пост Лукацкого

Если сейчас какой-нибудь сенатор или депутат заявит, что ему поступает много просьб от избирателей и он решил поддержать глас народа, выступив с инициативой о запрете продукции Apple в России, тогда можно будет с уверенностью говорить о спланированной кампании!

Читать полностью…

Пост Лукацкого

Почувствуйте разницу, так сказать. Внимательным +1 в карму 👀

Читать полностью…

Пост Лукацкого

Сегодня я читал в одной солидной компании тренинг для топ-менеджеров по кибербезопасности и в качестве одного из кейсов показывал, как можно сделать дипфейк на обычном домашнем компьютере и насколько он будет неотличим от реального видео. А тут очень удачно попалось две новости, показывающие, что это уже не единичный случай, а вполне себе серьезная история, имеющая далеко идущие последствия 😭

Во-первых, взлом телекомпании "МИР" и демонстрация в ее эфире в течение почти 40 минут фейкового выступления Президента России, который "объявил" о всеобщей мобилизации и введении военного положения в приграничных районах. А во-вторых, история с китайским г-ном Гуо, который работает в технологической компании в Фучжоу (Китай) и который после проведения видео-звонка с мошенником, использующим дипфейк и замаскировавшемся под друга жертвы, перевел ему "на бизнес-проект" 4,3 миллиона юаней (667 тысяч долларов) 🤑

Три кейса. В одном я представился генеральным директором компании, а мог бы и его фото подставить в любой ролик, в том числе и нелицеприятный. Во втором, дипфейк (а там голос не совпадал с движением губ) мог бы обрушить курс акций компаний, если бы в уста высокопоставленного чиновника вложить совсем другой текст. Третий же кейс показывает как дипфейки могут повлиять на конкретного человека и заставить его выполнить то, о чем он потом будет жалеть 😰

А вы знаете, что противопоставить дипфейкам?

Читать полностью…

Пост Лукацкого

Приветствую различные формы обучения, но в данном случае у меня есть вопросы к этим организаторам обучающего марафона желаний:
1️⃣ Где они видели таких женщин после 40? У меня, конечно, есть предположение, но боюсь тогда для них не очень актуально это предложение. Хотя такой образ может быть у 14-тилетнего СММщика, для которого девушка в 25 уже старуха 👵, а 40+ - вообще ближе к сказочной героине, жрущей добрых молодцев, с именем, начинающемся на Б, а заканчивающемся на А (из двух слов)
2️⃣ Когда обещают доход в миллион, но денег не берут, это выглядит как реклама от прыщавых юнцов «зрелым дамам куни бесплатно» (извините за мой французский)
3️⃣ «До 1 миллиона»? 13 тысяч тоже подходит 😭
4️⃣ До 1 миллиона в год? Тогда для ИТшника это немного. В месяц? Что ж ты сам тогда там не работаешь?
5️⃣ Почему в одной рекламе из женщины хотят сделать айтишницу, а в другой - айтишника? Или на тест-драйве профессий будущего совмещают ИТ и толерантность, а будущий айтишни(к|ца) становится еще и трансгендером. А что, айтиквир, это модно 😱

Хорошо, что кибербез так не рекламируют. А то я бы вышел с инициативой о пожизненном блокировании автора такой рекламы.

Читать полностью…

Пост Лукацкого

Обновляю тут презентацию по повышению осведомленности в области ИБ для рядовых пользователей...

Читать полностью…

Пост Лукацкого

Как пишут индийские СМИ причиной крушения поездов в Индии, в результате которого погибло почти триста и ранено более 1000 человек, стало изменение в системе электронной блокировки, отвечающей за контроль движения поездов и отсутствие конфликтов, приводящих к потенциальному столкновению. Но что-то пошло не так... Я, конечно, не стрелочник, но допускаю, что причиной этого недопустимого события мог быть и компьютерный инцидент. По крайней мере такой сценарий заложен в киберполигоне Standoff, видео с которого я показал в канале на днях (что интересно, именно фрагмент с крушением поездов), а у нас все сценарии основаны на реально возможных событиях.

ЗЫ. Причины инцидента в Индии пока выясняются...

Читать полностью…

Пост Лукацкого

Три столпа анализа/контроля/оценки/мониторинга защищенности!

Читать полностью…

Пост Лукацкого

Люблю это фотку с PHD’12 (но не с 12-го по счету, а из 2012-го).

ЗЫ. Надо обязательно добавить «олды поймут» ;-)

Читать полностью…

Пост Лукацкого

На секции про искусственный интеллект и кибербезопасность на ЦИПРе Руслан Юсуфов рассказывал историю, как таксист 🚕, который как-то вез его, узнал и стал спрашивать про цифровую сингулярность 😊 Меня, конечно, таксисты еще не узнают (правда, когда я был молод, стюардессы узнавали в самолетах, - так часто я летал), но зато водители маршруток и автобусов 🚘 демонстрируют похвальную осведомленность в том, что происходит с рынком киберпреступности 😡

Читать полностью…

Пост Лукацкого

Прошло то время, когда то на рекламных плазмах на Садовом кольце, то на киосках метрополитена хакеры порнографию демонстрировали 🤔. Городская среда все кибербезопаснее становится... В том же метро на баннерах советы по ИБ показывают (тут и тут). Так глядишь и в рейтинге городов с самой безопасной цифровой средой станем выше всех. Главное, чтобы там дроны не учитывали как фактор кибербезопасности....

Читать полностью…

Пост Лукацкого

Неожиданно попал в список лучших тренеров по ИБ. Приятно, чо 😊 Хотя, по чесноку, текст писался явно не тем, кто у меня учился, а по моим соцсетям и видосикам. Но описание меня со стороны все равно прикольное. Ментор-акула...

Читать полностью…

Пост Лукацкого

Если вдруг у вас сайт на Битриксе и его "случайно" взломали в последние дни, то стоит обратить внимание на данные рекомендации. Ну а если не сломали, то тоже стоит обратить.

Читать полностью…

Пост Лукацкого

До недавнего времени вся деятельность по ИБ попадала в единственный ОКВЭД 74.90.9 (деятельность в области защиты информации), что явно не отражает всего спектра мероприятий, которыми занимаются отечественные ИБ-компании, начиная от разработки ПО и заканчивая оказанием услуг в области ИБ. Приказом Росстандарта от 03.04.2023 N 178-ст было введено 10 новых и изменено 2 существующих вида деятельности в области ИБ. Так, например, отдельный код появился у мониторинга ИБ, контроля защищенности, сертификации средств защиты информации и т.п. По сути, классификатор был приведен в соответствие с существующими в соответствующих положениях о лицензировании деятельности по защите информации и шифрованию (ПП-79 и ПП-313 соответственно).

Сделано это для решения разных задач:
1️⃣ Поддержка во времена санкций (по аналогии с тем, как это было сделано с ИТ с начала СВО)
2️⃣ Предоставление адресных льгот отдельным ИБ-компаниям
3️⃣ Фокусное регулирование и установка требований
4️⃣ Анализ отечественного рынка кибербезопасности.

Если вы работаете в ИБ-компании, то стоит обновить свои документы, для учета нового классификатора.

Читать полностью…

Пост Лукацкого

Если верхушку айсберга с прошлой картинки приблизить, то оценка защищенности тоже может быть разной и с разным эффектом и результатом. Начинается все с банального запуска сканера безопасности, а возможно и BAS-решения, что дает нам возможность найти известные всем уязвимости. Киберучения позволяют протестировать слабые места не в ПО, а в людях, и понять, насколько они способны выявлять и отражать атаки на полигоне-макете или в реальной инфраструктуре.

Пентесты позволяют проверить вашу защищенность против команды хакеров, имитирующей реальных плохих парней. Классическая багбаунти программа позволяет вам запустить на ваши приложения неограниченное количество хакеров, что увеличивает шансы найти то, что не способен сделать ни сканер безопасности, ни отдельная команда легальных хакеров, даже если они прям гуру-гуру в своем деле. Объединение идей багбаунти с пентестом дает вам "пентест на максималках", то есть привлечение не одной, а множества команд пентестеров, которые будут не просто искать уязвимости на вашем периметре, а пытаться проникнуть внутрь вашей инфраструктуры.

Наконец, багбаунти на недопустимые события позволяет вам протестировать то, что реально может дорого обойтись вашему бизнесу, а именно реализовать НС. И это опять будет пытаться делать не одна команда, пусть и квалифицированная, а множество, тем самым пробуя разные варианты проникновения в инфраструктуру и попытки добраться до целевых систем, через которые и будет реализовываться то, чего бизнес хотел бы избежать.

На вершине у нас находится реальный инцидент. Если все предыдущие остановки вами были успешно пройдены 🧗, то злоумышленнику уже ничего не светит, - вы проверили свою защищенность множеством разных способов, подтвердив, что ни уязвимостей в ПО, ни слабых мест в процессах, ни белых пятен в компетенциях ваших специалистов нет и система ИБ у вас достаточно зрелая.

Читать полностью…

Пост Лукацкого

Моя прелесть приехала (первая часть). Книги с Amazon нонче заказывать непросто, но библиотеку надо все равно пополнять; несмотря на все препоны и преграды

Читать полностью…

Пост Лукацкого

Генпрокуратуру попросили возбудить дело о шпионаже против сотрудников Apple. До этого ФСБ обвинила компанию в помощи американским спецслужбам.

Письмо в Генпрокуратуру с требованием возбудить уголовное дело направил Виталий Бородин — глава «Федерального проекта по безопасности и борьбе с коррупцией». По его мнению, сотрудников Apple и разведки США нужно привлечь сразу по трём статьям: о шпионаже, неправомерном доступе к компьютерной информации и распространении вредоносных программ.

Днём ФСБ отчиталась о раскрытии «разведывательной акции американских спецслужб» с использованием айфонов. По данным силовиков, заражению вредоносным ПО подверглись несколько тысяч телефонов абонентов из России, а также устройства с зарубежными сим-картами, зарегистрированными на посольства РФ. Теперь ФСБ полагает, что Apple тесно сотрудничала с разведкой США.

Читать полностью…
Подписаться на канал