Пост Лукацкого

22 апреля 2023 08:40

А представьте, что у вас SOC на стероидах машинном обучении и полная автоматизация. И атаки детектятся, и в инциденты собираются, и тикеты оформляются, и куда-надо направляются. А тут приходит проверка и требует прекратить это безобразие и никому ничего без согласования не передавать. А у вас все на автопилоте? И вот что вы будете делать?... Вопросик, однако

Пост Лукацкого

21 апреля 2023 19:59

И это тоже про смешение гражданских и военных в киберпространстве. Я уже про это писал неоднократно. Недавно про это написали в американском солидном издании. А вот сейчас и англичане подтянулись, задавшись вопросом, а как потом осаживать тех кибервоинов, которым сейчас дают зеленый свет и поддерживают, направляя их атаки на то или иное государство.

Пост Лукацкого

21 апреля 2023 11:34

Региональным СМИ, которые постоянно путают название регулятора, посвящается...

Пост Лукацкого

21 апреля 2023 09:58

Иногда утренняя почта радует своей непредсказуемостью и неожиданностью 🚣

Пост Лукацкого

21 апреля 2023 06:40

😌🥳😏🤩😍Вот и американцы существенно облегчают привлечение гражданских активистов и бизнеса для решения задач кибер и пси операций.

«Мы хотим использовать программу ввода в эксплуатацию Cyber Direct, чтобы задействовать резервы талантов, к которым у нас не было эффективного доступа. Цель состоит в том, чтобы создать заманчивую возможность для людей, которые в противном случае хотели бы служить своей стране, устранить ненужные барьеры, которые могли бы отвратить их от службы, и ускорить тех, кто был выбран в офицерские звания с рангом и оплатой, соответствующими их реальному уровню опыта. », — сказала генерал-лейтенант Лия Лаудербак , заместитель начальника штаба по разведке, наблюдению, рекогносцировке и кибероперациям штаб-квартиры ВВС США .

«Мы ищем лучшие таланты по всей Америке , чтобы они присоединились к нашим ВВС в качестве офицеров киберпространства», — сказал Бриг. Генерал Терренс Адамс.

https://foreignaffairs.co.nz/2023/04/20/mil-osi-security-cyber-direct-commissioning-program-enhancement-to-onboard-future-cyber-officers/

Пост Лукацкого

20 апреля 2023 16:51

Собственно шесть основных приоритетов в приоритизации ИБ выглядят вот так - управление уязвимостями и патчами на первом месте, затем XDR и замыкает тройку расследование инцидентов. Интересно, что реагирование на инциденты находится только на 5-м месте.

Пост Лукацкого

20 апреля 2023 13:30

Если отбросить облачную ИБ, которая не так чтобы приоритет №1 в России, то на первое место, согласно опросу Splunk, автоматизация ИБ - это первоочередная задача для большинства опрошенных CISO.

При этом налицо явный рост интереса к автоматизации и платформам (даже с поправкой на то, что Splunk этим, собственно, и зарабатывает). 50% планирует фокусировать свои бюджеты на платформах ИБ, а не отдельных решениях. 38% (против 21% в прошлом году) идут в сторону построения интегрированной архитектуры для аналитики ИБ и средств автоматизации реагирования. 35% (против 22%) хотят покупать средства, специально разработанные для автоматизации и оркестрации процессов ИБ.

Пост Лукацкого

20 апреля 2023 09:10

О, какие новости подвезли. Иностранцы из России уходили, было такое. Но чтобы российская ИБ-компания ушла из России?..

Пост Лукацкого

19 апреля 2023 20:15

Splunk разродился отчетом "The State of Security 2023", в котором опросил 1520 ИТ- и ИБ-руководителей по различным аспектам, интересным Splunk в контексте их бизнеса. Меня зацепила вот эта диаграмма, в которой показано, как и в чем оценивают эффективность ИБ.

Во-первых, тут есть некоторая манипуляция. Заявляется о бизнес-лидерах, но по факту вопрос задавался ИБшникам и ИТшникам, а не бизнесу. Допускаю, что среди 1500 респондентов были и люди уровня CxO, но, их явно было не большинство, так как, и это, во-вторых, не будет топ-менеджер измерять ИБ в MTTD/MTTR. Ну какая ему разница, в течение какого времени был взят инцидент в работу и когда он был закрыт?.. Его волнует, чтобы недопустимое событие не было реализовано ущерб не был нанесен компании.

В крайнем случае, его могут заинтересовать время простоя (4-е место в списке), прогресс важных ИБ-инициатив (7-е место), возможность обеспечивать ИБ в рамках бюджета (9-е место) и возврат инвестиций в ИБ (10-е место).

MTTD/MTTR явно притянуты за уши в этом отчете и скорее льют воду на мельницу Splunk, решения которого как раз и направлены на снижение MTTD/MTTR. Манипуляция результатами одним словом. Но если отбросить первый показатель эффективности, то остальные похожи на правду.

Пост Лукацкого

19 апреля 2023 13:33

О, какие инициативы у нас пошли. Стандартизация защиты бортовых компьютеров автомобилей, поставляемых/собираемых в России с целью защиты от утечек персональных данных и удаленного несанкционированного вмешательства в работу автомобиля. Интересно, это ведь про защиту ПДн, и про защиту КИИ (если транспорт служебный), а про ФСТЭК и ФСБ в заметке ни слова. Насколько я помню, любые попытки обойти этих двух регуляторов в принятии судьбоносных для ИБ решений, часто заканчиваются провалом любой инициативы 🫡

Пост Лукацкого

19 апреля 2023 06:41

На самом деле это вчерашний анонс; поэтому третий вебинар 👆🏻серии пройдет сегодня! 👍

Пост Лукацкого

18 апреля 2023 20:12

Помните давние дискуссии о том, почему одна ИБ-компания называет группировку Fancy Bear, а другая, ту же группировку, - APT28, а третья - Pawn storm, а четвертая - Sofacy, а пятая и шестая - Sednit и Strontium соответственно?

Вот Microsoft решила навести порядок в этом деле и придумала свою таксономию названий хакерских группировок. Уж не знаю, насколько они думают, что это начнут использовать все исследователи, но попытка интересная.

Пост Лукацкого

17 апреля 2023 13:21

Александр Леонов сделал карту отечественных средств управления уязвимостями и вот, что я хочу сказать. Придуманные им аббревиатуры, СДУП, СДУК, СДУИ, СДУСП и т.п. выглядят очень странно; как минимум, непривычно. Не звучат они совершенно. Но это похоже вообще особенность нашего восприятия родного языка.

Почему-то VM не вызывает такой реакции, в отличие от СУУ. CASB, NGFW, DLP, IDS звучат привычнее СКСМНИ (средства контроля съемных машинных носителей информации), СОБДРИС (средства обеспечения безопасной дистанционной работы в информационных системах), ГРИЗИ (группа реагирования на инциденты защиты информации) и т.п.

Пост Лукацкого

17 апреля 2023 06:40

Сделал обзор пленарной секции с CISO Forum 2023, которую я модерировал и на которой 8 достойных CISO, директоров по ИБ и вице-президентов по ИБ делились лайфхаками и советами относительно текущей ситуации. Собрал ключевые тезисы в блоге пока мы ждем, когда организаторы выложат видео с конференции после их монтажа и обработки.

Пост Лукацкого

16 апреля 2023 08:40

В чатике "Результативный CISO" прозвучала мысль, что расширение инвестиций в ИБ приводит к тому, что картина с ИБ становится только хуже, так как вскрывается то, чего раньше даже не замечали. В этом есть свой правда жизни и к ней надо быть готовым. Оно конечно так, но... рост инвестиций не только показывает новые проблемы, но и позволяет с ними лучше бороться (вы же инвестиции просили не только, чтобы просто больше знать).

Однако если вспомнить про управление рисками, то снижение одних, первичных, рисков может привести к появлению рисков вторичных. Вот и с новыми технологиями ИБ также - их внедрение может привести к тому, что у вас либо создается ложное чувство защищенности, либо вообще появляются новые угрозы. Например, в выложенном Денисом Макрушиным выступлении с мероприятия OWASP с говорящим названием "Dev Sec Oops" Денис рассказывает о том, как некорректная конфигурация статических анализаторов (SAST) и средств динамического анализа ПО (DAST) может привести к утечке интеллектуальной собственности и нарушению процессов безопасной разработки.

Пост Лукацкого

21 апреля 2023 19:59

Интересная визуализация понятия "риск". С отображением ущерба я еще могу согласиться - неплохо объяснено. Но вот ассоциация с вероятностью какая-то слабенькая. Вероятность и ширина? Нууу, такое.

Но зато хорошо становится видно, что такое недопустимое событие. Это то, где ущерб катастрофический, несмотря на вероятность. Она может быть даже стремящейся к нулю, но ущерб таков, что нам приходится учитывать его и стараться делать его реализацию невозможной. И таких недопустимых событий с катастрофическими событиями не так много, что у человека, что у бизнеса, что у отдельных бизнес-проектов или подразделений.

Пост Лукацкого

21 апреля 2023 13:08

😌🥳😏😟😕😍Киберсражения в СВО создали опасный прецедент по амнистии киберпреступников.

Отчет Европейской инициативы по исследованию киберконфликтов (ECCRI) - 40-страничное исследование, проведенное по заказу Национального центра кибербезопасности (NCSC) и опубликованное одновременно с конференцией CyberUK в Белфасте , было опубликовано на фоне опасений, что угроза, исходящая от связанных с Россией кибергрупп, выходит за пределы Украины

Вызывает обеспокоенность по поводу стирания границы между комбатантами и гражданскими лицами - «Привлечь человека в ИТ-армию Украины гораздо проще, чем остановить в последствии процессы радикализации, которые мы видели в прошлом, и нет хорошей существующей правовой базы для решения этого вопроса».

В контексте войны становится все труднее проводить различие между киберпреступными группами и политическими активистами - «Некоторые группы утверждают, что занимаются «хактивизмом», но, похоже, больше заинтересованы в финансовой выгоде, чем в политических заявлениях. Другие преступные группировки даже раскололись из-за политических разногласий».

✈️@budni_manipulyatora

https://www.belfasttelegraph.co.uk/news/uk/ukraines-success-in-cyberwarfare-could-create-concerning-precedents-study/591062570.html

Пост Лукацкого

21 апреля 2023 10:01

Хотя на CISO Forum как-то уже организовывали отдельную «девичью» секцию, где обсуждались специфические вопросы - ИБшники под управлением женщины, харассмент и т.п.

Пост Лукацкого

21 апреля 2023 06:40

Да, похоже, что в большинстве стран мира решили не заморачиваться и стали активнее привлекать гражданских для участия в спецоперациях в киберпространстве. Глядишь, и у нас такое тоже выйдет за пределы одиозных предложений депутатов и станет исходить от спецслужб или силовиков.

Пост Лукацкого

20 апреля 2023 19:58

Ну а на закуску 8 рекомендаций от Splunk по повышению своей защищенности:
1️⃣ Использование данных и аналитики для оптимизации обнаружение угроз и реагирования на них
2️⃣ План киберустойчивости
3️⃣ Инвестиции в киберустойчивость
4️⃣ Кросс-опыление между командами (ИТ, ИБ, приложения, разработка, трансформация и т.п.)
5️⃣ Фокус на кибергигиене
6️⃣ Безопасность облачных инфраструктур (если они у вас есть)
7️⃣ Инвестиции в защиту от шифровальщиков
8️⃣ Проактивная защита от атак на цепочку поставок

Пост Лукацкого

20 апреля 2023 14:01

Вот что такое недопустимое событие! Когда ты приехал из Питера в Бостон, а тебя там и расчленили. У этой новости есть две стороны. Первая - положительная - Питерские традиции начинают завоевывать весь мир. Вторая - не очень - работать в кибербезе становится все опаснее и опаснее 🤔

Пост Лукацкого

20 апреля 2023 09:59

В упомянутом вчера отчете Splunk есть еще одна диаграмма по популярным негативным последствиям от инцидентов ИБ за последние пару лет.

Тут, конечно, не хватает ответа на вопрос: "И что?" Вот произошел инцидент (breach) с конфиденциальными данными и дальше что? Штрафы? Уход клиентов? Снижение лояльности поставщиков и контрагентов? Какой именно эффект от инцидента в контексте бизнеса?

Или снижение конкурентных позиций. И что? Потеря денег? Уход клиентов? Какие потери понес бизнес в результате инцидентов? Не дожали они эту диаграмму, ох не дожали...

Пост Лукацкого

20 апреля 2023 06:40

Максут Шадаев выступил вчера на встрече АРПП «Отечественный софт» и ответил на вопросы отрасли. Среди прочего он сказал, что в весеннюю сессию будет внесён и принят законопроект, который наделяет правительство полномочиями определять по каждой отрасли объекты КИИ и сроки их перехода на российские продукты!

Отраслевое регулирование по ИБ все ближе. Там глядишь и отраслевые недопустимые события, о реестре которых Минцифры говорило осенью, появятся.

Пост Лукацкого

19 апреля 2023 16:56

Российские официальные лица высказывали опасения в появления зависимости нашей страны от Huawei и росте рисков кибербезопасности в связи с этим. Это, конечно, не новость и закрытые циркуляры о запрете или ограничении использования продукции китайских вендоров выпускались неоднократно на моей памяти на протяжении последних пары десятков лет, как минимум. Тут изюминка ситуации в другом. Авторы американского Bloomberg заявляют о наличие неопубликованного (закрытого) отчета Минцифры... Откуда у журналистов доступ к такому документу (явно ДСП), который вышел уже после начала СВО, когда внимание спецслужб было приковано ко всем изменникам и еще неизменникам Родины, иноагентам и иным подозрительным лицам?

Пост Лукацкого

19 апреля 2023 10:02

Мир меняется и это уже не просто красивая игра слов. Мы видим, что все, к чему мы привыкли, изменяется. И в мире кибербеза тоже. Но самое главное, что происходит это не только у нас, не только по ту сторону баррикад, но и по ту сторону океана. При этом 2023-й год показал, что есть Россия, которая пытается слезть с американской иглы; есть Китай, который решил показать зубы и начать повышать ставки в противостоянии с США. И учитывая обострившиеся геополитические разногласия, я бы хотел посмотреть на то, каким видят будущее своего кибербеза в США, стране, которая до недавнего времени диктовала всем свою волю в области технологий, включая и ИБ. 2-го марта администрация Байдена анонсировала новую национальную стратегию кибербезопасности, мини-обзор которой я и сделал в блоге.

Пост Лукацкого

19 апреля 2023 06:40

Один из самых частых вопросов в нашем чате — «когда пройдет вебинар с участием Алексея Лукацкого?» Отвечаем — уже завтра, в 11:00 😉

Ужесточение требований со стороны регуляторов и рост количества кибератак увеличили потребность компаний малого и среднего бизнеса в услугах профильных специалистов по кибербезопасности.

Когда стоит отдавать на аутсорсинг реагирование, мониторинг или консалтинг? Этот вопрос мы обсудим на третьей онлайн-встрече проекта «#Агент250»

Также мы разберем причины, по которым стоит делать выбор в пользу развития собственного отдела ИБ. Оценим плюсы и минусы обоих подходов и дадим методику, с помощью которой заместители генеральных директоров по ИБ смогут выбрать свой.

Проведет вебинар Светлана Озерецковская, руководитель отдела маркетинга комплексных решений Positive Technologies. В гостях — Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.

Для участия в онлайн-встрече необходимо зарегистрироваться 👈

Если у вас есть вопросы по теме вебинара, то задать вы их можете в комментариях 🙂

#Агент250

Пост Лукацкого

17 апреля 2023 16:41

Раньше, кейсы, демонстрирующие падение курса акций в результате инцидента ИБ, можно было пересчитать по пальцам одной-двух рук. Сегодня они происходят сплошь и рядом. Чуть ли не еженедельно выплывают факты о взломе той или иной компании, зашифровании ее данных, утечке информации из нее и т.п.

Вот последний пример с Western Digital. В конце марта их хакнули, в начале апреля они про это рассказали и вот результат - падение курса акций почти на 8%. Но ущерб не только в этом - если зайти к ним на сайт, то можно обратить внимание на надпись, сделанную маленьким шрифтом на самом верху, что в данный момент они не обрабатывают заказы, а это уже не просто волатильный курс акций (сегодня -8%, завтра +8%), а недополученная прибыль.

И это всего лишь обычный шифровальщик, емкость рынка которых составляет около 2 миллиардов долларов. А ведь это самая малая доля в структуре доходов на рынке киберпреступности. Та же торговля данными приносит по ту сторону баррикад почти 200 миллиардов долларов, а промышленный шпионаж в 2,5-3 раза больше. Но слышим мы только о верхушке этого айсберга, связанной с шифровальщиками.

Пост Лукацкого

17 апреля 2023 10:01

Вы помните школьный курс физики и тему равномерного движения? Я вот недавно наткнулся в учебнике у детей. Это сложно себе представить, но с точки зрения физики, равномерное движение и покой равнозначны, так как на тело в этом случае не действуют никакие силы или их действие скомпенсировано. То есть, что вы медленно и ровно двигаетесь вперед, что стоите на месте, никакой разницы не имеет.

Чем-то это напоминает жизнь многих ИБшников до 24 февраля (да и после, если уж честно говорить). Кто-то изо дня в день, месяц за месяцем, год за годом выполняет нормативку ФСТЭК, ФСБ, ЦБ, Минцифры, не пытаясь посмотреть за ее пределы. А кто-то вообще ничего не делает, сидя по жопе ровно, ссылаясь на то, что денег нет. А результат один и тот же 😞 И даже если вы белкой в колесе скачете, пытаясь заработать на хлеб с маслом, но этот бег равномерный и никаких новых проектов вы не запускаете, никаких новых целей себе не ставите, челенджи не организуете, то с тем же успехом, можно было бы ничего и не делать. Результат, а точнее его отсутствие, был бы тот же.

Вот такая физика-лирика... Мы уже 100 дней с начала года прожили и самое время подумать, как проживем оставшиеся 250. Поставили ли перед собой новые, отличающиеся от прошлого года, результаты и движемся ли мы с ускорением к их достижению? Если да, то и прекрасно. А что, мля, если нет?..

Пост Лукацкого

16 апреля 2023 12:55

У багов тоже есть чувства… Багхантеры такие романтики 🧑‍💻

Пост Лукацкого

15 апреля 2023 22:17

Меня тут спросили, почему у меня в презентации с CISO Forum 2023 одни негры. Ну что ж, отвечу. Во-первых, это не негры, а афроамериканцы 😊 Ну или как сказал Илья Борисов, "сильно загорелые люди" 😊 Во-вторых, их там, извините, меньшинство. На 8 людей негроидной расы, там 13 европеидной (хотя, если считать представителей монголоидов, то да, они меньшинство, - их там двое). Это классическая психологическая слепота - глаз цепляется за одно и совсем не замечает другое. У аналитиков SOC и операторов средств защиты такое бывает сплошь и рядом. Ну а в-третьих, чтобы стать бизнес-ориентированным ИБшником, придется поработать как негр (ну или папа Карло, если быть толерантным).