Пост Лукацкого

25 ноября 2022 17:40

Detection Engineering Cheat Sheet от Флориана. Альфа-версия, но уже охватывает основные элементы контента обнаружения

Пост Лукацкого

25 ноября 2022 11:59

Так сложилось, что несмотря на то, что Standoff в этом году прошел уже в 10-й раз, я выступал на нем впервые (что само по себе уже для меня оказалось интересно; при моем-то активном участии в отечественных мероприятиях по ИБ последние 25 лет). Но дело не в Standoff, а в том, что он, а также попавшаяся на глаза теория пропаганды Хермана и Хомского (ну и исключение меня из программы SOC Forum под влиянием генерального спонсора), сподвигли меня на ряд размышлений об отечественных мероприятиях по ИБ.

Пост Лукацкого

25 ноября 2022 08:28

CyberMedia сделали обзор российских NTA/NDR. И хотя в список попали не все отечественные игроки этого сегмента рынка, а также не рассмотрен вариант анализа сетевых аномалий в некоторых отечественных SIEM, но в остальном вполне себе сравнение.

Но если бы я делал такое сравнение, я бы добавил параметров в итоговую таблицу (а то у всех на каждый параметр стоит "Да"), указал бы веса каждого параметра и его значение (чтобы можно было самому сделать выбор опираясь на свои веса, которые могут отличаться от заказчика к заказчику), а также поменял бы цветовую гамму окраски ячеек. Градации одного цвета - это может и неплохо, но зеленый - не лучший выбор; неосознанно воспринимается, что чем левее в таблице, тем зрелее продукт. Хотя… 😊

Пост Лукацкого

24 ноября 2022 21:54

Закончу свой "день инвестора" вдруг пришедшей мыслью, которая развивает идею, озвученную главой рынков акционерного капитала, Sber CIB на дискуссии в рамках Standoff. Представляете, вот введут в требования листинга на ММВБ подтверждение выполнения мероприятий по ИБ для публичных компаний? И не просто результат аудита или бляху «а-ля ISO27001», а размещение информационных систем компании на платформе Bug Bounty. Ну или промежуточный вариант - Bug Bounty только для голубых фишек, а для остальных просто результаты ежегодного пентеста. Идея, однако...

Пост Лукацкого

24 ноября 2022 19:21

Согласно одному из исследований, невзломанные компании сталкиваются с отрицательной доходностью 📉 после объявления инцидентов у других компаний в своей отрасли, а также с ростом затрат на аудиты на 6%. Так что рост уровня защищенности отраслей в интересах всех компаний

Пост Лукацкого

24 ноября 2022 14:50

В ночь с 3 на 4 июля 2007 года неизвестные хакеры с электронного адреса «Сургутнефтегаза» ⛽️ отправили российским и зарубежным адресатам фейковый пресс-релиз, в котором, в частности, говорилось, что 2 июля гендиректор «Сургутнефтегаза» Владимир Богданов и председатель совета директоров компании Николай Захарченко были взяты под стражу «по подозрению в уклонении от уплаты налогов, на часть имущества компании наложен арест» 🚧. «В связи с этим мы («Сургутнефтегаз») заявляем о временном завершении оборота акций нашей компании на биржевых площадках с 06.07.2007 вплоть до снятия ареста с активов предприятия», говорилось в псевдопресс-релизе. Рассылке «пресс-релиза» предшествовала атака на сайт компании из Сургута 🛢

Пост Лукацкого

24 ноября 2022 08:10

В 2000 г. американский студент распространил ложный пресс-релиз, в котором сообщалось о том, что глава компании Emulex покидает свой пост, а Комиссия по ценным бумагам начала в отношении компании расследование из-за неверного представления отчета о прибыли. В течение дня акции компании рухнули со $110 до 43, а рыночная стоимость компании снизилась на $2,5 млн. Новость подхватили ведущие информационные агентства, которые, не почуяв подвоха, распространили информацию и позволили горе-трейдеру заработать более $250 тыс. Потери остальных игроков по подсчетам Национальной ассоциации дилеров по ценным бумагам составили около $110 млн. Виновнику манипуляций суд вынес довольно мягкий приговор - 44 месяца тюрьмы

Пост Лукацкого

23 ноября 2022 23:34

Видео со Standoff 2022

Пост Лукацкого

23 ноября 2022 18:59

Видимо именно против такой поисковой выдачи направлены законопроект Хинштейна на запрет ЛГБТ-агитации и законопроект Горелкина про запрет рекомендательных алгоритмов в Интернет.

ЗЫ. Почему Siri считает гомосексуализм и гоморфное шифрование однокоренными словами?

Пост Лукацкого

23 ноября 2022 14:16

В 17.30 два отца, я и Саша Антипов (отец Securitylab.ru и чемпиона мира по шахматам) будут обсуждать мемасики по ИБ и о том, как говорить про непростые темы простым языком. Приходите на онлайн-эфир!

Пост Лукацкого

23 ноября 2022 08:31

Сегодня в 12.00 буду вести на Standoff часовой круглый стол про Bug Bounty, но не с точки зрения техники, а с точки зрения бизнеса. Зачем компании идут в эту публичную историю и готовы к тому, что их взломают? Сколько это стоит для бизнеса? Что выгоднее - провести разовый пентест с доверенным поставщиком услуги или уйти в непрерывный пентест на платформе Bug Bounty? Приходите на онлайн-эфир!

Пост Лукацкого

22 ноября 2022 21:11

Будь мужиком! Подойди к этому чуваку и скажи, что его пароль не так крепок, как надо ;-)

Пост Лукацкого

22 ноября 2022 14:32

Вот так вербуют в хакеры 😊

Пост Лукацкого

22 ноября 2022 11:13

Сегодня, в 15.30, буду на Standoff 365 вести секцию "Подведение итогов киберучений на инфраструктуре Positive Technologies. Запуск программы Bug Bounty на 1 млн" с Алексеем Новиковым (Positive Technologies) и Олжасом Сатиевым (ЦАРКА). Поговорим о том, чем прошедшие киберучения на реальной и работающей инфраструктуре отличаются от обычных, и почему верификация недопустимых событий - это не просто проникновение в инфраструктуру, как в обычном пентесте. Приходите на онлайн-эфир!

Пост Лукацкого

22 ноября 2022 05:40

Сегодня, в 10.30, буду на Standoff 365 вести секцию "Кибератаки на российские компании" с Андреем Нуйкиным (Евраз) и Дмитрием Гадарем (Тинькофф Банк). Поговорим о том, что запомнилось в 2022-м году (хотя у нас еще месяц до конца года и произойти может всякое) , насколько инциденты в мире виртуальном начинают влиять на мир физический и чего ждать в год грядущий 🔮 Приходите на онлайн-эфир!

Пост Лукацкого

25 ноября 2022 14:42

Депутаты в третьем чтении приняли закон о запрете пропаганды ЛГБТ и смены пола, так и не дав определения "гей-пропаганды" и сделав очень неопределенным круг тем, которые теперь попадают под запрет. Если запрет "Лолиты" или запрет обсуждения темы геев на чемпионате мира по футболу в Катаре меня как-то не очень затрагивают, то есть вопросы, на которые пока нет ответов.

Например, можно ли теперь упоминать, что во взломе Энигмы принимал участие Алан Тьюринг? А давать ссылки в Pride Month на сайты зарубежных компаний по ИБ, раскрашенные под Хохлому радугу? А вот недавно LGBT Tech выпустило прикольную инфографику по криптографии для ЛГБТ-сообщества. Что, теперь, и ее нельзя постить? А звать на конференции по ИБ специалистов, сменивших пол или являющихся бисексуалами (в России такие тоже есть)? В концов концов, основной вопрос, на который депутат Хинштейн, как основной двигатель этого законопроекта, так и не дал ответа: Можно ли человека называть пидорасом?! Или это в хорошем смысле только нельзя (как в анекдоте)?

ЗЫ. Разговор двух евреев:
- Абр-р-рам, ты знаешь, Мойша таки пидорас.
- А шо, денег взял и не отдает?
- Да нет, в хорошем смысле слова.

Пост Лукацкого

25 ноября 2022 10:38

Где фиды получали, туда и идите!

Пост Лукацкого

25 ноября 2022 05:40

SANS обновил чеклист знаний и навыков CISO👇🏻 Они, конечно, его заточили под свои курсы для топ-менеджмента по ИБ, но если отбросить эту мини-рекламу, то в целом неплохой список знаний, навыков и активностей, которые попадают в сферу внимания и контроля руководителя по ИБ. У нас такую роль выполняет заместитель генерального директора по ИБ в соответствие с 250-м Указом Президента! Что-то из этого было включего в программу повышения квалификации по ИБ для топ-менеджеров, которую мы разработали вместе с МГУ. Но наша программа всего 40 часов, в то время как у SANS - около 200.

Пост Лукацкого

24 ноября 2022 21:23

Согласно одному из исследований 145 сертификатов UK Cyber Essentials за период 2014-2018 годы привели к положительной оценке со стороны фондового рынка и рост доходности 📈 компаний, получивших этот сертификат.

А вот с ISO 27001 ситуация оказалась прямо противоположной и даже парадоксальной. 76 сертификаций по ISO 27001 с 2001 по 2018 годы показывают значительную негативную оценку со стороны рынка 😈.

По мнению авторов исследования это связано с тем, что рыночные аналитики и инвесторы рассматривают ✍️ дорогостоящие инвестиции в ISO 27001 как бессмысленную трату денег, которая только ухудшает финансовые показатели компаний и ничего не дает с точки зрения бизнеса.

Пост Лукацкого

24 ноября 2022 16:50

Существующие исследования про влияние на курс акций 📉 сведений об инцидентах показывают следующее:
📌 Гордон, Лёб и Жу - 2003 год - падение в среднем на 2%
📌 Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1%
📌 Хова и Д'Арси - 2003 год - связи не обнаружено
📌 Каннан, Рис и Сридхар - 2004 год - падение на 0,73%.
📌 Теланг и Ваттал – 2011 год - падение на 0.6%
📌 Experian Data Breach Resolution – 2011 год – падение стоимости бренда на 12%

При этом влияние на курс акций имеет место быть только в первый день опубликования. Во второй и последующие дни серьезного влияния на стоимость акций информация о взломах уже не оказывает 📈

Пост Лукацкого

24 ноября 2022 11:26

23 апреля 2013 года был осуществлен взлом Twitter-аккаунта агентства Associated Press, в результате которого "пострадал" не только Белый Дом США. Твит краткосрочно повлиял на весь финансовый рынок - индекс Доу Джонса обвалился на 150 пунктов; 3-хминутные потери составили 140 миллиардов долларов.

Пост Лукацкого

24 ноября 2022 05:40

Вчера на Standoff прошел день инвестора, а я его проведу у себя в канале сегодня. Буду постить что-нибудь про влияние рынка ИБ на фондовый рынок, на акции публичных компаний и т.п. А пока видео с дискуссии "Влияние кибератак на котировки акций публичных компаний", в котором я вчера участвовал.

Пост Лукацкого

23 ноября 2022 20:05

Кибербойцам на Standoff пока не даются АСУ ТП - ломают преимущественно «офисные» системы. То ли SOC хорошо справляется, то ли у хакеров нет опыта реализации недопустимых событий в промышленности.

Пост Лукацкого

23 ноября 2022 16:01

Завершу день Фибоначчи на Standoff участием в нетрадиционной для нашего рынка секции, посвященной влиянию ИБ на котировки акций публичных компаний. Приходите на онлайн-эфир!

Пост Лукацкого

23 ноября 2022 12:35

Я во время COVID-19 (вы же еще помните, что была такая проблема в далеком прошлом?) писал, что в стратегии удаленного доступа стоит предусмотреть ответ на вопрос: «А что если мой админ попадет в больницу? Кто-нибудь еще знает пароли доступа?». А это, оказывается, называется "фактор автобуса" 🚌 ;-)

Пост Лукацкого

23 ноября 2022 05:40

Я все думал, что мне напоминает эта картинка, и понял, что это The Standoff ;-) На площадке ходят люди, красивый полигон, разговоры «за ИБ», выступления… Все чинно, благородно… А где-то за сценой сидят хакеры и пытаются сломать виртуальный город, реализовав недопустимые события!

Пост Лукацкого

22 ноября 2022 16:37

В моем детстве, которое пришло еще на советские времена, была у меня мечта - немецкая игрушечная железная дорога. Но хотел я не просто коробку с десятком рельсов и паровоз 🚂 с вагончиком, а целый город, с мостами, станциями, горами и лесами. Но было это дорого - не реализовал я тогда свою мечту. Позже я попал на Гранд-макет «Россия» в Питере и увидел, что можно сделать, когда у вас есть деньги и большая жилплощадь.

В прошлом, во время обучения в SANS, мне довелось поработать с их CyberCity, - мини-копией города, на которой отрабатывались либо навыки Blue Team, либо Red Team (ну или Purple). И для меня это было неким сплавом детской мечты с моей профессией. Пока я не столкнулся со Standoff. Тут все было возведено в степень; и поезда, и город 🌆, и ИБ. Причем в отличие от SANS CyberCity на Standoff вы максимально приближены к бизнес-задаче, не просто выискивая уязвимости или анализируя PCAPы, а реализуя и нейтрализуя реалистичные недопустимые события - кража денег, размещение порно на рекламном щите, взрыв на ТЭЦ, сброс воды на ГЭС, останов сталелитейного производства и т.п. и самое главное, что такой полигон позволяет наглядно показать ИБ с разных точек зрения для непогруженной в тему аудитории. Сейчас, работая в 🟥 и видя уже изнутри, как это все работает и имея это все под рукой, понимаешь, что еще один гештальт я закрыл ;-)

Пост Лукацкого

22 ноября 2022 11:49

Три прогноза по атакам на 2023-й год по результатам первого эфира, который я вел на The Standoff:
🟥 вырастет число атак supply chain, в том числе и на поставщиков средств защиты
🟥 число атак на зависимости в коде также возрастут
🟥 пока непонятна тенденция, но стоит взять на мониторинг инсайдеров, которые могут появиться по экономическим причинам.

Пост Лукацкого

22 ноября 2022 08:40

Не хватает нам визуализации в наших нормативных документах 😞 Можно долго описывать стратегию управления инцидентами на двадцати листах (если повезет), а можно просто нарисовать пирамиду потребностей реагирования на инциденты (по аналогии с пирамидой боли Дэвида Бьянко). Осталось только ответить на каждый из вопросов. Но как мы помним, правильно заданный вопрос - это половина успеха.

Пост Лукацкого

22 ноября 2022 04:23

Если в мире физическом многие противоборствующие стороны следуют принципу "око за око", то в виртуальной битве пророссийских и проукраинских хакеров принцип трансформировался в "Минфин за Минфин" (если вы понимаете, о чем я 😂)