Пост Лукацкого

15 апреля 2023 08:40

Презентация Алексея Лукацкого "От CISO к BISO. Как сесть за один стол с большими мальчиками" с CISO Forum 2023

Пост Лукацкого

14 апреля 2023 16:56

Если вы, вдруг, зададитесь вопросом, а какую пользу наши ИБ-регуляторы приносят и что они делают "на наши налоги", то вот вам списочек проектов, которые бесплатны для всех граждан России и ее специалистов по ИБ:
1️⃣ИС мониторинга фишинговых сайтов (Минцифры) - https://paf.occsirt.ru
2️⃣ИС мониторинга сбоев (Роскомнадзор) - https://portal.noc.gov.ru/ru/monitoring/
3️⃣ScanOVAL для Windows (ФСТЭК) - https://bdu.fstec.ru/scanoval
4️⃣ScanOVAL для Linux (ФСТЭК) - https://bdu.fstec.ru/scanovalforlinux
5️⃣Национальный Мультисканер (ФСБ) - https://virustest.gov.ru

А еще, сегодня, на CISO Forum Минцифры рассказало, что делает «русский Шодан».

Пост Лукацкого

14 апреля 2023 10:19

А рассекретили этого летчика-зуммера из США, слившего секретные документы в Discord, ребята из bellingcat.

Как? По столешнице.

Bellingcat сопоставили гранитную столешницу и напольную плитку, замеченные в утечках в его доме, по фотографиям, размещенным в Интернете.

В такой osint, кажется, не умеет даже Масалович.

@cybersachok

Пост Лукацкого

13 апреля 2023 20:17

Прилетело обновление на софт и тут всплыло две проблемы. Первая - оказалось, что раньше этот софт подписывался личной подписью разработчика, не имеющей ничего общего с корпоративной подписью работодателя. То есть так могли на комп сотрудника все, что угодно подсадить и через него в софт засунуть любую закладку.

А вы проверяете, какой подписью подписывается прилетающий к вам софт? В автоматическом режиме?

Во-вторых, видя сообщение, что мне надо будет предоставить полный доступ обновленному приложению к жесткому диску и к учетным записям в ОС, включается профдеформация и я уже задумываюсь, а не supply-chain ли это атака?

Дилемма-с... 🤔

Пост Лукацкого

13 апреля 2023 13:55

В Интернете, если ты не продавец и не покупатель, ты товар. И даже если ты продавец или покупатель, то все равно для кого-то ты товар!

Пост Лукацкого

13 апреля 2023 10:20

Уже совсем близко Positive Hack Days 12, и в этом году это уже не просто конференция по кибербезу, а масштабный киберфестиваль, который пройдет в Парке Горького 19–20 мая 💤

Самое главное, что отличает нынешний фестиваль от прошлых конференций, — общедоступный для всех Кибергород, который можно будет посетить бесплатно, без билетов и регистрации!

Кибергород предстанет в виде современного мегаполиса 🌇 в стиле киберпанк, который разрушается под натиском кибератак, и который будет наполнен яркими активностями, повышающими киберграмотность и доверие к технологиям. Гости смогут примерить на себя роль исследователей кибербезопасности и поучаствовать в квесте, где нужно будет найти и исправить уязвимости в разных элементах городской инфраструктуры, а еще посмотреть на кибербитву Standoff 🎳 и сфоткаться на фоне прикольных арт-объектов (может быть вы даже что-то похожее увидите 🤞).

А чтобы принять участие в бизнес-части PHDays и послушать гуру ИБ (это не про меня 🤠), сходить на круглые столы с участием лидеров мнений, мастер-классы экспертов и понаблюдать за кибербитвой и макетом вблизи — нужно купить билет в Кибердеревню. Как человек, взявший на себя ответственность за бизнес-трек, буду походу рассказывать о том, что будет интересного в конференционной части.

ЗЫ. Для семейных ИБшников 👨‍👩‍👧‍👦 или состоящих в отношениях, фестиваль PHDays 12 дает возможность наконец-то показать и рассказать, чем вы занимаетесь. Пока вы будете на хардкорных докладах и дискуссиях в Кибердеревне, ваши близкие смогут походить по Кибергороду и погрузиться в кибербез.

Пост Лукацкого

12 апреля 2023 20:08

Я звукорежиссер работаю в гос филармонии каким боком наша организация относится к КИИ 😂😵‍💫 мы не знаем, но нам тоже спустили с Минкульта РФ этот приказ , мы в шоке , но делать нечего , вот теперь сидим и тупим что да как

Пост Лукацкого

12 апреля 2023 17:27

На сайте kassу.ru висит достаточно интересное объявление от администрации. С одной стороны она подтверждает, что сайт был атакован, а с другой - что он не пострадал (то есть недоступность сайта и утекшие данные - это не ущерб?). С одной стороны многие годы портал прекрасно, со слов администратции, справлялся со всеми атаками, но в этот раз она была какая-то нетипичная (какая?). С одной стороны ИБшники лажанули (явно их никто не обвиняет, но это прям чувствуется по тексту), а с другой - бравые айтишники все восстановили.

Вообще, вот это самое обидное, как мне кажется. У ибшников негативный имидж, а айтишники прям святые и всех спасли 👨‍💻

Но зато не скрывают. Но все-таки есть куда развиваться в части антикризисного PR. Мы, кстати, планируем на PHDays в одной из секций бизнес-трека поговорить о том, как надо общаться с внешним миром в случае взлома 👨‍💻

ЗЫ. Вообще, картина занятная. Если кого-то где-то сломали, то виноваты ИБшники. А если кто-то всех спас, не жалея себя, то это ИТшники. Абыдна, да 😫

Пост Лукацкого

12 апреля 2023 10:31

Если развить последний пост, то сегодня мы наблюдаем интересную картину, когда у нас растет число регуляторов стратегического (ЦБ, ФСТЭК, ФСБ, Минцифры) и оперативного (ФинЦЕРТ, ЦМУ ССОП, НКЦКИ) уровней, сферы ответственности которых сегодня не всегда четко очерчены. Мне кажется, что пора бы уже всем договориться между собой и "поделить" эту поляну.

Можно было бы вспомнить идею с единым регулятором по ИБ, как это сделано в некоторых странах. Не знаю, если по старинке посмотреть на США, то у них единого регулятора до сих пор нет, но есть координация между ними (насколько вообще в такой бюрократической стране как США возможна координация).

Пост Лукацкого

12 апреля 2023 10:09

Вот интересно. В условиях вакуума публичной информации о деятельности ФинЦЕРТа в части отражения угроз (публикация отчета раз в год с суммами потерь - это ни о чем), своей статистикой нас радует НКЦКИ (ФСБ) и ЦМУ ССОП (Роскомнадзор).

Интересно, что РКН потихоньку залезает на чужие поляны. Например, информирование операторов связи об уязвимостях в используемом ими ПО и железе. Откуда они вообще берут эти данные? Сами ищут или от кого-то получают? В любом случае интересно, они в БДУ ФСТЭК отдают эту информацию? А если сами находят, то отправляют ли вендорам в недружественных государствах? И как вообще патчатся эти уязвимости в условиях отсутствия официальных обновлений от ушедших из России вендоров?

Пост Лукацкого

11 апреля 2023 21:09

Вот если бы РОЦИТ использовал такую историю для сценария своих антиVPNовских роликов, то это было бы более понятно и релевантно. Правда, есть одно «но». Чтобы получить такую картинку на своем смартфоне мне пришлось помучаться, пока я наткнулся на воедоносный сайт, выдавший мне такой popup; то есть данная угроза не в топе 😈

Пост Лукацкого

11 апреля 2023 16:59

Тут, девочки, американские медии продолжают выяснять, кто же виноват в утечках сверхсекретных американских военно-политических документов.

Оказалось, что утечка произошла в соцсети Discord, в чате, посвященном игре Minecraft. Кто-то решил “нарастить свой социальный капитал” и давай кидаться секретными материалами в собеседников. А потом эти документы англоязычные товарищи начали настойчиво анализировать и доанализировались до того, что украинцам скоро настанет полный карачун — ничего не спасет, патронов не хватает, ракеты заканчиваются.

У американцев тем временем стоит жуткий вой: утечка наносит страшный ущерб отношениям с союзниками, секретные документы — страшно секретные и очень свежие (им всего-то 40 дней), рядом не стоят с утечками “Викиликс” и с тем, что сделал “жалкий клерк” Сноуден. Русские, короче, выиграли информационную войну, расходимся.

На деле, девочки, к утечкам этим больше вопросов, чем ответов: что вообще это было? Откуда такой синхронный вой и заламывание рук о чудовищных размерах ущерба? А всего-то утекла презентация, написанная по каким-то неясным источникам с мутными данными. Теперь из этого делают вселенскую трагедию. Зачем? Вряд ли потому что стало не о чем писать или поменялся темник мейнстрим.

На деле, девочки, стоит помнить, что практически всё существенное, происходящее сегодня в информационном пространстве — это пропаганда, мероприятия содействия и информационное противоборство вместе взятые. Как говорил Мюллер: “Верить в наше время нельзя никому, даже самому себе”.

В широком контексте это выглядит не как чье-то головотяпство и уж точно не как попытка дезинформировать российский генштаб, а как способ намекнуть украинцам, что в случае чего, сольют их без всяких сантиментов и максимально быстро.

А то, что в страшно тайных документах, которые до кучи оказались в чатике про Minecraft (и лежали там неделями, видимо, для надежности) рассказывалось про то, что американцы шпионят за ближайшими союзниками, так, простите, это что? Для кого-то секрет?

Не говоря уже о том, что страшно секретные материалы бывшие сотрудники американского правительства выносят с рабочего места коробками. И никто не воет.

🫱 Подписаться

Пост Лукацкого

11 апреля 2023 10:06

Считается, что так выглядит ИБ-бюджет среднестатической службы ИБ в США и Канаде (по опросу 500 CISO) по итогам 2022 года. В России это скорее всего не так, как минимум по причине отсутствия у нас большого числа "off premise software" (облачное ПО). Ну и доля, уходящая на персонал, у нас тоже будет существенно ниже по причине более низких зарплат в ИБ. Затраты на "железо" у нас сейчас должны быть выше по причине сложностей с логистикой и возросшей из-за этого ценой. А в остальном 🤔

Пост Лукацкого

10 апреля 2023 13:15

А это другой пример повышения осведомленности. Уже от "Одноклассников" и VK. Комиксы, котики, собачки, единорожки, прикольчики всякие... Они много всего публикуют (и в ОК) для своей целевой аудитории 👨‍💻 Местами достаточно занятно 😂

Пост Лукацкого

10 апреля 2023 06:40

Чем похож бар и реанимация вечером пятницы? Ты накачиваешься 1-2 литрами, а потом много бегаешь в туалет и у тебя сильнейший сушняк. Но в одном случае в тебя вливается пиво, а в другом хлорид натрия. Вот такое странное наблюдение 🤔 Но вернемся к ИБ - надо восполнять несколько дней информационного вакуума и для вас и для меня.

Пока разгребаю собранное умным ботом за эти дни из мира ИБ, начну с анонса. 14 апреля, уже в эту пятницу, в Москве пройдет ежегодный CISO Forum 2023 под многозначительным девизом "Мобилизуйся". У меня там будет достаточно насыщенная программа; в разном качестве я там буду:
1️⃣Модератором традиционной пленарной сессии с CISO, на которой мы поговорим о том, какие уроки мы извлекли за прошедший год и как изменилась и будет меняться роль CISO.
2️⃣Интервьюером Владимира Бенгина (директор Департамента кибербезопасности Минцифры) в рамках секции вопросов и ответов. Минцифры сейчас много чего делает в сфере ИБ и многое из этого касается и коснется многих CISO.
3️⃣Участником дискуссии с сотрудниками иностранных компаний "Бывшие и настоящие". Предлагали ли релокацию? Как искали новую работу? Ограничения для тех, кто остался? Что вышло на первый план после продажи российского бизнеса?
4️⃣Спикером мастер-класса "От CISO к BISO. Как сесть за один стол с большими мальчиками?", где я буду делиться всяким разным про то, как CISO в новых условиях показать себя с лучшей стороны и не только заручиться поддержкой бизнеса, но и доказать, что достоин сидеть за одним столом с большими боссами.

Ну и конечно будет нетворкинг, не менее достойный, чем сама программа. А также будут российские вендора, которые за 1+ год с начала СВО уже освоились в новой реальности и с ними можно вести более предметный разговор, чем в прошлом году, когда многие еще не до конца осознавали свою стратегию развития. А в этом году уже можно будет даже про новые на рынке продукты узнать (например, про PT NGFW, которым все так интересуются 😊).

Так что приходите, будет интересно. Для CISO бесплатно.

ЗЫ. Онлайна не будет.

Пост Лукацкого

15 апреля 2023 08:40

Я всегда говорил, что фокусные мероприятия, посвященные какой-либо одной теме, гораздо лучше конференций "все обо всем". И я всегда также возмущался тем, что вокруг каких-либо знаковых конференций не создается соответствующего комьюнити, которое могло бы обмениваться опытом и знаниями между мероприятиями. А в случае хорошего развития канала/чата/комьюнити, они начинают жить своей жизнью. Например, чатик по SOC, созданный под один из PHDays, а сегодня существующий вполне себе самостоятельно.

Поэтому, под CISO Forum 2023, был создан чатик "Результативный CISO", который, я надеюсь, будет жить и после конференции и станет местом для общения руководителей ИБ. Правила описаны в начале ленты чатика - ничего сверхествественного - отсутствие рекламы, публикация ссылок, обмен опытом, вопросы и ответы. И да, даже если вы не CISO, то кто мешает вам заранее готовиться к этой роли? Плох тот солдат, что не мечтает стать генералом.

Пост Лукацкого

14 апреля 2023 13:41

Вейвлеты? Кротовые норы? Мультифракталы? А вот гиперкубы не хотите ли?!

Пост Лукацкого

14 апреля 2023 06:40

Вечером, на CISO Forum 2023, буду выступать с мастер-классом "От CISO к BISO. Как сесть за стол с большими мальчиками"

Пост Лукацкого

13 апреля 2023 18:26

ЦМУ ССОП Роскомнадзора запустил отечественный аналог DownDetector, который с начала СВО перестал публиковать данные о простоях российских Интернет-сервисов. Хорошая инициатива для отслеживания рядовыми пользователями или корпоративными заказчиками сбоях в работе Рунета, происходящих, например, в результате DDoS-атак. Однако есть одно "но"...

Помня, что страна у нас построена на телефонном праве, которым любят пользоваться властью и деньгами облеченные люди, насколько высока вероятность, что этот сервис будет показывать все происходящее без прикрас и скрытия фактов? Ведь если на какой-либо сервис у нас происходит мощная DDoS-атака и она наносит удар по репутации владельца сервиса, у него может быть велико желание поднять трубку и позвонить "кому надо", чтобы сервис РКН не показывал реальное состояние дел. И что-то мне кажется, что достаточно одного раза, чтобы РКН дал слабину, и сервис превратится не в независимый рупор доступности Рунета, а в известно что 💤

Пост Лукацкого

13 апреля 2023 11:45

Нафига им моя камера? Что они собираются там увидеть? Внутреннее содержимое моих джинсов? 🤔

Пост Лукацкого

13 апреля 2023 06:40

В преддверии CISO Forum 2023 (уже завтра) черканул пару строк о том, что CISO бывают разные (vCISO, gCISO, mCISO, rCISO) и в одной компании их может быть много.

Пост Лукацкого

12 апреля 2023 20:08

Есть чатик по 250-му Указу и там постоянно идет дискуссия о том, как выполнять положения этого нормативного акта. Самое забавное, когда в чат приходят люди, которые настолько далеки от ИБ, что прости диву даешься и которые рассказывают, что им какой-нибудь ФОИВ спустил сверху требование выполнить Указ, даже не удосужившись подумать, кому надо выполнять Указ и зачем он вообще появился. Вот тут звукорежиссер филармонии погрузился в ИБ 👿

Пост Лукацкого

12 апреля 2023 14:07

К разговору о том, может ли ChatGPT искать уязвимости? Не может, если уж его разработчики объявили программу Bug Bounty и пригласили людей с естественным интеллектом искать дыры в интеллекте искусственном 😊

Пост Лукацкого

12 апреля 2023 10:09

Противодействие киберугрозам в марте

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), созданный на базе Главного радиочастотного центра, круглосуточно выявляет и устраняет инциденты в области информационной безопасности.

В марте 2023 года специалисты Центра:

🛡 Отразили DDoS-атаки на ресурсы банковского, энергетического секторов России и одного из операторов связи.

🛡 Cовместно с экспертами ИБ Сбербанка выявили сеть устройств, через которую проводились DDoS-атаки на ресурсы банковского сектора. Операторам связи направили оперативные указания по устранению уязвимостей, позволяющих их использовать.

🛡 Выявили вредоносный ботнет, используемый для кражи персональных данных. Совместно с НКЦКИ провели работу по его блокировке.

🛡 Получили обращение о случаях подмены абонентского номера с определенных IP-адресов. Указанные IP-адреса заблокировали с помощью технических средств противодействия угрозам.

🛡 Направили 107 общедоступных уведомлений операторам связи о выявленных уязвимостях в программном обеспечении и способах их устранения.

🛡 Оперативно устранили 867 нарушений маршрутизации трафика.

Пост Лукацкого

12 апреля 2023 06:40

Сегодня выступаю на конференции Securika перед директорами по общей/физической безопасности и проектировщиков систем безопасности, рассказывая им про кибербез, про то, что общего между физической и информационной безопасностью, какие привычные слушателям технологии имеют аналоги в мире виртуальном, и т.д.

PS. Теперь можно сосредоточиться на подготовке к CISO Forum, который уже послезавтра.

Пост Лукацкого

11 апреля 2023 18:55

Странная математика 🧮

Пост Лукацкого

11 апреля 2023 13:26

А это распределение бюджета из другого отчета по результатам опроса около 500 CISO. И мы видим какую-то несуразицу - в прошлом варианте среднестатистический CISO тратил на зарплату персонала около 40% своего бюджета, а по этой таблице - в 3 раза меньше. И это колоссальная разница!

О чем нам говорят эти две картинки? Только о том, что все такие "среднестатистические" опросы по бюджетам смотреть интересно, но они мало помогают в принятии решений о том, сколько тратить на ИБ. Отталкиваться надо от потребностей бизнеса, определенных им недопустимых событий и мероприятий, требующихся для их недопущения и поддержания организации в таком состоянии.

Пост Лукацкого

11 апреля 2023 06:40

В прошлые годы я по весне несколько раз публиковал новости про зарубежные отчеты, которые описывали самые популярные техники и тактики по матрице MITRE ATT&CK, которые использовали хакеры за прошедший год. В этом году я тоже расскажу о таком отчете, но немного другом 🤔 Речь о свежем отчете 🟥 "Как обнаружить 10 популярных техник пентестеров". Он базируется на другом отчете 🟥, сделанном по итогам пентестов в 2022-м году. В нем, 80 основных техник, используемых пентестерами, были наложены на матрицу MITRE ATT&CK, что в итоге привело к тепловой карте, показанной на первой картинке.

А в свежем отчете анализируются уже не просто Топ10 техник пентестеров (вторая картинка), а описывается как с ними бороться и с помощью каких классов защитных средств можно их обнаруживать и нейтрализовывать.

Чтобы показать, что все эти популярные техники вполне могут быть "закрыты" требованиями регуляторов, если выполнять их не формально, мы также увязали Топ10 выявленных техник с мерами защиты из 17-го приказа ФСТЭК.

Пост Лукацкого

10 апреля 2023 09:58

Не знаю, видели ли вы эту рекламу РОЦИТа, но выглядит она, как по мне, немного туповато 🤦‍♂️ Во-первых, в России нет своих VPN-сервисов, которые могли бы активно воровать ПДн россиян и продавать их тут же в России. Во-вторых, VPN бывают еще и корпоративные. И это не говоря, что даже привычные обывателю VPN-сервисы бывают вполне себе достойными и не замеченными в воровстве данных. А тут РОЦИТ одним росчерком всех под одну гребенку и облил грязью. А уж когда он заявляет, что VPN не гарантирует безопасности, то тут всплывают вопросы к компетенциям тех, которые работают в Центре Интернет-технологий? Или VPN к Интернет-технологиям уже не относятся?

Мысль, которую хотели донести авторы ролика вполне понятна, - не надо разбрасывать свои персональные данные направо и налево; в том числе и участвуя в различных акциях и ненужных программах лояльности. Ну так это и надо было прямым текстом сказать. А еще лучше - дать совет, что делать, когда у госорган твои персданные и утекли? Сослались хотя бы на Центр правовой помощи гражданам в цифровой среде РКН, который должен помогать гражданам в таких историях.. Но нет, решили зачем-то смешать политику, права граждан и технологии. Понятно, что "мы не виноваты, нам заплатили и мы сделали все по ТЗ", но надо и 🧠 иметь.

ЗЫ. Всего выпущено 8 таких роликов; все про вред VPN, которые крадут персданные доверчивых россиян.

Пост Лукацкого

06 апреля 2023 17:33

А это уже забавно. Пару недель назад ко мне стучался совсем другой человек с тем же предложением, звучающим буквально дословно. То ли запрограммированный бот 🤖, то ли сейл-джун, работающий по скрипту