alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Канада объявила Индию киберугрозой (шта?) 🫵 Индийские кибергруппировки ответили на призыв 🪬 При этом выборы в США прошли в теплой дружественной обстановке незамеченными с точки зрения кибератак 🤕 И дело не в том, что они были хорошо защищены, а в том, что хакеры не атаковали США вообще 😠 Пророссийские группировки продолжали «работать» по Украине и Молдове, пропалестинские - по Израилю и Турции. А я ближашие 10 дней работаю в Индонезии 🇮🇩 Тут, кстати, тоже инцидентов «мама не горюй» 🔓

Читать полностью…

Пост Лукацкого

Весной, перед дубайским GISEC, мы выпустили англоязычное исследование по автономным SOCам, к которому я немного приложил руку ✍️ И вот сейчас мы выкладываем адаптированный русский текст этого материала. Если все пойдет хорошо, то я попробую до конца ноября добить материал по применению ИИ 🧠 в SOCах, который у меня уже наполовину готов. Он по сути развивает как упомянутый отчет, так и мой материал про будущее SIEM 🔮

PS. Ну и чтобы не писать отдельную заметку - выложили презентации с SOCcon.

Читать полностью…

Пост Лукацкого

Подписчик прислал (спасибо) тут ссылку на очередной канал с мемасиками по ИБ. Местами смешно, местами кринжово...

Читать полностью…

Пост Лукацкого

Интересный тренд на мировом рынке ИБ - многие игроки отказываются от статуса публичных компаний, что может быть объяснимо различными факторами 🤔 Тут и рост поглощений со стороны инвестфондов, что позволяет поглощаемым компаниям иметь достаточное количество собственных, а не заемных средств, на свое развитие ↗️ И нежелание выполнять растущее число требований к публичным компаниям. И желание поменьше внимания привлекать к себе со стороны государства, особенно в части разработок на базе искусственного интеллекта. И много чего еще...

Конечно, не стоит забывать, что несколько лет назад был просто всплеск интереса к теме кибербеза и многие компании, под влиянием момента, пошли на биржу 🐂, но потом произошло переосмысление и рынка и своей роли на нем. Кого-то из готовившихся к выходу на биржу, как Lacework, Exabeam, Recorded Future, успели купить раньше. Ну а кто-то (Sophos, Proofpoint, Ping Identity, SailPoint и т.п.) считает, что частный статус позволяет развиваться быстрее. У всех своя правда 🐻

Главное, что стоит помнить, что CISO должен оценивать не столько технических характеристики приобретаемых продуктов (для этого у него подчиненные есть), сколько перспективы компании-производителя 🔮, так как именно от них зависит будущее приобретаемого продукта. Вот поглотит ИБ-игрока вендор покрупнее и купленный продукт может исчезнуть из портфолио или поменять вектор развития или вообще перестать нормально развиваться. Нередкая практика, кстати 💡

Для российского рынка это не так актуально - у нас всего одна публичная компания в области ИБ (и парочка гибридных). Но кто знает, как оно все повернется в обозримом будущем?.. 🤔

Читать полностью…

Пост Лукацкого

Великая была битва ⚔️, развернувшаяся в киберпространстве, где силы защитников сети, как воины света, сражались против легионов теней, что проникали из темных уголков виртуального мира 🪬

Собрались тогда великие специалисты по кибербезопасности, каждый из которых владел мощным оружием, заточенным для битвы с невидимыми врагами 🪓 Их предводителем был Арджун из мира киберзащиты — мастер своего дела, ловко отражающий атаки и с легкостью обнажающий слабости врага 🐲 Рядом с ним стоял мудрый Лукацкий Кришна, стратег и советник, направляющий Арджуна, чтобы его действия были точными и непреклонными 🗡

На их пути встали Кауравы из темной сети, ведомые кибердемоном 👿 Дурьодханой, жадным до власти и обладающим коварным разумом. Он выпускал на защитников вирусы, как ядовитые стрелы, и программы-вымогатели, что пронизывали сети словно копья 🦠, грозящие разрушить все вокруг. Но защитники киберпространства стояли стойко, с позитивом в сердце.

В этой битве участвовал Хануман 🐵 из кибераналитиков — он перемещался стремительно, как огонь, проникая в самые труднодоступные узлы сети и выявляя скрытые угрозы, прежде чем те могли поразить своих жертв. Он был незаменим, как глаза и уши армии света, ведь видел то, что другие не замечали 🙈

И не дрогнули сердца воинов света ⚔️ Каждый удар вируса отразили они как щитом с помощью защитного ПО, а каждую атаку врага остановили, подобно несокрушимой крепости 🏰 Объединив усилия, они окружили Дурьодхану и его легионы, разрушив их, и воцарился тогда в киберпространстве мир, свет ☀️ и позитив!

Так завершилась великая битва ⚔️, в которой силы добра одержали верх, сохранив сеть от разрушения. И стало это уроком: что лишь единство, мудрость, непреклонная воля и позитивный взгляд на мир киберпространства могут защитить его от тьмы и хаоса.

Вы прочитали краткое содержание моих выступлений на ближайшие полторы недели, которые я проведу в разных частях Индонезии 🇮🇩

Читать полностью…

Пост Лукацкого

Я на курсах 👨‍🏫 по цифровой гигиене для топ-менеджеров среди прочего всегда даю совет про обязательное отвязывание мобильного номера от Госуслуг, банков, соцсетей, почты и т.п. в случае его смены, потери или иных действий, которые могут привести к невозможности использования номера. В том числе это надо делать и после смерти ближайших родственников 😵 Иначе можно попасть в ситуацию, о которой пишут в Интернете.

Москвич умер ⚰️ весной этого года, а осенью его вдова обнаружила, что кто-то списал с карточного счета 💳 мужа более 1 миллиона рублей. Произошло - это спустя всего неделю после смерти, когда мошенники смогли получить доступ к банковскому счету супруга 🧾 Как оказалось, это удалось сделать с помощью выпущенной eSIM по украденным паспортным данным умершего мужа, с которыми плохие парни пришли в салон связи и оформили дубликат SIM-карты, благодаря которой и сняли крупную сумму денег 📞

А у вас есть в вашей модели угроз такой сценарий?

Читать полностью…

Пост Лукацкого

Есть такая компания в Великобритании - Carphone Warehouse, которая торгует в Интернет телефонами 📱 и которая столкнулась с утечкой персональных данных ее 3 миллионов клиентов и 1000+ сотрудников. В результате этого инцидента местный Роскомнадзор (ICO) оштрафовал компанию на 400000 фунтов стерлингов 🤑 Расследование ICO выявило, что Carphone Warehouse не обеспечила надлежащую защиту данных, что позволило злоумышленникам получить доступ к именам, адресам, датам рождения, номерам телефонов и, в некоторых случаях, к данным кредитных карт клиентов 💳 ICO отметило, что компания не приняла достаточных мер для предотвращения подобных атак, несмотря на наличие известных уязвимостей в системе безопасности.

Но кейс этот интересен не тем, что тамошний "РКН" предложил скидку в 20% на оплату штрафа, если она будет произведена в течение 30 дней с момента назначения наказания. А тем, что причиной утечки стало необновленное ПО платформы для управления сайтом WordPress 🖥 Даже не RCE в WordPress, которая по нынешним расценкам Zerodium может стоит до 100 тысяч долларов, а просто необновленный софт. На платформах Bug Bounty 💰 такая уязвимость стоит от 100 долларов и может доходить до 10 тысяч. То есть онлайн-ритейлер потратил от 40 до 4000 раз больше денег на штраф, чем стоило бы ему обнаружение такой дыры при выходе на платформу поиска уязвимостей за вознаграждение 💸

Схожая история со многими инцидентами, повлекшими большие или огромные штрафы 💸 Например, взлом сайтов TicketMaster или British Airways через уязвимость в стороннем скрипте JavaScript, что повлекло за собой утечку информации, включая и платежную. TicketMaster оштрафовали на 6,5 миллионов, а авиакомпанию на рекордные 230 миллионов долларов. И это при том, что стоимость данных уязвимостей на платформах Bug Bounty оценивается обычно в смешные 3-10 тысяч долларов 💵 Ну ладно, компания не купить сканер уязвимостей (тем более, что и некоторые игроки рынка сканеров защищенности готовы продаться, как это пытается сделать Rapid7), но уж выставить себя на Bug Bounty и привлечь хакеров, чтобы они поискали уязвимости за вас, можно? Но почему-то никто этого не делает. И вот результат - штрафы в тысячи раз превышают сумму вознаграждения 🤑

Если в России все-таки введут оборотные штрафы за утечки ПДн 👩🏼‍⚖️ (до конца года обещают принять закон), то у нас выход на Bug Bounty станет не только демонстрацией зрелости компании, но и стремлением к тому, чтобы считать деньги. Хороший пример - отели Marriott и Hyatt 🧳 Обе сталкивались с утечками. Marriott выставили счет на десятки миллионов штрафа и все равно заставили обеспечивать независимую оценку защищенности в течение ближайших 20 лет. А Hyatt 🏨 сам вышел на Bug Bounty 🛡 и с тех пор про утечки в этой отельной сети ничего не слышно. Результат, как говорится, налицо 👍

Читать полностью…

Пост Лукацкого

Всеобщая ИТзация всей страны, обучение хакерству с младых ногтей 👶, пентестерские курсы из каждого утюга - это важно и хорошо. Главное не забывать вкладывать в голову учащихся не только технические знания, но и правильные посылы и смыслы, для чего это все! А то вырастим на свою голову хакеров 🧑‍💻 А в мире столько выборов не найдется, сколько у нас хакеров будет.

ЗЫ. Вы, кстати, за кого - за Дональда или Камаллу? 🇺🇸

Читать полностью…

Пост Лукацкого

Schneider Electric взломали и украли данные. Опять! ⚠️ В июне 2023-го это была группировка cl0p. В феврале 2024-го - это уже была Cactus. В ноябре 2024-го (вчера) HELLCAT. Как-то уж слишком часто это происходит с лидером АСУТПстроения 🏭

Хорошо, если там просто стащили данные и не было никаких закладок, как в кейсе с SolarWinds. Все-таки внедрение импланта в код - это непростая операция, далекая от типичных действий большинства группировок, связанных с шифровальщиками ⚪️ Плохо, если украденные данные содержат сведения, которые, в случае опубликования, помогут плохим парням реализовывать больше атак 🤕

Читать полностью…

Пост Лукацкого

Когда ко мне пришли в личку один раз с вопросом: «Мне 35/43/51 — хочу перейти в ИБ из другой профессии», я ответил, как смог в рамках Telegram-канала 📱 Когда пришли второй раз — я тоже ответил в личке. Но когда идентичных вопросов стало больше трех, я решил, что надо вынести мой ответ в паблик, разбив его на части...

Читать полностью…

Пост Лукацкого

Благая весть о кибербезе в святом месте, в храме 🥺 Заучить как «Отче наш»!

Читать полностью…

Пост Лукацкого

Александр подкинул ссылку на интересное исследование Gartner, в котором они ставят под сомнение текущие практики повышения осведомленности, основанные на персональном опыте и обучении 👨‍🏫 Согласно американским аналитикам существует проблема восприятия киберрисков - несмотря на усилия, направленные на повышение осведомленности о киберрисках, поведение пользователей зачастую остается небезопасным 💅 Поэтому многие мероприятия по изменению корпоративной культуры, чтобы ИБ воспринималась более серьезно и побуждала к действиям, оказываются неэффктивными.

А все потому, что пользователи часто не ощущают прямых последствий своих действий, что позволяет им принимать решения, не уделяя должного внимания безопасности 👋 Зачастую инцидент влияет не на них напрямую, а на компанию и то, опосредованно. Это требует внедрения новых подходов, которые будут создавать у сотрудников ощущение личной ответственности за их действия 🤔

Gartner рекомендует менять стиль коммуникации, чтобы акцентировать на личных последствиях от реализации инцидентов ИБ и использовать подход Gartner PIPE (practices, influences, platforms and enablers) для создания программы по укреплению культуры безопасного поведения 😛 При этом рекомендуется "давить" не персонально на каждого сотрудника, а через социальные группы, которые своим примером должны показывать "как правильно" 😠

Несколько тактик коммуникаций для привлечения внимания к кибербезу от Gartner:
1️⃣ Связь действий с последствиями. Донесение до сотрудников четкой связи между их действиями и результатами. Пример: "Если клиенты доверяют нам свои данные, мы получаем больше заказчиков, а вы получаете зарплату и премии/бонусы" или "Атака шифровальщика стала причиной того, что мы не достигли бизнес-показателей и мы не сможем получить премию" 🤑
2️⃣ Использование корпоративных ценностей. Соотнесение сообщений о безопасности с уже существующими корпоративными ценностями, такими как безопасность, качество или финансовая стабильность 🧐
3️⃣ Социальное давление. Использование сообщений, которые акцентируют внимание на том, что риск может затронуть других людей, что побуждает к более ответственному поведению. Например, "Утечка персональных данных может разрушить жизнь вашего коллеги" 🫵
4️⃣ Персонализация. Демонстрация возможных последствий для самих сотрудников или их близких. Пример: "После кражи моей цифровой личности я чувствовал себя беспомощным" 👨‍👩‍👧‍👦
5️⃣ Фан и запоминаемость. Использование юмора и узнаваемых мемов для того, чтобы сообщения лучше запоминались. Пример: "Смешной цифровой двойник бывает только в фильме "Приключения Электроника", в реальной жизни это может кончиться гораздо хуже" (про Электроника это уже моя придумка) 🖕
6️⃣ Изменение культуры обхода правил. Часто сотрудники применяют обходные пути для упрощения работы, что подрывает безопасность. Необходимо менять культуру, чтобы сотрудники видели ценность в соблюдении мер безопасности, и минимизировать трения в работе с системами безопасности ❤️

Читать полностью…

Пост Лукацкого

В одной иностранной организации были следующие KPI для оценки уровня ИБ на уровне всей организации:
1️⃣ % топ-менеджеров, у которых в персональных целях (MBO/OKR/KPI) были определены и задокументированы цели в области кибербезопасности, за достижение которых бонус платился, а за недостижение - нет
2️⃣ % соблюдения политик безопасности (отсутствие нарушений, все исключения одобрены и т.п.)
3️⃣ Количество инцидентов
4️⃣ Разница между планируемыми и фактическими показателями при выполнении мероприятий по ИБ, а также инвестиций в кибербез
5️⃣ % сотрудников, прошедших соответствующую оценку для определения эффективности пройденного ими обучения (то есть оценивается не факт обучения, а что оно дало пользу)
6️⃣ Количество проведенных киберучений
7️⃣ Сотрудничество с ФБР и государственными агентствами и службами (специфическая метрика)
8️⃣ Наличие разработанных планов обеспечения непрерывности ведения деятельности (COOP/ОНВД)

Первая - прям хорошая метрика, которая с одной стороны вовлекает топов в ИБ, а с другой - мотивирует их достигать результата. А если у топа от выполнения целей ИБ зависит бонус, он точно напряжет всех, чтобы ИБ выполнялась. Главное, цели выбирать правильно и установить контроль, чтобы не было очковтирательства.

Читать полностью…

Пост Лукацкого

Ну что, тема ИБ идет в массы. Вот и на Минаев Live теперь ▶️ Да, не Дудь, не Бузова и не иные популярные блогеры и тиктокерши, но уже движение в правильном направлении ➡️

Читать полностью…

Пост Лукацкого

🔄 Вышла новая версия ATT&CK v16, в которой MITRE сосредоточила свои усилия на создании баланса 🎮 между интересами разных категорий специалистов по ИБ. Обновлений сделано достаточно много и среди них:
1️⃣ Обновления для облачных сред. В новой версии реанимирована облачная матрица, включающая теперь четыре платформы - IaaS, SaaS, Identity Provider и Office Suite (Azure, AD, Google Workspace и Office 365 были удалены), что обеспечивает ясное различие функций, например, Azure AD теперь входит в Identity Provider. Это помогает улучшить навигацию и обеспечить практическое применение для специалистов по мониторингу 👀

2️⃣ Нововведения в техниках. Добавлены новые техники, такие как T1496.004, где злоумышленники могут использовать скомпрометированные приложения SaaS для отправки спама ❗️ и истощения ресурсов. Также появилась техника T1666, описывающая изменение иерархии облачных ресурсов, чтобы уклониться от защитных механизмов 💭 Помимо них добавлены T1546.017: Event Triggered Execution: Udev Rules и T1558.005: Steal or Forge Kerberos Tickets: Ccache Files, а также T1557.004: Adversary-in-the-Middle: Evil Twin, T1213.004: Data from Information Repositories: Customer Relationship Management Software и T1213:Data from Information Repositories: Messaging Applications. Всего было добавлено 19 новых техник (только в Enterprise), внесены изменения в более чем 100 техник.

3️⃣ Обнаружение и защита. В v16 добавлено более 200 примеров псевдокода, помогающего обнаруживать 🔍 многие из описанных техник - для выполнения (85 примеров), доступа к учетным данным (120 примеров псевдокода) и работы с облаком (26 примеров). Также внедрен скрипт на Python для быстрого извлечения псевдокода обнаружения 🔎

4️⃣ Новая защитная мера. Out of Band Communication для обеспечения безопасности в случае компрометации сети 🕊

5️⃣ Киберразведка. Обновлены данные о 6 кампаниях и об 11 группах 🇷🇺 В раздел Software добавлено описание 33 новых инструментов, используемых злоумышленниками. Теперь в матрицу включено описание 844 инструментов, 186 групп и 42 кампаний 🇺🇸

6️⃣ Инфраструктура и инструменты. Представлен новый сервер TAXII 2.1, который позволяет пользователям развернуть его в своих организациях. TAXII 2.0 будет закрыт в декабре, и пользователи должны будут перейти на новую версию для получения актуальных данных.

Читать полностью…

Пост Лукацкого

Владелец взломанного на днях 1win делится с подписчиками впечатлениями 🧐 Такое редко увидишь, чтобы CEO делился переживаниями по поводу случившегося, перекладыванием вины (хотя бы в паблике) на свой ИТ-отдел и т.п. Интересно, и я про это много раз говорил, что топ-менеджмент готов был заплатить выкуп за украденные данные, чтобы их не выкладывали в паблик 🤑 То есть это было обычное бизнес-решение. Но когда аппетит вымогателей вырос в 15 раз тут уж ничего не поделаешь...

Читать полностью…

Пост Лукацкого

Все больше прилетает в личке сообщений, что мой блог не доступен уже у многих российских провайдеров 🤬 Похоже причина не в иностранном хостинге (хотя хрен его знает), что я предполагал ранее, а в использовании мной CloudFlare, который я использую не для обхода блокировок и не как CDN, а для защиты от DDoS-атак. Но Роскомнадзору 😐 невдомек, что CloudFlare еще и безопасностью отдельных пользователей, владельцев сайтов, занимается 🤦‍♂️ И альтернатив ему в России просто нет. У нас нет в стране провайдеров услуг борьбы с DDoS, который бы работали с физлицами 😯

ЗЫ. Что с этим всем делать, пока не знаю... Переезжать на российские площадки не могу - их просто в принципе у нас нет, которые бы предлагали то, что мне нужно 🤠 У нас и Managed CMS то никто не предлагает нормально. А уж кибербез для физиков?.. Жаль... 🤬

ЗЗЫ. Я надеюсь вы знаете те заветные 3 буквы, которые позволят вам крутить Роскомнадзор получить доступ к моему сайту.

Читать полностью…

Пост Лукацкого

На самом деле есть, как мне кажется, и еще одна причина ухода американских ИБ-компаний с фондового рынка 📉 Их же стали регулярно ломать всех, а это привлекает внимание Комиссии по ценным бумагам, которые начинает задавать неудобные вопросы топ-менеджменту компаний по поводу ее собственной защищенности, обману акционеров и инвесторов и т.п. Примеров-то становится все больше и больше. Вот и стараются ИБ-игроки таким образом минимизировать риски для себя, уходя в тень из под недремлющего ока SEC (U.S. Securities and Exchange Commission) 🔓

Тем интереснее слухи о продаже или поиске покупателей для некоторых ИБ-компаний:
1️⃣SolarWinds - в октябре 2023-го ходили слухи об уходе с биржи
2️⃣N-Able - изучала возможности продаться в мае 2024-го
3️⃣Rapid7 - инвесторы драйвят продуже компани с лета 2024-го
4️⃣Tenable - ищет потенциального покупателя с июля 2024-го
5️⃣Trend Micro - ищет покупателя с августа 2024-го
6️⃣Secureworks - ее владелец, Dell Technologies, ищет покупателя на актив с августа 2024-го

Для России последняя шестерка компаний не очень интересна (пока), но меня читают не только в РФ 📕

Читать полностью…

Пост Лукацкого

Наткнулся на интересный ресурс, который не только позволяет построить дорожную карту 🗺 в любой интересующей вас области, но и уже содержит целый набор готовых роадмапов. В том числе есть и своя схема для ИБ 🛡

На дорожной карте эксперта по ИБ 301 элемент, каждый из которых представляет собой всплывающее окно 🖥, кратко описывающее каждый элемент и ведущее на дополнительные 🆓 ресурсы (текстовые и видео 📱). Вы можете отметить каждый из "шагов" как "сделано", "в процессе", "пропустить", "ожидает", что позволит вам отслеживать прогресс изучения кибербеза ↗️

Очень интересный инструмент...

ЗЫ. Можно и свой роадмап запилить 📎

Читать полностью…

Пост Лукацкого

Если бы Европа действительно хотела нам насолить, ей надо было просто закрыть все VPN в Голландии 🇳🇱

Читать полностью…

Пост Лукацкого

В 1995-м году Ади Шамир, лауреат Премии Тьюринга 🏆 и один из соавторов алгоритма RSA, выступая на конференции Crypto'95, сформулировал 10 принципов, которые нынче известны как 10 заповедей коммерческого ИБ-продукта. Вот этот список: ✔️
1️⃣ Не стремитесь к идеальной безопасности. Абсолютная безопасность недостижима; важно находить баланс между уровнем защиты и затратами на него.
2️⃣ Поймите, что безопасность — это не только технология. Эффективная безопасность требует учета человеческого фактора и организационных процессов.
3️⃣ Сосредоточьтесь на реальных угрозах. Приоритизируйте защиту от наиболее вероятных и значимых угроз, а не от гипотетических атак.
4️⃣ Обеспечьте простоту и удобство использования. Сложные системы безопасности могут быть проигнорированы пользователями; стремитесь к интуитивно понятным решениям.
5️⃣ Интегрируйте безопасность с самого начала. Встраивайте меры безопасности на всех этапах разработки продукта, а не добавляйте их постфактум.
6️⃣ Обеспечьте совместимость и стандартизацию. Используйте общепринятые стандарты и протоколы для обеспечения совместимости и надежности.
7️⃣ Поймите, что безопасность — это процесс, а не продукт. Постоянно обновляйте и совершенствуйте меры безопасности в ответ на новые угрозы.
8️⃣ Обеспечьте прозрачность и доверие. Открытость в вопросах безопасности способствует доверию пользователей и партнеров.
9️⃣ Сотрудничайте с сообществом. Обмен опытом и совместная работа с другими профессионалами повышают эффективность мер безопасности.
1️⃣0️⃣ Оценивайте и измеряйте эффективность. Регулярно проводите оценку и тестирование ваших решений для обеспечения их надежности и соответствия требованиям.

Простенько и со вкусом 🙂 Спустя и 30 лет эти принципы остаются неизменными при разработке любого решения, призванного защищать данные и системы, пользователей и устройства 🛡

Читать полностью…

Пост Лукацкого

А тут вот опять, в день выборов американского президента, пишут на BreachForums про взлом АНБ 🇺🇸 Мол, утекло все из телеком-оператора AT&T, который в свою очередь был взломан в результате атаки на Snowflake ❄️ Интересно, это продолжение сентябрьской истории или что-то новое?...

Читать полностью…

Пост Лукацкого

К упомянутому ранее Gartner PIPE Framework краткое описание, что входит в этот фреймворк 👨‍🏫 Ну и сам документ Gartner 👇, если вам вдруг интересно, как можно из обычных антифишинговых 🎣 симуляций накрутить вот такое ☝️

Читать полностью…

Пост Лукацкого

При всем богатстве техник и тактик в MITRE ATT&CK комбинаций, которые бы применялись на практике, - ограниченное число 📇 Знание этих комбинаций, или путей/цепочек атак, позволяет ускорить обнаружение инцидентов и реагирование на них. Но где взять такие цепочки? 🔗 Из бюллетеней TI их не составишь, так как обычно там только атомарные техники, которые надо еще уметь составлять в правильные комбинации. Раньше вариантов было только два - выстроить собственное TI-подразделение или опираться на экспертизу в области цепочек в ИБ-продуктах (например, по этому пути развивается MaxPatrol O2) 🛡

🆕 И вот недавно MITRE Engenuity’s Center for Threat-Informed Defense анонсировал проект Technique Inference Engine, который как раз облегчает движение по первому пути. В рамках этого проекта собраны существующие цепочки атак 🔗, что позволяет по одной или нескольким техникам предсказать возможные следующие шаги злоумышленника 🔮 В основе проекта ML-модель, обученная на соответствующих данных из 6236 TI-отчетов от OpenCTI, TRAM (позволяет вытягивать индикаторы из TI-отчетов с помощью LLM ), Adversary Emulation Library, Attacks Flow и других проектов MITRE и MITRE Engenuity 🔓

‼️ Важно ‼️ Не стоит думать, что этот инструмент раз и навсегда решит проблему с предсказанием следующих действий злоумышленников. Я провел простой эксперимент - взял свежее описание по группировке PhaseShifters и загнал техники оттуда в TIE. Нет, в ответ я не получил название группировок 🇷🇺, которые используют схожий набор (для этого можно было бы использовать сервис MITRE CARET). Я получил список из 20 техник, которые могли бы еще быть использованы, так как встречались в других инцидентах вместе с введенными мною. Но что делать с этим списком? Все равно не обойтись без понимания того, что делать с этими техниками, то есть без своего TI вам не обойтись. Но список возможных вариантов TIE сужает, что немало 👨‍💻

ЗЫ. Из интересного - можно самостоятельно и локально поиграться и с моделью и с датасетом с помощью Python Notebook 🧑‍💻 - предоставлены все необходимые ресурсы.

ЗЗЫ. Но цепочки проект все-таки не строит 🤷‍♀️

ЗЗЗЫ. И помните, что не все существующие техники попадают в ATT&CK.

Читать полностью…

Пост Лукацкого

Вчера по поселку бегали дети 😀 по домам, "пугали" людей и, следуя традициям Хеллоуина, кричали "Сладость или гадость" 🍭, закрыв тем самым то ли Тыквенный спас, то ли «Ночь таинственных историй», то ли американский праздник, который у нас скоро запретят, как чуждый тонкой и ранимой русской душе.

А я вдруг подумал, что скоро они повзрослеют и начнут просить не конфеты, а цифровые "вкусняшки" - биткойны, стейблкойны и другие элементы современной жизни молодежи. В наше время, когда все за ЗОЖ 💪, а дети с малых лет погружаются в цифру, конфеты просить уже как-то некомильфо.

ЗЫ. Кстати, если кто собирал все таинственные истории по моим соцсетям, то их было 1️⃣🅾️

Читать полностью…

Пост Лукацкого

Неожиданный поворот. Вендор в области аутентификации решил, что никому в голову не придет придумывать себе логин длиной больше 52 символов и поэтому не стал включать в тесты этот сценарий. А зря… Оказалось, что при наличии такого логина (более 52 символов) можно было вообще не вводить пароль (если, конечно, не была включена MFA) 🤦‍♂️

Читать полностью…

Пост Лукацкого

Вас тоже бесит, когда друзья, пришедшие к вам домой, просят пароль от вайфая, но у них не айфон 📲, а точка доступа, на которой приклеен пароль, у вас где-то на антресолях закопана?..

Читать полностью…

Пост Лукацкого

Три интересных новости попались мне относительно искусственного интеллекта. Во-первых, в Японии 🇯🇵 осудили первого человека, которого обвинили в использовании ИИ для разработки вредоносного кода 🦠 Ему дали 3 года и на 4 года отстранен от должности. Однако полиция считает, что никакого вреда обвиняемый своим творением нанести не успел. Но сам факт заслуживает внимания. Тем более, что в сентябре исследователи HP уже писали об обнаружении ими в "дикой природе" вредоноса, предположительно написанного с помощью ИИ. Скоро фишки вредоносов с распознаванием образов (OCR) на базе ИИ на борту (как, например, в случае с Rhadamanthys) покажутся нам детским лепетом.

Вторая новость связана с проектом AI Honeypot 🍯, который должен ответить на вопрос - как активно используется ИИ при проведении атак. Созданная ловушка содержала явные уязвимости, что не могло не привлечь к ней внимание плохих парней, которых по ходу препарировали, пытаясь выяснить, есть ли среди них роботы 🤖 Что интересно, из полутора миллиона атак всего 6 было отнесено к, вероятно, инициированными ИИ-агентами.

А вот третьему исследованию я уделю больше внимания. В нем проанализировали 243 инцидента, связанных с безопасностью ИИ 🧠 в период с 2015 по 2024 годы. Результаты оказались неожиданными - большинство из них - не специфические для ИИ атаки, а обычные проблемы кибербезопасности, которые затрагивают компании и программное обеспечение, работающие с ИИ:
🔤 Около 89% инцидентов были демонстрациями исследователей или легальными проверками, а не реальными атаками злоумышленников 🔓
🔤 Только 17,7% составляют настоящие атаки, специфические для ИИ
🔤 Инъекция через запросы, включая случай с чат-ботом Chevrolet
🔤 Манипуляция моделями, как в инцидентах с ChatGPT или HuggingFace
🔤 Вмешательство в данные для обучения, как, например, в истории с ByteDance или Protiviti
🔤 Adversarial (ну это известная классика).
🔤 Большая часть (82,3%) инцидентов связана с традиционными уязвимостями в ИИ-программном обеспечении, которые ошибочно называют "уязвимостями ИИ"
🔤 Утечки данных, например, инциденты с Clearview AI и Removal.ai
🔤 Хищение ресурсов, как в случае с Anyscale Ray
🔤 Ошибки конфигурации облаков, которые привели к утечке данных , как в кейсе Replicate AI
🔤 Проблемы с безопасностью API, как, например, в инцидентах Vanna SQL или Google Coude Vertex AI.

Исследователи сделали три основных вывода:
1️⃣ Доминирование традиционных уязвимостей. Распространенные проблемы включают доступ к файловым системам, уязвимости аутентификации и проблемы с API. Например, инцидент с Anyscale Ray в 2024 году показал, как через незащищенную точку доступа API были скомпрометированы ресурсы на почти один миллиард долларов 💰
2️⃣ Растущее число атак, специфичных для ИИ. Хотя такие атаки пока редки, их количество увеличивается. Примеры включают инъекцию команд (например, случай с чат-ботом Chevrolet в 2024 году) и кражу датасетов и ML-моделей 🤒
3️⃣ Наибольшая угроза — инфраструктурные уязвимости. Сюда входят хищение ресурсов, утечки данных и ошибки конфигурации облаков. Например, в мае 2024 года контейнерный реестр Replicate AI был открыт для загрузки вредоносных файлов 🤒

Обнаружено, что уязвимости в программных фреймворках для разработки ИИ стали частым явлением. Злоумышленники также создают вредоносные модели ИИ, надеясь на их загрузку другими пользователями. Это тенденции этого, 2024 года 🔮

Основной вывод из этих трех новостей можно сделать один - компании могут неправильно ⚠️ распределять свои ресурсы, сосредотачиваясь на экзотических угрозах ИИ, игнорируя базовые проблемы безопасности, связанные с отсутствием процесса управления уязвимостями и безопасной разработки. Это ведет к ложному ощущению новизны и отвлекает от решения фундаментальных проблем 🛡 И хотя специфические атаки на ИИ реальны и их число растет, именно традиционные уязвимости пока остаются основной угрозой для компаний.

Читать полностью…

Пост Лукацкого

Оно, конечно, ничего нового, но тут в одной статье вывели 10 ключевых проблем, с которыми сейчас сталкиваются CISO. Не так чтобы там были какие-то откровения, но вдруг вы о чем-то не знали, а для вас это проблема или она станет таковой в ближайшее время:
🔤 Расширяющийся ландшафт угроз. Увеличение количества и сложности атак, а также существенное расширение ИТ/ОТ-инфраструктуры.
8️⃣ Изменяющаяся среда. Необходимость оперативно адаптировать защиту под постоянно изменяющиеся требования бизнеса, поддерживая его развитие и не мешая ему.
🔤 Рост регуляторных требований. Многочисленные и часто конфликтующие требования законодательства.
🔤 Риски третьих сторон. Уязвимости поставщиков и участников цепочек поставок, которых компании не контролируют напрямую.
🔤 Ответственность за результат. Растущая персональная и юридическая ответственность CISO за защиту данных.
🔤 Безопасность ИИ. Необходимость защищать данные и инфраструктуру при использовании и развитии технологий ИИ.
🔤 Угрозы, связанные с ИИ. Использование ИИ злоумышленниками для усиления атак.
🔤 Ограниченные ресурсы. Нехватка кадров и финансов на фоне дефицита специалистов.
🔤 Роль безопасности в организации. Безопасность по-прежнему воспринимается как технический аспект, а не часть бизнеса.
🔤🔤 Операционное совершенство. Поддержание необходимого уровня безопасности и быстрая адаптация к новым угрозам и технологиям.

И хотя эта статья была опубликована в американском издании, эти проблемы актуальны и для нас, даже 6-я.

Читать полностью…

Пост Лукацкого

В свежем исследовании "Insights and Current Gaps in Open-Source LLM Vulnerability Scanners: A Comparative Analysis" проводится анализ существующих сканеров уязвимостей в различных LLM 🧠 Было протестировано 15 сканеров - CyberSecEval, HouYi, JailBreakingLLMs, LLMAttacks, Garak, Giskard, Prompt Fuzzer, PromptInject, Prompt-foo, LLMCanary, Agentic security, PyRIT, LLMFuzzer, PromptMap и Vigil-llm и затем из них выбирали тех, кто соответствовал трем критериям: 👉
1️⃣ Качество базы тестов
2️⃣ Частота обновлений
3️⃣ Открытый код с активным комьюнити.

В итоге в финальную выборку вошли всего 4 сканера 🤕 - Garak, Giskard, PyRIT и CyberSecEval, которые тестировали 35 атак, разбитых на 5 категорий, включая джейлбрейк и написание вредоносного кода. Тестировали эти сканеры против 4 LLM - Meta LLaMA 3, Cohere Command-R, OpenAI GPT-4o и Mistral Small 📱

У каждого из 4-х сканеров были выявлены свои преимущества. Например, Garak имеет невысокую кастомизацию, чего не скажешь о PyRIT, который позволяет редактировать все инструкции, но при этом требуют глубоких знаний prompt engineering. Giskard идеален для тестирования в динамичном окружении с минимальным ручным вмешательством. CyberSecEval при этом хорош при тестировании LLM, помогающих в написании кода 🧑‍💻

Если вы развернули у себя в компании собственную LLM, хоть и на базе какой-нибудь LLaMA, то при проведении тестов на проникновение стоит включить в scope и ее. Это подсказывает не только здравый смысл, но и направления развития ИБ-регуляторики в нашей стране 🤔

Читать полностью…
Подписаться на канал