Пост Лукацкого

21 ноября 2022 20:22

У американских госорганов есть 6 месяцев для миграции на постквантовую криптографию. Таково решение Белого дома

Пост Лукацкого

21 ноября 2022 15:17

22 инцидента ИБ в промышленных системах с физическими последствиями в 2021-м году. Что-то из этого недопустимо и не должно было произойти. Простои от нескольких дней до недель, срыв поставок, останов заводов, газет, пароходов железных дорог… Число таких кейсов год от года только растет

Пост Лукацкого

21 ноября 2022 08:29

Однако, новости. Росатом рассматривает возможность покупки "Кода безопасности" 🤔

Пост Лукацкого

21 ноября 2022 05:02

"Черная пятница", чемпионат мира по футболу, Рождество и Новый год, 23 февраля и 8 марта... А для каких дат еще можно предсказывать рост атак? А ведь есть неявные даты, в которые могут также происходить атаки; причем как против кого-то (напомнить), так и кем-то (отпраздновать). Про это в блоге

Пост Лукацкого

20 ноября 2022 10:21

Классическая уловка продавцов страха от ИБ - предложить бесплатную white paper, в которой, по словам авторов, раскрыты тайны ИБ, которые раз и навсегда решат проблемы всех ИБшников мира. И получить эту бесплатную white paper можно только после регистрации на сайте вендора и заполнения полутора десятков полей анкеты. А через день (для нетерпеливых продавцов) или три дня (для чуть более опытных) вам напишет (а то и позвонит) представитель вендора и спросит, не нужно ли что-то пояснить в той white paper, которую вы скачали.

Это настолько набившая оскомину уловка, что на нее уже мало кто попадается, специально заводя для таких случаев отдельный ящик e-mail. Лично у меня для этого на домене lukatsky.ru (свой домен, кстати, позволяет обходить систему защиты маркетинга, который отсекает пользователей с бесплатных почтовиков) создан специальный ящик, на который и сыпется весь такой спам. Я его редко читаю; только если туда прилетает интересующий меня документ (хотя они редко оправдывают даже время, затрачиваемое на заполнение формы-анкеты; поэтому автозаполнение в браузерах рулит).

Аналогичная ситуация и с обычными ИБшниками; тем более с руководителями ИБ, которым сыпется много всякой дерьма по e-mail. Поэтому для продавцов ИБ у меня совет - не пользуйтесь такими уловками - они не дают того эффекта, на который вы рассчитываете. И если CISO все-таки заполнил вашу форму, а вы стали его спамить, то вы не приблизились к нему (к чему вы и стремились), а только отдалили его от себя и своей компании и ее продуктов. Для ИБшников же у меня иной, очевидный, совет - заведите себе отдельный почтовый ящик для бессмысленных внешних коммуникаций и используйте его. Тем самым вы сохраните свое время и нервы.

Пост Лукацкого

19 ноября 2022 19:50

Американские ИБшники массово создают аккаунты в Mastodon и делают архивы своих лент Твиттера. У них свой план Б на случай, если Маск не сдюжит и исход его разработчиков продолжится, приведя соцсеть к краху 😈

ЗЫ. Я тоже сделал; заодно и копию всех постов в Телеграме ;-)

Пост Лукацкого

19 ноября 2022 11:59

InfoSec Black Friday Deals ~ "Hack Friday" 2022 Edition

Пост Лукацкого

18 ноября 2022 21:32

ФинЦЕРТ, в рамках финансовой грамотности, раньше такие кроссворды делал. Да и вообще, много делал. #nosocforum

Пост Лукацкого

18 ноября 2022 16:08

За совершение преступлений в сфере компьютерной информации предлагают наказывать конфискацией имущества

К числу таких относятся:
🔹неправомерный доступ к компьютерной информации,
🔹создание, использование и распространение вредоносных компьютерных программ,
🔹неправомерное воздействие на критическую информационную инфраструктуру РФ,
🔹нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей.

Для повышения эффективности мер по противодействию таким преступлениям предлагается внести изменения в пункт «а» части 1 статьи 104-1 Уголовный кодекс РФ и дополнить его статьями 272-274, которые позволят конфисковать имущество за киберпреступления.

Соответствующие поправки в УК РФ разработали председатель Комитета СФ по конституционному законодательству и государственному строительству Андрей Клишас и депутаты.

По словам сенатора, данные МВД за прошлый год показали, что каждое четвёртое преступление было совершено с использованием информационно-коммуникационных технологий или в сфере компьютерной информации. При этом в большинстве таких правонарушений использовались сеть «Интернет», средства мобильной связи, компьютерная техника и программные средстве.

@sovfedofficial

Пост Лукацкого

18 ноября 2022 15:47

Место отдельным SecOps-решениям, конечно, останется, но чем более зрелым будет заказчик, тем больше шансов, что он выберет консолидированную платформу, а не разрозненный стек продуктов. #nosocforum

Пост Лукацкого

18 ноября 2022 08:59

Как-то тема оценки защищенности неожиданно хорошо выстрелила за последнюю пару недель, что я решил ей уделить отдельную заметку в блоге. Набралось дофига новостей по этому направлению - это и 4 методики ФСТЭК, и парочка документов ФСБ, и методика американской CISA, и с десяток проектов ГОСТов по оценке защищенности, и еще кое-что. Обо всем этом и решил написать. В конце концов, это тоже часть #nosocforum

Пост Лукацкого

17 ноября 2022 23:24

В чем отличие должности директора по информационной безопасности в России и в мире

🙇 В большинстве российских компаний, особенно небольших, специалист по ИБ выполняет организационные функции в рамках своей деятельности и практически никогда не выходит на уровень коллегиального органа (совета директоров, правления и других управленческих структур) и не участвует в принятии стратегических решений, необходимых для развития бизнеса.

🤵 На Западе начальник службы ИБ может участвовать в совещаниях по инвестициям наравне с финансовым, операционным директором и другими руководителями, хотя он и оценивает проекты с точки зрения ИБ. Чаще всего он не входит в структуру IT-департамента, а подчиняется непосредственно генеральному, операционному или финансовому директору.

Чем различается восприятие должности CISO в России и в остальном мире? Что отличает CISO от других руководителей в сфере ИБ? Какие риски связаны с активной публичной деятельностью CISO?

Об этом порталу Cyber Media рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

#PositiveЭксперты

Пост Лукацкого

17 ноября 2022 05:40

А вы, занимаясь ИБ, покупали уже акции какой-либо компании по ИБ или целого фонда? Насколько вы верите в сам рынок, что он будет расти? Если верите, то почему не прикупить акций (даже немного)? Если не верите, то почему продолжаете работать в ИБ?

Я раньше как-то не особо задумывался об этом способе заработка. Ну были у меня акции Cisco; ну так их мне работодатель выдавал. Потом я прикупил акций одного из фондов, включающих акции многих зарубежных ИБ-компаний. Потом прикупил акций Positive Technologies (еще до выхода к ним на работу и даже до 24 февраля).

Я могу ошибаться, но все-таки считаю, что это некий маркер того, насколько зрелый рынок ИБ. Не с точки зрения самих вендоров (тут у нас всего пока один только Positive), а с точки зрения ИБшников.

ЗЫ. Хотя из Москвы легко рассуждать о том, куда потратить деньги 💰 Но с другой стороны, надо же верить в лучшее ;-)

Пост Лукацкого

16 ноября 2022 22:45

ФСТЭК в этом году прям достойно выступила на SOC Forum. Виталий Сергеевич Лютиков презентовал ключевые нормативные изменения по ведомству (ниже на фото), а Елена Борисовна Торбенко в своем докладе рассказала о практических рекомендациях по защите объектов КИИ, включая и отражение атак supply chain и многое другое. Кто-то смотрит на нормативку регулятора буквально и требует пояснений и согласования на каждый чих, а кто-то превращает нормативку в результативную ИБ. Каждый видит в приказах ФСТЭК что-то свое 🤔

Пост Лукацкого

16 ноября 2022 20:36

standoff запущен позитивом
и для страны и за рубеж
и для души да и во благо
себе ж

22-24 ноября буду участвовать в онлайн-программе The Standoff, сразу в пяти мероприятиях:
📌 Кибератаки на российские компании. Опыт 2022 года
📌 Подведение итогов киберучений на инфрастуктуре Рositive Тechnologies. Запуск программы bug bounty на 1 млн.долларов
📌 Может ли bug bounty стать гарантией киберустойчивости бизнеса?
📌 Влияние кибератак на котировки акций публичных компаний
📌 Мемы в ИБ: можно ли говорить об информационной безопасности картинками

Где-то буду простым участником, где-то буду модерировать более опытных коллег, где-то буду отвечать на вопросы ведущего. Зарегистрироваться можно на сайте мероприятия.

Пост Лукацкого

21 ноября 2022 17:40

Иногда физическое воздействие за киберинцидент приходит оттуда, откуда не ждали! Для кого-то это недопустимо, не поесть куриных крылышек!

Пост Лукацкого

21 ноября 2022 12:05

Как проводить расследование инцидиентов на узлах с Windows, когда у вас нет EventLog (его не включили или вредонос затер логи)?

Пост Лукацкого

21 ноября 2022 08:20

Хакеры троллят Роскомнадзор и ГРЧЦ ;-)

Пост Лукацкого

20 ноября 2022 16:39

АНБ и CISA выпустили третью версию руководства по защите от атак на цепочку поставок в ПО

Пост Лукацкого

20 ноября 2022 05:40

200 вопросов на собеседовании на разные роли ИБшника за границей

Пост Лукацкого

19 ноября 2022 15:34

CISA потребовала в начале года от всех американских госов пропатчить Log4Shell, но многие забили болт и иранские хакеры этим воспользовались.

Госорганы везде одинаковы - кладут болт на требования своих регуляторов ;-)

Пост Лукацкого

19 ноября 2022 07:40

В истории взлома ГКРЧ есть три занятные линии. Во-первых, организация заявляет, что взлом был контролируемый и специалисты организации специально дали хакерам Союзного государства возможность делать свое черное дело, чтобы изучить их техники и тактики. Прям не ГКРЧ, а honepot масштаба организации какой-то. Это прям новация в ответах для СМИ.

Во-вторых, в утекших данных имеются персональные данные, которые неправомерно были переданы за пределы оператора ПДн, а следовательно ГКРЧ должен был в течение суток уведомить РКН об инциденте, а в течение 3-х - прислать результаты внутреннего расследования. Интересно, они это сделали? Как писал РКН в отношении произошедшей на днях утечке из Whoosh, "Согласно изменениям в законодательстве о защите персональных данных с 1 сентября 2022 года оператор, допустивший утечку, в течение суток обязан уведомить об этом Роскомнадзор. По состоянию на 18:00 14 ноября 2022 года от владельца сервиса Whoosh такое уведомление в Роскомнадзор не поступило. Указанное обстоятельство будет учтено при проведении проверки". Интересно, как отреагирует РКН на этот раз?

Ну а в третьих, ГКРЧ заявляет, что доступа к закрытой информации хакеры не получили. А ПДн своих работников они к какой информации относят? К общедоступной? А информация о средствах защиты, установленных для сотрудников паролях и т.п. не относится к информации указанной в упомянутом вчера приказе ФСБ №547?

Пост Лукацкого

18 ноября 2022 19:07

Актер Рейн Уилсон (Rainn Wilson) сменил фамилию на Стена Дождя Волна Тепла Экстремальная Зима Уилсон (Rainnfall Heat Wave Extreme Winter Wilson), чтобы привлечь внимание к проблеме изменения климата.

Если бы смена фамилии не сопровождалась кучей головняка по смене всех правообладающих документов (от паспорта и водительского до свидетельства о браке и права собственности на квартиру), то я бы поменял фамилию на Алексей Против Голимой Рекламы И Скучного Гундежа На Конференциях По ИБ Лукацкий. Но увы ;-(

Пост Лукацкого

18 ноября 2022 16:03

Если верить "Киберпартизанам", они взломали Роскомнадзоровский ГРЧЦ, потырили немало внутренней информации, утащили переписку работников, пошифровали рабочие станции и, судя по компрометации AD и получению доступа к используемой DLP, еще и получили учетку админа ГРЧЦ 🧑‍💻 И судя по скринам, я вполне допускаю, что это не фейк, как уже бывало раньше со стороны других хакерских группировок, и это не "опубликованная ранее в Интернет публичная информация".

Как говорится, 100% ИБ не бывает, но лишний раз демонстрируется, что и на старуху бывает проруха 🤷‍♂️

Пост Лукацкого

18 ноября 2022 12:25

Возвращаясь к трехдневной давности посту о прогнозе Gartner о слиянии разных SecOps-решений в рамках SIEM. Они даже приводят цифры - 75% вендоров SIEM будут предлагать клиентом консолидированные решение SIEM+IRP+SOAR+TIP. Интересный прогноз. Раньше считалось, что решения должны быть все-таки разные. Видимо, нехватка кадров и требования по оперативному реагированию сместили акценты. #nosocforum

Пост Лукацкого

18 ноября 2022 05:40

4 ноября этого года ФСБ выпустила приказ №547 "Об утверждении перечня сведений в области военной, военно-технической деятельности, которые, при их получении иностранным источниками могут быть использованы против безопасности РФ".

Интересно в этом приказе то, что его существенно расширили и теперь стоит внимательно относиться к тому, что говорить или писать в иностранных СМИ, на зарубежных мероприятиях, коллегам с двойным или просто одним, но нероссийским гражданством. Во избежание так сказать... В перечень внесены следующие сведения в области ИБ:
📌 сведения о действительных наименованиях, дислокации и персональные данные сотрудников, включая их контактную информацию, подразделений ФСБ (это теперь нельзя про 8ку ничего писать, а их контакты удалить с телефона, который синхронизируется и бэкапится в зарубежном облаке?)
📌 сведения об использовании криптографической защиты, квантовых технологий и искусственного интеллекта при разработке вооружений, военной и спецтехники
📌 сведения о центрах ГосСОПКИ и инцидентах в рамках ОПК
📌 сведения о закупке СрЗИ для нужд ОПК
📌 сведения о составе и организации работы ГИС и ОКИИ (включая незначимые), их ЦОДах, исходниках ПО, ТЗ, моделях угроз, паролях, настройках СрЗИ, результатах анализа защищенности и реагирования на инциденты
📌 сведения об обеспечении ИБ в области космической деятельности.

Вообще 31-й пункт перечня (про КИИ) меня смутил и напряг. Это что, теперь нельзя публиковать данные с обобщенными результатами пентестов (типа таких)? А на конференциях типа "Магнитки" нельзя делиться лучшими практиками и опытом защиты финансовых организаций? А на GitHub нельзя держать open source утилиты, которые применяются для пентестов ОКИИ? Много вопросов... 🤔

На фото рассекреченные плакаты Агентства национальной безопасности. Вы видите на них что-то секретное? 🤷‍♂️ Неужели фраза "take a positive approach to security" 😊 Мне кажется мы еще "наедимся" последствий бездумного засекречивания 🧐

Пост Лукацкого

17 ноября 2022 08:32

Сегодня я решил описать тему другого своего несостоявшегося доклада, посвященного тоже SOCам с финансовой точки зрения. На этот раз речь идет о возможных моделях ценообразования и лицензирования центров мониторинга, тарификации и т.п.

Пост Лукацкого

16 ноября 2022 22:53

Обратите внимание вот на этот слайд - это проект документа ФСТЭК с требованиями к NGFW, о котором я писал на прошлой неделе

Пост Лукацкого

16 ноября 2022 20:36

⚡️ Standoff пройдет уже в ноябре

Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.

Что будет 

📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.

📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.

📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса. 

📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.

Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com

👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!

Пост Лукацкого

16 ноября 2022 17:40

Государство достаточно активно занялось вопросом ИБ, выпускает кучу нормативки и методичек, но все это должно, как мне кажется, сопровождаться оценкой общего уровня защищенности, чтобы понять, насколько мы все движемся в правильном направлении.

Можно попробовать измерить общий индекс ИБ страны, но он ничего не говорит о том, что конкретно надо улучшать. Можно попробовать задействовать метрики ИБ. Вот так, например, в Новой Зеландии оценивают уровень цифровой устойчивости отраслей (называется Cyber Resiliense Barometer). По сути своей, они просто взяли NIST Cyber Security Framework и заставили попросили компании ежеквартально его заполнять, проставляя против каждого блока защитных мер значение по пятибалльной шкале.

Компании могут делать тоже самое и сделать это даже частью своего SOC, который помимо всего прочего будет иметь в своем сервисном каталоге и услугу по оценке состояния защищенности организации.

Надо будет посмотреть, что ФСТЭК придумала в своей методике, о которой я писал вчера, и насколько получаемые в ней уровни зрелости могут быть выведены на уровень отрасли или страны.

#nosocforum