Пора создавать ассоциацию ИБ-компаний, которые попали под санкции (Association of Sanctioned Security), так как их число уже перевалило за 20. Сокращенно, я бы ее назвал 🔤🔠🔠 И пусть попробуют ее тоже санкционировать - предвижу заголовки американской прессы 🍑
Читать полностью…Хакерские форумы все активнее включают в правила запрет на любые операции, связанные с шифровальщиками (продажу, разработку, рекрутинг персонала и т.п.). И лично у меня это поднимает несколько вопросов:
1️⃣ Если эта тема токсична и ею стремно заниматься, так как поймают и накажут (как Lockbit и др.), то значит остальные темы не так опасны для их организаторов и спецслужбы и правоохранительные органы не сильно напрягаются в борьбе с продажей доступов в организации, продаже зеродеев и т.п.?
2️⃣ Если на обычных форумах такие темы блочат, то скорее всего рансомварьщики перейдут на специалиазированные форумы (такие есть) и в чем тогда смысла? Прикрыть свою жопу?
3️⃣ Сокращение числа площадок, где рекламируются шифровальщики, сокращение кормовой базы, а также более активная роль правоохранителей в поимке, не означает ли более агрессивной политики группировок вымогателей и роста суммы выплат? Раньше они не позволяли себе атаки на медицинские организации, а сейчас в полный рост.
Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события 💥 С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так:
Пусть Минцифры даст 🫴 нам список недопустимых событий и мы тогда сможем с ними эффективно бороться!
Испанский стыд стартап Variston, разрабатывавший шпионское 🔍 ПО, испытывает проблемы. Часть сотрудников покидает его после того, как Google раскрыла используемые им эксплойты, а сама компания, похоже, закрывает свою деятельность ❌
В сентябре 2021 года международной организации по стандартизации ISO была подписана Лондонская декларация по климату, которая обязывает включать тему изменения климата 🌪 во все стандарты ISO, включая и серию ISO/IEC 270xx. И вот первой жертвой стал основополагающий стандарт ISO/IEC 27001:2022 - к нему принята первая поправка, которая как раз и определяет, что при управлении ИБ надо брать во внимание тему управления климата ☄️
Стандартизаторы ISO считают, что она затрагивает множество разных направлений - управление цепочками поставок 🚛, здоровье и безопасность персонала (вот выйдет аналитик SOC, сидящий на Шпицбергене, пописать на мороз и отморозит 🥶 пальцы), доступность и использование ресурсов и энергии 🔋, непрерывность бизнеса, управление активами и встречи с заказчиками, контрактные обязательства и т.п. Может ИБ это все и затрагивает, но зачем в стандарт-то все это тянуть?
Такими темпами они и толерантность в стандарт ISO/IEC 270xx включат и будут требовать от CISO иметь в своем штате определенное количество представителей меньшинств и определенных рас 👨🏿🦳! Не дело это, смешивать политику и ИБ на уровне международной организации, которая стандарты для 160+ стран разрабатывает.
В четверг в Совете Федерации прошла встреча на тему страхования киберрисков и там страховщики привели интересные цифры 0️⃣ емкости рынка для этого вида услуг.
Хотя 5️⃣0️⃣0️⃣0️⃣ как сумма компенсируемого морального ущерба - это не то, что хотят пострадавшие. По проведенному мной опросу порядок цифр совсем другой. На выплату в 5000 💸 согласно всего 2% опрошенных.
Так что будем посмотреть, продавят в парламенте эту идею или все-таки откажутся?.. 🗑 Если продавят, то страховщики будут всеми правдами и неправдами отказываться от страхования, а если их обяжут это делать, то они найдут способы не выплачивать компенсации 🤷♀️. И сделать это будет несложно - достаточно сослаться на то, что за атакой стоят поддерживаемые сопредельным государством хакеры, то есть речь идет о форс-мажоре (такие кейсы уже были в страховании зарубежом). И сама идею страхования киберрисков будет похоронена ⚰️ надолго. Может в этом план?
MITRE выпустила новую, пятую версию средства для эмуляции нарушителей CALDERA с кодовым названием Magma. Несмотря на то, что речь идет о мажорном обновлении, многие из них особо незаметны. В частности, в новую версию:
1️⃣ добавили новый графический интерфейс (не все плагины поддерживаются в нем, например, для тестирования АСУ ТП),
2️⃣ внедрили возможность для будущего тестирования базирующихся на ИИ атак (хотя плагин для тестирования атак из MITRE ATLAS уже есть),
3️⃣ добавили инструменты повышения осведомленности оператора CALDERA,
4️⃣ повысили скорость тестирования
5️⃣ повысили контролируемость тестов.
ЗЫ. CALDERA поможет вам ответить на 4 и 5 вопросы из предыдущей заметки.
Если посмотреть на статистику рождаемости в стране, округлить ее в большую сторону и не учитывать, что в какие-то годы у нас были спады, то можно с большоооой натяжкой сказать, что у нас в стране рождается в среднем, на протяжении последних 100 лет, около 2 миллионов человек в год. То есть за 100 лет в России родилось около 200 миллионов человек. А жило в стране 100 лет назад чуть больше 100 миллионов граждан. То есть, если бы все население страны никогда не умирало и сейчас жило бы в России, то у нас было бы около 300 миллионов граждан (республики бывшего СССР в расчет не беру - только РСФСР и РФ).
Так откуда же, тогда, г-н Вагнер из Роскомнадзора взял крупнейшую утечку персданных в 2024-м году на 500 миллионов ⁉️ записей? Где у нас такие массивы данных? Их даже в ЗАГСе, который фиксирует все рождения и смерти, столько быть не должно. И у ФНС таких объемов быть не должно. И в ФСБ, Минтруде, ПФР и иже с ними тоже быть не должно. И никто нигде не пишет про утечку такого масштаба 👀
Или г-н Вагнер решил пойти по пути вице-президента Ростелекома, заявившего про 600 миллионов DDoS-атак? Или грядет рассмотрение законопроекта об оборотных штрафах в Госдуме и депутатам надо вложить в мозг не только мысль, что продолжает течь, но и число "500 миллионов". А россиян или рублей, какая разница, если все равно начинается на 🔤
ЗЫ. Слайд из презентации с "Форума будущего"; он иллюстрирует источник проблемы с кадрами в стране.
Федеральная торговая комиссия США оштрафовала Avast на 16,5 миллионов долларов за продажу данных пользователей, которых должен был защищать антивирус!
Читать полностью…Статистика по источникам, используемым для обнаружения угроз, в 2023-м году (преимущественно в США). Удивляет попадание телеметрии от NDR ниже облачных логов и журналов регистрации SaaS 😶🌫️ У нас явно нижняя часть графика была бы иной.
Читать полностью…Lockbit отвечал почти за 21% всех атак со стороны шифровальщиков 🤒 Поэтому выложенный в паблик декриптор для данного вредоноса должен помочь его жертвам. Но при условии, что жертвы не удалили все зашифрованные файлы, не сделав их бэкап. 🤒
Одной из стратегий, если вы не делали резервные копии до этого, является сделать их после и отложить ⏳ до лучших времен, когда либо технологии дешифрования станут лучше и быстрее, либо группировка будет ликвидирована и вся ее инфраструктуру попадет в руки правоохранителей 🔫
ЗЫ. Кстати, на перехваченной инфраструктуре Lockbit были найдены файлы жертв, которые уже выплатили выкуп. То есть несмотря на заверения вымогателей, что они удаляют файлы после оплаты, на самом деле это оказалось не так 🤷🏻♂️
ЗЗЫ. Правоохранители перехватили несколько криптокошельков Lockbit. Интересно, а жертвам выплаченный выкуп вернут или деньги пойдут в пользу государства, как в случае с кошельками Киви и действиями Банка России? Кстати, а в бюджет какого государства уходят средства с этих криптокошельков, если в операции "Кронос" участвовало несколько стран? 👛
Ну и еще один отчет от RecordedFuture. На этот раз более приземленный, про действия группировки 🧑💻 TAG-70 (ну хоть не "Спортлото-80"), которая у других TI-компаний проходит под кодовыми названиями Winter Vivern, TA473 и UAC 0114.
Атрибуция достаточно традиционная - в стиле:
"жертвы кампании указывают, что за атакой стоит Россия и Беларусь"
А RecordedFuture новый отчет выпустило; на этот раз про "линии разлома" 🌋 геополитики, которые будут влиять на 2024-й год, в том числе и в части кибербеза. Эксперты выделяют следующие негативные сценарии:
1️⃣ Конфликт России и Украины и возможное вовлечение в него НАТО
2️⃣ Конфликт Израиля 🇮🇱 и Хамас 🇵🇸 и вовлечение в него Ливана 🇱🇧
3️⃣ Военные действия хуситов 🇾🇪 против коалиции во главе с США и потенциальное развязывание наземной войны на арабском полуострове
4️⃣ Конфликт Китая 🇨🇳 и Тайваня 🇹🇼
5️⃣ Координация Ирана, Китая и России 🇷🇺
6️⃣ Конфликт на корейском полуострове
7️⃣ Вовлечение в ближневосточный конфликт Ирака 🇮🇶 и Сирии 🇸🇾
8️⃣ Конфликт в Южнокитайском море между Китаем и Филиппинами 🇵🇭
9️⃣ Эскалация конфликта вокруг штата Джамму и Кашмир, права на который оспаривают Индия 🇮🇳, Пакистан 🇵🇰 и Китай.
По каждому конфликту дан прогноз, краткий анализ по методике DIME и индикаторы, свидетельствующие о том, что описанный сценарий начинает развиваться по худшему варианту.
Сижу, читаю проект 🤓 стандарта ФСТЭК по security by design. Прилетает сообщение: "Леха, Минцифры тебя хантит и публично про это написало на 200 тысяч человек!" Я, немного фрустрированный, захожу по ссылке и вижу слово "вакансия" и чувака в шляпе 🤠 Вчитываюсь... Министерство ищет директора департамента по кибербезу. Читаю задачи и правда я ☺️
Создание новой регуляторики, евангелизация кибербеза, борьба с мировыми вызовами, возможность вызывать на ковер всех, кто тебя обкладывал нефритовыми жезлами и отказывал в выступлениях на мероприятии и т.п. Думаю, ну наконец-то, признали, оценили, но почему-то постеснялись пригласить напрямую 🥴
Потом дошел до раздела основные требования.
1️⃣ Высшее образование? Ну вроде есть, но не по ИБ и на 512 часов не учился. Минус.
2️⃣ Глубокое знание индустрии? Да, но американской, европейской, немного ближневосточной. А в учебном заведении и вовсе был спецкурс по техническим разведкам, но иностранным.
3️⃣ Опыт реализации крупных федеральных проектов в сфере ИБ? Помню, участвовал в проектировании SOC в компании из Forbes 100 и в аудите SOCов компаний на 200 и 300 тысяч человек. Но это все частные компании, не федеральные.
4️⃣ Понимание регулирования ФСБ? Увы, не понимаю.
5️⃣ Знание 44/223-ФЗ? Я их вообще путаю, что и про что 🤠 Опять минус!
А тут на фоне вдруг запел Вадим Егоров свою "Фотографию наркома", а там есть строки:
"резидент пяти разведок
и агент шести держав"
Вообще продвигаемая история с гибридными SOCами, как по мне, так выглядит как способ уйти от решения проблемы и отказ от ответственности SOCа на аутсорсинге. А как еще рассматривать идею, что помимо внешнего центра мониторинга надо строить 🏗 еще и свой собственный? Я понимаю, когда речь идет о иерархической схеме SOCов в рамках одной компании или группы компаний. Тогда у нас есть головной центр и некоторое количество в разных локациях, в разных часовых поясах.
Но когда вы покупаете услугу, которая не хочет нести ответственность за результат 🔓, и ее продавцы говорят, что для лучшего покрытия и большего контроля вам нужно создать еще и собственный центр, который и будет знать ваши приоритеты, ваши ключевые системы, вашу приоритизацию инцидентов, а мы вам только "температуру по больнице" будет говорить, то это такое себе... А зачем мне тогда внешний SOC? Чтобы получать только TI? Ну так я ее могу купить как отдельный сервис и подключить непосредственно к своему SOCу.
Дошли наконец-то руки дочитать список новых санкций от США 🇺🇸. В этот раз они существенно расширили список ИБ-компаний. Все они попали в список по разным основаниям - кто-то из-из того, что относится к технологическому сектору, кто-то из-за активной работы с оборонкой. В любом случае это следующие имена:
1️⃣ Код безопасности
2️⃣ Редсофт (выпускают сертифицированную по требованиям ФСТЭК операционную систему)
3️⃣ Т1 Холдинг
4️⃣ РусБИТех
5️⃣ Валидата
6️⃣ КриптоПро
7️⃣ Фактор-ТС
8️⃣ Системы практической безопасности.
В этот раз американцы не сильно запаривались с поиском оснований и просто стали включать в санкционный список ⛔️ просто потому, что компания "having operated in the technology sector of the Russian Federation economy", то есть просто работает в технологическом секторе, что открывает для Байдена огромное поле для все новых и новых пакетов санкций (в технологическом секторе у нас много кто работает) ⛔️
ЗЫ. 5 игроков рынка криптографической 🗝 защиты информации, в том числе выпускающие и "железные" СКЗИ. И осталась у нас вроде только одна криптографическая компания, лицензиат ФСБ, которая не под санкциями 👏 Ну или две.
🆕 Интересный пример реакции компании на инцидент ИБ. Компания Change Healthcare (США) столкнулась 21-го февраля с инцидентом 🔓 Первоначально компания не признавала это проблемой ИБ и просто ссылалась на недоступность отдельных приложений, а потом и сетевых коммуникаций. Спустя 12 часов компания признала, что это инцидент ИБ 🤕 Ожидалось, что нарушение работы сервисов продлится не менее одного дня. Но прошло уже 4 дня, а компания все еще не восстановилась.
С 21-го по 23-е февраля компания отделывалась на специально созданной страничке повторяющейся фразой, что они знают про инцидент, что во избежании проблем у клиентов и партнеров они отключили себя от внешнего мира, что это внутренняя проблема компании и на другие активы группы UnitedHealth Group 🏥 этот инцидент не распространился и что инцидент продлится не менее суток.
С 23-го риторика поменялась. К стандартной фразе добавились слова о том, что компания работает 🛠 над разными подходами к восстановлению, что они не готовы брать на себя ответственность за озвучивание сроков восстановления, что они будут предпринимать агрессивные (как это?) меры по восстановлению и т.п. 🤕
Логика в публикации апдейтов на сайте не прослеживается. Где-то идентичные сообщения разделяют 3 часа, где-то 12 минут, где-то 9, где-то и вовсе 1 минута. В чем смысл постить одно и тоже случайным образом не очень понятно. Ясности это точно не добавляет 🤦♂️
Согласно источникам, атака началась через Zero Day в ConnectWise и это привело к сбоям в поставке лекарств в аптечные сети по всей Северной Америке 🇺🇸 Рейтинговое агентство Moody's заявило, что эта атака негативно 📉 скажется на кредитном рейтинге UnitedHealth Group, в которую входит Change Healthcare (другое регйтинговое агентство, Fitch, правда, уверяет, что негативного влияния на рейтинг пока никакого нет). Сама пострадавшая компания пока никак не оценивает финансовые потери от данного 4-хдневного (пока) инцидента 🤑
📌 Для информации: Схожая история случилась в России летом прошлого года, когда в Приморье вышла из строя система распространения льготных лекарств. А 4-мя годами ранее, наше Правительство предлагало разрешить продажу лекарств в Интернет только тем аптекам, которые имеют аттестат ФСТЭК на свои информационные системы.
Когда я был маленький... я рос на балете 🩰 Петра Ильича Чайковского "Лебединое озеро", которое очень часто ставили по телевизору 📺. Чуть постарше переключился на авторскую песню и так на ней и застрял. Современную музыку принимаю не сразу; иногда не воспринимаю вообще. С интересом наблюдаю, когда пытаются скрестить ИБ и музыку 👨🏻🎤 - как это было на последних PHDays, где ИТшники показывали свою творческую сторону с неожиданной стороны или как это делают различные зарубежные ИБшники и ИБ-компании, чье творчество я регулярно выкладываю тут 🎤
И вот воскресенье, утром. Сижу, пью свежесваренный кофе ☕️, листаю даркнет... Стучат... Не в дверь, пока только в личку. Творческая группа "Код404" решила, что со мной можно поделиться своим музыкальным творчеством про кибербез и ИТ. Сам дуэт имеет ИБшное образование, один из участников имеет отношение к ММА 👊 (смешанные боевые искусства), снимают кино (сейчас монтируют фильм "Уязвимость"), хотят пропагандировать ИТ и выбивать для них льготы... Разносторонние личности, почти как я 🤠
Мне прислали 2 трека - "Кибербез" и "Дедлайн", один из которых я и решил выложить в канале. Давать оценку не буду - вкусы у всех разные, а навязывать свой не хочу. Как и рекламировать ребят тоже - у них в канале, созданном в декабре 2023-го года, и так больше 50 тысяч фанатов. Так что это не мне их продвигать надо, а скорее мне к ним напрашиваться 🫴 Найти в телеге их не сложно, как и на музыкальных площадках страны.
Разгребая книжные завалы, наткнулся на этот неудачный пример моего выхода на англоязычный книжный рынок. Было это в начале 2000-х годов. В моем активе уже была книжка про обнаружение атак 🔍 (вроде еще до второго издания) и издательство предложило мне доработать ее для американского читателя. Работа была сделана - я написал новую редакцию книги и издательство взялось за ее перевод ✍️
И вот тут и произошел сбой. Переводчик оказался далек от темы (это видно уже по заголовку, где используется protection вместо security) и родил нечто, за что мне до сих пор стыдно 🤠 Договор не предусматривал моего вмешательства в процесс и книга ушла вот в таком варианте. Продажи были единичными (по словам издательства), гонорар я не получил, отзывы на Amazon нелицеприятными. Завоевания американского рынка не произошло, а я извлек соответствующие уроки 🤡
Сначала у вас в коде open source появляется мааааленький такой захардкоженный бэкдорчик 🚪 Потом этот код копируется в корпоративный продукт по управлению ИБ и находится там годы (!). Потом через бэкдор взламывают компании по миру…
Угадайте название продукта. Да, это Ivanti Endpoint Manager
ЗЫ. Это все к разговору о важности процесса SecDevOps 👨💻 и необходимости проверять заимствованный код. Особенно важно это для ИБ-компании 👀
А вот следующий вопрос в опросе звучал так: как вы связываете ваши собственные детекты (если они не из коробки и уже не увязаны с матрицей MITRE ATT&CK) с соответствующим фреймворком? 78% компаний анализируют каждый детект в отношении каждой техники MITRE ATT&CK вручную!!!
Не хватает автоматизации 🎮 в этом вопросе, особенно у нас в стране. Допускаю, что и detection engineering (хрен знает, как этот термин перевести на русский) в компаниях не выстроен, то есть невозможно нормально понять:
🔤 Все ли источники телеметрии мы охватываем?
🔤 Как мы отслеживаем новые источники?
🔤 Как мы оцениваем качество их покрытия?
🔤 Как мы оцениваем качество детекта?
🔤 Как у нас выстроен процесс тестирования детектов и т.п.?
ЗЫ. А у вас есть ответы на эти вопросы?
Тут в SOCовском чатике зашел разговор о фреймворках и о том, что лучше kill chain от Lockheed Martin или MITRE ATT&CK. А тут очередную статистику подогнали 📈 Решили тут выяснить, что лучше использовать для оценки уровня покрытия детектами 👀 своей инфраструктуры.
Оказалось, что для этого используется оба фреймворка. Как MITRE ATT&CK 🤕 для этого использовать понять не сложно. У меня есть модель угроз, которая маппится в техники нарушителей и дальше мы смотрим, насколько наши средства обнаружения их детектят (примерно вот так). А вот как Kill Chain 🔪 для этого использовать, если она не очень конкретна и не детализирована?
История с задержанием хакеров 🤒 из группировки SugarLocker интересна тем, что хакеры маскировались 🎭 под легальную ИТ-компанию, которая занималась SEO-оптимизацией и накруткой, разработкой сайтов и мобильных приложений, криптообменниками 💸и т.п. Сайт продолжает существовать, на нем есть отзывы благодарных клиентов... Все чин-почином
Читать полностью…Помните отчет TAdviser по SIEM? По собранной в нем статистике 📈 контент обнаружения из коробки используется в 32% случаев. 9% использует внешние сервисы по написанию контента обнаружения. Написание ✍️ собственных правил и доработка существующих присутствует в 59% случаев. А вот у американцев ситуация иная. Почти 60% используют контент от SIEM-вендора (в два раза больше). Почти 40% опираются на внешних провайдеров.
ЗЫ. Хотя впрямую сравнивать эти отчеты сложно - у TAdviser выбор давался единственный, а у американцев множественный (поэтому в сумме больше 100% получается) 🌡
Уже меньше чем через неделю выступаю на Digital Kyrgyzstan в Бишкеке с 4 (или 5) докладами:
1️⃣Способы проникновения в банковскую инфраструктуру и методы противодействия им
2️⃣ SOC на минималках. Основные защитные меры, закрывающие большинство киберугроз
3️⃣ Как заниматься кибербезом, чтобы это было понятно руководству? (в рамках закрытой программы)
4️⃣ Современный SOC - чего не хватает, чтобы ловить хакеров (в рамках закрытой программы)
Так что, если вдруг, вы будете в этот день свободны в Бишкеке, то Кош келиңиздер!
Интересный проект (спасибо подписчику за ссылку) - https://digital-defense.io, в котором любой желающий может ответив на ряд вопросов "да" или "нет", а также исключив ряд вопросов из итоговой оценки исходя из собственной паранойи, получить уровень своего персонального кибербеза 🛡
Я для себя эту радарную диаграмму построил и не могу сказать, что я прям идеален с точки зрения ИБ. Но надо сказать, что уровень паранойи у автор(а|ки) чеклиста достаточно высокий 🔝. Ну а как еще трактовать вопросы про использование анонимных способов проведения платежей, защиту собственной ДНК 🧬, ношение одежды, скрывающей вас от распознавания лиц, использование децентрализованных платформ для коммуникаций, а также включение таймера автоудаления сообщений в мессенджерах?.. 🔄
У правоохранителей, перехвативших часть инфраструктуры Lockbit, неплохое чувство юмора 😈, раз они так тонко дефейснули сайт, на котором выкладывались имена жертв!
Читать полностью…Если не знать, что это рассылал Lockbit по своим афилированным структурам, то выглядит прям как пример, как надо реагировать на инциденты ИБ. И ведь не скрывают факта своего взлома 😱
Читать полностью…