Пост Лукацкого

16 ноября 2022 16:10

❗️Якутская лаборатория судебной экспертизы (входит в структуру Минюста РФ) заказала софт для взлома и изучения содержимого смартфонов, планируемая цена закупки превышает 730 тыс. рублей. Помимо нашумевшего защищённого мессенджера ViPole, впервые в списках интересующих облачных сервисов для «извлечения и импорта данных» обнаружилось эротическое приложение Onlyfans, заметил O!News.

Экспертизы средств связи подобные учреждения Минюста проводят в основном в рамках уголовных дел – по запросам следователей и спецслужб. Чаще всего используется программный комплекс под названием «Мобильный криминалист» от российской фирмы Oxygen Software, которая недавно провела ребрендинг и стала «МКО Системы». По-видимому, компания включила в портфель услуг Onlyfans.

Сервис платных интим-видео Onlyfans до этого не встречался в программных требованиях российских судебных экспертов, но появление в закупке говорит о том, что интимная отрасль окажется под более значительным контролем силовиков. В 2020–2021 годах в Красноярске, Череповце и Петербурге проводились рейды на вебкам-студии, на организаторов заводили уголовные дела о незаконном изготовлении и обороте порнографических материалов.

Подписаться на O!News

Пост Лукацкого

16 ноября 2022 13:02

На прошедшей на днях в США CyberwarCon активно рассказывали о различных атаках и кампаниях (почему-то часто упоминалась Россия), представляли результаты исследований и т.п. Среди прочих, эксперты признанной экстремистской и запрещенной в России META представили свое видение цепочки атак в онлайн-пространстве (online operations kill chain), которая состоит из 10 этапов:
📌 Покупка активов для проведения дальнейших атак (хостинг, e-mail, IP, аккаунты и т.п.)
📌 Маскировка купленных активов под легальные
📌 Сбор информации о среде, в которой будет проводиться операция
📌 Координация и планирование работы купленных активов
📌 Тестирование/проверка защиты
📌 Обход обнаружения
📌 Массовые, нецелевые атаки ("по площадям")
📌 Выбор целевой жертвы
📌 Компрометации активов
📌 Скрытие активности.

#nosocforum

Пост Лукацкого

16 ноября 2022 08:10

Раз уж я начал вчера про оценку защищенности, то, как нельзя кстати, в журнале "ИТ-Менеджер" вышла моя обзорная статья про разные варианты оценки защищенности, в которой я "пробежался" по сканированию уязвимостей, DAST, BAS, пентестам, Red Team и Bug Bounty. То, что я не осветил в статье, так это интеграцию всех этих решений в SOC, так как они часто служат инструментами для обогащения и корреляции событий ИБ, которые поступают от средств мониторинга. #nosocforum

Пост Лукацкого

15 ноября 2022 21:40

Пока экспертное сообщество обсуждает новое уголовное дело и задается вопросом, не посадят ли теперь за использование ALT Linux, в состав которого также входит SQLmap (интересно, а в другие сертифицированные дистрибутивы Линукса?), я завершу этот насыщенный день моей статьей про 250-й Указ Президента, которую опубликовал сегодня РБК (требуется подписка Pro)

Пост Лукацкого

15 ноября 2022 19:12

Ну и вдогонку к предыдущей заметке, но уже про Россию. ФСТЭК готовит методику оценки состояния защиты информации в организации. Правда, ФСТЭК смотрит на оценку защищенности чуть более высокоуровнево, чем Gartner. Скорее они дополняют друг друга - ФСТЭК хочет оценивать общее состояние ИБ в организации, а Gartner говорит о поисках конкретных слабых мест, которые приводят к компрометации.

Все у ФСТЭК хорошо, но я бы поменял классификацию уровней зрелости, так как сейчас классификация "низкий - базовый - базовый повышенный - высокий" сносит мозг напрочь. Лучше либо взять за основу уровни зрелости CMMI либо убрать "базовые" уровни (чем базовый отличается от низкого, а базовый повышенный от базового и почему базовый повышенный нельзя назвать средним?), заменив их на "средний". Но пятиуровневая шкала лучше.

ФСБ при этом опубликовала проект приказа "Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими" (в развитие 250-го Указа).

#nosoсforum

Пост Лукацкого

15 ноября 2022 16:07

Так сложилось, что сегодня началось еще одно мероприятие по SecOps, но уже в США. И если у нас мероприятия начинаются с выступлений регуляторов, то у них с выступлений Gartner :-)

Gartner делает прогноз по развитию SecOps-инструментов, считая, что SOAR, IRP и TIP будут сливаться в единое решение TDIR, которое, в свою очередь, будет сливаться с SIEMами. Да, отдельные решения будут еще существовать, но унификация решения - это мейнстрим по версии Gartner.

#nosocforum

Пост Лукацкого

15 ноября 2022 11:13

TLP:CLEAR

title: Конференции SANS для специалистов SOC
author: Alexey Lukatsky (Positive Technologies)
description: Очень неплохие видео за несколько лет с конференций Blue Team Summit, Threat Hunting Summit, Incident Response Summit, Cyber Threat Intelligence Summit, DFIR Summit
tags:
- conference
references:
- https://www.youtube.com/c/sansinstitute/playlists?view=50&sort=dd&shelf_id=2
falsepositives:
- no

#nosocforum

Пост Лукацкого

15 ноября 2022 05:40

Вы знаете какова цена зерен кофе в стоимости чашки кофе? Всего 4%! А целых 60% от стоимости чашки кофе уходит на аренду помещения и оплату труду работников кофейни. Аналогичная история и со стоимостью коммерческих SOCов и структурой их затрат. Порассуждал об этом в блоге. #nosocforum

Пост Лукацкого

14 ноября 2022 20:22

TLP:CLEAR

Что же делать, чтобы решить проблему перегрузки аналитиков SOC? Согласно результатам опроса на первое место среди менеджеров выходит использование продвинутой аналитики, лучшая поддержка от боссов и правильная приоритизация инцидентов и задач. У работников SOC тройка другая - психологическая помощь и программы по управлению стрессом (не знаю, никогда не пользовался, но допускаю, что полезная штука), правильная приоритизация инцидентов и задач и автоматизация workflow.

Автоматизация, продвинутая аналитика, машинное обучение... Это те меры, которые также могут помочь снизить нагрузку на аналитиков и это то, что сейчас является трендом при разработке SIEM/SAP, о чем я напишу в блоге в рамках #nosocforum

Пост Лукацкого

14 ноября 2022 17:40

TLP:CLEAR

Согласно четвертому ежегодному Devo SOC Performance Report 71% работников SOC сказали, что вероятно покинут свою работу. К основным причинам такого решения относятся:
📌 перегрузка
📌 нехватка инструментов интеграции
📌 усталость от числа сигналов тревоги.

Относительно первого пункта стоит отметить, что 78% аналитиков перерабатывают в среднем от 1 до 9 часов в неделю. А четверть пашет сверхурочно, добавляя к своему обычному графику по 10-30+ часов в неделю (по 1,5-6 часов в день!!!) дополнительно.

#nosocforum

Пост Лукацкого

14 ноября 2022 10:12

В отношении инцидентов ИБ необходимо задаваться не вопросом “ЕСЛИ”, а “КОГДА”. Сегодня с этой проблемой сталкиваются все — от индивидуальных предпринимателей до монополистов, от коммерческих компаний до госорганов. Поэтому умение реагировать на инциденты и нейтрализовывать причины, приводящие к ним, становится важнейшим умением любого предприятия. Но допустим. Допустим, вы знаете как реагировать на инциденты — у вас есть план, у вас разработаны плейбуки, у вас отрисованы все workflow, у вас куплено лучшее ПО класса IRP и SOAR или написаны свои скрипты, реализующие весь нужный функционал, ваш персонал прошел необходимые киберучения. Но несмотря на это инцидент все-таки случился и о нем стало известно за пределами компании. Как вы будете себя вести?

#nosocforum

Пост Лукацкого

14 ноября 2022 05:40

TLP:CLEAR

SANS обновил свой постер по форензике на платформе Windows

#nosocforum

Пост Лукацкого

13 ноября 2022 16:57

@danielmakelley опубликовал в Твиттере список из 30 поисковиков по различным аспектам ИБ:
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayHatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.

Пост Лукацкого

13 ноября 2022 10:22

Это тоже поздравительная песня 🎼 на день шифровальщика, но уже для более молодого поколения 😊 Мне она не зашла, так как звучит как-то натянуто...

Пост Лукацкого

12 ноября 2022 20:50

На мероприятиях по ИБ я часто рассказываю про тайпсквоттинг (ошибка при наборе домена, чем пользуются злоумышленники, создавая схожие по написанию домены). Часто добавляю, что пользователи смартфонов находятся под большей угрозой, так как на мобильном устройстве клавиши уже и при широких подушечках пальцев часто нажимаешь на соседние виртуальные клавиши. А вот и яркий пример этого факта ;-)

ЗЫ. Юли меня тоже поймут ;-)

Пост Лукацкого

16 ноября 2022 14:32

Руководство по принятию решений в части борьбы с шифровальщиками. Делится на три части - подготовка к борьбе с ransomware, процесс реагирования на активность шифровальщика и восстановление от последствий.

Интересно, что руководство не говорит вам, не платите вымогателям. Оно подводит вас к правильному решению в зависимости от того, как вы ответили на предыдущие вопросы. И это будет решение взвешенное с разных точек зрения и с учетом интересов бизнеса, а не вот это вот «не платить ни при каких условиях и пусть бизнес в следующий раз думает, когда урезает бюджет на ИБ».

#nosocforum

Пост Лукацкого

16 ноября 2022 11:13

Если вдруг вы хотите оценить свою готовность к реагированию на инциденту, то есть неплохой инструмент для этого, разработанный по заказу шотландского правительства на базе двух стандартов по управлению инцидентами - ISO 27035 (две части) и NIST SP800-61.

Этот опросник / калькулятор, конечно, не заменит вам плана реагирования на инциденты, но может подсветить ваши слабые места в этом процессе.

#nosocforum

Пост Лукацкого

16 ноября 2022 05:40

Один из докладов, который я мог бы сделать на SOC Forum был посвящен анализу того, что сегодня делают российские вендора в области SIEM (или SAP, если следовать терминологии Forrester). Но не склалось 😭 Поэтому попробовал описать это неродившееся выступление в виде заметки в блоге. #nosocforum

Пост Лукацкого

15 ноября 2022 20:22

Пока ООН празднует рождение восьмимиллиардного жителя, а специалисты по цифровой трансформации обсуждают очередное заявление Касперской о необходимости отказаться от цифровизации промышленности и отключать все IoT-устройства (из-за них число атак растет), у нас новая уголовка. На этот раз за разработку и распространение средства для пентестов, внутри которого использовался SQLmap, который, судя по статье, запрещен в России (?). Материалов дела не видел, судить сложно, но такие вот дела снижают привлекательность участия в программах Bug Bounty, так как непонятно, когда тебя возьмут за фаберже ;-(

Пост Лукацкого

15 ноября 2022 17:40

Gartner также вводит новую аббревиатуру "новое" направление в ИБ - exposure management. Это нечто, позволяющее оценивать незащищенность компании с разных точек зрения, и включает в себя
📌 сканеры безопасности,
📌 симуляторы атак BAS,
📌 средства по анализу площади атаки (Attack Surface Management),
📌 средства по анализу компании в Даркнете и в Интернете (открытые извне порты, сайты-клоны, утекшие пароли и т.п.),
📌 платформы для проведения киберучений,
📌 инструментарий для пентестов/Red Team и т.п.

Думаю, что идея тут не в выделении очередной "магической" аббревиатуры, а в том, что пора на свою незащищенность смотреть с разных точек зрения, но в рамках унифицированного процесса, в идеале объединив разрозненные решения с помощью API в рамках некого оркестратора.

#nosocforum

Пост Лукацкого

15 ноября 2022 13:15

Обновленная карта по пентесту AD. Можно ли считать пентесты и киберучения частью SOCа? А все зависит от сервисной стратегии и каталога услуг. Мне доводилось встречать оба варианта - в одном случае пентесты были просто частью предоставляемых SOCом сервисов, в другом - с помощью пентестов/Red Team оценивалась эффективность SOC и его способность выявлять и реагировать на атаки хакеров. #nosocforum

Пост Лукацкого

15 ноября 2022 08:10

Тут по телеку опять показывали "Хоттабыч" и там есть сцена, которая, как мне кажется, уже происходит или скоро будет происходить и у нас 😈 - легализация взломов ресурсов противников 🧑‍💻 А когда закончится СВО (должна же она когда-нибудь закончиться), тогда все эти хакеры обратят внимание куда?.. Да, SOCам стоит готовиться к этому уже сейчас.

#nosocforum

Пост Лукацкого

14 ноября 2022 21:46

TLP:CLEAR

title: Конференция компании Devo для аналитиков SOC
author: Alexey Lukatsky (Positive Technologies)
description: Прошедшая недавно конференции была посвящена не технологиям, а рассказу о том, как не выгорать специалистам SOC, как поддерживать свое здоровье и т.п. Презентаций не было - круглые столы и онлайн-дискуссии.
tags:
- conference
references:
- https://www.socanalystday.com
falsepositives:
- no

#nosocforum

Пост Лукацкого

14 ноября 2022 18:34

В феврале 2011-го года на Мюнхенской конференции по безопасности был представлен доклад "К выработке правил поведения в киберконфликтах: применимость Женевских и Гаагских конвенций в современном информационном пространстве", подготовленный большой группой экспертов со стороны России и США, ведущими из которых были Карл Фредерик Раушер и Андрей Коротков.

Среди прочего была дана рекомендация о применении в киберпространстве женевской концепции опознавательной эмблематики. "Женевские и Гаагские конвенции предписывают, что защищенные объекты, защищенный персонал и защищенные транспортные средства должны быть маркированы ясно видимым и отличительным способом. Далее Конвенции устанавливают особые стандарты непосредственно для отличительной эмблемы (то есть Красный Крест, Красный Полумесяц и др.), инструкцию для ее применения и последствия при ее неправильном применении. Однако в киберпространстве не существует отличительных, ясно видимых указателей для объектов, персонала или соответствующего имущества. Без таких указателей гуманитарные интересы, предполагаемые для защиты положениями Конвенций, находятся в опасности. Эта рекомендация предлагает разработку системы аналогичных маркеров в киберпространстве, чтобы обозначить защищенные объекты, персонал и прочие активы".

И вот, спустя 11 лет, 3 ноября 2022-го года Красный Крест сообщил, что разработал цифровую эмблему для Красного Креста и Красного Полумесяца для размещения их на web-сайтах и иных цифровых сервисах для защиты их атак хакеров. По международному праву, атака на объекты Красного креста считается военным преступлением. Но учитывая, что атрибуция и поимка хакеров в реальном пространстве - занятие не очень успешное, то, если честно, мне эта идея кажется немного утопичной. И, как показывает опыт событий с 24 февраля, хакерам (да и не только им) в целом по барабану атаковать гражданские или военные объекты, как и все международное право. Но интересно в этой истории то, что над цифровой эмблемой трудились с 2020-го года эксперты в том числе и из России, а именно из питерского ИТМО.

Пост Лукацкого

14 ноября 2022 14:25

TLP:GREEN

Я многократно за долгие годы в ИБ подступался к задаче систематизации получаемых из разных источников по ИБ данных (новостей, ссылок, документов, идей, наблюдений и т.п.). Папки на жестком диске, база данных в MS Access и Bento, облачный Notion, MS OneNote и т.п. Все было не очень удобно, так как информация нелинейна и имеет кучу связей, который заранее не предусмотришь, а спустя время уже забудешь обновить.

Однако в какой-то момент времени нашел удобный именно для меня способ записи всего, что вижу вокруг или что до меня долетает и что я бы не хотел забыть или потерять. Кто-то называет это "цифровым садом", кто-то Зеттелькастеном, кто-то вторым мозгом 🧠, кто-то никак не называет. В целом это и не так важно - главное, что вся информация консолидируется, имеет перекрестные ссылки и всегда под рукой. Локально (никаких облаков). А неиерархическая структура позволяет видеть неочевидные связи (на картинке фрагмент).

Из используемых мной сценариев могу назвать несколько:
📌 заметки для блога
📌 наброски для статей и книг
📌 база инцидентов ИБ.

Последний сценарий вполне может быть применен и в SOCах, если каждый индикатор, артефакт, APT-группа, инцидент или уязвимость будут рассматриваться как узлы графа. Тогда они будут использованы как перекрестные ссылки и смогут дать интересные, ранее незамеченные взаимосвязи.

#nosocforum

Пост Лукацкого

14 ноября 2022 09:11

TLP:CLEAR

Среднее время поиска персонала и закрытия вакансий в SOC в составляет 7 месяцев. В одном случае из семи длительность поиска составляет более двух лет. Это, конечно, статистика зарубежная, но не думаю, что у нас она прям сильно отличается.

Как вы думаете, на кого сваливается работа тех, кого еще не наняли? Правильно, на уже нанятых аналитиков 😞 А это требует в свое время особого отношения к ним - нормального соцпакета, возможностей для отдыха и т.п.

#nosocforum

Пост Лукацкого

13 ноября 2022 20:22

Начинаю завтра в своих соцсетях No SOC Forum. Буду писать всякие сочные заметки разного формата - от коротких, как индикатор компрометации, в Телеге, до развернутых, как отчет Threat Intelligence, в блоге. Все будет сопровождаться тегом #nosocforum Продлится всю неделю

Пост Лукацкого

13 ноября 2022 13:20

МИД РФ включил в персональный список санкций Дмитрия Альперовича, бывшего главу CrowdStrike, и Джен Эстерли, главу американского агентства по ИБ CISA

Пост Лукацкого

13 ноября 2022 07:02

Поздравительная песня 🎶 на день шифровальщика (этот тот, кто занимается криптографической защитой информации, а не тот, кто вымогает деньги за расшифрование данных) на знакомую с детства (моего, как минимум) мелодию. Официально же это день защиты гостайны в Вооруженных силах РФ, который раньше считался днем военного шифровальщика! С праздником всех причастных! Сообщите по секрету всем, кого это касается 📞

Пост Лукацкого

12 ноября 2022 17:40

Как человек, который и начал всю эту шумиху по поводу "первой уголовки за VPN", я продолжаю следить за происходящим и сейчас можно подвести некоторые промежуточные итоги:
📌 я публикую с подачи подписчика Андрея Лаптева ссылку на пресс-релиз томского суда о приговоре за использование VPN (хотя про VPN в пресс-релизе ни слова, у меня это была единственная версия, так как ПО, которое скрывает идентификацию пользователя и не дает следить за его активностью, - это и есть функция большинства VPN)
📌 из-за поднятой шумихи томский суд публикует материалы дела, из которых становится понятно, что речь идет не о VPN, а о защищенном мессенджере VIPole (мало чем по сути отличается от функциональности VPN только применительно к обмену сообщениями)
📌 прокуратура заявляет, что в материалах и пресс-релизе суда ошибка и осудили виновного именно за применение вредоносной программы, но почему в материалах ее назвали "мессенджером VIPole" прокуратура не знает, хотя название у ВПО похожее
📌 эксперты считают, что речь идет о сделке со следствием по делу о распространении наркотиков (у наркоторговцев VIPole пользовался популярностью, а 273-ю применили потому что не было иных доказательства, а надо было дать срок хоть за что-то, чтобы не портить статистику)
📌 другие эксперты считают, что речь идет о наказании за использование пиратской версии VIPole, то есть о нарушении авторских прав и следователи применили 273-ю в рамках "палочной системы"
📌 кто-то считает, что это такая многоходовая реклама мессенджера "Сибрус", у которого с VIPole одни и те же разработчики (на сайте Сибрус 8-го ноября протух сертификат SSL), хотя если почитать форумы, где бывшие сотрудники Сибруса жалуются на руководство за невыплату зарплаты, то это скорее антиреклама
📌 кто-то считает, что таким образом хотели унизить/обвинить/замарать Агентство стратегических инициатив (АСИ), Институт развития Интернета (ИРИ), Администрацию Президента, Ростелеком и др. которые в рамках импортзамещения выдали грантов на 180 миллионов рублей на разработку ПО, которое позже было названо судьей вредоносным (то есть тех, кто давал денег тоже можно привлечь по 273-й статье за разработку ВПО?).

Итого, 3 более-менее реалистичных версии:
1️⃣ Суд не ошибся и действительно судят за использование функции защищенной связи в мессенджере (а могут и за такое использование в любой иной программе). Тогда это прецедент и нехорошо.
2️⃣ Суд не ошибся, но VIPole и 273-ю статью УК применили просто потому, что ничего другого не нашли, а надо было посадить человека, который был виновен в чем-то другом. То есть судья просто написала то, что ей сказали те, кто вел следствие, а обвиняемый особо и не сопротивлялся.
3️⃣ В материалы суда закралась ошибка, но признать это они не могут (хотя Рунет и СМИ взбаламутили, конечно).