Если раньше еженедельную статистику по блокируемым угрозам ИБ публиковал только НКЦКИ, то сейчас это еще и Минцифры будет делать через подведомственный НИИ Интеграл. Так, глядь, и Банк России через ФинЦЕРТ начнет публично рассказывать о своей деятельности на еженедельной, а не ежегодной основе.
Читать полностью…В пятницу европейцы ввели санкции против 🟥, о чем написали чуть ли не все ИБ-каналы и бизнес-СМИ. Но мало кто написал, что под раздачу попала еще несколько ИБ-компаний. Из тех, что на слуху, - НТЦ Вулкан и НПО Эшелон. Окенит, Поиск-ИТ, НИИ Вектор, Итеранет тоже занимаются отдельными аспектами ИБ и тоже имеют лицензии ФСБ, а это, похоже, было основным критерием введения санкций.
ЗЫ. Официально заявляю, что все, что происходило в стране в пятницу вечером и в субботу, никакого отношения к попыткам сместить акценты с санкций на новую повестку не имеет. Батискаф тоже никак не связан с переключением внимания с санкций.
Больше суток официальный Твиттер-аккаунт ЛДПР взломан и находится в руках неизвестных, постящих всякую антироссийскую шнягу. Интересно почему? Админ отдыхает? Партия не в курсе? Твиттер не реагирует на обращения? А может это нейросеть «Жириновский» шалит?
Читать полностью…Интересный проект, сочетающий в себе виртуальный и физический мир. Pave Bike - первый велосипед, который защищен блокчейном. Именно защищен, то есть с помощью токена NFT, который получает каждый ездок, велосипед блокируется и разблокируется, предотвращая тем самым кражу. А сам ключ доступа в виде NFT-токена хранится в приложении Pave+ на смартфоне (есть и смарткарта на случай утери телефона или отсутствия Интернета).
До этого существовали псевдо-e-bike. Например, Colnago выпускал велики с RFID-метками, в которых был "зашит" также NFT, который позволял убедиться во владении транспортным средством в случае остановки полицией.
Хочется обратить внимание, что во время контртеррористической операции, в соответствии с законом, временно может отменяться тайна переписки и государство может контролировать телефонные переговоры, телекоммуникационные сети и другие средства связи 📡. Также услуги связи вообще могут быть ограничены частично или полностью ⛔️.
Не пора ли учесть этот сценарий в модели угроз? Отключение обновления средств защиты - вполне себе вероятная история. А вот если из-за этого сценария организация не сможет оказывать сервис в течении доительного времени, то это уже может рассматриваться как недопустимое событие; для бизнеса, не для ИБ 🤨
Главное, чтобы аббревиатуру XDR в стране не запретили. А то она в кириллической раскладке как ЧВК звучит…
Читать полностью…Какой основной подход используется в американских SOCах при принятии решения о том, какие данные будут собираться в SOCе? У половины решение в лоб - что SIEM собирать умеет, то и анализируем, не задумываясь, нужно оно или нет 🤔 У второй "половины" чуть более здравый подход - ориентируясь на риски, чтобы кто не вкладывал в это понятие. Приоритизацию по ключевым/целевым системам и сценариям используют гораздо реже 😫
Читать полностью…Почти 70% SOCов не измеряют такой показатель, как "cost per record" в используемых SIEM, тем самым не оценивая и не оптимизируя хранилище логов в своих центрах мониторинга.
Чтобы делать это, необходимо ответить себе на ряд вопросов:
1️⃣ Какие источники телеметрии мне нужны?
2️⃣ Какие поля из этих источников мне нужны?
3️⃣ Как долго мне может понадобиться информация из этих источников?
4️⃣ Что я потеряю, если у меня не будет этих источников?
И чтобы не зависнуть на этапе выбора нужных логов, необходимо отталкиваться не от тех источников, которые у нас есть (а их может быть реально до хрена), а от тех сценариев мониторинга (use case), которые выбраны для организации актуальными. А если поднять выше по пищевой цепочке иерархии потребностей и дойти до бизнеса, то мы отталкиваться будем и вовсе от недопустимых событий. Тогда станет понятно, какие use cases могут привести к НС и какие логи нам будут нужны, чтобы это детектить.
Хорошая иллюстрация. Ничего не скажешь, умеют иностранцы неплохо иллюстрировать различные концепции и модели. На этой мы видим различные риски (недопустимые события) для компании, которые имеют совершенно различную природу и способы их реализации. Немало из этого и через ИТ/ОТ может быть реализовано (я бы сказал, большинство). Это универсальная модель, которая, как часто бывает с универсальными моделями, может либо не учитывать что-то специфическое для вас (например, санкции тут не упомянуты), а что-то для вас, наоборот, неактуально.
Но и способы борьбы с этими рисками тоже различные - далеко не всегда ИБ является тем столпом, на котором все держится. Не нужно строить иллюзий. Да, ИБ важна, но также важны и другие функции - юридическая, ИТ, корпоративные финансы, PR, маркетинг и т.п. Поэтому и борьба с недопустимыми событиями должна вестись сообща. И, обратите внимание, что на картинке показаны именно функции, а не подразделения.
ЗЫ. Удалил по ошибке этот пост - возвращаю 😞
Еще в 3 утра я был в Казахстане и отходил от проведенного Positive Security Day и Positive CISO Club, а уже днем выступал в Москве на Positive Customer Day про различные стратегии борьбы с плохими парнями - от мониторинга и реагирования до устранения хакеров, от удорожания атаки до ее удлинения и усложнения.
Читать полностью…По версии ENISA именно так выглядит десятка угроз к 2030-му году. Как по мне, так полная шняга. Сами-то угрозы актуальны, но сейчас, а не через 7 лет. А вот квантовые компьютеры, биотехнологии и т.п. не упомянуты вовсе 🤔
Читать полностью…Microsoft выявила новую российскую хакерскую группировку «Кадетская метель» (Cadet Blizzard), которую связала с ГРУ. При этом MS считает, что это еще одна группа, отличная от других, связываемых с ГРУ.
А Symantec разродилась отчетом про другую хакерскую группировку из России (Shuckworm aka Gamaredon), но действующей уже под крышей ФСБ.
ЗЫ. Мне кажется, что не за горами выявление хакеров, за которыми стоит ФСТЭК, ЦБ и Минцифры. А то если сложить всех выявленных хакеров ФСБ и ГРУ, то их уже больше штатной численности этих спецслужб.
Изменений в 250-й Указ несколько:
1⃣ Все попадающие под 250-й Указ организации должны информировать ФСБ об инцидентах и атаках.
Важно: субъекты КИИ должны информировать НКЦКИ по ФЗ-187, финорганизации должны информировать Банк России по требования ЦБ, операторы ПДн должны информировать ФСБ и РКН об инцидентах с ПДн по ФЗ-152. Теперь еще и попавшие под 250-й должны информировать ФСБ (не НКЦКИ).
2⃣ Порядок информирования должен быть разработан ФСБ. Возможно в этом порядке будет написано про НКЦКИ и все будет точно также, как и по ФЗ-187, но что если нет? Ждем порядка, ради которого, похоже, изменение Указа и запускалось.
3⃣ Должен быть определен порядок и технические условия установки и эксплуатации в информационных ресурсах попавших под 250-й Указ средств, предназначенных для поиска признаков компьютерных атак. ФСБ должна организовать установку таких средств в информационных ресурсах органов (организаций).
Важно: аналогичные требования предусмотрены и для субъектов КИИ (281-й приказ ФСБ), но если требования к средствам ГосСОПКИ есть, то самих средств до сих пор нормальных нет. За чей счет "банкет" тоже не очень понятно - платит ли организация за покупку таких средств или это делается за счет ФСБ?
В тему моей недавней заметки про собственный Telegram-канал еще один совет для того, чтобы стать успешным блогером/инфлюенсером. Если вам лень читать, то просто посмотрите на эти три юмористических картинки и слово "читать" заменить на "писать".
Когда превозносят гений Пушкина или Толстого и говорят "а я вот прочел все собрание сочинений <того-то и того-то>", то мало кто задумывается, что обычно собрание сочинений - это вершина айсберга писателя/поэта. То, что лежит на поверхности. А ведь огромный объем текстов, неудачных, незавершенных, непонравившихся автору, никто не видит. И их гораздо больше, чем того, по чему мы привыкли судить о гениальности того или иного автора.
Поэтому следование классической фразе "ни дня без строчки", транслировавшейся в конкретную и измеримую рекомендацию Стивена Кинга ("не менее двух тысяч знаков в день"), - это то, что позволяет оттачивать свое писательское мастерство и превратиться из начинающего автора в звезду книжных магазинов или хотя бы Интернет-пространства. А без этого никак. Эта, казалось бы, очевидная рекомендация далеко не всем понятна. Почему-то считается, что для того, чтобы научиться играть на пианино или гитаре нужно постоянно тренироваться, а вот писательский талант - он либо есть, либо нет. Писательство - это та же игра на гитаре или спорт. Немного таланта и адский труд, изнурительные тренировки и постоянное оттачивание мастерства.
⚡️Отраслевой центр информационной безопасности цифровой экономики
В целях ускорения массового внедрения доверенных отечественных ИТ-технологий с интегрированными механизмами информационной безопасности, в том числе с применением криптографических алгоритмов и протоколов защиты информации, при создании и развитии цифровых сервисов и информационных систем, а также при внедрении механизмов цифровой идентификации и аутентификации, формировании цифрового пространства доверия и использовании технологий электронной подписи Правительство РФ планирует создать отраслевой центр информационной безопасности цифровой экономики, функции которого будет выполнять «Национальный технологический центр цифровой криптографии».
Основные функции Отраслевого центра ИБ:
🔹осуществление научной деятельности в области ОИБ, в том числе с использованием перспективных механизмов криптографической защиты информации
🔹участие в разработке и реализация государственной политики в области ОИБ Российской Федерации
🔹предоставление услуг в сферах исследования механизмов ОИБ
🔹создание, эксплуатация и поддержание в актуальном состоянии научно-технической, вычислительной, информационно-телекоммуникационной и экспериментальной инфраструктуры
🔹сбор и анализ потребностей госорганов органов в области ОИБ, выявление и анализ факторов и барьеров, препятствующих внедрению отечественных решений по обеспечению информационной безопасности, в том числе с встроенными отечественными криптографическими механизмами
🔹осуществление функций секретариата Технического комитета по стандартизации «Криптографическая защита информации» (ТК 26).
🚀Об ЭП и УЦ
Мне тут позвонили журналисты и попросили прокомментировать грядущие "выборы мэра Москвы, Сергея Семеновича Собянина", которые пройдут в дистанционном электронном формате. Мол, как я оцениваю безопасность этих будущих выборов через ДЭГ? А я не стал ничего комментировать. Раз уж и имя выбранного мэра уже известно, то можно заранее утверждать, что выборы прошли успешно и безопасно 😱
ЗЫ. Но некоторые журналисты, конечно, совсем незамутненные.
ЗЗЫ. А вообще, в эти выходные тема выборов мэра Москвы, конечно, является очень актуальной 😂 Других, более актуальных тем у нас просто нет 🔫
На фоне всего произошедшего вспомнилось вдруг, что несколько лет назад в определенных коридорах власти ходила идея запрета всех частных команд по реагированию на инциденты. Мол, эта деятельность подпадала под оперативно-разыскные мероприятия, а ими могут заниматься только спецслужбы и правоохранительные органы.
К счастью, тогда эту идею так и не реализовали, а то мы могли бы получить историю ЧВК Вагнера, но в виртуальном пространстве. С одной стороны наемничество прямо запрещено законом, а с другой - все закрывают глаза и даже превозносят частные военные компании. А тут команды по расследованию инцидентов ИБ, которые вроде могли бы быть вне закона, но их бы привлекали по мере необходимости, но всегда держали бы на крючке. Незавидная судьба... могла бы быть. Хорошо, что все обошлось.
ЗЫ. На видео фрагмент из сатирического киножурнала "Фитиль" (1992), который показывает, что за 30 лет так ничего и не поменялось 😊
Интересно нейросети видят хакеров будущего и ИБшников будущего. В первом случае искусственный интеллект, роботизация и вот это вот все. Во втором - бронежилеты, каски, плохое зрение... 😰
Читать полностью…Распределение методов удержания персонала в американских SOCах. Патриотизма и «отобрали паспорт» в списке нет 😀
Читать полностью…Согласно свежему исследованию 600+ североамериканских SOCов к трем основным метрикам, используемым ими для оценки своей эффективности, относятся:
1️⃣ Число инцидентов
2️⃣ Время от обнаружения инцидента до устранения причин, приведших к нему
3️⃣ Соотношение инцидентов, в которых использовались известные/неизвестные уязвимости.
Три основных технологии/инструмента, которые оцениваются при приеме на работу кандидатов в американских SOCах, это:
1️⃣ EDR / XDR
2️⃣ SIEM
3️⃣➖4️⃣ Устранение уязвимостей на хостах и мониторинг сетевого трафика.
Причем первые две с большим отрывом от всего остального. Меньше всего интересуют фильтрация трафика, инспекция SSL/TLS и анализ Netflow.
Топ 5 уже внедренных или планируемых к внедрению в американских организациях технологий защиты:
1️⃣ EDR / XDR
2️⃣ Фильтрация e-mail
3️⃣ Регистрация событий на хостах
4️⃣ NGFW
5️⃣ VPN
А пять самых редких технологий:
1️⃣ Full PCAP
2️⃣ Обманные технологии
3️⃣ Сетевой анализ пакетов
4️⃣ Анализ сетевого трафика / аномалий
5️⃣ Машинное обучение / ИИ
Хорошая иллюстрация. Ничего не скажешь, умеют иностранцы неплохо иллюстрировать различные концепции и модели. На этой мы видим различные риски (недопустимые события) для компании, которые имеют совершенно различную природу и способы их реализации. Немало из этого и через ИТ/ОТ может быть реализовано (я бы сказал, большинство). Это универсальная модель, которая, как часто бывает с универсальными моделями, может либо не учитывать что-то специфическое для вас (например, санкции тут не упомянуты), а что-то для вас, наоборот, неактуально.
Но и способы борьбы с этими рисками тоже различные - далеко не всегда ИБ является тем столпом, на котором все держится. Не нужно строить иллюзий. Да, ИБ важна, но также важны и другие функции - юридическая, ИТ, корпоративные финансы, PR, маркетинг и т.п. Поэтому и борьба с недопустимыми событиями должна вестись сообща. И, обратите внимание, что на картинке показаны именно функции, а не подразделения.
Google ищет экспертов по российским спецслужбам, осуществляющим кибератаки на западные демократии. Интересно, а по американским спецслужбам у них есть эксперты?
Читать полностью…Подписчик прислал интересный кейс, который может стать недопустимым в зависимости от того, какие сервисы завязаны на отказавшее телеком-оборудование. Недельное отсутствие телефонной связи и доступа в Интернет, например, для службы 911 или ЦОДа банка вполне себе недопустимо. Но это еще не ИБ, что лишний раз показывает, что концепция недопустимых событий привязана именно к бизнесу и последствиям для него, а причины, приведшие к ним, могут иметь разную природу и ИБ только один из вариантов.
Читать полностью…👨💻 Стань белым хакером: запишись на ИТ-курс по кибербезу
Участники бесплатного онлайн-курса узнают, как проверять ИТ-инфраструктуру компаний на прочность, как находить уязвимости в защите и как противостоять кибератакам.
Белые хакеры — это специалисты по ИТ-безопасности, которые стоят на защите интересов государства и бизнеса. Они участвуют в пентестах и Bug Bounty и получают за найденные уязвимости миллионы рублей.
Курс разработали лучшие представители профессии совместно с образовательным центром CyberEd при поддержке Минцифры. Специалисты поделятся историями из своей практики и расскажут, что по-настоящему значит быть белым хакером.
На курсе научат:
➖ проводить тестирование защищённости корпоративных систем
➖ проводить атаки первичного доступа
➖ зарабатывать на программах Bug Bounty
➖ работать в defensive-области и построении безопасных систем
➖ участвовать в цифровой трансформации компаний
Курс длится 48 академических часов. За это время участники разберут 12 уровней атак.
➡ Записаться на бесплатный курс «Профессия — белый хакер»
@mintsifry #кибербез
Хорошее семиминутное видео (англ) о результатах расследования попыток промышленного шпионажа со стороны китайского Хуавея против датского телеком-провайдера. Тут вам и инсайдер, и закладные микрофоны, и хакерские атаки, и дроны-шпионы, и любовь, и кровь…
"О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»", перейдя по ссылке:
https://regulation.gov.ru/projects#npa=139316
Когда я рассказываю про недопустимые события или ИБ с точки зрения бизнеса мне часто говорят, что все это фигня и не универсально, так как в госухе не работает. Там нет зарабатывания денег (а на какие шиши, интересно, у чиновников Майбахи и дворцы в Ницце?), нет оборотных штрафов (оборотов-то нет), нет ничего того, про что я рассказываю.
Однако, у чиновников есть одно недопустимое событие, которого они все боятся как огня. Когда им по жопе (или по шапке) надает их начальство. За что угодно. За срыв невыполнения майских указов, за жалобу жителя Мухосранска на прямой линии с президентом, за раскрытие распилов и схематозов в очередном сливном антикоррупционном Telegram-канале. И за взлом/утечку/простой, которые стала достоянием гласности и о них написали федеральные СМИ или стали говорить в коридорах власти тоже. Вот тут-то у чиновника подгорает и он начинает заниматься... нет, сначала не ИБ. В большинстве случаев чиновник начинает заметать следы, требовать удаления компрометирующих его материалов (это вообще отдельный бизнес в Интернете) и вот это вот все. Если скандал разгорается, а его никто не покрывает (а у чиновников рука руку моет), то он может заняться и ИБ, но это скорее исключение из правила.
Вы помните случаи, чтобы какого-то чиновника, особенно крупного, наказали за нарушение правил ИБ. Выдрать на закрытом совещании? Постоянно. И это имеет свое влияние. А вот наказать - нет. Утекла база граждан? Ничего. Проникновение в транспортную компанию? Опять ничего. Шифровальщик накрыл инфраструктуру министерства? Опять ничего. Ну разве что уволят руководителя ИБ и на его место возьмут бывшую помощницу 20 лет отроду. Поэтому у нас и с ИБ в госсекторе все не очень хорошо в массе своей (есть и приятные исключения).
И проблема тут не в регуляторах, а в чиновниках на местах. Максимум, что их ожидает, их выдерут на закрытом совещании, что повлияет... нет, не на их отношение к ИБ и желание изменить ситуацию к лучшему, а на их карьерный рост, премии и т.п. И выйдет такой чиновник с совещания и вместо того, чтобы извлечь уроки и пойти улучшать ИБ в своем ведомстве, он пойдет и постарается наказать того, благодаря кому, о его провалах узнали вышестоящие начальники.
Тут важно не путать чиновника и госслужащего. Первое - это роль, второе - трудящиеся на госслужбе. Госслужащий может быть, а может и не быть чиновником (а работники компаний с госучастием могут). Чем выше, тем чаще да, чем нет. Госслужащий думает о службе, чиновник - о себе. Для меня "чиновник" - это уже приговор. Когда человек вместо того, чтобы попробовать решить возникшую проблему спускает всех собак на подчиненных или вообще людей со стороны, то иметь дело с таким человеком уже не стоит. Он покатился по наклонной. Вероятность, что он осознает и исправится, конечно, есть, но она не высока. Чиновник распробовал вкус власти и доступа к благам и отказаться от этого трудно (хотя сам я не пробовал, к счастью).
А так как у нас выстроена вертикаль власти, то чиновник чиновника покрывает и старается не выносить сор из избы. Они все друг за друга горой; сверху донизу. Поэтому я и не вижу изменений в лучшую сторону с ИБ в госухе - чиновники не заинтересованы в результате. Результативная ИБ для них - это размер отката на контракте и отключенная DLP, которая не следит за ними. Можно выпускать разные доктрины, концепции, основы госполитик, указы, законы... Но воз будет там же...
Возможно я излишне пессимистичен, но мне кажется, я даже местами приукрасил ситуацию. Поэтому в госухе работают немного иные правила ИБ, чем в коммерческом секторе. И недопустимые события там иные, и практика обоснования решений по ИБ иная. Да, ИБ там тоже нужна и она там тоже есть; просто она иная.