alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Вчера, в ночи, с друзьями за бокалом коньяка, зашел разговор о том, что фреймворк - штука полезная не только в ИБ, но и в приготовлении плова, щей, а также во многих других вещах. Но если про плов и щи я писать в канале не планирую, то вот про ИБ поговорить можно. Фреймворков в ИБ существует немало; думаю наберется не меньше двух-трех десятков. Есть более популярные, например, NIST CSF или ISO 270xx, есть менее, например, SABSA или ISM3. В любом случае они позволяют не только построить ИБ (другой вопрос, будет ли она результативной, но это отдельный разговор), но и оценить текущий уровень защищенности и попробовать его даже "продать" топ-менеджменту. И можно себя даже сравнивать с другими компаниями на рынке, следующими тому же фреймворку. И вот в отчете, на который я ссылался вчера, был также вопрос о том, с помощью какого фреймворка/стандарта компании оцениваете зрелость своей программы ИБ? Ответы вы видите на горизонтальной гистограмме.

ЗЫ. В России фреймворков по ИБ, к сожалению, нет. И да, ГОСТ 57580.х к таковым не относится, так как он ни слова не говорит о том, как внедрять ИБ; да и сами требования ГОСТа без поллитра не разберешь (да и с литром тоже).

Читать полностью…

Пост Лукацкого

А вот какие еще метрики, помимо классической тройки MTTD-MTTR-MTTC, используются SOCами. На пьедестале с первыми тремя местами, конечно же, размер члена число инцидентов, число уязвимостей и число попыток взлома. Бестолковые, но легко измеряемые метрики, которые ложатся на стол руководству, которое недоуменно спрашивает: "И что? Как это все связано с нашим бизнесом/госуправлением? Мы стали меньше зарабатывать или хуже оказывать госуслуги гражданам?" И нет ответа на этот вопрос И все остальные почти два десятка метрик тоже не помогают отвечать на эти вопросы. Но зато считаются легко и тешат собственное самолюбие.

Выбирая метрики, задайте тот же сакраментальный вопрос: "Кому я буду показывать результаты своей деятельности?". Ответ на него подскажет вам, правильные метрики вы собирались выбирать или нет.

#soctech

Читать полностью…

Пост Лукацкого

В связи с предпринятыми недружественными действиями против текущего хостинга моего сайта, надо переезжать на новый. Это потребует некоторого времени - максимум 48 часов. Поэтому сайт https://lukatsky.ru будет в ближайшие пару дней недоступен.

ЗЫ. Предупреждаю заранее, чтобы не было потом инсинуаций по поводу взлома и вот этого вот всего...

Читать полностью…

Пост Лукацкого

Тут интересный отчетик подогнали по SOCам и в нем помимо всего, есть интересный вопрос о том, как организация оценивает 5️⃣ свою киберготовность к инцидентам и как проверяет, что ее не хакнут плохие парни. По сути речь идет об ответе на классический вопрос любого топ-менеджера, который решил поинтересоваться ИБ в своей компании, "Насколько мы защищены?" 🧐

Большинство, и это совсем не удивительно, проводят тесты на проникновение, штабные киберучения, тестирование возможностей команды реагирования, учения по непрерывности, а также red/blue/purple teaming. Достаточно стандартный набор вариантов оценки своей защищенности. А потом респондентов спросили самое главное - "Приводят ли результаты проведенных киберучений и иных методов оценки своей киберготовности к реальным атакам к значимым инвестициям или улучшению уровня ИБ организации?" И вот тут очень интересно было увидеть результаты, согласно которым, только 26% респондентов дали целиком положительный ответ 🤑 У 38% опрошенных видимых результатов либо не видно 😕 либо их нет вовсе. Оставшиеся 36% считают, что уровень защиты растет, но инвестициями от топ-менеджмента не пахнет.

#soctech

Читать полностью…

Пост Лукацкого

А это еще одно руководство для аналитиков Threat Intelligence по описанию профиля нарушителя 😂 Вроде как и простенький по структуре профиль, но многие ключевые моменты учтены:
1️⃣ Имя и возможные синонимы согласно данным разных ИБ-компаний и TI-источников
2️⃣ Общие сведения о нарушителе (группировка, тип /хактивист, шпион, криминал.../, кампания)
3️⃣ Сектор/индустрия, в котором обычно действует нарушитель, включая связанные цели
4️⃣ Атрибуты по "алмазной модели" (Diamond Model), включая инфраструктуру и возможности нарушителя
5️⃣ Тактики и техники, желательно согласно MITRE ATT&CK

#soctech

Читать полностью…

Пост Лукацкого

Помню, проходил я несколько лет назад стажировку в одном SOC, и в первый же день я задал коллегам сакраментальный вопрос — а как вы выбираете, на какие сигналы от SIEM/EDR/NTA/NDR реагировать, а какие можно отложить «на потом»? Ведь при миллионах и миллиардах событий безопасности, которые детектируют различные сенсоры и «сдают» в SOC, потеряться в них несложно. И рассказали мне лайфхак, которым я бы тоже хотел поделиться.

#soctech

Читать полностью…

Пост Лукацкого

Помню, в 2017-м году мы проводили серию мероприятий по использованию DNS в деятельности ИБ-специалистов, а также применению этого протокола злоумышленниками. Анализируя тип записи, длину домена, значения TTL, дату регистрации, владельца, ASN, данные регистратора, геолокацию, энтропию в имени домена и другие параметры можно было делать немало выводов о вредоносности не только сайтов/доменов, но и DNS-коммуникаций.

И вот достаточно интересная статья о том, как DNS используется для утечки информации. При этом используются легитимные ресурсы, что осложняет обнаружение такой активности. Мне, конечно, не хочется думать, что все последние кейсы, в которых шифровальщики вытягивали сотни гигабайт и даже терабайты данных, использовали данную схему, но это при достаточно большом сроке необнаружения вполне возможно. Правда, и бороться с этим достаточно легко, - просто настроить квоту для трафика (главное, для всего, а не только для HTTP/HTTPS).

#soctech

Читать полностью…

Пост Лукацкого

3 ноября производитель облачной SIEM компания Sumo Logic столкнулся с инцидентом, в рамках которого неназванное лицо с помощью скомпрометированной учетной записи получило доступ к учетке Sumo Logic в облаке AWS. Клиенты не пострадали, их данные были зашифрованы и надежно защищены. 7-го ноября компания оповестила об этом своих клиентов. 8-го Sumo Logic объявила, что масштаб инцидента был немного преувеличен, а 9-го был опубликован соответствующий playbook для клиентов, которым посоветовали обнулить и поменять API-ключи для работы с облачной платформой.

Из интересного: среди клиентов Sumo Logic и пострадавшие недавно 23andMe и Okta.

#soctech

Читать полностью…

Пост Лукацкого

С учетом сделанных оговорок основные наблюдения:
1️⃣ Треть техник ATT&CK вообще не встречается в источниках
2️⃣ Лучше всего детектируются тактики "Первоначальный доступ" и "Обход защитных мер"
3️⃣ Использование действующих учетных записей и атаки на публично доступные приложения - самые популярные техники в рамках "первоначального доступа", что намекает нам на необходимость внедрения многофакторной аутентификации, WAF и непрерывного сканирования публичных приложений с целью устранения трендовых уязвимостей.
4️⃣ Однако, если смотреть выводы по основным мерам защиты, то MFA и ограничение web-контента находится в самом низу списка, что вызывает у меня вопросы (не бьется оно как-то с самыми популярными техниками первоначального доступа). Я понимаю, когда антивирус не вошел даже в десятку, но MFA?..
5️⃣ У каждого источника, используемого в отчете, свой Топ10 техник, что как бы намекает на то, что делать общие выводы по ним странновато.
6️⃣ Наиболее релевантные защитные меры против большинства выявленных техник - предотвращение исполнения, конфигурация ОС и контроль поведения на ПК. Иными словами - используйте EDR и наступит вам позитив.
7️⃣ Авторы пишут, что им не хватало данных по сегментам - отраслевым, размерам организаций, типам атакуемых активов (АСУ ТП или мобильные устройства) и т.п.
8️⃣ В конце не обошлось без рекламы Enterprise-версии Tidal Cyber. Когда я смотрел их Community Edition, описанную в предыдущей заметке, у меня тоже сложилось впечатление, что они таким образом продвигали свою "полную" и персонализированную версию. После прочтения их с Cyentia отчета я только укрепился в этом мнении.

#soctech

Читать полностью…

Пост Лукацкого

У матрицы MITRE ATT&CK все хорошо, кроме одного - вы каждый раз вынуждены ждать, когда MITRE два раза в год, в апреле и в октябре, сама добавит туда какие-то новые техники, вредоносное ПО, группировки и т.п. Иногда такие обновления приходят слишком поздно, иногда не приходят вовсе, так как далеко не все принимается командой MITRE к рассмотрению.

Для решения этой задача есть проект от MITRE Engenuity под названием Workbench, который позволяет самостоятельно расширять базу знаний MITRE ATT&CK. А есть и другой проект - от компании Tidal Cyber. В него вы также можете добавлять свои собственные знания (правда, в отличие от Workbench, который можно развернуть у себя, Tidal - это облачная и доступная всем история).

Уже сейчас этот проект содержит больше кампаний, группировок и вредоносного ПО, чем родная ATT&CK. Кроме того, Tidal Cyber расширили классическую матрицу новыми возможностями слоями. Например, можно сделать выборку по странам и секторам, на которые нацелены хакеры/техники/ВПО/кампании. А еще Tidal Cyber ведет репозиторий средств защиты разных вендоров (российских среди них нет), которые мапятся на MITRE ATT&CK. Ну и, конечно, можно добавлять свои техники, как в Workbench.

За счет своего формата, проект Tidal Cyber легко расширяем и позволяет строить на его основе различную аналитику, а также наполнять матрицу ATT&CK новыми смыслами. В бесплатной, community edition, версии, вы можете только расширить работу с самой матрией ATT&CK, добавляя туда новое ВПО, группировки, кампании, не дожидаясь, когда это сделает MITRE, а также маппить это на продукты. В коммерческой, Enterprise, версии, появляются новые возможности, основанные на персонализации, - создание индустриальных профилей атак и группировок, которые актуальны именно для вас, получение ежедневных рекомендаций по защите против новых техник, тактик и процедур, анализ возможностей ваших средств защиты применительно к составленному для вас профилю угроз, оценка текущего уровня защищенности и т.п.

#soctech

Читать полностью…

Пост Лукацкого

Начну неделю с кадровых новостей. Свою должность в Минцифры покидает Владимир Бенгин — глава департамента обеспечения кибербезопасности.

За время его работы с лета 2021 года в Минцифры и в госсекторе в целом заметно изменился подход к кибербезопасности — защите данных, интернет- и телефонному мошенничеству, безопасности КИИ и т.д. Во многом это именно его заслуга, и интересно, сохранит ли Минцифры свои позиции в ИБ после его ухода.

Читать полностью…

Пост Лукацкого

Пару недель назад на Github появился репозиторий для аналитиков SOC, который позволит им быстро погрузиться в тему Kubernetes. Сейчас он состоит из двух частей: модели угроз и наблюдениям для SOC (готовится и третья часть - чеклист по тем действиям, которые облегчат мониторинг и наблюдение за кластерами Kubernetes).

Раздел по модели угроз проработан и описан наиболее полно (каждый компонент на картинке выше описан достаточно неплохо). А вот раздел непосредственно по тому, что позволяет мониторить Kubernetes в SOC сейчас почти пустой. Ну разве что список логов перечислен и все. Ни списка событий, ни списка индикаторов компрометации, которые надо мониторить. Даже базовых вещей типа неудачных попыток аутентификации, необычные коммуникации между контейнерами, подами и контроллером нет. Тем более нет чего-то более специфического типа неожиданных изменений конфигураций подов, загрузка новых образов, всплески загрузки процессора, эскалация привилегий в кластере, необычный трафик на API-сервер, изменения в файловой системе и т.п. Может быть в будущем эта часть будет расписана более полно?..

#soctech

Читать полностью…

Пост Лукацкого

Глава кибербеза финансовой корпорации Morgan Stanley, Рэчел Уилсон, заявила, что командам ИБ надо фокусироваться на четырех R - Russia (России), ransomware (шифровальщикам), resiliency (устойчивости) и regulators (регуляторах). Приятно такое внимание к своей стране. Жаль, что оценивают нас не по достижениям в литературе, музыке, математике, физике или программированию...

Читать полностью…

Пост Лукацкого

👍Все премьеры с конференции Positive Security Day, которая прошла в киноцентре «Октябрь», теперь доступны онлайн на нашем YouTube-канале!

Включайте плейлист и смотрите по порядку , чтобы узнать:

• какие тренды актуальны в мире ИБ,
• как сделать кибербезопасность результативной,
• как вам в этом помогут продукты Positive Technologies.

🎬 Ищите все видео по ссылке (без регистрации и SMS).

#PositiveЭксперты
#PositiveSecurityDay

Читать полностью…

Пост Лукацкого

Эта история повторилась спустя 25 лет, когда Siemens поставляла свое ПО для промышленной автоматизации на завод в Натанзе, участвующий в ядерной программе Ирана. Да-да, речь о пресловутом Stuxnet. Основной версией заражения завода 🏭 вредоносом с последующим выводом из строя около 1000 центрифуг является занесение его на инфицированной флешке. Однако я читал и о другой версии (правда, она не так популярна, так как бросает тень на Siemens), согласно которой, вредонос 🪱 изначально был внедрен в поставленное оборудование и ПО, так как Siemens знала, куда конкретно идет ее продукция.

Проработав 18 лет в Cisco могу подтвердить, что вендор всегда знает, кому поставляется его оборудование. О том же, кстати, говорил в своих разоблачениях и Сноуден, когда рассказывал об имплантах, которые АНБ внедряло в оборудование, поставляемое 📦 конкретным заказчикам. Эта информация не секретна и нет смысла внедрять что-то на конвейере, пичкая закладками абсолютно каждое изделие и повышая многократно вероятность обнаружения недокументированных возможностей. Гораздо эффективнее делать это точечно.

Об этом говорили в 1984-м году, как пишет Олег. Об этом писали ✍️ американцы, рассказывая о взрыве на трубопроводе в Сибири (якобы американцы знали, куда пойдет украденное советской разведкой ПО). Об этом говорилось в связи с инцидентом на заводе в Натанзе. Об этом же говорил и Сноуден. Так что стоит включить это в свою модель угроз. По крайней мере я, в своем курсе по моделированию угроз, про этот момент всегда рассказываю.

Читать полностью…

Пост Лукацкого

Отсюда и невысокая оценка эффективности используемых метрик - меньше половины опрошенных SOCоводов считают, что их метрики помогают улучшать процесс ИБ в организации. 50% вообще считают эти метрики неэффективны, а 10% даже не смогло ответить на прямо поставленный вопрос. А все потому, что бизнес нифига не понимает в этих показателях эффективности ничего. Для внутреннего потребления они вполне себе ничего, но вот для внешнего (за пределами SOC)... увы 🤠

#soctech

Читать полностью…

Пост Лукацкого

Не устаю повторять, что разговоры коммерческих SOCов про "мы за 15 минут реагируем на инциденты у наших заказчиков" - это трындёж и потрясание бубенцами вместо того, чтобы пойти и мешки ворочать.

Статистика показывает 📉, что меньше трети SOCов способны задетектить инцидент в течение хотя бы получаса (классическая метрика MTTD), а реагирует большинство (MTTR) в срок до 8 часов 📈 Так что слышите про 15 минут или видите это в рекламе - бегите от таких продаванов. Или требуйте доказательств; а вдруг этот SOC, и правда, обладает уникальными способностями укладываться в четверть часа 💪

#soctech

Читать полностью…

Пост Лукацкого

А причина такой ситуации, как мне кажется, кроется в том, что бизнесу по барабану, сколько и какие уязвимости у вас нашли, может ли ваш SOC обнаруживать и реагировать на инциденты (если не может, то накой он вообще тогда сдался). За банальным вопросом "насколько мы защищены" топы скрывают свое желание узнать, не потеряют ли они свои деньги, - не остановятся ли у них процессы, что приведет к потере денег; не нагнет ли их регулятор, что приведет к потере денег; не утечет ли база VIP-клиентов, что приведет к штрафу и уходу клиентов, что приведет к потере денег и т.д. То есть бизнес волнует то, что они понимают они под безопасностью, а не то, что под этим понимает ИБшник.

Поэтому и проверка своей защищенности должна быть немного иной, чтобы удовлетворить бизнес-руководство. Да, пентесты, red teaming, штабные киберучения и т.п. нужны и важны, но топам заходит совсем другой формат, требующий погружения ИБ в бизнес, а не попыток опустить бизнес на уровень ИБ.

Проводя оценка своей защиты, первым вопросом задайте себе "Кому мне надо демонстрировать результаты?" и уже от ответа на него "танцуйте"!

#soctech

Читать полностью…

Пост Лукацкого

А потом будет говорить, что во всем виноваты русские хакеры: Лидер польской оппозиционной коалиции и будущий премьер Польши Дональд Туск дает урок инфобезопасности 😉

🕊 РОССИЯ СЕЙЧАС - подписаться

Читать полностью…

Пост Лукацкого

Проходилj тут на днях в США мероприятие по SOCам и что-то немало мемасиков там было, местами занятных. Поспамлю сегодня 😛 #soctech

Читать полностью…

Пост Лукацкого

А вот вам еще в помощь руководство для аналитиков Threat Intelligence, которые собирают различные индикаторы вокруг доменов, IP-адресов или SSL/TLS-сертификатов. Как по мне, так по тем же доменам индикаторов там явно меньше, чем я даже перечислил в предыдущей заметке, но все-таки некое подспорье в работе, с которого можно начинать готовить свой чеклист...

#soctech

Читать полностью…

Пост Лукацкого

Вот так прилетает к тебе обновление ПО, которое обращается к репозиторию Github, содержащему вроде как обычные файлы иконок (с расширением .ico). И все бы ничего, но в конце каждой такой иконки набор закодированных Base64 строк, которые, дополнительно еще зашифрованы, и которые, о чудо, ведут на C2-сервера злоумышленников. А всего-то думаешь, что просто обновление за иконками лезет...

#soctech

Читать полностью…

Пост Лукацкого

Интересный кейс. Сначала EDR удаляет ПО для осуществления звонков ☎️, которое играет критическую роль в бизнес-процессах без каких-либо объяснений. При этом позвонить 📞 вендору EDR теперь тоже сложно - звонить не с чего, ПО для звонков удалено 😊 ПО начинают проверять разными антивирусами и они ничего не обнаруживают 🤷. Тот же самый EDR, но на VirusTotal, тоже ничего не обнаруживает. И только спустя какое-то время факт наличия в обновлении ПО вредоносного компонента подтверждается.

Отсюда несколько вопросов:
1⃣ Вы же понимаете, что версии средств защиты от вредоносного ПО для обычной продажи и на VirusTotal "немного" разные и если одна обнаруживает что-то, это еще не значит, что другая тоже должна обнаруживать это же? Вы же даже не знаете, как настроено ПО на VT.
2⃣ Вы же понимаете, что VirusTotal, даже несмотря на несколько десятков средств защиты от вредоносного кода под капотом, не панацея и этот сервис может обнаруживать далеко не все?
3⃣ Вы же знакомы с тем, как функционирует ваш EDR и что он будет делать, когда он обнаружит вредоносную активность в критичном для вашего бизнеса ПО? Он удаляет это ПО? Помещает в карантин? Просто уведомляет о проблеме?

#soctech

Читать полностью…

Пост Лукацкого

Ну и чтобы два раза не вставать Снова про Tidal Cyber, которая вместе с институтом Cyentia выпустили аналитической отчет о средней температуре по больнице том, как должна выглядеть настоящая аналитика по ИБ 😊 Шутка. На самом деле в отчете проводится анализ использования техник MITRE ATT&CK в "дикой природе" согласно 22 различным публичным источникам (этакий мета-анализ чужих анализов). За основу была взята версия матрицы 12.1 (текущая - 14), что при достаточно активной и динамичной жизни хакерского сообщества не позволяет говорить о высокой актуальности сделанных выводов. Версия 12.1 была выпущена в октябре 2022 года и срок окончания ее актуальности наступил 24 апреля 2023-го года. Почему так долго проводился анализ не очень понятно 😴

🤓 Важное замечание. Источники все американские (только один из Европы - ENISA). Кроме того, популярность техники определялась по числу источников, которые ее упоминали, что заставляет нас зависеть от качества обнаружения техник каждым из источников, а этой информации в отчете вообще нет (кто что лучше детектит, то и становится популярным). Еще одним ограничением является то, что техники с первых шагов матрицы (разведка и разработка "кибероружия") очень сложно отслеживать и поэтому они, согласно отчету, кажутся редкоиспользуемыми, что совсем не так.

#soctech

Читать полностью…

Пост Лукацкого

Два года назад MITRE была выпущена бета-версия онтологии ИБ D3FEND, которая позволяет смаппить защитные техники в техники нападения. И вот на днях, после двух лет тестирования и доработок, увидела свет финальная версия 1.0.

Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.

#soctech

Читать полностью…

Пост Лукацкого

Читайте новость, запустив в фоне «До свидания, наш ласковый мишка!» или сцену из мультфильма про Карлсона «Он улетел, но обещал вернуться» 😢

Читать полностью…

Пост Лукацкого

Готовлюсь к SOCtech, к мероприятию, от которого меня не отлучили и не заблокировали участие в нем, как некоторые. Буду на неделе постить всякое про обнаружение и реагирование с тегом #soctech

Прошлая неделя была достаточно богатой на публикацию различных отчетов о APT-группировках с указанием используемых ими техник и тактик:
1️⃣ Recorded Future выпустила небольшой обзор эволюции тактик и техник китайских группировок; без глубоких деталей - высокоуровневый анализ.
2️⃣ CrowdStrike выложила обзор иранской группировки Imperial Kitten, атакующей организации на Ближнем Востоке
3️⃣ Mandiant опубликовала обзор группировки Sandworm, которая атаковала АСУ ТП в Украине, что привело к потере электроснабжения
4️⃣ Лаборатория Касперского отличилась больше остальных, разродившись почти 400-страничным отчетом по азиатским группировкам и используемым ими техникам и тактикам. Среди описанных инцидентов есть и то, что имеет отношение к России и Беларуси.
5️⃣ Positive Technologies выпустило 2 отчета - "Актуальные киберугрозы: III квартал 2023 года" и "Киберугрозы финансовой отрасли: промежуточные итоги 2023 года" со свежим обзором техник и тактик, используемых хакерами

Читать полностью…

Пост Лукацкого

ОАЭ и Турция сообщили, что готовы запретить реэкспорт технологий двойного назначения в Россию 🚫 Еще ранее Казахстан и Грузия, а сейчас и Армения блокируют поставки многих товаров в нашу страну. Это не полностью лишает нас айфонов и мерседесов, но сильно осложняет их доставку до отечественного потребителя 🍑 А США и Евросоюз, действия которых мы сейчас и наблюдаем, вычисляют все незаконные каналы контрабанды продукции и блокируют их, повышая сложность поиска новых способов поставки и ее сроки.

И напомнило мне это кибербезопасность, но в зеркальном отражении. Если заменить Россию на корпоративную сеть, товары на киберугрозы, а каналы экспорта на вектора атак, то мы получим классическую задачу ИБ - снижение числа векторов проникновения усложняет и удлиняет путь атаки, увеличивая время на ее обнаружение и реагирование. И целиком все вектора вряд ли перекроют, но жизнь хакерам это усложнит сильно 👨‍💻

Читать полностью…

Пост Лукацкого

1984 год. В Литовскую ССР собираются импортировать компьютер Siemens 7536. И тут местный КГБ получает от агента под кодовым именем «Вильнюс» сообщение: оказывается, в Siemens (то есть в ФРГ) давным-давно знали, где именно планируется установить и использовать машину. И не где бы то ни было, а в святая святых — НИИ экономики и планирования республиканского Госплана. Причём иностранцы компьютер не только собирали, но и планируют обслуживать! Страшно представить, какие сюрпризы могут там оставить вражеские разведки, чтобы перехватить секретные данные об экономическом потенциале Литвы.

Что делать в этой ситуации? Не отказываться же совсем от современной техники — ввозить крайне необходимые компьютеры с Запада из-за санкций вообще-то не так просто. Но нельзя и просто полагаться на авось и добропорядочность западногерманской фирмы, что в компьютере не будет закладок.

Найдено элегантное решение: ставим машину в НИИ, но на ней можно обрабатывать только открытую информацию. Контролируем, чтобы это правило не нарушалось и никто не вздумал вводить секретные сведения. И, конечно же, следим за иностранцами, которые будет посещать Госплан (наверняка кто-то попробует снять информацию). И безопасно, и удобно!

История (в оригинале чуть менее драматичная, чем в моём пересказе) сегодня вновь становится актуальной. Особенно для тех, кто вопреки курсу на импортозамещение продолжает ждать поставок иностранного оборудования обходными путями через третьи страны. А вдруг в компаниях-производителях уже знают, для кого и для каких целей эти заказы? Ну, главное не обрабатывать на нём секретную информацию и поставить офицера для контроля!

Читать полностью…

Пост Лукацкого

Группировка Blackcat 🐈‍⬛ пишет о том, что компания по ИБ АСУ ТП Dragos 🐉 пополнила список их жертв и если выкуп не будет выплачен, то будут выложены в паблик данные о руководстве компании.

Странный кейс. Утечка через третьих лиц. То есть не факт, что Dragos вообще взломали. Может как в последнем кейсе с Okta - данные утекли через взломанного подрядчика и сам вендор вообще не при делах. В любом случае это уже не первый инцидент с Dragos. Недавно их уже ломали 👨‍💻

А с другой стороны, как поют в чатике по ИБ АСУ ТП (на мотив группы «Дюна»):

Наш Dragos взломан,
А кто не взломан?
Да тот кто сервер
И не видел никогда
(С) Alex Ivanov

ЗЫ. Этот кейс показывает, что можно быть сколь угодно защищенным, но взломать могут ваших контрагентов и поставщиков, а пострадаете вы. И отвечать надо быть готовым именно вам, а не тому, кого взломали.

Читать полностью…
Подписаться на канал