На Positive Tech Day я рассказывал о том, что у CISO обычно есть две морковки 🥕 - сзади и спереди. В первом случае CISO, да и вообще специалист по ИБ, делает что-то не потому что он хочет этого сам, а потому что его заставляют это делать, стимулируя наказаниями за невыполнение 👊
Во втором случае морковка не заставляет двигаться вперед, а мотивирует это делать, потому что мы хотим этого сами, мы стремимся к этому, хотим чего-то достичь (бабок, карьеры, известности и т.п.) 🏅 Это то, чему нас учит классика менеджмента.
Но есть и третья история, когда вы делаете что-то не из-за морковки, а потому, что вы хотите, чтобы о вас вспоминали хорошо, чтобы вы оставили след в душе тех, с кем вы работаете. И след этот позитивный. О CISO можно вспоминать 💬 как о чуваке, который только и делал, что вставлял палки в колеса и мешал людям делать их дело. А можно как о чуваке, который вообще ничего не делал, только просил деньги и раз в год ходил на Инфофорум. А можно сделать так, чтобы о CISO вспоминали хорошо, говоря о результате его деятельности если не с любовью, то с уважением и пиететом 😘
В последнем случае CISO и его команде не надо прикрывать жопу перед кем-то. Они не будут говорить "это не моя задача". Они понимают, что все в одной лодке - ИБ, ИТ, бизнес. И если что, то страдают все. И это то, чему нельзя научиться на курсах MBA и EMBA. Это воспитание и ничего другого. Можно болеть за дело, а можно идти по головам. "Каждый выбирает для себя", как поется в песне, слова которой приписываются то Булату Окуджаве, то Юрию Левитанскому 🤔
Один из вопросов, который регулярно всплывает в разных частных беседах и публичных дискуссиях - а сколько у нас "безопасников" и как вообще оценить это число? Сначала ты берешь число выпускников ИБ-специальностей и делишь их на 10 (у меня на курсе в институте было именно такое соотношение тех, кто пошел по специальности работать), а потом видишь статистику Минцифры или Минобра по данному вопросу 📈
Сначала ты смотришь на число участников какой-нибудь конфы по ИБ и видишь, что там в зале набирается 600-800 человек, максимум тысяча-полторы (без нагона студентов). А потом ты приходишь на PHD и там их на порядок больше. Сначала ты ориентируешься на какой-нибудь канал в Telegram, а потом смотришь на свои 20 тысяч подписчиков и задаешься сакраментальным вопросом: "Кто все эти люди?" 👻
Сначала ты смотришь на число просмотров какого-нибудь ИБ-эфира или подкаста (а там без накрутки обычно хорошо если несколько сотен просмотров / прослушиваний), а потом смотришь на ролики Секлаба, которые набирают десятки тысяч просмотров на YouTube или сотни тысяч в TikTok. А тут один из роликов достиг миллиона (!) просмотров. ОДИН МИЛЛИОН, глядь, просмотров! 😱 Вот как?! А самое главное, кто все эти люди, кто интересует ИБ и околоИБшными темами?
Вот и как в таких условиях оценивать "целевую аудиторию", если ты даже в порядке можешь ошибиться на 1-2-3 нуля. Непостижимая история. Если на ней зацикливаться 🤯 Но это же говорит и о ее перспективности и интересе к ней со стороны людей 👍
Американцы справедливо считают, что специалисты по чрезвычайным ситуациям 🌪 не являются экспертами в ИБ и в случае реализации событий с катастрофическими последствиями и имеющие компьютерную природу они не смогут адекватно справиться с инцидентом, еще больше увеличивая негативные последствия ⏳
Поэтому американское МЧС (FEMA) вместе с американской же ФСТЭК (CISA) разработали руководство, которое должно помочь специалистам по ЧС адекватно реагировать, особенно на отраслевые и масштабные киберинциденты 😂 Нельзя сказать, что это прям детальный playbook, но описание ролей, оценки последствий инцидентов, приоритизации и планирования мероприятий по реагированию, взаимодействия с владельцами систем, внутренние и публичные коммуникации... все это в документе есть; как и множество ссылок на различные руководства и тренинги по теме.
То, что по ту сторону баррикад активно изучают 👩🎓 средства защиты с целью их обхода - не секрет. И вот очередное доказательство - выложенный в Интернет Harmony EDR от Check Point с соответствующими рекомендациями.
И этот факт заставляет нас вспоминать, что ядром современного центра противодействия угрозам является не SIEM, не EDR, не NDR/NTA, а вся тройка вместе. У вас накрылись логи, вы видите активность на узле. У вас обходят EDR, вы видите распространение атаки и С2-коммуникации с помощью NTA. У вас зашифрован трафик - вы снова возвращаетесь к логам и активности на узлах.
Моя прелесть (с) Опись коллекции московского музея криптографии из 1200+ экспонатов. Прекрасная книга с отличными фотографиями и подробными историями многих коллекционных предметов на тему криптографической защиты информации, приватности и кибербеза 📕 Не знаю, остались ли еще экземпляры в книжном магазине при Музее криптографии, но возможно вам повезет, если вы поторопитесь 🏃
Читать полностью…А как дышал, как дышал... (с) Когда-то Госуслуги создавались, чтобы решить проблему неразберихи и несогласованности баз данных у разных ведомств и иметь единое хранилище информации о гражданине. Теперь мы возвращаемся на круги своя и портал госуслуг станет просто витриной, которая будет подтягивать неполные, несогласованные, необновляемые данные из баз данных разных ведомств...
Теряется централизация, исчезает единый ответственный. Теперь, если когда произойдет утечка, крайнего будет не найти и все ведомства будут кивать друг на друга. Цифровой профиль... Это была интересная идея и, несмотря на все заявления ФСБ в небезопасности такой схемы, Минцифры - единственное ведомство, кто мог бы ее реализовать. А теперь, видимо, все. Жаль...
Recorded Future выпустила аналитический отчет о развитии киберопераций Китая 🇨🇳, спонсируемых государством, и их развитии за последние годы. Американцы считают, что Китай стал более зрелым 👲 и скрытным, координирует свои действия в киберпространстве, активно использует как известные, так и неизвестные уязвимости 🐉, в том числе и в средствах защиты и сетевом оборудовании. Стремление оставаться незаметными затрудняет обнаружение китайских хакерских группировок 🐲
Читать полностью…Большинство планов по реагированию, не протестированных хотя бы на киберучениях, выглядит так, как на картинке 😊
Читать полностью…Ассоциация больших данных выступила с инициативой разработки и последующего внедрения добровольного отраслевого стандарта защиты персональных данных в качестве одного из механизмов ухода от оборотных штрафов или их снижения. Авторы стандарта 👇 вводят 26 критериев, каждый из которых должен оцениваться по приведенной в проекте стандарта методике.
Ряд критериев может принимать значения только 0 или 1, а у некоторых возможна градация от 0 до 1 с шагом 0.1, 0.2, 0.3 и т.д. (логика там не очень прослеживается, почему для одного критерия градация из двух значений, для другого из пяти, для третьего из 6, а для четвертого из семи, а для какого-то из восьми).
В зависимости от уровня защищенности, типа обрабатываемых персональных данных и количества записей с ними, определяется одна из 4-х категорий операторов персональных данных, которые должны достичь соответствующего значения эффективности защиты ПДн (>6, >10, >14 и >18 баллов).
В целом, идея введения такого стандарта понятна и ее можно приветствовать, если бы не одно но. Почти все предлагаемые защитные меры уже прописано в обязательном для всех операторов ПДн 21-м приказе ФСТЭК (в приказе их даже больше). Если внедрить стандарт АБД, то получится, что операторы сами признают, что они не выполняли 21-й приказ или делали его по принципу на отвали. Такое себе решение...
ЗЫ. Тут больше надо думать о том, как мотивировать (или стимулировать) выполнять 21-й приказ, а не придумывать новые, добровольные требования.
ЗЗЫ. Скорее предлагаемый стандарт описывает процедуру оценки зрелости реализации 21-го приказа (если туда добавить остальные меры защиты). Я про это 7 лет назад писал ✍️
Эффективное управление уязвимостями требует коррелировать различные источники информации - известные уязвимости, патчи, списки разрешенного и запрещенного ПО, активность хакеров. И все это применительно к конкретному ПО, которое надо идентифицировать с помощью уникального идентификатора и системы управления, построенной вокруг него.
Американское агентство CISA выпустило документ, посвященный решению этой задачи и пригласило экспертов до 11 декабря высказать свои замечания в его отношении. Нам высказывать американцам нечего, но вот критически посмотреть на этот документ и перенять оттуда ключевые идеи можно. Особенно в контексте усилий ФСТЭК по безопасной разработке и управлению уязвимостями, и усилий Минцифры по управлению отечественным ПО через соответствующий реестр, фонд алгоритмов и программ, а также свой государственный Git. А там и до требований к SBOM недалеко...
Помните историю с двумя американцами, названными "русскими", которые взломали систему диспетчеризации такси в Нью-Йорке? Теперь к ним добавилось еще двое, на этот раз классических россиян, - Шипулин или Деребенец. Первая парочка признала свою вину в октябре, второй еще это предстоит.
Ну и до кучи - американский OFAC обвиняет россиянку в помощи группировке Ryuk в отмывании 2,3 миллионнов долларов.
Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")
Про очередное заявление о взломе RSA-2048 слышали, думаю, многие. Я не стал его в блоге обсасывать с разных сторон (доказательств все равно не представлено), а взял его скорее за основу и посмотрел на проблему квантовых компьютеров и постквантовой криптографии чуть шире; в том числе и ряд направлений, которыми занимаются в России.
ЗЫ. Почему в России так любят использовать флору и фауну для названий всяких военных и околовоенных штук? Когда я занимался РЭБ, всяческие приборы тоже называли по названиям отечественной флоры - "Береза", "Липа", "Азалия", "Герань", "Сирень" и т.п. А теперь вот алгоритмы постквантовой криптографии - "Шиповник", "Крыжовник", "Форзеция" и т.д.
Американская комиссия по ценным бумагам (SEC) обвинила директора по ИБ компании SolarWinds Тимоти Брауна в обмане инвесторов и нарушении правил внутреннего контроля 😡 Обвинение строится на том, что за два года с момента выхода на биржу и до начала кибератаки SUNBURST, компания SolarWinds и ее CISO завышали свои индикаторы защищенности 📈 и не раскрывали или осознанно занижали риски. При этом CISO знал о недостатках в своей системе кибербезопасности, но не предпринимал необходимых мер по их устранению ✋
Во внутренней презентации еще 2018-го года, с которой Браун был ознакомлен, говорилось, что удаленный доступ в компании "не очень защищен" и в случае, если кто-то будет эксплуатировать эту уязвимость, у компании не будет возможности это обнаружить (что в рамках SUNBURST мы и наблюдали), что, в свою очередь, может привести к серьезным репутационным и финансовым потерям 😂 Тоже самое говорилось и в более поздних презентациях о состоянии ИБ в SolarWinds.
Еще летом 2020-го года, участвуя в расследовании у одного из заказчиков, Браун писал, что "наш бэкенд не устойчив" и хакеры могут использовать ПО Orion Manager для масштабных атак, что и было продемонстрировано всего спустя полгода. В сентябре он же писал, что объем проблем с ИБ, обнаруженных за последние месяцы, превышает возможность команды по их разрешению". В результат атаки акции компании упали на 25% в первые два дня после объявления об инциденте SUNBURST и на 35% к концу месяца 🧤
Как говорит SEC в своем заявлении: "Сегодняшнее обвинение - это не только наказание SolarWinds и Брауна за обман инвесторов и провал в защите ценных активов компании, но и наше сообщение всем эмитентам - внедряйте строгие меры контроля в соответствие с вашими рисками и уровнем, согласно которому ваши инвесторы должны знать о проблемах" 🫵
ЗЫ. А еще в мае Браун делал интересные заявления...
У Битрикса опять проблемы. ФСТЭК пишет о, как минимум, 8 уязвимостях в популярной платформе для создания сайтов, среди которых и несколько RCE. Патчей нет 🤷♂️ только компенсирующие меры.
Читать полностью…Итальянский политик Маурицио Гаспарри на ТВ 📺 Всегда удивляли такие эфиры 😫 Неужели никто не видит этого косяка - ни телевизионщики (хотя им это может быть по приколу), ни помощники политика, ни его PR-служба?.. 🤷
Читать полностью…500 долларов за доступ к серваку на электростанции в Японии 🏮. Да, фиг поймешь, что за сервер, но… Когда говорят, что надо увеличивать стоимость атаки, при текущих ценах это выглядит смешно. Где-то это еще может сработать, но гораздо эффективнее будет просто удлинять путь атаки 🏃, увеличивая тем самым время на обнаружение и реагирование
ЗЫ. Главное, не путать стоимость атаки и стоимость уязвимости, которая продается для реализации атаки.
Пора вернуться к этой ссылке и раскрыть карты. Это фото из студии, где я участвовал в одном из эфиров запущенной 🟥 школы преподавателей кибербезопасности.
Ее основная цель — восполнить существующий разрыв между академическим сообществом и индустрией кибербезопасности через погружение действующих преподавателей вузов, работающих на кафедрах информационной безопасности и смежных технических специальностей, в тематику современных угроз и актуальных методов противодействия кибератакам.
Обучение в новом проекте Positive Education бесплатное.
Программа школы включает в себя два параллельных трека: для преподавателей вузов, а также для экспертов в сфере кибербезопасности, которые хотят преподавать и готовы делиться своими знаниями.
Если вы преподаватель или эксперт в сфере кибербезопасности и тоже хотите пройти обучение, то заполните заявку до 10 ноября на сайте проекта.
🏛️ "Госуслуги" будут постепенно избавляться от хранения персональных данных пользователей, заявил глава Минцифры Максут Шадаев.
🔸"Для улучшения качества обслуживания на "Госуслугах" мы всегда старались собрать максимальное количество данных для того, чтобы обеспечить удобное заполнение форм и т.д. Сейчас мы провозгласили другой подход, то есть в "Госуслугах" мы будем максимально избавляться от хранения данных, мы переходим на ведомственную, так называемую онлайн-витрину... Данные ведомств будут доступны через нашу систему электронного взаимодействия", – уточнил Шадаев.
🔸По его словам, теперь при входе в личный кабинет на портале "Госуслуг" персональные данные пользователей будут загружаться непосредственно из баз ведомств.
Ну что, американцы начинают разгонять тему вмешательства России (а заодно Ирана и Китая) в американские президентские выборы. Microsoft Digital Threat Analysis Center выпустил соответствующий отчет ✍️
Читать полностью…В международный день защиты информации, 30-го ноября, в Москве, в Кибердоме, пройдет конференция "Технологии SOC". Достойная программа, интересные спикеры, уютное место. У меня там будет два доклада:
🔤 Мониторинг атак 🔓 на подрядчиков: что брать под контроль на примере реальных кейсов 🛡
🔤 От чего зависит выбор технологий для SOC? 🛡 Составляем чеклист 🤕 на основе опыта участия в паре десятков проектов проектирования и аудитов SOC 🪙
Приходите 🤗
Когда прошлой весной ломали Cisco, то началось все тоже с персонального аккаунта Google. В истории с Okta тот же первоначальный вектор
Читать полностью…Федеральная торговая комиссия США (FTC) ввела требование, аналогичное ЦБшному, об уведомлении некредитными финансовыми организациями 🏦 обо всех инцидентах с данными клиентов и других событиях безопасности. Но при совпадении общей идеи, есть и существенные отличия. Во-первых, сообщать надо не обо всех инцидентах, а если они затронули более 500 клиентов. Во-вторых, на уведомление дается 30 дней, а не 24 часа как у нас ⏳
Основание для такого требования - закон Грэмма-Лича-Блайли (GLBA), принятого еще в 1999-м году. Наконец, в документе, который вводит FTC, как это часто водится у американцев, подробно расписана мотивация, почему было принято такое решение, какие и кем были поданы возражения и т.п. То есть никаких непонятных процедур и требований - все достаточно четко и понятно. И даже если вы с ними не согласны, то вы все равно имеете ответ на вопрос "почему" ❓
И ИБ-компании страдают от шифровальщиков. На этот раз производитель решений по ИБ для IoT
Читать полностью…Нью-Йорк, в рамках развития своей программы кибербезопасности, анонсировал новую программу раскрытия уязвимостей для веб-сайтов и систем, которыми владеет город, включая и АСУ ТП.
Американцы считают, что киберкомандование Нью-Йорка, которое и курирует программу раскрытия уязвимостей, является самым крупным, после киберкомандирования американской армии, подразделением в госорганах США. Для примера, их SOC фиксирует 90 миллиардов событий безопасности еженедельно, которые, после обработки, "превращаются" всего в 50 инцидентов, требующих расследования.
Битрикс завел на своем сайте отдельную страницу про выявленные уязвимости на своей платформе. Я бы туда еще обязательно добавил уведомление, что без активной подписки получить обновления нельзя (а если можно, то как, где и при каких условиях), а также давал ссылки на обновления, устраняющие описанные уязвимости. А в идеале бы еще и на сайте, в админ-панели сделал всплывающий пуш красным о том, что используемая версия уязвима и надо обновиться.
Читать полностью…Вы знали, что среднее время нахождения CISO в должности в США составляет 18-24 месяца. Это, конечно, странные, по сравнению с Россией, цифры. У нас этот срок обычно дольше. Ну что можно успеть сделать за 1,5-2 года?
Читать полностью…Среди атак на машинное обучение есть «отравление данных», которое вводит в заблуждение и приводит к неверным решениям на их основе (даже при отличной модели и процессе обучения).
В ИБ тоже такое есть - обманные системы. Я в них не очень верю, так как обычно в компаниях не хватает ресурсов даже на обычные средства защиты и фундамент для SecOps. Какие уж тут обманки… 😵
Но вот с данными такой фокус можно провернуть. Особенно если притянуть сюда ML, которое позволит сгенерить синтетические данные, похожие на настоящие. И можно даже «забыть» закрыть к ним доступ. И когда их сопрут, можно даже позлорадствовать над хакерами…