В последние пару дней многие обсуждают тему отключения облачных сервисов 😶🌫️ Microsoft и Amazon для российских пользователей. Обсуждается эта новость в контексте различных бизнес- и офисных приложений, а я бы хотел посмотреть на нее с точки зрения ИБ. Какие ИБ-сервисы из облака предлагал Microsoft, которые 20-го числа могут быть отключены (не претендую на полноту):
1️⃣ Microsoft Defender for Cloud/Endpoint/Office 365/Identity/IoT
2️⃣ Microsoft Azure Active Directory и MS Azure AD Conditional Access
3️⃣ Microsoft Entra Permission Management (бывший CloudKnox) и Entra Verified ID
4️⃣ Microsoft Purview Privileged Access Management
5️⃣ Microsoft Endpoint Manager и Microsoft Intune
6️⃣ Microsoft Sentinel
7️⃣ RiskIQ Intelligence
8️⃣ Azure Security Center
9️⃣ Microsoft Information Protection & Rights Management Service (RMS)
1️⃣0️⃣ Microsoft Advanced Threat Analytics
1️⃣1️⃣ Azure Firewall
1️⃣2️⃣ Microsoft Passport и Azure MFA
1️⃣3️⃣ Azure Key Vault
1️⃣4️⃣ GitHub Advanced Security (под вопросом).
Вообще вопрос, зачем было использовать на протяжении пары лет сервисы компании, которая ушла из России и которая неоднократно порывалась прекратить доступ к своим продуктам российскому бизнесу и пользователям, но что уж тут поделать 🙌 За оставшиеся 3 дня (17-19 марта) осталось решить кучу вопросов - от поиска альтернативы до удаления ПДн, которые располагались в облаках Microsoft, от выгрузки событий безопасности в открытом формате (если они вам нужны) до подготовки процедуры удаления всех установленных в вашей инфраструктуре агентов, а также блокирования ранее открытых портов на периметровых МСЭ для средств защиты Microsoft ❌
ЗЫ. Хотя после того, как еще и на западном побережье Африки 3 из 4 Интернет-кабеля оказались попорченными (хуситы баловались в Красном море, это восточная часть Африки), вопрос осмысленности использования облачных сервисов встает особенно остро 🤔
У Макдональдса по всему миру глобальный сбой 🍔 - онлайн-заказы, заказы через приложение, заказы через киоски в самих ресторанах не работают. Компания уверяет, что это не результат кибератаки. А я в этой истории жду оценок ущерба 🤑 от такого сбоя. Всегда интересно посмотреть, во сколько оценивают простой бизнес-сервиса в течение нескольких часов. И не так уж и важна причина (сбой на стороне подрядчика или DDoS). Потому что потом это можно экстраполировать и на другие схожие бизнесы, завязанные на онлайн-заказы 🛍 (типа вот этой истории).
Читать полностью…💥💥💥 Запускаем «Резбез Challenge» — конкурс на лучшую статью по результативной кибербезопасности
Как участвовать? Напишите статью по теме из перечня, в работе должны быть глубокий анализ проблемы и предложения, как ее решать.
Три лучших автора получат денежные призы, а их работы будут опубликованы на Резбезе. Статья участника должна соответствовать:
🟢 Принципам результативной кибербезопасности.
🟢 Политике сообщества.
🟢 Правилам конкурса.
Когда? Работы принимаются с 15 марта по 31 мая включительно. Победители будут объявлены до 15 июня.
Где заполнить заявку? Прямо в этих буквах!
Из интересного:
1️⃣ Первые признаки аномальной активности были замечены 25 октября, но блиц-расследование ничего не выявило. Однако, ИТ/ИБ-служба заблокировала активность, провела сканирование сети (ничего не выявлено), мониторило логи (ничего не выявлено), смена пароля.
2️⃣ Спустя 2 дня Интернет-провайдер зафиксировал аномальный всплеск выкачиваемых данных - 440 ГБ. Позже выкачали еще 160 ГБ.
3️⃣ Проникновение произошло скорее всего (до конца не выяснили) через ферму терминальных серверов, используемых внутренними ИТ-админами и внешними, доверенными партнерами. Авторы отчета склоняются к атаке именно через партнеров, которых поймали на фишинг.
4️⃣ MFA на терминальных серверах не было, а антивирусы и МСЭ были, так как "дорого".
5️⃣ Хакеры задействовали легальные инструменты ИТ, сделали резервные копии 22 баз данных и выкачали их (помимо разрозненных файлов с чувствительной информацией).
6️⃣ Калькуляция финансового ущерба продолжается, а вот остальные виды потерь прописаны неплохо (хотя бы и на уровне категорий).
7️⃣ Описаны способы кризисных коммуникаций, которые позволили уведомить всех сотрудников, но при этом не раскрыть деталей расследования инцидента хакерам, которые могли находиться еще в сети.
8️⃣ Подробно расписаны шаги по перестройке всей, ранее плоской legacy инфраструктуры, - сегментация, ролевой доступ, air-gap резервирование, MFA, PAM для удаленного доступа третьих лиц, управление уязвимостями и инцидентами...
9️⃣ Из рекомендаций интересно выглядит совет заранее подготовиться и иметь на готове контакт фирмы, которая может оперативно приехать и помочь с расследованием
Сама по себе история не так чтобы и интересна и уникальна - 9 грабителей в американской Миннесоте подозреваются в том, что выводили из строя беспроводные камеры видеонаблюдения 👀 за счет подавителей сигнала Wi-Fi (джаммеров), после чего обкрадывали дома своих жертв. Но автор вынес в заголовок очень мудрую мысль - технологии становятся дешевле и проще для приобретения 💯
Этот вывод можно распространить не только на подавителей сигнала (и не только Wi-Fi, но и GPS/ГЛОНАСС), но и на многие другие направления, которые раньше казались недосягаемыми - спутники, банкоматы, беспилотный транспорт и т.п. Их можно без труда приобрести на Интернет-аукционах и маркетплейсах и потом использовать (не) по назначению. А значит то, что еще раньше казалось невозможным или очень дорогостоящим и потому считалось неактуальным, сегодня или уже завтра может стать вполне себе реальной проблемой 🔜 Так что стоит регулярно пересматривать свою модель угроз на предмет реалистичности сделанных оценок относительно возможностей нарушителя!! 👨💻
Совершенствуется CAPTCHA... Все для защиты от пронырливых роботов 🤖 Скоро для решения таких задачек понадобятся свои программы и сервисы, для доступа к которым нужны будут тоже свои CAPTCHA... 🤖
Читать полностью…Для апологетов американской системы летоисчисления, когда дата начинается с месяца, а не дня, напоминаю, что сегодня празднуется «день Пи» с чем вас и поздравляю! ✨
Читать полностью…🆕 BlackCat/ALPHV ушли в туман, LockBit потерял свою инфраструктуру, но есть жизнь вымогательская и после них. В феврале было зафиксировано 32 новых семейства шифровальщиков 🤒, нападающих на организации (даже LockBit 4.0, о котором я писал в списке уже есть). Там где есть деньги, всегда кто-то будет крутиться 🤑
Читать полностью…В новом отчете Recorded Future интересен не только список потенциальных жертв из совершенно разных стран, по части из которых задаешься вопросом "а нахрена этих-то атаковать?" (Ангола, Ботсвана, Монголия, Тринидад и Тобаго и т.д.) 🏝 И не то, что целевыми устройствами для обнаруженного ВПО является смартфоны. И даже не способами атак на них через уязвимости в Whatsapp и iMessage 📱
Отчет показывает, что обнаруживать такие кампании можно и не имея средств защиты на оконечных мобильных устройствах 📞 Компенсировать их отсутствие можно за счет анализа сетевого трафика, который по любому будет, если ВПО захочет коммуницировать с C2-инфраструктурой. И анализировать его можно за счет применения решений класса NTA/NDR 💡 или DNS Firewall/NGFW/SASE, то есть того инструментария, который есть в нашем распоряжении. Главное 🤔, не забывать их правильным образом настраивать.
Если вдруг у вас случится казус с непатченными Fortinet'ами, в которых нашли зеродей, 🤬 то у вас есть возможность протестировать новый сайт ГосСОПКИ и через него сообщить об инциденте 📞 Ну и вообще поглядывайте за ним наряду с safe-surf.ru
Читать полностью…Что объединяет основного антагониста главного героя романа "Гарри Поттер" 😈 и средства, используемые для обхода блокировок, введенных Роскомнадзором? То, что их нельзя называть! 🤐 Одного - на протяжении всех романов Джоан Роулинг, второе - с 1-го марта 2024 года. В связи с этим предлагаю ввести в оборот новую аббревиатуру - ССКНП, то есть "средства и сервисы, которые нельзя пропагандировать" (сокращенно, "ссука"; не путать с СуКИИ)!
Читать полностью…Интересный кейс тут услышал. Банк 🏦 решил бороться с мошенничеством при переводе денежных средств, а поскольку денег особо не было (банк не из первой сотни даже), то кредитная организация стала внедрять самописный и достаточно простой в реализации антифрод 💰:
➖контроль IP-адресов и блокировка по геолокации, что отсекало всех "иностранцев", включая и клиентов банков, работающих из-за рубежа ⛔️
➖ контроль "черных" и "белых" списков счетов, в том числе опираясь на межбанковский обмен с коллегами и фиды от Банка России
➖ установление и контроль пороговых значений сумм платежей 🌡
➖ контроль определенных параметров платежных поручений (назначение платежа, сумма, ИНН, КПП и т.п.)
➖ контроль и блокирование новых, ранее не встречавшихся у клиентов получателей денежных средств 🆕
То есть служба ИБ банка отработала "на ура", но вот бизнес такого рвения не оценил, потому что:
➖ число жалоб клиентов возросло многократно 📈
➖ нагрузка на call center банка и его сотрудников возросла многократно
➖ в Интернете вырос негативный фон относительно финансового организации 🤠
➖ у банка снизилось число проданных банковских продуктов.
Зато уровень мошенничества снизился почти до нуля. Только вот кому это оказалось нужно? Не о таком результате думал бизнес, когда ставил задачи безопасникам.
Аналогичная ситуация происходит и в управлении инцидентами, управлении уязвимостями и многих других процессах ИБ, где целью ставится доведения ключевого показателя деятельности до нуля (ноль дыр, ноль угроз, ноль утечек, ноль еще чего-нибудь). На достижение этого "результата" уходят избыточные ресурсы, но бизнес от этого только страдает! Поэтому выбирая результат работы ИБ, к которому служба стремится, нужно искать баланс (точного ответа, какой он, - не существует)! 🟰
⚠️ Зеродей CVE-2024-21762 в устройствах Fortinet, которому подвержено около 150 тысяч торчащих в Интернет железок, начинает эксплуатироваться по миру. Я не знаю зачем это пишу 🆘, ведь вы же не используете NGFW покинувшей страну компании с отозванным сертификатом и непонятно откуда получаемыми обновлениями?.. Или как? 🤬
Читать полностью…Проводя киберучения (не штабные), лучший результат достигается тогда, когда участники используют привычный им инструментарий 🛠, а не навязанный организаторами (а с их точки зрения лучше как раз наоборот). С другой стороны лучше так, чем вообще никаких киберучений.
ЗЫ. У чувака на видео, кстати, то ли большой опыт кидания шлепок, то ли шлепки с правильной аэродинамикой. Я попробовал покидать свои и они так четко не летят в цель, как у араба 🤕 Сразу вспоминаются старые китайские фильмы про боевые искусства, где в качестве оружия использовалось все, что под руку попадется - от расчесок до палочек для еды 🥢
За последний месяц на рынок (не российский) было выброшено 3 LLM API Gateway/Firewall ⛔️ А как вы защищаете обращения к внешним LLM (неважно, зарубежным или российским)? 😦
Читать полностью…Тут в "Коммерсанте" кратко формулируют, почему новости об утечках персональных данных никого не пугают и кому выгодна шумиха про них и введение оборотных штрафов 💡
Я только добавлю свои 5 копеек 🪙 относительно комаров и болота. С точки зрения теории вероятностей у жителя Земли умереть от укуса комара 🦟 шансов в 140 тысяч раз больше, чем стать жертвой акулы. То есть это мелкое насекомое не так уж и безобидно, как мы к этому привыкли (и это лишний раз показывает иррациональность человеческой оценки риска - мы акул боимся, но то, что от бегемотов и коров умирает больше людей, чем т них, в расчет не берем) 🦈
И про болото. Все-таки тут у меня есть выбор - ходить туда, где воет собака Баскервилей или нет. А вот с персданными, которые я вынужден оставлять на множестве ресурсов, чтобы не быть вырванным из жизни, увы, ситуация иная - у меня нет выбора. И, как минимум, различные госорганы обрабатывают мою личную информацию. Но в остальном всецело поддерживаю мысль Максима 🤝
Во исполнение ранее принятых требований по повышению безопасности ПО, используемого в госорганах США, CISA разработала аттестационную форму, которую обязаны заполнять все поставщики софта для госов. Если поставщик ее не заполняет, то предприятия обязаны запрашивать ее, а если те отказываются предоставлять, то это является формальным поводом для отказа от использования небезопасного программного обеспечения. При этом указание недостоверных сведений в этой форме будет рассматриваться как уголовное преступление со всеми вытекающими 😡
Самоаттестация требуется для любого ПО, выпущенного после 14.09.2022, крупно обновленного после этой даты, а также для всех остальных видов ПО, которые имеет регулярные обновления. Самоаттестация не требуется для
➖ПО, разработанного госорганами
➖open source, которое свободно доступно и получено федеральными агентствами (для этого другие требования есть)
➖для проприетарных компонентов и open source, встроенного в ПО, поставляемое в госорганы (для этого другие требования есть)
➖для общедоступного ПО.
Форма подписывается гендиректором компании-разработчика и должна содержать доказательства выполнения требований к безопасной разработке, подтвержденные третьей стороной, так называемыми Third Party Assessor Organization (3PAO), аккредитованными для этой работы. В требования по безопасной разработке, которые надо подтверждать, включены многие пункты из NIST SSDF:
1️⃣ Разделение сред для разработки и сборки
2️⃣ Регулярный аудит, мониторинг и регистрация событий для доверенных отношений между окружениями разработки и сборки
3️⃣ Внедрена MFA
4️⃣ Шифрование секретов и кредов
5️⃣ Мониторинг инцидентов ИБ
6️⃣ Средства анализа исходных кодов (SAST/DAST/SCA)
7️⃣ Поиск уязвимостей перед выпуском релиза
8️⃣ Наличие программы vulnerability disclosure
У меня, конечно, есть определенные вопросы к отдельным формулировкам и требованиям этой формы, но сама идея - прямо огонь 🔥 Если бы у нас Минцифры выпустило аналогичные требования для всего ПО, попадающего в реестр отечественного, или хотя бы для того ПО, которое закупается за государственные деньги, то уровень безопасности в стране существенно бы поднялся, качество разработки бы выросло, квалификация разработчиков бы поднялась, с рынка бы ушли фирмы-однодневки. И вообще наступил бы безопасно-софтверный рай 😇
Очень интересный отчет по результатам расследования взлома английской библиотеки 📚 в октябре прошлого года. Приятный пример открытости компании, пострадавшей от взлома, в результате которого утекло 600 ГБ персональных данных и другой информации. Компания не стала скрывать этот факт, провела расследование 👨💻 и опубликовала его результаты. Можно только приветствовать такую открытость.
Структура отчета описывает все ключевые и интересные для аудитории моменты:
➖ резюме
➖ причины и анализ атаки
➖ оценка ущерба
➖ реагирование и восстановление
➖ технологическая инфраструктура
➖ будущая оценка рисков
➖ извлеченные уроки и рекомендации
Раз уж я начал эту неделю с темы про невозможность оценки вероятности рисков ИБ, то и закончу неделю тоже темой про риски. Но замахнусь на святое и попробую доказать, что сам термин "риск ИБ" не имеет смысла, так как его используют некорректно.
Читать полностью…Счетная палата США 🇺🇸 выпустил отчет о безопасности американской критической инфраструктуры, который можно рассматривать как неплохой такой обзор всех активностей и инициатив, которые реализуются у нашего геополитического соперника 🏭
Перечислены все КИИ, все министерства, вся нормативка, все государственные ИБ-проекты, все продукты и сервисы, предоставляемые CISA для КИИ с их описанием, а также возможные последствия от реализации недопустимых для КИИ событий 💥
Ключевых выводов у Счетной палаты два:
1️⃣ У некоторых "подопечных" негативный опыт использования продуктов и сервисов CISA. Например, бывали случаи, когда между репортингом об уязвимости в средствах промышленной автоматизации до ее опубличивания проходил год и более.
2️⃣ У CISA не хватает квалифицированного персонала в области защиты АСУ ТП персонала. Их всего 9 человек (интересно, сколько в 8-м Управлении ФСТЭК?).
Передовые практики подсказывают, что для устранения этих проблем надо лучше планировать загрузку персонала и заниматься оценкой пользовательского опыта, но CISA этим не занимается 🗑
Знакомая ситуация, не правда ли?..
ЗЫ. А последние примеры недопустимых событий в списке почему-то все связаны с Россией. Почему? Не любят они нас что ли? 😈
Насколько богат русский язык ✍️ смыслами и нюансами. Вот вроде простое слово "подвержен", но какой смысл 😦 вкладывали в него авторы текста? Речь идет о свершившемся факте? Я бы тогда на их месте использовал более понятное и короткое "подвергся". Или речь о том, что сайт был настолько "хорошо" спроектирован и внедрен, что его архитектура была изначально подвержена DDoS-атаке? А что сейчас? 🥺 Уже не подвержена или все еще подвержена и хакеры могут повторить свой успех?
Читать полностью…Курс "Базовая кибербезопасность: первое погружение", который я записывал, разместили на платформе Альпина.Лаб, что, безусловно, приятно 😇 Теперь в кибербез могут погрузиться все, у кого куплено корпоративное обучение на этой платформе
Читать полностью…Офис директора национальной разведки США 🇺🇸 выпустил отчет с оценкой угроз оплоту демократии Америке. Документ, не в пример литовскому, получился более адекватным и конкретным (видна школа). На вдвое меньшем количестве страниц американцы четко выделили:
➖ 4 основные источника угроз (тут ничего нового - Китай 🇨🇳, Россия 🇷🇺, Иран 🇮🇷 и Северная Корея 🇰🇵), с описанием основных активностей актора, экономических и технологических драйверов, влияющих на нацбезопасность, вопросов ядерных и обычных вооружений, космических, кибер- и разведопераций. Все предельно конкретно и без воды, как у прибалтов; картинок и фоточек тоже нет.
➖ Про наши кибервозможности пишут, что Россия активно "работает" по Украине, а также нацелена на АСУ ТП и подводные кабеля (а как же хуситы?).
➖ Китай 👲 в киберпространстве активно плющит инфраструктуру некоренных американцев на Гуаме и пытается нарушить коммуникации📡 между Азией и США, проводит кибероперации против критической и военной инфраструктуры первой экономики мира, а также мониторит своих граждан и проводит репрессии против диссидентов, нарушая их права (кто бы говорил).
➖ Тегеран наращивает киберпотенциал и может стать основной угрозой ИБ для США; продолжает активно атаковать инфраструктуры на Ближнем Востоке 🕌, а также пытается сорвать выборы 2024-го года.
➖ Пхеньян стоит за множеством попыток кибершпионажа и многими киберпреступлениями, а также активно атакует США и Южную Корею.
➖ Из конфликтов, которые могут перерасти во что-то большее, что станет угрозой США, называют палестино-израильскую войну, конфликт в Китайском море, конфликт Индии 🇮🇳 и Китая, Индии и Пакистана 🇵🇰, Азербайджана 🇦🇿 и Армении 🇦🇲, а также потенциальные проблемы на Балканах, в Судане 🇸🇩, Эфиопии 🇪🇹, регионе Сахель (это Африка - Мали, Чад, Буркина-Фасо, Нигер и т.п.; помните литовцы про это тоже писали?), Гаити 🇭🇹 и Венесуэле 🇻🇪. У них пупок порвется, если они везде начнут вмешиваться.
➖ Также у угрозам относят искусственный интеллект 🧠, цифровой авторитаризм и транснациональные репрессии.
➖ Из других упомянутых угроз перечислены оружие массового уничтожения 💥 (ядерное, химическое, биологическое), изменения климата, эпидемии 🦠, миграция, организованная преступность, включая киберпреступность 🤒, торговлю людьми, терроризм, а также частные военные компании. Все это с примерами.
ЗЫ. Про ИБ там немного, но есть. Основное предназначение документа - понимать, куда обращен взор одной и сверхдержав, где и кому она будет вставлять палки в колеса.
Я много раз подступался к теме предсказания кибератак, но последняя заметка подхлестнула мое желание «закрыть гештальт» с этой темой и подсобрать 🫴 воедино все разрозненные заметки и мысли, которые у меня были написаны ✍️ на протяжении последних лет 20 с лишним. Но тему я так и не закрыл и, как мне кажется, даже выпустил джина из бутылки, так как там дофига чего еще всплывает, если начать копать глубже... 🪙
Читать полностью…"Интернет был построен, чтобы объединять, а не защищать" (с) CISO Microsoft
Смелое заявление от компании, которая регулярно попадает на передовицы из-за очередного взлома своих сервисов или ее клиентов, использующих продукты Microsoft.
Вчера все репостили эту прекрасную картинку, которая была сделана на сайте Муниципального бюджетного общеобразовательного учреждения "Кольцовская школа №5 с углубленным изучением английского языка" (спасибо за ссылку подписчику) 🤡
На самом деле и в названии памятки и в названии файла закралась ошибка и речь в них идет об излечении ребенка от киберзависимости и обеспечении его личной информационной безопасности. И ничего более ☺️
ЗЫ. Но картинка стала вирусной - мне ее раз 10 переслали из разных чатиков. Напомнило вот эту карикатуру, которую я на днях делал.
Небольшое, семиминутное видео про то, ради чего работает (должен работать) безопасник. Писалось для проекта AM Talk!
Читать полностью…Вот это пароль… 😲 Я со счета сбился, когда считал нажатия. При такой длине, можно и пренебречь отсутствием букв 😮 И как он его запоминает-то?..
Читать полностью…В 1988-м году Роберт Тапан Моррис в целях эксперимента создал одного из первых массовых червей 🪱, активность которого привела к заражению 10% Интернета того времени (сейчас сложно себе представить, что что-то может заразить 10% современной Сети из десятков миллиардов устройств). Спустя 35 лет три исследователя из израильского Университета Технион, компании Intuit и Университета Корнуэлла разработали червя, которого скромно назвали Моррис II 🐛
Данное творение рук человеческих можно отнести к вредоносным самораспространяющимся программам, атакующим системы генеративного искусственного интеллекта 🧠 Этот червь нацелен на ИИ-приложения. Выложенный на GitHub код (да, они его выложили в паблик) демонстрирует атаки на ИИ-помощников, работающих по e-mail в двух сценариях (спам и кража персданных), в двух режимах ("белый" и "черный ящик"), используя два вида входных данных (текст и изображения) против трех ИИ-моделей (ChatGPT 4.0, Gemini Pro и LLaVA) 😧
В своей работе "исследователи" продемонстрировали, как злоумышленник может вставить специально подготовленную подсказку для генеративных ИИ таким образом, чтобы ИИ реплицировал подсказку без участия человека и вставил в выходные данные нечто опасное (от персданных до вредоносного кода), как это происходит в атаках SQL Injection или переполнение буфера ❗️ При этом ИИ может отправить соответствующую подсказку другим ИИ-агентам, которые также будут генерить свои подсказки, тем самым червь начнет распространяться самостоятельно, без участия человека 🔄
Цель исследования, по словам его авторов, - продемонстрировать создание ИИ-червя, чтобы предотвратить тем самым его создание (логика явно не сильная сторона авторов Morris II). Ну а чтобы доказать свое намерение три исследователя, не получив ответа от Google и OpenAI, решили предоставить доступ к исходникам всем желающим 🤦♂️