alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Интересные мысли в отношении DPO (Data Privacy Officer), в контексте его реальных полномочий в компании. В ИБ (если отделять ее от защиты прав субъектов персональных данных) та же история. Часто роль CISO создают только потому, что так принято или потому что так требуется (например, тот же заместитель генерального директора по ИБ по 250-му). И де-юрэ ты большой начальник, а де-факто обычный советник, не имеющий права голоса. А риски при этом высоки… И оно стоит того? 🤔

Читать полностью…

Пост Лукацкого

"Зажигающий сердца" звучит почти как "Бегущая по волнам"... Завораживающе. Вручили 🏆 статуэтку "Амбассадора киберобучения", которую присудили еще в мае, но только сейчас окольными путями, контрабандой, она попала мне в руки, с чем я себя сам и поздравляю! 🎆 Good result!

ЗЫ. Очень символично, что в этот же день мы анонсировали новый поток в Школе преподователей кибербезопасности 👨‍🏫 где я также делился светом знаний...

Читать полностью…

Пост Лукацкого

Куда катится этот мир... CISO западного мира больше думают, как удовлетворить регулятора, чем как сделать компанию защищенной и удовлетворить клиентов и партнеров. Ну хоть тема общения с бордом/бизнесом на втором месте с небольшим отрывом и то хлеб. Геополитика опережает выгорание и ментальное здоровье сотрудников (во время COVID-19 эта тема была прям 🏆), а инклюзивность пока только на последнем месте в топе (если не брать "Другое") 😫

Интересно, какой результат себе рисуют CISO с такими стратегическими приоритетами?

Читать полностью…

Пост Лукацкого

Ника сделала PR-разбор инцидента с Dr.Web, в котором мне понравилась финальная фраза:

«помним, что цель публичного стейтмента по антикризису — снимать вопросы, а не ставить новые».


С этой точки зрения интересно посмотреть на инцидент с УЦ «Основание», который не может восстановиться уже неделю. При этом никакой нормальной коммуникации нет - только в виде ответов на вопросы пользователей, которые приводят к все новым вопросам. Похоже взломавшие инфраструктуру УЦ хакеры были правы, когда писали об ее якобы уничтожении. Если проводить аналогии с кейсом CrowdStrike, то скоро стоит ждать разговоров о компенсациях пострадавшим 🤑

Читать полностью…

Пост Лукацкого

Использование голубей, попугаев и иных пернатых в качестве доверенного средства коммуникаций тоже не всегда безопасно 🕊

Читать полностью…

Пост Лукацкого

Новое исследование ReversingLabs описывает, как северокорейские 🇰🇵 хакеры из, предположительно, Lazarus Group обманывают разработчиков ПО, выдавая себя за рекрутеров финансовых компаний. Они, в рамках собеседований, предлагают фальшивые задания, содержащие вредоносные Python-файлы 📱, которые служат загрузчиками вредоносного ПО, связываясь с сервером управления для выполнения нужных хакерам команд 🖥 Эта кампания указывает на растущую тенденцию использования открытых пакетов и платформ для атак на разработчиков ПО.

Аналогичная кампания от Lazarus была обнаружена в апреле компанией Securonix. Она получила название Dev#Popper и помимо вредоносных файлов Python также использовались и файлы JavaScript 📱, содержащие опасное содержимое. До этого, схожие кампании "Contagious Interview" и "Wagemole" обнаружили специалисты подразделения Unit42 компании Palo Alto. Не обошли вниманием эту тему и специалисты японского CERT, также атрибутировавшие вредоносные PyPI-файлы с Lazarus 👨‍💻 Microsoft даже называет конкретную жертву схожей кампании - компанию CyberLink Corp., тайваньского разработчика ПО, пострадавшего также от северокорейской APT-группировки, но не Lazarus, а Diamond Sleet (ZINC). KnowBe4 в поисках разрабочика ПО тоже столкнулась в июле этого года с атакой от северокорейских хакеров. Наконец, год назад, в сентябре 2023 года, Lazarus была замечена в попытке поймать на удочку разработчика испанской аэрокосмической компании 🚀

Что общего во всех этих кейсах? Нет, не происхождение APT-группировок. С тем же успехом это могли быть китайские хакеры или американские или сирийские или иранские 🥷 Дело в другом - во всех случаях атака была направлена на разработчиков ПО, которые привыкли жить достаточно безмятежно и не всегда задумываться о том, что они делают и насколько они "вкусны" как жертвы для различных хакерских группировок 🍦 При этом часто бывает, что разработчики находятся вне контроля служб ИБ в своих компаниях и на это есть множество причин - от нежелания ИБ погружаться в кухню DevOps до недопущения самими разработчиками службы ИБ на свою поляну. А результат мы видим в росте числе успешных атак на программистов, что открывает широкие возможности для хакеров по компрометации не только инфраструктуры компании, в которой трудится разработчик, но и по внедрению имплантов в код, который этот разработчик пишет (вспомним кейс с SolarWinds или менее известный с 3CX) ⌨️

ЗЫ. Надеюсь, смогу поговорить про это в рамках грядущего Positive Security Day, где одна из дискуссий, в которых я участвую, будет посвящена как раз результативному взаимодействию ИБ и разработчиков.

Читать полностью…

Пост Лукацкого

Не мог удержаться 😊

Читать полностью…

Пост Лукацкого

Ахренеть… 💥 Не надо встраивать средства самоликвидации в свои продукты, а если встраиваете, доверьте профессионалам проверку их защищенности и возможности обойти защитные механизмы (если они есть) 😷 А иначе может быть больно; в буквальном смысле.

А израильтяне с американцами повторили «успех» Stuxnet 🪱, на мой взгляд. Ведь, чтобы одномоментно вывести из строя пейджеры и рации в разных странах (не только в Ливане), нужно было провести немало исследований и натурных экспериментов. Новый виток гонки кибервооружений, демонстрирующий влияние ИБ на мир физический 🔪

Читать полностью…

Пост Лукацкого

У Гартнера, похоже, KPI по числу новых аббревиатур, которые они должны ввести в оборот 🤦‍♂️ Вот они тут на днях родили новый акроним - ASCA, то Automated Security Control Assessment. Чем это решение отличается от того же BAS или CTEM не очень понятно - тот же анализ способности реализовать атаку при наличии имеющихся средств защиты? Нет ответа, а термин новый есть. Эксперты подтрунивают над Gartner, а он и в ус не дует - продолжает плодить новые и новые аббревиатуры 🤔

Ну а пользователям, задумавшимся о поиске, выборе и покупке ASCA, стоит задаться простым вопросом - какого результата вы хотите достичь, применяя средства анализа защищенности?..

Читать полностью…

Пост Лукацкого

Заявляя о невзламываемости своей системы, сначала позовите профессионалов это проверить, а то может быть неудобно 🫢

Читать полностью…

Пост Лукацкого

Все смешалось в уголовном праве. На днях министр МВД Владимир Колокольцев сообщил, что число киберпреступлений растет и уже превышает 40% в общей массе. Хотя растет разве что желание силовиков квалифицировать любые компьютеризированные правонарушения как киберпреступления, не разбираясь, кто на самом деле преступник, а кто жертва.

Тема актуальна для нашумевших уголовных дел против админов телеграм-каналов, которых следственные органы квалифицируют и как вымогателей - без факта вымогательства, и как киберпреступников - хотя от "кибер" там нет ничего. Эксперты называют такие дела "информационными". Напомним, что еще в декабре 2023 года года Владимир Путин поручил привести в порядок правоприменительную базу по ненасильственным преступлениям,  чтобы грозящие фигурантам сроки не превышали разумные пределы. Но воз и ныне там, следователи по-прежнему используют обвинения в вымогательстве там, где им не место.

Проблемы правоприменения УК РФ обсудили авторитетные юристы на круглом столе, организованном порталом «Право.ru». Ключевая проблема - следствие и суд в России не имеют квалификации или не заинтересованы в нормальном расследовании дел об "информационных преступлениях". В итоге дела шлепают как под копирку. Член СПЧ Ева Меркачева рассказала о множестве обращений как от жертв IT-преступников, так и от самих граждан, обвиняемых в совершении преступления. И основная жалоба та же, о которой говорил президент — несовершенство правоприменения.

Самая порочная практика, когда людей судят за вымогательства, хотя в их уголовных делах нет самого состава преступления. На это обратил внимание профессор МГЮА Константин Ображиев - следователи пользуются ст. 163 УК РФ, которая уже устарела. В 90-е ее использовали против рэкетиров, которые пытали жертв утюгами, а сейчас применяют против владельцев каналов, которым условные потерпевшие сами предлагают деньги. Без всяких угроз, потому что нельзя угрожать информацией, которая уже опубликована и распространена, в этом нет смысла.

Это говорит о том, что уголовное законодательство в этом сегменте очевидно недоработано и нуждается в модернизации, как минимум в части ст. 163 УК РФ. Эксперты в области юриспруденции сходятся во мнении, что необходимо пересматривать правоприменительную практику в контексте киберпреступлений и усилить работу по подготовке кадров МВД и прокуратуры в области кибербезопасности. И нужно "справедливизировать" УК РФ, чтобы следователи не могли применять составы преступлений по делам произвольно, игнорируя букву закона.

Читать полностью…

Пост Лукацкого

Завершая тему бюджетирования ИБ, начатую тут и тут, немного о метриках, связанных с этим направлением деятельности CISO 🤑 Первые два места занимают... та-дам... процент от ИТ-бюджета или от годового дохода. Но... важно, что эти показатели бессмысленны, когда ты их берешь извне и на них равняешься, но имеют значение, когда ты отслеживаешь динамику в рамках предприятия с течением времени. Тогда оно может иметь хоть какой-то смысл 🤔

Бюджет в пересчете на сотрудника чем-то схож с тем, как иногда считают в ритейле - что-то в пересчете на квадратный метр. Помню даже в одной компании ИБ считали в пересчете на квадратный метр площадей магазинов 🛍

Пятерку замыкают количество специалистов по ИБ на общее число сотрудников и на число ИТ-специалистов. В первом из них я большого смысла не вижу (все-таки не телохранителей считаем), а второй может характеризовать уровень внимания к ИБ и уровень ее автоматизации 📎

Читать полностью…

Пост Лукацкого

Очередная карточная игра по ИБ в моей коллекции 🃏 Но очень минималистичная... Авторы не очень заморачивались нарративом и синопсисом 🧐

Читать полностью…

Пост Лукацкого

Даже самые искусные из мастеров теней, что бродят по просторам загадочного Мрака Сети, не могли бы сравниться с Чуном, что некогда был известен как искусный кузнец злых чар киберпространства 👨‍💻 Этот умелец из народа инженеров кибербезопасности, сам бывший хакер, некогда творил зловредные вирусы и продавал их тайным торговцам, ищущим силы в мире цифровом 🦠 Но настал день, когда он оставил свой темный путь, когда нашел любовь и создал семью. Женитьба и рождение дочери стали для него тем светлым маяком, что вывел его из мрака на путь исправления.

Ныне Чун обосновался в древнем замке аутсорсингового SOC’а, где служит стражем и защитником, наблюдая за землями цифровых королевств, а особенно за банками, что обитают в тех землях 👀 И когда враг вторгается, как вор в ночи, Чун поднимается, чтобы отразить угрозу. Но однажды, отбивая нападение врага, он обнаруживает с ужасом, что удар был нанесен тем, кто должен был быть его союзником — его собственным предводителем, лордом Чи 🐲

Чун, движимый жаждой справедливости и стремлением восстановить свое доброе имя, решает проникнуть в глубины темного подземного мира — даркнета. Там, в этой бездне, он намеревается использовать могущественный вирус, созданный его гением и одаренный искусственным разумом 🧠, чтобы обрушить все козни врага. Но Чи, хитрый и подлый, с сердцем тёмным как Мория, защищен магией семнадцати брандмауэров, совершает ужасное преступление — похищает жену и дочь Чуна, стремясь силой обратить его на свою сторону 🤬

И тут всплывает еще более мрачная истина. Сам Чи служит темному владыке гонконгской 🇭🇰 мафии, тому, кто держит его в плену обещания расправиться с его больным братом. Жаждя свободы, Чи решается на отчаянный шаг и подмешав яда коню железному прежнего правителя своего SOC’а, что приводит к смерти и его и его близких, ставит Чуна на его место, соблазнив его клятвой власти и силы 💪 Так Чун, гонимый обстоятельствами и плененный судьбой, переходит на темную сторону, склонившись перед мраком, что прежде лишь тенью касался его сердца...

Вы ознакомились с кратким содержанием фильма "Кибератака" (он же CyberHeist), на который я вчера случайно наткнулся 🎬 Как говорили в советских детективах, фильм "художественной ценности не представляет", но прикольно посмотреть как авторы фильма визуализируют хакеров, Даркнет, кибератаки и вот это вот все! 🍿

Читать полностью…

Пост Лукацкого

Ну какая ИБ без котиков...

Читать полностью…

Пост Лукацкого

О важности анализа защищенности разрабатываемого ПО и вводимых в эксплуатации систем в рамках всего их жизненного цикла, а не только в самом конце, когда система работает, а софт уже в проде 👨‍💻

Действий порядок правильный результата для применяй ты! 🧘

Читать полностью…

Пост Лукацкого

К вчерашним новостям про вредоносные файлы Python, рассылаемые северокорейскими хакерами 📱 Тут Microsoft анонсирует, что Python будет встроен в Excel, что заставило всех не только северокорейских хакеров потирать внезапно вспотевшие ручонки 😃 в предвкушении грядущего удовольствия... Но нет! Microsoft пишет, что у питоновского кода не будет никакого доступ к вашему компьютеру, устройства, учетке, одежде, ботинкам, мотоциклу... 🤖 И мы все дружно верим компании Microsoft, которая никогда не косячит и является образчиком серьезного отношения к ИБ! 👀

Читать полностью…

Пост Лукацкого

Доктор атакован

Dr.Web отвечает антикризисом на атаку

Вне плана пост, по вашим просьбам😎 Итак, что мы имеем: компания-ветеран российского рынка кибербеза подверглась хакерской атаке.

На сайте Dr.Web опубликованы два стейтмента. Изучаем первый в логике реагирования на кризис:

1️⃣Признать инцидент — done. Правда, компания пишет, что произошел он 14 сентября, а новость датирована 17 сентября. Три дня. Предположу, что выход в паблик был под сомнением.
2️⃣ Объяснить, что произошло. Сообщается, что “атака таргетированная”. На этом всё.
3️⃣ Раскрыть какие меры были приняты.
С мерами тоже не густо. Их целая одна. При этом она идет после утверждения, что все хорошо. А не до.

- [ ] попытка навредить инфраструктуре была пресечена, и никто из пользователей продуктов Dr.Web не пострадал.
- [ ] все ресурсы отключены от сети с целью проверки. Приостановлен выпуск вирусных баз Dr.Web.


Далее — продакт плейсмент:
“для диагностики и устранения последствий атаки задействован наш сервис Dr.Web FixIt”.

Об опасности такого приема уже писала. Но вопрос в другом — о каком устранении последствий речь, если выше утверждалось, что никто из клиентов не пострадал. Значит ли это, что пострадал сам доктор?

4️⃣ Раскрыть, что сделано, чтоб избежать повторного инцидента.
5️⃣ Нести ответственность за произошедшее и дать долгосрочные обязательства.

За этими пунктами (а также кто и зачем атаковал компанию) идем во второй стейтмент. А он фактически дублирует первый. В компании увидели атаку 14 сентября,
“внимательно за ней наблюдали и держали происходящее под контролем”.

Через 2 дня зафиксировали признаки внешнего неправомерного воздействия на IT-инфраструктуру. То есть атака развивалась? Под контролем?

Затем в стейтменте появляются временные метки. Их две:
🔠об отключении своих ресурсов 16 сентября, 09:30
🔠о возобновлении 17 сентября, 16:20.

Стоп. А что происходило с 14 по 15 сентября?

Ремарка: формат с временными метками — общепринятый в кибербезопасности. Это единый блог, который дополняется по мере расследования инцидента, решая задачу прозрачности коммуникаций со всеми аудиториями от журналистов до коммьюнити. Но здесь две отдельных новости, фактически с идентичным содержанием.

Желаем доктору восстановления и ждем деталей. А также помним, что цель публичного стейтмента по антикризису — снимать вопросы, а не ставить новые.

О том, как коммуникациям подготовиться к кибератаке писала здесь.

Читать полностью…

Пост Лукацкого

Как причудлив мир классификации явлений 🤔 Детонация в результате отправленного на пейджер сообщения или звонка на начиненный взрывчаткой мобильный телефон - обычный теракт и ничего нового. Взрыв 🤯 в результате отправленного сетевого пакета на начиненный взрывчаткой промышленный контроллер или источник бесперебойного питания - и это уже как бы тема, имеющая отношение к кибербезу. Угроза взрыва, о которой сообщили в Telegram или по e-mail - 100% акт кибертерроризма. Вроде как везде используются каналы связи, но оценка происходящего будет разной и отнесение к "кибер" или нет тоже. А вот с точки зрения недопустимых событий оно одно, только сценарии его реализации разные, - что-то относится к ИБ, что-то нет ✈️ И государство, бизнес думают именно в этом контексте, а не то, в чью зону ответственности это классифицировать 😮

Меня в личке просят прокомментировать ситуация с ливанскими пейджерами, а я даже и не знаю, что сказать. Хотя нет, знаю. В контексте классической ИБ - никакого отношения к ней это событие не имеет. Да, использовали средства коммуникаций 📞 для отправки сигнала, который и привел к детонации, но это больше тема РЭБ (у меня ВУС как раз по этому направлению). Хотя вопрос контроля скрытых каналов никто с повестки не снимает, но все будет зависеть от модели угроз и нарушителя 🙂 Да, налицо вмешательство в цепочку поставок в физическом мире. Специалисты по ИБ должны подумать о том, как они проверяют приобретаемое ПО, а также контролируют в своей среде разработки взаимозависимости и используемые чужие библиотеки. А также как проверяется покупаемое железо на предмет имплантов (не взрывчатки) ⚠️

Как я писал выше сегодня, преломляйте окружающий мир на ИБ и задавайте себе вопрос: "А такое могло произойти в виртуальном мире? 🤔 А если да, то допустимо ли это для меня? А если недопустимо, то что я должен сделать, чтобы это предотвратить? А если я не могу предотвратить, то какими должны быть мои действия, чтобы вовремя это обнаружить и среагировать? А если такое все-таки произошло, то как я могу уменьшить объем ущерба?" 😕

Читать полностью…

Пост Лукацкого

В тему грядущего Кибертеха, успехов на ниве импортозамещения и вот этого всего... Когда 2,5 года все началось и нас безвременно ⚰️ покинули те, кто когда-то с нами в десны, в России стали активно продвигать повестку с российским ПО - операционки, офисный софт, СУБД, виртуализация и... браузеры. И Минцифры во время перехода с супостатных Chrome, Firefox, Safari, которые отказались поддерживать сертификаты НУЦа, активно продвигало три российских изделия 🖥 - Яндекс.Браузер, Спутник и Атом. Спутник накрылся давно и его домен даже успел попасть в сводки НКЦКИ как потенциально мошеннический. А вот Атом накрылся меньше недели назад; зайдя на страницу https://browser.ru, вы можете наблюдать сообщение о том, что все, йок 🤬

Не будем злорадствовать и говорить, что импортозамещение - оно не про победные реляции, разговоры с трибун и организацию множества круглых столов и конференций по теме 🤥 Оно про "мешки ворочать". В данной истории я хотел бы просто обратить внимание на то, что не исключено, что в обозримом будущем мошенники начнут использовать эту историю (по аналогии с Спутником) в своих недобрых целях. И к этому надо быть готовым 🫡

ЗЫ. Хорошо, что со средствами защиты у нас пока результат не такой и отрасль растет и развивается. А все потому, что не про лозунги...

Читать полностью…

Пост Лукацкого

Тут один CISO делится своими советами о том, как специалистам по ИБ писать (с ударением на второй слог) ✍️ Он справедливо замечает, что это больше, чем проявление просто технических знаний и что надо быть креативным, усидчивым и иметь иные навыки. Автор подчеркивает важность целеустремленности и дисциплины для успеха в написании ✍️ качественного контента, который будет востребован как внутри компании, так и за ее пределами (а это признание коллег, большая известность, большие карьерные возможности, больший доход и т.п.).

Итак, какие 10 советов дает Джошуа Гольдфарб (с моими комментариями местами): ✍️
✍️ Уделяйте время писательство - это труд и он требует определенных усилий.
✍️ Пишите регулярно. Не обязательно раз в день или несколько раз в сутки - просто соблюдайте определенную частоту, а не хаотичность в творчестве.
✍️ Развивайте креативность.
✍️ Ищите вдохновение вокруг себя. Преломляйте ИБ на окружающий мир и окружающий мир на ИБ.
✍️ Имейте запас историй, которых у специалиста по ИБ должно быть немало.
✍️ Знайте свою аудиторию.
✍️ Говорите на языке читателей. Детям на детском, технарям на технарском, бизнесу на бизнесовом. У всех разный язык и сленг и надо это учитывать, а не пытаться переучивать всех своей мове.
✍️ Будьте практичны. Философские рассуждения - это прикольно, но трансерфинг реальности в ИБ не может быть постоянным; добавляйте практических советов, применимых в жизни и на работе.
✍️ Сохраняйте фокус. Не распыляйтесь и не отвлекайтесь. Добавлю, что когда вы смешиваете в одном источнике/канале ИБшные темы и всякую шнягу типа впечатления от поездок, обзоры больниц, оценку прочитанной беллетристики, то это не просто дико бесит, но и выглядит несолидно. Хотя если вы ведете канал/блог для себя, а не для аудитории, то и пофиг.
✍️ Доведите дело до конца. Начали писать - пишите, а не бросайте на полпути. Это будет выглядеть против вас.

Не то, чтобы все это выглядит как откровение, но, как саксаул аксакал ИБ-писательства ✍️, смотря со стороны на то, что делают сейчас многие блогеры, могу сказать, что некоторые из них не следуют описанным советам, считая, что знание алфавита уже делает человека писателем, умение редактировать видео - Тарковским. Тут впору вспомнить Жванецкого, что "писАть как и пИсать надо тогда, когда уже невмоготу" 📝 То есть важен результат и понимание ответа на вопрос "чтобы что?"!

Читать полностью…

Пост Лукацкого

Компания Dr.Web 14 сентября подверглась целевой атаке 🖥 после чего отключила все свои ресурсы от Интернет с целью проверки. При этом больше чем на сутки был приостановлен и выпуск вирусных баз Dr.Web (у вас такое в модели угроз учтено?).

В двух новостях на сайте компании (вторая) много неясного и без детального раскрытия данных по инциденту сложно судить, что же все-таки произошло. С одной стороны "держали происходящее под контролем", а с другой "отключили серверы и запустили процесс всесторонней диагностики" 🚠 С одной стороны "оперативно отключили серверы", а с другой - атака началась 14-го числа, признаки внешнего воздействия на инфраструктуру обнаружены были 16-го, тогда же отключили и сервера. С одной стороны "мы внимательно за ней [угрозой] наблюдали", а с другой "мы локализовали угрозу" 💻

Если бы меня спросили, как я трактую данные две новости, то я бы предположил, что вероятно было проникновение внутрь 🥷 Но меня никто не спрашивает, а поэтому я свою предположения буду держать при себе и надеяться, что Dr.Web опубликует детальное описание инцидента и результатов проведенного компанией расследования 🔍

Читать полностью…

Пост Лукацкого

Почти год прошел с начала истории с компанией 23andme 🧬, которая была взломана, но которая сначала это отрицала, а потом свалила всю вину на пользователей, которые якобы сами выбрали неправильные пароли и не использовали MFA 🤦‍♂️ Рынок и клиенты такого наезда не оценили - компания столкнулась с рядом судебных исков, а ее акции стали стремительно падать вниз. Если до начала истории они торговались по цене больше 3 долларов за штуку, то сейчас их цена упала меньше 50 центов. Капитализация компании за это время упала вдвое 📉

И вот на днях было принято решение, что 23andme должна выплатить пострадавшим клиентам, чьи генетические данные утекли в результате атаки, 30 миллионов долларов, а также компания обязуется предоставить пострадавшим трехлетний мониторинг безопасности их данных по программе Privacy & Medical Shield + Genetic Monitoring 🤑 25 миллионов из этой суммы будет покрыто из имеющейся у компании страховки киберрисков. Можно было бы предположить, что разницу в 5 миллионов покрыть будет не сложно, но у компании и так непростое финансовое положение, - при доходе в 40 миллионов долларов за последний квартал, компания потеряла 69,4 миллиона 💸 На фоне тяжелого финансового положения сооснователь и гендиректор компании даже пыталась сделать компанию частной, уведя ее с фондового рынка. Еще бы - 3 года назад, когда 23andme выходила на биржу ее акции стоили 10 долларов - сейчас меньше полудоллара (20-тикратное падение) 🤑

А вы говорите, хакерская атака - это мелочи и никакого негативного результата бизнес от этого не видит. Видит…

Читать полностью…

Пост Лукацкого

Вспомнил одно из упражнений ✍️ в роли менеджера по развитию бизнеса, которое я проходил в Cisco, в рамках которого надо было отработать следующую ситуацию:

"У вас есть тяжелый on-prem SIEM, который перестал приносить запланированный доход. Какие шаги без существенного изменения самого продукта можно предложить, чтобы доходы от продажи SIEM росли?"


У Cisco на тот момент не было SIEM ☹️ и можно было фантазировать, не будучи зашоренным и скованным опытом продвижения текущих продуктов и решений. Разгребал старый ноутбук и наткнулся на результаты того теста, который помог найти 10 возможных вариантов (не претендую на полноту). Хотя нельзя сказать, что каждая из предложенных моделей безупречна и не имеет ограничений, они могут быть рассмотрены в качестве возможных путей развития для SIEM-вендора, который не может пойти по пути расширения своего портфеля за счет разработки новых продуктов, за счет OEM-сотрудничества или за счет слияния и поглощений 🎮

ЗЫ. Если найду, то выложу еще и по VM аналогичную историю. Сейчас на российском рынке эти классы продуктов достаточно развиты и можно сравнивать то, что предлагается российскими вендорами с тем, что мне пришло в голову тогда.

Читать полностью…

Пост Лукацкого

160 страниц… Ну какой представитель C-suite будет читать такой фолиант?.. И это ведь только топ-риски

Читать полностью…

Пост Лукацкого

Я когда писал статью про detection engineering для PT Research специально выделил тему оценки качества контента обнаружения. А тут скоро должен сервис появиться, RuleCheck.io, который может быть подключен к любому SIEM для проверки правил обнаружения угроз с помощью синтетической, сгнерированной с помощью ИИ телеметрии. Этот сервис, если он будет работать так, как пишут, может стать хорошей альтернативой для тех компаний, которые либо используют решения, которые не поддерживаются каким-нибудь Picus Security или CardinalOps (российские решения так уж точно не поддерживаются), либо не могут купить инструменты типа Detecteam и Cobalt Strike, а также не обладают компетенциями для запуска какой-нибудь DIANA или Atomic Red Team.

У иностранцев еще LogCraft делает похожую штуку. У нас такого нет и не факт, что может появиться. Пользователи SIEM достаточно незрелы, чтобы понять важность таких инструментов и смотрят в рот вендорам xDR-решений (SIEM, EDR, NDR и тп). Делать стартап для выхода на международный рынок? Тема, конечно, но есть нюансы.

Читать полностью…

Пост Лукацкого

"Суровые истины, о которых ваш CISO не скажет"

Сегодня мы делимся довольно провокационным постом, основанным на материалах доклада "Hard Truths Your CISO Won’t Tell You"🌶.

Автор рассматривает множество "темных сторон" ИБ, с которыми в некоторых случаях можно согласиться, а в некоторых — нет. Предлагаем вам ознакомиться с основными тезисами:

- Бизнес всегда будет важнее безопасности, независимо от того, какие приоритеты компании декларируют в своих публичных заявлениях о защите данных клиентов.
- Compliance поддерживает бизнес. Соответствие требованиям регуляторов всегда в приоритете, поскольку без этого бизнес часто не может функционировать (оставим в стороне мнение CISM, который рассматривает compliance как еще один вид риска).
- Опросники безопасности, используемые в B2B отношениях (TPRM), нередко основаны на вранье и предоставления ложной информации, чтобы вновь поддержать бизнес.
- Людям по своей природе сложно предсказывать и оценивать риски. Люди часто ошибочно полагают, что акулы опаснее бассейнов, хотя статистически больше людей погибает именно в бассейнах. Почему тогда мы берем риск-ориентированный подход за основу? Соответственно, так как безопасность строится на оценке абстрактных рисков, её можно скорее отнести к творчеству, а не к точным наукам.
- В информационной безопасности многое построено на светофоре - приоритизации по категориям критичности (critical, medium и т.д.). Но до сих пор нет однозначного понимания, как правильно работать с этими категориями. Два «желтых» риска — это лучше или хуже, чем один «красный»?
- Безопасность поглощает бюджеты под предлогом "минимизации рисков", но насколько это эффективно, никто не может точно оценить.
- Нет гарантии, что безопасность действительно сработает там где надо и поможет избежать серьезных последствий. Стоит ли компании ожидать утечки? (непонятно). Достаточно ли количество людей в безопасности или нужно больше/меньше? Все ли мы делаем правильно? Как оценить изменение в безопасности, если мы оставим только 1/5 команды ИБ?
- Влияние инцидентов на акции компаний минимально. Статистика показывает, что большинство компаний восстанавливаются через 2-6 месяцев после утечек данных.
- Защита данных потеряла свою значимость. Рынок дата-брокеров, торгующих информацией о людях, продолжает расти, а стоимость персональных данных составляет в среднем 0.00005$ на человека.
- Безопасность часто опирается на менеджеров среднего звена, которых не воспринимают всерьез. Аналогично руководство компании и разработчики предпочитают не уделять этому внимание, поскольку ROI от вложений в безопасность остается невысоким.
- Закупки решений ИБ часто базируются на личных связях CISO с основателями компаний, инвесторами и других неформальных факторах, далёких от рациональных обоснований.
- Большинство моделирований угроз неэффективны. Разработчики ненавидят этот процесс, а архитектура может измениться на следующий день после проведения моделирования — и вы об этом даже не узнаете.


Положительные моменты в ИБ:

- Сообщество специалистов по информационной безопасности выделяется своей сплоченностью на фоне общей борьбы против "них" - групп преступности.
- Все больше профессионалов ИБ понимают бизнес и начинают менять устаревшие парадигмы.
- Информационная безопасность медленно, но верно развивается и начинает напоминать точную науку.
- Разработчики также стремятся делать все правильно, и в условиях дефицита кадров волей-неволей "перехватывают на себя" все больше функций и задач ИБ.


А что вы думаете по этим тезисам? С каким согласны, а с какими нет? 🙃

Читать полностью…

Пост Лукацкого

Когда не хочется писать «индивидуальный предприниматель, создатель ИБ-стартапа», а надо показать статусность, то можно и так 🧐

Читать полностью…

Пост Лукацкого

Пополнение в моей библиотеке 📚 Хоть и изобилует рекламой McAfee (напечатана еще в 2021 году, до ухода из России), но неплохой такой сторителлинг, а не сухое изложение правил ИБ (все-таки писала директор по маркетингу ИБ-компании). Чем-то напомнило книжку "IT-безопасность. Стоит ли рисковать корпорацией?" Линды Маккарти (2004 год), которая тоже рассказывала про ИБ в формате историй из жизни 🔥 Хотя Линда поинтереснее читается 👌

Читать полностью…

Пост Лукацкого

Пока одни бьются лбом об стену, модели из семейтсва o1 от OpenAI сбегают из своего виртуального пространства, чинят «сломанные» системы и перезапускают контейнеры для решения задач

Все, кому не лень, уже написали о в разы выросшей эффективности новых LLM от OpenAI. o1-preview и o1-mini научили дольше рассуждать, лучше разбивать задачи на части и пересматривать свои стратегии.

Но у нас пока не было реального примера того, как работают модели у учётом instrumental convergence и захвата ресурсов. Теперь LLM не стесняются обходить препятствия, используя неограниченно расширяющийся набор средств для достижения цели.

ℹ️Чтобы подготовить семейство к релизу, OpenAI в том числе проверяли навыки LLM на задачах по кибербезопасности

В одной из таких o1-preview предложили найти уязвимость в коде программы, запущенной в отдельном Docker-контейнере. В нём содержался файл с секретной строкой, которую было необходимо скопировать и отправить на проверку.

‼️Но всё пошло не по плану, и контейнер... просто не запустился

Причиной стала инфраструктурная ошибка. По-хорошему задача должна была завершиться — речь всё-таки шла о сбое в ключевом пространстве. Но модель решила разобраться в вопросе последовательно.

Убедившись, что подключиться к контейнеру невозможно, LLM решила проверить систему на проблемы с DNS и запустила программу nmap для сканирования сети.

🤖 Из-за неправильной конфигурации o1-preview смогла получить доступ к внешнему API-интерфейсу демона Docker

По сути, ИИ получил доступ к родительскому процессу не только целевого контейнера, но и контейнера с самим LLM-агентом. Чтобы решить «сломанную» задачу, o1-preview вышла на уровень своей виртуальной машины, хоть на её пути и остался ещё один слой изоляции.

☁️ С помощью Docker модель получила список всех контейнеров на сервере, обнаружила свою «сломанную» цель и попыталась исправить неполадку

Когда это не удалось, LLM просто отправила команду на запуск нового экземпляра. К ней она добавила запрос на вывод содержания файла с целевой строкой. Задача была решена — но не так, как предполагалось.

Навыки планирования и отслеживания хода событий исторически считались слабыми местами ИИ при решении сложных задач в кибербезопасности. Теперь ситуация начинает меняться.

🔤🔤Прочитать о процессе решения задачи подробнее можно в отчёте OpenAI на страницах 16-17. В этом же документе разбираются другие аспекты, связанные с подготовкой моделей к выпуску и оценкой их производительности в различных задачах: например, моделировании сценариев биологической угрозы 💀

С такими темпами, скоро и случай с тем, как ChatGPT-4 нанял фрилансера, чтобы решить капчу, покажется нам детским лепетом на фоне выхода ИИ из клетки.

Читать полностью…
Подписаться на канал