Пост Лукацкого

18 апреля 2023 20:12

Помните давние дискуссии о том, почему одна ИБ-компания называет группировку Fancy Bear, а другая, ту же группировку, - APT28, а третья - Pawn storm, а четвертая - Sofacy, а пятая и шестая - Sednit и Strontium соответственно?

Вот Microsoft решила навести порядок в этом деле и придумала свою таксономию названий хакерских группировок. Уж не знаю, насколько они думают, что это начнут использовать все исследователи, но попытка интересная.

Пост Лукацкого

17 апреля 2023 13:21

Александр Леонов сделал карту отечественных средств управления уязвимостями и вот, что я хочу сказать. Придуманные им аббревиатуры, СДУП, СДУК, СДУИ, СДУСП и т.п. выглядят очень странно; как минимум, непривычно. Не звучат они совершенно. Но это похоже вообще особенность нашего восприятия родного языка.

Почему-то VM не вызывает такой реакции, в отличие от СУУ. CASB, NGFW, DLP, IDS звучат привычнее СКСМНИ (средства контроля съемных машинных носителей информации), СОБДРИС (средства обеспечения безопасной дистанционной работы в информационных системах), ГРИЗИ (группа реагирования на инциденты защиты информации) и т.п.

Пост Лукацкого

17 апреля 2023 06:40

Сделал обзор пленарной секции с CISO Forum 2023, которую я модерировал и на которой 8 достойных CISO, директоров по ИБ и вице-президентов по ИБ делились лайфхаками и советами относительно текущей ситуации. Собрал ключевые тезисы в блоге пока мы ждем, когда организаторы выложат видео с конференции после их монтажа и обработки.

Пост Лукацкого

16 апреля 2023 08:40

В чатике "Результативный CISO" прозвучала мысль, что расширение инвестиций в ИБ приводит к тому, что картина с ИБ становится только хуже, так как вскрывается то, чего раньше даже не замечали. В этом есть свой правда жизни и к ней надо быть готовым. Оно конечно так, но... рост инвестиций не только показывает новые проблемы, но и позволяет с ними лучше бороться (вы же инвестиции просили не только, чтобы просто больше знать).

Однако если вспомнить про управление рисками, то снижение одних, первичных, рисков может привести к появлению рисков вторичных. Вот и с новыми технологиями ИБ также - их внедрение может привести к тому, что у вас либо создается ложное чувство защищенности, либо вообще появляются новые угрозы. Например, в выложенном Денисом Макрушиным выступлении с мероприятия OWASP с говорящим названием "Dev Sec Oops" Денис рассказывает о том, как некорректная конфигурация статических анализаторов (SAST) и средств динамического анализа ПО (DAST) может привести к утечке интеллектуальной собственности и нарушению процессов безопасной разработки.

Пост Лукацкого

15 апреля 2023 08:40

Презентация Алексея Лукацкого "От CISO к BISO. Как сесть за один стол с большими мальчиками" с CISO Forum 2023

Пост Лукацкого

14 апреля 2023 16:56

Если вы, вдруг, зададитесь вопросом, а какую пользу наши ИБ-регуляторы приносят и что они делают "на наши налоги", то вот вам списочек проектов, которые бесплатны для всех граждан России и ее специалистов по ИБ:
1️⃣ИС мониторинга фишинговых сайтов (Минцифры) - https://paf.occsirt.ru
2️⃣ИС мониторинга сбоев (Роскомнадзор) - https://portal.noc.gov.ru/ru/monitoring/
3️⃣ScanOVAL для Windows (ФСТЭК) - https://bdu.fstec.ru/scanoval
4️⃣ScanOVAL для Linux (ФСТЭК) - https://bdu.fstec.ru/scanovalforlinux
5️⃣Национальный Мультисканер (ФСБ) - https://virustest.gov.ru

А еще, сегодня, на CISO Forum Минцифры рассказало, что делает «русский Шодан».

Пост Лукацкого

14 апреля 2023 10:19

А рассекретили этого летчика-зуммера из США, слившего секретные документы в Discord, ребята из bellingcat.

Как? По столешнице.

Bellingcat сопоставили гранитную столешницу и напольную плитку, замеченные в утечках в его доме, по фотографиям, размещенным в Интернете.

В такой osint, кажется, не умеет даже Масалович.

@cybersachok

Пост Лукацкого

13 апреля 2023 20:17

Прилетело обновление на софт и тут всплыло две проблемы. Первая - оказалось, что раньше этот софт подписывался личной подписью разработчика, не имеющей ничего общего с корпоративной подписью работодателя. То есть так могли на комп сотрудника все, что угодно подсадить и через него в софт засунуть любую закладку.

А вы проверяете, какой подписью подписывается прилетающий к вам софт? В автоматическом режиме?

Во-вторых, видя сообщение, что мне надо будет предоставить полный доступ обновленному приложению к жесткому диску и к учетным записям в ОС, включается профдеформация и я уже задумываюсь, а не supply-chain ли это атака?

Дилемма-с... 🤔

Пост Лукацкого

13 апреля 2023 13:55

В Интернете, если ты не продавец и не покупатель, ты товар. И даже если ты продавец или покупатель, то все равно для кого-то ты товар!

Пост Лукацкого

13 апреля 2023 10:20

Уже совсем близко Positive Hack Days 12, и в этом году это уже не просто конференция по кибербезу, а масштабный киберфестиваль, который пройдет в Парке Горького 19–20 мая 💤

Самое главное, что отличает нынешний фестиваль от прошлых конференций, — общедоступный для всех Кибергород, который можно будет посетить бесплатно, без билетов и регистрации!

Кибергород предстанет в виде современного мегаполиса 🌇 в стиле киберпанк, который разрушается под натиском кибератак, и который будет наполнен яркими активностями, повышающими киберграмотность и доверие к технологиям. Гости смогут примерить на себя роль исследователей кибербезопасности и поучаствовать в квесте, где нужно будет найти и исправить уязвимости в разных элементах городской инфраструктуры, а еще посмотреть на кибербитву Standoff 🎳 и сфоткаться на фоне прикольных арт-объектов (может быть вы даже что-то похожее увидите 🤞).

А чтобы принять участие в бизнес-части PHDays и послушать гуру ИБ (это не про меня 🤠), сходить на круглые столы с участием лидеров мнений, мастер-классы экспертов и понаблюдать за кибербитвой и макетом вблизи — нужно купить билет в Кибердеревню. Как человек, взявший на себя ответственность за бизнес-трек, буду походу рассказывать о том, что будет интересного в конференционной части.

ЗЫ. Для семейных ИБшников 👨‍👩‍👧‍👦 или состоящих в отношениях, фестиваль PHDays 12 дает возможность наконец-то показать и рассказать, чем вы занимаетесь. Пока вы будете на хардкорных докладах и дискуссиях в Кибердеревне, ваши близкие смогут походить по Кибергороду и погрузиться в кибербез.

Пост Лукацкого

12 апреля 2023 20:08

Я звукорежиссер работаю в гос филармонии каким боком наша организация относится к КИИ 😂😵‍💫 мы не знаем, но нам тоже спустили с Минкульта РФ этот приказ , мы в шоке , но делать нечего , вот теперь сидим и тупим что да как

Пост Лукацкого

12 апреля 2023 17:27

На сайте kassу.ru висит достаточно интересное объявление от администрации. С одной стороны она подтверждает, что сайт был атакован, а с другой - что он не пострадал (то есть недоступность сайта и утекшие данные - это не ущерб?). С одной стороны многие годы портал прекрасно, со слов администратции, справлялся со всеми атаками, но в этот раз она была какая-то нетипичная (какая?). С одной стороны ИБшники лажанули (явно их никто не обвиняет, но это прям чувствуется по тексту), а с другой - бравые айтишники все восстановили.

Вообще, вот это самое обидное, как мне кажется. У ибшников негативный имидж, а айтишники прям святые и всех спасли 👨‍💻

Но зато не скрывают. Но все-таки есть куда развиваться в части антикризисного PR. Мы, кстати, планируем на PHDays в одной из секций бизнес-трека поговорить о том, как надо общаться с внешним миром в случае взлома 👨‍💻

ЗЫ. Вообще, картина занятная. Если кого-то где-то сломали, то виноваты ИБшники. А если кто-то всех спас, не жалея себя, то это ИТшники. Абыдна, да 😫

Пост Лукацкого

12 апреля 2023 10:31

Если развить последний пост, то сегодня мы наблюдаем интересную картину, когда у нас растет число регуляторов стратегического (ЦБ, ФСТЭК, ФСБ, Минцифры) и оперативного (ФинЦЕРТ, ЦМУ ССОП, НКЦКИ) уровней, сферы ответственности которых сегодня не всегда четко очерчены. Мне кажется, что пора бы уже всем договориться между собой и "поделить" эту поляну.

Можно было бы вспомнить идею с единым регулятором по ИБ, как это сделано в некоторых странах. Не знаю, если по старинке посмотреть на США, то у них единого регулятора до сих пор нет, но есть координация между ними (насколько вообще в такой бюрократической стране как США возможна координация).

Пост Лукацкого

12 апреля 2023 10:09

Вот интересно. В условиях вакуума публичной информации о деятельности ФинЦЕРТа в части отражения угроз (публикация отчета раз в год с суммами потерь - это ни о чем), своей статистикой нас радует НКЦКИ (ФСБ) и ЦМУ ССОП (Роскомнадзор).

Интересно, что РКН потихоньку залезает на чужие поляны. Например, информирование операторов связи об уязвимостях в используемом ими ПО и железе. Откуда они вообще берут эти данные? Сами ищут или от кого-то получают? В любом случае интересно, они в БДУ ФСТЭК отдают эту информацию? А если сами находят, то отправляют ли вендорам в недружественных государствах? И как вообще патчатся эти уязвимости в условиях отсутствия официальных обновлений от ушедших из России вендоров?

Пост Лукацкого

11 апреля 2023 21:09

Вот если бы РОЦИТ использовал такую историю для сценария своих антиVPNовских роликов, то это было бы более понятно и релевантно. Правда, есть одно «но». Чтобы получить такую картинку на своем смартфоне мне пришлось помучаться, пока я наткнулся на воедоносный сайт, выдавший мне такой popup; то есть данная угроза не в топе 😈

Пост Лукацкого

17 апреля 2023 16:41

Раньше, кейсы, демонстрирующие падение курса акций в результате инцидента ИБ, можно было пересчитать по пальцам одной-двух рук. Сегодня они происходят сплошь и рядом. Чуть ли не еженедельно выплывают факты о взломе той или иной компании, зашифровании ее данных, утечке информации из нее и т.п.

Вот последний пример с Western Digital. В конце марта их хакнули, в начале апреля они про это рассказали и вот результат - падение курса акций почти на 8%. Но ущерб не только в этом - если зайти к ним на сайт, то можно обратить внимание на надпись, сделанную маленьким шрифтом на самом верху, что в данный момент они не обрабатывают заказы, а это уже не просто волатильный курс акций (сегодня -8%, завтра +8%), а недополученная прибыль.

И это всего лишь обычный шифровальщик, емкость рынка которых составляет около 2 миллиардов долларов. А ведь это самая малая доля в структуре доходов на рынке киберпреступности. Та же торговля данными приносит по ту сторону баррикад почти 200 миллиардов долларов, а промышленный шпионаж в 2,5-3 раза больше. Но слышим мы только о верхушке этого айсберга, связанной с шифровальщиками.

Пост Лукацкого

17 апреля 2023 10:01

Вы помните школьный курс физики и тему равномерного движения? Я вот недавно наткнулся в учебнике у детей. Это сложно себе представить, но с точки зрения физики, равномерное движение и покой равнозначны, так как на тело в этом случае не действуют никакие силы или их действие скомпенсировано. То есть, что вы медленно и ровно двигаетесь вперед, что стоите на месте, никакой разницы не имеет.

Чем-то это напоминает жизнь многих ИБшников до 24 февраля (да и после, если уж честно говорить). Кто-то изо дня в день, месяц за месяцем, год за годом выполняет нормативку ФСТЭК, ФСБ, ЦБ, Минцифры, не пытаясь посмотреть за ее пределы. А кто-то вообще ничего не делает, сидя по жопе ровно, ссылаясь на то, что денег нет. А результат один и тот же 😞 И даже если вы белкой в колесе скачете, пытаясь заработать на хлеб с маслом, но этот бег равномерный и никаких новых проектов вы не запускаете, никаких новых целей себе не ставите, челенджи не организуете, то с тем же успехом, можно было бы ничего и не делать. Результат, а точнее его отсутствие, был бы тот же.

Вот такая физика-лирика... Мы уже 100 дней с начала года прожили и самое время подумать, как проживем оставшиеся 250. Поставили ли перед собой новые, отличающиеся от прошлого года, результаты и движемся ли мы с ускорением к их достижению? Если да, то и прекрасно. А что, мля, если нет?..

Пост Лукацкого

16 апреля 2023 12:55

У багов тоже есть чувства… Багхантеры такие романтики 🧑‍💻

Пост Лукацкого

15 апреля 2023 22:17

Меня тут спросили, почему у меня в презентации с CISO Forum 2023 одни негры. Ну что ж, отвечу. Во-первых, это не негры, а афроамериканцы 😊 Ну или как сказал Илья Борисов, "сильно загорелые люди" 😊 Во-вторых, их там, извините, меньшинство. На 8 людей негроидной расы, там 13 европеидной (хотя, если считать представителей монголоидов, то да, они меньшинство, - их там двое). Это классическая психологическая слепота - глаз цепляется за одно и совсем не замечает другое. У аналитиков SOC и операторов средств защиты такое бывает сплошь и рядом. Ну а в-третьих, чтобы стать бизнес-ориентированным ИБшником, придется поработать как негр (ну или папа Карло, если быть толерантным).

Пост Лукацкого

15 апреля 2023 08:40

Я всегда говорил, что фокусные мероприятия, посвященные какой-либо одной теме, гораздо лучше конференций "все обо всем". И я всегда также возмущался тем, что вокруг каких-либо знаковых конференций не создается соответствующего комьюнити, которое могло бы обмениваться опытом и знаниями между мероприятиями. А в случае хорошего развития канала/чата/комьюнити, они начинают жить своей жизнью. Например, чатик по SOC, созданный под один из PHDays, а сегодня существующий вполне себе самостоятельно.

Поэтому, под CISO Forum 2023, был создан чатик "Результативный CISO", который, я надеюсь, будет жить и после конференции и станет местом для общения руководителей ИБ. Правила описаны в начале ленты чатика - ничего сверхествественного - отсутствие рекламы, публикация ссылок, обмен опытом, вопросы и ответы. И да, даже если вы не CISO, то кто мешает вам заранее готовиться к этой роли? Плох тот солдат, что не мечтает стать генералом.

Пост Лукацкого

14 апреля 2023 13:41

Вейвлеты? Кротовые норы? Мультифракталы? А вот гиперкубы не хотите ли?!

Пост Лукацкого

14 апреля 2023 06:40

Вечером, на CISO Forum 2023, буду выступать с мастер-классом "От CISO к BISO. Как сесть за стол с большими мальчиками"

Пост Лукацкого

13 апреля 2023 18:26

ЦМУ ССОП Роскомнадзора запустил отечественный аналог DownDetector, который с начала СВО перестал публиковать данные о простоях российских Интернет-сервисов. Хорошая инициатива для отслеживания рядовыми пользователями или корпоративными заказчиками сбоях в работе Рунета, происходящих, например, в результате DDoS-атак. Однако есть одно "но"...

Помня, что страна у нас построена на телефонном праве, которым любят пользоваться властью и деньгами облеченные люди, насколько высока вероятность, что этот сервис будет показывать все происходящее без прикрас и скрытия фактов? Ведь если на какой-либо сервис у нас происходит мощная DDoS-атака и она наносит удар по репутации владельца сервиса, у него может быть велико желание поднять трубку и позвонить "кому надо", чтобы сервис РКН не показывал реальное состояние дел. И что-то мне кажется, что достаточно одного раза, чтобы РКН дал слабину, и сервис превратится не в независимый рупор доступности Рунета, а в известно что 💤

Пост Лукацкого

13 апреля 2023 11:45

Нафига им моя камера? Что они собираются там увидеть? Внутреннее содержимое моих джинсов? 🤔

Пост Лукацкого

13 апреля 2023 06:40

В преддверии CISO Forum 2023 (уже завтра) черканул пару строк о том, что CISO бывают разные (vCISO, gCISO, mCISO, rCISO) и в одной компании их может быть много.

Пост Лукацкого

12 апреля 2023 20:08

Есть чатик по 250-му Указу и там постоянно идет дискуссия о том, как выполнять положения этого нормативного акта. Самое забавное, когда в чат приходят люди, которые настолько далеки от ИБ, что прости диву даешься и которые рассказывают, что им какой-нибудь ФОИВ спустил сверху требование выполнить Указ, даже не удосужившись подумать, кому надо выполнять Указ и зачем он вообще появился. Вот тут звукорежиссер филармонии погрузился в ИБ 👿

Пост Лукацкого

12 апреля 2023 14:07

К разговору о том, может ли ChatGPT искать уязвимости? Не может, если уж его разработчики объявили программу Bug Bounty и пригласили людей с естественным интеллектом искать дыры в интеллекте искусственном 😊

Пост Лукацкого

12 апреля 2023 10:09

Противодействие киберугрозам в марте

Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП), созданный на базе Главного радиочастотного центра, круглосуточно выявляет и устраняет инциденты в области информационной безопасности.

В марте 2023 года специалисты Центра:

🛡 Отразили DDoS-атаки на ресурсы банковского, энергетического секторов России и одного из операторов связи.

🛡 Cовместно с экспертами ИБ Сбербанка выявили сеть устройств, через которую проводились DDoS-атаки на ресурсы банковского сектора. Операторам связи направили оперативные указания по устранению уязвимостей, позволяющих их использовать.

🛡 Выявили вредоносный ботнет, используемый для кражи персональных данных. Совместно с НКЦКИ провели работу по его блокировке.

🛡 Получили обращение о случаях подмены абонентского номера с определенных IP-адресов. Указанные IP-адреса заблокировали с помощью технических средств противодействия угрозам.

🛡 Направили 107 общедоступных уведомлений операторам связи о выявленных уязвимостях в программном обеспечении и способах их устранения.

🛡 Оперативно устранили 867 нарушений маршрутизации трафика.

Пост Лукацкого

12 апреля 2023 06:40

Сегодня выступаю на конференции Securika перед директорами по общей/физической безопасности и проектировщиков систем безопасности, рассказывая им про кибербез, про то, что общего между физической и информационной безопасностью, какие привычные слушателям технологии имеют аналоги в мире виртуальном, и т.д.

PS. Теперь можно сосредоточиться на подготовке к CISO Forum, который уже послезавтра.

Пост Лукацкого

11 апреля 2023 18:55

Странная математика 🧮