alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Интересный тренд на мировом рынке ИБ - многие игроки отказываются от статуса публичных компаний, что может быть объяснимо различными факторами 🤔 Тут и рост поглощений со стороны инвестфондов, что позволяет поглощаемым компаниям иметь достаточное количество собственных, а не заемных средств, на свое развитие ↗️ И нежелание выполнять растущее число требований к публичным компаниям. И желание поменьше внимания привлекать к себе со стороны государства, особенно в части разработок на базе искусственного интеллекта. И много чего еще...

Конечно, не стоит забывать, что несколько лет назад был просто всплеск интереса к теме кибербеза и многие компании, под влиянием момента, пошли на биржу 🐂, но потом произошло переосмысление и рынка и своей роли на нем. Кого-то из готовившихся к выходу на биржу, как Lacework, Exabeam, Recorded Future, успели купить раньше. Ну а кто-то (Sophos, Proofpoint, Ping Identity, SailPoint и т.п.) считает, что частный статус позволяет развиваться быстрее. У всех своя правда 🐻

Главное, что стоит помнить, что CISO должен оценивать не столько технических характеристики приобретаемых продуктов (для этого у него подчиненные есть), сколько перспективы компании-производителя 🔮, так как именно от них зависит будущее приобретаемого продукта. Вот поглотит ИБ-игрока вендор покрупнее и купленный продукт может исчезнуть из портфолио или поменять вектор развития или вообще перестать нормально развиваться. Нередкая практика, кстати 💡

Для российского рынка это не так актуально - у нас всего одна публичная компания в области ИБ (и парочка гибридных). Но кто знает, как оно все повернется в обозримом будущем?.. 🤔

Читать полностью…

Пост Лукацкого

Великая была битва ⚔️, развернувшаяся в киберпространстве, где силы защитников сети, как воины света, сражались против легионов теней, что проникали из темных уголков виртуального мира 🪬

Собрались тогда великие специалисты по кибербезопасности, каждый из которых владел мощным оружием, заточенным для битвы с невидимыми врагами 🪓 Их предводителем был Арджун из мира киберзащиты — мастер своего дела, ловко отражающий атаки и с легкостью обнажающий слабости врага 🐲 Рядом с ним стоял мудрый Лукацкий Кришна, стратег и советник, направляющий Арджуна, чтобы его действия были точными и непреклонными 🗡

На их пути встали Кауравы из темной сети, ведомые кибердемоном 👿 Дурьодханой, жадным до власти и обладающим коварным разумом. Он выпускал на защитников вирусы, как ядовитые стрелы, и программы-вымогатели, что пронизывали сети словно копья 🦠, грозящие разрушить все вокруг. Но защитники киберпространства стояли стойко, с позитивом в сердце.

В этой битве участвовал Хануман 🐵 из кибераналитиков — он перемещался стремительно, как огонь, проникая в самые труднодоступные узлы сети и выявляя скрытые угрозы, прежде чем те могли поразить своих жертв. Он был незаменим, как глаза и уши армии света, ведь видел то, что другие не замечали 🙈

И не дрогнули сердца воинов света ⚔️ Каждый удар вируса отразили они как щитом с помощью защитного ПО, а каждую атаку врага остановили, подобно несокрушимой крепости 🏰 Объединив усилия, они окружили Дурьодхану и его легионы, разрушив их, и воцарился тогда в киберпространстве мир, свет ☀️ и позитив!

Так завершилась великая битва ⚔️, в которой силы добра одержали верх, сохранив сеть от разрушения. И стало это уроком: что лишь единство, мудрость, непреклонная воля и позитивный взгляд на мир киберпространства могут защитить его от тьмы и хаоса.

Вы прочитали краткое содержание моих выступлений на ближайшие полторы недели, которые я проведу в разных частях Индонезии 🇮🇩

Читать полностью…

Пост Лукацкого

Я на курсах 👨‍🏫 по цифровой гигиене для топ-менеджеров среди прочего всегда даю совет про обязательное отвязывание мобильного номера от Госуслуг, банков, соцсетей, почты и т.п. в случае его смены, потери или иных действий, которые могут привести к невозможности использования номера. В том числе это надо делать и после смерти ближайших родственников 😵 Иначе можно попасть в ситуацию, о которой пишут в Интернете.

Москвич умер ⚰️ весной этого года, а осенью его вдова обнаружила, что кто-то списал с карточного счета 💳 мужа более 1 миллиона рублей. Произошло - это спустя всего неделю после смерти, когда мошенники смогли получить доступ к банковскому счету супруга 🧾 Как оказалось, это удалось сделать с помощью выпущенной eSIM по украденным паспортным данным умершего мужа, с которыми плохие парни пришли в салон связи и оформили дубликат SIM-карты, благодаря которой и сняли крупную сумму денег 📞

А у вас есть в вашей модели угроз такой сценарий?

Читать полностью…

Пост Лукацкого

Есть такая компания в Великобритании - Carphone Warehouse, которая торгует в Интернет телефонами 📱 и которая столкнулась с утечкой персональных данных ее 3 миллионов клиентов и 1000+ сотрудников. В результате этого инцидента местный Роскомнадзор (ICO) оштрафовал компанию на 400000 фунтов стерлингов 🤑 Расследование ICO выявило, что Carphone Warehouse не обеспечила надлежащую защиту данных, что позволило злоумышленникам получить доступ к именам, адресам, датам рождения, номерам телефонов и, в некоторых случаях, к данным кредитных карт клиентов 💳 ICO отметило, что компания не приняла достаточных мер для предотвращения подобных атак, несмотря на наличие известных уязвимостей в системе безопасности.

Но кейс этот интересен не тем, что тамошний "РКН" предложил скидку в 20% на оплату штрафа, если она будет произведена в течение 30 дней с момента назначения наказания. А тем, что причиной утечки стало необновленное ПО платформы для управления сайтом WordPress 🖥 Даже не RCE в WordPress, которая по нынешним расценкам Zerodium может стоит до 100 тысяч долларов, а просто необновленный софт. На платформах Bug Bounty 💰 такая уязвимость стоит от 100 долларов и может доходить до 10 тысяч. То есть онлайн-ритейлер потратил от 40 до 4000 раз больше денег на штраф, чем стоило бы ему обнаружение такой дыры при выходе на платформу поиска уязвимостей за вознаграждение 💸

Схожая история со многими инцидентами, повлекшими большие или огромные штрафы 💸 Например, взлом сайтов TicketMaster или British Airways через уязвимость в стороннем скрипте JavaScript, что повлекло за собой утечку информации, включая и платежную. TicketMaster оштрафовали на 6,5 миллионов, а авиакомпанию на рекордные 230 миллионов долларов. И это при том, что стоимость данных уязвимостей на платформах Bug Bounty оценивается обычно в смешные 3-10 тысяч долларов 💵 Ну ладно, компания не купить сканер уязвимостей (тем более, что и некоторые игроки рынка сканеров защищенности готовы продаться, как это пытается сделать Rapid7), но уж выставить себя на Bug Bounty и привлечь хакеров, чтобы они поискали уязвимости за вас, можно? Но почему-то никто этого не делает. И вот результат - штрафы в тысячи раз превышают сумму вознаграждения 🤑

Если в России все-таки введут оборотные штрафы за утечки ПДн 👩🏼‍⚖️ (до конца года обещают принять закон), то у нас выход на Bug Bounty станет не только демонстрацией зрелости компании, но и стремлением к тому, чтобы считать деньги. Хороший пример - отели Marriott и Hyatt 🧳 Обе сталкивались с утечками. Marriott выставили счет на десятки миллионов штрафа и все равно заставили обеспечивать независимую оценку защищенности в течение ближайших 20 лет. А Hyatt 🏨 сам вышел на Bug Bounty 🛡 и с тех пор про утечки в этой отельной сети ничего не слышно. Результат, как говорится, налицо 👍

Читать полностью…

Пост Лукацкого

Всеобщая ИТзация всей страны, обучение хакерству с младых ногтей 👶, пентестерские курсы из каждого утюга - это важно и хорошо. Главное не забывать вкладывать в голову учащихся не только технические знания, но и правильные посылы и смыслы, для чего это все! А то вырастим на свою голову хакеров 🧑‍💻 А в мире столько выборов не найдется, сколько у нас хакеров будет.

ЗЫ. Вы, кстати, за кого - за Дональда или Камаллу? 🇺🇸

Читать полностью…

Пост Лукацкого

Schneider Electric взломали и украли данные. Опять! ⚠️ В июне 2023-го это была группировка cl0p. В феврале 2024-го - это уже была Cactus. В ноябре 2024-го (вчера) HELLCAT. Как-то уж слишком часто это происходит с лидером АСУТПстроения 🏭

Хорошо, если там просто стащили данные и не было никаких закладок, как в кейсе с SolarWinds. Все-таки внедрение импланта в код - это непростая операция, далекая от типичных действий большинства группировок, связанных с шифровальщиками ⚪️ Плохо, если украденные данные содержат сведения, которые, в случае опубликования, помогут плохим парням реализовывать больше атак 🤕

Читать полностью…

Пост Лукацкого

Когда ко мне пришли в личку один раз с вопросом: «Мне 35/43/51 — хочу перейти в ИБ из другой профессии», я ответил, как смог в рамках Telegram-канала 📱 Когда пришли второй раз — я тоже ответил в личке. Но когда идентичных вопросов стало больше трех, я решил, что надо вынести мой ответ в паблик, разбив его на части...

Читать полностью…

Пост Лукацкого

Благая весть о кибербезе в святом месте, в храме 🥺 Заучить как «Отче наш»!

Читать полностью…

Пост Лукацкого

Александр подкинул ссылку на интересное исследование Gartner, в котором они ставят под сомнение текущие практики повышения осведомленности, основанные на персональном опыте и обучении 👨‍🏫 Согласно американским аналитикам существует проблема восприятия киберрисков - несмотря на усилия, направленные на повышение осведомленности о киберрисках, поведение пользователей зачастую остается небезопасным 💅 Поэтому многие мероприятия по изменению корпоративной культуры, чтобы ИБ воспринималась более серьезно и побуждала к действиям, оказываются неэффктивными.

А все потому, что пользователи часто не ощущают прямых последствий своих действий, что позволяет им принимать решения, не уделяя должного внимания безопасности 👋 Зачастую инцидент влияет не на них напрямую, а на компанию и то, опосредованно. Это требует внедрения новых подходов, которые будут создавать у сотрудников ощущение личной ответственности за их действия 🤔

Gartner рекомендует менять стиль коммуникации, чтобы акцентировать на личных последствиях от реализации инцидентов ИБ и использовать подход Gartner PIPE (practices, influences, platforms and enablers) для создания программы по укреплению культуры безопасного поведения 😛 При этом рекомендуется "давить" не персонально на каждого сотрудника, а через социальные группы, которые своим примером должны показывать "как правильно" 😠

Несколько тактик коммуникаций для привлечения внимания к кибербезу от Gartner:
1️⃣ Связь действий с последствиями. Донесение до сотрудников четкой связи между их действиями и результатами. Пример: "Если клиенты доверяют нам свои данные, мы получаем больше заказчиков, а вы получаете зарплату и премии/бонусы" или "Атака шифровальщика стала причиной того, что мы не достигли бизнес-показателей и мы не сможем получить премию" 🤑
2️⃣ Использование корпоративных ценностей. Соотнесение сообщений о безопасности с уже существующими корпоративными ценностями, такими как безопасность, качество или финансовая стабильность 🧐
3️⃣ Социальное давление. Использование сообщений, которые акцентируют внимание на том, что риск может затронуть других людей, что побуждает к более ответственному поведению. Например, "Утечка персональных данных может разрушить жизнь вашего коллеги" 🫵
4️⃣ Персонализация. Демонстрация возможных последствий для самих сотрудников или их близких. Пример: "После кражи моей цифровой личности я чувствовал себя беспомощным" 👨‍👩‍👧‍👦
5️⃣ Фан и запоминаемость. Использование юмора и узнаваемых мемов для того, чтобы сообщения лучше запоминались. Пример: "Смешной цифровой двойник бывает только в фильме "Приключения Электроника", в реальной жизни это может кончиться гораздо хуже" (про Электроника это уже моя придумка) 🖕
6️⃣ Изменение культуры обхода правил. Часто сотрудники применяют обходные пути для упрощения работы, что подрывает безопасность. Необходимо менять культуру, чтобы сотрудники видели ценность в соблюдении мер безопасности, и минимизировать трения в работе с системами безопасности ❤️

Читать полностью…

Пост Лукацкого

В одной иностранной организации были следующие KPI для оценки уровня ИБ на уровне всей организации:
1️⃣ % топ-менеджеров, у которых в персональных целях (MBO/OKR/KPI) были определены и задокументированы цели в области кибербезопасности, за достижение которых бонус платился, а за недостижение - нет
2️⃣ % соблюдения политик безопасности (отсутствие нарушений, все исключения одобрены и т.п.)
3️⃣ Количество инцидентов
4️⃣ Разница между планируемыми и фактическими показателями при выполнении мероприятий по ИБ, а также инвестиций в кибербез
5️⃣ % сотрудников, прошедших соответствующую оценку для определения эффективности пройденного ими обучения (то есть оценивается не факт обучения, а что оно дало пользу)
6️⃣ Количество проведенных киберучений
7️⃣ Сотрудничество с ФБР и государственными агентствами и службами (специфическая метрика)
8️⃣ Наличие разработанных планов обеспечения непрерывности ведения деятельности (COOP/ОНВД)

Первая - прям хорошая метрика, которая с одной стороны вовлекает топов в ИБ, а с другой - мотивирует их достигать результата. А если у топа от выполнения целей ИБ зависит бонус, он точно напряжет всех, чтобы ИБ выполнялась. Главное, цели выбирать правильно и установить контроль, чтобы не было очковтирательства.

Читать полностью…

Пост Лукацкого

Ну что, тема ИБ идет в массы. Вот и на Минаев Live теперь ▶️ Да, не Дудь, не Бузова и не иные популярные блогеры и тиктокерши, но уже движение в правильном направлении ➡️

Читать полностью…

Пост Лукацкого

🔄 Вышла новая версия ATT&CK v16, в которой MITRE сосредоточила свои усилия на создании баланса 🎮 между интересами разных категорий специалистов по ИБ. Обновлений сделано достаточно много и среди них:
1️⃣ Обновления для облачных сред. В новой версии реанимирована облачная матрица, включающая теперь четыре платформы - IaaS, SaaS, Identity Provider и Office Suite (Azure, AD, Google Workspace и Office 365 были удалены), что обеспечивает ясное различие функций, например, Azure AD теперь входит в Identity Provider. Это помогает улучшить навигацию и обеспечить практическое применение для специалистов по мониторингу 👀

2️⃣ Нововведения в техниках. Добавлены новые техники, такие как T1496.004, где злоумышленники могут использовать скомпрометированные приложения SaaS для отправки спама ❗️ и истощения ресурсов. Также появилась техника T1666, описывающая изменение иерархии облачных ресурсов, чтобы уклониться от защитных механизмов 💭 Помимо них добавлены T1546.017: Event Triggered Execution: Udev Rules и T1558.005: Steal or Forge Kerberos Tickets: Ccache Files, а также T1557.004: Adversary-in-the-Middle: Evil Twin, T1213.004: Data from Information Repositories: Customer Relationship Management Software и T1213:Data from Information Repositories: Messaging Applications. Всего было добавлено 19 новых техник (только в Enterprise), внесены изменения в более чем 100 техник.

3️⃣ Обнаружение и защита. В v16 добавлено более 200 примеров псевдокода, помогающего обнаруживать 🔍 многие из описанных техник - для выполнения (85 примеров), доступа к учетным данным (120 примеров псевдокода) и работы с облаком (26 примеров). Также внедрен скрипт на Python для быстрого извлечения псевдокода обнаружения 🔎

4️⃣ Новая защитная мера. Out of Band Communication для обеспечения безопасности в случае компрометации сети 🕊

5️⃣ Киберразведка. Обновлены данные о 6 кампаниях и об 11 группах 🇷🇺 В раздел Software добавлено описание 33 новых инструментов, используемых злоумышленниками. Теперь в матрицу включено описание 844 инструментов, 186 групп и 42 кампаний 🇺🇸

6️⃣ Инфраструктура и инструменты. Представлен новый сервер TAXII 2.1, который позволяет пользователям развернуть его в своих организациях. TAXII 2.0 будет закрыт в декабре, и пользователи должны будут перейти на новую версию для получения актуальных данных.

Читать полностью…

Пост Лукацкого

Издание Politico продолжает подбрасывать дровишки в разгорающийся хакерский скандал, о котором я написал вчера и который, по всей видимости, выходит далеко за пределы страны 🇮🇹 и затрагивает такие государства, как Израиль, Ватикан, Великобританию и Литву. По данным утечек из полицейских прослушек 📞, миланская фирма Equalize, занимающаяся частными расследованиями, использовалась для взлома государственных баз данных и получения конфиденциальной информации о финансовых операциях и следственных делах. Среди клиентов компании оказались израильские спецслужбы и Ватикан, что подтверждается записями телефонных разговоров, попавшими в руки итальянских СМИ 📰

Основным фигурантом дела является IT-консультант Нунцио Самуэле Калауччи, который, по утверждению следователей, управлял этой операцией. В феврале 2023 года он встречался с двумя израильскими 🇮🇱 агентами в офисе компании в Милане для обсуждения задания на сумму в €1 миллион. Целью операции был взлом 🔓 данных ряда российских целей, включая близкого соратника президента Путина, а также отслеживание финансовых потоков, связанных с ЧВК Вагнер. Итоговые данные предполагалось передать Ватикану 🇻🇦

❗️Сюр какой-то. Евреи нанимали хакера, ломавшего Пентагон в составе Anonymous, для взлома соратника Путина и ЧВК Вагнер для передачи этих данных Ватикану?!!...❗️

Причины участия Ватикана 🛐 и израильских спецслужб остаются неясными, но их присутствие значительно расширяет масштаб расследования. Израильское посольство в Риме отказалось от комментариев, а Ватикан 💒 не ответил на запрос журналистов Politico. Я бы тоже, если честно, на такую пургу не ответил бы. Ну нахрена Израилю нанимать частника в Италии? У них же своих квалифицированных ребят немало 🥷

Также интересно, что израильские представители предлагали обмен информацией, включая оригинальные документы по скандалу с подкупами в Европарламенте, известному как Qatargate 🇪🇺 Кроме того, они предлагали данные, которые могли бы помочь компании Eni в защите ее интересов, связанных с контрабандой иранского газа 🇮🇷

❗️Сюр номер два. Ладно, найм хакера за деньги. Это я еще могу понять. Но когда израильские спецслужбы предлагают обмен секретными документами с частником?!.. Это вообще как? ❗️

Политики Италии выразили серьезное беспокойство по поводу международного масштаба скандала 💥 Сенатор Иван Скалфаротто заявил, что вовлеченность иностранных акторов добавляет стратегические риски для страны. Министр иностранных дел Антонио Таяни 😱 назвал произошедшее "недопустимым" и приказал создать рабочую группу для защиты министерства и посольств Италии. Следствие также расширяется на Великобританию и Литву - в материалах упоминаются сервера в этих странах и потенциальные действия хакеров из английского Колчестера 🇬🇧

ЗЫ. Если первая статья в Politico вызвала у меня удивление, но в целом она укладывалась в мою картину мира, то нынешний журналистский опус ✍️ как-то уже выходит за рамки очевидного и вероятного. Слишком уж неправдоподобно все это звучит. Но внимание явно притягивает. И, возможно, уводит его от чего-то другого, что хотят скрыть в Италии... 🤔

Читать полностью…

Пост Лукацкого

Я достаточно давно выступаю на позиции, что рынок киберпреступности 🥷 - это такой же рынок, как и все остальные, и живет он по обычным экономическим законам. Он перенимает все самое лучшее из мира легального, отбрасывает все неудобное и неэффективное, выкристализовывая только то, что позволяет зарабатывать деньги 🌐 А деньги можно зарабатывать либо путем привлечения все новых и новых клиентов, либо удержанием старых, которым надо показывать какую-то ценность, формировать доверие к себе. И на нелегальные и преступные продукты и сервисы это тоже распространяется 🎩

И вот новый пример - черный рынок 👺 (правда, наркотиков, не киберпреступности) вводит механизм "тайного покупателя", которые будут следить за качеством предлагаемых "продуктов" и "хорошие" продавцы будут помечаться в даркнете соответствующей иконкой 💰, подтверждающей качество продукции, которой можно "доверять". Думаю, что такая история может быстро перетечь и на рынок киберпреступности, где продавцы также борются за покупателя 🟦

Читать полностью…

Пост Лукацкого

29 октября хакерская группа Ukrainian Cyber Alliance заявила о взломе и уничтожении инфраструктуры Тверской администрации 🔓 Помимо всего прочего пострадала и система взимания оплаты за парковку 🅿️, которая не работала с 29-го по 31 октября. Если попробовать перевести потери бюджета от простоя парковок в деньги, то получится следующая арифметика:

1500 парковок (я округлил, в феврале этого года было 1387) по 30 рублей в час, то есть чуть больше 2-х миллионов рублей при полной круглосуточной загрузке. И хотя более половины сборов в бюджет от платных парковок – это штрафы за неуплату, это не сильно изменит сумму потерь 💰


С другой стороны, для жителей такая атака носит скорее положительный характер, так как они могут парковаться, не затрачивая на это никаких денежных средств, что даже при не очень высокой стоимости парковки (особенно по московским меркам) все равно деньги 💳

Это я к тому, что оценивая ущерб от любого инцидента надо смотреть на него с разных сторон ⚖️ И инцидент, может помимо негатива приносить и какой-то позитив. Вон в кейсе с Delta и CrowdStrike простой самолетов привел к экономии топлива на 50 миллионов долларов, а это, на секундочку, половина бюджета Твери на 2024 год. Это я все к тому, что инцидент, как и риск, имеет дуалистичную природу и не учитывать это было бы неправильно 🤔

Читать полностью…

Пост Лукацкого

Наткнулся на интересный ресурс, который не только позволяет построить дорожную карту 🗺 в любой интересующей вас области, но и уже содержит целый набор готовых роадмапов. В том числе есть и своя схема для ИБ 🛡

На дорожной карте эксперта по ИБ 301 элемент, каждый из которых представляет собой всплывающее окно 🖥, кратко описывающее каждый элемент и ведущее на дополнительные 🆓 ресурсы (текстовые и видео 📱). Вы можете отметить каждый из "шагов" как "сделано", "в процессе", "пропустить", "ожидает", что позволит вам отслеживать прогресс изучения кибербеза ↗️

Очень интересный инструмент...

ЗЫ. Можно и свой роадмап запилить 📎

Читать полностью…

Пост Лукацкого

Если бы Европа действительно хотела нам насолить, ей надо было просто закрыть все VPN в Голландии 🇳🇱

Читать полностью…

Пост Лукацкого

В 1995-м году Ади Шамир, лауреат Премии Тьюринга 🏆 и один из соавторов алгоритма RSA, выступая на конференции Crypto'95, сформулировал 10 принципов, которые нынче известны как 10 заповедей коммерческого ИБ-продукта. Вот этот список: ✔️
1️⃣ Не стремитесь к идеальной безопасности. Абсолютная безопасность недостижима; важно находить баланс между уровнем защиты и затратами на него.
2️⃣ Поймите, что безопасность — это не только технология. Эффективная безопасность требует учета человеческого фактора и организационных процессов.
3️⃣ Сосредоточьтесь на реальных угрозах. Приоритизируйте защиту от наиболее вероятных и значимых угроз, а не от гипотетических атак.
4️⃣ Обеспечьте простоту и удобство использования. Сложные системы безопасности могут быть проигнорированы пользователями; стремитесь к интуитивно понятным решениям.
5️⃣ Интегрируйте безопасность с самого начала. Встраивайте меры безопасности на всех этапах разработки продукта, а не добавляйте их постфактум.
6️⃣ Обеспечьте совместимость и стандартизацию. Используйте общепринятые стандарты и протоколы для обеспечения совместимости и надежности.
7️⃣ Поймите, что безопасность — это процесс, а не продукт. Постоянно обновляйте и совершенствуйте меры безопасности в ответ на новые угрозы.
8️⃣ Обеспечьте прозрачность и доверие. Открытость в вопросах безопасности способствует доверию пользователей и партнеров.
9️⃣ Сотрудничайте с сообществом. Обмен опытом и совместная работа с другими профессионалами повышают эффективность мер безопасности.
1️⃣0️⃣ Оценивайте и измеряйте эффективность. Регулярно проводите оценку и тестирование ваших решений для обеспечения их надежности и соответствия требованиям.

Простенько и со вкусом 🙂 Спустя и 30 лет эти принципы остаются неизменными при разработке любого решения, призванного защищать данные и системы, пользователей и устройства 🛡

Читать полностью…

Пост Лукацкого

А тут вот опять, в день выборов американского президента, пишут на BreachForums про взлом АНБ 🇺🇸 Мол, утекло все из телеком-оператора AT&T, который в свою очередь был взломан в результате атаки на Snowflake ❄️ Интересно, это продолжение сентябрьской истории или что-то новое?...

Читать полностью…

Пост Лукацкого

К упомянутому ранее Gartner PIPE Framework краткое описание, что входит в этот фреймворк 👨‍🏫 Ну и сам документ Gartner 👇, если вам вдруг интересно, как можно из обычных антифишинговых 🎣 симуляций накрутить вот такое ☝️

Читать полностью…

Пост Лукацкого

При всем богатстве техник и тактик в MITRE ATT&CK комбинаций, которые бы применялись на практике, - ограниченное число 📇 Знание этих комбинаций, или путей/цепочек атак, позволяет ускорить обнаружение инцидентов и реагирование на них. Но где взять такие цепочки? 🔗 Из бюллетеней TI их не составишь, так как обычно там только атомарные техники, которые надо еще уметь составлять в правильные комбинации. Раньше вариантов было только два - выстроить собственное TI-подразделение или опираться на экспертизу в области цепочек в ИБ-продуктах (например, по этому пути развивается MaxPatrol O2) 🛡

🆕 И вот недавно MITRE Engenuity’s Center for Threat-Informed Defense анонсировал проект Technique Inference Engine, который как раз облегчает движение по первому пути. В рамках этого проекта собраны существующие цепочки атак 🔗, что позволяет по одной или нескольким техникам предсказать возможные следующие шаги злоумышленника 🔮 В основе проекта ML-модель, обученная на соответствующих данных из 6236 TI-отчетов от OpenCTI, TRAM (позволяет вытягивать индикаторы из TI-отчетов с помощью LLM ), Adversary Emulation Library, Attacks Flow и других проектов MITRE и MITRE Engenuity 🔓

‼️ Важно ‼️ Не стоит думать, что этот инструмент раз и навсегда решит проблему с предсказанием следующих действий злоумышленников. Я провел простой эксперимент - взял свежее описание по группировке PhaseShifters и загнал техники оттуда в TIE. Нет, в ответ я не получил название группировок 🇷🇺, которые используют схожий набор (для этого можно было бы использовать сервис MITRE CARET). Я получил список из 20 техник, которые могли бы еще быть использованы, так как встречались в других инцидентах вместе с введенными мною. Но что делать с этим списком? Все равно не обойтись без понимания того, что делать с этими техниками, то есть без своего TI вам не обойтись. Но список возможных вариантов TIE сужает, что немало 👨‍💻

ЗЫ. Из интересного - можно самостоятельно и локально поиграться и с моделью и с датасетом с помощью Python Notebook 🧑‍💻 - предоставлены все необходимые ресурсы.

ЗЗЫ. Но цепочки проект все-таки не строит 🤷‍♀️

ЗЗЗЫ. И помните, что не все существующие техники попадают в ATT&CK.

Читать полностью…

Пост Лукацкого

Вчера по поселку бегали дети 😀 по домам, "пугали" людей и, следуя традициям Хеллоуина, кричали "Сладость или гадость" 🍭, закрыв тем самым то ли Тыквенный спас, то ли «Ночь таинственных историй», то ли американский праздник, который у нас скоро запретят, как чуждый тонкой и ранимой русской душе.

А я вдруг подумал, что скоро они повзрослеют и начнут просить не конфеты, а цифровые "вкусняшки" - биткойны, стейблкойны и другие элементы современной жизни молодежи. В наше время, когда все за ЗОЖ 💪, а дети с малых лет погружаются в цифру, конфеты просить уже как-то некомильфо.

ЗЫ. Кстати, если кто собирал все таинственные истории по моим соцсетям, то их было 1️⃣🅾️

Читать полностью…

Пост Лукацкого

Неожиданный поворот. Вендор в области аутентификации решил, что никому в голову не придет придумывать себе логин длиной больше 52 символов и поэтому не стал включать в тесты этот сценарий. А зря… Оказалось, что при наличии такого логина (более 52 символов) можно было вообще не вводить пароль (если, конечно, не была включена MFA) 🤦‍♂️

Читать полностью…

Пост Лукацкого

Вас тоже бесит, когда друзья, пришедшие к вам домой, просят пароль от вайфая, но у них не айфон 📲, а точка доступа, на которой приклеен пароль, у вас где-то на антресолях закопана?..

Читать полностью…

Пост Лукацкого

Три интересных новости попались мне относительно искусственного интеллекта. Во-первых, в Японии 🇯🇵 осудили первого человека, которого обвинили в использовании ИИ для разработки вредоносного кода 🦠 Ему дали 3 года и на 4 года отстранен от должности. Однако полиция считает, что никакого вреда обвиняемый своим творением нанести не успел. Но сам факт заслуживает внимания. Тем более, что в сентябре исследователи HP уже писали об обнаружении ими в "дикой природе" вредоноса, предположительно написанного с помощью ИИ. Скоро фишки вредоносов с распознаванием образов (OCR) на базе ИИ на борту (как, например, в случае с Rhadamanthys) покажутся нам детским лепетом.

Вторая новость связана с проектом AI Honeypot 🍯, который должен ответить на вопрос - как активно используется ИИ при проведении атак. Созданная ловушка содержала явные уязвимости, что не могло не привлечь к ней внимание плохих парней, которых по ходу препарировали, пытаясь выяснить, есть ли среди них роботы 🤖 Что интересно, из полутора миллиона атак всего 6 было отнесено к, вероятно, инициированными ИИ-агентами.

А вот третьему исследованию я уделю больше внимания. В нем проанализировали 243 инцидента, связанных с безопасностью ИИ 🧠 в период с 2015 по 2024 годы. Результаты оказались неожиданными - большинство из них - не специфические для ИИ атаки, а обычные проблемы кибербезопасности, которые затрагивают компании и программное обеспечение, работающие с ИИ:
🔤 Около 89% инцидентов были демонстрациями исследователей или легальными проверками, а не реальными атаками злоумышленников 🔓
🔤 Только 17,7% составляют настоящие атаки, специфические для ИИ
🔤 Инъекция через запросы, включая случай с чат-ботом Chevrolet
🔤 Манипуляция моделями, как в инцидентах с ChatGPT или HuggingFace
🔤 Вмешательство в данные для обучения, как, например, в истории с ByteDance или Protiviti
🔤 Adversarial (ну это известная классика).
🔤 Большая часть (82,3%) инцидентов связана с традиционными уязвимостями в ИИ-программном обеспечении, которые ошибочно называют "уязвимостями ИИ"
🔤 Утечки данных, например, инциденты с Clearview AI и Removal.ai
🔤 Хищение ресурсов, как в случае с Anyscale Ray
🔤 Ошибки конфигурации облаков, которые привели к утечке данных , как в кейсе Replicate AI
🔤 Проблемы с безопасностью API, как, например, в инцидентах Vanna SQL или Google Coude Vertex AI.

Исследователи сделали три основных вывода:
1️⃣ Доминирование традиционных уязвимостей. Распространенные проблемы включают доступ к файловым системам, уязвимости аутентификации и проблемы с API. Например, инцидент с Anyscale Ray в 2024 году показал, как через незащищенную точку доступа API были скомпрометированы ресурсы на почти один миллиард долларов 💰
2️⃣ Растущее число атак, специфичных для ИИ. Хотя такие атаки пока редки, их количество увеличивается. Примеры включают инъекцию команд (например, случай с чат-ботом Chevrolet в 2024 году) и кражу датасетов и ML-моделей 🤒
3️⃣ Наибольшая угроза — инфраструктурные уязвимости. Сюда входят хищение ресурсов, утечки данных и ошибки конфигурации облаков. Например, в мае 2024 года контейнерный реестр Replicate AI был открыт для загрузки вредоносных файлов 🤒

Обнаружено, что уязвимости в программных фреймворках для разработки ИИ стали частым явлением. Злоумышленники также создают вредоносные модели ИИ, надеясь на их загрузку другими пользователями. Это тенденции этого, 2024 года 🔮

Основной вывод из этих трех новостей можно сделать один - компании могут неправильно ⚠️ распределять свои ресурсы, сосредотачиваясь на экзотических угрозах ИИ, игнорируя базовые проблемы безопасности, связанные с отсутствием процесса управления уязвимостями и безопасной разработки. Это ведет к ложному ощущению новизны и отвлекает от решения фундаментальных проблем 🛡 И хотя специфические атаки на ИИ реальны и их число растет, именно традиционные уязвимости пока остаются основной угрозой для компаний.

Читать полностью…

Пост Лукацкого

Оно, конечно, ничего нового, но тут в одной статье вывели 10 ключевых проблем, с которыми сейчас сталкиваются CISO. Не так чтобы там были какие-то откровения, но вдруг вы о чем-то не знали, а для вас это проблема или она станет таковой в ближайшее время:
🔤 Расширяющийся ландшафт угроз. Увеличение количества и сложности атак, а также существенное расширение ИТ/ОТ-инфраструктуры.
8️⃣ Изменяющаяся среда. Необходимость оперативно адаптировать защиту под постоянно изменяющиеся требования бизнеса, поддерживая его развитие и не мешая ему.
🔤 Рост регуляторных требований. Многочисленные и часто конфликтующие требования законодательства.
🔤 Риски третьих сторон. Уязвимости поставщиков и участников цепочек поставок, которых компании не контролируют напрямую.
🔤 Ответственность за результат. Растущая персональная и юридическая ответственность CISO за защиту данных.
🔤 Безопасность ИИ. Необходимость защищать данные и инфраструктуру при использовании и развитии технологий ИИ.
🔤 Угрозы, связанные с ИИ. Использование ИИ злоумышленниками для усиления атак.
🔤 Ограниченные ресурсы. Нехватка кадров и финансов на фоне дефицита специалистов.
🔤 Роль безопасности в организации. Безопасность по-прежнему воспринимается как технический аспект, а не часть бизнеса.
🔤🔤 Операционное совершенство. Поддержание необходимого уровня безопасности и быстрая адаптация к новым угрозам и технологиям.

И хотя эта статья была опубликована в американском издании, эти проблемы актуальны и для нас, даже 6-я.

Читать полностью…

Пост Лукацкого

В свежем исследовании "Insights and Current Gaps in Open-Source LLM Vulnerability Scanners: A Comparative Analysis" проводится анализ существующих сканеров уязвимостей в различных LLM 🧠 Было протестировано 15 сканеров - CyberSecEval, HouYi, JailBreakingLLMs, LLMAttacks, Garak, Giskard, Prompt Fuzzer, PromptInject, Prompt-foo, LLMCanary, Agentic security, PyRIT, LLMFuzzer, PromptMap и Vigil-llm и затем из них выбирали тех, кто соответствовал трем критериям: 👉
1️⃣ Качество базы тестов
2️⃣ Частота обновлений
3️⃣ Открытый код с активным комьюнити.

В итоге в финальную выборку вошли всего 4 сканера 🤕 - Garak, Giskard, PyRIT и CyberSecEval, которые тестировали 35 атак, разбитых на 5 категорий, включая джейлбрейк и написание вредоносного кода. Тестировали эти сканеры против 4 LLM - Meta LLaMA 3, Cohere Command-R, OpenAI GPT-4o и Mistral Small 📱

У каждого из 4-х сканеров были выявлены свои преимущества. Например, Garak имеет невысокую кастомизацию, чего не скажешь о PyRIT, который позволяет редактировать все инструкции, но при этом требуют глубоких знаний prompt engineering. Giskard идеален для тестирования в динамичном окружении с минимальным ручным вмешательством. CyberSecEval при этом хорош при тестировании LLM, помогающих в написании кода 🧑‍💻

Если вы развернули у себя в компании собственную LLM, хоть и на базе какой-нибудь LLaMA, то при проведении тестов на проникновение стоит включить в scope и ее. Это подсказывает не только здравый смысл, но и направления развития ИБ-регуляторики в нашей стране 🤔

Читать полностью…

Пост Лукацкого

Надо признать, что в среде специалистов так до сих пор и не пришли к единому мнению насчет различий между пентестом и red team... ⚖️ Поэтому одни, реализуют пентест, который выходит за рамки стандартных практик, а другие запустив фишинговую атаку, уже называют это red team'ингом. Но нужен ли тут стандарт, описывающий минимально необходимый набор действий хотя бы при пентесте?.. У меня нет на этот вопрос ответа. Как рекомендации вполне может быть ✍️

Но тогда уж и вообще попробовать четко зафиксировать все варианты оценки защищенности, их предназначение, предполагаемые результаты, области действия и т.п. 😵 А то помимо пентестов и red team'инг, у нас еще есть bug bounty, инструментальная проверка защищенности, аудиты, APT bug bounty и т.п., к которым еще иногда добавляют то слово "непрерывный", то "next generation"... 🤕

Читать полностью…

Пост Лукацкого

В Италии 🇮🇹 разразился крупный скандал, связанный с утечкой конфиденциальных данных высокопоставленных политиков, включая президента Серджо Маттарелла и экс-премьера Маттео Ренци. Главный обвиняемый — 44-летний IT-консультант Нунцио Самуэле Калауччи, который ранее заявлял о взломе Пентагона в составе группы Anonymous 🥷

Работая с командой программистов над базами данных для Министерства внутренних дел, он использовал ночное время для кражи приватной информации через уязвимости в серверах 😵 Утром - ты честный и пушистый, а ночью - гроза Интернета. Когда на недавнем интервью для CyberYozh меня спрашивали, много ли известно случаев, когда ИБшники уходят на темную сторону, я сказал, что нет, немного, но они есть. Этот кейс из таких. Как и недавний кейс с индийским CISO, приторговывающим данными своего работодателя 📱

По данным следствия, утечка данных осуществлялась с помощью вируса, позволяющего удаленно контролировать серверы, и при участии инсайдеров 🔺 Калауччо работал на компанию Equalize, возглавляемую бывшим полицейским Кармине Галло 👮‍♂️, который и руководил этой схемой и использовал данные для шантажа и продажи. С 2019 года по март 2024 года группа заработала более €3,1 млн. Тут, конечно, странная сумма звучит. Всего 3 миллиона? За пять лет, которые промышляли преступники? Кто-то что-то недоговаривает 🤐

Скандал вызвал резонанс в политическом мире. Министр иностранных дел Антонио Таяни назвал случившееся "угрозой демократии", а глава Сената Игнацио Ла Русса заявил о своем шоке и негодовании 😱 Политическая оппозиция требует проведения парламентского расследования и объяснений от премьер-министра Джорджи Мелони, так как информация утекла из Министерства внутренних дел 😱

А ведь совсем недавно, свеженазначенный глава всея ИБ Италии Фраттази называл именно Россию главной угрозой кибербезопасности страны. Эвона как получилось неудобно - в своем глазу бревна не увидать... Кроме того, партия "Братья Италии" 🇮🇹 призвала к ужесточению законодательства и повышению наказаний за киберпреступления, а национальное управление по защите данных запустило специальную группу для анализа безопасности баз данных страны. Может еще чего интересного найдут...

Читать полностью…

Пост Лукацкого

Известный на Западе специалист по ИБ Айра Винклер (Ira Winkler) написал открытое письмо руководству ISC2, которая управляет сертификацией CISSP, и которая подверглась критике за неверное представление данных о рынке труда в области кибербезопасности 🤮 Директор ISC2, Дебра Тейлор 🤢, ссылаясь на доклад 2023 Workforce Study, заявила, что миру требуются более 1 миллиона специалистов по кибербезопасности, но анализ данных показал, что этот разрыв не отражает реальные вакансии.

Айра Винклер подробно анализирует ситуацию с ISC2, приводя следующие доказательства:
💀 Несоответствие данных. Ссылаясь на данные из отчета ISC2, автор отмечает, что информация о разрыве в 4,8 миллиона специалистов не отражает реальные вакансии. В документе говорится, что этот разрыв — это оценка потребности в людях, необходимых для защиты организаций, а не фактические вакансии ⚖️
💀 Стагнация на рынке труда. ISC2 сама признала, что прирост специалистов в глобальном масштабе составил всего 0,08% за год, что противоречит заявленному росту спроса 📊
💀 Значительная потеря рабочих мест. В Северной и Латинской Америке, а также в Европе потеряно около 60 000 рабочих мест, что свидетельствует о стагнации или даже снижении спроса на специалистов 📉
💀 Малый шрифт и недосказанность. ISC2 включила дисклеймер о том, что это лишь оценка потребности, а не реальный спрос на специалистов, но специально сделала это мелким шрифтом.
💀 Реакция сообщества. Автор приводит мнения бывших членов совета и сотрудников ISC2, которые поддержали его критику и выразили недоверие к организации.
💀 Риск репутации. Упоминается, что данная ситуация привела к обсуждению возможности коллективного иска, что подтверждает серьёзность проблемы 😱

Эти аргументы показывают, что ISC2 продвигает недостоверные данные о рынке труда, что наносит ущерб её репутации и вводит в заблуждение потенциальных кандидатов. Айра Винклер считает это либо неэтичным поведением, либо некомпетентностью ISC2 и предлагает прекратить вводящую в заблуждение практику

Читать полностью…
Подписаться на канал