Пост Лукацкого

01 июня 2023 10:17

На сайте ФСТЭК выложена совершенно корявая версия методички по управлению уязвимостями в формате PDF - ее, видимо, не проверили после конвертации. Работать с ней нельзя - ни копировать из нее текст, ни делать поиск, ничего этакого. И картинки как-то не очень качественно сжаты. Я в итоге переделал его в то, с чем работать удобнее. Прилагаю.

Пост Лукацкого

01 июня 2023 09:56

ФСТЭК, спустя 2 месяца с публикации проекта своего методического «Руководства по организации процесса управления уязвимостями в органе (организации)» утвердил этот документ. Я пока глубоко не погружался в документ, но он мне понравился - явных косяков я в нем не увидел, кроме одного (о нем ниже). Во-первых, сразу бросается в глаза оформление - наконец-то в методичках стали появляться иллюстрации, блок-схемы, таблицы... Работать с таким документом гораздо приятнее и удобнее.

Во-вторых, предположу, что приказы 17/21/31/31/239 уже не будут сильно меняться (хотя я бы все-таки реализовал задумку с единым каталогом защитных мер и ссылками на него из разных приказов), и ФСТЭК займется процессами, стоящими за большинством из мер защиты. Работа эта небыстрая, но зато благодарная - становится понятно, что скрывается за отдельными пунктами приказов регулятора. А самое главное, что кибербез становится непрерывным, а не дискретным (от аттестации до аттестации).

В-третьих, документ устанавливает следующие сроки устранения выявленных уязвимостей:
🔥 критический уровень опасности - до 24 часов
⚡ высокий уровень опасности - до 7 дней
🖕 средний уровень опасности - до 4 недель
🪫 низкий уровень опасности - до 4 месяцев.

При этом важно помнить, что фразу "устранение уязвимостей" надо трактовать не буквально. Как мне кажется речь идет о невозможности использования выявленных уязвимостей, что может быть достигнуто как установкой обновлений (прямое прочтение термина "устранение уязвимостей"), так и реализацией компенсирующих мер, о чем методичка тоже говорит достаточно явно. Если вспомнить выступление В.С.Лютикова на PHDays, то он об этом также говорил (либо патч, либо компенсирующие меры).

Пост Лукацкого

31 мая 2023 20:12

Я бы, конечно, задался своим, набившим оскомину, вопросом: «А вы учли это в своей модели угроз?», но это уже будет перебор, а то и неуважение к представителям власти.

Дело в том, что у берегов Норвегии узрели белугу 🐬, которую сразу нарекли Hvladimir’ом, от норвежского «hval», то есть белуга, и хорошо знакомого всей Европе славянского имени Владимир (а это может быть рассмотрено как посягательство на…). А к Гвладимиру была прикреплена камера GoPro. И думают гордые викинги, что это шпион 🕵️‍♀️, следящий за секретными перемещениями норвежского лосося и кильки. Ихтиологи напоминают, что этого персонажа засекли еще несколько лет назад, а сейчас вообще он секаса 🐇 ищет (сезон такой начался). Но кого в другой сезон, шпиономании, волнуют такие мелочи?..

А если серьезно, вдруг у белуги не только камера прикручена, но и средство снятия данных с оптических каналов связи? Как с этим бороться? Шифруйте данные, господа и дамы. «Кузнечик» 🦗 и никакая белуга вам не страшна! 🐬

Пост Лукацкого

31 мая 2023 13:35

Но есть и другая схожая с ATT&CK матрица - от аэрокосмической корпорации. Она, в отличие от SHIELD, описанной в предыдущем посте, рассчитана на конкретные космические миссии 🛰 Но я, если честно, прям колоссальной разницы не увидел. Наверное, потому что я не космонавт 👩‍🚀

Пост Лукацкого

31 мая 2023 10:05

Если вдруг вас пригласят в Роскосмос заниматься ИБ, то европейское космическое агентство вам помогло, адаптировав матрицы MITRE ATT&CK и SHIELD для космических кибератак 🚀 Но рассказывать об этом на конференциях вы не сможете - помните о приказе ФСБ, который не приветствует раскрытие информации о ИБ в Роскосмосе 🛸

Пост Лукацкого

30 мая 2023 21:11

Новозеланский CERT переводит свои материалы на национальные языки; в данном случае на самоанский (не путать Самоа и Самуи). Представил, как бы звучали НПА ФСТЭК, ФСБ, Минцифры… на якутском, бурятском, гагаузском, ногайском, абазинском…

Пост Лукацкого

30 мая 2023 13:19

Льюис Кэролл, проезжая по России, записал чудное русское слово "защищающихся" (thоsе whо рrоtесt thеmsеlvеs, как он пометил в дневнике). Английскими буквами ✍️ Вид этого слова вызывает ужас... 😱
zаshtshееshtshауоуshtshееkhsуа. Ни один англичанин или американец это слово произнести не в состоянии 😱

Знал бы я это раньше, так бы и написал в анкете на американскую визу. Меня тогда бы не отправили на спецпроверку и я бы еще успел смотаться до COVID-19 на один или даже два RSA Conference. Но нет…

Пост Лукацкого

30 мая 2023 06:40

Наконец-то нормальные книги для CISO стали публиковать. Про метрики, дашборды и сразу код для их автоматизации

Пост Лукацкого

29 мая 2023 16:26

Mandiant тут выпустил отчет, в котором пишет о новом вредоносном коде COSMICENERGY для промышленных площадок, схожий по функционалу с INDUSTROYER и INDUSTROYER V2⚡️ При этом авторы отчета нашли в коде упоминания компании Ростелеком-Солар, которая использовала данный код в рамках проводимых киберучений. Это позволило на Западе многим заявить о том, что Россия опять хочет поставить весь мир на колени, атаковать критическую инфраструктуру и вот это вот все ⚡️

Однако, авторы в отчете не делают таких однозначных выводов. Они как раз считают, что вполне возможно, что речь возможна шла как раз о воссоздании реальных сценариев атак против энергосистемы. Но есть и другое предположение в отчете - кто-то просто использовал имеющийся код Солара для разработки вредоносного кода. Авторы указывают, что это популярная практика у плохих парней и ровно также они действовали в рамках атаки TRITON (ее тоже приписывали россиянам). Ну и американцы не были бы американцами, если бы не приплели сюда еще и НТЦ Вулкан, утечка данных из которого произошла совсем недавно и в которой были найдены свидетельства о разработки в интересах Минобороны платформы для проведения киберучений по отработке атак на АСУ ТП ⚡️

ЗЫ. В любом случае во всем виновата Россия 🇷🇺, даже если она и не виновата. Так и живем.

Пост Лукацкого

29 мая 2023 09:59

Англосаксы выпустили отчет о деятельности государственных хакеров, спонсируемых Китаем. С техниками, тактиками и другими индикаторами, а также методами, используемыми китайцами для обхода различных средств защиты

Пост Лукацкого

28 мая 2023 20:02

Интересно посмотреть на модель угроз, требующую, судя по всему неменяющийся, пароль на публичный Wi-Fi в маршрутке

Пост Лукацкого

28 мая 2023 12:51

CISO SolarWinds (вы же помните, чем известна эта компания) предлагает создать аналог закона Сарбейнса-Оксли (SOX), но не для финансовых директоров, а для CISO. Чтобы те не повторяли «ошибок» Джо Салливана, ex-CISO Uber…

Пост Лукацкого

27 мая 2023 21:11

Trustwave, спустя пару месяцев после утечки данных из НТЦ Вулкан, разродилась подробным анализом ставших достоянием общественности файлов. А все уже и забыли...

Пост Лукацкого

27 мая 2023 12:46

Согласно свежему исследованию, угроза со стороны квантовых компьютеров обойдется финансовому сектору США в 3,3 триллиона (!) долларов, что позволяет авторам говорить о новой Великой Депрессии!

Пост Лукацкого

26 мая 2023 20:10

Смотрю, шахматы ♟️, часто в ИБ используются. То в капче (тут и тут), то вот при генерации паролей. Правда в записи хода ошибка и правильный ход (мат) делается не так, ну да ладно

Пост Лукацкого

01 июня 2023 10:07

В любом случае помните, что документ является основой для разработки собственных документов по управлению уязвимостями. То есть он не догма, как его будут рассматривать многие, а руководство к действию. Но и сильно отходить от него не нужно.

Ложка дегтя - не учтена история с АСУ ТП, в которых не всегда работают те же подходы, что и при управлении уязвимостями в ИТ-инфраструктуре. А уж устранение критических уязвимостей в течение суток в средствах промышленной автоматизации... это вообще космос. Но опять же - взяв документ, разработанный ФСТЭК, за основу, можно что-то сделать и для своих АСУ ТП.

Пост Лукацкого

01 июня 2023 06:40

▶️ Новый выпуск на канале

Наши смартфоны, ноутбуки и умные часы обходятся нам очень дорого. И речь не только о деньгах. За удобства и экономию времени нам приходится платить… своими данными! Казалось бы, ну кому интересно, какие роллы я заказываю чаще всего? Однако из таких деталей пазла складывается портрет пользователя, который уже может быть интересен злоумышленникам.

В этом выпуске мы не только поговорим подробнее о том, что такое кибергигиена и почему ее важно соблюдать, , но и расскажем, кто такие пентестеры, что такое литспик и как не сойти с ума в мире, где постоянно случаются утечки данных, а твоя умная колонка фиксирует все твои поисковые запросы.

Смотреть выпуск

#выпуск

Пост Лукацкого

31 мая 2023 16:58

Видео с сегодняшней сессии на ЦИПРе. Мы там с Русланом Юсуфовым выступили на стороне технопессимистов и получилось прям хорошо; попугали немного народ будущим ИИ; я поменьше и в краткосрочной перспективе, а Руслан основательно и на горизонте 5-10 лет.

ЗЫ. Секция начинается с 11-й минуты

Пост Лукацкого

31 мая 2023 10:30

В 11.45 начнется прямой эфир с ЦИПРа про искусственный интеллект и кибербез, где я буду в роли технопессимиста

Пост Лукацкого

31 мая 2023 06:40

🤔 Считаете, что результатом кибератак могут быть только трудно оцениваемые утечки данных, простои информационных систем, эксплуатация уязвимостей и кража денег с кредитных карт? Это не так!

Недооценка вопросов кибербезопасности может привести к реализации различных недопустимых событий, наступление которых приводит к невозможности реализации стратегических или операционных целей компании.

Одним из примеров таких последствий является банкротство.

Мы собрали несколько примеров компаний, вынужденных объявить о своем банкротстве из-за несоблюдения мер результативной кибербезопасности. Подробнее — на карточках.

#PositiveTechnologies

Пост Лукацкого

30 мая 2023 16:39

Кстати, прикольный сценарий

Пост Лукацкого

30 мая 2023 10:01

4 года прошло с момента создания этой картинки. До сих пор позиция Медвежонка мне ближе, чем Ёжика

Пост Лукацкого

29 мая 2023 19:31

Бывало и я ошибался. А счастье было так возможно… и так возможно, и вот так! Если бы ФСТЭК докрутила тему с матрицей техник и тактик, то может что и получилось бы. Но увы...

Пост Лукацкого

29 мая 2023 13:11

OWASP разработал свою десятку рисков для языковых моделей OWASP LLM Top Ten v.1:
🚀 Prompt Injections
💧 Data Leakage
🏖 Inadequate Sandboxing
📜 Unauthorized Code Execution
🌐 SSRF Vulnerabilities
⚖️ Overreliance on LLM-generated Content
🧭 Inadequate AI Alignment
🚫 Insufficient Access Controls
⚠️ Improper Error Handling
💀 Training Data Poisoning

Пост Лукацкого

29 мая 2023 06:40

Американцы обновили руководство по борьбе с шифровальщиками, выпущенное в сентябре 2020-го года, расширив его рекомендациями по предотвращению первичных векторов заражения, учли облачные резервные копии и архитектуру Zero Trust. Также в руководстве обновили чеклист за счет советов по threat hunting.

Пост Лукацкого

28 мая 2023 17:02

Пентест пентесту рознь... Одно дело - увлеченные этим люди, и совсем другие - делающие это из под палки, потому что так папа сказал в нормативке записано

Пост Лукацкого

28 мая 2023 08:40

В моем детстве у многих моих сверстников была мечта - иметь дома игрушечную немецкую железную дорогу . Но не просто паровоз с парой вагончиков и набор рельсов, но целый мини-город - с домами, вокзалом, деревьями, горами... А так как удовольствие это было не из дешевых, даже обычный мини-комплект, то мы ходили в "Детский мир" на Лубянке, в котором такой "город" был построен и он вызывал зависть у всех детей.

Прошло 40+ лет и вот уже твоя детская мечта у тебя под боком. Да еще и сопряжена с профессией. Да, речь о киберполигоне Standoff. Причем именно в его полной версии, с физическим воплощением в городе 🫡. Просто виртуальный киберполигон не дает того эффекта. На нем можно тестировать свои навыки и в этом плане он ничем не отличается от своего физического собрата (инфраструктура-то одна). Но только видя как сталкиваются поезда, останавливаются колеса обозрения, разливается нефть, прекращается подача электричества или останавливается движение, понимаешь, что в реальной жизни эти недопустимые события могут произойти точно так же; только в ином масштабе.

Для визуализации ИБ физическая версия Standoff подходит как нельзя лучше - вокруг него постоянно толпы народа и даже далекое от ИБ руководства компаний и ведомств, страны и отдельных регионов, становится ближе к тому, чем нам приходится заниматься ежедневно, но чего никто не видит. И эти руководители, тоже имевшие эту детскую мечту, подолгу простаивают рядом с ней, вспоминая свое счастливое детство и видя свое настоящее. И студентам в ВУЗах тоже было бы неплохо такие "мини-города" иметь, чтобы понимать, чему их учат. И для CTF такие города нужны, и для крупных холдингов и компаний.

Пост Лукацкого

27 мая 2023 17:01

Количество читателей органически и постоянно растет и, видимо, это привлекает все больше и больше рекламодателей, каждому из которых я отказываю. А все почему?

Не хочется терять то чувство свободы, которое есть. Хочу пишу, хочу не пишу. Хочу критикую, хочу в любви признаюсь. Могу и на хер послать. И никто мне не может сказать: «Мы провели совещание на тему вашего последнего поста и решили, что он не так сильно нас восхваляет, как мы ожидали. А еще вы в посте использовали слово «хрен», что непозволительно и не должно ассоциироваться с именем нашей солидной компании. Также нас возмутил тот факт, что в качестве иллюстрации к заметке вы использовали сине-желтую картинку, а мы не хотим, чтобы нам предъявляли претензии за поддержку сами знаете кого. Ну и что, что у нас логотип сине-желтый. Наконец, не используйте слово «кибервойна», - оно создает нехорошии эманации а PR-поле. Учтите наши рекомендации в следующий раз, а то мы поставим вопрос об изменении договора в одностороннем порядке; пункт 6892-й на 66-й странице, написанный 1-м кеглем и белым цветом на белом фоне нам это позволяет.»

Вот и начинают мучаться рекламовзятели, удовлетворяя рекламодателя, напрочь забывая о контенте, читателе и себе. А потом перестают критиковать, начинаются накрутки и все, покатилось по наклонной. Ну его в жопу такой диджитал. Лучше быть свободным художником. Поэтому и отказываю. Даже знакомым. Даже 🟥. Публикую только то, что зашло мне, или то, что мне интересно, или то, к чему я приложил руку (например, курс какой или вебинар или материал).

ЗЫ. А вообще, в описании канала написано, что рекламу не размещаю. Но кто ж у нас читает описания?

Пост Лукацкого

27 мая 2023 08:40

📹 Мы собрали все записи вебинаров проекта «#Агент250» на одной странице. Посмотреть их можно здесь.

Если вы хотите получить дополнительные материалы проекта (чеклисты, памятки и др.), то можете заполнить форму на сайте. Тем, кто уже регистрировался на наши онлайн-встречи, мы продублируем все материалы в одном письме на следующей неделе.

#Агент250

Пост Лукацкого

26 мая 2023 17:09

Интересная коллекция ссылок на SOC-тематику, но не могу сказать, что она полна. Я нашел несколько ссылок, которых у меня не было, но не нашел (и много чего) в коллекции то, что есть у меня (моя коллекция раза в два/три больше).

Возможно, это связано с тем, что сам по себе термин Security Operations Center не имеет однозначного толкования и кто-то в него включает только базовые сервисы - мониторинг и реагирование (с сопутствующим Threat Intelligence), а кто-то смотрит шире, дополняя его киберучениями, багбаунти, поиском уязвимостей, фишинговыми симуляциями и т.п.

А может дело просто в том, что у меня в коллекции много и непубличных или платных материалов и книг, которые не включены в Github Awesone...