Путь «результативного» CISO к цели 🎯 Измеримо, конкретно, достижимо, реалистично… Все согласно подходу SMART, но вот что-то не то... Результат-то где?
Читать полностью…Если посмотреть на систему сертификации средств защиты информации, то она почти всегда исходит из концепции best of breed, то есть лучшего продукта, выполняющего все свои функции на 5 баллов. Если у вас нет какой-то функции, то вам не снизят балл, вам просто не дадут аттестат сертификат. И систему защиты мы строим из продуктов, лучших в своем классе. А ведь это лишнее.
Стремиться к совершенству не нужно (это долго, дорого и вообще не всегда возможно) - достаточно среднего уровня, но на каждом этапе эшелонированной обороны. Тогда недостатки одного уровня перекроются достоинствами другого и в совокупности вы достигнете очень неплохой безопасности. Но увы, у нас нет системы оценки соответствия, которая бы оценивала с этой точки зрения всю систему защиты целиком.
Точно та же идея заложена в обнаружении инцидентов. Вам не обязательно идентифицировать злоумышленника на первых шагах/этапах kill chain; главное - не допустить последнего этапа, реализации цели. И вам не обязательно стремиться закрыть все первичные вектора. Это, конечно, неплохо бы, но вы вряд ли сможете идентифицировать и прикрыть их все (вы можете запретить гендиру таскать его личный лэптоп на работу?). Поэтому ваша задача, небольшими мероприятиями, сделать движение хакера к целевым системам дольше, чем вы тратите на его обнаружение и реагирование. Увеличивая путь до цели, вы повышаете шансы на предотвращение ущерба. Вы можете просрать все, но если вы не допустили утечку, не дали зашифровать данные, не дали перехватить управление системой и т.п., то вы все-таки молодец. В следующий раз у вас получится лучше, на ранних шагах, а пока так. И это неплохо.
А полагаться на одно единственное, самое крутое средство защиты, бесполезно. Сколько бы голограмм на нем не было приклеено, и какими бы бумагами оно не было обложено. Все равно ответственность за обход средства защиты сегодня никто не несет, ни производитель, ни орган по сертификации, ни регулятор, выпустивший требования по оценке соответствия. Так и зачем тогда это все?
Любые, даже кажущиеся сначала негативными, события, часто приводят к чему-то большему и позитивному. Например, журнал BIS-Journal, раньше сфокусированный только на ИБ в банковском секторе, расправил плечи и вышел за рамки одного сектора. Новый номер больше, красочнее, интереснее и касается большего числа тем в ИБ, чем раньше. Мне прям понравился ❤️
ЗЫ. На сайте выложены уже некоторые статьи, но явно не все, что есть в печатной версии журнала.
Сначала директор по кибербезопасности АНБ постит мемасик (первая картинка). Потом vx-underground троллит его стареньким видео 😂
ЗЫ. Вообще, с атрибуцией APT и привязкой их к национальностям и расам у авторов ролика вышла некоторая неувязка (особенно в части Winnti Group и Lazarus Group). А в остальном забавно...
Когда всего одно твое действие запускает череду непредсказуемых последствий…
Теперь забанили вообще всех пользователей чата по ИБ в финсекторе. Две с лишним тысячи человек… Это из серии «Как можно подорвать доверие к чату и его владельцу в один миг»
Почти все умные стандарты по кибербезопасности говорят о том, что для успеха ИБ нужна поддержка топ-менеджмента. Но никто не говорит, как эту поддержку получить. А в других умных книжках говорится, что с бизнесом надо говорить на его языке. Но опять же мало где учат этому языку. Можно пойти, конечно, на курсы MBA или EMBA, но это долго и дорого. Да и не всегда полезно с точки зрения получения знаний (нетворкинг, да, штука полезная). Иногда хочется быстро, в режиме блиц, получить знания, которые помогут, если не говорить с бизнесом на равных, то хотя бы понять его чаяния, его боли, его задачи, и приблизить к ним кибербезопасность. И вот тут, как мне кажется, очень хорошо может зайти такое понятие, как бизнес-модель...
Читать полностью…Второе выступление у меня в секции было от Глеба Марченко, руководителя направления по защите данных Тинькофф с обзором того, что делает банк в этом направлении. Очень интересное было выступление, презентацию которого я прикладываю. Больше всего мне понравилась часть с рассказом про разработанный инструмент Hound, который позволяет сканировать различные источники информации (Postgress, GreenPlum, Cassandra, Oracle, ClickHouse, Hadoop) и за счет ML, регулярок, метаданных и т.п. искать различные чувствительные данные - персональные, секреты, ссылки на соцсети, названия юрлиц, IMSI, IMEI, IP и т.п.
Если вспоминать кривую хайпа Гартнера с технологиями защиты данных, то тема классификации там не достигла даже пика неоправданных ожиданий, не говоря уже о дне и тем более плато. А тут банк самостоятельно разрабатывает такое решение, сам размечает данные, сам обучает модели ML и активно его использует, автоматизируя очень непростую задачу, от которой зависит на самом деле весь процесс защиты информации (если ты не знаешь, где у тебя объект защиты, то как ты можешь его защищать?). Я недавно видел какой-то стартап, который применяет LLM для классификации и поиска защищаемых данных, а тут мы имеем прекрасный пример самостоятельной разработки. Детали по Hound, а также иным подходам к защите данных в Тинькофф, в презентации ниже 👇
Вчера, на конференции "Защита данных. Сохранить все" я вел секцию, в которой выступала Анастасия Гайнетдинова, IT Security Analyst компании Whoosh. Она рассказывала о 4-х типичных направлениях, которые часто забывают при защите данных:
🔤 Ошибки при разработке ПО, среди которых, среди прочего, жестко зашитые креды в коде, что приводит к утечкам информации и иным нарушениям в защите данных.
🔤 По версии НКЦКИ атаки на подрядчиков являются одной из популярных проблем с ИБ в России последний год. Об этом же, но в контексте проверок контрагентов, говорила и Анастасия.
🔤 Бумажная безопасность и документационное обеспечение. Плейбуки, задокументированные триггеры, регламенты... Все это помогает в кризисные моменты четко следовать процедуре, а не бегать и кричать "А-а-а-а-а" в поисках решения.
🔤 "Нас не заденет". Вопрос стоит не "столкнемся мы с инцидентом с данными или нет", а "когда столкнемся". Поэтому стоит быть к нему готовым заранее.
Надеюсь, скоро выложат запись нашей секции (а этот зал точно записывался) и тогда вы сможете самостоятельно посмотреть выступления и Глеба, и Анастасии, и мое.
Как взломать RSA за минуты? Новая технология обещает прорыв в криптоанализе
🏷 Компания MemComputing разрабатывает технологию, которая интегрирует вычисления в оперативную память, увеличивая скорость обработки информации в экспоненциальной степени.
🏷 Технология позволит факторизовать большие простые числа, которые используются для генерации ключей в алгоритме шифрования RSA, одном из самых надежных современных криптоалгоритмов.
🏷 Разработчики утверждают, что их технология сможет взломать 2048-битный ключ RSA за считанные минуты, что ставит под угрозу многие системы защиты конфиденциальных данных.
#MemComputing #RSA #криптоанализ #технологии
@SciTechQuantumAI
Ну ладно назвать меня "Петрович" вместо моего настоящего отчества. Ну ладно фамилию написать некорректно (всегда интересовало, есть ли вообще фамилии, в которых вместо "ц" пишется "тс"). Но как можно было в названии Positive Technologies сделать 20 ошибок и сократить его до "Циска"? Хорошо хоть не ЦСКА, а то и такие примеры были в моей практике 😊
Читать полностью…Нельзя не обратить внимание на этот канал с всего (надеюсь, пока) восемью (да, 8) подписчиками, но публикующий занятные вредные советы по ИБ в стиле Григория Остера.
ЗЫ. Спасибо подписчице за наводку 😊
Хотя не одни арабы хотят быть круче всех; англосаксы тоже стремятся застолбить себе немного рекордов. Например, в октябре 2021-го года KnowBe4, OneLogin (оба из 🇺🇸) и Eskenzi PR установили мировой рекорд по числу просмотров (!) урока по кибербезу за 24 часа. Это значение составило 2136 с 188 одновременным просмотрами 🤦♂️ Бузовой на них нет, с Ивлеевой и Инстасамкой.
Помимо "Книги рекордов Гиннеса", есть еще "Международная книга рекордов", созданная в Индии. По понятной причине там очень много "мировых" рекордов от индусов. Например, есть самый юный человек, создавший стартап по ИБ. Это, конечно же, индус, по имени Прагадиш Гурумурти, которому стукнуло на момент рекорда целых 16 лет. Создал он свое детище с двумя целями, как нескромно пишется в книге, - остановить киберпреступность и установить новый мировой рекорд. Со второй задачей он точно справился 🏆
Вообще, если пошукать по закромам Интернета, то находятся странные ❓, если не сказать больше, рекорды, которые фиксируются различными "книгами рекордов". Например, самое большое число устраненных уязвимостей. За 3 дня 600 разработчиков со всего мира смогли устранить 30000 уязвимостей в опенсорсных репозиториях в рамках мероприятия reinvent21 (при этом были задействованы сервисы AWS BugBust и AWS CodeGuru Reviewer). И таких "рекордов" немало. К счастью, ИБ еще далеко до шоу-бизнеса, но некоторые стремления быть похожим смущают ❓
ЗЫ. А если вернуться к предыдущему посту про самый большой киберполигон, то, как я уже писал на неделе, я не очень понимаю, как на нем можно что-то эмулировать - там особо нет такой возможности.
Все хорошо у арабов с их национальной политикой по безопасности облаков, но вот отражения двух моментов я не увидел у них в документе:
🔤 Завершение контракта с облачным провайдером (что делать, кому принадлежит информация и данные, что с логами и т.п.).
🔤 Что если облачный провайдер "кинет" заказчиков и свалит из страны? На фоне геополитических конфликтов между арабами и израильтянами и не до конца определившимся отношением арабов к США это важный вопрос. Ну а в остальном вполне себе хорошее подспорье для создания соответствующей политики и в России.
Ещё одна игра про модерацию контента
Подкаст Майка Мэсника TechDirt выпустил ещё одну игру про модерацию контента — Trust & Safety Tycoon. Вы играете за одного из руководителей соцсети Yapper, развиваете команду Trust & Safety и принимаете решения о том, что допустимо на платформе, а что нет.
В отличие от предыдущей игры Moderator Mayhem, в которой вам нужно было оценивать конкретные посты, здесь вы отвечаете именно за политику компании и руководите командой модераторов, то есть играете за сотрудника на несколько ступеней выше.
Все решения могут иметь как отрицательные, так и положительные последствия. Создатели игры хотят, чтобы вы почувствовали, что иногда хороших вариантов действий нет и всем вы точно не угодите. Всего игра занимает около часа, но можно сыграть несколько раз и, выбирая другие ответы, построить совсем другой сервис.
Российские ИБ-компании выходят на арабский рынок по-разному. Одни перекрашиваются полностью и даже имя себе меняют, выдавая себя за целиком арабских вендоров. Другие тестируют рынок, а может и денег не хватает на полноценный выход, и поэтому они идут объединенным стендом «Made in Russia» 🇷🇺. Третьих, похоже, приглашают «А давайте попробуем» или «А нам KPI по инновациям и поддержке отечественных вендоров надо выполнить» и они идут на стенд «Made in Moscow» (забавно, когда на московском стенде стоит российская ИБ-компания, пишущая о себе, что они из Словакии). Кто-то смело берет отдельный стенд и несет знамя своей страны 🇷🇺, совершенно не скрывая своего происхождения. У всех свой путь…
Читать полностью…Если попросить каждого участника PHDays сброситься по 100-200 рублей, то можно за 2 дня собрать столько, сколько РКН собирает за год штрафов за нарушение ФЗ-152. Представляете, заходите вы в Парк Горького, а там при входе, рядом с кибер-Георгием, поражающим троянского коня, стоит огромная розовая свинья-копилка 🏃♂️ и надпись «на РКН».
ЗЫ. Мне кажется, что в РКН даже годовой доход всего одного руководителя больше всех собираемых штрафов вместе взятых.
Эээ, так его же уже создали и даже запустили еще в эпоху «Цифровой экономики». И он даже работал и я даже его тестировал. А тут опять, ой, снова…
Читать полностью…Компания Atom Computing выпустила первый квантовый компьютер на более чем 1000 кубитов (1180)! Пока рано рвать волосы и кричать "Ужас-ужас, все пропало", но задуматься о том, что если этот компьютер начнет щелкать асимметричную криптографию уже завтра, стоит.
Читать полностью…Вот что значит открытость регулятора - грамоты с возможностью заполнения и уже проставленной печатью и подписью начальника 8-го Центра ФСБ на оЗоне распространяют 😱 Еще и сертификат соответствия требованиям нормативных документов есть 😡
Но вообще народ совсем страх потерял. 37-й год забыли! Непорррррядок!
ЗЫ. Спасибо подписчику за ссылку (в хорошем смысле).
Когда за неудобные вопросы тебя нахрен заблокировали в чате по ИБ в финансовом секторе 🪦 А всего-то задал вопрос, почему созданный позавчера чат по безопасности цифрового рубля вчера уже удалили 😄
Читать полностью…История с Okta получила свое продолжение - хакеры, используя украденную информацию, пытаются атаковать различные компании, например, 1Password. Компания заявляет, что ее клиенты не пострадали, но такое обычно и говорят во время инцидентов, чтобы никого не пугать раньше времени. Я бы поменял пароль на парольном менеджере 1Password, если вы его используете.
Аналогичная история произошла уже в России. На днях проукраинские хакеры взломали компанию Унитариус, которая является разработчиком ПО для автоматизации бизнес-процессов, используемом многими банками и страховыми организациями (часть имен показана на скриншоте из утечки). Утекли не только договора и резервные копии данных, но и все проекты на gitlab, то есть исходники всего ПО.
И тут впору вспомнить кейс с недавним взломом РЕД СОФТ, выпускающем защищенную операционную систему. Кто знает, была ли там просто утечка данных или кто-то вмешался в процесс разработки (SoalrWinds, привет). Так и с Унитариусом... Неслучайно ФинЦЕРТ попросил финансовые организации сообщить о факте использовании ими продуктов взломанной компании. А вдруг плохие парни что-то внедрили в код, к которому они явно имели доступ?..
Любой взлом ИТ-компании, которая разрабатывает софт или управляет чужими инфраструктурами (привет, Kaseya) всегда должен сопровождаться вопросом "А что, если хакеры внесли изменения в код|процессы?" И должен запускаться соответствующий плейбук. Никаких "да вряд ли они успели что-то сделать" или "их наверняка интересовали только данные и никаких атак supply chain там быть не могло". Могло быть все. Исходить надо из этого.
Так получилось, что за последнюю пару недель я несколько раз наткнулся в разных источниках на статьи про SIEM, которые вызвали у меня вопросы и желание высказаться. Первый раз я это сделаю на модерируемом мной 26-го октября мероприятии по SIEM. А уже потом будет статья с развенчанием некоторых мифов и заблуждений ✍️
А пока вот вам одна из статей про использование SIEM для предотвращения утечек персональных данных. И опубликована она в корпоративном издании Сбера, целиком посвященного приватности. Недавно вышел 6-й выпуск. Если вам неинтересна тема SIEM, то вы сможете найти что-нибудь про персональные данные в этом и остальных пяти выпусках, выложенных на сайте банка.
В конце сентября мы провели в Минске SOCcon, посвятив эту конференцию принятому 40-му Указу Президента Беларуси. И вот спустя месяц другая российская ИБ-компания проводит там же свое мероприятие, почти скопировав и нашу программу и основные посылы. Это прекрасно, когда все игроки, как один, движутся в одном направлении. Думаю после нижеупомянутого анонса эта ИБ-компания проведет свое мероприятие и в Санкт-Петербурге. А нам не жалко, мы со всеми готовы делиться нашими программами, ключевыми посылами, и даже спикерами. Мы и презентации, если что, свои можем отдать, тем более, что они уже выложены в паблике (и с SOCcon, и с Positive Security Day).
И вот новое мероприятие - Positive Tech Day в Питере 2-го ноября. У меня там заглавный доклад с названием, которое мне запретили публиковать и вообще называть в приличном обществе. А я что, я же за правду. Если в менеджменте есть два способа достижение цели - мотивация спереди и стимуляция сзади, то почему ИБ должна чем-то отличаться? Она же такая часть бизнеса, как и все остальные бизнес-функции. Поэтому, если вам интересно узнать про то, что другие компании будут рассказывать вам только спустя месяцы, то мы будем рады. По крайней мере я буду рассказывать про фреймворк общения CISO с том-менеджментом.
ЗЫ. Еще и сфоткаться со мной можно. Бесплатно. Шутка. Ну или нет 😊
В начале этого года китайцы уже выходили с заявлением, что им удалось взломать 2048-битный RSA. До этого были американцы, но все это были какие-то фейки. И вот новые заявления, уже от другой компании. Пока нет каких-либо доказательств, что заявления имеют под собою почву, но что-то в последнее время очень уж много с разных сторон сыпется заявлений на тему слабости современной криптографии и необходимости перехода на квантовое шифрование, а также на постквантовую криптографию.
И это тот редкий случай, когда на вопрос "А что если?" нет ответа, так как он лежит целиком и полностью в сфере компетенций одного регулятора. Возможно, недавно созданная автономная некоммерческая организация «Национальный технологический центр цифровой криптографии» (АНО НТЦ ЦК) сможет что-то предложить в обозримом будущем. А то пока будущее туманно, а год 2027 вот-вот наступит (именно тогда, как говорят некоторые эксперты, наступит переломный момент, когда квантовые компьютеры смогут влёт ломать асимметричную криптографию).
Компания Okta, запустившая чуть меньше месяца назад новый продукт по защите идентификационных данных в реальном времени на базе искусственного интеллекта, сама не смогла противостоять хакерам и была взломана. Опять 😅 В блоге компании ее CSO не очень погружался в детали произошедшего, просто сообщив, что хакеры взломали систему техподдержки, которая никак не была соединена с основной системой управления идентификационной информацией клиентов.
И хотя по словам CSO никто не пострадал (кроме некоторых утекших тикетов поддержки), Okta зачем-то просит прислать ей диагностический файл, содержащий достаточно чувствительную информацию о клиентах. И также публикует некоторые индикаторы (IP коммерческих VPN-сервисов), которые могут понадобиться при проведении расследования. Зачем, если никто не пострадал? У BeyondTrust, похоже, первой обнаружившей инцидент с Okta, его обзор будет поинтереснее и детальнее, чем у самой Okta.
Странно, что раскрытие инцидента в Okta произошло после того, как ее продукция была дважды упомянута в известных кейсах с атаками шифровальщиков на казино Caesars и MGM. CloudFlare вот тоже пишет, что на днях зафиксировали странную активность, связанную с Okta. Точно Okta говорит всю правду или скрывает масштаб последствий?
Ну а пока суть да дело, акции Okta упали на 12% (это вдвое больше, чем падает рынок). Посмотрим, когда они отыграют обратно. Может через несколько дней, может и дольше. Если клиенты решат вкатить какой-нибудь коллективный иск, то может затянуться. В любом случае, кейсов, когда инциденты ИБ влияют на курс акций пострадавшей компании, становится все больше и больше.
ЗЫ. Однако падение курса Okta на 12% - это мелочи по сравнению с падением акций Fortinet на почти 30% с 1-го августа.
ЗЗЫ. Статья про атаки на Okta с точки зрения redteamer'а.
Сегодня не только модерирую секцию "То, о чем никто не хочет думать, занимаясь защитой данных" на конференции "Защита данных. Сохранить всё", но и выступаю на ней же с темой "Биздата. О защите бизнес-данных не традиционными мерами, которые реализованы у всех". Трансляции мероприятия не будет, но, возможно, вы еще успеете зарегистрироваться и вам подтвердят участие.
Читать полностью…ОАЭ принадлежит более 500 мировых рекордов, попавших в "Книгу рекордов Гиннеса". Есть среди них и те, которые можно смело отнести к кибербезопасности. Например, в начале этого года при участии полиции Абу Даби и комитета по делам молодежи ОАЭ состоялся крупнейший урок по ИБ, прошедший в одном помещении, который собрал 2574 участника. Помимо этого, пару недель назад, на 11-й региональной неделе по кибербезопасности, устроенной ITU и арабским региональным центром кибербезопасности (Оман), в которой 🟥 тоже участвовала, было зафиксировано еще 5 мировых рекордов в кибербезе:
🔤 Самая большая модель эмуляции кибератак с более чем 50 экспертами по ИБ
🔤 Самый большой конкурс по эмуляции кибератак с участниками из 11 глобальных организаций
🔤 Самые большие киберсоревнования, в которых приняли участие граждане 30 стран (рекорд по разнообразию /diversity/ участников)
🔤 Самый большой кибергород для эмуляции угроз
🔤 Самая крупная лекция по ИБ, в которой приняли участие свыше 500 человек разных национальностей.
Еще раньше, 19 января, в Международном торговом центре Дубая прошел самый крупный CTF в мире с 150 участниками, длившийся 3 дня (это они на PHDays и Standoff еще не были). Годом ранее, "Книга рекордов Гиннеса" зафиксировала странный рекорд в 674 зрителя видеотрансляции CTF. Жаль, что Россия исключена из мирового сообщества, а то кибергород Standoff мог бы побороться, а по ряду позиций и выиграть, за позиции в Книге рекордов Гиннеса. Если бы, конечно, это было кому-то у нас важно. Но у арабов своя культура - они всегда хотят показать, что они "быстрее, выше, сильнее, длиннее, крупнее, толщее, круглее...".
Ну и добьем эту арабскую неделю еще несколькими документами от Совета по кибербезопасности ОАЭ. Например, государственной политикой по безопасности IoT. Этот документ описывает меры, которые должны быть реализованы на стороне провайдера IoT-услуг и пользователя IoT-устройств. Причем описано достаточно понятно, четко и без растекания по древу. Для высокоуровневого документа очень неплохо. Потом уже на его основе можно строить документы под конкретный тип IoT-устройства - пылесос, автомобиль, кофе-машину, стельки, бюстгальтер, таблетницу и т.п.
Читать полностью…В истории с уточкой 🦆Альфы занятно то, что можно наблюдать за повторением кейса другого красного банка. Сначала «это не у нас», потом «это не только у нас», затем молчание, и в финале штраф РКН. Альфа пока на первом шаге этого квеста и у нее есть надежда, что они пошли по верному пути полного отрицания. И это несмотря на заявления СБУ и мало кому удавшуюся историю с хорошим отыгрышем PR в аналогичных кейсах. Или «красный» PR считает, что их вес выше всех остальных? А ведь тут «крошит батон» не кто-то конкретный. Будем посмотреть…
Читать полностью…Кибербезопастность: пятая встреча Дискуссионного клуба Музея криптогафии
Сегодня мы хотим поблагодарить наших участников встреч за то, что доходите к нам в любую погоду, вдумчиво слушаете и задаете неожиданные и интересные вопросы — о такой аудитории мы и мечтать не могли
А теперь мы приглашаем вас на дискуссию в следующий четверг, 26 октября в 19:30.
Мы поговорим со специалистом Positive Technologies о кибератаках, уязвимостях и актуальных трендах кибербезопасности.
Спикер: Павел Попов, лидер практики продуктов для управления уязвимостями и мониторинга ИБ в Positive Technologies
Ведущий: Алексей Лукацкий, эксперт по кибербезопасности, автор блога «Бизнес без опасности»
Темы для обсуждения:
❗️Какие бывают кибератаки;
❗️Что такое трендовые уязвимости и как с ними работают компании;
❗️Как обеспечить безопасность в интернете будущего, которое стремительно надвигается в связи с развитием Искусственного Интеллекта.
📌 Вход на мероприятие бесплатный по регистрации
Наш адрес: ул. Ботаническая 25, стр. 4