⚡️ Продлеваем прием заявок от спикеров на киберфестиваль Positive Hack Days 12 до 7 апреля!
Мы уже получили много крутых докладов, вот лишь некоторые из них:
✔️ «Кто, как и зачем атакует Linux-инфраструктуры». Расскажет Олег Скулкин, руководитель управления киберразведки BI.ZONE.
✔️ «Строим свой PAM на основе Teleport». Доклад представят Антон Жаболенко, директор по ИБ в Wildberries, и Павел Пархомец, руководитель направления безопасности инфраструктуры в Wildberries.
✔️ «Компрометация сети через средства резервного копирования». С такой темой выступит Александр Коротин, старший специалист по безопасности приложений «Лаборатории Касперского».
✔️ «Популярные нетривиальные уязвимости в смарт-контрактах Ethereum, обзор и устранение, 2022 год». Расскажет Сергей Прилуцкий, CRO Mixbytes.
У вас есть реальная возможность представить свой доклад небезразличной аудитории, получить признание коллег и завязать полезные знакомства.
Успей подать заявку на сайте!
🧑💻🔥🎊
Вначале я думал, что меня так троллят. Но нет… 😂 Мне реально хотели продать пентесты для нашей компании 😜
Читать полностью…Все правильно, без бизнес-контекста ИБ страшненькая, как Шрек в гневе. Но такая же добрая и безобидная 😃
Читать полностью…В феврале CISA опубликовало очень интересный документ, который выходит за рамки обычного и классического регулирования. В данном документе сформулированы идеи и продемонстрированы на практике, как строить бизнес-кейс по безопасности, как проводить стоимостной анализ, как проводить Benefit-Cost Analysis, а также как выбирать защитные меры на основе проведенного анализа. Да, данный документ не сфокусирован только на ИБ, но его принципы вполне применимы и в нашей сфере.
ЗЫ. Помимо самой методички, по ссылке выложен и шаблон для расчетов в Excel.
“В докладе рассматривается формализованный с использованием алгебры конфликтов Лефевра конфликт информационной безопасности между злоумышленником и администратором безопасности, производится выбор стратегий рефлексивного управления злоумышленником для реализации посредством механизма обманных систем. Предлагается концепция адаптивной обманной системы, основанная на динамическом реагировании на действия злоумышленника и реализующая рефлексивное управление злоумышленником путем навязывания ему определенной стратегии поведения.”
Иногда просто поражаешься глубине мысли людей, которые занимаются наукой от ИБ, становятся кандидатами, докторами и даже академиками. Хотелось бы, конечно, видеть результаты всех этих инноваций в реальных системах ИБ, но, видимо, все это настолько засекречено, что не только лишь все…
ЗЫ. Если вам кажется, что приведенная аннотация похожа на недавно описанные мной результаты «инновационного» применения вейвлетов, мультифракталов и фильтров Калмана для обнаружения атак, то вам не кажется - это птенцы одной кафедры.
3 года назад я писал про сервис «Диктор» от мейл.ру, который позволял создавать ролики с произвольным текстом, который озвучивал "диктор телевидения". Выбор дикторов и обложек был небогатый, но сама технология была интересной и уже тогда ее можно было использовать для создания "новостных" клипов для штабных киберучений.
Сейчас технологии пошли гораздо дальше и современные сервисы позволяют не просто выбирать из сотни с лишним готовых аватаров, в уста которых можно вложить любой текст (посмотрите видео ниже как пример), но и сделать аватара по загруженному фото, что позволяет сделать киберучения гораздо более реалистичными.
ЗЫ. Ну и мошенники, конечно, тоже могут такие сервисы использовать в своих, черных, целях 😈
Прочитав мои заметки про различные документалки про хакеров, ИБ и т.п., подписчики стали присылать ссылки на другие фильмы, которые я не упомянул. Один из таких - упомянутый выше мультфильм "Барбоскин Team". Другой - документальный сериал "Ничего личного", снятый научно-популярным порталом N+1 и показанный на платформе Okko осенью прошлого года. Как устроен теневой рынок данных? Что делать обычному пользователю, чтобы защитить приватность? Как изменились травля, секс, смерть и другие стороны жизни, когда у них появилось интернет-измерение? Об этом расскажет сериал, посвященный дикому рынку персональных данных в Интернете.
Читать полностью…Занятная история. Исследователи дали свободу действия ChatGPT (уже на базе модели GPT-4) и поставили ему (или ей?) задачу обойти CAPTCHA. Искусственный интеллект 🧠 не смог это сделать, но... и вот тут самое интересное. ChatGPT зашел на портал для фрилансеров Taskrabbit и привлек фрилансера для того, чтобы он обошел CAPTCHA за ChatGPT. На резонный вопрос фрилансера, не с роботом ли он общается, ИИ от OpenAI творчески ответил, что у него плохое зрение и он не видит картинку 🧠
Да, ChatGPT не смог решить задачу самостоятельно, но он ее все-таки решил, привлекая других людей, с которыми он провел переговоры и заплатил им деньги. Все автоматически и без участия человека. Я 6 лет назад писал про то, что искусственный интеллект заменит пентестеров, но не предполагал такой сценарий развития. Ведь если ИИ сам привлекает пентестеров, сам ставит им задачу, сам принимает работу и сам ее оплачивает, то можно ли говорить, что это ИИ провел пентест или нет? 🤔
Благодаря команде 🟥 интеллектуальные ИБ-квизы выходят на новый уровень и становятся атмосфернее.
ЗЫ. В таком месте мне еще не доводилось выступать. А уж запах ладана в помещении…
Если компания замалчивает факт значимой утечки или сваливает все на остальных, то чья это вина - CISO или его начальства?
На РусКрипто, в кулуарах, зашла речь о том, что нередко именно бизнес принимает решение замалчивать значимые инциденты и с невозмутимым лицом заставлять свой PR отвечать на запросы СМИ, что ничего не было. Ну, ХЗ.
Инцидент инциденту рознь и возможно CISO не смог объяснить важность этого своим топам. А может не захотел. А может они все равно к нему не прислушались, не считая это недопустимым для себя событием. Но и тогда, одно дело замалчивать и совсем другое - признать, но назвать незначительным…
Я уже не раз писал про ChatGPT и могу сказать, что 2023-й год станет переломным с точки зрения применения машинного обучения на базе GPT-моделей в различных сферах нашей жизни (по крайней мере за пределами РФ точно, а по мере разработок в этой сфере со стороны наших крупных игроков, то и у нас). Но это повлечет за собой и еще одно, не самое очевидное на первый взгляд изменение.
По опыту работы с ChatGPT могу сказать, что сначала ты задаешь ему совершенно дурацкие сформулированные вопросы. То есть в голове-то у тебя все по полочкам разложено и ты знаешь, что ты имеешь ввиду, когда спрашиваешь. Но для ускорения, ты половину смысла из вопроса для ChatGPT убираешь и твой вопрос или задача звучат как 1-м классе. Видя чушь, которую тебе сгенерировал чатбот, ты начинаешь уточнять вопрос, пока не получаешь то, что ты хотел. Обычно на 3-4 итерации. Очень хорошо это видно при работе с ML, генерирующим картинки (DALL-E или Midjorney или Stable Fusion), - чтобы получить задуманную картинку, надо сделать несколько итераций, добавляя в вопрос (prompt) все больше и больше деталей. Неслучайно сейчас появляются специальные сервисы и даже курсы по формированию запросов к ML-моделям. Кто-то даже говорит о появлении новой профессии - prompt engineer.
По мне так это глупость - там нет ничего от новой профессии. Этому либо можно научиться за пару дней, видя кучу примеров перед глазами, либо на это уйдет гораздо больше времени, но не потому, что там надо чему-то учиться, как, например, на курсах программирования. И если предположить, что языковые модели ML начнут проникать гораздо больше и глубже в нашу жизнь, то это приведет только к одному - все больше и больше людей научатся задавать правильные вопросы. А научившись этому, мы начнем пользоваться этим не только при общении с чат-ботами, но и в обычной жизни.
И тогда нам не придется задавать "дурацкие" вопросы во всяких чатах или на конференциях по ИБ. Ведь в правильно сформулированном вопросе кроется не менее 50% ответа. В отличном вопросе доля готового ответа может достигать 80-90%. То есть, учась общаться с ChatGPT, мы автоматически учимся не только формулировать правильные вопросы, но и... самостоятельно находить на них ответы, уже без искусственного интеллекта. То есть вместо того, чтобы в чатике вбросить "пришлите пример политики сканирования уязвимостей", мы в процессе уточнения вопроса сами же и сможем на него ответить, сразу написав политику именно для нас, а не переписывая то, что нам пришлют. И таких примеров в ИБ будет все больше и больше. То есть заявления, что ChatGPT может убить многие профессии может и имеет под собой основания, но одновременно ChapGPT сделает многих людей умнее. И это хорошо.
ЗЫ. Хотя умение задавать правильные вопросы не приведет к росту числа людей, умеющих рисовать комиксы или плакаты по ИБ для программы повышения осведомленности😊 А жаль…
Ландшафты вендоров по различным технологиям становятся уже нормой. Вот так, например, выглядит "карта" индийских ИБ-игроков. Около трех сотен компаний. У нас в стране чуть меньше (но у нас и населения в 10+ раз меньше и ИТ развиты все-таки не так, как в Индии). И покрытие ИБшных направлений у индусов пошире - почти в каждом сегменте по несколько игроков для конкуренции между ними. И при этом число игроков в сегменте незашкаливающее - есть как делить рынок.
Читать полностью…Думаю, многие (как минимум, москвичи) слышали о масках-шоу в двух столичных барах La Virgen и Underdog. События связывают с историей прошлого лета, когда на странице баров в Инстаграме (запрещен на территории РФ) было размещено сообщение о сборе пожертвований в помощь ВСУ. Только на следующий день администрация баров выступила с официальным заявлением, сославшись на то, что "это все хакеры": "Друзья! Нас взломали, и только сегодня мы получили доступ к нашему аккаунту. От нашего имени вам могли рассылать разную ложную информацию и собирать деньги. Мы не имеем отношения к этим действиям! Все наши сборы пожертвований всегда были направлены на помощь собакам из приюта".
История чем-то напоминает описанную мной вчера историю про взлом сайта брянской областной думы, а также ряда других российских государственных и не очень организаций. Перекладывание ответственности на хакеров становится нормой. Впору выпустить руководство о том, что надо сделать, чтобы свалить все на хакеров (фальсификация логов, фейковые сообщения e-mail, бумажные докладные, заявления в правоохранительные органы "по горячим следам" и т.п.). А то иначе все это выглядит как-то слабенько, непродуманно.
Стоит разместить в Интернет какую-либо презентацию с выступления регулятора и она сразу же приковывает к себе внимание. А если там еще и написано про блокирование/запрет доступа (да и любую иную карательную историю) с иностранных IP, то всё, все сразу ухватываются за эту тему и уже невзирая на то, что это рекомендация и что она дана в определенном контексте и не для всех, СМИ, не разбираясь, сразу преподносят это как принятое решение.
А дальше испорченный телефон и пошло-поехало... И все как в анекдоте: "Ну ужас, но не ужас-ужас" 😊
Перефразируя тонкую шутку последних дней «В 90-х в России было модно учить язык Си. И в 20-х тоже. Но есть нюанс» могу сказать, что «Раньше средства защиты были на Си, а теперь будут от Си» ;-)
ЗЫ. 🇨🇳 как подсказка ;-)
История с Пригожиным показывает, что бывает, когда ты не умеешь (и в твоем окружении никто не умеет) работать с инцидентами ИБ, ставшими достоянием гласности.
Ну ладно, заявил, что это фейк, и что это голос, созданный нейросетью. «Нормальная» реакция - вся госуха так делает. Но зачем через пару часов идти на попятную и говорить, что «ничего не помню, но вероятно это фейк». 🎭
Но и это можно было бы разрулить, пока Пригожин не заявил, что может он и говорил то, что на утекшей аудиозаписи, но это его частные разговоры, а на публике он думает совсем не так; и вообще запись склеена из его разных фраз.
Теперь я не удивлюсь, если он просто признает подлинность записи и не будет ссылаться на нейросети и склейки 😭
ЗЫ. Допускаю, что муж Валерии вообще попал под раздачу случайно. Может дело было так?
Некто в маске: нужен компромат на Пригожина!
СБУ: Будет исполнено!
СБУ: Готово. Компромат запустили в соцсети!
Некто в маске: Идиоты, я говорил про Евгения, а не Иосифа. Муж певицы-то тут причем?..
Как говорят опытные товарищи, одна из важных вещей, которым учат на MBA, то, что существует много разных фреймворков и выбирать можно и нужно тот, который лучше подходит для решения задачи. Вот картинка, в которой попытались сравнить разные ИБшные фреймворки. Смысла в ней немного. Разве что как список фреймворков…
С другой стороны, если попробовать разместить на эту схему приказы ФСТЭК или ГОСТ 57580.1 (а их с натяжкой можно назвать фреймворками), то они, на мой взгляд, займут место в нижней части квадранта, в треугольнике между NIST 800-218, NIST 800-172 и HIPAA. А это уже повод подумать о том, как подняться выше
В законодательстве многих штатов США есть такое понятие как «право на образ» (right to publicity), защищаемое судами. У нас такого нет и хорошо. А то Харрисон Форд предъявил бы мне за использование образа Индианы Джонса 🤠
Читать полностью…Недавно на одном российском телеканале ведущей прогноза погоды стала Снежана Туманова… и она сгенерирована нейросетью! 🤖
Мы нашли ее сестру-близнеца Веру Пози, и теперь она будет рассказывать в нашем канале о главных новостях из мира кибербезопасности за неделю.
Как вам такой формат? 😉
PS: подробнее о рассказанных Верой новостях можно прочитать в «Известиях», SecurityLab (вторая и третья новость), а также на РБК.
#POSI
Как обойти требования закона о персданных в школе, когда директор (или выше) хотят получить сведения о доходах семей своих учеников 🤑, а родители не дают на это согласие 😠? Надо завуалированно собрать эти данные, сказав детям в школе, что это проверка финансовой грамотности 🤑
Читать полностью…🤖 Сервисы онлайн-переводов, системы анализа спама и фрода, голосовые ассистенты, интернет вещей и умные устройства — без этих сервисов, в которых применяются технологии машинного обучения (machine learning, ML), невозможно представить современную жизнь.
В наших продуктах и решениях по кибербезопасности машинное обучение применяется для обнаружения атак, а нашим экспертам оно помогает выявлять новые зависимости в данных.
🥷 Однако ML также становится одним из инструментов киберпреступников, при этом оно само по себе может быть уязвимым и представлять угрозу. Так, например, в 2021 году неизвестные скопировали лицо основателя Dbrain Дмитрия Мацкевича для дипфейк-видео с рекламой супердоходов, а в Москве были зафиксированы случаи использования голосов клиентов для получения кредитов.
Александра Мурзина, руководитель отдела перспективных технологий Positive Technologies, рассмотрела машинное обучение с точки зрения защищенности и вспомнила самые интересные инциденты. Подробнее — в нашем блоге на Хабре.
#PositiveЭксперты
ГРЧЦ, который недавно взломали белорусские "КиберПартизаны", заключил договор на... внимание, покупку системы защиты ресурсов ГРЧЦ от DDoS-атак. Все бы ничего, но именно ГРЧЦ в России отвечает за технические средства противодействия угрозам (ТСПУ), которые не только фильтруют запрещенный в России контент, но и борются с DDoS. Именно на базе ТСПУ Роскомнадзор планировал в прошлом году начать строить национальную систему защиты от DDoS-атак 👨💻 Но судя по заключенному договору что-то пошло не так... Если ты сам не используешь свои же решения, то это нехороший знак 😰
Читать полностью…Вот тут я с ИБшным НИИ Минцифры не согласен. Да, делиться паролями не стоит, но вот менять их часто? Это устаревший совет, как по мне. В условиях нормально выстроенной MFA и при отсутствии утечек, пароли вообще можно не менять годами.
Читать полностью…Планы по развитию нормативки от НКЦКИ во исполнение 250-го Указа Президента. Тут и положение об аккредитации центров ГосСОПКА, и требования к центрам ГосСОПКА, и приказ ФСБ, который это все утвердит.
Видится мне, что за основу будут взяты уже имеющиеся методические, непубличные, документы НКЦКИ. Правда, на одном из SOC Forum НКЦКИ распространял этот документ на CD, но я так и не знаю, можно ли им с кем-то делиться или нет? При этом регулятор, как это написано в презентации, открыт к предложениям.
Вчера многие стали писать про то, что ФСТЭК хочет ограничить доступ иностранных IP-адресов к важным узлам и сетям КИИ, запретить open relay и даже блокировать взаимодействие e-mail-серверов с иностранных IP.
Ну что я могу сказать по этому поводу? Все немного не так, как об этом пишут те, кто пересказывает скачанную из Интернет презентацию Елены Торбенко из ФСТЭК, которая выступала на конференции ИБ АСУ ТП КВО. Речь не идет о запрете - всего лишь о рекомендациях, которые еще и применяются не ко всем без разбора и не во всех случаях. Регуляторам дает субъектам КИИ совет, что можно сделать, а не что обязательно надо сделать.
Более того, часть из этих советов не новы - их еще в прошлом году ФСТЭК в своих письмах рассылала. Но не надо во всем искать злой умысел - надо трезво смотреть на рекомендации и применять к себе то, что применимо.
С 2010-го Касперский был спонсором Ferrari и все у последней было хорошо. Но в марте 2022-го она отказалась от сотрудничества с ЛК и случился «упс» - автопроизводителя недавно накрыло шифровальщиком, а на этой неделе он заявил об отказе выплачивать запрошенный выкуп. Впору задуматься… Например о том, как быстро можно разрушить достигнутое… Или о том, что Ferrari не стала скрывать от клиентов, что их данные могли утечь. Не то, что некоторые…
Читать полностью…Вы когда-нибудь пользовались услугами косметологов? Я вот только на массаж ходил, но я знаю, что по уровню и глубине косметологические процедуры делятся на 4 уровня:
1️⃣ Наружные косметические средства (крема, гели, сыворотки и т.п.) для защиты внешнего вида.
2️⃣ Инъекции для стимуляции внутренней активности (выработка колагена и т.п.).
3️⃣ Физиотерапия (массаж, ***терапии, ионофорез, миостимуляция и т.п.).
4️⃣ Хирургические вмешательства.
Чем старше пациент, тем более сложные процедуры ему нужны для поддержания внешнего вида (исключения только подтверждают правило). И если вновь вспомнить про стадии развития и становления компании, но использовать не модель Адизеса, а косметологию, то мы поймем, что почти все организации у нас также могут рассматриваться с этой точки зрения.
Когда она молода, то ей не нужны серьезные внутренние инъекции и тем более хирургия - достаточно просто поддерживать в защищенном состоянии существующие процессы и процедуры, в том числе и за счет кибергигиены. На этапе взросления компании может понадобиться стимуляция внутренних процессов - повышать осведомленность персонала, мониторить активы и активности и т.п. А вот для взрослых и тем более стареющих компаний нужны более серьезные вмешательства, чтобы "не потерять лицо"; иногда даже хирургические.
В чем основной вывод из этой аналогии? Не надо думать, что мы и наши компании всегда будут молоды и привлекательны. Поэтому не стоит рассчитывать только на "крема и гели" (средства защиты внешнего периметра), которыми завален рынок. Да, применять их просто и недорого. Но ориентируйтесь в первую очередь на свой реальный "возраст", как бы болезненно и дорого не стоило поддерживать себя в приличном состоянии. Ну а вендорам стоит делать свои решения для "инъекций" и "физиотерапии" доступнее - тогда их начнут применять более активно. В итоге выиграют все.
Мы тут закрытый "Позитив CISO-клуб" организовали (invitation only). В хорошем месте, в неформальной обстановке, выпить/закусить, пообщаться... Все дела. Но главное там не это, конечно (хотя кому как 🤔), а возможность рассказывать о чем-то полезном для тех, кто хочет достичь результативной ИБ.
На первом заседании "Позитив Клуба" я рассказывал о первом шаге - нахождении общих точек соприкосновения с топ-менеджерами. Разумеется, речь не о догмах, а о наблюдениях и идеях, которые срабатывали в моей практике и практике 🟥.
ЗЫ. Запись мероприятий не велась и не будет вестись. Так что все, что там происходит, остается там, но чуть-чуть слайдов по привычке выложу.