Так как требования по созданию SOCов, как минимум для госструктур в ОАЭ, обязательны, то совет кибербезопасности выпустил очень недурственную методичку по высокоуровневой оценке центров мониторинга. Как человек, проектировавший и строивший 👷🏻♂️ SOCи, могу сказать, что документ очень неплохой. Например, он оценивает SOC не только с точки зрения зрелости процессов (maturity), но и его технологических возможностей (capability). При этом для разных отраслей прямо указано, какого уровня зрелости и возможностей они должны достичь 🧱
При построении SOCов все часто упоминают дурацкую триаду "люди-процессы-технологии", забывая, что все это нахер никому не нужно, если вы не смогли "продать" это бизнесу и не понимаете, зачем ему SOC, какие требования и ограничения есть, как должен развиваться SOC в средне- и долгосрочной перспективе и т.п. А в арабском документе про это говорится - это первый пункт, с которого начинается оценка SOC (мы это называем сервисной стратегией) 🏗
В документе Совета кибербезопасности даны рекомендации по численности персонала в зависимости от условий, описаны функции средства защиты, которые должны управлять SOCом, особенности мониторинга облаков и АСУ ТП, а также приведены примеры возможных метрик оценки функции мониторинга и реагирования в организации.
В общем, неплохой документ; рекомендую для общего изучения и неглубокого погружения 👨💻
Русские хакеры самые страшные, но атаки почему-то фиксируются преимущественно из США 🇺🇸 И это на нескольких онлайн-картах кибератак 👨💻
Читать полностью…Люди наблюдают за роботами, которые скоро заменят людей (в данном случае робот готовит попкорн, но на стендах были кофе-роботы, роботы, сажающие растения, роботы-полицейские, роботакси и многие другие привычные нам устройства с приставкой "робо") 👍 Повсеместная цифровизация и роботизация грядет, а значит у нас всегда будет работа, так как всегда будут программеры, над которыми будут стоять начальники, требующие выпустить говнокод поскорее, а значит без необходимых проверок. И всегда будут находиться желающие, которые захотят взломать робо-"что-нибудь".
Читать полностью…Расследования и анализ киберпреступности в мире
Наши специалисты выпустили новый дайджест, где представили популярные виды хакерских атак, технологии и продукты для борьбы с ними, результаты исследования рынка кадров в этой сфере. А также провели интервью с экспертами компаний «Лаборатория Касперского», Positive Technologies и F.A.C.C.T.
Печатный дайджест можно прочитать на Digital Innopolis Days 2023 в Иннополисе 19—20 октября.
➡️ Онлайн-версия
Израильские хакеры «We Red Devil» 😈 атаковали и успешно реализовали недопустимое событие уровня страны и отрасли, отключив большую часть электросистемы ⚡️ Ирана, погрузив его во тьму 👹.
Когда вчера я выступал про недопустимые события национального уровня и демонстрировал их на примере возможного отключения энергоснабжения целой страны, то я не думал, что пример так быстро будет продемонстрирован на практике 😈
ЗЫ. Главное, чтобы теперь не стали спрашивать компетентные органы, я об этом знал заранее или просто так совпало 😈
31 октября буду выступать в МФТИ с открытой лекцией про взлом атомных электростанций профессию кибербезопасника
Услышав на закрытой вечеринке о том, что индусы предлагают услуги CIO-as-a-Service, я нетолерантно подумал, что работы у безопасников только прибавится.
Читать полностью…Раз уж написал утром про израильтян, то продолжу. У жителей земли обетованной есть своя, достаточно интересная, стратегия кибербезопасности. Из интересных моментов, на которые я бы обратил внимание:
🔤 Все компании делятся на две категории А и Б, отличающиеся по величине возможного прямого и косвенного ущерба от кибератак. Водораздел проходит по сумме 1,5 миллиона долларов. В доктрину включен простой опросник, который должен подсказать, в какую категорию попадает организация (независимо от ее формы собственности).
🔤 Требования по защите отличаются для компаний разных категорий. Для А все достаточно просто, для Б надо проводить оценку рисков, оценивать риск-аппетит, маппить выявленные риски в защитные меры и т.п.
🔤 Доктрина предлагает огромное количество различных опросников и иных таблиц, которые позволяют легко оценивать своей текущий уровень ИБ, составить модель нарушителя, определить риск-аппетит и т.п.
🔤 Интересно, что доктрина не просто говорит "используйте вот такую-то меру", а предлагает находить баланс между эффективности защитных мер и их стоимостью. Это нечто схожее с принципом экономической целесообразности, заложенным в приказы ФСТЭК и ГОСТ Банка России, но если в первом случае этот принцип просто есть и все, без пояснений и деталей, то во втором он вообще не работает - проверяющие Банка России плюют на все экономические расчеты и просто требуют буквального применения защитных мер из ГОСТ 57580.1.
🔤 Методика оценки рисков достаточно простенькая - на базе светофора (мне такие не очень нравятся в виду их неконкретности). Но зато в доктрине упомянуты достаточно свежие технологии ИБ - BAS, ASM, DRP и т.п.
В общем, рекомендуется, как минимум, к прочтению.
Жители островного государства Джерси в проливе Ла-Манш на неделю лишились электричества и газа в результате кибератаки.
Официальные власти связывают аварию со сбоем программного обеспечения на заводе Island Energy (IE) St Helier, который вызвал остановку всех систем, включая и резервные.
После чего 7 октября подача газа 4500 клиентам была остановлена и для налоговой гавани (40 % экономики острова Джерси приходится на сектор оказания финансовых услуг) настали темные времена.
Как позже признался исполнительный директор IE Джо Кокс, завод La Collette был закрыт после того, как вредоносный код вызвал сбои в поставках электроэнергии, подтвердив таким образом успешную атаку на инфраструктуру национальной КИИ.
Расследование продолжается, выводы еще не озвучены. Так что будем посмотреть.
Надо признать, что текущие события в Израиле 🇮🇱 происходят не только на полях боевых сражений мира физического, но и в виртуального пространстве происходит немало того, что в совсем скором будущем станет предметом изучения. Тут и массированные атаки на АСУ ТП с обеих сторон, и многое другое. Например, еще несколько дней назад в Израиле было доступно более 500 портов MQQT и Modbus, используемых для коммуникаций между MES и SCADA . В Палестине ситуация аналогичная, но число открытых портов меньше - чуть более 50. В большинстве случаев используется оборудование Siemens, хорошо изученное хакерами всех стран, что и приводит к различным негативным, и даже можно сказать, недопустимым событиям. Некоторые хакерские группировки атакую не АСУ ТП, а Интернет-провайдеров 📡. Например, ThreatSec, которая никогда не питала пиетета к Израилю, вдруг встала на его сторону и атаковала одного из крупнейших провайдеров сектора Газа 🇵🇸, Alfanet.
В середине прошлой недели было опубликовано небольшое исследование о том, что в Израиле обнаружено несколько сотен подключенных к Интернет камер и в разы меньше - в Палестине. А вчера израильский директорат по кибербезопасности (INCD) выпустил экстренное уведомление для своих граждан с просьбой обновить ПО и заданные по умолчанию пароли на домашних IP-камерах, которые могут быть взломаны сторонниками ХАМАС и Хезболлы и использованы для шпионажа. В противном случае камеры рекомендовано отключить. Интересно, что еще полтора года назад в Израиле было обнаружено 66 тысяч легко взламываемых камер видеонаблюдения и ICND выпустил подробные рекомендации по повышению защищенности видеокамер. Оно интересно достаточно подробными рекомендациями по защите и ссылками на различные внешние источники, включая сайты некоторых производителей видеокамер (Bosch, Hikvision и др.). Похоже, что эти рекомендации полуторагодовалой давности мало кто читал 😞
ЗЫ. Интересно, что на сайте ICND новости не обновлялись с июня этого года. Последняя новость говорит о расширении сотрудничества Израиля и арабов в области кибербезопасности, что сегодня выглядит несколько неуместно на фоне того конфликта, который происходит между этими двумя нациями.
Интересная «инсталляция» у бывшего работодателя. Фиксирует посетителей стенда по разомчным срезам. Но меня она заинтересовала функцией детекта эмоций 😐. Подумалось, что этот показатель, вкупе с данными о человеке (если речь идет о сотрудниках в офисе) можно завести на SIEM и, в зависимости от эмоции, усиливать контроль за «недобрыми» людьми, которые могут замыслить что-то нехорошее ;-( Фантастика? Не думаю! Если покрутить эту идею, то может быть интересная интеграция в SOC мира виртуального и физического.
Читать полностью…Запилил небольшую (реально, коротенькую, - всего30 слайдов) презентацию для выступления в Дубае на GITEX.
ЗЫ. Следующую неделю я за пределами Родины и буду достаточно активно погружен в жизнь арабского кибербеза. Не знаю, буду ли я успевать строчить что-то в канал, но буду стараться (вы же не думали, что за меня пишут литературные негры ✍️).
Надеюсь, депутаты Госдумы, ратующие за введение оборотных штрафов 🤑, изучают материалы всех дел, где операторы ПДн, особенно госорганы, ищут (к счастью не всегда находят) доводы, почему их нельзя штрафовать за допущенные ими утечки ПДн 🍔
Читать полностью…В октябре в США и других странах уже много лет проходит Cybersecurity Awareness Month. Вот так повышают осведомлённость в одной из городских библиотек Вашингтона.
Читать полностью…Посетив стенды на GITEX и поразившись тому, какое цифровое будущее нас ждет, я заодно еще раз убедился, что профессия ИБшника будет еще более востребованной, чем сейчас. Только представьте, заходите вы в павильон, а там у вас только на одном из стендов приставлены следующие приборы/устройства с приставкой "смарт" 🤖:
- уличная лавка
- уличный стол
- пляжные зонтики
- автобусные остановки
- электросамокатные зарядки
- мусорки
- ячейки для хранения
- уличное освещение
- шторы
- уличные игровые площадки
- киоски
- туалеты.
У каждого из упомянутых смарт- устройств 🤖 присутствуют в базовой комплектации:
- датчик тревоги
- датчик движения
- датчик температуры
- Bluetooth-колонка
- USB-зарядка
- беспроводная зарядка
- модуль работы по расписанию
- GPS (хотя я бы прихватил такую скамейку на дачу себе; поэтому GPS - нелишний)
- маршрутизатор и контроллер
- а также мобильное приложение для управления этими умными устройствами и их компонентами.
Представляете какой простор для "творчества" плохих парней? А вы говорите специалисты по ИБ - это тупиковая ветвь развития... Если, конечно, их самих не заменят роботы 🤖
Совет по кибербезопасности ОАЭ обязал все государственные структуры эмиратов 🇦🇪 иметь свои SOCи и выстраивать процедуру реагирования на инциденты, для чего в мае выпустил несколько высокоуровневых документов, от которых можно отталкиваться, выстраивая собственные регламенты и политики.
Читать полностью…👨💻 В Москве открылась первая площадка для специалистов по кибербезопасности
«Кибердом» — проект, который объединил в одном пространстве технологии и бизнес. Первая такая площадка открылась сегодня в Москве.
Что такое «Кибердом»
➖ среда для взаимодействия ИБ-специалистов, государства и бизнеса
➖ образовательная и технологическая площадка
➖ пространство для семинаров и интерактивных выставок
На площадке «Кибердома» работает киберполигон. Во время соревнований макеты городской инфраструктуры реагируют, если хакерам удаётся провести успешную атаку. Все киберугрозы и процесс их отражения транслируются на экранах.
Максут Шадаев — о проекте «Кибердом»:
«Это крутая точка притяжения, и важно, чтобы дальше вокруг неё возникало и развивалось профильное сообщество. У этой идеи есть большой потенциал, потому что виртуальное пространство — это удобно, но важно, когда есть, куда можно прийти и пообщаться».
➡️ Узнайте больше о «Кибердоме» и приходите в гости
@mintsifry
Пока я в очередной раз показывал нерезультативность арабского полигона, заставив сойти поезд с рельсов 🚂 (он реально падает с путей; жаль не успел заснять видео), мне вручили награду как глобальному первопроходимцу (шучу, первопроходцу) за продвижение результативного кибербеза 🏆. Как уже писал вчера, тема интересна для зарубежной аудитории. 🟥 тоже получил награду за развитие этой темы.
Пока работал в компании зарубежной, награды давали в России 🎖. Стал работать в отечественной компании, стали давать награды за рубежом. Диалектика-с…
💬 В конце сентября мы впервые провели в Минске конференцию Positive SOCcon, собравшую более 400 топ-менеджеров, представителей регулятора, руководителей и специалистов из сфер IT и ИБ ведущих компаний Республики Беларусь.
Наши эксперты вместе со специалистами из сферы кибербезопасности обсудили, как сделать киберзащиту результативной, эффективной и измеримой, поделились опытом построения SOC и успешного противостояния актуальным киберугрозам.
Кроме того, рассмотрели требования Указа Президента Республики Беларусь от 14.02.2023 № 40 «О кибербезопасности» и совместно с регулятором дали рекомендации по его исполнению.
Мы опубликовали на нашем YouTube-канале дискуссии, доклады и обсуждения с мероприятия. Смотрите, слушайте и вспоминайте (или узнавайте), как это было.
👨💻 Можно включить плейлист целиком или выбрать интересные вам выступления:
• Рост киберугроз: что заставляет нас думать о централизованном мониторинге и реагировании
• От SOC к центрам обеспечения кибербезопасности — фокусируемся на главном
• Как мы строили SOC: где лежат грабли
• Разъяснение требований Указа № 40
• Возможен ли SOC «из коробки»? PT Platform 40!
• Панельная дискуссия «Что мешает кибербезопасности стать результативной»
• Анализ активов и площади атаки — залог успеха в построении ЦПК
• Средства детектирования SOC: сетевые и хостовые сенсоры для эффективного мониторинга
• Анализ событий безопасности. Какой SIEM вам нужен?
• Может ли ИБ быть на автопилоте? Как реагировать на угрозы при нехватке персонала
Вишенка на торте — видеорепортаж с мероприятия, который мы добавили к этой публикации 😉
#PositiveЭксперты
Ну что ж, про результативный кибербез и недопустимые события в Дубае рассказал. Многих тема цепанула, так как все сталкиваются со сложностью общения с топами, которые, услышав про риски и киберугрозы, посылают всех, «идите вон к тем парням, где-то там внизу, они у нас занимаются ИБ». А тут вполне себе история, позволяющая зайти с правильным посылом.
ЗЫ. Только в Дубае, заходя в туалет, меня спрашивали «How are you?» и «Where are you from?», в местном метро мне уступают место, а подходящие на стенд девушки приглашают keynote-спикером то в Москву, то в Иран 🇮🇷
По поводу описанного вчера арабского полигона. Я его все-таки хакнул ;-) Это было непросто очень просто.
Пригласили арабов на ноябрьскую Moscow Hacking Week, чтобы они увидели реальный фиджитал-полигон и как его ломают реальные пацаны, а не обычные бизнес-консультанты 😂
У арабов тоже есть свой полигон, но без приставки кибер, так как это просто красивый макет «из детства». Красивые объекты, мигающие лампочки, иногда что-то ездит, но ломать его по аналогии со Standoff нельзя 🤹♂️ Но чтобы хоть как-то приблизить эту историю к ИБ, у каждой зоны полигона свой экранчик с описание недопустимых событий, которые могут быть реализованы - в аэропорту, в центра управления космическими полетами, на ж/д 🚂, на конвейере, на электростанции и т.п.
Читать полностью…У России на GITEX свой стенд, на котором, что характерно, представлены два отечественных DLP-вендора и один производитель СОРМ. Россия экспортирует технологии слежки мониторинга контента 🙈
У 🟥 свой отдельный стенд, который пока еще не больше других по площади (Standoff мы не вывозили в этот раз), но выше других, это точно 💯
Как госорганы оправдываются за утечки данных
Что делают госорганы, допустившие утечку данных? Ищут способ избежать наказания в 60 тысяч рублей. Как именно, посмотрим на примере Минпросвещения и Федеральной таможенной службы.
Минпросвещения привлекли к ответственности за июньскую утечку базы данных образовательной платформы «Российская электронная школа». Утекли данные более 9 млн пользователей, включая ФИО, email, хэшированный пароль, пол, дата рождения, для некоторых пользователей — телефон и идентификатор в Госуслугах.
Оправдания министерства в суде:
— Мы не являемся оператором данных: «Министерство просвещения Российской Федерации не является оператором персональных данных сайта "Российская электронная школа", так как ответственность за обеспечение функционирование данной платформы возложена приказом Минобрнауки на подведомственное Министерству ФГАУ ГНИИ ИТТ "Информатика"», — из материалов дела следует, что оператором было всё-таки именно-министерство;
— У нас не было возможности обновить ПО: «Министерство не имело возможности принять меры к предотвращению взлома базы данных из-за отсутствия обновлений программного обеспечения», — это можно не комментировать.
Федеральная таможенная служба привлечена к ответственности за утечку, которая произошла в апреле во время атаки на системы ведомства. Была слита база на 78 тысяч строк с персданными сотрудников ФТС, в том числе ФИО, email, паспортные данные, адрес, сведения о трудовой деятельности, должность, звание, департамент, награды и пр.
Оправдания таможни в суде:
— Утечка не доказана, потому что Роскомнадзор указал дату публикации данных, а не дату их похищения: «Если предположить, что утрата имела место быть, то данное событие, в том числе могло произойти за пределами срока давности привлечения к административной ответственности, что является обстоятельством, исключающим производство по делу об административном правонарушении», — операторы персданных, допустившие утечку, привлекаются к ответственности по статье 13.11 ч.1. КоАП, по смыслу которой дата утраты принципиальной роли не играет, поскольку для правонарушения достаточно самого факта, что данные доступны не тем людям, то есть слиты в телеграм-канале, например;
— Роскомнадзор не исследовал обстоятельства утраты данных: «Обстоятельства утраты или передачи персональных данных третьим лицам Управлением Роскомнадзора по ЦФО не исследовались и не устанавливались. Материалы по делу об административном правонарушении также не содержат фактических обстоятельств, свидетельствующих об утрате госорганом персональных данных», — опять же по нынешнему законодательству это особой роли не играет;
— Вы не привлекли к делу тех, чьи данные утекли: «Субъекты персональных данных в рамках производства по делу об административном правонарушении не опрашивались, обстоятельства наличия возможного согласия на обработку персональных сданных, а также возможной утечки персональных данных со стороны должностных лиц ФТС России не устанавливались», — опять же какая разница? Другое дело, что субъектов персданных действительно надо информировать, но вряд ли ФТС была бы рада, если бы все затронутые сотрудники получили полное представление о том, почему и в каком объёме утекли их данные. Кстати, интересно, уведомляли ли сотрудников после утечки?
— А также разные процессуальные моменты. Например: «В Протоколе имеется отсылка на нарушение ФТС России "ч. 1 ст. 6, ст. 7, ст. 10.1 Закона", при этом отсутствуют полные реквизиты данного нормативного правового акта», — суд, естественно, счёл это технической ошибкой, а не основанием избавлять ФТС от ответственности.
В обоих случаях довольно убедительно доказывается, что утечки действительно произошли, а не были выдуманы. И обе организации были оштрафован на 60 тысяч. На мой взгляд, размер штрафа вполне сопоставим с убедительностью оправданий.
Интересное исследование тут нашел, в котором опрашивали CISO по разным темам и вопросам. И вот один из них касался тех проблем, с которыми сталкиваются руководители ИБ и которые не имеют адекватного или достаточного количества решений сегодня на рынке. Управление рисками взаимодействия с третьими лицами (1️⃣) и борьба с внутренним человеческим фактором (2️⃣) - конечно топчик и уже не первый и даже не второй год. По мнению НКЦКИ атаки через подрядчиков, особенно ИТ и ИБ, - сегодня прямо бич какой-то. Безопасность искусственного интеллекта (3️⃣) относительно новая, но тоже понятная проблема. Одно дело применять ИБ в ИИ и совсем другое обеспечивать ИБ в ИИ 🧠
Замыкает "великолепную семерку":
4️⃣ Дашборды для руководства по вопросам ИБ
5️⃣ Оптимизация затрат на SecOps
6️⃣ Безопасность open source
7️⃣ SOCи следующего поколения.
Так что если вы решили ворваться на рынок кибербеза или развить свой портфель решений по ИБ, то вам точно не надо пилить свой NGFW, NTA, WAF, VM или SIEM...
Навеяло большим количеством мероприятий по искуственному интеллекту 🤯 за последнее время...
в условиях нехватки данных
сием придумывает сам
энэс атаки инциденты
и индикаторы врагов
ЗЫ. Хотя на этапе тестирования решения применение синтетических данных, созданных с помощью ML, вполне себе тема...