alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Ну что, американцы начинают разгонять тему вмешательства России (а заодно Ирана и Китая) в американские президентские выборы. Microsoft Digital Threat Analysis Center выпустил соответствующий отчет ✍️

Читать полностью…

Пост Лукацкого

В международный день защиты информации, 30-го ноября, в Москве, в Кибердоме, пройдет конференция "Технологии SOC". Достойная программа, интересные спикеры, уютное место. У меня там будет два доклада:
🔤 Мониторинг атак 🔓 на подрядчиков: что брать под контроль на примере реальных кейсов 🛡
🔤 От чего зависит выбор технологий для SOC? 🛡 Составляем чеклист 🤕 на основе опыта участия в паре десятков проектов проектирования и аудитов SOC 🪙

Приходите 🤗

Читать полностью…

Пост Лукацкого

Когда прошлой весной ломали Cisco, то началось все тоже с персонального аккаунта Google. В истории с Okta тот же первоначальный вектор

Читать полностью…

Пост Лукацкого

Федеральная торговая комиссия США (FTC) ввела требование, аналогичное ЦБшному, об уведомлении некредитными финансовыми организациями 🏦 обо всех инцидентах с данными клиентов и других событиях безопасности. Но при совпадении общей идеи, есть и существенные отличия. Во-первых, сообщать надо не обо всех инцидентах, а если они затронули более 500 клиентов. Во-вторых, на уведомление дается 30 дней, а не 24 часа как у нас

Основание для такого требования - закон Грэмма-Лича-Блайли (GLBA), принятого еще в 1999-м году. Наконец, в документе, который вводит FTC, как это часто водится у американцев, подробно расписана мотивация, почему было принято такое решение, какие и кем были поданы возражения и т.п. То есть никаких непонятных процедур и требований - все достаточно четко и понятно. И даже если вы с ними не согласны, то вы все равно имеете ответ на вопрос "почему"

Читать полностью…

Пост Лукацкого

И ИБ-компании страдают от шифровальщиков. На этот раз производитель решений по ИБ для IoT

Читать полностью…

Пост Лукацкого

Все, что вам нужно знать о всяких наградах 🥇

Читать полностью…

Пост Лукацкого

Нью-Йорк, в рамках развития своей программы кибербезопасности, анонсировал новую программу раскрытия уязвимостей для веб-сайтов и систем, которыми владеет город, включая и АСУ ТП.

Американцы считают, что киберкомандование Нью-Йорка, которое и курирует программу раскрытия уязвимостей, является самым крупным, после киберкомандирования американской армии, подразделением в госорганах США. Для примера, их SOC фиксирует 90 миллиардов событий безопасности еженедельно, которые, после обработки, "превращаются" всего в 50 инцидентов, требующих расследования.

Читать полностью…

Пост Лукацкого

Битрикс завел на своем сайте отдельную страницу про выявленные уязвимости на своей платформе. Я бы туда еще обязательно добавил уведомление, что без активной подписки получить обновления нельзя (а если можно, то как, где и при каких условиях), а также давал ссылки на обновления, устраняющие описанные уязвимости. А в идеале бы еще и на сайте, в админ-панели сделал всплывающий пуш красным о том, что используемая версия уязвима и надо обновиться.

Читать полностью…

Пост Лукацкого

Вы знали, что среднее время нахождения CISO в должности в США составляет 18-24 месяца. Это, конечно, странные, по сравнению с Россией, цифры. У нас этот срок обычно дольше. Ну что можно успеть сделать за 1,5-2 года?

Читать полностью…

Пост Лукацкого

Среди атак на машинное обучение есть «отравление данных», которое вводит в заблуждение и приводит к неверным решениям на их основе (даже при отличной модели и процессе обучения).

В ИБ тоже такое есть - обманные системы. Я в них не очень верю, так как обычно в компаниях не хватает ресурсов даже на обычные средства защиты и фундамент для SecOps. Какие уж тут обманки… 😵

Но вот с данными такой фокус можно провернуть. Особенно если притянуть сюда ML, которое позволит сгенерить синтетические данные, похожие на настоящие. И можно даже «забыть» закрыть к ним доступ. И когда их сопрут, можно даже позлорадствовать над хакерами…

Читать полностью…

Пост Лукацкого

Список Топ10 сценариев (use cases), которые необходимо использовать в SOC, который мониторит АСУ ТП. Это не значит, что не надо мониторить все остальное; просто с этого стоит начинать.

Читать полностью…

Пост Лукацкого

Когда средств защиты очень много, они начинают мешать 🏊‍♂️ Главное, найти баланс, а то куча денег делает только хуже 👎

Читать полностью…

Пост Лукацкого

🛡Инфраструктуру компании часто сравнивают с замком, неприступные стены которого разными способами пытаются взять захватчики.

Причем и способы эти похожи. Например, проникновение в крепость через мало кому известный потайной ход можно сравнить с попыткой взлома через забытый удаленный доступ.

Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, на примере сражений из блокбастеров показал, какими еще методами могут пользоваться злоумышленники, чтобы захватить ваш «замок».

@Positive_Technologies
#PositiveЭксперты

Читать полностью…

Пост Лукацкого

Надоооолго задумался 🤔

Читать полностью…

Пост Лукацкого

В ООН приняты обе киберрезолюции

Свежие новости из Первого комитета Генассамблеи. Как я и прогнозировал, были приняты оба проекта резолюции по переговорам о кибербезопасности. Российский — в поддержку нынешнего формата, Рабочей группы открытого состава (РГОС). Западный — в поддержку создания после завершения РГОС постоянного механизма обсуждения кибербезопасности, так называемой Программы действий по поощрению ответственного поведения государств в использовании ИКТ (PoA). Конкретно PoA в резолюции не упомянута (после редактуры), но все понимают, что речь идёт именно о ней. Все параметры нового механизма должны опираться на то, что согласовано в РГОС, поэтому конкретные очертания мы увидим в будущем.

В России к Программе действий изначально относились со скепсисом, а затем и открыто отрицательно. Но, как можно видеть по голосованию, противников у нового формата помимо России и Китая нашлось не так много. Российское недовольство объясняется как статусными, так и содержательными причинами. Российская дипломатия по праву считает своей заслугой включение проблематики информационной безопасности в 1998 году, когда об этом почти никто не думал. И все последующие форматы переговоров инициировались Россией. Теперь же впервые создаётся механизм, который инициирован другими странами. Хуже того — в год 25-летия с внесения той самой первой резолюции. Это что касается статуса. Если говорить о содержании, то в России считают PoA попыткой увести переговоры в сторону от обсуждения новых юридических обязательств.

Разумеется, на этом дипломатические баталии не закончатся, в ближайшие два года будет обсуждаться, как будет выглядеть и что обсуждать новый механизм (возможно, и как он будет называться), возьмётся ли он за юридическое закрепление кибернорм. Также Россия может попробовать запустить процесс выработки конвенции по международной информационной безопасности, но это будет зависеть от наличия поддержки и желания стран создавать второй формат переговоров.

Читать полностью…

Пост Лукацкого

Recorded Future выпустила аналитический отчет о развитии киберопераций Китая 🇨🇳, спонсируемых государством, и их развитии за последние годы. Американцы считают, что Китай стал более зрелым 👲 и скрытным, координирует свои действия в киберпространстве, активно использует как известные, так и неизвестные уязвимости 🐉, в том числе и в средствах защиты и сетевом оборудовании. Стремление оставаться незаметными затрудняет обнаружение китайских хакерских группировок 🐲

Читать полностью…

Пост Лукацкого

Большинство планов по реагированию, не протестированных хотя бы на киберучениях, выглядит так, как на картинке 😊

Читать полностью…

Пост Лукацкого

Ассоциация больших данных выступила с инициативой разработки и последующего внедрения добровольного отраслевого стандарта защиты персональных данных в качестве одного из механизмов ухода от оборотных штрафов или их снижения. Авторы стандарта 👇 вводят 26 критериев, каждый из которых должен оцениваться по приведенной в проекте стандарта методике.

Ряд критериев может принимать значения только 0 или 1, а у некоторых возможна градация от 0 до 1 с шагом 0.1, 0.2, 0.3 и т.д. (логика там не очень прослеживается, почему для одного критерия градация из двух значений, для другого из пяти, для третьего из 6, а для четвертого из семи, а для какого-то из восьми).

В зависимости от уровня защищенности, типа обрабатываемых персональных данных и количества записей с ними, определяется одна из 4-х категорий операторов персональных данных, которые должны достичь соответствующего значения эффективности защиты ПДн (>6, >10, >14 и >18 баллов).

В целом, идея введения такого стандарта понятна и ее можно приветствовать, если бы не одно но. Почти все предлагаемые защитные меры уже прописано в обязательном для всех операторов ПДн 21-м приказе ФСТЭК (в приказе их даже больше). Если внедрить стандарт АБД, то получится, что операторы сами признают, что они не выполняли 21-й приказ или делали его по принципу на отвали. Такое себе решение...

ЗЫ. Тут больше надо думать о том, как мотивировать (или стимулировать) выполнять 21-й приказ, а не придумывать новые, добровольные требования.

ЗЗЫ. Скорее предлагаемый стандарт описывает процедуру оценки зрелости реализации 21-го приказа (если туда добавить остальные меры защиты). Я про это 7 лет назад писал ✍️

Читать полностью…

Пост Лукацкого

Эффективное управление уязвимостями требует коррелировать различные источники информации - известные уязвимости, патчи, списки разрешенного и запрещенного ПО, активность хакеров. И все это применительно к конкретному ПО, которое надо идентифицировать с помощью уникального идентификатора и системы управления, построенной вокруг него.

Американское агентство CISA выпустило документ, посвященный решению этой задачи и пригласило экспертов до 11 декабря высказать свои замечания в его отношении. Нам высказывать американцам нечего, но вот критически посмотреть на этот документ и перенять оттуда ключевые идеи можно. Особенно в контексте усилий ФСТЭК по безопасной разработке и управлению уязвимостями, и усилий Минцифры по управлению отечественным ПО через соответствующий реестр, фонд алгоритмов и программ, а также свой государственный Git. А там и до требований к SBOM недалеко...

Читать полностью…

Пост Лукацкого

Помните историю с двумя американцами, названными "русскими", которые взломали систему диспетчеризации такси в Нью-Йорке? Теперь к ним добавилось еще двое, на этот раз классических россиян, - Шипулин или Деребенец. Первая парочка признала свою вину в октябре, второй еще это предстоит.

Ну и до кучи - американский OFAC обвиняет россиянку в помощи группировке Ryuk в отмывании 2,3 миллионнов долларов.

Читать полностью…

Пост Лукацкого

Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")

Читать полностью…

Пост Лукацкого

Про очередное заявление о взломе RSA-2048 слышали, думаю, многие. Я не стал его в блоге обсасывать с разных сторон (доказательств все равно не представлено), а взял его скорее за основу и посмотрел на проблему квантовых компьютеров и постквантовой криптографии чуть шире; в том числе и ряд направлений, которыми занимаются в России.

ЗЫ. Почему в России так любят использовать флору и фауну для названий всяких военных и околовоенных штук? Когда я занимался РЭБ, всяческие приборы тоже называли по названиям отечественной флоры - "Береза", "Липа", "Азалия", "Герань", "Сирень" и т.п. А теперь вот алгоритмы постквантовой криптографии - "Шиповник", "Крыжовник", "Форзеция" и т.д.

Читать полностью…

Пост Лукацкого

Американская комиссия по ценным бумагам (SEC) обвинила директора по ИБ компании SolarWinds Тимоти Брауна в обмане инвесторов и нарушении правил внутреннего контроля 😡 Обвинение строится на том, что за два года с момента выхода на биржу и до начала кибератаки SUNBURST, компания SolarWinds и ее CISO завышали свои индикаторы защищенности 📈 и не раскрывали или осознанно занижали риски. При этом CISO знал о недостатках в своей системе кибербезопасности, но не предпринимал необходимых мер по их устранению

Во внутренней презентации еще 2018-го года, с которой Браун был ознакомлен, говорилось, что удаленный доступ в компании "не очень защищен" и в случае, если кто-то будет эксплуатировать эту уязвимость, у компании не будет возможности это обнаружить (что в рамках SUNBURST мы и наблюдали), что, в свою очередь, может привести к серьезным репутационным и финансовым потерям 😂 Тоже самое говорилось и в более поздних презентациях о состоянии ИБ в SolarWinds.

Еще летом 2020-го года, участвуя в расследовании у одного из заказчиков, Браун писал, что "наш бэкенд не устойчив" и хакеры могут использовать ПО Orion Manager для масштабных атак, что и было продемонстрировано всего спустя полгода. В сентябре он же писал, что объем проблем с ИБ, обнаруженных за последние месяцы, превышает возможность команды по их разрешению". В результат атаки акции компании упали на 25% в первые два дня после объявления об инциденте SUNBURST и на 35% к концу месяца 🧤

Как говорит SEC в своем заявлении: "Сегодняшнее обвинение - это не только наказание SolarWinds и Брауна за обман инвесторов и провал в защите ценных активов компании, но и наше сообщение всем эмитентам - внедряйте строгие меры контроля в соответствие с вашими рисками и уровнем, согласно которому ваши инвесторы должны знать о проблемах" 🫵

ЗЫ. А еще в мае Браун делал интересные заявления...

Читать полностью…

Пост Лукацкого

У Битрикса опять проблемы. ФСТЭК пишет о, как минимум, 8 уязвимостях в популярной платформе для создания сайтов, среди которых и несколько RCE. Патчей нет 🤷‍♂️ только компенсирующие меры.

Читать полностью…

Пост Лукацкого

В 2018-м году в ISO, в комитете SC27, отвечающем за ИБ, развернулись нешуточные баталии на тему, как писать правильно, cybersecurity или cyber security? К единому мнению так и не пришли, а в Интернете до сих пор пишут и так, и так. В одно слово - преимущественно американцы, в два - англичане. Так что по тому, как пишите этот термин вы, можно понять, учили вы американский английский или британский. А это уже, кстати, персданные. Но мы Роскомнадзору не скажем ;-)

Читать полностью…

Пост Лукацкого

Одна проукраинская группировка пишет, что получила доступ в инфраструктуру одного из российских заводов ОПК. Среди прочих «доказательных» скринов есть и сделанный с SIEM. Отсюда небольшой опрос

Читать полностью…

Пост Лукацкого

Посмотрев всякое, я тут за консультацией ходил по поводу кибербеза метавселенных. К дочери 👧 Она спец во всяких Roblox’ах и т.п. недометавселенных. Кто как не младшее поколение может помочь разобраться, как оно все там работает… А то про это пока мало пишут, а то тема может стать популярной в обозримом будущем 🪩

Читать полностью…

Пост Лукацкого

Вот представьте, что вы решили начать мониторить АСУ ТП с точки зрения угроз и нарушений безопасности. С чего начать? 🤔 Тут все зависит от того, насколько вы разбираетесь в объекте мониторинга. Если посмотреть на схему, то начинать стоит с левого нижнего угла, постепенно продвигаясь к правому верхнему. То есть обычно вы берете какую-нибудь IDS (СОВ/СОА), в которой присутствуют сигнатуры для промышленных протоколов и ставите ее на периметре АСУ ТП 🏭 Потом вы можете переходить к системам мониторинга аномалий в промышленной сети, накрывая мониторингом все ключевые компоненты - ПЛК, HMI и т.п. Ну а по мере получения новых знаний о функционировании АСУ ТП, вы уже можно двигаться дальше и выше, фокусируясь не только на атаках и аномалиях в сетевом трафике, но и отслеживая состояние технологических процессов и их параметров.

Читать полностью…

Пост Лукацкого

Утащил из одного чатика по приватности. Прям взоржал, когда увидел. Реально, именно так и воспринимаются нормативные акты, которые ты читаешь (или комментарии к нему, включая правоприменительную практику) и которые ты писал ✍️

Читать полностью…

Пост Лукацкого

31-го октября (не 25-го как обычно) MITRE выпустила новую, 14-ю версию своей матрицы ATT&CK, которая пополнилась целым букетом изменений:
1️⃣ 18 новых техник в Enterprise и почти 130 различных обновлений в ранее описанных техниках
2️⃣ 7 новых и 25 измененных техник в версии для мобильных устройств
3️⃣ В версии для АСУ ТП новых техник не добавлено, но вот изменений в уже существующих больше 80.
4️⃣ 14 и 7 вредоносных программ для матриц Enterprise и Mobile, а также ряд изменений в существующих.
5️⃣ 7 новых группировок и изменения в 22 имеющихся
6️⃣ 4 новых хакерских кампании
7️⃣ 14 новых активов в матрицу для АСУ ТП
8️⃣ 1 новая защитная мера для "мобильной" матрицы и почти 50 изменений в существующие меры, преимущественно для АСУ ТП
9️⃣ Существенно расширено число техник с описанными методами обнаружения с примерами на псевдокоде из Cyber Analytics Repository. Для расширения плацдарма (Lateral Movement) было добавлено 75 правил, написанных на BZAR (Bro/Zeek ATT&CK-based Analytics and Reporting), и число таких правил планируют расширять в следующих версиях.
1️⃣0️⃣ Расширено описание связей между методами обнаружения, источниками данных и защитными мерами.

Всего в текущей версии матрицы:
1️⃣ Enterprise - 201 техник, 424 суб-техник, 141 группировок, 648 примеров вредоносного ПО, 23 кампаний, 43 защитных мер и 109 источников данных
2️⃣ Mobile - 72 техник, 42 суб-техник, 8 группировок, 108 примеров вредоносного ПО, 1 кампания, 12 защитных мер и 15 источников данных
3️⃣ АСУ ТП - 81 техник, 13 группировок, 21 примеров вредоносного ПО, 52 защитных мер, 3 кампаний, 14 активов и 34 источников данных

Читать полностью…
Подписаться на канал