🔜 Грядет PHD2, на котором я буду нести с гордо поднятой головой ответственность за бизнес-трек 🧐, который в этом году будет идти 4 дня на 4-х разных площадках в пределах стадиона "Лужники" 🏟 - тут вам и Большая спортивная арена, и шатер поменьше на 600 человек, и совсем маленькие залы. Для каждого из них предлагается достаточно обширная и емкая программа, которая должна по задумке учесть интересы совершенно разных категорий специалистов - от начинающих ИБшников до CISO и от безопасных разработчиков до генеральных директоров 🤓
Мы уже объявили CFP на доклады во всех треках программы, но так как описать всю грандиозную задумку на сайте киберфестиваля оказалось непросто, я написал отдельную заметку, где и изложил и идею, и подробно описал все стримы внутри бизнес-трека, и сдал все явки и пароли 🫴
Так что если вам есть что сказать и вы хотите выступить на арене, на которой до вас стояли Леонид Агутин, Майкл Джексон, Rammstein и "Машина времени", то самое время податься на CFP 🫵
Red Canary выпустила уже 6-й ежегодный отчет с обзором угроз 🤕, который был сделан за счет анализа данных, получаемых с инфраструктуры заказчиков. Как по мне, так отчет не так чтобы и интересен с практической точки зрения. Учитывая постоянные изменения в тактике злоумышленников (не в контексте MITRE ATT&CK), читать про них спустя год после их использования... ну такое себе. Каких-то открытий в отчете нет - все идут в облака, злоумышленники используют ИИ, человеческий фактор рулит, при всем многообразии техник, хакеры используют от силы 10-20 🚫
Самое полезное в отчете - это рекомендации после каждого раздела. Из того, что мне понравилось, отмечу (хотя тоже не новость):
1️⃣ Для борьбы с первичным векторов атаки необходимо выстроить процесс управления уязвимостями и патчами. Если организация не в состоянии это сделать, то хотя бы бы закрывать трендовые уязвимости на периметре.
2️⃣ Отключите автоматическое монтирование контейнеров в Windows.
3️⃣ Управляйте активами, а то защищать, не зная, что, - это такое себе занятие.
4️⃣ Простые рекомендации для защиты от звонков мошенников под видом сотрудников в службу поддержки, а также от имени последних (рекомендации ENISA ☝️ могут помочь решить эту задачу)
5️⃣ Неплохие рекомендации по защите от подмены SIM-карт (SIM Swapping)
6️⃣ Разработайте и внедрите стратегию мониторинга за средствами удаленного управления.
7️⃣ И еще куча рекомендаций для защиты от разных техники и вредоносов
8️⃣ Рекомендаций по ИИ почему-то не дали 😭
ЗЫ. Кстати, название отчета не очень хорошо отражает его суть. Все-таки он не про обнаружение, а про сами кем-то (понятно кем) обнаруженные угрозы. Статистики там много, различные срезы. Но вообще читать отчеты на 160 страниц - этот тот еще квест 👍 Я бы его все-таки разбил на множество маленьких частей - тогда пользы было бы больше.
В последние пару дней многие обсуждают тему отключения облачных сервисов 😶🌫️ Microsoft и Amazon для российских пользователей. Обсуждается эта новость в контексте различных бизнес- и офисных приложений, а я бы хотел посмотреть на нее с точки зрения ИБ. Какие ИБ-сервисы из облака предлагал Microsoft, которые 20-го числа могут быть отключены (не претендую на полноту):
1️⃣ Microsoft Defender for Cloud/Endpoint/Office 365/Identity/IoT
2️⃣ Microsoft Azure Active Directory и MS Azure AD Conditional Access
3️⃣ Microsoft Entra Permission Management (бывший CloudKnox) и Entra Verified ID
4️⃣ Microsoft Purview Privileged Access Management
5️⃣ Microsoft Endpoint Manager и Microsoft Intune
6️⃣ Microsoft Sentinel
7️⃣ RiskIQ Intelligence
8️⃣ Azure Security Center
9️⃣ Microsoft Information Protection & Rights Management Service (RMS)
1️⃣0️⃣ Microsoft Advanced Threat Analytics
1️⃣1️⃣ Azure Firewall
1️⃣2️⃣ Microsoft Passport и Azure MFA
1️⃣3️⃣ Azure Key Vault
1️⃣4️⃣ GitHub Advanced Security (под вопросом).
Вообще вопрос, зачем было использовать на протяжении пары лет сервисы компании, которая ушла из России и которая неоднократно порывалась прекратить доступ к своим продуктам российскому бизнесу и пользователям, но что уж тут поделать 🙌 За оставшиеся 3 дня (17-19 марта) осталось решить кучу вопросов - от поиска альтернативы до удаления ПДн, которые располагались в облаках Microsoft, от выгрузки событий безопасности в открытом формате (если они вам нужны) до подготовки процедуры удаления всех установленных в вашей инфраструктуре агентов, а также блокирования ранее открытых портов на периметровых МСЭ для средств защиты Microsoft ❌
ЗЫ. Хотя после того, как еще и на западном побережье Африки 3 из 4 Интернет-кабеля оказались попорченными (хуситы баловались в Красном море, это восточная часть Африки), вопрос осмысленности использования облачных сервисов встает особенно остро 🤔
У Макдональдса по всему миру глобальный сбой 🍔 - онлайн-заказы, заказы через приложение, заказы через киоски в самих ресторанах не работают. Компания уверяет, что это не результат кибератаки. А я в этой истории жду оценок ущерба 🤑 от такого сбоя. Всегда интересно посмотреть, во сколько оценивают простой бизнес-сервиса в течение нескольких часов. И не так уж и важна причина (сбой на стороне подрядчика или DDoS). Потому что потом это можно экстраполировать и на другие схожие бизнесы, завязанные на онлайн-заказы 🛍 (типа вот этой истории).
Читать полностью…💥💥💥 Запускаем «Резбез Challenge» — конкурс на лучшую статью по результативной кибербезопасности
Как участвовать? Напишите статью по теме из перечня, в работе должны быть глубокий анализ проблемы и предложения, как ее решать.
Три лучших автора получат денежные призы, а их работы будут опубликованы на Резбезе. Статья участника должна соответствовать:
🟢 Принципам результативной кибербезопасности.
🟢 Политике сообщества.
🟢 Правилам конкурса.
Когда? Работы принимаются с 15 марта по 31 мая включительно. Победители будут объявлены до 15 июня.
Где заполнить заявку? Прямо в этих буквах!
Из интересного:
1️⃣ Первые признаки аномальной активности были замечены 25 октября, но блиц-расследование ничего не выявило. Однако, ИТ/ИБ-служба заблокировала активность, провела сканирование сети (ничего не выявлено), мониторило логи (ничего не выявлено), смена пароля.
2️⃣ Спустя 2 дня Интернет-провайдер зафиксировал аномальный всплеск выкачиваемых данных - 440 ГБ. Позже выкачали еще 160 ГБ.
3️⃣ Проникновение произошло скорее всего (до конца не выяснили) через ферму терминальных серверов, используемых внутренними ИТ-админами и внешними, доверенными партнерами. Авторы отчета склоняются к атаке именно через партнеров, которых поймали на фишинг.
4️⃣ MFA на терминальных серверах не было, а антивирусы и МСЭ были, так как "дорого".
5️⃣ Хакеры задействовали легальные инструменты ИТ, сделали резервные копии 22 баз данных и выкачали их (помимо разрозненных файлов с чувствительной информацией).
6️⃣ Калькуляция финансового ущерба продолжается, а вот остальные виды потерь прописаны неплохо (хотя бы и на уровне категорий).
7️⃣ Описаны способы кризисных коммуникаций, которые позволили уведомить всех сотрудников, но при этом не раскрыть деталей расследования инцидента хакерам, которые могли находиться еще в сети.
8️⃣ Подробно расписаны шаги по перестройке всей, ранее плоской legacy инфраструктуры, - сегментация, ролевой доступ, air-gap резервирование, MFA, PAM для удаленного доступа третьих лиц, управление уязвимостями и инцидентами...
9️⃣ Из рекомендаций интересно выглядит совет заранее подготовиться и иметь на готове контакт фирмы, которая может оперативно приехать и помочь с расследованием
Сама по себе история не так чтобы и интересна и уникальна - 9 грабителей в американской Миннесоте подозреваются в том, что выводили из строя беспроводные камеры видеонаблюдения 👀 за счет подавителей сигнала Wi-Fi (джаммеров), после чего обкрадывали дома своих жертв. Но автор вынес в заголовок очень мудрую мысль - технологии становятся дешевле и проще для приобретения 💯
Этот вывод можно распространить не только на подавителей сигнала (и не только Wi-Fi, но и GPS/ГЛОНАСС), но и на многие другие направления, которые раньше казались недосягаемыми - спутники, банкоматы, беспилотный транспорт и т.п. Их можно без труда приобрести на Интернет-аукционах и маркетплейсах и потом использовать (не) по назначению. А значит то, что еще раньше казалось невозможным или очень дорогостоящим и потому считалось неактуальным, сегодня или уже завтра может стать вполне себе реальной проблемой 🔜 Так что стоит регулярно пересматривать свою модель угроз на предмет реалистичности сделанных оценок относительно возможностей нарушителя!! 👨💻
Совершенствуется CAPTCHA... Все для защиты от пронырливых роботов 🤖 Скоро для решения таких задачек понадобятся свои программы и сервисы, для доступа к которым нужны будут тоже свои CAPTCHA... 🤖
Читать полностью…Для апологетов американской системы летоисчисления, когда дата начинается с месяца, а не дня, напоминаю, что сегодня празднуется «день Пи» с чем вас и поздравляю! ✨
Читать полностью…🆕 BlackCat/ALPHV ушли в туман, LockBit потерял свою инфраструктуру, но есть жизнь вымогательская и после них. В феврале было зафиксировано 32 новых семейства шифровальщиков 🤒, нападающих на организации (даже LockBit 4.0, о котором я писал в списке уже есть). Там где есть деньги, всегда кто-то будет крутиться 🤑
Читать полностью…В новом отчете Recorded Future интересен не только список потенциальных жертв из совершенно разных стран, по части из которых задаешься вопросом "а нахрена этих-то атаковать?" (Ангола, Ботсвана, Монголия, Тринидад и Тобаго и т.д.) 🏝 И не то, что целевыми устройствами для обнаруженного ВПО является смартфоны. И даже не способами атак на них через уязвимости в Whatsapp и iMessage 📱
Отчет показывает, что обнаруживать такие кампании можно и не имея средств защиты на оконечных мобильных устройствах 📞 Компенсировать их отсутствие можно за счет анализа сетевого трафика, который по любому будет, если ВПО захочет коммуницировать с C2-инфраструктурой. И анализировать его можно за счет применения решений класса NTA/NDR 💡 или DNS Firewall/NGFW/SASE, то есть того инструментария, который есть в нашем распоряжении. Главное 🤔, не забывать их правильным образом настраивать.
Если вдруг у вас случится казус с непатченными Fortinet'ами, в которых нашли зеродей, 🤬 то у вас есть возможность протестировать новый сайт ГосСОПКИ и через него сообщить об инциденте 📞 Ну и вообще поглядывайте за ним наряду с safe-surf.ru
Читать полностью…Что объединяет основного антагониста главного героя романа "Гарри Поттер" 😈 и средства, используемые для обхода блокировок, введенных Роскомнадзором? То, что их нельзя называть! 🤐 Одного - на протяжении всех романов Джоан Роулинг, второе - с 1-го марта 2024 года. В связи с этим предлагаю ввести в оборот новую аббревиатуру - ССКНП, то есть "средства и сервисы, которые нельзя пропагандировать" (сокращенно, "ссука"; не путать с СуКИИ)!
Читать полностью…Интересный кейс тут услышал. Банк 🏦 решил бороться с мошенничеством при переводе денежных средств, а поскольку денег особо не было (банк не из первой сотни даже), то кредитная организация стала внедрять самописный и достаточно простой в реализации антифрод 💰:
➖контроль IP-адресов и блокировка по геолокации, что отсекало всех "иностранцев", включая и клиентов банков, работающих из-за рубежа ⛔️
➖ контроль "черных" и "белых" списков счетов, в том числе опираясь на межбанковский обмен с коллегами и фиды от Банка России
➖ установление и контроль пороговых значений сумм платежей 🌡
➖ контроль определенных параметров платежных поручений (назначение платежа, сумма, ИНН, КПП и т.п.)
➖ контроль и блокирование новых, ранее не встречавшихся у клиентов получателей денежных средств 🆕
То есть служба ИБ банка отработала "на ура", но вот бизнес такого рвения не оценил, потому что:
➖ число жалоб клиентов возросло многократно 📈
➖ нагрузка на call center банка и его сотрудников возросла многократно
➖ в Интернете вырос негативный фон относительно финансового организации 🤠
➖ у банка снизилось число проданных банковских продуктов.
Зато уровень мошенничества снизился почти до нуля. Только вот кому это оказалось нужно? Не о таком результате думал бизнес, когда ставил задачи безопасникам.
Аналогичная ситуация происходит и в управлении инцидентами, управлении уязвимостями и многих других процессах ИБ, где целью ставится доведения ключевого показателя деятельности до нуля (ноль дыр, ноль угроз, ноль утечек, ноль еще чего-нибудь). На достижение этого "результата" уходят избыточные ресурсы, но бизнес от этого только страдает! Поэтому выбирая результат работы ИБ, к которому служба стремится, нужно искать баланс (точного ответа, какой он, - не существует)! 🟰
Депутат заявляет, что сейчас из всех средств защиты в России отечественных уже 97%. В прошлом июне он заявлял, что таких средств "всего" 90%. И это рекорд, такой же как и число голосов, отданных за никому неизвестных кандидатов в президенты страны 🤥
Читать полностью…Интересный документ выпустило ENISA - про различные практики подтверждения подлинности субъекта при удаленной идентификации 🫦 Начав с обзора сценариев, где это необходимо, они описывают модель угроз для разных сценариев и методов, а затем уже описывают, как это сделать правильно и безопасно 🛡
Читать полностью…Не знаю, что вы больше празднуете, День Святого Патрика 🍀 или Масленицу 🥞, но в любом случае поздравляю вас с применением гомоморфного шифрования на выборах главы государства! Да пребудет с вами гомоморфизм! 🥂
Читать полностью…Тут в "Коммерсанте" кратко формулируют, почему новости об утечках персональных данных никого не пугают и кому выгодна шумиха про них и введение оборотных штрафов 💡
Я только добавлю свои 5 копеек 🪙 относительно комаров и болота. С точки зрения теории вероятностей у жителя Земли умереть от укуса комара 🦟 шансов в 140 тысяч раз больше, чем стать жертвой акулы. То есть это мелкое насекомое не так уж и безобидно, как мы к этому привыкли (и это лишний раз показывает иррациональность человеческой оценки риска - мы акул боимся, но то, что от бегемотов и коров умирает больше людей, чем т них, в расчет не берем) 🦈
И про болото. Все-таки тут у меня есть выбор - ходить туда, где воет собака Баскервилей или нет. А вот с персданными, которые я вынужден оставлять на множестве ресурсов, чтобы не быть вырванным из жизни, увы, ситуация иная - у меня нет выбора. И, как минимум, различные госорганы обрабатывают мою личную информацию. Но в остальном всецело поддерживаю мысль Максима 🤝
Во исполнение ранее принятых требований по повышению безопасности ПО, используемого в госорганах США, CISA разработала аттестационную форму, которую обязаны заполнять все поставщики софта для госов. Если поставщик ее не заполняет, то предприятия обязаны запрашивать ее, а если те отказываются предоставлять, то это является формальным поводом для отказа от использования небезопасного программного обеспечения. При этом указание недостоверных сведений в этой форме будет рассматриваться как уголовное преступление со всеми вытекающими 😡
Самоаттестация требуется для любого ПО, выпущенного после 14.09.2022, крупно обновленного после этой даты, а также для всех остальных видов ПО, которые имеет регулярные обновления. Самоаттестация не требуется для
➖ПО, разработанного госорганами
➖open source, которое свободно доступно и получено федеральными агентствами (для этого другие требования есть)
➖для проприетарных компонентов и open source, встроенного в ПО, поставляемое в госорганы (для этого другие требования есть)
➖для общедоступного ПО.
Форма подписывается гендиректором компании-разработчика и должна содержать доказательства выполнения требований к безопасной разработке, подтвержденные третьей стороной, так называемыми Third Party Assessor Organization (3PAO), аккредитованными для этой работы. В требования по безопасной разработке, которые надо подтверждать, включены многие пункты из NIST SSDF:
1️⃣ Разделение сред для разработки и сборки
2️⃣ Регулярный аудит, мониторинг и регистрация событий для доверенных отношений между окружениями разработки и сборки
3️⃣ Внедрена MFA
4️⃣ Шифрование секретов и кредов
5️⃣ Мониторинг инцидентов ИБ
6️⃣ Средства анализа исходных кодов (SAST/DAST/SCA)
7️⃣ Поиск уязвимостей перед выпуском релиза
8️⃣ Наличие программы vulnerability disclosure
У меня, конечно, есть определенные вопросы к отдельным формулировкам и требованиям этой формы, но сама идея - прямо огонь 🔥 Если бы у нас Минцифры выпустило аналогичные требования для всего ПО, попадающего в реестр отечественного, или хотя бы для того ПО, которое закупается за государственные деньги, то уровень безопасности в стране существенно бы поднялся, качество разработки бы выросло, квалификация разработчиков бы поднялась, с рынка бы ушли фирмы-однодневки. И вообще наступил бы безопасно-софтверный рай 😇
Очень интересный отчет по результатам расследования взлома английской библиотеки 📚 в октябре прошлого года. Приятный пример открытости компании, пострадавшей от взлома, в результате которого утекло 600 ГБ персональных данных и другой информации. Компания не стала скрывать этот факт, провела расследование 👨💻 и опубликовала его результаты. Можно только приветствовать такую открытость.
Структура отчета описывает все ключевые и интересные для аудитории моменты:
➖ резюме
➖ причины и анализ атаки
➖ оценка ущерба
➖ реагирование и восстановление
➖ технологическая инфраструктура
➖ будущая оценка рисков
➖ извлеченные уроки и рекомендации
Раз уж я начал эту неделю с темы про невозможность оценки вероятности рисков ИБ, то и закончу неделю тоже темой про риски. Но замахнусь на святое и попробую доказать, что сам термин "риск ИБ" не имеет смысла, так как его используют некорректно.
Читать полностью…Счетная палата США 🇺🇸 выпустил отчет о безопасности американской критической инфраструктуры, который можно рассматривать как неплохой такой обзор всех активностей и инициатив, которые реализуются у нашего геополитического соперника 🏭
Перечислены все КИИ, все министерства, вся нормативка, все государственные ИБ-проекты, все продукты и сервисы, предоставляемые CISA для КИИ с их описанием, а также возможные последствия от реализации недопустимых для КИИ событий 💥
Ключевых выводов у Счетной палаты два:
1️⃣ У некоторых "подопечных" негативный опыт использования продуктов и сервисов CISA. Например, бывали случаи, когда между репортингом об уязвимости в средствах промышленной автоматизации до ее опубличивания проходил год и более.
2️⃣ У CISA не хватает квалифицированного персонала в области защиты АСУ ТП персонала. Их всего 9 человек (интересно, сколько в 8-м Управлении ФСТЭК?).
Передовые практики подсказывают, что для устранения этих проблем надо лучше планировать загрузку персонала и заниматься оценкой пользовательского опыта, но CISA этим не занимается 🗑
Знакомая ситуация, не правда ли?..
ЗЫ. А последние примеры недопустимых событий в списке почему-то все связаны с Россией. Почему? Не любят они нас что ли? 😈
Насколько богат русский язык ✍️ смыслами и нюансами. Вот вроде простое слово "подвержен", но какой смысл 😦 вкладывали в него авторы текста? Речь идет о свершившемся факте? Я бы тогда на их месте использовал более понятное и короткое "подвергся". Или речь о том, что сайт был настолько "хорошо" спроектирован и внедрен, что его архитектура была изначально подвержена DDoS-атаке? А что сейчас? 🥺 Уже не подвержена или все еще подвержена и хакеры могут повторить свой успех?
Читать полностью…Курс "Базовая кибербезопасность: первое погружение", который я записывал, разместили на платформе Альпина.Лаб, что, безусловно, приятно 😇 Теперь в кибербез могут погрузиться все, у кого куплено корпоративное обучение на этой платформе
Читать полностью…Офис директора национальной разведки США 🇺🇸 выпустил отчет с оценкой угроз оплоту демократии Америке. Документ, не в пример литовскому, получился более адекватным и конкретным (видна школа). На вдвое меньшем количестве страниц американцы четко выделили:
➖ 4 основные источника угроз (тут ничего нового - Китай 🇨🇳, Россия 🇷🇺, Иран 🇮🇷 и Северная Корея 🇰🇵), с описанием основных активностей актора, экономических и технологических драйверов, влияющих на нацбезопасность, вопросов ядерных и обычных вооружений, космических, кибер- и разведопераций. Все предельно конкретно и без воды, как у прибалтов; картинок и фоточек тоже нет.
➖ Про наши кибервозможности пишут, что Россия активно "работает" по Украине, а также нацелена на АСУ ТП и подводные кабеля (а как же хуситы?).
➖ Китай 👲 в киберпространстве активно плющит инфраструктуру некоренных американцев на Гуаме и пытается нарушить коммуникации📡 между Азией и США, проводит кибероперации против критической и военной инфраструктуры первой экономики мира, а также мониторит своих граждан и проводит репрессии против диссидентов, нарушая их права (кто бы говорил).
➖ Тегеран наращивает киберпотенциал и может стать основной угрозой ИБ для США; продолжает активно атаковать инфраструктуры на Ближнем Востоке 🕌, а также пытается сорвать выборы 2024-го года.
➖ Пхеньян стоит за множеством попыток кибершпионажа и многими киберпреступлениями, а также активно атакует США и Южную Корею.
➖ Из конфликтов, которые могут перерасти во что-то большее, что станет угрозой США, называют палестино-израильскую войну, конфликт в Китайском море, конфликт Индии 🇮🇳 и Китая, Индии и Пакистана 🇵🇰, Азербайджана 🇦🇿 и Армении 🇦🇲, а также потенциальные проблемы на Балканах, в Судане 🇸🇩, Эфиопии 🇪🇹, регионе Сахель (это Африка - Мали, Чад, Буркина-Фасо, Нигер и т.п.; помните литовцы про это тоже писали?), Гаити 🇭🇹 и Венесуэле 🇻🇪. У них пупок порвется, если они везде начнут вмешиваться.
➖ Также у угрозам относят искусственный интеллект 🧠, цифровой авторитаризм и транснациональные репрессии.
➖ Из других упомянутых угроз перечислены оружие массового уничтожения 💥 (ядерное, химическое, биологическое), изменения климата, эпидемии 🦠, миграция, организованная преступность, включая киберпреступность 🤒, торговлю людьми, терроризм, а также частные военные компании. Все это с примерами.
ЗЫ. Про ИБ там немного, но есть. Основное предназначение документа - понимать, куда обращен взор одной и сверхдержав, где и кому она будет вставлять палки в колеса.
Я много раз подступался к теме предсказания кибератак, но последняя заметка подхлестнула мое желание «закрыть гештальт» с этой темой и подсобрать 🫴 воедино все разрозненные заметки и мысли, которые у меня были написаны ✍️ на протяжении последних лет 20 с лишним. Но тему я так и не закрыл и, как мне кажется, даже выпустил джина из бутылки, так как там дофига чего еще всплывает, если начать копать глубже... 🪙
Читать полностью…"Интернет был построен, чтобы объединять, а не защищать" (с) CISO Microsoft
Смелое заявление от компании, которая регулярно попадает на передовицы из-за очередного взлома своих сервисов или ее клиентов, использующих продукты Microsoft.
Вчера все репостили эту прекрасную картинку, которая была сделана на сайте Муниципального бюджетного общеобразовательного учреждения "Кольцовская школа №5 с углубленным изучением английского языка" (спасибо за ссылку подписчику) 🤡
На самом деле и в названии памятки и в названии файла закралась ошибка и речь в них идет об излечении ребенка от киберзависимости и обеспечении его личной информационной безопасности. И ничего более ☺️
ЗЫ. Но картинка стала вирусной - мне ее раз 10 переслали из разных чатиков. Напомнило вот эту карикатуру, которую я на днях делал.