В Новый год все желают новых свершений. А я пожелаю вам отказа от чего-то старого, чтобы освободилось место для чего-то нового!
ЗЫ. Фоточка из архивов 🤭 Но в качестве Деда Мороза не я 😂
Кто-то ищет с помощью Shodan АСУ ТП, кто-то аэропорты, кто-то бордели. А вот тут кто-то нашел небольшой огородик ☘️ для разведения… помидоров 😂 OSINT в деле 🦋
Читать полностью…Долгие годы я готовил список крупных мероприятий 📣 по ИБ и публиковал его в блоге. Но в следующем году я решил его не делать. Хочу пересмотреть всю историю и не делать просто список того, что я субъективно считаю крупным 🎙
Ведь есть региональные мероприятия, о которых я часто не знаю. Есть мероприятия, которые хоть и крупные, но не стоят, чтобы их посещали 🚫 ввиду отсутствия хоть какой-то практической пользы. Есть мероприятия, которые я просто не хочу рекомендовать посещать 🖕
В конце концов, крупность мероприятия вообще не говорит о его пользе, а на фоне PHDays с его десятками тысяч участников, все остальное просто меркнет. Наконец, сейчас проходит такое количество мероприятий по кибербезу (по 2-3 каждый день), что тратить время на их поиск и составление списка я уже не могу (для этого есть и другие источники) 🔍
Поэтому в скором времени я запущу что-то иное, касающееся российских мероприятий по ИБ. Следите за анонсами!!! 🔄
❗️Новая волна атак хакерской группировки Core Werewolf
Под Новый год группировка решила провести ряд атак на российские организации, связанные с критической информационной инфраструктурой (КИИ).
Во время расследования одного инцидента команда PT CSIRT (подразделение экспертного центра безопасности Positive Technologies, PT Expert Security Center) зафиксировала рассылку от имени ФСТЭК с фишингового домена fstec[.]support. В письме находилась ссылка opk-pure[.]com/secur926545423. Она вела к архиву, внутри которого — самораспаковывающийся архив с именем «Меры. Список уязвимостей и принимаемых мер по их устранению.exe». Он содержал документ-заглушку и клиент UltraVNC с контрольным сервером strafiki[.]ru.
Индикаторы компрометации (IoCs)
fstec[.]support
opk-pure[.]com
strafiki[.]ru
🤔 Что за группировка
Core Werewolf занимается активным шпионажем: как минимум с 2021 года она предпринимает атаки на российские организации, связанные с оборонно-промышленным комплексом и КИИ. Судя по совокупности атак, группировка не поменяла свои методы.
🔐 Как защититься
⚠️ При получении писем от ФСТЭК России с дополнительными мерами защиты необходимо подтверждать факт их отправки специалистами ФСТЭК России по телефонам, определенным ранее для взаимодействия.
🧑💻 Для отслеживания подобных атак и реагирования на них мы рекомендуем использовать PT Sandbox (для выявления фишинговых писем), MaxPatrol EDR (для выявления киберугроз на конечных точках и реагирования на них), а также PT Network Attack Discovery (для контроля сетевых соединений).
📩 Для защиты от почтового фишинга следуйте стандартным правилам. Не открывайте подозрительные ссылки и вложения. Спросите себя: ожидали ли вы письмо от этого адресата? Входит ли обсуждаемый вопрос в вашу компетенцию? Есть ли в письмах подозрительные вложения, нехарактерные для переписки в вашей компании? Верная ли подпись в письме? Точные ответы на эти вопросы в совокупности со средствами защиты помогут более эффективно отразить атаку.
@Positive_Technologies
В 2012-м году, в канун тоже года дракона я писал письмо Деду Морозу 🎅 Почти такое же наивное, как и три года назад. Но все-таки… Но Дед Мороз так и не внял моим молитвам. До сих пор, наверное, ржет над большинством из них 😱 А я с тех пор писем Деду Морозу не пишу 😭
Читать полностью…Ну что, наступил последний рабочий день (если вы не аналитик SOC и вам "повезло" работать на выходных) 2023-го года. Вроде как принято подводить какие-то итоги и озвучивать планы на будущее. В этом году не буду отступать от традиций. Не знаю, будут ли еще сегодня какие-то серьезные посты, посмотрим! 🎄
Читать полностью…Коллегам из Сачка может это и не понравится, но голосование очень странное. Прошло 4 голосования, которые набрали следующее количество голосов:
🔣Telegram-канал года - 189 голосов (мой канал победил; мне приятно 🎆)
🔣ИБ-мероприятие года - 258 голосов
🔣Проект года - 2888 голосов
🔣Компания года - 10800+ голосов
Первые два - вполне себе нейтральные голосования и количество голосов там небольшое. На третьем пошла явная накрутка одного из участников. Ну а четвертое - это вообще за гранью 👿 На момент моего репоста вчера там было чуть больше шести тысяч голосов. Сегодня там почти 11 тысяч голосов!
Я скажу предельно откровенно - такое число голосов у нас в российском Telegram-ИБ-комьюнити невозможно. Даже когда мы с SecurityLab объединяемся в каком-то голосовании (то он меня репостнет, то я его), мы не набираем и половины от этого числа, а у нас две самых больших аудитории в Рунете по ИБ (еще есть Secator, но он не проводит своих голосований и не репостит чужие). Тут явная накрутка. А уж если посмотреть количество сердечек под постом с результатами голосования, то это лишний раз убедит нас в этом 😈
Вот поэтому я и не проводил в этом году голосования за "что-то года". Как только всплывает чей-то коммерческий интерес (а всегда приятно называться компанией года хотя бы по версии какого-нибудь Telegram-канала), то сразу всплывают накрутки, подкупы, нечестные голосования и вот это вот все. И ты либо делаешь абсолютно беззубые голосования, либо сталкиваешься вот с такими вот последствиями.
ЗЫ. Ну хоть в конце года деда в красном повеселили 😱
Смотрел я вчера старенький фильм "На грани" 🐻 с Энтони Хопкинсом и вспомнил ситуацию, в которую как-то попал и я, а именно отбился с товарищем от туристической группы и два дня мы были одни, без какой-либо помощи, без нормального снаряжения, а еще лил дождь. И вот это натолкнуло меня на мысль, которую можно применить в команде ИБ, особенно если вы ее руководитель, или вы ментор какого-либо специалиста по ИБ.
Нынешнее "поколение ЕГЭ" привыкает отвечать по готовым скриптам ☑️ и теряет способность искать ответы самостоятельно. Критическое мышление тоже куда-то улетучивается. Поэтому так важно воспитывать этот навык у своих "падаванов". И для этого можно дать несколько советов:
1️⃣ Регулярно "пропадайте". Когда ваш подчиненный понимает, что тот, в кого он верил, исчез, ему остается только верить в себя и начать хоть что-то делать, а не ждать, когда добрый CISO всех спасет и возьмет ответственность на себя.
2️⃣ Не надо обсуждать проблемы - обсуждайте способы их решения, которые предложил ваш подчиненный. Если у него нет решения, возвращаемся в начало этого пункта.
3️⃣ Совершенно неважно, насколько решение вашего подчиненного хорошо. Ваша задача - перестроить его мозги так, чтобы он был всегда способен искать и находить решения проблем. Да, ваш опыт часто позволяет вам найти решение лучше, но незашоренность может помочь найти нестандартное решение. Этот принцип особенно активно проявляется в штабных киберучениях, в которых я всегда с самого начала говорю, что нет неправильных решений.
4️⃣ Никогда не надо говорить, правильное решение или неправильное. ИБ - это не ЕГЭ, где все просто. ИБ - это жизнь и никаких заранее известных ответов часто просто нет. Фокусировать подчиненных надо на смысле решаемой задаче, а не конкретном решении. Сегодня оно такое, завтра совсем иное. ИБ вообще вариативная штука.
5️⃣ Пусть подчиненные сами оценивают свои решения. Со временем придет и опыт, и уверенность, и экспертиза. В ИБ часто надо самому брать ответственность за свои же решения и переложить ее на кого-то не удастся. Чем раньше подчиненные это поймут, тем лучше.
ЗЫ. Тоже самое работает и с детьми и со студентами 😊
ЗЗЫ. Да, совсем тупые тоже бывают и с ними эта великолепная пятерка не работает. Но тут уж вам не повезло ☹️
Европа 🇪🇺 активизировалась в части разработки собственного регулирования по ИБ. Татьяна Исакова написала заметку про европейский "250-й Указ", а я посмотрел на него чуть шире, захватив тему еще и NIS2. При этом тот же Solidarity Act я пока оставил в стороне. Про него еще есть что сказать отдельно ✍️
Читать полностью…Страшилки, конечно, это не лучший метод "продажи ИБ", но иногда и правда надо показать, что вот такое уже случалось с тем-то и тем-то. Поэтому базы инцидентов, сгруппированные по различным признакам, - это очень неплохой инструмент в обосновании своей позиции. Вот, например, база инцидентов ИБ в облаках. Проект достаточно свежий - стартовал в 2022-м году, что и обусловило наличие в нем инцидентов, начиная с прошлого года. Но в остальном, да если еще и обновлять будут (пока актуализируют), цены ему нет.
Читать полностью…Навеяло беседой с коллегой, который утверждал, что у него оценка рисков ИБ в компании реализована. Чтобы убедиться в этом достаточно ответить себе на три вопроса:
1️⃣ Если вас попросят показать реестр рисков, то сколько времени у вас уходит на поиск файла у вас на компе или на корпоративной вики? Подсказка: это время не должно быть больше минуты!
2️⃣ Как давно вы открывали реестр рисков? Подсказка: проверяется по атрибуту Last Opened Date
3️⃣ Ваш финансовый и операционный директор могут показать, где расположен реестр рисков, включающий и ваши риски ИБ? Подсказка: ответ не должен занимать больше трех минут
Интересно, если хакеры после удачного взлома будут выпускать видеообращения и извиняться, что это они «зашли не в ту дверь»🚪 но «всего один раз» (а, как известно, «один раз - не Элтон Джон»), это может рассматриваться как смягчающее обстоятельство и стать причиной отказа от уголовного преследования? Судя по тому, как это делает Киркоров с Биланом и Лолита после посещения «голой вечеринки» 🐇, это рабочая схема 😱
ЗЫ. Еще вспоминается злодейка Анна Сергеевна из "Бриллиантовой руки": "Не виноватая я, он сам пришел!" 😱
🚀Телеграм-канал "Об ЭП и УЦ" специально для телеграм-канала "Пост Лукацкого"🤠
Подписчики нашего канала также сталкивались с мошенническими рассылками, о которых рассказал Алексей Лукацкий. Даже невооруженного взгляда достаточно, чтобы понять, что это мошенническая рассылка, давайте вместе подсчитаем на основании чего можно сделать такой вывод:
1. На всех приказах ФСБ России герб Российской Федерации, а не эмблема ведомства.
2. Приказ не адресуется, как письмо, к тому же по шаблонному обращению -ый (ая).
3. Контакты территориального органа, тогда как "подписал" данный приказ первый зам.главы ведомства.
4. Ни один приказ ФСБ России не имеет такого принципа нумерации.
5. Некорректно написание названия ведомства.
6. Некорректное сокращение, звание.
7. На приказах не ставятся печати, тем более ненастоящие, нарисованная подпись.
8. "Подписан посредством зашифрованного канала связи" - просто набор слов.
9. Серийный номер сертификата не соответствует ни 10-ной, ни 16-ной системе счисления.
10. ФИО в отметке об ЭП не по ГОСТ.
Приятно, что подписчики канала никогда бы не поверили такому письму - сразу обратили внимание на написание серийного номера сертификата.
Я уже писал, что ФГУП Интеграл каждую неделю постит статистику по фишинговым ресурсам, с которыми сталкиваются российские пользователи. У меня по данным регулярным отчетам были вопросы к тому, насколько они вообще полезны в таком виде, но сейчас не об этом.
Наткнулся я на сайте координационного центра доменов .RU/.РФ на раздел "Отчеты компетентных организаций", в котором, на протяжении последних 7 лет, публикуются ежемесячные и годовые отчеты о том, сколько компетентные организации (не органы), которые способны определять нарушения в сети Интернет (их там 12 и среди них Касперский, НКЦКИ, РКН, Интеграл, Банк России, RU-CERT и т.п.), выявляют и блокируют вредоносных доменов. И что-то у меня не бьются цифры из инфографики координационного центра с цифрами, которые публикует тот же Интеграл и НКЦКИ.
По данным последнего еженедельно НКЦКИ выявляет, блокирует и разделегирует около 2000 доменов. Примерно столько же выявляет Интеграл. То есть за месяц, в среднем, только они двое должны выявлять не менее 15000-18000 доменов. А по статистике координационного центра, которая учитывает цифры и Интеграла, и НКЦКИ, это число на все 12 организаций крутится вокруг значения 5000 доменов в месяц. Какая-то нестыковка
ЗЫ. К визуализации гистограммы 📊 у меня тоже вопросы 😊 Зачем манипулировать не только шириной столбика, но и его высотой, которая ничего не отображает и не показывает?
🎅 На компьютере Деда Мороза случился новогодний переполох: его данные оказались зашифрованы, а на экране начали всплывать странные уведомления... Что было дальше? Смотрите в нашем ролике!
🎄 Дорогие читатели, поздравляем вас с наступающим Новым годом! На всякий случай напоминаем: у хакеров не бывает праздников и выходных, и на каникулах они могут атаковать не только Деда Мороза. Желаем вам быть бдительными и оставаться в кибербезопасности!
@Positive_Technologies
Новая ИБ-игра в коллекции от коллег из Start X. Карточные ситуационные киберучения 🃏
Читать полностью…8 сериалов о киберугрозах
Нравится смотреть, как киношные хакеры в худи драматично стучат по клавиатуре? Или как их не менее драматично ловят киберполицейские? У создателей сериалов со всего мира есть чем вас развлечь на праздниках.
Мошенники (Казахстан, 2023): преступная группа занимается классическим телефонным мошенничеством, выманивая деньги под видом звонков из банков. Все серии на YouTube.
Оффлайн (Россия, 2022-2023): анонимный хакер угрожает пользователям невидимого приложения для покупки наркотиков раскрыть их данные полиции. Во втором сезоне к охоте на приложение подключаются спецслужбы. Смотреть на Okko или Кинопоиске.
The Undeclared War / Необъявленная война (Великобритания, 2022): GCHQ пытается сорвать план иностранного (не угадаете, чьего) вмешательства в выборы; по разные стороны баррикад оказываются бывшие одногруппники.
Tehran / Тегеран (Израиль, 2020-2022): главную героиню — хакера и агента Моссада, забрасывают в Иран с миссией нейтрализовать систему ПВО, чтобы ВВС Израиля смогли нанести удар по ядерному объекту. Смотреть на Apple TV.
Hack: Crimes Online / Хакеры: Киберпреступления (Индия, 2023): спецподразделение по борьбе с киберпреступностью Мумбаи нанимает молодых технических специалистов и расследует различные дела, от мошенничества с банкоматами до детской порнографии.
Spy Game / Миссия секретного агента (Китай, 2023): власти китайского города расследует деятельность шпионской сети, которая контролируется иностранной разведкой с помощью онлайн-игры, обманом побуждающей игроков раскрывать гостайну.
Indonesia Biner (Индонезия, 2022): кто-то взламывает уличные экраны на улицах Джакарты и показывает по ним порноролики, и группа хакеров начинает борьбу с этой угрозой. Первую серию можно посмотреть на YouTube.
De Kraak / Банковский хакер (Бельгия, 2021): освободившись из тюрьмы, старый аферист находит нового партнёра — 20-летнего хакера, вместе они придумывают грандиозную мошенническую схему.
TGStat заботливо прислал статистику с итогами года в канале, какая не может не радовать 😃 Не могу сказать, что я гонюсь за цифрами и прилагаю отдельные усилия по их увеличению или даже накрутке, но всегда приятно видеть, что то, что ты делаешь, кому-то интересно. По сравнению с прошлым годом по всем показателям прирост - подписчиков стало еще больше (за что всем вам спасибо), как и публикаций, которых я сотворил на 25% больше (и когда я все успеваю 💪). Спасибо всем, кто меня читает 🙏 Надеюсь, это и полезно, и забавно, и дает пищу для ума. В следующем году буду продолжать в том же духе 👋
И, кстати, хочу напомнить, что
🔤🔤🔤🔤🔤 🔤 🔤🔤🔤🔤 🔤🔤🔤 🔤 🔤🔤🔤🔤 🔤 🔤🔤🔤🔤 🔤🔤🔤🔤🔤🔤🔤🔤🔤🔤🔤
ЗЫ. Впереди длинные выходные и я 😱 не буду нарушать традиции. Буду писать, кататься на коньках, пить коньяк, сидеть у камина, гулять в лесу и греться в сауне. Сюда буду писать ✍️ нерегулярно; только если что-то интересное увижу. Отдыхать, так отдыхать! 👍
Уже в новом году выложу на портале Positive Technologies бесплатный и доступный всем курс по кибергигиене и основам персональной кибербезопасности. Что-то аналогичное я делал для Нетологии в свое время, но пришло время перезапустить историю и сделать ее немного иначе. Так что ждите анонс в начале следующего года на портале и у меня в канале.
ЗЫ. Нетология за этот курс берет деньги 💰 Вроде небольшие (790 рублей), но все же. Зато его Руслан Юсуфов у себя порекламировал, назвав одним из трех курсов по цифровой гигиене, за которые не стыдно, что тоже приятно ☺️
Время оглашать итоги голосования, господа. Это было самое скандальное голосование по итогам года в ИБ-отрасли на моей памяти. Под финал все завершилось как плей-офф КХЛ ну или обычное зеленое дерби между татарским Ак Барсом и башкирским Салаватом Юлаевым, только цвет был красный🟥.
Тройки победителей, набравших больше всего голосов в номинациях:
«ИБ-телеграм канал года»
1 место — Пост Лукацкого
2 место — Secator
3 место — Security Lab
«ИБ-мероприятие года»
1 место — SOC форум
2 место — Positive Hack days
3 место — Positive Security days
«ИБ-проект года»
1 место — MTC RED ASOC
2 место — Positive Technologies NGFW
3 место — онлайн киберполигон Standoff 365
«ИБ-компания года»
1 место — MTC RED
2 место — Positive Technologies
3 место — Солар.
Согласен с результатами — ставь ❤️, не согласен — 🗿
@cybersachok
Знаете, почему не работает определение недопустимых событий снизу, от ИБ? Причина проста. ИБшник не топ-менеджер и не знает его интересов, его страхов, его задач и мотивации 🤑 Так и CISO должен понимать, что его подчиненные могут быть не настолько лояльны компании, в которой они работают и которая платит им зарплату 🤑
Они самолюбивы, эгоистичны, капризны, ленивы, туповаты. А самое главное, что они далеко не всегда любят свою компанию и CISO, а часто и вовсе не разделяют их интересов 🖕 И вот с этими людьми вам надо идти на кибервойну и изо дня в день сражаться с плохими парнями, у которых как раз есть мотивация вас заломать, украсть у вас данные или деньги и реализовать какие-то иные недопустимые или нежелательные события 💰
Задача CISO сделать своих бойцов не просто командой, а людьми, способными преодолевать трудности самостоятельно, способными брать на себя ответственность за найденные решения 🤘 А для этого подчиненные должны научиться постоянно учиться и смотреть на многие возникающие в ИБ задача шире, чем это предусмотрено нормативкой или программой обучения в ВУЗе по КОИБАСу. Если они вместо того, чтобы уходить в 6 вечера с работы, приходят к вам и предлагают какие-то идеи и решения наболевших задач, 🛡 - это и есть лучший критерий того, что у вас команда, которая способна действовать в условиях волатильности и непредсказуемости, которая не живет только в рамках написанных кем-то плейбуков, которая, даже уйдя из ккомпании, будет вам благодарна за уроки! 🤜
Пусть в 2024-м году у вас будет время на учебу!!! 🤓
Qualys пишет, что в 2023-м году 25% высококритичных уязвимостей эксплуатировались в день опубликования данных о них, что вновь поднимает вопрос о том, зачем нужны сканеры безопасности и в течение какого времени надо устранять такие уязвимости. И не факт, что даже ФСТЭКовские 2️⃣4️⃣ часа, указанные в методике оценки защищенности, тут помогут. Все-таки этот срок должен быть меньше. А иначе злоумышленники будут всегда на шаг впереди.
И вот тут мы видим очень неплохую метрику для оценки решения класса VM - насколько быстро оно позволяет детектировать высококритичные уязвимости. Хотя мы помним, что CVE, который присваивается уязвимостям, приоритизированным согласно CVSS, не всегда означает, что дыра активно эксплуатируется в дикой природе. Как по мне, так метрику можно чуть переформулировать - насколько быстро VM позволяет выявлять трендовые уязвимости (KEV в терминологии CISA). Эта метрика гораздо ближе к реальности. И целевой показатель здесь должен быть на уровне 12 часов 🏪
Конечно, можно сразу вставить свои 2 цента и сказать, что мало выявить уязвимость, ее еще надо устранить, но с чего-то надо начинать. Не выявив уязвимость, нам и устранять-то будет нечего. Вот для процесса VM просто обнаружение измерять бессмысленно - в нем нужно оценивать время устранения возможности использования уязвимости, которое может быть достигнуто за счет патчинга, виртуального патчинга, компенсирующих мер, реконфигурации и т.п.
Если в 2024-м году вам удастся выстроить процесс управления уязвимостями, то это будет прям прекрасно! И в конце года можно будет раскупорить бутылочку хорошего коньяка 🥃
Я, конечно, ненастоящий ботовод, но судя по голосованию за проект года и компанию года, кто-то явно накручивает голоса 🤬 Это прям к бабке не ходи ☹️
Читать полностью…Часто слышу о том, что банки - это самый лакомый кусочек для хакеров. Но это же не так. Кража денежных средств с банковских счетов 👨💻 - это копейки по сравнению с промышленным кибершпионажем, который проводят многие государства против других, обладающих серьезными инновациями. Китай 🇨🇳 - самый яркий пример, когда китайские хакеры или инсайдеры крали ценнейшую информацию о военных 🔫 и гражданских 🛩 разработках американцев, а затем Китай на их основе делал чуть ли полные клоны американской техники и вооружений, не тратя ни юаня 💰 на исследования и инженерные изыскания.
И объемы потерь 💵 от промышленного кибершпионажа измеряются сотнями миллиардов, если не триллионами долларов, а не миллиардами, как от тех же шифровальщиков или иных, привычных инцидентов ИБ! Но да, случаи шпионажа не так часты и не так публичны, как остальные более типичные истории из жизни ИБшников. И проявляются эти кейсы спустя какое-то время, не сразу, что также накладывает свой отпечаток на то, как о них рассказывают и как расставляют приоритеты.
Продолжаем обзор инициатив, связанных с безопасностью и искусственным интеллектом. На этот раз заметка будет про то, как защищать проекты, использующие ИИ в своей основе:
🔤 Достаточно бестолковый фреймворк Google SAIF
🔤 Очень неплохой фреймворк от ENISA
🔤 Свежая, но пока пустая инициатива от Cloud Security Alliance.
Но обзор от ENISA перекрывает пустоту от двух других и изобилует массой полезных ссылок и рекомендаций.
После выхода PT O2 и анонса PT Carbon автоматическое выстраивание цепочек атак, реагирование и рекомендации по уменьшение площади атаки уже не выглядят чем-то невозможным 💡 Но вот как в зарубежном продукте на картинке умудряются увязать это с конкретными суммами денег и посчитать сумму предотвращаемого ущерба и затраты на предотвращение атак в зависимости от выбранного вектора/цепочки атаки, я пока не очень понимаю. Хотя... Если ориентироваться на какие-нибудь цифры Ponemon Institute, Verizon DBIR и т.п., то может быть и можно... Но как они считают длительность мероприятий по уменьшению площади атаки, загадка...😲 Но все равно интересно 😮
Читать полностью…Помните в детских журналах были две похожие картинки и надо было найти 10 отличий? Вот по мотивам моей заметки про мошенничество «сообщение от начальника» с письмо от первого зама директора ФСБ, в канале «Об ЭП и УЦ» повторили эту игру, но уже по-взрослому, найдя 10 ошибок в письме мошенников ;-)
Читать полностью…Пока у нас все с нескрываемым любопытством обсуждают совершенно непонятных кандидатов в будущие президенты или концовку сериала "Слово пацана", в Европе 🇪🇺 происходят не менее любопытные вещи. А именно на уровне всего Евросоюза хотят заставить разработчиков браузеров включить в них 250 корневых УЦ из Европы (с сертификатами, конечно) и запретить их удалять без разрешения локального правительства. Можно только представить себе, во что это выльется с точки зрения легализованного перехвата данных или выпуска мошеннических сертификатов 🤠
Читать полностью…