alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

То, что Минцифры регулярно щекочет нервы госам на тему ИБ - это хорошо. Но гораздо интереснее было бы, если бы Минцифры выделяло бюджеты 🤑 на реализацию мер, о реализации которых потом надо будет отчитываться. Например, BugBounty. Отличная тема; я ее поддерживаю всеми конечностями 🫦. Но откуда брать деньги на то, что не является обязательным требованием? Это ж нецелевое расходование средств 😡. И какую сумму закладывать? Это ж не NTA или WAF с фиксированной стоимостью по прайс-листу; тут плавающая сумма 🥸

Читать полностью…

Пост Лукацкого

Когда вы выступаете на ИБ-мероприятиях у вас должна быть своя «модель угроз», которую нужно регулярно пересматривать. Я вот, например, сейчас задумался, что при практически ежедневном ночном и утреннем прилете БПЛА в Москву, закрытии аэропортов и отмене/переносе рейсов, надо брать авиабилеты на дневные и вечерние рейсы. А иначе пролетишь мимо ИБ-мероприятия, число которых ближайшей осенью прям зашкаливает.

Или вот выступление со своим лэптопом. Это распространенная практика, когда используешь либо собственные шрифты, либо нестандартную ОС (macOS или Linux), либо хочешь запустить терминал или какую-то программу для демонстрации. Но иногда случаются казусы, как на фотографии, - выводишь экран на проектор, а там целующиеся мужики, а слушают тебя одни брутальные девчонки (шутка) и все, твое реноме упало ниже плинтуса и всерьез тебя уже никто не воспринимает. Так что включите себе в чеклист для выступлений этот момент 😊

Читать полностью…

Пост Лукацкого

👩‍🎓 «А как попасть к вам на стажировку?» — один из самых частых вопросов, который прилетает нам в личку. Обычно мы отвечаем, что расскажем об этом на страничках в соцсетях. И вот момент настал!

Мы запускаем стажировку PT START для начинающих специалистов по кибербезопасности. Вы на практике обучитесь защите цифровой инфраструктуры от атак, сможете стать сертифицированными специалистами по нашим продуктам и получите возможность попасть на оплачиваемую стажировку с перспективой классного офера!

🤔 Что нужно сделать?

Заполнить заявку с рассказом о себе и пройти онлайн-тест на нашем сайте до 4 сентября. До 7 сентября мы рассмотрим заявки и ответим всем (даже в случае отказа).

Первый этап стажировки начнется 11 сентября.

📝 Кто может подать заявку?

Студенты, обучающиеся по специальностям «информационная безопасность», «информационные технологии» или другим смежным направлениям, а также выпускники, если обучение завершилось не более двух лет назад.

Будет плюсом, если вы принимали участие в СTF-соревнованиях, хакатонах и профильных олимпиадах (не забудьте рассказать про это).

🧑‍💻 А как проходит обучение?

Онлайн. Оплачиваемая стажировка возможна как онлайн, так и в офисе (обсудим дополнительно с каждым кандидатом).

Остались вопросы? Мы постарались подробнее рассказать обо всем на сайте.

Ждем ваши заявки! И вас — в нашей команде 😎

@Positive_Technologies
#PositiveСтажировка

Читать полностью…

Пост Лукацкого

Проблемы сбора данных о киберпреступности в США

В июне в качестве рецензента принимал участие в защите работы студента по теме кибербезопасности. Одним из вопросов от комиссии было, в какой стране совершается больше всего киберпреступлений, на что студент в общих словах ответил, что и в России много, и в США, и в ЕС. Членов комиссии это устроило.

Но, наверно, правильный ответ звучал бы так, что точно никто не знает: надёжной глобальной статистики нет, подходов общих нет, значительная часть публично обсуждаемых данных поступают от частных компаний, а не от государств. О каком реальном сравнении можно говорить, если даже внутри государств с данными всё довольно сложно?

Эта долгая подводка была к тому, что у Счётной палаты США (GAO) вышел крайне интересный доклад под заголовком: «Киберпреступность: механизмы отчётности различаются, и ведомства сталкиваются со сложностями при выработке метрик». Документ на 40 страниц, полностью пересказывать не буду, только основные моменты.

За деятельность в сфере борьбы с киберпреступностью в США отвечают по меньшей мере 12 ведомств, у всех своих роли и полномочия. Обобщённо выделяются три направления: выявление преступлений, расследование, уголовное преследование. Фокус ведомства накладывает отпечаток на то, как оно собирает данные о киберпреступности и отчитывается о них. Например, в рамках выявления преступлений IC3 (часть ФБР) собирает жалобы через вебсайт. Другое подразделение ФБР получает данные от правоохранительных органов всех уровней через информационную систему. CISA получает отчёты от объектов критической инфраструктуры.

Наличие разных механизмов сбора данных о киберпреступлениях имеет и плюсы, и минусы. Из недостатков ведомства называют следующие:
— нет общего определения киберпреступности;
— из-за различия механизмов сложно стабильно отслеживать данные;
— данные о киберпреступности не собираются в одной централизованной точке.

При этом ведомствам не так-то просто выработать общие метрики для сбора данных. Выделяются следующие проблемы:
— сложность измерения масштаба и воздействия киберпреступности;
— отсутствие общего определения;
— сложность проведения различия между киберпреступностью и преступлениями, совершёнными с использованием компьютеров (cybercrime и cyber-dependent crime);
— координация между правоохранительными органами.

В США проблема осознаётся, год назад был принят целый закон, призванный улучшить сбор данных о киберпреступности, — Better Cybercrime Metrics Act. Но судя по докладу GAO, поиск решения — непростая задача. Вероятно, похожая ситуация наблюдается и в других крупных странах с большим количеством правоохранительных органов, у каждого из которых есть свой киберкомпонент.

Читать полностью…

Пост Лукацкого

3 августа исследователи уже упоминаемой сегодня в канале PNNL предложили новый метод обнаружения атак (признанный лучшим на IEEE International Conference on Cyber Security and Resilience), который повышает эффективность детекта больше чем на 90% по сравнению с текущими методами. На самом деле речь идет только о некоторых классах сетевых атак и аномалий, например, DDoS, сканирование и т.п., которые обнаруживаются за счет анализа превышения пороговых значений (многие решения класса NDR/NTA так действуют). PNNL протестировал 10 стандартных алгоритмов, которые идентифицировали в среднем 52% атак; формула PNNL позволяет обнаруживать 99%.

Суть идеи заключается в том, что если обычно средства поиска сетевых аномалий используют энтропию Шеннона, то PNNL взяли за основу энтропию Цаллиса, которая оказалась в сотни раз более чувствительной при обнаружении ложных срабатываний, а также выявлении флеш-событий, то есть легальной активности. Исследование PNNL показывает, что их метод требует меньшего человеческого участия, а также меньшего объема ресурсов, чем, например, машинное обучение, требующего большой обучающей выборки.

Надо подождать, когда кто-то реализует этот метод в своем продукте, чтобы понять его реальную эффективность. А то может решения на базе энтропии Хартли или Реньи будут более эффективными? Хотя вряд ли. Последние уже тестировались и не показали себя намного лучше энтропии Шеннона 🧮

ЗЫ. Да, можно и мозги немного размять; не все мемасики смотреть в канале 😊

Читать полностью…

Пост Лукацкого

С киберполигоном Standoff, который демонстрируется дважды в год, на PHDays и на Standoff, знакомы многие. Американцы на DEFCON решили развить идею (хотя у них полигон гораздо, гораздо скромнее), добавив в полигон дополненную реальность. Pacific Northwest National Laboratory (PNNL) разработала киберфизический иммерсивный тренинг, или CyPhy, который позволяет погрузиться в тот или иной реалистичный сценарий. В этот раз это была возможность посмотреть на управление железной дорогой во время кибератаки.

Читать полностью…

Пост Лукацкого

Вдогонку тому, что половину бюджета CISO тратят на инструменты класса IAM, не менее интересная информация о ТОП-10 инструментов, на которые ежегодно тратятся CISO.
Как видно, IAM действительно популярен последние два года, а вот endpoint-решениями видимо все уже закупились🙂
p.s. Информация из отчета "Cybersecurity Perspectives 2023".

Читать полностью…

Пост Лукацкого

Известная карточная ИБ-игра "Backdoors & Breaches" теперь и в онлайне. Ее физический аналог (я о нем писал в блоге) был разработан для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны карт, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. Теперь ее перенесли и в онлайн, предложив и что-то новое, - теперь там помимо основного варианта игры еще 5 расширений:
🔤Расширение основной игры новыми TTP
🔤Расширение от компании Huntress (там есть интересные новые механизмы защиты)
🔤"Облачное" расширение
🔤Расширение от Red Canary (свой набор карт TTP)
🔤Расширение для промышленной тематики (разработано совместно с Dragos).

Читать полностью…

Пост Лукацкого

Из наших регуляторов только Центробанк публикует дорожные карты по обеспечению ИБ в рамках своей компетенции. Ни ФСТЭК, ни ФСБ, ни Минцифры, ни РКН этим не "балуются", иногда только рассказывая на пресс-конференциях и мероприятиях о своих краткосрочных планах, но не более. Поэтому приходится изучать планы потенциальных противников, например, стратегический план CISA на 2023-2025 годы.

34-страничный план красивый и содержит 19 целей, которые CISA разбила на 4 направления:
🔤Обеспечение защиты и устойчивости национального киберпространства. Тут вам и управление уязвимостями, и внедрение безопасной разработки, и обнаружение угроз, и управление инцидентами.
🔤Снижение рисков и обеспечение устойчивости критической инфраструктуры. Тут больше про анализ рисков, разработку методологий и развитие аналитических возможностей, защиты системы электронных выборов и т.п.
🔤Операционное взаимодействие с партнерами агентства. Тут про обмен информацией, интеграцию, доступ партнеров к продуктам и сервисам CISA и т.п.
🔤Улучшение функций агентства. Тут про повышение культуры внутри агентства, усиление и улучшение всего и вся внутри, оптимизация операций и т.п.

Читать полностью…

Пост Лукацкого

"Сфера" в американском Лас-Вегасе все-таки накрылась. Кто-то подумал, что это наконец-то хакеры, приехавшие на Defcon и BlackHat добились своего, но нет... Все просто. В Лас-Вегасе сегодня дождь. Не такой, как в Москве, когда за час выпало 40% месячной нормы осадков. Но для центра пустыни любой дождь - это аномалия (примерно, как для работников ЖКХ снег зимой). И эту аномалию забыли предусмотреть в "модели угроз" "Сферы", так как вероятность такого события мала. Я много раз был в Вегасе и действительно, дождя там не видел ни разу. И это к разговору о том, надо ли закладываться на события, вероятность которых низка?..

Читать полностью…

Пост Лукацкого

Да, среди стратегий защиты существует и такая - «увеличь стоимость атаки для хакера, делая ее невыгодной для него». Возможно, раньше она и работала, но при нынешних ценах на разработку вредоносов, организацию DDoS-атак, готовые фишинговые киты и др., говорить об этом уже не приходится 🤷

Читать полностью…

Пост Лукацкого

Вот сейчас неожиданно было. Более 50% своего годового бюджета CISO тратят на решению по управлению идентификацией и аутентификацией…

Читать полностью…

Пост Лукацкого

Только читая такие сообщения, начинаешь задумываться о том, а как получить доступ к ноутбуку/компьютеру/смартфону умерших близких 🪦 и готовы ли мы к такому сценарию? ⚰️

Читать полностью…

Пост Лукацкого

Между делом Cyentia Institute выпустил уже девятое исследование на тему приоритезации устранения уязвимостей и, в целом, по сложным вопросам управления уязвимостями.

В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).

Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.

Читать полностью…

Пост Лукацкого

FAIR Institute, известный своим стандартом количественной оценки рисков FAIR и разных методик и стандартов на его основе, выпустил новый стандарт - FAIR Materiality Assessment Model (FAIR-MAM), задача которого, в стиле MITRE ATT&CK, описать различные формы потерь/ущерба от инцидентов ИБ (параметр "Loss Magnitude" в стандарте FAIR).💰Все потери делятся на 10 крупных блоков (прерывание бизнеса, мошенничество, ущерб репутации и т.п.), а так как это открытая модель, то она может быть адаптирована под любую организацию, которая еще не дозрела до недопустимых событий, но при этом ее уже не устраивает светофор при оценке рисков и хочется некой количественной оценки.

Читать полностью…

Пост Лукацкого

В проектах по аудиту и построению SOC я сталкивался с ситуациями, когда аналитиков L1-L2 оценивали по тому, как они выполняют свою работу- как быстро берут тикеты в работу, как закрывают, насколько качественно, как эскалируют и т.д. И речь не просто об измерениях временных и иных метрик, но скорее о том, что на их основе принимаются управленческие решения. И если сама задача сбора метрик легко автоматизируема при наличии правильных средств управления ИБ, то вот аналитика и выводы - это уже немного иной уровень в сокостроении 🏗

Судя по видео из одной кофейни, не за горами тот день, когда аналитиков SOC начнут оценивать еще и по активности на рабочем месте - сколько времени болтает с коллегами, сколько времени ходит покурить и в туалет, сколько времени пьет чай ☕️, а сколько времени «тупит» в монитор… 👨‍💻 По крайней мере в некоторых организациях регулярно от менеджмента звучит «идея» измерения «этих дармоедов» 👻

ЗЫ. Этичность такой аналитики вызывает, конечно, вопросы, но когда акул капитализма это останавливало?..

ЗЗЫ. Болтающая по телефону Лльга с тремя чашками кофе ☕️ (на фоне 20 у других) выглядит первым кандидатом на непопулярные управленческие решения ⛔️

Читать полностью…

Пост Лукацкого

Известный тезис "Чем длиннее, тем сложнее управляться" в ИБ позволяет сделать простой вывод - чем больше шагов 👣 хакеру нужно делать в инфраструктуре для достижения своей цели, тем больше шансов на его обнаружение и меньше шансов на успешную атаку.

Соответственно внедрение пусть и простых, но все-таки отдельных защитных мер (сегментация, патчинг, MFA, снижение числа привилегированных учетных записей, закрытие неиспользуемых портов и т.п.), дает очень хороший эффект с точки зрения защиты. Вроде как и ничего сложного, но число шагов, которые должен предпринять хакер, увеличивается, а значит и его незаметность и успешность снижаются. Если, конечно, мониторинг и реагирование в организации реализованы...

ЗЫ. Графики построены по реальным инцидентам!

Читать полностью…

Пост Лукацкого

Всегда интересовала численность разных регуляторов по ИБ 🫡 Часто это закрытая информация, но вот по CISA всплыла цифра - 3161 на текущий момент и 1337 новых сотрудников за два последних года 🥸

Читать полностью…

Пост Лукацкого

Знакомая история... У нас есть МВД, ФСБ, ЦБ, Минцифры, РКН, СК...

Читать полностью…

Пост Лукацкого

Раньше у PNNL тренинги были направлены на атомный кибербез и CyPhy проверял поведение персонала в следующем сценарии - кража бейджа для допуска на АЭС, проход на территорию, отключение видеокамер наблюдения, саботаж. Интересная история, но лично у меня весь опыт использования VR/AR в ИБ заканчивался как-то не очень. При наличии обычных очков это всегда требует особой настройки и после продолжительной работы в очках VR/AR начинают болеть голова и глаза. Возможно, в будущем технологии станут более доступными и менее болезненными.

Читать полностью…

Пост Лукацкого

Сначала ты отменяешь фокусировку мероприятия и оно теперь про "комплексную кибербезопасность". Потом ты начинаешь накручивать цифры участников на 30+%, хотя за 1 минуту гуглятся твои же пресс-релизы сразу после мероприятия, где указаны реальные значения. А потом ты и вовсе начинаешь продвигать мероприятие, организуемое ФСТЭК и ФСБ, с адресов на Gmail... Так держать! 🤢

Читать полностью…

Пост Лукацкого

Относиться к таким отчетам, конечно, надо всегда с определенным скепсисом, но общую температуру по больнице они показывают. Из интересного, это появление новой статьи затрат в бюджете на автоматизацию ИБ, что понятно, - людей не хватает, защищаемый ландшафт расширяется, число угроз растет. А второе - постепенный рост инвестиций в решения класса attack surface management, которые позволяют окинуть внешним взглядом безопасность организации, включая и периметр, и облака, и подрядчиков, и иные ресурсы.

Читать полностью…

Пост Лукацкого

Когда все достали, психанул и решил сделать надежный пароль к беспроводке ;-)

Читать полностью…

Пост Лукацкого

WAF Testing Dataset

Всем привет!

Защита приложений не заканчивается в момент разработки и/или тестирования. Защита ПО в режиме runtime – штука крайне важная и про нее забывать не следует. А Web Application Firewall (WAF) – одна из наиболее часто используемых технологий для защиты web-приложений.

При выборе решений практически всегда встает вопрос – какое из них лучше и какое нужно выбрать? Вариантов решения задачи множество – от «аналитических таблиц», до проведения пилотных проектов.

Но что может быть лучше, чем проверить WAF «нагрузив его, как следует»? Ничего! Но есть нюанс: где взять те самые данные для проведения «нагрузочного тестирования»?
Ответом может стать проект «Web Application Firewall (WAF) Comparison Project» от open-appsec (CheckPoint).

Внутри можно найти 973,964 различных http-запросов, сгруппированных по 12 категориям. Дополнительно в набор входит 73,924 вредоносные нагрузки (malicious payload), в которых представлены: SQL Injection, XSS, XXE, Path Traversal, Command execution, Log4Shell и Shellshock.

А если не хочется тестировать самому, но любопытны результаты – то есть вот такая статья, в которой сравнили Microsoft Azure WAFv2, AWS WAF, F5 Nginx App Protect WAF и CloudGuard AppSec. Результаты, аналитика, таблицы и много-много-много данных.

Читать полностью…

Пост Лукацкого

Много лет назад уже был инцидент с вмешательством хакеров в работу канала коммуникаций "Земля - МКС", но деталей, как и по многим инцидентам середины-конца 90-х осталось маловато. И вот новая история. Я не очень верю в то, что проукраинская группировка смогла это сделать, хотя, если посмотреть на новости даже только у меня в канале, кейсы про атаки на спутники упоминаются на протяжении последних пяти лет 🛰

Из свежего, американцы проводили конкурс по взлому на последней Defcon, а Positive Technologies и RUVDS проводили аналогичный CTF в России. Американцы при этом еще и нормативку хотят выпустить по защите спутниковых группировок и систем от хакеров. То есть тема вполне себе живая. Но вот в контексте "Луны-25" 🌒 я что-то больше верю в "явную лажу", чем в "тайную ложу". Хотя свалить все на проукраинских хакеров?.. Что может быть лучше в текущих условиях...

ЗЫ. А с другой стороны, атаки спутников за последние полтора года происходят сплошь и рядом. То пророссийские группировки выведут из строя вещание в Украине или европейских странах, то проукраинские группы начнут по российскому ТВ гнать фейковые сообщения об экстренной и всеобщей мобилизации. Так что фиг знает... 📡

ЗЗЫ. Ну а насчет внесения изменений в координаты и сход с орбиты, достаточно вспомнить историю с первым стартом французской Ariane 5 4-го июня 1996 года.

Читать полностью…

Пост Лукацкого

Авторы вредоноса анонсируют конкурс по взлому своего детища, чтобы продемонстрировать качество своего ПО и найти слабые места в нем, если есть. Вознаграждение вполне себе на уровне и даже выше многих Bug Bounty программ.

Вендора по ИБ, ау! А почему вы не объявляете вознаграждение за легальный взлом ваших продуктов? Где ответственность за результат?

Читать полностью…

Пост Лукацкого

Забытая тема… COVID-19… 🦠 Немало человек пишут, что либо заразились на DEFCON и BlackHat, либо уже там были зараженными и могли заразить кого-нибудь 🤒 Предлагают всем контактерам пройти тестирование… Ответственные люди! 🤒

ЗЫ. Судя по опросу, DEFCON/BlackHat собрали неплохой урожай заразившихся… 😷

Читать полностью…

Пост Лукацкого

Вроде как сегодня группировка Cl0p должна выложить данные, украденные у двух ИБ-компаний - NortonLifeLock и Netscout. Последняя до сих не подтвердила свой взлом, что объяснимо, - иметь в своем портфолио решение класса NDR и не задетектить шифровальщика?.. Все-таки попадание ransomware, взаимодействие с внешними C2 и, самое главное, расширение плацдарма и распространение по внутренней инфраструктуре - это один из типовых сценариев для NDR. Либо они сапожник без сапог и не используют у себя свои продукты?

ЗЫ. NetScout также владеет и Arbor...

Читать полностью…

Пост Лукацкого

А потом, из FAIR-MAM могут получаться вот такие отчеты с финансовой оценкой ущерба

Читать полностью…

Пост Лукацкого

Мне кажется пора уже переставать называть отечественные продукты NGFW. Есть же требования ФСТЭК к многофункциональным межсетевым экранам уровня сети, то есть МФМСЭУС! Долой наследие Гартнера! Даешь русский язык в российскую ИБ!!! "Российский МФМСЭУС" - это звучит гордо!

Читать полностью…
Подписаться на канал