Выкладываю презентацию "Киберперестройка процессов обнаружения угроз", которую я вчера читал на "Территории безопасности 2024" в рамках конференции "PRO обнаружение угроз", и которая (презентация) является наброском чего-то большего, как я теперь понимаю.
Читать полностью…Родилось название сессии на любом мероприятии с приглашенным мной - «Гость в горле»! Буду приходить и душнить про ИБ… ☹️
Читать полностью…- Тук-тук...
- Кто там?
- Это я, вредонос!
- Залетай...
Примерно так действует новое решение Knockin от 🟥, которое не надо ни инсталлировать, ни настраивать, ни менять свои DNS и MX-записи. Просто указываете свой корпоративный e-mail и проверяете, насколько ваши средства защиты электронной почты пропускают ✉️ вредоносы, конечно, предварительно "обеззараженные". Есть платная и бесплатная версии, отличающиеся числом проверяемых адресов и количеством вариантов вредоносов.
ЗЫ. Ну а пока вы проверяете себя, можно выпить 🥂 бокальчик красного (это же offensive) вина "Knock Knock", которое продолжает серию "хакерских" вин из моей заметки (в России продается во многих магазинах) 🍷
Если не удастся насадить ЕБС людям, то можно увеличить число субъектов за счет котов и собак 🐱
ЗЫ. Комментарии к статье тоже неплохи 🐈⬛
Есть такое понятие "Пузырь фильтров" 🫧, введенное в одноименной книге Илая Парайзером. Его суть заключается в том, что сайты, соцсети, поисковые системы в Интернете, принимают решения о том, что нам показывать, основываясь не на объективности, а на наших прежних действиях (лайках, просмотрах, кликах, нажатиях, движении курсора, времени просмотра и т.п.). То есть мы обычно видим то, что мы раньше смотрели и скорее всего предпочитаем. Вся иная информация пользователю не выдается ☹️
С этим явлением связан парадокс релевантности, когда люди предпочитают информацию, которая кажется им правильной, но на самом деле бесполезной, и отбрасывают все полезное, но не совпадающее с исходным мнением человека. Ну и, наконец, еще одно предубеждение предвзятости, когда человек ищет и интерпретируют только ту информацию, которая соотносится с его уже имеющимися убеждениями и точкой зрения; все остальное не воспринимается 😤
Такое сплошь и рядом происходит в ИБ, когда мы принимаем решения на основе не только неполной, но и неточной, а может быть даже и неверное информации. Не только потому, что мы ее не получаем из-за пузыря фильтров, но и потому, что мы просто не разбираемся в предмете или, наоборот, разбирались когда-то и с тех пор придерживаемся полученных годы назад знаний. В ИБ же все меняется очень быстро и надо постоянно держать руку на пульсе, все время получая новые знания. А иначе замкнутый круг... выйти из которого помогает только критичность мышления и постоянное обучение 👨🎓
Выложена запись моего выступления "Вас взломали? Чек-лист первоочередных действий", а я выкладываю презентацию к нему 👇
Читать полностью…Когда вы в очередной раз будете думать, что ИБ - это скучно, в тени ИТ и на смузи не заработаешь, то вот вам доказательство от противного 💡
Читать полностью…А вот эта внезапная фраза в тексте документа меня смутила 🤌 Она оторвана от всего окружающего текста и, похоже, что это осталось из драфта с замечаниями и предложениями 🤔 И это в принятом документе... 🤨
ЗЫ, Интересно, я что, единственный, кто читает документы ДИБа, выкладываемые на сайт?
Тот редкий случай, когда можно сравнить два схожих документа, выпущенных в России и в Европе и посвященных одной теме - дистанционной идентификации пользователей. У соседей - это документ ENISA, о котором я уже писал, а у нас это стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации» 🪪
У нас это очень сухой и формальный документ, написанный канцелярским языком 😓 Более того, местами возникают вопросы, почему именно такие несколько десятков требований названы обязательными? Отчего защищаемся? Какая модель угроз? В документе ENISA этим вопросам как раз уделено много внимания и все угрозы проиллюстрированы - очень удобно читать и быстро разбираться в проблеме. У ЦБ дочитал до конца и ничего не понял пошел читать заново 😭
Скоро наступит срок окончания подачи налоговых деклараций (до 30 апреля). Ждем роста фишинговых сообщений на эту тему! 🤒
ЗЫ. Картинка Бена Каплана (с)
Когда заходит речь об автопилоте ИБ, многие начинают крутить пальцем у виска и заявлять, что это бред, что такое невозможно и все такое. Если отбросить в сторону страх любого человека, что он будет выброшен на помойку, так как его заменит робот, то давайте посмотрим на этот вопрос с точки зрения... пылесоса 🧹
Мне кажется он есть у каждого в квартире и он стал таким обычным предметом, что мы не задумываемся об истории возникновения этого прибора. А ведь раньше, если не брать в счет метлы, веники и швабры, пылесосы не были автоматизированными. Все, чем они отличались от веника - возможностью сбора мусора в контейнер. Потом ему приделали бензиновый двигатель, а следом и электрифицировали, - достаточно было только включить пылесос в розетку и ходить с ним, не нагибаясь, собирая всю пыль и грязь с пола 🔋
А потом пылесосы стали беспроводными, что еще больше облегчило труд человека. А теперь у многих дома умный пылесос, который сам чистит, сам моет, сам очищается, сам заряжается, сам объезжает препятствия... Все сам. Пылесос-автопилот 🤖 Да, пока все-таки надо очищать скопившийся мусор и пыль (хотя бы и из док-станции) и самому чистить труднодоступные места, но основную рутину пылесос берет на себя.
Так почему же не быть автопилоту в ИБ? 🤖
18 апреля буду участвовать в Positive Technology Day в Ташкенте (Узбекистан) 🇺🇿 и в еще одном закрытом мероприятии. Интересно, что при всем моем географическом многообразии поездок, в Ташкенте я еще не был ни разу.
А на этой неделе у меня выступление в Москве, на "Территории безопасности", где я по традиции (хотя мероприятие и впервые, но с большой историей) буду модерировать пленарку конференции "PRO Расследование инцидентов" и выступать с мастер-классом на конференции "PRO Обнаружение угроз" (там 4 конференции в рамках одного мероприятия) на тему Detection Engineering.
Вообще-то я еще должен был быть на форуме Cyber and Digital Security в Казахстане 🇰🇿 через пару дней, но не случилось - я буду на "Территории безопасности". Но зато там будет множество моих коллег из 🟥
ЗЫ. И это все не шутки 😎
У всех сервисов, которые оценивают рынок ИБ, содержат базы данных "всех игроков" и приторговывают этой статистикой, есть один серьезный недостаток, - они сфокусированы на рынке Старого и Нового Света и очень плохо понимают, что происходит на рынке ИБ Африки, Южной Америки, Азии (исключая Сингапур) и, конечно же, Китая (где их больше, чем во всех США, Израиле, Канаде вместе взятых) и России.
По данным этого сервиса, в России всего 6 ИБ-компаний 😂 хотя на самом деле разработчиков у нас под две сотни наберется. Хоть стартап создавай и выходи на поиск зарубежного инвестора 🤑 Но, правда, в нынешних условиях, это может расцениваться как помощь недружественному государству супротив национальной безопасности России, что может квалифицироваться как 275-я статья по УК РФ 😡
Когда мне надо помедитировать, то я смотрю на этот график, что позволяет мне целиком погрузиться в него и перестать реагировать на любые внешние раздражители 🧘♀️
Читать полностью…Перепись APT-групп, атакующих Россию
Хочу поделиться небольшим проектом — списком вероятно государственных хакерских групп, атакующих (или атаковавших) российские организации. Методология простая: я собрал отчёты ИБ-компаний, в которых есть атрибуция атак на Россию конкретным APT-группам, и внёс их в таблицу. Прежде всего, это отчёты российских компаний, но также и некоторых иностранных.
Получилось 28 групп — где-то с указанием предположительной страновой привязки, где-то без. Киберпреступники и хактивисты в список не попали. Структуры, про которые нет отчётов, — тоже. Остальные оговорки см. в тексте.
Мой вклад здесь заключается в попытке систематизировать отчёты, поскольку в публичном пространстве я аналога с фокусом именно на Россию не нашёл. Список может пригодиться журналистам, исследователям и всем остальным в качестве справочника.
Планирую периодически обновлять список, поэтому буду благодарен за советы и уточнения.
(Источником вдохновения отчасти послужил пример из Германии.)
Сегодня у меня на "Территории безопасности 2024" в рамках конференции "PRO обнаружение угроз" будет выступление про detection engineering, презу к которому я готовил во время ночного рейса. Как обычно некоторые случайные слайды из презентации 😮💨
Готовя слайды, понял, что материала гораздо больше, чем у меня будет времени при выступлении 😭 Возможно стоит будет провести расширенный вебинар, а то и сесть за «Обнаружение атак угроз» ✍️
4 апреля - день главных героев криптографии - Алисы и Боба, общение которых вынесено на показ и является демонстрацией различных криптографических концепций 🔐 В этот день в 1977-м году Рон Райвест впервые ввел в оборот эту парочку в статье "A Method for Obtaining Digital Signatures and Public-Key Cryptosystems" 🗝 С тех пор число "друзей" Алисы и Боба расширилось - появились Ева, Нэнси, Гарольд, Мэлори, Трент и еще с пару десятков персонажей 🔑
Читать полностью…Интересно, всплеск интереса к созданию ИБ-компаний произошел в начале 2010-х, с пиком в 2014-2017, и последующим постепенным спадом. Но терзают меня смутные сомнения, что это корректная информация 🤠 Судя по статистике по рынкам США и Израиля, как минимум, там явно больше компаний появилось в последние пару лет, чем указано на гистограмме. А уж сколько российских ИБ-компаний вдруг стало сингапурскими, сербскими или дубайскими...
Читать полностью…А не охренел ли кто-то? То есть запрещать мне выступать на SOC Forum и жаловаться руководству - это можно и все исподтишка, без общения со мной. А как предлагать мне разместить рекламу в канале, а при отказе - таргетировать ее у меня же за счет функций Телеги, а теперь еще и предлагать выступить у них на стенде за деньги (видимо, своих спикеров не осталось), так это они в первых рядах 🖕
Читать полностью…Если вы еще не раскрыли глобальную кампанию кибершпионажа, то вы зря кормите своих маркетологов! Такой вывод можно сделать, если следить за новостями ИБ-вендоров. И это применимо и к зарубежным, и к российским ИБ-компаниям!
Читать полностью…Должна ли компания, проводящая вебинары по ИБ, верифицировать своих онлайн-участников, чтобы не пущать фейковых троллей 🧌 (только настоящих)? И как найти баланс между ударом по репутации и возможностью потерять участников, не желающих аутентифицироваться 🪪?
Фейковые учетки на Гитхабе «имени меня» уже были. Теперь вот это. Думаю, вершиной станет, когда виртуальный фейковый «Лукацкий» будет задавать вопросы настоящему Лукацкому 🎭
Как по мне, так при таком подходе (без описания модели угроз и обоснования требований), проще было просто оставить вот эти две таблички из приложения 👣 Хотя и по табличкам у меня тоже вопросы. Вот что такое многофакторный генератор одноразовых паролей, основанных на криптографических методах? 🤔 Вот у меня браузер генерит пароли, поддерживает работу с отпечатками пальцев (то есть два фактора есть) и криптография там есть. Но боюсь, что это не то, что имел ввиду ЦБ. Но тогда что? 🤨
Читать полностью…Вообще было неожиданно в командировке в полночь увидеть целый эфир про криптографию, включая и Лебедева А.Н., которого я не видел ооочень много лет в публичной сфере. Вот прям респект телеканалу «Победа» 👍
ЗЫ. «Алиса» в номере гостиницы бесит - всегда отключаю ее от электричества, во избежание так сказать 🫸
Дорогой читатель! Все те посты, статьи, заметки, презентации, которые вы приписываете вашему ИБ-гуру Лукацкому, на самом деле были созданы нами, теми кого зовут «литературными рабами». Мы — те, кто придумывал мемы, выстраивал цепочку постов, придавал каналу и блогу жизнь. Лукацкий? Писатель? Три раза «ха»! Он всего лишь подписывался под нашими творениями, словно кот, оставляющий свой след на песке. Так что следующий раз, когда вы будете восхищаться “гениальностью” Лукацкого, помните: за каждым великим словом стоит армия литературных рабов, готовых взбунтоваться!
ЗЫ. А еще мы на протяжении года встраивали анаграммы в тексты этого ИБ-гуру, в которых, по определенному алгоритму скрыты наши истинные имена. Это наша страховка «на всякий случай»! И пусть терерь он делает с нами, что угодно, но правда восторжествовала!!!
Обещанная заметка про "смерть" EDR, о который "написал" Forrester. А заодно еще и про "смерть" IDS и SIEM, а также ряд очередных разоблачений ИБшных мифов от Gartner...
Читать полностью…По мотивам аналитики Forrester некоторые ИБ-журналисты заявили, что "EDR мертвы" ⚰️ и что Forrester больше не видит смысла выпускать отчеты по данному классу средств защиты. Ну а так как я уже слышал схожие заявления от Gartner по поводу IDS, а потом и по поводу SIEM, то не мог обойти вниманием и это заявление. Так что завтра в блоге про это напишу ✍️
Читать полностью…Спасибо Брюсу Шнайеру за наводку на статью об идее лицензирования деятельности ИИ-инженеров 🧠 по аналогии с врачами, адвокатами и другими людьми, которые своими действиями могут нанести вред людям. Так они и на багхантеров покусятся с пентестерами, требуя от них лицензии на убийство хак! 🛂