Не могу сказать, что этот список из 100 вопросов ✍️ для собеседования аналитика SOC является чем-то уникальным или содержащим какие-то сокровенные знания ✍️, но кому-то он может помочь составить свой собственный список. Иногда проще ориентироваться на что-то уже готовое, чем пытаться написать с нуля ✍️
Читать полностью…Что делать, если взломали производителя антивируса, который вы используете в своей инфраструктуре? 🔓Небольшие рассуждения от меня и возможный чеклист действий ✔️
ЗЫ. А вот на случай удаления антивируса Касперского из Google Play рекомендации дала сама Лаборатория, но эта история менее интересна для корпоративных пользователей - она затрагивает скорее только физиков 🛡 Но то, что инициатором удаления стало "Общество защиты Интернета" - это какой-то сюр...
Тут ведь интересно не то, что 18 августа 2024 года российский регистратор регистрирует домен, используемый для рекламы и проведения атак и обхода средств защиты информации 🤕 И даже не то, что хостится ресурс у провайдера, защиту которого он же по заявлениям и обходит ⚔️ Этот пример скорее демонстрирует, что и по ту сторону баррикад "плохие парни" не чураются маркетинговых уловок про "уникальность", "премиальность", "доступные цены" и т.п. Ценностное предложение вполне себе интересное 😱
Читать полностью…В продолжение вчерашней "заметки про Генри Форда" и про цепочки атак. Часто ли хакеры моментально, одним ударом 🤕, используя найденную уязвимость, достигают своей цели? Или все-таки им нужно пройти некоторую цепочку из дыр, чтобы добиться желанного? Обычно второе. И хотя таких цепочек гораздо больше, чем уязвимостей (все-таки комбинаторику тут не обманешь), но критических путей гораздо меньше - доли процента, как видно из статистики 📇
Фокус на таких цепочках и должен быть целью в защите. Их нужно выявлять, мониторить и блокировать, а не распыляться на борьбу с ветряными мельницами ⚖️ А если это делать еще и автоматизированно, то будет вообще супер 🏝 Там, правда, нужно поддерживать в актуальном состоянии все эти цепочки, но это подъемная задача при определенных условиях. В противном случае придется заниматься атомарными уязвимостями и атаками, которые не объединены в цепочки и с которыми приходится иметь дело по отдельности 👣
Есть классическая версия этого видеоприглашения на Positive Security Day в официальном канале 🟥, а есть версия 18+, которую я могу и у себя выложить 🔞
Читать полностью…Помните, я предлагал динамическое зарплатообразование в зависимости от уровня защищенности компании? Александр Леонов предлагает схожую историю, но применительно к процессу управления уязвимостями; есть дыры - зарплату не платят, нет - платят 🤑 Это должно по мнению Александра ускорить устранение уязвимостей в компании.
Это интересная идея и я бы проголосовал ✊ за нее всеми руками, но... Во-первых, устранять надо не все уязвимости, а только критичные, которые еще надо выявить. Во-вторых, даже наличие списка приоритизированных уязвимостей еще не означает, что их надо устранять все - многие из них не могут быть использованы по разным причинам или заводят злоумышленников в тупик 🫱 По статистике таких уязвимостей - 75%, а дыр, которые могут привести к компрометации ключевых и целевых систем - от силы 2%. Так что если согласиться с этими ограничениями, то почему бы и нет 🤔
ЗЫ. Фонд Генри Форда не подтверждает легенду про ремонтников, которым платили только за время нахождения в комнате отдыха и поэтому они были заинтересованы в том, что конвейер не ломался 🚗
9 утра 7 октября - уже под сотню заявленных взломов израильских компаний и организаций 🇮🇱
Читать полностью…Когда был молод, вожделел иметь много сертификатов по ИБ 🫴 Успел даже стать сертифицированным инженером Чекпойнта, сертифицированным тренером ISS (первым в стране), сертифицированным <бла-бла> от Brainbench… А потом как отрезало. Учится-учился, а за бумажками уже не гонялся. У меня даже сертификатов Cisco ни одного нет (кроме обязательных внутренних). И вроде и не мешает 🤓
Так что если вы вдруг захотите получить очередные 3-4-5-6 буквы, начинающихся с Certified, то задайте себе простой вопрос - «Накойхер?» или «Чтобы что?» Ну или следуйте методы «Пяти почему», о котором я когда-то писал в блоге 🤔
К предыдущему посту ☝️ Но судя по последнему году, атаковать будут не только Израиль, но и его сторонник - США, Саудовскую Аравию (которая не союзник, но «молчит») и др.
Читать полностью…Недавно заместитель советника по национальной безопасности США 🇺🇸 по вопросам кибербезопасности и новым технологиям, Энн Ньюбергер, которая не работает по субботам, выступила с важным заявлением, касающимся практики страховых компаний в вопросах кибербезопасности 🛡 Она призвала страховые компании прекратить поддержку выплат выкупа в случае атак программ-вымогателей 🤑 Это заявление было сделано на фоне продолжающейся международной борьбы с киберпреступностью, обсуждаемой на ежегодном саммите Международной инициативы по противодействию программам-вымогателям (CRI).
Ньюбергер отметила, что существующая практика, при которой страховые компании возмещают своим клиентам выплаты выкупа, фактически подпитывает криминальные экосистемы 🥷 и стимулирует дальнейшее развитие кибератак. Она подчеркнула, что вместо того чтобы поддерживать выкупы, страховые компании должны играть конструктивную роль в повышении киберустойчивости своих клиентов 🤬 Речь идет о включении требований внедрения и проверки эффективных мер кибербезопасности как условия для заключения страховых полисов. При их отсутствии компании смогут рассчитывать на низкую ставку страховую и высокую премию ⚖️ Ну или они будут подменять страхование на bug bounty.
Кроме того, заместитель советника по национальной безопасности США 🇺🇸 призвала к более строгому контролю над практиками страховых компаний, которые зачастую предлагают возмещение выкупа без оценки альтернативных вариантов. По мнению Ньюбергер, страховой рынок должен активнее внедрять меры, направленные на предотвращение атак, а не только на возмещение последствий. Нам, конечно, до этого еще далеко, но первые шаги в этом направлении делаются и у нас 👣
Эта инициатива поддерживается в рамках более широких усилий международного сообщества по сдерживанию атак вымогателей, которые, согласно данным, значительно возросли в последние годы в разных странах, особенно в США и Великобритании 📈 Международные организации продолжают работать над тем, чтобы уменьшить количество выплат выкупов и усилить ответственность компаний в вопросах кибербезопасности 🤏 Таким образом, акцент смещается с выплаты выкупов на профилактические меры, что может стать важным шагом в борьбе с кибератаками и уменьшении рисков для бизнеса и государства. Хочется надеяться на это 🥺
🤔 Дорогая Марья Ивановна, поздравляю вас с Днем учителя, а чтобы он не превратился в день хакера, рассказываю, как злоумышленники могут атаковать образовательные учреждения и системы.
Берегите себя и школу, ваш Вовочка
Еще пара образчиков мира по ту сторону баррикад ☁️ Обыватель слушает новости про хакеров, про взломы, про суммы выкупа... Но не всегда думает, а как хакеры прокачивают свои навыки, где и как они учатся ✈️ А ответ прост - так же, как и все остальные. Хакерские курсы, учебные центры, университеты. Минимум теории, максимум практики ⚡
И никакого вам УМО по информационной безопасности, лицензирования образовательной деятельности, калькуляции числа писсуаров исходя из пропускной способности учебных классов... А потом мы удивляемся, почему выпускники ИБшных специальностей ничего кроме нормативки не знают 🤦♂️
ЗЫ. С днем учителя!
Хоть и работаем мы по разные стороны баррикад океана, но шуточки у ИБшников все равно одинаковые... 🤤
На SOCtech или SOCcon будут говорить преимущественно про технологии. А что если вы хотите погрузиться в менеджерские темы? 👨💻 Это, конечно, не полноценное руководство SOC Manager 👑, но как шпаргалка вполне себе 🧐 Ну а если вам хочется еще прокачать и свой английский и послушать о том, что болит в американских SOCах, то можно посетить SOC Analyst Appreciation Day 16 октября 🧑💻
Читать полностью…Я вот тут почитал проект Постановления Правительства 🇷🇺, утверждающего Правила предоставления пользователем социальной сети, объем аудитории персональной страницы которого составляет более 10 тыс. пользователей социальной сети, сведений, позволяющих его идентифицировать 📱 И хотя я не размещаю рекламу и мне эти правила не очень актуальны, но есть риск, что могут пострадать пользователи, которые будут репостить из моего канала. Поэтому я пока присматриваюсь к новым правилам. И вот что я там обнаружил 🔍
Оказывается РКН, который так заботится о персональных данных россиян, 🖕 никак не проверяет подлинность подлинность заявления некоего лица о владении им каналом и, теоретически, любой желающий может выдать себя за владельца любого канала и зарегистрироваться вместо настоящего владельца 🎭 Интересно, как они будут разруливать... нет, не это недоразумение, а те заявления от владельцев, чьи каналы таким образом можно будет угнать 🤠 Ведь сначала ты регаешь "право собственности" на чужой канал, потом его отжимаешь через, допустим, поддержку Telegram, потом либо требуешь выкуп за возврат доступа, либо начинаешь размещать в канале всякое. И все в рамках закона. РКН - "молодец" 💪
Я несколько лет назад в презентации по личному кибербезу начал включать тему, связанную с дипфейками и как легко можно по фото/видео/аудио из Интернета создать дипфейк, создать слепок отпечатка пальца 🤒 или даже обмануть систему распознавания лиц по радужке глаза (при определенных условиях) 🔠 Вот и в видео к месячнику кибербезопасности говорится о том же… Да, оно без перевода, но там все и так понятно ✋
Читать полностью…Тут автор StrideGPT выпустил новое ИИ-решение по ИБ - AttackGen, которое позволяет, опираясь на MITRE ATT&CK, генерить сценарии атак для тестирования возможностей по реагированию на инциденты. Текущую версию, v0.6, можно попробовать в виде живого демо на https://attackgen.streamlit.app, а также посмотреть в репозитории GitHub: https://github.com/mrwadams/attackgen или в виде образа на Docker Hub: https://hub.docker.com/r/mrwadams/attackgen 🐳 Результат работы можно посмотреть 👇
Читать полностью…Тут на конфе одной мельком услышал диалог, как один ИБшник рассказывает другому, что отказался идти работать на стадион 🏟, так как скучно и «опять персданные». А я вспомнил, как Cisco готовилась к обеспечению ИБ на Олимпиаде в Лондоне 🇬🇧, потом в Рио, а между ними к ИБ различных спортивных мероприятий по всему миру 🥋 Попутно я узнавал до фига всего про то, что скрывается "под капотом" у современного стадиона.
И это прям космос, до которого многим еще очень и очень далеко 🚀 Куча датчиков IoT, управление технологическими процессами, прелоставление беспроводного доступа десяткам тысяч пользователей, куча арендаторов с разными требованиями к ИБ, обработка платежных данных, трансляции в Интернет, посещение первых лиц, облака, Большие данные, обработка видео в реальном времени и ML, и куча чего еще... 🎮 И все это требует ИБ (хорошо, что не КИИ). Так что ИБ стадиона - это прям современно, разносторонне и интересно... Да и результат сразу виден 👀
Сильный ролик про то, как родители, не думая, выкладывают фотки своих детей 👨👩👧👦 в соцсети, и к каким последствиям это может привести с точки зрения иныормационной безопасности в будущем 🤔
Читать полностью…6 лет назад я выступал с темой культуры ИБ на одном мероприятии ✊ Сегодня я секцию на эту тему модерирую. На Кибертехе. Так что если вы будете на этом мероприятии, то приглашаю в 15.00 в зал "Атом" ⚛️ Поговорим про то, можно ли культуру ИБ навязать или внедрить? 👊 Какие успешные примеры есть и участников сессии и какова роль в формировании культуры ИБ у государства, бизнеса и профессиональных сообществ? Будут, как и всегда, и провокационные вопросы. Приходите, скучно не будет! 😎
ЗЫ. Чеклист на слайде вы можете посмотреть в блоге ✔️
Прошло 6 лет с моего выступления с темой «L1 в SOC не нужен» и я подумал, что можно вновь вернуться к теме разделения аналитиков SOC на уровни L1-L3. Оно преподносится как частая модель работы аналитиков в Security Operations Center (SOC), но это не так. Это анахронизм, который давно пора выбросить на свалку, заменив грамотно выстроенным процессом detection engineering.
Читать полностью…Недавно ФБР провело обыски в офисах крупного подрядчика по IT и кибербезопасности Carahsoft, который работает с правительственными учреждениями США 🇺🇸 Спецслужбы подозревают ИБ-компанию в возможных нарушениях в области поставок и контрактов в рамках государственных тендеров.
Это событие стало значимым для тамошнего рынка, так как Carahsoft — один из ключевых поставщиков решений по IT и кибербезопасности для государственных структур 🎩 Пока не раскрыты детали расследования, но оно может оказать значительное влияние на весь сектор, подчеркивая важность прозрачности и безопасности в отношениях между частными подрядчиками и государством (ха-ха) 🤝
7 октября годовщина начала операции «Буря Аль-Акса», в рамках которой ХАМАС вторгся в Израиль 🇮🇱 Это положило начало не только непрекращающейся военной операции на Ближнем Востоке 🕌, но и активизации хакеров в виртуальном пространстве в этом регионе. Судя по заявлениям различных группировок, завтра планируются массированные атаки на израильские объекты 🤕
Читать полностью…Посмотрел тут свежий онлайн-курс "История защиты информации" (бесплатно) 🍿 Если честно, не зашло. Часть по криптографии (а она превалирует в курсе) в одноименном музее гораздо интереснее. Часть именно по защите информации, как по мне, недостаточно раскрыта 🤷♀️ Форма подачи излишне академична и местами скучновата - ни интересных историй, ни юмора. Визуал тоже страдает - по сути используется обычная презентация (даже без анимации) 😔 С другой стороны, если надо получить быстрый экскурс в историю, не читая книги по ней... Почему бы и нет 🤔 Тем более, что сегодня день учителя!
Читать полностью…Специалистов, занимающихся обучением систем кибербезопасности с движками на базе AI/ML, тоже с праздником, с Днем учителя! 🤖
Читать полностью…Подписчик прислал, за что ему спасибо, образчик современной детско-молодежной музыки, которая прям про кибербез 🎶 Спросил дочь, знает ли она автора сего опуса с 16 миллионами просмотров на Youtube, но она, к счастью, не знакома с этим творчеством 🎷 Текст на двойку, поет тоже не Орфей... 🎼 Да и суть не то, чтобы позитивная... Но что мы с подписчиком будем вдвоем знать об этом певце - теперь и вы знаете 🎼
Я другом твоим хочу стать
Дай побольше о тебе узнать
Будем вместе мы играть
То, что в письме - лучше не знать...
Задаю тебе вопросы:
"Зима, лето или осень?
Твоя любимая еда?
Какое имя у зверька?"
Доверься мне, мы же друзья
И ты со мною до конца
Я всё узнаю про тебя
От меня не скроешься
В моих руках твои друзья
Ты их забудешь навсегда
Ведь у тебя есть только я
И только я, и только я
Бесконечное веселье!
Только лишь для нас двоих
С тобой найдём мы увлеченье
О проблемах позабыв
(С возвращением, друг!)
Кажется был завершён сеанс
Но ты не бойся, коли вдруг
Смогу восстановить баланс
Осталось сделать одну вещь
В админ состав меня вовлечь
В командную строку набрать:
Давай-давай, пиши!
Комп мне свой уступи!
Я НЕ ВИРУС!!
Я НЕ ВИРУС!!
Бесконечное веселье!
Только лишь для нас двоих
С тобой найдём мы увлеченье
О проблемах позабыв
Бесконечное веселье!
Только лишь для нас двоих
Нам не скучно - это правда
Разве не согласен ты? (А теперь…)
Дай мне доступ
Мы же друзья!
Скажи, ну хоть раз
Подвёл я тебя?!
Целый мир, здесь я и ты
Места нет для скукоты
Всё подстроил под тебя
Теперь системой правлю я!
(Теперь системой правлю я!)
Нужно что-нибудь техническое по SOCам? 🛠 А вот вам руководство по развертыванию SOC в домашней лабе (на базе AWS). Это, конечно, еще не SOC, но все равно... Показывает, что для самостоятельного изучения не обязательно иметь кучу серверов с набором дорогого ПО - все можно сделать попроще, но все равно достигнуть результата и прокачать навыки. Было бы желание 😘
Читать полностью…Сегодня выступаю на программе "Цифровая трансформация бизнеса" для руководителей компаний, где буду рассказывать про кибербез (ну а про что мне еще рассказывать) 🛡 Построил презу с точки зрения CJM при разработке продукта и месте ИБ на всех этапах этого процесса - от архитектуры и DevOps до сопровождения и маркетинга 😵 Все с примерами, ущербом, недопустимыми событиями (как мы любим) 👉
Читать полностью…В продолжение истории про наличие в модели угроз реальной опасности захвата здания. Подписчик, за что ему спасибо, прислал фотографию. "О времена, о нравы..." ⚔️
Интересно, можно ли это рассматривать как средство гарантированного уничтожения информации? 🤔 Думаю, результат зависит от размера серверной 😊