alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Стажер в компании ByteDance 📱, Кейю Тянь, на протяжении двух месяцев саботировал проект по разработке нейросетей, умышленно внося ошибки в код 🧑‍💻, что привело к серьезным задержкам и срыву проекта. Его действия нанесли ущерб как команде разработчиков, так и репутации компании, а также вызвали бурную дискуссию на тему, поднятую еще Маяковским, "Что такое хорошо и что такое плохо" 🤔

Из интересного:
💀 Вредоносный код. Тянь загружал Pickle-файлы с скрытым вредоносным кодом, который содержал вирусы и выполнялся случайным образом. Это запутывало команду, так как ошибки возникали стихийно и не поддавались объяснению.
💀 Нарушение работы PyTorch. Тянь получил доступ к библиотеке PyTorch и регулярно вносил мелкие изменения в ее код, что приводило к сбоям в работе нейросетей. Разработчики не проверяли исходный код библиотеки, из-за чего задачи продолжали завершаться с ошибками, а эксперименты давали некорректные результаты.
💀 Манипуляции с чекпоинтами. Он изменял или удалял файлы чекпоинтов, которые сохраняют промежуточные состояния нейросетей во время обучения. В результате этого важные данные пропадали и не могли быть восстановлены.
💀 Участие в митингах. Тянь активно участвовал в командных встречах, где узнавал о планах команды по устранению багов, а затем создавал новые ошибки. Благодаря этому он оставался незамеченным на протяжении долгого времени.
💀 Обнаружение. В конечном итоге Тянь был разоблачен через анализ логов. Его действия привели к двум месяцам безрезультатной работы тридцати разработчиков, что сорвало сроки и привело к потерям для компании.
💀 Последствия. Хотя Тянь был уволен, его университетские наставники не предприняли против него дисциплинарных мер и не осудили его деструктивных действий.

Что можно сказать в качестве выводов и какие рекомендации можно было бы дать, если бы спросили меня (но меня не спросили):
1️⃣Внедрение строгого контроля кода. Инцидент подчеркивает важность регулярного аудита и проверки кода, особенно в крупных проектах с критической важностью для бизнеса. Недостаток контроля позволил одному человеку причинить значительный ущерб команде и проекту.
2️⃣Прозрачность и документирование изменений. Все изменения в ключевых библиотеках и компонентах проекта должны быть тщательно отслеживаемы и проверяемы, чтобы избежать подобных ситуаций.
3️⃣Повышение безопасности и доверия внутри команды. Участие стажера в саботаже подчеркивает необходимость тщательного подбора сотрудников и создания механизмов раннего выявления подозрительных действий.
4️⃣Обучение и ответственность. Работодатели и университеты должны уделять внимание воспитанию этики среди студентов и сотрудников, чтобы предотвратить деструктивные действия в будущем.

У нас на грядущей через 10 дней SOCcon в Минске будет как раз тема интеграции двух направлений - SOC и AppSec/DevSecOps. Ну а пока я задам сакраментальный вопрос - у вас же такой кейс предусмотрен в модели угроз? 🤔

Читать полностью…

Пост Лукацкого

Американские агентство по кибербезопасности и инфраструктуре (CISA) и Федеральное бюро расследований (ФБР) 🇺🇸 выпустили совместное руководство, посвященное опасным практикам в области продуктовой ИБ. Документ направлен на разработчиков программного обеспечения, чьи продукты функционируют в критической инфраструктуре, хотя его советы могут применяться ко всем разработчикам 🧑‍💻 Итак, горячая десятка плохих практик выглядит так:
🔤 Использование языков программирования, небезопасных для работы с памятью, например, таких как C или C++.
🔤 Использование пользовательских данных в SQL-запросах, что увеличивает риск SQL-инъекций.
🔤 Использование пользовательских данных в командах операционной системы, что также увеличивает риск инъекций.
🔤 Использование паролей по умолчанию.
🔤 Наличие известных уязвимостей.
🔤 Использование уязвимого открытого ПО.
🔤 Отсутствие многофакторной аутентификации, что увеличивает риск взлома.
🔤 Отсутствие возможности сбора доказательств и артефактов для анализа атак, например, журналов изменений конфигураций и сетевой активности.
🔤 Несвоевременная публикация CVE.
🔤🔤 Отсутствие политики раскрытия уязвимостей, позволяющей специалистам сообщать об уязвимостях и не бояться юридических последствий.

В самом документе также даны более детальные описания указанных практик, рекомендации по борьбе с ними и ссылки на дополнительные материалы 🗡

Читать полностью…

Пост Лукацкого

Получили на орехи

Утечка данных, как способ заработать на антикризисе компаний

Любопытный прецедент с антикризисом в формате data breach settlement, что по факту означает «и нашим, и вашим». Ореховая компания Green Valley, спустя 2 года после утечки данных выплатит своим клиентам по 400$, а тем, чьи утекшие данные были использованы в мошеннических схемах, еще плюс 4000$. Итого, 4400$ на нос, кажется вам повезло, если вы — жертва утечки, хохочет таблоид The Sun.

Производитель пекана из Аризоны расщедрился не просто так. После признания киберинцидента в 2022 году, Green Valley ответственно дропнула своим клиентам уведомления, что, мол, данные ваши могли утечь, меняйте пароли, приносим извинения, масштаб проблемы устанавливается. Казалось бы, все правильно сделала. Но ушлые американские граждане по-своему поняли, в чем польза орехов 🤣

Почуяв запах хрустящего доллара, они запилили коллективный иск Green Valley. Главная претензия полна драмы — вы могли предотвратить или уменьшить последствия утечки, приняв разумные меры кибербезопасности, но не сделали этого. Как жи так?

Спустя 2 года, производитель пекана так и не признал вины в утечке, но согласился заплатить неустойку истцам для урегулирования ситуации. Такая практика называется data breach settlement: компания платит клиентам компенсацию, те в ответ отказываются от судебных претензий, win-win. Главное, успеть до даты икс и прислать подтверждение, что ты жертва утечки и любви к орехам. И можно норм подзаработать на прибавку к социальному пособию и продолжать заниматься ничегонеделаньем. Сплошная польза!

#антикризис

Читать полностью…

Пост Лукацкого

Недавно произошел инцидент с участием ИБ-компании ESET, но последняя отвергла сообщения о том, что хакеры в рамках израиле-палестинского конфликта скомпрометировали 🥷 ее платформы и использовали их для распространения вредоносного ПО типа wiper, направленного на клиентов ESET в Израиле 🇮🇱 Однако компании все-таки пришлось признать, что их израильский партнер, компания Comsecure, действительно пострадала.

ESET на платформе X заявила:

"Мы осведомлены о инциденте безопасности, который затронул нашего партнера в Израиле на прошлой неделе. На основании нашего начального расследования, ограниченная вредоносная кампания по электронной почте была заблокирована в течение десяти минут. Технологии ESET блокируют угрозу, и наши клиенты находятся в безопасности. Платформы ESET не были скомпрометированы, и мы тесно сотрудничаем с партнером для дальнейшего расследования".


Исследователь по безопасности Кевин Бомонт обратил внимание на инцидент, когда обнаружил, что пользователь на форуме ESET опубликовал скриншот письма, распространяемого якобы от имени ИБ-компании 💻 Письмо содержало тему:

"Правительственные атакующие могут пытаться скомпрометировать ваше устройство!",


и предлагало дополнительную защиту от якобы текущей атаки. Внутри письма находился архив .ZIP, который содержал вредоносное ПО 🦠, предположительно связанное с группировкой Handala, активно действующей в киберконфликте на Ближнем Востоке 🕌

Пока подтверждений, что ESET была взломана, нет. Поэтому можно исходить из версии самой компании - был взломан один из ее партнеров, что все равно не умаляет проблемы атак на цепочку поставок, которые являются №1 и в России 🔗 ИБ-компании тоже ломают - у нас в стране так уже больше десятка случаев за последние пару лет ☄️

Читать полностью…

Пост Лукацкого

«Не открывайте вложения с подозрительными расширениями»: основы ИБ для госслужащих от Минцифры

Министерство цифрового развития подготовило рекомендации по информационной безопасности для госслужащих. Советы для чиновников изложены в трёх памятках:
— Меры по обеспечению информационной безопасности;
— Рекомендации по защите учётных записей;
— Правила защиты от мошенников.

Рекомендации появились в Консультанте вчера и сопровождаются письмом врио директора Департамента обеспечения кибербезопасности Минцифры Евгения Хасина от 17 сентября. Министерство рассматривает эти памятки в русле программ по повышению цифровой грамотности — в данном случае среди чиновников.

Что касается рекомендаций, то большинство не вызывают никаких вопросов. Но не все. Допустим, совет ставить сложный пароль без пояснений не очень полезен, а призыв менять его раз в квартал уже не считается хорошей идеей. Так, в свежих рекомендациях по паролям NIST предлагает пойти навстречу пользователям и наоборот не требовать от них регулярной смены пароля.

Также можно обсудить, чего в рекомендациях нет. Мне в глаза бросился важный совет, который часто дают на тренингах: если вы заметили что-то подозрительное или у вас есть вопросы, обращайтесь в отдел ИБ организации (вот контакт). Конечно, письмо, очевидно, разослано в разные организации, и отделы эти будут разные, но общий совет всё равно можно было дать, а то сейчас по памяткам складывается впечатление, что госслужащие предоставлены сами себе.

Но, наверно, главный вопрос — будет ли польза от рекомендаций в таком формате? Что с ними в лучшем случае сделают в организации? Разошлют по почте? Распечатают и повесят листочки A4 на доске объявлений? Компании, проводящие тренинги по ИБ, много думают над тем, как сделать так, чтобы обучающиеся действительно усвоили материал, а их поведение стало более безопасным. В этом плане памятки не выглядят особо убедительными. Лучше сразу направлять госслужащих на тематический раздел на Госуслугах.

Читать полностью…

Пост Лукацкого

Помните видео про фотографию ребенка, которую с помощью ML превратили в живое и повзрослевшее лицо, которое стало говорить со своими родителями про риски цифровой приватности? Вот оно и на русском языке (даже в чуть более полном варианте, чем английский вариант, выложенный у меня) 👨‍👩‍👧‍👦

Читать полностью…

Пост Лукацкого

Не, ну а что, почему бы для облегчения жизни пользователей, которые сбрасывают сами пароли, не сделать пароль по умолчанию, такой же как и сам e-mail. Это удобно и легко запомнить. И мало кого волнует, что теперь можно сбросить пароль любого пользователя и легко войти в его учетную запись 🤦‍♂️

Читать полностью…

Пост Лукацкого

Виртуальный обман: IT-компания подделала сертификаты ради контракта с SEC

🏢 Глава IT-компании Дипак Джейн обвиняется в мошенничестве при заключении контракта с SEC. Компания предоставила поддельный сертификат Tier 4 для своего дата-центра, выданный несуществующей организацией Uptime Council.

💰 SEC заключила контракт на $10,7 миллионов, который действовал с 2012 по 2018 год. В ходе его выполнения обнаружились серьезные проблемы с системами безопасности, охлаждения и электропитания дата-центра.

⚖️ Джейну грозит до 10 лет тюрьмы за каждый эпизод мошенничества и до 5 лет за ложные показания. Адвокаты утверждают о невиновности клиента, подчеркивая отсутствие потери данных SEC.

#мошенничество #кибербезопасность #сертификаты #данныевопасности

@CyberStrikeNews

Читать полностью…

Пост Лукацкого

А я тут в Дубае проводил квиз по ИБ. Но это был новый совсем формат для меня. Во-первых, на английском языке, что для человека, которого не взяли в Касперского (после 10+ лет работы в американской компании) по причине незнания языка было челенджем. Во-вторых, это был не командный квиз, как я проводил обычно, а индивидуальный. Наконец, я использовал специальную платформу для этого. В итоге получилось прям хорошо, что позволяет мне надеяться, что я этот опыт смогу масштабировать и на другие регионы и проводить такие ИБ-квизы не только за пределами России, но и внутри страны на многочисленных мероприятиях, которые проводит 🟥

Читать полностью…

Пост Лукацкого

А мы выпустили уже четвертый Positive Research 📖 На этот раз выпуск содержит статьи по мотивам лучших докладов киберфестиваля PHD2 🟥

Читать полностью…

Пост Лукацкого

Я когда был в Бразилии 🇧🇷, не увидел много-много диких обезьян, чтобы там не говорилось в советской классике. Зато увидел живых капибар, бродящих в городских парках, о которых донна Роза д'Альвадорец в исполнении Александра Колягина из "Здравствуйте, я ваша тетя" не упоминала 🦍 А еще бразильская армия недавно провела крупнейшие киберучения в Южном полушарии 🌍 под названием "Ciber Guardian 2024" (видео прошлогоднее, поэтому меня вы на нем не ищите). Это, уже 6-е по счету событие, объединило специалистов по кибербезопасности из разных стран, включая как военные, так и гражданские структуры (и не спрашивайте меня, откуда я это знаю 🤠).

Как это часто бывает на мероприятиях такого уровня и при таком организаторе, основной целью стало совершенствование навыков защиты критической инфраструктуры и укрепление межведомственного взаимодействия в случае кибератак 🤝 При этом моделировались реальные атаки на системы управления и связи в разных сферах - от транспорта и финансов ↔️ до водоснабжения и атомной энергетики. Были сценарии даже для сферы биозащиты, что на фоне разговоров об утечках опасных вирусов 🦠 из лабораторий по всему миру (то в Африке, то в Китае, то в США), было достаточно актуально.

А еще, учитывая непростые взаимоотношения 📇 стран Латинской Америки со своим североамериканским соседом, пытающимся играть роль старшего брата, была поднята тема защиты государственных учреждений и критически важных объектов от кибершпионажа 🇺🇸 и атак на национальные информационные системы. Все же помнят киберинцидент в Венесуэле 🇻🇪 и кого Мадуро обвинял в его реализации? 🫵

Читать полностью…

Пост Лукацкого

В Ирландии придумали, как обокрасть невнимательных граждан на €1000. Мошенники начали наклеивать фейковые QR-коды на парковочные автоматы, и, переходя по такому, жертва схемы платит непонятно кому. @bankrollo

Читать полностью…

Пост Лукацкого

Китайские ученые "взломали шифр" 🎖 военного уровня c помощью квантового компьютера или нет?

SCMP пишут сенсационное: китайские ученые из Шанхайского университета успешно осуществили первую в мире атаку на широко используемые методы шифрования с использованием квантового компьютера. Исследование было проведено под руководством 🇨🇳Ван Чао из Шанхайского университета c помощью 🖥 D-Wave Advantage, произведённого канадской компанией D-Wave Systems.

Это первый случай, когда квантовый компьютер представляет реальную и существенную угрозу для нескольких полномасштабных структурированных алгоритмов SPN, используемых сегодня.

— сообщают журналисты.

По утверждению SCMP, учёные 🤔успешно атаковали алгоритмы Present, Gift-64 и Rectangle, которые являются основой структуры SPN (Substitution-Permutation Network), применяемой в передовых стандартах шифрования, таких как AES.

Using the D-Wave Advantage, they successfully attacked the Present, Gift-64 and Rectangle algorithms.


Квантовый компьютер D-Wave Advantage использует метод под названием ⚠️"quantum annealing", который позволяет быстрее находить оптимальные решения сложных математических задач благодаря эффекту туннелирования. Ван Чао описывает его как «алгоритм искусственного интеллекта с возможностью глобальной оптимизации решений»....

==============

👆Странно. Смотрим по ссылке на [1,2] в оригинале 📄 "Quantum Annealing Public Key Cryptographic Attack Algorithm Based on D-Wave Advantage".

Там нет упоминаний об атаках на симметричные шифры, таких как Present, Gift-64, Rectangle или AES. Даже если попробовать через Ctrl+F — не найти. Про SPN тоже ничего нет. Вероятно, журналисты немного некорректны в своих выводах.

В исследовании рассматривается факторизация целых чисел до 50 бит с использованием "квантового отжига" на квантовом компьютере D-Wave, а про AES ни слова.

Компьютер D-Wave использует "quantum annealing", который отличается от универсальных квантовых компьютеров тем, что он имеет ограничения. Его архитектура ориентирована на специфические задачи, такие как оптимизация.

Исследование Ван Чао не находит подтверждения того факта, что современная криптография находится под угрозой из-за возможных атак с помощью квантовых компьютеров. Максимальный размер ключа, который теоретически может взломать D-Wave Advantage составляет около 50 бит для RSA.

Взлом AES не представляется возможным, поскольку подходящие математические методы и алгоритмы для такой реализации отсутствуют.

Основная цель исследования это применение и оценка эффективности новой технологии "квантового отжига"/"quantum annealing" в решении задач факторизации, а не взлом современных криптографических систем.

@Russian_OSINT

Читать полностью…

Пост Лукацкого

А вот еще один вариант приоритизации инцидентов. В целом схема не нова и вполне понятна - 4 уровня критичности 📉 (максимальный - уже скорее недопустимое событие). Мне понравилось, что они не только выделяют 5 видов возможного ущерба и где-то его оценивают количественно, но чаще нет ⚖️, но и то, что они выделяют еще и технические атрибуты, которые также позволяют классифицировать инциденты по уровню опасности! 🪣

Читать полностью…

Пост Лукацкого

Применение искусственного интеллекта в цепочках поставок программного обеспечения 👨‍💻 для целей оборонной промышленности США имеет огромный потенциал для повышения уровня кибербезопасности 🇺🇸 ИИ может улучшить соблюдение стандартов NIST, повысить уверенность пользователей в программных модулях и библиотеках, взятых из внешних репозиториев, и ускорить процесс управления ИБ в цепочке поставок.

ИИ способен 🤖 автоматизировать обработку угроз, предлагать оптимальную частоту для повторного сканирования, анализировать уязвимости и оценивать риски компрометации в цепочках поставок 🧑‍💻 Для аналитиков кибербезопасности Министерства обороны США ИИ может помочь лучше контролировать соответствие ПО требованиям NIST и самого министерства, а также поддерживать в актуальном состоянии данные о выявленных уязвимостях. Это не только снижает зависимость от ручных процессов, но и делает оценку уязвимостей более точной и своевременной 👨‍💻

В очередном отчете CSIAC дается обзор текущих исследований в этой сфере 👀

Читать полностью…

Пост Лукацкого

Выложили тут новый open source инструмент под названием EDRSilencer 😴, который действует очень изящно, - он не пытается обойти или отключить средства защиты ПК, а просто обнаруживает процессы, отвечающие за работу EDR, и использует кастомные правила Windows Filtering Platform (WFP) для блокирования коммуникаций между агентом EDR и сервером управления 🤬 И все! Агент думает, что он отправляет сигналы тревоги, но сервер их не получает, а посему не способен среагировать должным образом и ИБ не знает, что узел скомпрометирован 👨‍💻

Бороться с этим можно путем мониторинга двух событий с ID 5155 и 5157, которые как раз показывают, что WFP блокирует приложения и соединения 📱 Дополнительно, нужно еще отслеживать имя приложения, чтобы отсечь реальную сработку фильтра от работы EDRSilencer. Как вариант, можно также использовать EDR, у которого логика работы реализована на самом агенте, а не на сервере управления. Таких решений не так много, но есть 🤔

На текущий момент EDRSilencer позволяет "отключить" такие решения как:
1️⃣ Microsoft Defender for Endpoint and Microsoft Defender Antivirus
2️⃣ Elastic EDR
3️⃣ Trellix EDR
4️⃣ Qualys EDR
5️⃣ SentinelOne
6️⃣ Cylance
7️⃣ Cybereason
8️⃣ Carbon Black EDR
9️⃣ Carbon Black Cloud
1️⃣0️⃣ Tanium
1️⃣1️⃣ Palo Alto Networks Traps/Cortex XDR
1️⃣2️⃣ FortiEDR
1️⃣3️⃣ Cisco Secure Endpoint (Formerly Cisco AMP)
1️⃣4️⃣ ESET Inspect
1️⃣5️⃣ Harfanglab EDR
1️⃣6️⃣ TrendMicro Apex One

У вас же предусмотрено это в модели угроз? Вы знаете, как проверить, что средства защиты работают и передают телеметрию в SIEM или на сервер управления? 🤔

Читать полностью…

Пост Лукацкого

Я тут в LinkedIn наткнулся на статью 📰, в которой обсуждаются различия между валовой прибылью и операционной маржой в публичных компаниях, занимающихся продуктами по кибербезопасности ⚖️ Интересное чтиво, в котором предлагается при оценке перспективности ИБ-компаний смотреть не на показатели валовой прибыли компании, которую обычно все выпячивают ↗️, а на операционную маржу, которая определяет эффективность ведения бизнеса и то, какую стратегию компания для себя выбрала - реально развивать продуктовое направление или продаться кому-то. Я немного пересказал текст, добавив и от себя пару мыслей.

Читать полностью…

Пост Лукацкого

Часто слышу, что

«мы не можем вывести в числе KPI на дашборды бизнес-показатели от деятельности ИБ, так как у нас нет исходных данных»


А вот кто-то может 💪 Это же просто данные 📈 Они где-то есть и к ним можно получить доступ. Топ-менеджмент же как-то их получает 🤔 Значит их можно и на SIEM вывести или к порталам ИБ-отчетности подтянуть.

Обычно «мы не можем» означает либо «мы не хотим», либо «мы не умеем», либо «нас в грош не ставят». Три разных причины, но с каждой можно работать и каждую можно решить!

Читать полностью…

Пост Лукацкого

Знаете, в России наблюдается 👀 явление под названием «гастарбайтеры», то есть пришлые из других стран люди, предлагающие различные commodity-услуги типа водитель такси 🚕, уборщица, дворник, продавец в магазине, младший медперсонал и т.п. Они недорого стоят и хотя качество их работы часто не очень высоко, их услугами пользуются многие, считая приемлемым баланс «качество-цена» ⚖️

И вот на GITEX 🇦🇪 я заметил схожую картину - на рынок ИТ и ИБ заходят агрессивные индусы, пакистанцы, китайцы и начинают демпинговать, предлагая сетевое оборудование, прикладное ПО, решения по кибербезу, аутсорсинг ИТ и т.п. То есть речь не просто об аутсорсинге разработки, а о предоставлении «ИТ-гастарбайтерами» более высокоуровневых решений 🧑‍💻 И дальше все будет как и в обычной жизни - сначала американские компании будут свысока посматривать на этих "выскочек", считая, что им ни за что не подвинуть лидеров с пьедестала 💪 Потом начнется жесткая конкуренция, а все, поздно 🆘 Стоимость разработки несопоставима у двух миров и доминировать может начать не США. А потом качество может и подтянется. И тогда, для защиты своих позиций США начнут применять явно нерыночные методы конкурентной борьбы, но это будет уже потом и не факт, что это даст свой эффект ⛔️ А пока очень интересно нам будет в ближайшее время.

ЗЫ. К слову, ни Китай, ни Индия не включены в список недружественных стран.😔

ЗЗЫ. К России это наблюдение тоже применимо.

Читать полностью…

Пост Лукацкого

А месячник кибербеза все еще идет...

Читать полностью…

Пост Лукацкого

На днях вебинар был, где была показана диаграмма 📊, на оси X которой представлены разработчики ПО по распространенности уязвимостей в их продуктах среди корпоративных активов. Пр оси Y отображается скорость устранения этих уязвимостей. Достаточно интересный срез, подтверждающий тезис, что безопасность определяется не числом уязвимостей, а скоростью реагирования на них и устранения 💡

Читать полностью…

Пост Лукацкого

Интересное получил от участкового: 👮‍♂️

Просим вас быть в курсе того, что существует группа людей, которая ходит по квартирам, выдавая себя за сотрудников внутренних дел. Они имеют при себе документы и бланки с символикой Министерства внутренних дел и утверждают, что им необходимо проверить наличие действительных удостоверений личности у всех жильцов и снять биометрию в преддверии предстоящей "переписи населения". Выглядят презентабельно. Могут носить форму МВД.
Они высказывают намерение сделать вашу фотографию/снять отпечаток пальца "в рамках какой-то схемы". При себе имеют ноутбук, биометрическое устройство и список жильцов. Они показывают этот список и просят предоставить всю эту информацию.


Интересненько… 🎭

Читать полностью…

Пост Лукацкого

Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡

Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.

Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘Базовая программа повышения осведомленности
🟣Программа изменения поведения (персонала)
🟡Программа культуры безопасности персонала
🔴Комплексная программа культуры безопасности

В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе специалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉)

p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍

#awareness #roadmap #maturity #behavior

Читать полностью…

Пост Лукацкого

А вот еще ождин образчик писательского искусства - книга "ИБ-пророк", где собраны 22 уникальных прогноза от экспертов в области информационной безопасности, в которых они поделились своим видением развития отрасли на ближайшие три года. К числу пророко, ё, отнесли и меня, чем я с радостью и воспользовался, высказав свое видение на развитие ИБ в части всего лишь одного вопроса - изменения отношения бизнеса к ИБ 🧐

Читать полностью…

Пост Лукацкого

Строить изначально архитектурно надежный и безопасный дом 🏠 в районе, где раньше разрушительные ураганы были в редкость? 🌪 Нецелесообразно. Страховать дом? Во время урагана уже нереально, а до этого дорого и многие считают, что "обойдется". В итоге, когда приходит 😱, начинают применять вот такие подручные средства в надежде, что они защитят дом от урагана 5-й, максимальной (а кто-то говорит, что и 6-й) категории

Также и в ИБ. Сначала ты думаешь, что тебя никто не будет атаковать, а с хакерами ты встречаешься только на PHD, Hacking Week или при просмотре голливудских боевиков 🤕 Когда атаки стороной тебя уже не обходят, а с безопасностью у тебя по-прежнему швах, то и страховые отказываются с тобой работать либо выставляют такой ценник, что лучше не надо. И тогда ты начинаешь строить защиту из подручных инструментов купленных в соседнем Home Depot 🛡

Но в отличие от мира физического, кибербез можно начинать строить на любой стадии развития ИТ-инфраструктуры. Да, это иногда обойдется дороже, чем сразу закладывать нужные элементы в архитектуру. Но все же... Лучше не ждать, когда накроет и останется только один вариант 🥺😦

Читать полностью…

Пост Лукацкого

Меня тут спросили, зачем я делаю каждый раз новую презентацию 📈, когда можно взять старую и прочитать ее еще раз, и потом еще раз, и потом еще и еще; ведь все равно аудитории разные. А вот именно потому что они разные и надо делать каждый раз новую презентацию, пусть и на ту же тему 💡

Например, я в Сан-Паулу 🇧🇷 тоже выступал на тему анализа защищенности, но быть в стране, где футбол возведен в культ и не использовать это в качестве аналогии - было бы странно ⚽️ Но эта же аналогия , например, не очень зайдет в ОАЭ 🇦🇪 (а вот в Саудовской Аравии могла бы и зайти) и поэтому я переделывал свою презу под местную специфику 🕌 И вот так каждый раз. Аудиторию, перед которой выступаешь, надо уважать 😘

Читать полностью…

Пост Лукацкого

У меня только один вопрос - зачем она наклеила фишинговый QR обратно на табличку вместо того, чтобы выкинуть его? 🤔

Читать полностью…

Пост Лукацкого

Что и требовалось доказать...

Читать полностью…

Пост Лукацкого

ونوه أليكسي لوكاتسكي، المدير الإداري مستشار قسم أعمال الأمن السيبراني لدى شركة بوزيتف تكنولوجيز إلى نمو سوق الأمن السيبراني في الإمارات والذي يشهد تطورًا ملحوظًا خلال السنوات الماضية نتيجة الطلب المتزايد على حماية البنية التحتية الحيوية، مشدداً على أن للذكاء الاصطناعي دورا محوريا في تعزيز قدرات الأمن السيبراني عام 2024.


Примерно так я сказал в очередном интервью местному новостному агентству 📰 и могу лишний раз подтвердить, что это так и есть, чтобы вы не говорили! 🕌

Читать полностью…

Пост Лукацкого

Ну а я сегодня жгу на GITEX. Коротенько, минут на 20, про разные варианты оценки защищенности и что из этого применимо на уровне CEO и как это правильно сделать? 🙌

Читать полностью…
Подписаться на канал