Ирландский "Роскомнадзор" оштрафовал LinkedIn на 310 миллионов евро 💶 за незаконный анализ поведения пользователей и целевую рекламу в их адрес. Это в 6 раз больше недавнего штрафа для Marriott 🤑 К слову сказать, это 2,5% от оборота LinkedIn за весь прошлый год.
Но при всей своей величине 💶, эта сумма не дотягивает до рекорда и даже не входит в пятерку самых больших штрафов за нарушение GDPR, которая выглядит так:
1️⃣ Meta (2023) - 1,2 миллиарда евро 📱
2️⃣ Amazon (2021) - 746 миллионов евро 📱
3️⃣ Meta/Instagram (2022) - 405 миллионов евро 📱
4️⃣ Meta/Instagram/Facebook (2023) - 390 миллионов евро 📱📱
5️⃣ TikTok (2023) - 345 миллионов евро 📱
Во всех случаях, кроме Amazon, отличился ирландский регулятор по приватности. Текущий кейс с LinkedIn 📱 занимает шестое место в общем зачете и пятое по размеру штрафа у "ирландцев" 🇮🇪
В Топ10 лидером по штрафам является Meta 📱, которую нахлобучили уже в совокупности на 2,5 миллиарда евро. И учитывая, что это не первый, не второй и не третий раз, а компания все не извлекает уроки, то выводов я делаю два - либо архитектура решений Meta настолько сложна, что не может быть перестроена под выполнение требований GDPR (что все-таки вряд ли), либо стоимость получаемых бигтехом данных превышает все понесенные штрафы. И последнее заставляет лишний раз задуматься 🤔
CyberTalks: Истории про мошенников, утечки данных и принуждение к безопасности | Алексей Лукацкий x Павел Хавский
🌐 Прямой эфир 20:00 UTM + 3
💬 Наш Гость - Алексей Лукацкий, стаж в ИБ 30-лет, ну кто таким еще может похвастаться? Сегодня обсудим самые яркие истории о мошенничестве и утечках, страхах пользователей и новые требования к безопасности.
Что в эфире:
🟡Как изменились мошеннические схемы?
🟡Почему быть мошенником становится всё труднее?
🟡Истории из 90-х, когда вирусы на дискете заражали компании этаж за этажом.
🟡Почему некоторые ИБ-специалисты выбирают «тёмный путь»?
🟡Утечки данных: какие из них самые страшные и почему критично не оставлять цифровой след?
🟡Насколько агрессивным стало принуждение к безопасности и чем оно грозит бизнесу?
Проводим субботний вечер с пользой в компании с образованными людьми, а не с бутылкой
Интересная презентация о том, как обеспечивается ИБ в Рунете подразделением РКН. Из нее и перспективы развития систем предупреждения угроз в Интернете становятся понятны и направления будущих активностей (блокировки VPN, поиск уязвимостей, борьба с DDoS и т.п.) 🌐
Читать полностью…На роскомнадзоровском форуме в Сочи был интересный доклад про низкорбитальные спутниковые 🛰 группировки, которые должны обеспечивать не наземную связь, не через вышки 🗼, а через спутники. Были озвучены серьезные риски ИБ применения DTC (Direct-to-Cell), когда обеспечивается связь через спутник без специального терминала, сразу с мобильным устройством, многие из которых уже оснащены соответствующими чипами 📞
Риски, конечно, с точки зрения государства, когда в обход имеющихся средств блокировок, кто-то может контактировать с условным Западом 👿 Но интересно не это, а то, что реально обсуждалась история с возможным запретом ввоза соответствующих современных мобильных устройств в страну. Такая себе перспектива, если честно... 🤬
ЗЫ. Фотки украли у @toxic_digital
По данным Vectra AI, специалисты, работающие в центрах операций безопасности (SOC), считают, что они теряют способность эффективно обнаруживать и приоритизировать реальные угрозы ⁉️ Основные проблемы заключаются в чрезмерном количестве разрозненных инструментов и недостаточной точности сигналов об атаках 🎮
Многие сотрудники SOC выражают недоверие к поставщикам решений, считая, что их инструменты могут больше мешать, чем помогать в выявлении настоящих угроз. Это противоречит растущему оптимизму в отношении возможностей своих команд и потенциальных преимуществ ИИ 📎
С развитием гибридной среды атак, многие компании внедряют инструменты, основанные на генеративном ИИ (GenAI) 🤖, что, в свою очередь, создает новые возможности для кибератак и добавляет сложностей командам SOC. Несмотря на уверенность в своих защитных механизмах, 71% специалистов обеспокоены возможностью пропустить реальную атаку среди большого потока ложных срабатываний 👀 Половина специалистов не верит, что их инструменты помогут эффективно справляться с угрозами, а 54% говорят, что эти инструменты увеличивают нагрузку на SOC, а не снижают ее 🍑
Большинство команд используют более 10 различных инструментов для защиты, а 45% из них имеют более 20 инструментов 😲 62% специалистов недавно внедрили или планируют внедрить решения для расширенного обнаружения и реагирования (XDR), чтобы улучшить эффективность защиты 📈 В исследовании SANS по SOCам схожие опасения.
Среди ключевых проблем специалисты выделяют недостаточную точность оповещений и чрезмерное количество ложных тревог, что приводит к тому, что значительное количество инцидентов остается необработанным 🗑 60% специалистов считают, что поставщики продают слишком шумные инструменты, и 71% считают, что они должны нести ответственность за неспособность предотвратить утечку данных 😡
В то же время, растет доверие к ИИ в области обнаружения угроз 🧠 85% специалистов SOC увеличили свои инвестиции в ИИ за последний год, а 67% отметили положительное влияние ИИ на возможность распознавания угроз. 75% утверждают, что ИИ помог снизить рабочую нагрузку, а 73% отмечают уменьшение уровня профессионального выгорания благодаря ИИ. Забавно, что это немного противоречит аналитике SANS по SOC 🤔
Однако для широкого внедрения ИИ необходимо восстановить доверие к поставщикам решений, демонстрируя, что их инструменты действительно облегчают работу специалистов и не добавляют дополнительных сложностей 🤝
ЗЫ. О том, как бороться с частью описанных проблем поговорим на Positive SOCcon в Минске уже меньше чем через неделю.
У нас же месячник кибербеза еще идет 📆 И я тут для одного проекта готовил описания терминов ИБ для разных возрастов. Непростая задача, скажу я вам. Вот, например, как у меня был описан "белый хакер" 🧑💻 Пока еще не идеально и есть куда развивать, но даже из такого описания понятно, что для разных возрастов надо давать совершенно разные формулировки, учитывающие возрастные особенности.
Для ребенка 5 лет 👶
Белый хакер — это как добрый волшебник, который помогает защищать замки от злых волшебников. Он находит слабые места в стенах замка и говорит об этом королю, чтобы замок был всегда безопасен.
Белый хакер — это человек, который использует свои навыки взлома не для того, чтобы навредить, а чтобы помочь компаниям или людям. Он ищет слабости в системах, чтобы их можно было исправить до того, как это сделают злые хакеры.
Белый хакер — это специалист по кибербезопасности, который занимается проверкой компьютерных систем на уязвимости. Он использует свои знания для защиты компаний и организаций от кибератак, находя и устраняя уязвимости до того, как ими смогут воспользоваться злоумышленники.
Белый хакер — это как эксперт по безопасности, который помогает компании найти слабые места в её защите, чтобы злоумышленники не смогли воспользоваться этими уязвимостями. Это напоминает работу инженеров или специалистов по охране в прошлом, когда их задача была найти слабые точки в системе безопасности, чтобы сделать её надёжнее, только сегодня это делают в цифровом мире, защищая компьютеры и программы.
Обновление списка APT-групп, атакующих Россию
В апреле я публиковал список продвинутых хакерских групп, государственных или прогосударственных, которые были замечены компаниями по кибербезопасности в атаках на российские организации.
Сегодня делюсь обновлённой версией:
— добавлены отчёты российских компаний с апреля по октябрь и некоторые более давние, а также отдельные зарубежные отчёты (в том числе и два китайских). Общее количество отчётов удвоилось с 40 до 81, а количество групп в таблице увеличилось с 28 до 41;
— у некоторых групп добавлены дополнительные наименования;
— для групп без указания страны в соответствующем столбце поставлена чёрточка.
Как всегда, буду благодарен за обратную связь и дополнения.
Интересная новость - Рамблер&Co запустил программу bug bounty 🤑 для проверки своей защищенности. Можно было бы про это не писать, так как с момента, когда Яндекс запустил первую в России программу Bug Bounty более 10 лет назад, это уже становится нормой и компаний, вышедших на платформы поиска уязвимостей за вознаграждение уже немало (а в приватных программах так и того больше).
Но данный кейс интересен тем, что холдинг Rambler&Co 🖥 объявил вознаграждение не за поиск атомарных уязвимостей в своих приложениях и сервисах, и не за обычное проникновение в рамках пентеста 🤕, а за реализацию недопустимых событий, определенных компанией. За их реализацию компания платит в настоящий момент 3 миллиона рублей 💸
Интересно было бы увидеть результаты по этой программе; хотя она пока и в приватном режиме работает. Может быть к весеннему PHD 🏟 что-то появится и тогда можно будет даже собрать отдельную панельку (а мы уже программу начали формировать) - все-таки компаний, который вышли на Bug Bounty именно на недопустимые события уже не одна, не две, и даже не три. Есть о чем поговорить 💯
Интересное исследование, которое показывает влияние инцидентов с утечками данных на стоимость акций публичных компаний. В целом подтверждается давнее исследование Гордона-Лёба про +-2%. Но срок восстановления курса после инцидента существенно вырос - раньше он измерялся днями, а сейчас месяцами. Хорошо пойдет в копилку бизнес-ориентированной ИБ, когда надо показывать топ-менеджменту (если компания публичная, конечно, и работает на конкурентном рынке) реальное влияние ИБ на бизнес-показатели.
Читать полностью…⚠️ Компанию Check Point оштрафовали за сокрытие факта своего взлома!
Интересное дело. Комиссия по ценным бумагам США (SEC) оштрафовала 4 компании - Unisys, Avaya, Mimecast и Check Point за обман сокрытие факта инцидента ИБ, который произошел у каждой из компаний в результате взлома SolarWinds в 2019-м году 🔓 Иными словами, их подломали в результате компрометации SolarWinds. Интересно, что сами компании подтвердили SEC факт взлома, но публично это отрицают 🤐 Тот же Check Point говорит, что они не нашли доказательств своего взлома, но не стали спорить с Комиссией по ценным бумагам и просто откупились от нее за 1 миллион долларов 💰
Unisys, Avaya, Mimecast и Check Point оштрафованы на 4 и 1 миллиона, а также 990 и 995 тысяч долларов соответственно 🤑 Unisys заплатила больше всех, потому что не только скрыла факт инцидента, но и сознательно принизила его размер 🤐 заявив о том, что "ничего не было". В реальности у нее украли гигабайты данных через внедренную в SolarWinds программную закладку. У Avaya украли корпоративную переписку и часть файлов из облачного хранилища, о чем она скромно умолчала 🤐 У Mimecast украли код и зашифровали часть учетных записей 😬 С Check Point меньше всего ясности - в объяснениях SEC они отделались общими словами и оспаривать штраф регулятора не хотят. Почему? Проще заплатить и идти работать дальше? Или лучше не идти в суд за правдой, чтобы не всплыли неприятные детали взлома? В общем, понятно, что ничего не понятно.
Кейс SolarWinds еще долго будет аукаться и самой компании и ее клиентам, а также клиентам ее клиентов... Ну а мы в очередной раз получаем подтверждение, что ломают всех, даже ИБ-компании, которые также, как и все, зависят от подрядчиков 💡 А как вы контролируете своих подрядчиков?
Ситуация с потерей логов Microsoft 📱 напомнила о необходимости усиленного внимания к журналам регистрации, особенно после прошлогоднего инцидента с взломом почтовых аккаунтов в США китайскими хакерами. Тогда Microsoft подверглась критике за то, что не предоставляла достаточного доступа к облачным логам для клиентов без премиум-аккаунтов Microsoft Purview Audit 🤑 Это могло бы позволить обнаружить взлом раньше. В ответ на критику Microsoft расширила доступ к логам для всех пользователей и увеличила период их хранения с 90 до 180 дней.
Но что делать, чтобы такая история не повторилась или как снизить ущерб в случае ее повтора? 🤔 Я бы начал со следующих шагов:
1️⃣ Создание резервных копий журналов регистрации. Клиенты должны рассмотреть возможность сохранения резервных копий логов в независимых хранилищах для избежания потерь при сбоях в облачных сервисах. Правда, это увеличит расходы на переход в облака, но тут придется выбирать.
2️⃣ Мониторинг логов в реальном времени. Использование решений для контроля состояния облачных сервисов в реальном времени поможет оперативно выявлять подобные сбои и предотвращать последствия или снижать их масштаб.
3️⃣ Увеличение времени хранения логов. Клиентам рекомендуется увеличивать периоды хранения логов для долгосрочного анализа и повышения безопасности. Правда, это не спасет от их потери, но по крайней мере позволит иметь длинную историю до и после.
4️⃣ Регулярные аудиты безопасности. Постоянный мониторинг настроек безопасности и доступности журналов позволит своевременно выявлять проблемы и избегать их в будущем.
5️⃣ Отказаться от сервисов Microsoft 🤔
Вообще, переход в облака, это не такая уж и простая история, как кажется на первый взгляд. Если добиваться схожего уровня сервиса и гарантий, как и в on-prem, то экономии может и не случиться (если ее рассматривать в качестве основного мотиватора перехода в облака) ⛈ В будущем организациям стоит уделять внимание правильной настройке сборщиков логов и использовать имеющиеся облачные и on-prem возможности мониторинга для максимальной защиты своих данных и инфраструктуры 👀
Если верить исследованиям, компьютерные игры 🎮 улучшают когнитивные способности человека, но почти не влияют на его психическое состояние. Физические упражнения, наоборот, улучшают психическое здоровье, но никак не влияют на когнитивные возможности 🥊 "Игры будущего", прошедшие в Казани, комбинировали оба вида соревнований, позволяя развивать обе стороны человеческого организма 🕹
А что если объединить CTF/киберполигоны с пейнтболом? Не сделает ли это специалистов SOC более внимательными и быстрыми на реакцию? 🤔 Готовы к такому на майском PHD3 в следующем году?
Тут подогнали презентации с SOCtech. Если вы там не были, то есть на что посмотреть. Я вот сижу, смотрю...
PS. Заодно и презентации с Positive Security Day подогнали; вдогонку к видео.
На GITEX было прикольное ИБшное место - Cyber Escape Room, где вас запускали в помещение, закрывали за вами дверь и давали 30 минут на то, чтобы выйти из закрытой комнаты 🚪 Квиз, но ИБшный, так как решать надо было чисто ИБшные задачки - найти PIN, взломать пароль и т.п. 🤒 Параллельно давались и ложные приманки - фишинговые ссылки и т.п. Но реализация оказалось не так чтобы серьезной - выход был найден за 12 минут. Но сама затея вполне себе прикольная. Думаю, на PHD попробовать такое реализовать 💡
Читать полностью…Мне тут прислали письмо ✉️ с предложением подать заявку на соискание Премии Рунета (там есть категория по информационной безопасности) 🏆 Все бы ничего, но есть одна странность - чтобы подать заявку на премию, которая присуждается за вклад в развитие российского сегмента сети Интернет, надо заплатить деньги 🤑 Это примерно как "независимый" рейтинг корпоративных ИБ-каналов в Telegram, в который предлагают попасть за копейку малую 🤑 Мне кажется орги слово "вклад" не так трактуют 😂
Я уж как-нибудь обойдусь; тем более, что у меня уже есть Антипремия Рунета, полученная в 2011-м году и свежая "За заслуги в сфере Интернета". Замечу, бесплатно! А платить и не "выиграть" странно. Но если платить и выиграть, то будет ли это вклад в развитие Интернет или вклад в карман организаторов премии? 🤠 Хорошо, что я платную рекламу не размещаю в канале, а то я бы плодил премии каждый день - "За вклад в безопасный понедельник", "За вклад в доверительный вторник", "За вклад в обеспечение надежной среды", "За вклад в четверг без фишинга" и "За вклад в субботнее утро без похмелья" 🏆
Интересный проект от Center for Threat Informed Defence - Attack Flow, который представляет собой, базирующийся на STIX, язык описания цепочек атак 📇 злоумышленников по достижению ими своих целей через комбинацию различных техник MITRE ATT&CK. С помощью Attack Flow можно описывать угрозы и реализующие их группировки, проводить эмуляцию угроз, разрабатывать методы обнаружения и реагирования на угрозы и т.п. Язык позволяет описывать различные действия (в том числе параллельно реализуемые), условия реализации тех или иных действий, комбинирующие операторы И и ИЛИ, активы и т.п. 🔓
В качестве примеры на сайте MITRE Engenuity приведено множество примеров описания с помощью Attack Flow различных атак, инцидентов и группировок - Turla, NotPetya и WhisperGate, взломы Uber, SolarWinds и SWIFT, использование уязвимостей в Ivanti и т.п. 🤕
Интересный проект... Иностранцы активно начинают смотреть в сторону цепочек 🔗 атак, понимая, что борьбы с атомарными событиями обречена на неудачу. Последних становится столь много, что не объединяя их в пути/цепочки, можно потратить множество ресурсов, но так и не добиться нужного результата.
Отечественная киберполиция решила сделать анимационный сериал по ИБ. Подготовлена первая серия про семью Везунчиковых и телефонных мошенников 🍿
Читать полностью…Хорошо, что мошенники немного туповаты и не могут даже разузнать, как выглядят реальные нормативные акты и предписания ФСБ 🇷🇺 Плохо то, что и большинство граждан и организаций этого не знает и ведется на такие вот письма 👮
Читать полностью…В ИТ, да и в ИБ-индустриях, которые исторически были преимущественно мужскими, многие женщины сталкиваются с ограниченными возможностями для карьерного роста 👵 Согласно исследованию, проведенному компанией Acronis, основными проблемами для женщин являются нехватка наставничества, недостаточные условия для поддержания баланса между работой и личной жизнью, а также, в некоторых случаях, культура исключения 👱🏻♀️
Одним из ключевых выводов опроса стало то, что 71% женщин в IT работают сверхурочно 👵, чтобы увеличить свои шансы на карьерный рост. При этом 31% опрошенных женщин считают, что мужчины продвигаются по службе быстрее, несмотря на равное количество выполненной работы 🚶♂️ Это указывает на продолжающееся неравенство, хотя 32% женщин отметили, что считают, что мужчин и женщин на рабочем месте уже оценивают одинаково.
Кроме того, 63% женщин в области IT и кибербезопасности отметили недостаток женского лидерства 👠, а 84% опрошенных уверены, что наличие большего числа женщин на руководящих позициях принесло бы пользу технологическим компаниям 🙂
Вопросы карьерного роста также остаются актуальными. Лишь 34% женщин считают, что программы обучения и развития, доступные для женщин, способствуют их продвижению 👠 Большинство (63%) выделяют такие мероприятия, как мастер-классы и курсы обучения, как наиболее важные для их профессионального развития. Также популярными оказались сетевые мероприятия (58%) и участие в профессиональных организациях (44%). Женсовет по ИБ рулит 🍭
Среди инициатив, которые, по мнению опрошенных, компании могли бы реализовать для улучшения гендерного равенства, на первом месте стоят возможности наставничества (51%), привлечение более разнообразных кандидатов (49%) и равенство в оплате труда (49%) 🤨
Примечательно, что 20% женщин назвали отсутствие возможностей основной причиной, по которой женщины не идут в кибербезопасность. Также 25% отметили, что предпочитают сосредоточиться на создании семьи. Некоторые женщины избегают IT, полагая, что "не впишутся" в мужской коллектив (9%) или не хотят работать в индустрии, где доминируют мужчины (15%) 👠
Наконец, 60% женщин в IT регулярно фиксируют свои достижения для дальнейшего использования при продвижении по карьерной лестнице, что может стать ключом к преодолению существующих барьеров 🤬
Алонна Геклер, вице-президент Acronis, подчеркнула, что привлечение женщин в IT не только важно с точки зрения равенства, но и приносит стратегические преимущества ❤️ Женщины вносят новые идеи и креативные подходы, что улучшает работу команд и повышает конкурентоспособность компаний ↗️
Ну и снова про Bug Bounty, но со знаком минус 🐞 Как пишет SecurityLab, жительница Красноярска обнаружила ошибку на сайте Wildberries, позволяющую получать товары бесплатно 🛒 Девушка воспользовалась багом и оформила заказов на сумму 1,2 миллиона рублей. Любительницу легкой наживы быстро поймали и сейчас ей грозит до 10 лет лишения свободы за мошенничество в особо крупном размере 👮
А ведь если бы багхантерша легально зарегалась в программе Bug Bounty компании Wildberries, то она могла вполне получить 500 тысяч рублей за найденные уязвимости и накупить себе всякого разного 🛍 Да, это меньше 1,2 миллионов, но зато честно и без риска присесть на 10 лет. Так, глядишь, ей бы понравилось и она бы стала постоянной участницей и заработала бы свои миллионы абсолютно честным путем. Но увы... 😡
Как утечки данных влияют на стоимость акций на фондовом рынке 📈📉
Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.
Основные выводы:
➡️После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.
Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.
#breach #business #stock
Сегодня я весь день на "Форуме Будущего" в Екатеринбурге, где у меня будет визионерский доклад про ближайшее будущее кибербеза ☝️, продолжающий прошлогодний рассказ здесь же, а также, по приглашению друзей из компании УЦСБ, модерация трех дискуссионных панелей про технологический суверенитет, ИБ и искусственный интеллект, а также культуру ИБ. Приходите на ИБ-трек - тут точно скучно не будет 🆗
Читать полностью…Очередная модель зрелости SOCов ↗️ На этот раз от Accenture. Вполне очевидные переходы с первого до второго уровня - от мониторинга периметра до использование централизованного сбора логов и событий и даже построения Data Lake 👩💻 Третий уровень вопросов не вызывал бы, если бы не четвертый - автоматизация и продвинутая аналитика. Где-то они меняются местами, так как проводить более глубокий анализ иногда проще, чем реализовать автоматизацию ⚙️
На пятом уровне появляется обнаружение цепочек атак, полная автоматизация, обнаружение инсайдеров 🙂 Последний момент, кстати, интересный, - обычно SOCи и средства мониторинга фокусируются на внешнем враге, на APT. А тут предлагается взглянуть еще и вовнутрь 👀
В начале сентября 2024 года Microsoft 📱 потеряла облачные логи безопасности за несколько недель, на которые клиенты компании обычно полагаются для обнаружения киберугроз 🔍 Microsoft уведомила пострадавших клиентов о том, что инцидент не связан с какой-либо угрозой безопасности (конечно, верим), но его последствия все же оказались ощутимыми 💥
Согласно публичному отчету Microsoft ⛈, причиной инцидента стал сбой в работе внутреннего агента мониторинга компании. Ошибка была вызвана, когда компания попыталась устранить другую ошибку в службе сбора логов (бабка за дедку, дедка за репку). Примерно с 23:00 UTC 2 сентября 2024 года агент мониторинга начал неправильно загружать данные журналов на внутреннюю платформу компании 💭 Это привело к частичному отсутствию указанных журналов для ряда сервисов Microsoft.
Несмотря на попытки компании исправить ситуацию, дважды перезапуская агент или сервер для восстановления сбора данных, часть логов была безвозвратно утеряна 🗑 К 5 сентября команда разработчиков Microsoft внедрила временное решение, которое помогло частично восстановить работу, но не позволило полностью восстановить все утраченные данные 👏
Проблема привела к возможной неполноте данных журналов в следующих сервисах:
1️⃣ Azure Logic Apps (платформенные логи)
2️⃣ Azure Healthcare APIs (платформенные логи)
3️⃣ Microsoft Sentinel (оповещения безопасности)
4️⃣ Azure Monitor (диагностические настройки)
5️⃣ Azure Trusted Signing (неполные логи SignTransaction и SignHistory)
6️⃣ Azure Virtual Desktop (логи в Application Insights)
7️⃣ Power Platform (различия данных в отчетах)
8️⃣ Microsoft Entra (логи входа и активности)
Дополнительно были затронуты логи, проходящие через Azure Monitor и интегрированные в такие продукты безопасности, как Microsoft Sentinel, Microsoft Purview и Microsoft Defender for Cloud. Это повлияло на способность клиентов анализировать данные, обнаруживать угрозы и генерировать оповещения о безопасности 🤦♂️
Не скажу, что белорусский ОАЦ подгадывал выпуск своих рекомендаций по ИБ к минскому SOCcon, но я увидел этот документ в Интернете буквально на днях. Разбит на 5 частей:
1️⃣ Ответственные лица
2️⃣ Требования по ИБ для общедоступных ПДн и общедоступной информации, а также критически важных объектов (проектирование, создание, аттестация СЗИ и защита при выводе из эксплуатации)
3️⃣ Мониторинг ИБ и реагирование на инциденты
4️⃣ Взаимодействие с ОАЦ (по аналогии с российской ГосСОПКОЙ)
5️⃣ Функционирование национального CERT и локальных CSIRT от SOC
CISA добавила в список трендовых уязвимостей новую дыру CVE-2024-23113 в МСЭ Fortinet, которая позволяет выполнять удаленные команды и код без аутентификации. В России таких устройств было 444 еще несколько дней назад - сейчас "всего" 143 (в Беларуси - 38, в Казахстане - 226, в Узбекистане - 66, в Кыргызстане - 6, в Армении и Грузии - 35 и 53 соответственно). Всего же уязвимых устройств Fortinet в мире сейчас больше 86 тысяч. Думаю в Даркнете сейчас появится немало предложений по доступу в скомпрометированные через данную уязвимость компании и организации.
Цифры по России подтверждают исследование ЦСР, в котором говорится, что в России все еще используются решения иностранных вендоров, а продукция Fortinet входит в 10-ку самых распространенных.
Стажер в компании ByteDance 📱, Кейю Тянь, на протяжении двух месяцев саботировал проект по разработке нейросетей, умышленно внося ошибки в код 🧑💻, что привело к серьезным задержкам и срыву проекта. Его действия нанесли ущерб как команде разработчиков, так и репутации компании, а также вызвали бурную дискуссию на тему, поднятую еще Маяковским, "Что такое хорошо и что такое плохо" 🤔
Из интересного:
💀 Вредоносный код. Тянь загружал Pickle-файлы с скрытым вредоносным кодом, который содержал вирусы и выполнялся случайным образом. Это запутывало команду, так как ошибки возникали стихийно и не поддавались объяснению.
💀 Нарушение работы PyTorch. Тянь получил доступ к библиотеке PyTorch и регулярно вносил мелкие изменения в ее код, что приводило к сбоям в работе нейросетей. Разработчики не проверяли исходный код библиотеки, из-за чего задачи продолжали завершаться с ошибками, а эксперименты давали некорректные результаты.
💀 Манипуляции с чекпоинтами. Он изменял или удалял файлы чекпоинтов, которые сохраняют промежуточные состояния нейросетей во время обучения. В результате этого важные данные пропадали и не могли быть восстановлены.
💀 Участие в митингах. Тянь активно участвовал в командных встречах, где узнавал о планах команды по устранению багов, а затем создавал новые ошибки. Благодаря этому он оставался незамеченным на протяжении долгого времени.
💀 Обнаружение. В конечном итоге Тянь был разоблачен через анализ логов. Его действия привели к двум месяцам безрезультатной работы тридцати разработчиков, что сорвало сроки и привело к потерям для компании.
💀 Последствия. Хотя Тянь был уволен, его университетские наставники не предприняли против него дисциплинарных мер и не осудили его деструктивных действий.
Что можно сказать в качестве выводов и какие рекомендации можно было бы дать, если бы спросили меня (но меня не спросили):
1️⃣Внедрение строгого контроля кода. Инцидент подчеркивает важность регулярного аудита и проверки кода, особенно в крупных проектах с критической важностью для бизнеса. Недостаток контроля позволил одному человеку причинить значительный ущерб команде и проекту.
2️⃣Прозрачность и документирование изменений. Все изменения в ключевых библиотеках и компонентах проекта должны быть тщательно отслеживаемы и проверяемы, чтобы избежать подобных ситуаций.
3️⃣Повышение безопасности и доверия внутри команды. Участие стажера в саботаже подчеркивает необходимость тщательного подбора сотрудников и создания механизмов раннего выявления подозрительных действий.
4️⃣Обучение и ответственность. Работодатели и университеты должны уделять внимание воспитанию этики среди студентов и сотрудников, чтобы предотвратить деструктивные действия в будущем.
У нас на грядущей через 10 дней SOCcon в Минске будет как раз тема интеграции двух направлений - SOC и AppSec/DevSecOps. Ну а пока я задам сакраментальный вопрос - у вас же такой кейс предусмотрен в модели угроз? 🤔