Три интересных новости попались мне относительно искусственного интеллекта. Во-первых, в Японии 🇯🇵 осудили первого человека, которого обвинили в использовании ИИ для разработки вредоносного кода 🦠 Ему дали 3 года и на 4 года отстранен от должности. Однако полиция считает, что никакого вреда обвиняемый своим творением нанести не успел. Но сам факт заслуживает внимания. Тем более, что в сентябре исследователи HP уже писали об обнаружении ими в "дикой природе" вредоноса, предположительно написанного с помощью ИИ. Скоро фишки вредоносов с распознаванием образов (OCR) на базе ИИ на борту (как, например, в случае с Rhadamanthys) покажутся нам детским лепетом.
Вторая новость связана с проектом AI Honeypot 🍯, который должен ответить на вопрос - как активно используется ИИ при проведении атак. Созданная ловушка содержала явные уязвимости, что не могло не привлечь к ней внимание плохих парней, которых по ходу препарировали, пытаясь выяснить, есть ли среди них роботы 🤖 Что интересно, из полутора миллиона атак всего 6 было отнесено к, вероятно, инициированными ИИ-агентами.
А вот третьему исследованию я уделю больше внимания. В нем проанализировали 243 инцидента, связанных с безопасностью ИИ 🧠 в период с 2015 по 2024 годы. Результаты оказались неожиданными - большинство из них - не специфические для ИИ атаки, а обычные проблемы кибербезопасности, которые затрагивают компании и программное обеспечение, работающие с ИИ:
🔤 Около 89% инцидентов были демонстрациями исследователей или легальными проверками, а не реальными атаками злоумышленников 🔓
🔤 Только 17,7% составляют настоящие атаки, специфические для ИИ
🔤 Инъекция через запросы, включая случай с чат-ботом Chevrolet
🔤 Манипуляция моделями, как в инцидентах с ChatGPT или HuggingFace
🔤 Вмешательство в данные для обучения, как, например, в истории с ByteDance или Protiviti
🔤 Adversarial (ну это известная классика).
🔤 Большая часть (82,3%) инцидентов связана с традиционными уязвимостями в ИИ-программном обеспечении, которые ошибочно называют "уязвимостями ИИ"
🔤 Утечки данных, например, инциденты с Clearview AI и Removal.ai
🔤 Хищение ресурсов, как в случае с Anyscale Ray
🔤 Ошибки конфигурации облаков, которые привели к утечке данных ⛈, как в кейсе Replicate AI
🔤 Проблемы с безопасностью API, как, например, в инцидентах Vanna SQL или Google Coude Vertex AI.
Исследователи сделали три основных вывода:
1️⃣ Доминирование традиционных уязвимостей. Распространенные проблемы включают доступ к файловым системам, уязвимости аутентификации и проблемы с API. Например, инцидент с Anyscale Ray в 2024 году показал, как через незащищенную точку доступа API были скомпрометированы ресурсы на почти один миллиард долларов 💰
2️⃣ Растущее число атак, специфичных для ИИ. Хотя такие атаки пока редки, их количество увеличивается. Примеры включают инъекцию команд (например, случай с чат-ботом Chevrolet в 2024 году) и кражу датасетов и ML-моделей 🤒
3️⃣ Наибольшая угроза — инфраструктурные уязвимости. Сюда входят хищение ресурсов, утечки данных и ошибки конфигурации облаков. Например, в мае 2024 года контейнерный реестр Replicate AI был открыт для загрузки вредоносных файлов 🤒
Обнаружено, что уязвимости в программных фреймворках для разработки ИИ стали частым явлением. Злоумышленники также создают вредоносные модели ИИ, надеясь на их загрузку другими пользователями. Это тенденции этого, 2024 года 🔮
Основной вывод из этих трех новостей можно сделать один - компании могут неправильно ⚠️ распределять свои ресурсы, сосредотачиваясь на экзотических угрозах ИИ, игнорируя базовые проблемы безопасности, связанные с отсутствием процесса управления уязвимостями и безопасной разработки. Это ведет к ложному ощущению новизны и отвлекает от решения фундаментальных проблем 🛡 И хотя специфические атаки на ИИ реальны и их число растет, именно традиционные уязвимости пока остаются основной угрозой для компаний.
Оно, конечно, ничего нового, но тут в одной статье вывели 10 ключевых проблем, с которыми сейчас сталкиваются CISO. Не так чтобы там были какие-то откровения, но вдруг вы о чем-то не знали, а для вас это проблема или она станет таковой в ближайшее время:
🔤 Расширяющийся ландшафт угроз. Увеличение количества и сложности атак, а также существенное расширение ИТ/ОТ-инфраструктуры.
8️⃣ Изменяющаяся среда. Необходимость оперативно адаптировать защиту под постоянно изменяющиеся требования бизнеса, поддерживая его развитие и не мешая ему.
🔤 Рост регуляторных требований. Многочисленные и часто конфликтующие требования законодательства.
🔤 Риски третьих сторон. Уязвимости поставщиков и участников цепочек поставок, которых компании не контролируют напрямую.
🔤 Ответственность за результат. Растущая персональная и юридическая ответственность CISO за защиту данных.
🔤 Безопасность ИИ. Необходимость защищать данные и инфраструктуру при использовании и развитии технологий ИИ.
🔤 Угрозы, связанные с ИИ. Использование ИИ злоумышленниками для усиления атак.
🔤 Ограниченные ресурсы. Нехватка кадров и финансов на фоне дефицита специалистов.
🔤 Роль безопасности в организации. Безопасность по-прежнему воспринимается как технический аспект, а не часть бизнеса.
🔤🔤 Операционное совершенство. Поддержание необходимого уровня безопасности и быстрая адаптация к новым угрозам и технологиям.
И хотя эта статья была опубликована в американском издании, эти проблемы актуальны и для нас, даже 6-я.
В свежем исследовании "Insights and Current Gaps in Open-Source LLM Vulnerability Scanners: A Comparative Analysis" проводится анализ существующих сканеров уязвимостей в различных LLM 🧠 Было протестировано 15 сканеров - CyberSecEval, HouYi, JailBreakingLLMs, LLMAttacks, Garak, Giskard, Prompt Fuzzer, PromptInject, Prompt-foo, LLMCanary, Agentic security, PyRIT, LLMFuzzer, PromptMap и Vigil-llm и затем из них выбирали тех, кто соответствовал трем критериям: 👉
1️⃣ Качество базы тестов
2️⃣ Частота обновлений
3️⃣ Открытый код с активным комьюнити.
В итоге в финальную выборку вошли всего 4 сканера 🤕 - Garak, Giskard, PyRIT и CyberSecEval, которые тестировали 35 атак, разбитых на 5 категорий, включая джейлбрейк и написание вредоносного кода. Тестировали эти сканеры против 4 LLM - Meta LLaMA 3, Cohere Command-R, OpenAI GPT-4o и Mistral Small 📱
У каждого из 4-х сканеров были выявлены свои преимущества. Например, Garak имеет невысокую кастомизацию, чего не скажешь о PyRIT, который позволяет редактировать все инструкции, но при этом требуют глубоких знаний prompt engineering. Giskard идеален для тестирования в динамичном окружении с минимальным ручным вмешательством. CyberSecEval при этом хорош при тестировании LLM, помогающих в написании кода 🧑💻
Если вы развернули у себя в компании собственную LLM, хоть и на базе какой-нибудь LLaMA, то при проведении тестов на проникновение стоит включить в scope и ее. Это подсказывает не только здравый смысл, но и направления развития ИБ-регуляторики в нашей стране 🤔
Надо признать, что в среде специалистов так до сих пор и не пришли к единому мнению насчет различий между пентестом и red team... ⚖️ Поэтому одни, реализуют пентест, который выходит за рамки стандартных практик, а другие запустив фишинговую атаку, уже называют это red team'ингом. Но нужен ли тут стандарт, описывающий минимально необходимый набор действий хотя бы при пентесте?.. У меня нет на этот вопрос ответа. Как рекомендации вполне может быть ✍️
Но тогда уж и вообще попробовать четко зафиксировать все варианты оценки защищенности, их предназначение, предполагаемые результаты, области действия и т.п. 😵 А то помимо пентестов и red team'инг, у нас еще есть bug bounty, инструментальная проверка защищенности, аудиты, APT bug bounty и т.п., к которым еще иногда добавляют то слово "непрерывный", то "next generation"... 🤕
В Италии 🇮🇹 разразился крупный скандал, связанный с утечкой конфиденциальных данных высокопоставленных политиков, включая президента Серджо Маттарелла и экс-премьера Маттео Ренци. Главный обвиняемый — 44-летний IT-консультант Нунцио Самуэле Калауччи, который ранее заявлял о взломе Пентагона в составе группы Anonymous 🥷
Работая с командой программистов над базами данных для Министерства внутренних дел, он использовал ночное время для кражи приватной информации через уязвимости в серверах 😵 Утром - ты честный и пушистый, а ночью - гроза Интернета. Когда на недавнем интервью для CyberYozh меня спрашивали, много ли известно случаев, когда ИБшники уходят на темную сторону, я сказал, что нет, немного, но они есть. Этот кейс из таких. Как и недавний кейс с индийским CISO, приторговывающим данными своего работодателя 📱
По данным следствия, утечка данных осуществлялась с помощью вируса, позволяющего удаленно контролировать серверы, и при участии инсайдеров 🔺 Калауччо работал на компанию Equalize, возглавляемую бывшим полицейским Кармине Галло 👮♂️, который и руководил этой схемой и использовал данные для шантажа и продажи. С 2019 года по март 2024 года группа заработала более €3,1 млн. Тут, конечно, странная сумма звучит. Всего 3 миллиона? За пять лет, которые промышляли преступники? Кто-то что-то недоговаривает 🤐
Скандал вызвал резонанс в политическом мире. Министр иностранных дел Антонио Таяни назвал случившееся "угрозой демократии", а глава Сената Игнацио Ла Русса заявил о своем шоке и негодовании 😱 Политическая оппозиция требует проведения парламентского расследования и объяснений от премьер-министра Джорджи Мелони, так как информация утекла из Министерства внутренних дел 😱
А ведь совсем недавно, свеженазначенный глава всея ИБ Италии Фраттази называл именно Россию главной угрозой кибербезопасности страны. Эвона как получилось неудобно - в своем глазу бревна не увидать... Кроме того, партия "Братья Италии" 🇮🇹 призвала к ужесточению законодательства и повышению наказаний за киберпреступления, а национальное управление по защите данных запустило специальную группу для анализа безопасности баз данных страны. Может еще чего интересного найдут...
Известный на Западе специалист по ИБ Айра Винклер (Ira Winkler) написал открытое письмо руководству ISC2, которая управляет сертификацией CISSP, и которая подверглась критике за неверное представление данных о рынке труда в области кибербезопасности 🤮 Директор ISC2, Дебра Тейлор 🤢, ссылаясь на доклад 2023 Workforce Study, заявила, что миру требуются более 1 миллиона специалистов по кибербезопасности, но анализ данных показал, что этот разрыв не отражает реальные вакансии.
Айра Винклер подробно анализирует ситуацию с ISC2, приводя следующие доказательства:
💀 Несоответствие данных. Ссылаясь на данные из отчета ISC2, автор отмечает, что информация о разрыве в 4,8 миллиона специалистов не отражает реальные вакансии. В документе говорится, что этот разрыв — это оценка потребности в людях, необходимых для защиты организаций, а не фактические вакансии ⚖️
💀 Стагнация на рынке труда. ISC2 сама признала, что прирост специалистов в глобальном масштабе составил всего 0,08% за год, что противоречит заявленному росту спроса 📊
💀 Значительная потеря рабочих мест. В Северной и Латинской Америке, а также в Европе потеряно около 60 000 рабочих мест, что свидетельствует о стагнации или даже снижении спроса на специалистов 📉
💀 Малый шрифт и недосказанность. ISC2 включила дисклеймер о том, что это лишь оценка потребности, а не реальный спрос на специалистов, но специально сделала это мелким шрифтом.
💀 Реакция сообщества. Автор приводит мнения бывших членов совета и сотрудников ISC2, которые поддержали его критику и выразили недоверие к организации.
💀 Риск репутации. Упоминается, что данная ситуация привела к обсуждению возможности коллективного иска, что подтверждает серьёзность проблемы 😱
Эти аргументы показывают, что ISC2 продвигает недостоверные данные о рынке труда, что наносит ущерб её репутации и вводит в заблуждение потенциальных кандидатов. Айра Винклер считает это либо неэтичным поведением, либо некомпетентностью ISC2 и предлагает прекратить вводящую в заблуждение практику ⛔
Вампир-вымогатель: плати или останешься в темноте
Он пришел без предупреждения 🧛, заблокировав каждый файл, каждый доступ, словно замок захлопнулся и все ключи потеряны. Рансомвэр-вампир 😈 Его холодное дыхание ощущалось в каждом углу системы. "Плати, или твои данные останутся в темноте навсегда," – шептал он, не оставляя ни малейшего шанса на спасение. Единственная надежда – выкуп, но кто знает, что еще он потребует?.. 👅
Кибер-зомби: пароли из прошлого
Они говорили, что слабые пароли давно ушли в прошлое 🙅♂️ Но в ночи, среди шорохов старых серверов, снова и снова появлялась тень. Старые, забытые логины, заполненные легкодоступными паролями, вылезали из самых глубоких архивов системы. 123456... password... qwerty… Привычные слова 😮 внезапно превратились в двери для цифровых зомби, которые поднимались из прошлого и безмолвно атаковали. Зомби паролей шли бесконечным потоком, пока не разрушали каждый замок, подчиняя себе всё 📍
Интересно, эксперты «в полях» 👨💻 и ученые-теоретики 🧑🔬 имеют разную оценку того, какие угрозы на базе ИИ наиболее вероятны и опасны. Депутаты Ученые на первое место ставят дипфейки 🎭, а реалисты не включают их даже в десятку 🤔
< Какое будущее ждет защитников цифрового мира
В октябре в Дубае прошла крупнейшая IT-выставка Ближнего Востока — GITEX GLOBAL 2024. Свои технологии представляли сотни компаний со всего мира, в том числе и Positive Technologies 😉
Робоголова Йорик, летающие автомобили, китайский и индийский кибербез — о том, что было показано на выставке, специально для Positive Hack Media рассказал Алексей Лукацкий.
🤖 Смотрите экскурсию и узнавайте, к каким киберугрозам нам стоит готовиться в будущем (и, на самом деле, в настоящем)!
@PositiveHackMedia
В третьем квартале 2024 года инвестиции в стартапы в области кибербезопасности значительно сократились 📉 Общий объем финансирования составил $2,1 млрд, что на 51% меньше, чем $4,3 млрд во втором квартале. Число сделок также упало до 116, что является самым низким показателем с 2013 года. Отсутствие крупных сделок и сезонные колебания усугубили спад 📉. Инвесторы по-прежнему заинтересованы в отрасли, но рост интереса к ИИ отвлекает внимание от кибербезопасности (а если ИИ в ИБ). Особенно сильно падение коснулось израильских стартапов (удивительно) 🇮🇱 Аналитики ожидают, что инвестиции восстановятся в будущем, но это потребует времени.
ЗЫ. А в другом отчете написано, что многие публичные ИБ-компании отказываются от своей публичности и переходят в разряд частных компаний, что дает им больше возможностей по развитию и меньше контроля извне. Но и меньше заемных денег на развитие. Так что тоже непростой вопрос... ❓
⚠️ Выявленные уязвимости могут быть устранены только путем физической замены десятков тысяч светофоров в Голландии, что произойдет не раньше 2030 года ⚠️
Тут отчет выпустили, в котором сообщается, что десятки тысяч светофоров в Нидерландах 🇳🇱 оказались уязвимыми для хакеров. Исследование, проведенное компанией Cybersprint, выявило слабые места в системе управления дорожным движением, которые могут позволить злоумышленникам взломать светофоры и изменить их работу 🚦 Основные проблемы связаны с отсутствием обновлений, использованием слабых паролей и уязвимостями в программном обеспечении. Эти уязвимости могут привести к серьезным последствиям для безопасности дорожного движения, включая создание аварийных ситуаций 💥
Эксперты предупреждают, что, хотя прямых атак на светофоры пока не зафиксировано, потенциальный риск для инфраструктуры остается высоким 🔝 Специалисты по кибербезопасности рекомендуют муниципалитетам и операторам усилить защиту систем, обновить программное обеспечение и внедрить более строгие требования к паролям 🛡
Светофоры и другие элементы дорожной инфраструктуры 🚧 становятся все более уязвимыми по мере их интеграции с интернетом, что открывает новые возможности для хакеров. В отчете подчеркивается необходимость улучшения киберзащиты в сфере критически важной инфраструктуры 🔓 Без своевременных мер по защите устройств и регулярных проверок безопасности проблемы могут привести к значительным перебоям в работе транспортных систем 🚑
Хочу отметить, что в пакете спутникового ТВ 📡 каналы ВГТРК так и не появились. А уже прошло три недели с момента атаки на ресурсы телерадиокомпании. В приложении KION той же компании каналы присутствуют 🤔 Анализ форумов и чатов техподдержки по другим нашумевшим кейсам последнего времени показывает, что компании восстанавливают свои основные функции не менее 10 дней, а некоторые и поболе ⏳
Читать полностью…Проект CVE на днях отпраздновал свое 25-летие, начав с 321 записи в 1999 году и достигнув почти 29 тысяч в год в 2024-м (велик шанс, что в этом году будет достигнута планка в 30 тысяч записей). Проект хороший, но последние события (да-да, я про исключение мейнтейнеров Linux, работающих в подсанкционных компаниях) показывают, что все разговоре о свободе и благе для всех заканчиваются, когда речь заходит о геополитике. Когда я 9 лет назад выступал на тему "А что если нас завтра отключат от CVE?" многие поднимали меня на смех, но вот уже 2024 год и многие прогнозы сбываются.
Китайцы пилят свою базу, европейцы начали тоже, у нас есть БДУ... Видимо мы вплотную подошли к тому моменту, когда балканизация ИТ будет неизбежна. Это один из сценариев развития, который предсказывается разными аналитиками, и он все ближе. США, Китай, Россия - три больших блока, которые создают свое - свои операционки, свое железо, свои средства защиты, свои open source проекты (как бы странно это не звучало), свои базы знаний... Еще немного и протоколы у всех будут свои. Ну или выход в зарубежных Интернет только при наличии визы разрешения.
В издательстве «Бомбора» в конце года должна выйти книга 📖 известного специалиста в области информационной безопасности Адама Шостака (Adam Shostack), которая вышла в прошлом году и в оригинале называется «THREATS. What Every Engineer Should Learn from Star Wars» 🛸 На Хабре опубликован обзор этой книги от ее переводчика, человека с сорокалетним стажем в области ИТ и перевода.
Так как я давно интересуюсь темой моделирования угроз, а Шостак является одним из самых известных специалистов в этой сфере, написавшим ✍️ до последней книги еще как минимум одну, а также сотворившего множество статей и презентаций, то я ознакомился с книгой Адама еще в оригинале. Не могу сказать, что я со всем согласен, что он пишет 🤓 И не все моменты он прям так уж подробно и понятно разъясняет. Но в любом случае его книга занимает достойное место в моей виртуальной библиотеке.
Так что рекомендую следить за анонсами издательства и купить книгу по мере ее выхода 🤑 Ну или я про это напишу, когда узнаю о выходе книги. Все-таки "издательство предполагает, а Байден располагает". Перевод и публикация книг американских авторов - сейчас занятие непростое и непредсказуемое 🤷♀️
ЗЫ. Помню кейс, когда одна отечественная компания перевела 10 стратегий построения SOC Циммермана на русский язык, но так и не смогла опубликовать его, не получив разрешения от правообладателя 🖕 А уже выложенные переведенные главы даже пришлось удалить с сайта. Сейчас, может быть, можно уже было бы и выложить этот перевод вновь, но тут решать тем, кто переводил ✍️
Ну что, тема ИБ идет в массы. Вот и на Минаев Live теперь ▶️ Да, не Дудь, не Бузова и не иные популярные блогеры и тиктокерши, но уже движение в правильном направлении ➡️
Читать полностью…🔄 Вышла новая версия ATT&CK v16, в которой MITRE сосредоточила свои усилия на создании баланса 🎮 между интересами разных категорий специалистов по ИБ. Обновлений сделано достаточно много и среди них:
1️⃣ Обновления для облачных сред. В новой версии реанимирована облачная ⛅ матрица, включающая теперь четыре платформы - IaaS, SaaS, Identity Provider и Office Suite (Azure, AD, Google Workspace и Office 365 были удалены), что обеспечивает ясное различие функций, например, Azure AD теперь входит в Identity Provider. Это помогает улучшить навигацию и обеспечить практическое применение для специалистов по мониторингу 👀
2️⃣ Нововведения в техниках. Добавлены новые техники, такие как T1496.004, где злоумышленники могут использовать скомпрометированные приложения SaaS для отправки спама ❗️ и истощения ресурсов. Также появилась техника T1666, описывающая изменение иерархии облачных ресурсов, чтобы уклониться от защитных механизмов 💭 Помимо них добавлены T1546.017: Event Triggered Execution: Udev Rules и T1558.005: Steal or Forge Kerberos Tickets: Ccache Files, а также T1557.004: Adversary-in-the-Middle: Evil Twin, T1213.004: Data from Information Repositories: Customer Relationship Management Software и T1213:Data from Information Repositories: Messaging Applications. Всего было добавлено 19 новых техник (только в Enterprise), внесены изменения в более чем 100 техник.
3️⃣ Обнаружение и защита. В v16 добавлено более 200 примеров псевдокода, помогающего обнаруживать 🔍 многие из описанных техник - для выполнения (85 примеров), доступа к учетным данным (120 примеров псевдокода) и работы с облаком (26 примеров). Также внедрен скрипт на Python для быстрого извлечения псевдокода обнаружения 🔎
4️⃣ Новая защитная мера. Out of Band Communication для обеспечения безопасности в случае компрометации сети 🕊
5️⃣ Киберразведка. Обновлены данные о 6 кампаниях и об 11 группах 🇷🇺 В раздел Software добавлено описание 33 новых инструментов, используемых злоумышленниками. Теперь в матрицу включено описание 844 инструментов, 186 групп и 42 кампаний 🇺🇸
6️⃣ Инфраструктура и инструменты. Представлен новый сервер TAXII 2.1, который позволяет пользователям развернуть его в своих организациях. TAXII 2.0 будет закрыт в декабре, и пользователи должны будут перейти на новую версию для получения актуальных данных.
Издание Politico продолжает подбрасывать дровишки в разгорающийся хакерский скандал, о котором я написал вчера и который, по всей видимости, выходит далеко за пределы страны 🇮🇹 и затрагивает такие государства, как Израиль, Ватикан, Великобританию и Литву. По данным утечек из полицейских прослушек 📞, миланская фирма Equalize, занимающаяся частными расследованиями, использовалась для взлома государственных баз данных и получения конфиденциальной информации о финансовых операциях и следственных делах. Среди клиентов компании оказались израильские спецслужбы и Ватикан, что подтверждается записями телефонных разговоров, попавшими в руки итальянских СМИ 📰
Основным фигурантом дела является IT-консультант Нунцио Самуэле Калауччи, который, по утверждению следователей, управлял этой операцией. В феврале 2023 года он встречался с двумя израильскими 🇮🇱 агентами в офисе компании в Милане для обсуждения задания на сумму в €1 миллион. Целью операции был взлом 🔓 данных ряда российских целей, включая близкого соратника президента Путина, а также отслеживание финансовых потоков, связанных с ЧВК Вагнер. Итоговые данные предполагалось передать Ватикану 🇻🇦
❗️Сюр какой-то. Евреи нанимали хакера, ломавшего Пентагон в составе Anonymous, для взлома соратника Путина и ЧВК Вагнер для передачи этих данных Ватикану?!!...❗️
Причины участия Ватикана 🛐 и израильских спецслужб остаются неясными, но их присутствие значительно расширяет масштаб расследования. Израильское посольство в Риме отказалось от комментариев, а Ватикан 💒 не ответил на запрос журналистов Politico. Я бы тоже, если честно, на такую пургу не ответил бы. Ну нахрена Израилю нанимать частника в Италии? У них же своих квалифицированных ребят немало 🥷
Также интересно, что израильские представители предлагали обмен информацией, включая оригинальные документы по скандалу с подкупами в Европарламенте, известному как Qatargate 🇪🇺 Кроме того, они предлагали данные, которые могли бы помочь компании Eni в защите ее интересов, связанных с контрабандой иранского газа 🇮🇷
❗️Сюр номер два. Ладно, найм хакера за деньги. Это я еще могу понять. Но когда израильские спецслужбы предлагают обмен секретными документами с частником?!.. Это вообще как? ❗️
Политики Италии выразили серьезное беспокойство по поводу международного масштаба скандала 💥 Сенатор Иван Скалфаротто заявил, что вовлеченность иностранных акторов добавляет стратегические риски для страны. Министр иностранных дел Антонио Таяни 😱 назвал произошедшее "недопустимым" и приказал создать рабочую группу для защиты министерства и посольств Италии. Следствие также расширяется на Великобританию и Литву - в материалах упоминаются сервера в этих странах и потенциальные действия хакеров из английского Колчестера 🇬🇧
ЗЫ. Если первая статья в Politico вызвала у меня удивление, но в целом она укладывалась в мою картину мира, то нынешний журналистский опус ✍️ как-то уже выходит за рамки очевидного и вероятного. Слишком уж неправдоподобно все это звучит. Но внимание явно притягивает. И, возможно, уводит его от чего-то другого, что хотят скрыть в Италии... 🤔
Я достаточно давно выступаю на позиции, что рынок киберпреступности 🥷 - это такой же рынок, как и все остальные, и живет он по обычным экономическим законам. Он перенимает все самое лучшее из мира легального, отбрасывает все неудобное и неэффективное, выкристализовывая только то, что позволяет зарабатывать деньги 🌐 А деньги можно зарабатывать либо путем привлечения все новых и новых клиентов, либо удержанием старых, которым надо показывать какую-то ценность, формировать доверие к себе. И на нелегальные и преступные продукты и сервисы это тоже распространяется 🎩
И вот новый пример - черный рынок 👺 (правда, наркотиков, не киберпреступности) вводит механизм "тайного покупателя", которые будут следить за качеством предлагаемых "продуктов" и "хорошие" продавцы будут помечаться в даркнете соответствующей иконкой 💰, подтверждающей качество продукции, которой можно "доверять". Думаю, что такая история может быстро перетечь и на рынок киберпреступности, где продавцы также борются за покупателя 🟦
29 октября хакерская группа Ukrainian Cyber Alliance заявила о взломе и уничтожении инфраструктуры Тверской администрации 🔓 Помимо всего прочего пострадала и система взимания оплаты за парковку 🅿️, которая не работала с 29-го по 31 октября. Если попробовать перевести потери бюджета от простоя парковок в деньги, то получится следующая арифметика:
1500 парковок (я округлил, в феврале этого года было 1387) по 30 рублей в час, то есть чуть больше 2-х миллионов рублей при полной круглосуточной загрузке. И хотя более половины сборов в бюджет от платных парковок – это штрафы за неуплату, это не сильно изменит сумму потерь 💰
Фишинг с глубокого озера
Говорят, что в глубинах цифрового озера обитают опасные существа 😱 Их зов трудно услышать, но они пленяют тех, кто оказался неосторожен. Эти сирены фишинга шлют заманчивые письма, притворяясь надёжными коллегами или давно потерянными друзьями. Их слова – словно песня, обещающая доступ к сокровенным данным, безмятежный доступ к скрытым файлам 😘
Ты видишь письмо, думаешь, что это просто запрос или уведомление. Но как только нажимаешь на ссылку, цифровая сирена 🤔 хватает тебя, утягивая в тёмные воды, из которых уже нет выхода. Она впивается в твою информацию, вытягивая всё, что было сокрыто, и оставляя после себя только пустоту. Лишь эхо её зловещей мелодии, шёпот слов, которые предостерегают: "Не все данные стоят твоей доверчивости…" 👋
Крипто-вампир: он высосет все твои средства
Глубокой ночью, когда город погружался во мрак, он 🧛♂️ подкрадывался к тем, кто доверил свои средства виртуальному миру. Крипто-вампир 🧛♀️ В одно мгновение ты видел все свои активы в кошельке, но следующее нажатие – и твои средства начинали истекать, словно кровь под клыками вампира 🧛 Один за другим токены исчезали, пока вампир не насытился. И на экране появилась надпись: "Твои средства – теперь мои…" 🦇
Призрак утечки данных
В темноте тихого офиса, когда все сотрудники уже ушли домой, в воздухе повисла странная тишина 😄 Серверная комната, обычно наполненная ровным гулом техники, вдруг замерла. Охранник, проверяющий помещения, уже собирался выключить свет, как вдруг заметил мерцающее свечение, словно тени данных ожили 👻
Тихо, будто сквозь сеть, возник силуэт – нечто прозрачное и зловещее 👻 Это был Призрак утечки данных. Он скользил между серверами, касаясь экранов холодными, невидимыми руками, и в его призрачных пальцах появлялись странные символы – пароли, документы, личные переписки. Он тащил эти фрагменты данных за собой, будто нити паутины, оставляя за собой цифровые следы, едва видимые глазу ☠️
"Что ты хочешь?!" – крикнул охранник, дрожащим голосом наблюдая, как файлы буквально утекают сквозь призрака, исчезая в цифровом небытие 👻
Но Призрак утечки данных не ответил 👻 – он был занят. Его безликое лицо озарила жуткая улыбка, пока он скрывался в темноте, оставляя за собой пустые экраны и полное отсутствие конфиденциальности. Только пустое эхо его зловещего шепота: "Никакие пароли тебя не спасут…" 👻
PS. Госдума тут решила провести ребрендинг Хеллоуина, переименовав его в "Ночь таинственных историй". Тот редкий случай, когда идея депутатов навела меня на что-то положительное. Решил написать несколько таинственных историй, разделив их между своим Telegram (/channel/alukatsky), VK (https://vk.com/id95181438), Instagram (https://www.instagram.com/alexeylukatsky/) и Facebook (https://www.facebook.com/alexey.lukatsky). Кто соберет их все?
Из моих виртуальных дневников. 9 лет назад. Хорошая ведь идея 💡 Но тогда к ней никто не был готов. А сейчас, после WAF-дня в Кибердоме (независимого тестирования WAF без предварительного согласования результатов с вендорами 🤬), можно было бы и попробовать. Дать на вход набор кода и вперед 👉
Читать полностью…А мы тут прикольную визуализацию по защите инфраструктуры замутили 🛡 Кто придет на минский Positive SOCcon в первых рядах (тираж, как обычно, ограничен), тот получит физическое воплощение этой визуализации 💎
Читать полностью…Как и планировалось, Delta 🛩 подала иск к CrowdStrike за сбой, связанный с неудачным обновлением ПО ИБ-компании 👨💻, и понесенными потерями в полмиллиарда долларов, которые получились в результате отмены 7000 рейсов с 19 по 24 июля, которая затронула 1,3 миллиона пассажиров ✈️
Авиакомпания официально насчитала, что она недосчиталась 380 миллионов долларов за возврат средств клиентам 🤑 за отмененные рейсы и еще 170 миллионов было потрачено на восстановление. 50 миллионов долларов было сэкономлено за счет простоя самолетов ✈️ При этом против Delta сейчас начато расследование, а также предъявлено несколько исков, например, вот. Так что потери на круг могут быть еще больше 💸
При этом CrowdStrike считает, что они несут ответственность не более, чем за 10 миллионов. И вообще, это Delta сама виновата 🖕, что отказалась от помощи CrowdStrike. И понять CrowdStrike можно - против них сейчас много исков возбуждено, например, раз, два, три. И если каждому платить запрошенное, то можно прикрывать лавочку ⛔
Но кейс интересен не суммой, а тем, что при любом исходе он может последствия на ИБ-отрасль. Если CrowdStrike 🦃 будет признана виновной, то этот прецедент поднимет вопрос об ответственности всех ИБ- и ИТ-компаний при похожих инцидентах. А вот если суд встанет на сторону CrowdStrike, то у клиентов может начаться отторжение к ИБ-продукции. Так что будем посмотреть 🤔
ЗЫ. Обратите внимание, что Delta посчитала не только потери, но и выгоды от инцидента (в виде экономии на топливе). Это хорошо иллюстрирует, что любой инцидент несет не только негативный окрас, но может иметь и положительные последствия.
Не могу не поделиться записью своего выступления на GITEX Global 2024 🍃, которая подтверждает то, что я написал после своего выступления в Сан-Паулу (Бразилия). Не надо бояться, надо пересиливать себя и тогда перед вами откроется истина, которая звучит очень просто - не важно как вы говорите на иностранном языке, важно - умеете ли вы пользоваться инструментами искусственного интеллекта 😂
ЗЫ. Правда, это истина справедлива пока только для записанных видео или для онлайн-трансляций - в остальных случаях язык все-таки знать надо.
Trellix провела опрос руководителей ИБ и выяснила, что 84% CISO считают, что их роль следует разделить на две части: техническую и бизнес-ориентированную 🤔 Это связано с увеличением ответственности, включая управление рисками, соблюдение регуляторных требований и взаимодействие с советом директоров. Жаль, что не очень понятно, тех, кого опрашивали хотели бы стать теми, кто общается с бизнесом, или теми, кто занимается техническими вопросами? 🧐
93% директоров по ИБ отметили, что регулирование помогло их карьере, но 79% считают, что поддерживать темп происходящих изменений невозможно. Думая, что и в России 🇷🇺 многие бы согласились с этим. 91% опрошенных ожидают, что рост обязанностей приведет к высокой текучести кадров среди CISO. Ну это старая песня - про сокращение числа CISO, высокую текучку говорят давно...
Если почитать различные доктринальные документы по кибербезопасности, выпущенные в США и Европе, то можно увидеть, что основными источниками угроз кибербезопасности называются 4 страны - Китай 🇨🇳, Россия 🇷🇺, Северная Корея 🇰🇵 и Иран 🇮🇷 Про группировки, которые якобы происходят из этих государств пишут многие, но вот мне никогда не встречались исследования ситуации с кибербезопасностью внутри этих стран. Кто атакует их самих? Ведь не может быть так, чтобы они не представляли интереса для других государств или группировок.
И если ситуацию с ИБ внутри России я знаю достаточно неплохо; про Китай тоже можно найти материалы, то вот про остальные две страны сведений практически нет 🤷♀️ Тем интереснее мне было увидеть отчет "Iran's cybersecurity threatscape for 2021-H1 2024" (на английском), выпущенный нашей компанией 🟥, который впервые поднимает завесу тайны и раскрывает некоторые интересные кейсы и примеры инцидентов и атак в Иране, а также действий кибергруппировок против этой ближневосточной страны 🕌
Запись вчерашнего прямого эфира CyberTalks для канала CyberYozh. Планировалась на 1-1,5 часа максимум, а проговорили 2,5 часа про 🛡, 🔓 и всякое разное.
Читать полностью…