Пост Лукацкого

04 февраля 2023 07:40

Слабый пароль в GitHub теперь считается как CVE? Вы серьезно? Я таких CVE тысячами могу нагенерить!

Пост Лукацкого

03 февраля 2023 17:40

Дорвался я что-то до отечественной ИБ-литературы (что книги, что диссертации)... Ох, зря... Но тут я не мог пройти мимо, все-таки темой SOCов я занимаюсь давно, а тут прям целая книга, да еще и с научными основами. Дай, думаю, просвещусь. Вообще, всегда удивлялся писучести ВУЗовских преподавателей. Строчат книги пачками; когда только успевают студентов учить... Ну да ладно, к книге.

Скажу честно, не зашло. Вот вообще. Ни научной ценности не увидел, ни практической. Построить даже SOC, не говоря уже о ЦПК (отличие в фокусе на предотвращении, а не мониторинге, но не суть), по этой книге нельзя. Даже высокоуровневая архитектура SOC нормально не описана; не говоря уже о низкоуровневой. Из нескольких десятков процессов SOC худо-бедно описаны 4 (и то есть вопросы). Модель зрелости SOC упомянута, но не описана. Технологический стек ограничивается преимущественно SIEM и ЖРС (это Log Management по-русски). Раздел про SIEM 3.0 убил окончательно - предлагается строить совершенные SIEMы на базе блокчейна (я бы посмотрел хотя бы на прототип системы, которая осуществляет запись в блокчейн хотя бы нескольких миллионов событий в сутки, не говоря уже о миллиардах). Утверждается, что даны вербальные описания ключевых индикаторов компрометации, но я их не нашел 🙁 Практические основы работы с источниками телеметрии?.. Нет. Use cases, плейбуки, RE&CT?.. Нет, не слышали.

Окончательно гвоздь в крышку ⚰️ забил раздел про практическую значимость книги и указание примеров организаций, в которых якобы было проведено внедрение в промышленную эксплуатацию описанных в книге результатов исследований. Но так получилось, что я в курсе того, как строилась система мониторинга в как минимум двух упомянутых автором солидных организациях. Там описанного в книге нет 🙁 А вот с тем, что материалы книги нашли свое отражение в ФГОСах 3 и 3+ по ИБ, верю.

Вообще все очень поверхностно - даже обидно при таком количестве свободно находимой в Интернет литературе. Я даже не говорю о минимум десятке книг по SOCам (именно по SOCам, а не по отдельным его процессам - реагирование, TI, аналитика, визуализация и т.п.; в этом случае только книг было бы под сотню), которые были выпущены за последнее время. Статей, WP и брошюр по теме еще больше. У меня только в электронной библиотеке таких, с любовью собранных и отсортированных, материалов 800+. То есть даже ради списка литературы книгу я бы не рекомендовал (хотя обычно у пишущих вузовских преподавателей самое ценное в книгах это именно этот раздел).

ЗЫ. А может просто это зависть во мне говорит, что я не книг давно не выпускал, ни диссер так и закончил (хотя дважды брался)? Мне тут предъявили, что я критикую одно ИБшное мероприятие потому что меня в программный комитет не позвали... Пойду к коучу-психотерапевту на сессию запишусь - может он мне подскажет, что ж я все критикую-то. Может проблема с ИБ все-таки не вокруг, а во мне?

Пост Лукацкого

03 февраля 2023 12:17

Получаем много вопросов о том, какую профессию в сфере информационной безопасности выбрать, куда пойти учиться, и чем именно занимаются наши сотрудники. Поэтому мы решили подробно разобрать тему профессий в ИБ в новом сезоне подкаста «Hack me, если сможешь».

В первом эпизоде поговорим с ML-инженерами. Гости выпуска, руководитель отдела перспективных технологий Александра Мурзина и старший специалист отдела перспективных технологий Артем Проничев, расскажут, как устроена их работа в Positive Technologies, какие стеки технологий используют, куда можно развиваться работая ML-специалистом в ИБ и как попасть к ним в команду.

Будем рады поддержке этого выпуска лайком и репостом ❤️

Пост Лукацкого

03 февраля 2023 09:02

ПО автомобиля нельзя обновить, потому что владелец живет на холме (дорога крутая). Интересная история… Если чуть подправить код (а я думаю, там простая бинарная проверка), то можно просто реализовать угрозу (даже можно сказать недопустимое событие для владельца авто), когда авто будет нельзя обновить вовсе

Пост Лукацкого

02 февраля 2023 20:22

Представил… Поехал я на Магнитку 🧲, вышел на горнолыжный склон, стою, пью глинтвейн, осмысливаю доклад «Как достойно выстоять в противостоянии «Приказ ФАПСИ №152 vs. IIoT»… Подходит ко мне афроамериканец, говорит «Хаузит» («привет» на африкаанс) и намекает, что он сотрудник южноафриканских спецслужб. Я, конечно, сразу же сообщаю, что знаком с российскими спецслужбами, забыв упомянуть, что у многих из них я в черном списке ;-) Картина маслом…

ЗЫ. На Магнитку я, кстати, еду ✈️, а название доклада взято из программы. Все остальное - художественный вымысел. В контактах с южноафриканской разведкой пока не замечен.

Пост Лукацкого

02 февраля 2023 17:40

Навороченная Intelligence Architecture Mindmap, которая базируется на интервью с кучей экспертов по ИБ и разведке о том, как проводится анализ информации при принятии решений в области ИБ.

ЗЫ. Сам черт ногу сломит - надо сильно увеличивать.

Пост Лукацкого

02 февраля 2023 12:14

Кстати, портал НКЦКИ (safe-surf.ru) обновили. Симпатичненько так получилось.

ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?

Пост Лукацкого

02 февраля 2023 09:38

А это варианты дашбордов для темы внутреннего аудита, включая и вопросы кибербезопасности, оценки защищенности приложений и т.п.

Пост Лукацкого

02 февраля 2023 07:47

Для этого курса, которому и посвящен вебинар, я записывал парочку лекций…

Пост Лукацкого

01 февраля 2023 20:22

Регулятор очень часто хочет вам помочь, но...

Пост Лукацкого

01 февраля 2023 14:57

У нас в регионе прошли проверки организаций по выполнению лицензионных требований по СКЗИ. И есть несколько очень грустных новостей:

1. VPN между офисами рассматривают как лицензируемый вид деятельности и в рамках проверки по нему тоже требуется предоставить информацию. Логику этого подхода я так и не понял. Оспорить тоже похоже ни у кого не получилось. По крайней мере мне такие случаи не известны.

2. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии.

3. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. То есть если человек на прошлой работе генерил ключи на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии СКЗИ (вид деятельности 28) у него нет. Чтобы иметь стаж, он должен был генерить ключи клиентам в рамках лицензии.

4. Стаж должен быть подтверждён документально. И исходя из п.2 и п.3 будет недостаточно сказать, что у бывшего работодателя нынешнего работника была лицензия на СКЗИ. Надо предоставить внутренние документы с прошлого места работы из которых прямо следует, что он занимался именно таким видом деятельности в области предоставления лицензируемых услуг СКЗИ.

Пост Лукацкого

01 февраля 2023 11:23

Сегодня полгода как я в Позитиве 🟥 Лыжи едут, борода седеет, горло берегу, шляпа оберегает умище. Работать не мешают, от оголтелых наездов защищают, инициативы поддерживают, кофе наливают, старпёром уже/еще не считают; тапочки в офисе теплые и не белые. Впереди много всего интересного и, надеюсь, полезного. В целом, все прекрасно и позитивно.

Пост Лукацкого

01 февраля 2023 05:40

Попала мне в руки настольная игра Zone of Threats, сделанная в 🟥. Офигенное пополнение моей коллекции и новая заметка в блоге, ей посвященная

Пост Лукацкого

31 января 2023 14:40

Раздобыл по случаю для своей библиотеки фолиант начала 2000-х годов из целой серии таких же толстых фолиантов под 1000 страниц, посвященных российскому оружию. Один том посвящен был кибербезу; тому, как он понимался в самом начале 21-века. Собственно, идею поиска этой книги подсказал мне музей криптографии, где она была представлена за стеклом. А я люблю пополнять библиотеку разными раритетами. И кажется мне, что очень многое из описанного в книге (а она, по сути, представляет собой выставку достижений ИБ-сферы своего времени) могло бы стать достоянием музея криптографии, а точнее той его части, которая сейчас упущена полностью - начиная как раз с 2000-х годов.

ЗЫ. Себя в книге не нашел, но нарисованные мной схемы построения защищенных сетей увидел :-)

Пост Лукацкого

31 января 2023 08:40

30 ноября компания GoTo, предоставляющая решения для удаленного доступа была взломана, о чем ее генеральный директор сообщил своим клиентам. Спустя 2 месяца, проведя расследование, компания рассказала, что злоумышленники похитили зашифрованные бэкапы для основных продуктов компании, ключи шифрования для них, учетные записи, хэшированные пароли, настройки MFA, настройки продуктов, а также данные по лицензиям. Конечно, это так совпало, что сообщение от CEO GoTo было опубликовано в преддверии эфира AM Live, посвященного удаленному доступу, который пройдет 1-го февраля в 11 утра по московскому времени. Но почему бы не воспользоваться этим событием?..

Если уж компании, специализирующиеся на удаленном доступе страдают от хакеров, то что делать обычным предприятиям? Каков должен быть джентльменский набор для защиты от чувства "жим-жим" при выставлении своего ноутбука в Интернет? Как проверить, что сотрудник работает удаленно из России, а не из штаб-квартиры АНБ в Форт Миде? Можно ли построить полный стек решений по защите удаленного доступа целиком на отечественных решениях? Что лучше - использовать VPN-клиента для удаленного подключения или развивать концепцию Zero Trust и полное отсутствие VPN? Как контролировать удаленное подключение к облачным ресурсам, минующее корпоративный или ведомственный периметр?

Регистрируйтесь на эфир, если хотите узнать ответы на эти вопросы. Кто соскучился по мне в качестве модератора AM Live (а я там не был уже больше полугода), тоже подключайтесь ☕️

Пост Лукацкого

03 февраля 2023 20:32

Регулярно стал видеть такое в соцсетях. Будьте бдительны - включите хотя бы двухфакторную аутентификацию!

Пост Лукацкого

03 февраля 2023 15:12

Запись митапа Яндекса про внутреннюю кухню ИБ ИТ-компании. 4 доклада про безопасность финтех-сервисов в Yandex Cloud, методы защиты от современных DDoS-атак, организацию привилегированного доступа к Linux-инфраструктуре, автоматизацию процессов безопасности в корпорациях.

ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.

Пост Лукацкого

03 февраля 2023 10:31

В прошлой заметке, когда я упомянул СПЧ, предлагающего приравнять защиту ПДн и гостайны, еще была надежда, что член СПЧ Кабанов ошибся, но теперь все встало на свои места. Тот же член предлагает аккредитовывать все организации, работающие с персданными 🤡. И ничего, что каждое российское юрлицо и ИП работает с ПДн. А потом этот член вспомнит, что раньше от каждого оператора ПДн требовали лицензию на ТЗКИ… 🥳

Пост Лукацкого

03 февраля 2023 05:40

Спорил с преподавателем английского на тему, что такое искусство и, в частности, перформанс. Я придерживаюсь мысли, что, если в центре выставки наложить кучу говна, то это будет куча говна. А препод считает, что если автор вложил в это некий смысл и вокруг кучи говна строится целая история, то это уже перформанс.

К чему это я? На фото взломанная (или упавшая) винда, управляющая подсветкой колонн в торговом центре. Это я так приземленно думаю. А айтишник ТЦ может представить это как перформанс, демонстрирующий иллюзорность этого мира, ненадежность столпов, основ, на которых держится все наше мироздание.

Пост Лукацкого

02 февраля 2023 17:41

Intelligence Architecture Mindmap в хорошем разрешении

Пост Лукацкого

02 февраля 2023 15:01

Во-первых, это красиво - если убрать слово компьютерной (а это вполне допустимо), то название книги состоит из 9 существительных подряд. Во-вторых, уже на первых страницах авторы, ссылаясь на "Теорию положений о криминологии" Беккария и Бентама, строят свою методику прогнозирования атак на предположении, что если:
😈 у человека есть возможность совершить преступление и
😈 человек в случае совершения преступления получает достаточную (с точки зрения нарушителя) полезность,
то любой человек становится нарушителем.

То есть если бухгалтер может (а он может) перевести 25 миллионов рублей на подставной счет и при его зарплате в 50 тысяч рублей этой суммы ему хватит на 40 лет, то, согласно теории, такой бухгалтер станет обязательно нарушителем?.. И с этим тезисом я как-то пока не могу согласиться - буду читать дальше. Может по ходу авторы обоснуют свою методику. Пока же это выглядит странновато. Хотя эта же исходная предпосылка позволяет гораздо проще предсказывать атаки - вокруг же одни враги!

ЗЫ. Но обзор методик моделирования угроз и рисков, включая и методику ФСТЭК, сделан в целом неплохой.

Пост Лукацкого

02 февраля 2023 10:10

На календаре 2 февраля, а это значит, что наступил 2nd FActor Day!
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация✔️
Например, на сайте Гослуслуг или в Telegram.

А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.

Пост Лукацкого

02 февраля 2023 07:47

🤔 Как управлять компанией в период цифровой трансформации и под шквалом кибератак? Как при этом выполнить положения Указа Президента №250 и организовать собственную «команду кибербезопасности»?

Поговорим об этом на вебинаре, который пройдет 2 февраля в 11:00. Кроме того, обсудим:

🔸новое понимание роли руководителя в обеспечении киберустойчивости компании, и как эта роль соотносится с требованиями регуляторов;

🔸как участие руководителя в решении вопросов информационной безопасности помогает избежать катастрофических последствий кибератак;

🔸что вообще происходит в кибербезопасности: в мире, России, отраслях и компаниях.

Также на вебинаре анонсируем программу по ИБ для топ-менеджеров «Киберустойчивая организация: управление компанией в цифровом шторме», которую Positive Technologies запускает совместно с МГУ.

🔗 Зарегистрироваться на вебинар можно на нашем сайте.

#PositiveWebinars

Пост Лукацкого

02 февраля 2023 05:40

Сделал обзор вчерашнего эфира AM Live по безопасному удаленному доступу

Пост Лукацкого

01 февраля 2023 17:40

Программирование систем ИБ официально признано видом спорта! Теперь мы все спортсмены!

Пост Лукацкого

01 февраля 2023 14:57

Интересным поделились коллеги в одном из чатиков про результаты проверок ФСБ в части выполнения требований по шифрованию. Если это локальная история только одного региона - это одно. Но если это общая тенденция, то хреново, конечно.

Пост Лукацкого

01 февраля 2023 08:02

🧑‍💻 В последние годы многие компании перевели сотрудников на удаленную работу. Перед организациями встала сложная задача: сохранить непрерывность бизнеса и не открыть двери злоумышленникам к защищаемым системам.

🎙 1 февраля в 11:00 эксперты по кибербезопасности на эфире AM Live обсудят лучшие практики по защите удаленных рабочих мест, стандарты и требования законодательства по защите удаленного доступа, а также к каким системам нельзя открывать доступ извне ни при каких условиях.

Модератором эфира выступит Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

🔗 Зарегистрироваться на онлайн-эфир можно на сайте AM Live.

#PositiveЭксперты

Пост Лукацкого

31 января 2023 17:40

Раньше я регулярно изучал отечественные диссертации по кибербезу. Все хорошо у нас с ИБ, когда видишь, что защищают люди:
🤔 "Разработка структурно-параметрических моделей систем защиты информации объектов информатизации органов внутренних дел",
🤔 "Оценка относительного ущерба безопасности информационной системы предприятия на основе модифицированного метода сложения функций принадлежности",
🤔 "МЕТОДОЛОГИЯ ОБНАРУЖЕНИЯ УГРОЗ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ОТКРЫТЫХ КОМПЬЮТЕРНЫХ СЕТЯХ НА ОСНОВЕ ФУНКЦИОНАЛЬНОЙ МОДЕЛИ ЕСТЕСТВЕННОГО ЯЗЫКА",
🤔 "Оценка эффективности инвестирования в информационную безопасность предприятия на основе нечетких множеств",
🤔 "Политическое обеспечение информационной безопасности на Северном Кавказе в условиях глобализации",
🤔 "Легитимация/делегитимация власти и информационная безопасность: региональное измерение",
🤔 "Медиарилейшнз в сфере защиты информации",
🤔 "Метод и модель формирования системы обеспечения информационной безопасности центра обработки данных кредитных организаций Российской Федерации",
🤔 "Оценка экономической эффективности информационной безопасности участия строительной компании в электронных торгах"
🤔 "Исследование и развитие методического обеспечения оценки и управления рисками информационных систем на основе интересо-ориентированного подхода"
🤔 "Управление защитой информации в сегменте корпоративной информационной системы на основе интеллектуальных технологий"
🤔 "Правовое регулирование обеспечения информационной безопасности коммуникативных контактов человека"...

Пора снова погрузиться в эту клоаку и посмотреть, как далеко продвинулась отечественная научная мысль.

Пост Лукацкого

31 января 2023 11:40

Как могли бы выглядеть дашборды по соответствию требованиям GDPR (реальный пример). На ФЗ-152 эти дашборды впрямую не натянуть, но часть идей взять можно.

Пост Лукацкого

31 января 2023 05:40

Ну что, буду делиться обещанными впечатлениями от прочитанных книг по ИБ. Первая посвящена использованию фракталов, мультифракталов, вейвлетов, фильтра Калмана и нейросетей в обнаружении атак. Хотел бы поделиться позитивом от прочитанного, но увы...

Книга напомнила анекдот про микроскоп и гвозди. В качестве одного из примеров "практической" применимести методов, автор решила обнаруживать банальный SYN Flood с помощью вейвлетов. Но, судя по словам самого автора (или авторки - не могу никак привыкнуть к феминитивам), получилась какая-то х**ня и вместо отказа от глупой не очень правильной, на мой взгляд, затеи, автор предложила углубить фиаско за счет машинного обучения, которое должно было снизить число ошибок обнаружения.

Нахрена SYN Flood было обнаруживать так сложно, я не очень понял. Как, собственно, и остальных примеров, ооооочень далеких от практических задач обнаружения более реальных и чаще встречающихся в жизни атак.

Но, вспомнив, что автор (к слову, доктор наук) работает там же, где в свое время предложили использовать теорию кротовых нор для пентестов национального масштаба (и это не шутка), то вопросов к книге у меня больше нет.

ЗЫ. Рекламировать не буду. Читать ее - только время терять. Без раздела про практическое применение предлагаемых методов, тираж в 500 экземпляров можно было бы сократить до стандартных 5 авторских, которые можно раздать друзьям и родственникам.

ЗЗЫ. Одно радует - в списке литературы указаны "Толковый словарь русского языка" Ожегова и "Вариации радиационного поля в северной части Азовского моря". За первое "зачет", за второе - "респект" ✍️