Вся это controls physiology базируется на модели FAIR-CAM, которая... не очень-то и похожа на классическое управление рисками (Risk 1.0). Магии не случилось. По сути речь идет о нормальной системе ИБ, которая зиждется на трех китах:
1️⃣ Меры поддержки принятия решений, которые позволяют приоритизировать оценить что и от чего мы защищаемся (управление активами, выбор ключевых систем, моделирование сценариев реализации угроз и т.п.)
2️⃣ Вариативные меры управления (управление уязвимостями, оценка защищенности, повышение осведомленности и т.п.)
3️⃣ Меры нейтрализации потерь, представляющие по сути собой харденинг инфраструктуры и уменьшение площади атаки.
Ничего нового, если честно. Я бы мог сказать, что это почти один в один концепция результативного кибербеза, только подана красиво и привычно использует слово «риск» в своей основе 👌
Устроим сегодня день риск-менеджмента 🔥 Если вы не просто слышали про оценку рисков, а реально пытались общаться с топ-менеджментом про эту тему, то знаете, что задача эта нетривиальная. Бизнес с трудом понимает абстрактные риски, которых еще и несколько сотен в реестре. Есть разные подходы к тому, чтобы решить эту непростую проблему, например, история с недопустимыми событиями. А вот г-н Шапиро (но не тот, другой) предложил свою методологию, назвав ее изящно и просто, - Двоичный анализ рисков (Binary Risk Analysis, BRA).
Идея BRA проста до безобразия - вам надо задать всего 10 вопросов, каждый из которых имеет всего два ответа - да 🆗 или нет 👎 (отсюда и "бинарный" в названии). Все вопросы делятся на пары и в зависимости от комбинации ответов (Да + Да, Нет + Нет, Да + Нет) вы получаете одно из трех значений классического "светофора" 🚦Риск оценивается экспертным путем по тому, насколько атака на актив требует нужных компетенций, актив имеет слабости в защите, каков источник угрозы и насколько актив ценен для бизнеса.
Из этого набора вопросов уже становится понятно, что облегчив саму процедуру оценки рисков методология BRA рассчитана на ИБшников (ну откуда бизнес знает про компетенции хакеров и слабости в защите активов?). А вот откуда ИБшники возьмут ответы на последнюю пару вопросов (имеет актив ценность для бизнеса и будет ли стоимость восстановления актива значительной), BRA не отвечает 🤑
Резюмируя могу сказать, что попытка облегчения оценки рисков в BRA достаточно интересная, но основную проблему она так и не решает. Бизнес все равно не будет ею пользоваться, а ИБшник не сможет донести важность темы до топ-менеджмента 🧐 Тут нужно нечто совершенно иное, простое и понятное для бизнеса.
А часто ли вы проверяете, нет ли в соцсетях у вас двойников, которые прикрываясь вашим именем, пишут всякую чушь и даже больше, тем самым подставляя под удар вашу репутацию? Вот, например, фейковый аккаунт моего друга и товарища по киберборьбе Алексея Волкова. "Он" участвует в ИБшных чатиках и постит всякое нелицеприятное для людей. У меня тоже как-то был фейковый аккаунт на Github 😊
Если вы личность публичная, то стоит регулярно проверять Интернет на предмет цифровых двойников. У "больших дядей" для этого есть отдельные люди и даже сервисы DRP (Digital Risk Protection), которые следят за появлением в соцсетях фейковых аккаунтов генеральных директоров компаний и организаций. А что делать обычному, пусть и популярному человеку? Только самому следить за своей цифровой репутацией 🧐 И надеяться на помощь коллег и друзей, которые увидят и обратят внимание!
Матрица MITRE ATT&CK, версия для АСУ ТП для отрасли энергетики с указанием техник, используемых в последних инцидентах
#soctech
Вчера, в ночи, с друзьями за бокалом коньяка, зашел разговор о том, что фреймворк - штука полезная не только в ИБ, но и в приготовлении плова, щей, а также во многих других вещах. Но если про плов и щи я писать в канале не планирую, то вот про ИБ поговорить можно. Фреймворков в ИБ существует немало; думаю наберется не меньше двух-трех десятков. Есть более популярные, например, NIST CSF или ISO 270xx, есть менее, например, SABSA или ISM3. В любом случае они позволяют не только построить ИБ (другой вопрос, будет ли она результативной, но это отдельный разговор), но и оценить текущий уровень защищенности и попробовать его даже "продать" топ-менеджменту. И можно себя даже сравнивать с другими компаниями на рынке, следующими тому же фреймворку. И вот в отчете, на который я ссылался вчера, был также вопрос о том, с помощью какого фреймворка/стандарта компании оцениваете зрелость своей программы ИБ? Ответы вы видите на горизонтальной гистограмме.
ЗЫ. В России фреймворков по ИБ, к сожалению, нет. И да, ГОСТ 57580.х к таковым не относится, так как он ни слова не говорит о том, как внедрять ИБ; да и сами требования ГОСТа без поллитра не разберешь (да и с литром тоже).
А вот какие еще метрики, помимо классической тройки MTTD-MTTR-MTTC, используются SOCами. На пьедестале с первыми тремя местами, конечно же, размер члена число инцидентов, число уязвимостей и число попыток взлома. Бестолковые, но легко измеряемые метрики, которые ложатся на стол руководству, которое недоуменно спрашивает: "И что? ❓ Как это все связано с нашим бизнесом/госуправлением? Мы стали меньше зарабатывать или хуже оказывать госуслуги гражданам?" И нет ответа на этот вопрос ❓ И все остальные почти два десятка метрик тоже не помогают отвечать на эти вопросы. Но зато считаются легко и тешат собственное самолюбие.
Выбирая метрики, задайте тот же сакраментальный вопрос: "Кому я буду показывать результаты своей деятельности?". Ответ на него подскажет вам, правильные метрики вы собирались выбирать или нет.
#soctech
В связи с предпринятыми недружественными действиями против текущего хостинга моего сайта, надо переезжать на новый. Это потребует некоторого времени - максимум 48 часов. Поэтому сайт https://lukatsky.ru будет в ближайшие пару дней недоступен.
ЗЫ. Предупреждаю заранее, чтобы не было потом инсинуаций по поводу взлома и вот этого вот всего...
Тут интересный отчетик подогнали по SOCам и в нем помимо всего, есть интересный вопрос о том, как организация оценивает 5️⃣ свою киберготовность к инцидентам и как проверяет, что ее не хакнут плохие парни. По сути речь идет об ответе на классический вопрос любого топ-менеджера, который решил поинтересоваться ИБ в своей компании, "Насколько мы защищены?" 🧐
Большинство, и это совсем не удивительно, проводят тесты на проникновение, штабные киберучения, тестирование возможностей команды реагирования, учения по непрерывности, а также red/blue/purple teaming. Достаточно стандартный набор вариантов оценки своей защищенности. А потом респондентов спросили самое главное - "Приводят ли результаты проведенных киберучений и иных методов оценки своей киберготовности к реальным атакам к значимым инвестициям или улучшению уровня ИБ организации?" И вот тут очень интересно было увидеть результаты, согласно которым, только 26% респондентов дали целиком положительный ответ 🤑 У 38% опрошенных видимых результатов либо не видно 😕 либо их нет вовсе. Оставшиеся 36% считают, что уровень защиты растет, но инвестициями от топ-менеджмента не пахнет.
#soctech
А это еще одно руководство для аналитиков Threat Intelligence по описанию профиля нарушителя 😂 Вроде как и простенький по структуре профиль, но многие ключевые моменты учтены:
1️⃣ Имя и возможные синонимы согласно данным разных ИБ-компаний и TI-источников
2️⃣ Общие сведения о нарушителе (группировка, тип /хактивист, шпион, криминал.../, кампания)
3️⃣ Сектор/индустрия, в котором обычно действует нарушитель, включая связанные цели
4️⃣ Атрибуты по "алмазной модели" (Diamond Model), включая инфраструктуру и возможности нарушителя
5️⃣ Тактики и техники, желательно согласно MITRE ATT&CK
#soctech
Помню, проходил я несколько лет назад стажировку в одном SOC, и в первый же день я задал коллегам сакраментальный вопрос — а как вы выбираете, на какие сигналы от SIEM/EDR/NTA/NDR реагировать, а какие можно отложить «на потом»? Ведь при миллионах и миллиардах событий безопасности, которые детектируют различные сенсоры и «сдают» в SOC, потеряться в них несложно. И рассказали мне лайфхак, которым я бы тоже хотел поделиться.
#soctech
Помню, в 2017-м году мы проводили серию мероприятий по использованию DNS в деятельности ИБ-специалистов, а также применению этого протокола злоумышленниками. Анализируя тип записи, длину домена, значения TTL, дату регистрации, владельца, ASN, данные регистратора, геолокацию, энтропию в имени домена и другие параметры можно было делать немало выводов о вредоносности не только сайтов/доменов, но и DNS-коммуникаций.
И вот достаточно интересная статья о том, как DNS используется для утечки информации. При этом используются легитимные ресурсы, что осложняет обнаружение такой активности. Мне, конечно, не хочется думать, что все последние кейсы, в которых шифровальщики вытягивали сотни гигабайт и даже терабайты данных, использовали данную схему, но это при достаточно большом сроке необнаружения вполне возможно. Правда, и бороться с этим достаточно легко, - просто настроить квоту для трафика (главное, для всего, а не только для HTTP/HTTPS).
#soctech
3 ноября производитель облачной SIEM компания Sumo Logic столкнулся с инцидентом, в рамках которого неназванное лицо с помощью скомпрометированной учетной записи получило доступ к учетке Sumo Logic в облаке AWS. Клиенты не пострадали, их данные были зашифрованы и надежно защищены. 7-го ноября компания оповестила об этом своих клиентов. 8-го Sumo Logic объявила, что масштаб инцидента был немного преувеличен, а 9-го был опубликован соответствующий playbook для клиентов, которым посоветовали обнулить и поменять API-ключи для работы с облачной платформой.
Из интересного: среди клиентов Sumo Logic и пострадавшие недавно 23andMe и Okta.
#soctech
С учетом сделанных оговорок основные наблюдения:
1️⃣ Треть техник ATT&CK вообще не встречается в источниках
2️⃣ Лучше всего детектируются тактики "Первоначальный доступ" и "Обход защитных мер"
3️⃣ Использование действующих учетных записей и атаки на публично доступные приложения - самые популярные техники в рамках "первоначального доступа", что намекает нам на необходимость внедрения многофакторной аутентификации, WAF и непрерывного сканирования публичных приложений с целью устранения трендовых уязвимостей.
4️⃣ Однако, если смотреть выводы по основным мерам защиты, то MFA и ограничение web-контента находится в самом низу списка, что вызывает у меня вопросы (не бьется оно как-то с самыми популярными техниками первоначального доступа). Я понимаю, когда антивирус не вошел даже в десятку, но MFA?..
5️⃣ У каждого источника, используемого в отчете, свой Топ10 техник, что как бы намекает на то, что делать общие выводы по ним странновато.
6️⃣ Наиболее релевантные защитные меры против большинства выявленных техник - предотвращение исполнения, конфигурация ОС и контроль поведения на ПК. Иными словами - используйте EDR и наступит вам позитив.
7️⃣ Авторы пишут, что им не хватало данных по сегментам - отраслевым, размерам организаций, типам атакуемых активов (АСУ ТП или мобильные устройства) и т.п.
8️⃣ В конце не обошлось без рекламы Enterprise-версии Tidal Cyber. Когда я смотрел их Community Edition, описанную в предыдущей заметке, у меня тоже сложилось впечатление, что они таким образом продвигали свою "полную" и персонализированную версию. После прочтения их с Cyentia отчета я только укрепился в этом мнении.
#soctech
У матрицы MITRE ATT&CK все хорошо, кроме одного - вы каждый раз вынуждены ждать, когда MITRE два раза в год, в апреле и в октябре, сама добавит туда какие-то новые техники, вредоносное ПО, группировки и т.п. Иногда такие обновления приходят слишком поздно, иногда не приходят вовсе, так как далеко не все принимается командой MITRE к рассмотрению.
Для решения этой задача есть проект от MITRE Engenuity под названием Workbench, который позволяет самостоятельно расширять базу знаний MITRE ATT&CK. А есть и другой проект - от компании Tidal Cyber. В него вы также можете добавлять свои собственные знания (правда, в отличие от Workbench, который можно развернуть у себя, Tidal - это облачная и доступная всем история).
Уже сейчас этот проект содержит больше кампаний, группировок и вредоносного ПО, чем родная ATT&CK. Кроме того, Tidal Cyber расширили классическую матрицу новыми возможностями слоями. Например, можно сделать выборку по странам и секторам, на которые нацелены хакеры/техники/ВПО/кампании. А еще Tidal Cyber ведет репозиторий средств защиты разных вендоров (российских среди них нет), которые мапятся на MITRE ATT&CK. Ну и, конечно, можно добавлять свои техники, как в Workbench.
За счет своего формата, проект Tidal Cyber легко расширяем и позволяет строить на его основе различную аналитику, а также наполнять матрицу ATT&CK новыми смыслами. В бесплатной, community edition, версии, вы можете только расширить работу с самой матрией ATT&CK, добавляя туда новое ВПО, группировки, кампании, не дожидаясь, когда это сделает MITRE, а также маппить это на продукты. В коммерческой, Enterprise, версии, появляются новые возможности, основанные на персонализации, - создание индустриальных профилей атак и группировок, которые актуальны именно для вас, получение ежедневных рекомендаций по защите против новых техник, тактик и процедур, анализ возможностей ваших средств защиты применительно к составленному для вас профилю угроз, оценка текущего уровня защищенности и т.п.
#soctech
Начну неделю с кадровых новостей. Свою должность в Минцифры покидает Владимир Бенгин — глава департамента обеспечения кибербезопасности.
За время его работы с лета 2021 года в Минцифры и в госсекторе в целом заметно изменился подход к кибербезопасности — защите данных, интернет- и телефонному мошенничеству, безопасности КИИ и т.д. Во многом это именно его заслуга, и интересно, сохранит ли Минцифры свои позиции в ИБ после его ухода.
Когда риск-менеджмент перестает работать, придумывают "риск-менеджмент 2.0" 😊 Но красиво, ничего не скажешь. Отсылки к физиологии, использованию искусственного интеллекта, генетического инжиниринга. Прям фьюжн какой-то... Но есть один нюанс в реализации этого подхода, о котором далее ⏳ А вообще "controls physiology" звучит интригующе, но непереводимо на русский язык 🔫
Читать полностью…Сегодня я выступаю на SberPro Tech 2023 с коротким выступлением про роль кибербезопасности в бизнес-модели любого коммерческого предприятия. Времени не так много выделено, поэтому пройдусь по самым верхам и покажу, что если смотреть на бизнес с точки зрения тех, кто зарабатывает деньги и обеспечивает функционирование бизнеса (а не веб-сайта, ОС, рутера или мобильного устройства), то найдется много точек, в которых кибербез играет свою роль. Да не всегда главную, иногда второго плана, но это тоже роль (за нее иногда и Оскары с Никами дают).
ЗЫ. Я по сути продолжаю и углубляю свой рассказ в Питере про морковку спереди и морковку сзади (кстати, все презентации с этой конференции уже выложены), но углубляюсь только в одно направление.
ЗЗЫ. Будет трансляция. Я выступаю в секции "Цифровая трансформация" (не "Кибербезопасность") около 13-ти часов.
Американцы в плане открытости по вопросам ИБ могут дать фору многим государствам. И одним из таких примеров является национальный план реагирования на инциденты ИБ, принятый в США в 2016-м году и распространяющийся на весь американский бизнес.
60 страниц текста достаточно подробно для документа национального уровня 🏢 расписывают, как происходит реагирование 🧑💻, какие роли у участников, как определяется уровень серьезности инцидентов, как происходят коммуникации во время инцидента, проводится ли атрибуция, как информация об инциденте доносится до заинтересованных сторон, как репортить об инциденте, как вовлечены в реагирование НКЦКИ ведомственные центры ГосСОПКИ федеральные центры кибербезопасности при ФБР, разведке, АНБ, CYBERCOM и т.п.
В соответствие с новой национальной стратегией кибербезопасности, о которой я уже не раз писал, американцы сейчас обновляют ✍️ свой план реагирования, который должен быть представлен в 2024-м году. Пока содержание новой версии плана неизвестно, но утверждается, что он будет "бла-бла-бла какой крутой" и учитывать уроки прошедших 8 лет.
#soctech
Как-то тренер по восточным единоборствам 👊 на наше нытье, что нельзя ставить против нас, безусых юнцов, которые фактически (когда я начинал заниматься, занятие восточными единоборствами 👊 было внесено в Уголовный Кодекс, статья 219.1, и поясов не присваивали) носили желтые, оранжевые или зеленые пояса, бойцов с синими и коричневыми поясами 🥋, и что это выглядит как избиение младенцев, он отвечал, что, чтобы перейти на другой уровень, надо бороться с более сильными противниками. Какой смысл биться и побеждать тех, кто слабее тебя? Ни удовольствия, ни уважения окружающих. Успешно противостоять тем, кто сильнее тебя, - вот истинное искусство и путь воина 🥢
Так и с ИБ. Не так интересно искать слабые места на сайте своей школы и размещать там фотку нелюбимого завуча с подписью "Раиса Петровна - дура!", как попробовать это сделать на нормальном киберполигоне, который является цифровым двойником👬 компании с нормальной ИБ. Не так интересно обнаруживать атаки, записанные и хранящиеся в специально подготовленном PCAP-файле, как ловить реальных, пусть и "белых" хакеров 💻, которые не всегда идут стандартным путем и не ведают, что там написано в 239-м приказе ФСТЭК или ДСПшной методически НКЦКИ по обнаружению и реагированию на компьютерные атаки.
На киберучения, которые пройдут на следующей неделе на Moscow Hacking Week, вы уже не успеете (но можно понаблюдать онлайн), а вот на следующий год запланируйте себе участие на нормальном киберполигоне. Это позволит вам прокачать реальные навыки с реальными воинами клавиатуры 👨💻
Отсюда и невысокая оценка эффективности используемых метрик - меньше половины опрошенных SOCоводов считают, что их метрики помогают улучшать процесс ИБ в организации. 50% вообще считают эти метрики неэффективны, а 10% даже не смогло ответить на прямо поставленный вопрос. А все потому, что бизнес нифига не понимает в этих показателях эффективности ничего. Для внутреннего потребления они вполне себе ничего, но вот для внешнего (за пределами SOC)... увы 🤠
#soctech
Не устаю повторять, что разговоры коммерческих SOCов про "мы за 15 минут реагируем на инциденты у наших заказчиков" - это трындёж и потрясание бубенцами вместо того, чтобы пойти и мешки ворочать.
Статистика показывает 📉, что меньше трети SOCов способны задетектить инцидент в течение хотя бы получаса (классическая метрика MTTD), а реагирует большинство (MTTR) в срок до 8 часов 📈 Так что слышите про 15 минут или видите это в рекламе - бегите от таких продаванов. Или требуйте доказательств; а вдруг этот SOC, и правда, обладает уникальными способностями укладываться в четверть часа 💪
#soctech
А причина такой ситуации, как мне кажется, кроется в том, что бизнесу по барабану, сколько и какие уязвимости у вас нашли, может ли ваш SOC обнаруживать и реагировать на инциденты (если не может, то накой он вообще тогда сдался). За банальным вопросом "насколько мы защищены" топы скрывают свое желание узнать, не потеряют ли они свои деньги, - не остановятся ли у них процессы, что приведет к потере денег; не нагнет ли их регулятор, что приведет к потере денег; не утечет ли база VIP-клиентов, что приведет к штрафу и уходу клиентов, что приведет к потере денег и т.д. То есть бизнес волнует то, что они понимают они под безопасностью, а не то, что под этим понимает ИБшник.
Поэтому и проверка своей защищенности должна быть немного иной, чтобы удовлетворить бизнес-руководство. Да, пентесты, red teaming, штабные киберучения и т.п. нужны и важны, но топам заходит совсем другой формат, требующий погружения ИБ в бизнес, а не попыток опустить бизнес на уровень ИБ.
Проводя оценка своей защиты, первым вопросом задайте себе "Кому мне надо демонстрировать результаты?" и уже от ответа на него "танцуйте"!
#soctech
А потом будет говорить, что во всем виноваты русские хакеры: Лидер польской оппозиционной коалиции и будущий премьер Польши Дональд Туск дает урок инфобезопасности 😉
🕊 РОССИЯ СЕЙЧАС - подписаться
Проходилj тут на днях в США мероприятие по SOCам и что-то немало мемасиков там было, местами занятных. Поспамлю сегодня 😛 #soctech
Читать полностью…А вот вам еще в помощь руководство для аналитиков Threat Intelligence, которые собирают различные индикаторы вокруг доменов, IP-адресов или SSL/TLS-сертификатов. Как по мне, так по тем же доменам индикаторов там явно меньше, чем я даже перечислил в предыдущей заметке, но все-таки некое подспорье в работе, с которого можно начинать готовить свой чеклист...
#soctech
Вот так прилетает к тебе обновление ПО, которое обращается к репозиторию Github, содержащему вроде как обычные файлы иконок (с расширением .ico). И все бы ничего, но в конце каждой такой иконки набор закодированных Base64 строк, которые, дополнительно еще зашифрованы, и которые, о чудо, ведут на C2-сервера злоумышленников. А всего-то думаешь, что просто обновление за иконками лезет...
#soctech
Интересный кейс. Сначала EDR удаляет ПО для осуществления звонков ☎️, которое играет критическую роль в бизнес-процессах без каких-либо объяснений. При этом позвонить 📞 вендору EDR теперь тоже сложно - звонить не с чего, ПО для звонков удалено 😊 ПО начинают проверять разными антивирусами и они ничего не обнаруживают 🤷. Тот же самый EDR, но на VirusTotal, тоже ничего не обнаруживает. И только спустя какое-то время факт наличия в обновлении ПО вредоносного компонента подтверждается.
Отсюда несколько вопросов:
1⃣ Вы же понимаете, что версии средств защиты от вредоносного ПО для обычной продажи и на VirusTotal "немного" разные и если одна обнаруживает что-то, это еще не значит, что другая тоже должна обнаруживать это же? Вы же даже не знаете, как настроено ПО на VT.
2⃣ Вы же понимаете, что VirusTotal, даже несмотря на несколько десятков средств защиты от вредоносного кода под капотом, не панацея и этот сервис может обнаруживать далеко не все?
3⃣ Вы же знакомы с тем, как функционирует ваш EDR и что он будет делать, когда он обнаружит вредоносную активность в критичном для вашего бизнеса ПО? Он удаляет это ПО? Помещает в карантин? Просто уведомляет о проблеме?
#soctech
Ну и чтобы два раза не вставать Снова про Tidal Cyber, которая вместе с институтом Cyentia выпустили аналитической отчет о средней температуре по больнице том, как должна выглядеть настоящая аналитика по ИБ 😊 Шутка. На самом деле в отчете проводится анализ использования техник MITRE ATT&CK в "дикой природе" согласно 22 различным публичным источникам (этакий мета-анализ чужих анализов). За основу была взята версия матрицы 12.1 (текущая - 14), что при достаточно активной и динамичной жизни хакерского сообщества не позволяет говорить о высокой актуальности сделанных выводов. Версия 12.1 была выпущена в октябре 2022 года и срок окончания ее актуальности наступил 24 апреля 2023-го года. Почему так долго проводился анализ не очень понятно 😴
🤓 Важное замечание. Источники все американские (только один из Европы - ENISA). Кроме того, популярность техники определялась по числу источников, которые ее упоминали, что заставляет нас зависеть от качества обнаружения техник каждым из источников, а этой информации в отчете вообще нет (кто что лучше детектит, то и становится популярным). Еще одним ограничением является то, что техники с первых шагов матрицы (разведка и разработка "кибероружия") очень сложно отслеживать и поэтому они, согласно отчету, кажутся редкоиспользуемыми, что совсем не так.
#soctech
Два года назад MITRE была выпущена бета-версия онтологии ИБ D3FEND, которая позволяет смаппить защитные техники в техники нападения. И вот на днях, после двух лет тестирования и доработок, увидела свет финальная версия 1.0.
Все защитные меры разбиты на блоки и самый большой из них посвящен обнаружению (Detect). К другим блокам относятся усиление, изоляция, обман, восстановление, реагирование.
#soctech
Читайте новость, запустив в фоне «До свидания, наш ласковый мишка!» или сцену из мультфильма про Карлсона «Он улетел, но обещал вернуться» 😢
Читать полностью…