NIST выпустил руководство по Phish Scale, методу даже не обучению борьбе с фишингом, а тому, как оценивать сложность/способность человека самостоятельно обнаруживать фишинг без участия технических средств.
Да, руководство можно использовать и при обучении и повышении осведомленности. Там много полезных данных. Например, там приведен список индикаторов, на которые стоит обращать внимание:
1️⃣ Ошибки
2️⃣ Технические индикаторы (тип вложения, URL, подмена домена...)
3️⃣ Визуальные индикаторы (отсутствие бренда или лого, имитация логотипа, индикаторы безопасности...)
4️⃣ Язык и контент (запрос чувствительной информации, срочность, угрозы...)
5️⃣ Общие тактики (бесплатный сыр, ограниченное по времени предложение...).
Сегодня я выступаю на Standoff 12 в рамках Moscow Hacking Week с рассказам о киберугрозах будущего. Вроде в 13.30. Должна быть онлайн-трансляция. Усаживайтесь поудобнее и смотрите 🍿
Читать полностью…Есть такие уязвимости, которые надо патчить не дожидаясь перитонита. Зовут их трендовые или, на американский манер, KEV (known exploited vulnerabilities)
Вы помните нашумевшие в этом году атаки на Barracuda ESG, Cisco IOS XE, Citrix NetScaler, Cisco VPN, аппаратные решения SonicWall, Sophos, PaloAlto, Arista, F5, Juniper, Pulse Secure и т.п.? 👨💻 Это только верхушка айсберга, связанного с атаками на уровень ниже приложений, - уровень прошивок ПО для оборудования, BIOS/UEFI, подсистему управления BMC, системы хранения NAS/SAN, загрузчики устройств (bootloader), микрокод в чипсетах и т.п.
Технологии типа DMA (Direct Memory Access), PCIe или NMVe дают вредоносным программам гораздо больше возможностей по доступу к памяти и обходу средств защиты на уровне операционной системы (например, VBS или Device Guard), антивирусов и EDR. Иногда в кофейне краем уха услышишь, что делается в нашей лаборатории исследования железа и понимаешь, что это совершенно иной мир, с которым обычный ИБшник сталкивается редко, а если и сталкивается, то не всегда знает, что делать. Особенно в связи с уходом иностранных вендоров и закрытия стандартных каналов обновления уязвимых прошивок.
ЗЫ. А еще помните, что одна четверть всех трендовых, то есть широко эксплуатируемых, уязвимостей связана с прошивками ”железа” и в 2024-м году число руткитов, буткитов, шифровальщиков и ВПО их использующих, будет только расти.
ЗЗЫ. У китайцев, кстати, тоже не меньше, чем у американцев, проблем на уровне железа.
В одном крупном холдинге у CISO среди метрик оценки его эффективности есть и такая - повысить операционную эффективность группы компаний путем ослабления защитных мер до минимально достаточного уровня! Обратите внимание - не путем усиления, а путем ослабления защитных мер! 😎
Иными словами надо не бездумно увеличивать число средств защиты, процессов ИБ, плодить оргштатную структуру и другими способами показывать свою значимость и наращивать "капитализацию", а найти баланс между уровнем ИБ, инвестициями в кибербез и пользой для бизнеса. А это оооочень непростая задача! И она реально для CISO, должности, которая является сплавом технических и организационных знаний с учетом бизнес-потребностей своего, нет, не работодателя, а бизнеса. На этом уровне CISO уже не просто наемный менеджер - он разделяет интересы своей компании и старается нащупать баланс 🤝
Запись 🎞 моего выступления про кибербез как неотъемлемую часть бизнес-модели любой компании или предприятия лежит на сайте конференции SberPro Tech 2023. Смотреть с 4:00:30. Всего 22 минуты, но зато каких 👀
Читать полностью…Не нашел в списке, но скидки есть еще на курсы SANS (600 баксов, то есть около 10%) и тренинги FAIR
Читать полностью…🔥 Конференция Standoff 101 для новичков в области кибербезопасности продолжается!
Подключайтесь к трансляции на сайте Moscow Hacking Week, чтобы узнать:
🖥 в каких направлениях ИБ могут прокачивать свои навыки начинающие специалисты и профи.
👾 как получить свою первую работу вирусного аналитика и что ждет впереди.
🤖 как open source расширяет понимание ИБ, почему нужно заниматься eBPF и WebAssembly, посматривая на искусственный интеллект.
Об этом и многом другом расскажут профи из сферы кибербезопасности — расписание выступлений на сегодня на картинках.
#Standoff101
#PositiveEducation
#MoscowHackingWeek
На прошлых выходных, пытаясь противостоять серости, настигающей в это время года Москву, пошли с Айсылу в театр.
Во время спектакля Айсылу явно себя чувствовала не в своей тарелке. То ли вздрагивала, то ли была на грани панической атаки.
Не дожидаясь антракта, она выбежала из зала. Я, слыша в догонку ворчливое шипение заядлой театралки в возрасте, что водятся в пределах Садового кольца, выбежал следом.
Оказалось, что моя дама в тайне от меня взяла с собой секс-игрушку, которая управляется через приложение. Но мой телефон во время спектакля был на авиарежиме.
Тут я, как опытный человек в теме инфобеза, вспомнил о том, что есть хакеры, которые получают удовольствие, взламывая секс-игрушки. Случаев таких за последние годы было достаточно много.
И вот я натыкаюсь на очередную свежую историю о том, как «энтузиасты»(можно ли их так назвать) взламывали чужие вибраторы с помощью Flipper Zero.
В общем, окультуриться нам помешал какой-то «энтузиаст», ну а Айсылу сделала вывод, что брать с собой вибратор на величайшие пьесы современности плохая идея.
Как там говорит Алексей Лукацкий, «недопустимое событие»? Вот оно самое.
@cybersachok
По мнению Майкла Портера (это его имя в «пяти силах Портера»), чем сильнее развита конкуренция 🤼 на внутреннем рынке страны и выше требования покупателей, тем больше вероятность успеха компаний 🎰 из этой страны на международных рынках (и наоборот, ослабление конкуренции на национальном рынке приводит, как правило, к утрате конкурентных преимуществ) 🤔
Может и неплохо, что у нас под три десятка вендоров NGFW, с десяток SIEMов, столько же средств управления уязвимостями, DLP и вовсе без счета… 🧮
ЗЫ. А у вашего периметра (тоже слово на П) есть конец?
Моя презентация "Биздата. О защите бизнес-данных нетрадиционными мерами, которые реализованы у всех" с выступления на "Защите данных"
Читать полностью…🤔 Знаете ли вы, что объединяет овцебыка, бабочку-шифровальщицу и кибербезопасность?
Если нет, то специально для вас Positive Education запускает бесплатный курс «Базовая кибербезопасность: первое погружение», автором которого стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.
С помощью небольшого курса вы сможете понять основы отрасли: что такое кибербезопасность и как она влияет на людей, бизнес и государство. Материал в первую очередь рассчитан на новичков в этой сфере: в нем собран необходимый минимум информации, которую обычно приходится искать в различных источниках — статьях, выступлениях и видео.
Вас ждут девять коротких видеоблоков, в которых Алексей расскажет просто о сложных терминах в мире ИБ, что движет плохими парнями, кто работает на светлой стороне и даже какие инструменты ИБ использовали в Древнем Египте.
🤟 Курс доступен всем желающим, смотрите его на нашем сайте и делитесь с друзьями, которые хотят начать свой путь в сфере кибербезопасности!
@Positive_Technologies
#PositiveEducation
История с увольнением Сэма Альтмана и последующий твит Ильи Суцкевера по данному факту очень напоминает то, что происходит часто в кейсах с инцидентами ИБ. Посмотрите на формулировки:
1️⃣ Не "я виноват, что принял такое решение", а "я сожалею о своем участии в действиях правления". Я не виноват, меня заставили...
2️⃣ Не "мое плохое решение", а "их решение".
3️⃣ "Мы построили вместе" когда надо присоседиться к чему-то позитивному.
4️⃣ Нет конкретных обещаний, есть одни намерения.
Иными словами, чувак был вынужден (или его вынудили) написать этот текст, но всеми силами он старается снять с себя всю ответственность и переложить ее на группу непонятных людей. То есть он пытается размыть ответственность за случившееся и уж точно не считает себя виноватым. В инцидентах ИБ если и доходит до признания случившегося, тоже непонятно, кто конкретно виноват. И все кивают "на того парня"... 🤠
Я допускаю, что Суцкевер - классный ученый, но вот как менеджер, который должен уметь принимать решения, он оказался не готов (хотя хрен знает, как я бы повел себя в такой ситуации). Это в продолжении истории этого понедельника. Есть классные специалисты, а есть классные менеджеры. CISO - это сплав двух качестве, а не одного.
Страны Европы, пострадавшие (отмечены голубым) от кибератак, ассоциированных с конфликтом России и Украины. Интересно, что пророссийские группировки не атаковали Турцию (это понятно), Португалию, Ирландию, Хорватию, Боснию и Герцеговину, Монтенегро, Албанию и Андорру.
Читать полностью…Считается, что термин «хакер», применительно к современному пониманию, появился в 1963-м году, в студенческой газете The Tech, издаваемой MIT
Читать полностью…Кибер-руководство Украины подало в отставку. Главу ДССТЗИ и его зама обвиняют в растрате государственных денег при закупке иностранного ПО.
Читать полностью…Институт изучения мировых рынков (этакий "русский IDC") выпустил отчет "Реальность и перспективы российского рынка кибербезопасности 2023 — 2025", в котором авторы пытаются оценить текущую степень зависимости российских компаний от иностранного ПО в области кибербезопасности, выявить основные драйверы, затрудняющие факторы и общую степень готовности отечественных компаний к переходу на отечественное ПО в ближайшие два года.
Очевидно, что в текущих условиях заказчики постепенно мигрируют на российское ПО, потенциал которого огромен (сейчас мигрировали только около 30% компаний). Наиболее перспективны такие сегменты для миграции как "Аналитика и реагирование" и "Сетевая безопасность".
Отчет не затрагивает тему сетевого оборудования, а это достаточно важная история для обеспечения ИБ предприятий. Недавно нашумевшая уязвимость в Cisco IOS XE (CVE-2023-20198) лишний раз показала этот факт. И вот новая RCE в Cisco, которая продается в Даркнете и которая, по словам "продавца", дает еще больший эффект, чем недавняя дыра.
И вот тут снова надо вернуться к отчету ИИМР. Там перечислены причины, почему компании остаются на иностранном ПО (думаю, к железу применимы те же причины). Но отвеченным остается вопрос - а как использующие иностранное ПО и железо компании решают вопрос с оперативными обновлениями? Если доступа к ним нет, то последствия могут быть слишком серьезными. Если доступ есть, то к доверенному источнику или к "иранским" телеграм-каналам, где выкладываются непонятно откуда взятые обновления?
Это у многих иностранных средств защиты есть или скоро появятся отечественные аналоги. А вот сетевому оборудованию похвастаться особо нечем - адекватных аналогов пока что-то на горизонте не видно. И выход тут один - выстраивание процесса управления уязвимостями и компенсирующие меры, позволяющие устранять если не сами дыры, то хотя бы снижать последствия от их эксплуатации (сегментация, мониторинг сетевой активности и аномалий, МСЭ внутри инфраструктуры...).
Визуализация в целом и ИБ в частности - тема достаточно непростая и я ей посвятил немало выступлений и заметок тут и в блоге. Сейчас перезапущу сайт на новом хостинге и все-таки выложу обещанный курс по дашбордам в ИБ. А пока поделюсь прелестным подарком, который я получил от основателя проекта Дата Йога Андрея Демидова 🃏
Казалось небольшая колода карт 🃏, но в ней сосредоточена вся мудрость визуализации, а именно набор наиболее популярных видов визуализации данных с примерами, что и когда стоит, а когда не стоит применять исходя из тех задач, которые перед вами стоят - показать рост или снижение, сфокусировать внимание на каком-то показатели или просто подкрепить свои доводы "картинкой".
ЗЫ. На сакраментальный вопрос "Где достать?" сразу отвечу - "Не знаю" 🤷
Дашборд по ИБ в управлении обслуживания фермеров (Farms Service Agency), входящем в структуру Минсельхоза США. Тамошний CISO считает, что с помощью такого дашборда он следует подходу, ориентированному на результат (Result-based Management), увязанному со стратегическими целями агентства. Как по мне, так при хорошей задумке реализация на троечку. Сама по себе идея измерения текущего состояния ИБ и его улучшения неплоха, но тут, как мне кажется, измерения ради измерения. Вроде и делается что-то, но как это все связано с помощью американским фермерам?
Большинство метрик уровня compliance - завершено в срок, реализовано защитных мер, соответствует требованиям, сделано по расписанию, обработано запросов… Скучно 🥱 и совсем не про реальный результат 🤨
Неминуемо приближается Черная пятница, а значит настало время тратить деньги, хотя это и стало делать сложнее🤷
Уже по традиции можно посмотреть скидки на различные курсы, сервисы и утилиты по направлению ИБ в репозитории InfoSec Black Friday Deals ~ "Friday Hack Fest" 2023 Edition 🔥
Еще можно заглянуть в Awesome Black Friday/Cyber Monday Deals - 2023 - здесь также можно найти скидки на книги, утилиты, сервисы различных направлений🛍
Когда с вашей символикой делают разные прикольные штуки, значит любят, значит появляются фанаты, значит тема ушла в народ!
Читать полностью…Чего мне не хватает на сайте НКЦКИ, так это отдельного раздела с предупреждениями о той или иной угрозе. Есть там раздел "Бюллетени НКЦКИ", но он про новые уязвимости. Есть раздел "База уязвимостей", но чем он отличается от предыдущего не очень понятно (разве, что в нем последняя уязвимость датируется началом октября, а в "бюллетенях" серединой ноября.
А вот особые предупреждения приходится выискивать в разделе новостей, что не очень удобно. Тем более, что они тоже оформлены как бюллетени НКЦКИ, хотя и не называются так же. А был бы отдельный раздел, можно было бы без проблем на него ссылаться, вытягивать автоматом и парсить новые предупреждения и т.д. Запишите это как рацпредложение! ✍️
💬 «Не стоит пытаться бежать впереди паровоза и искать какие-то новомодные решения для борьбы с утечками, лучше начать с того, что у вас есть в арсенале уже сейчас. У всех есть фаерволы, у всех есть решение для мониторинга активности. В идеале вообще просто выстроить процесс обновления сегментации — это уже сильно поможет вам бороться с утечками данных и любыми другими инцидентами, связанными с данными» — советует Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies
Читать полностью…🔥 Сегодня стартует первый день нашего масштабного мероприятия Moscow Hacking Week!
Начнем с основ, а точнее с конференции Standoff 101 для студентов и начинающих специалистов, которые хотят развиваться в кибербезопасности и узнать больше об этой сфере. Специально для вас мы собрали на одной площадке крутых профи, которые поделятся своим опытом.
🤔 Реверс-инженер, специалист по AppSec, белый хакер, вирусный аналитик — как выбрать, кем стать? Из чего состоит жизнь специалиста по ИБ? На какой доход можно рассчитывать? Что нужно, чтобы стать востребованным в этой сфере?
Ответы на эти и многие другие базовые вопросы вы узнаете в ближайшие два дня. Подключайтесь к трансляции на сайте Moscow Hacking Week и делитесь ссылкой с друзьями, которые хотят попасть в мир кибербезопасности.
Расписание первого дня конференции на карточках
#Standoff101
#PositiveEducation
#MoscowHackingWeek
Если опуститься с оценки рисков к моделированию угроз, то мы помним, что из 4-х подходов в этой области есть и такой, в рамках которого мы отталкиваемся не от активов, не от угроз, а от нарушителя 👨💻, от его возможностей, которые и определяют то, что может сделать "плохой парень", то есть какие угрозы реализовать 💻
Известный в узких кругах Arkanoid, высказавшись на тему оценки рисков
«людям трудно понять, что лучше просто и сейчас, чем подробно и никогда»,
предложил свою вариацию на тему моделирования нарушителя, разделив их на 4 уровня:
😛 Хакер-оппортунист - мамкин-хакер или хактивист, звезд с неба не хватает, использует обычно готовый инструментарий
😂 Хакер с целеполаганием - может и кастомный эксплойт для известной уязвимости написать, но основное его отличие в целеустремленности и выборе целей
😉 Хакер-организатор - тратит много ресурсов на организацию атаки, стараясь оставаться незамеченным, может быть даже "в погонах", но не самого высокого ранга
😎 Хакер-хищник - желает стратегического доминирования в киберпространстве и предпринимает для этого максимум усилий.
По мнению автора эта градация позволяет писать модели угроз любой сложности, но как по мне, это возможно только если ты прекрасно разбираешься в теме и представляешь, какими возможностями обладает каждый из 4-х уровней. Без этого это еще одна классификация хакеров, не более.