Всемирный экономический форум выпустил свой новый ежегодный отчет по глобальным рискам. Киберпреступность и атаки на КИИ присутствуют, но их значение чуть снизилось по сравнению с предыдущими годами. Хотя надо признать, ВЭФ регулярно меняет методику оценки, так что тут скорее важно, попал риск в десятку или нет. А кибербезопасность будет важной, по оценкам, на десятилетнем горизонте точно.
В конце отчета есть результаты опроса 121 страны, которые оценивали Топ5 рисков именно для себя, - России в списке нет :-(
С помощью генеративного ИИ сейчас можно (и модно) рисовать занимательные (и залипательные) картинки, инфографику и иллюстрировать ими статьи и иные материалы. А можно и различные ИБшные отчеты со статистикой, как показано 👆
Это к разговору о том, заменит ли ИИ ИБшных маркетологов и дизайнеров?.. Сейчас можно бесплатно оформлять презентации, статьи, исследовательские отчеты, фокусируясь целиком на контенте (если он есть).
Мне кажется Альперович нашел золотую жилу. Мало того, что Тайвань можно заменить на 190 других государств и тем самым обеспечить себе, как минимум, 190 лекций, так Тайвань можно заменить любым другим словом и получить безграничные возможности по выступлениям по миру на протяжении всей жизни. Тони Робинсон отдыхает. Еще и на дизайне рекламного баннера можно сэкономить...
ЗЫ. Когда мне станет нечего делать, я тоже институт имени себя возглавлю. Ну или начну активнее раскручивать свою ассоциацию НАИБАЛ (Некоммерческая Ассоциация по Информационной Безопасности Алексея Лукацкого).
ЗЗЫ. Альперович, кто не помнит, был одним из руководителей CrowdStrike
Как дешево и сердито сделать так, чтобы ИБшники и ИТшники не уехали из страны? Всем выдать ордена "За заслуги перед Отечеством"! С одной стороны это солидное поощрение. А с другой - такого ИБ/ИТшника за рубежом уже никто на работу не возьмет, так как все будут думать, что он работает на российские спецслужбы. И в итоге смысла уезжать из страны, если тебя нигде не берут, не будет! Да и для бюджета экономия - наштамповать орденов не сложно - это вам не льготную ипотеку оформлять. И дешевле золотых червонцев, которые на днях ЦБ в оборот запустил. Со всех сторон польза.
Читать полностью…Акционеры SolarWinds (помните таких?) подали апелляцию на решение суда об отказе в привлечении руководства компании к ответственности за систематическое многолетнее игнорирование вопросов ИБ 🤔
Читать полностью…Реализованные, планируемые и непланируемые элементы стратегии Threat Intelligence в организациях, согласно опросу CyberRisk Alliance Business Intelligence и RSA Conference. Планируемые компоненты плюс/минус все хотят одинаково. А вот в самые нежелаемые попали учет методологии kill chain и фреймворка MITRE ATT&CK.
Интересно, что они и реже всего используемые. И это странно, конечно, учитывая то, какой шум идет вокруг MITRE ATT&CK. Ладно kill chain - в TI эта концепция и правда не очень практична и полезна. Но ATT&CK-то?..
"15 минут на обнаружение и реагирование на инциденты", - говорили они. Ага, счаз... Реальные опросы показывают, что компаниям нужно гораздо больше времени на обнаружение кибератак, чем декларируемые многими коммерческими SOCами 15 минут.
И тут возникает закономерный вопрос: кто прав? То ли компании ничего не смыслят в ИБ и не умеют своевременно детектить атаки. То ли коммерческие SOCи врут лукавят или свои маркетинговые цифры брали на очень небольшой инфраструктуре (например, своей). А может и правда у них есть некая серебряная пуля, способная сократить время обнаружения и реагирования в 10-20 раз?
Могу сказать, что в Сиско тоже цифры по времени обнаружения были ближе к графику, чем к маркетингу (и тем более не пресловутое право 1-10-60). Поэтому, сталкиваясь с SOCом, который впаривает вам про среднее время обнаружения в 15 мин, попросите у него доказательства…
Немного предыстории. Когда я строил дом 🏡 10 лет назад, я заранее закладывал риск отключения электричества и сбоя в отоплении. Поэтому использовал и пассивные меры защиты (замена 160-го бруса на 200-й), и активные (газовая плита вместо электрической, дровяной камин и т.п.). И вот на Рождество риск реализовался в худшем варианте - в районе не только вырубили электричество (на улице было -25), но и произошел сбой в отоплении в одном из тепловых контуров (часть радиаторов работала, а большая часть нет). В итоге температура стала существенно понижаться. Стал искать мастеров, готовых в Рождество приехать и все починить. В итоге остановился на одном, который сразу сказал, что он деньги берет только в том случае, если он сможет мне помочь. В обратном случае - сколько бы он не работал, денег он с меня не возьмет. Чем и подкупил меня 🙂
И мне такой подход мастера напомнил, что неплохо бы и в ИБ у нас иметь такое же. Этакая результативная ИБ - заказчик платит 🤑 только тогда, когда поставщик гарантирует результат. Так, например, происходит в Bug Bounty. Вы, как заказчик, платите только тогда, когда багхантеры находят уязвимости в ваших системах. Они могут сделать это за час и получат свои 400 тысяч рублей, а могут промучаться год и не найти ничего, так и не получив никакого вознаграждения. А что если бы и SOCи были результативные? Пропустил атаку, допустил утечку - не получишь денег, лежащих на особом счету, с которого и списываются деньги в случае выполнения условий контракта. 🧐
Наверное, такая схема будет работать не для всех сегментов рынка ИБ, но для многих такой сценарий вполне возможен. Оплата не "почасовая", а "за результат"; не "за лицензию на ПО", а "за получение результата от его покупки". Даешь результативную ИБ в каждый дом бизнес!!! 👍
Не читали мой канал во время новогодних праздников? Был цифровой детокс? Хочется быстро погрузиться в то, что произошло за 9 дней нового года? Я сделал подборку горячей десятки+ новостей.
Читать полностью…Продукт-мечта!.. Думаю в новом году Гартнер порадует нас новыми аббревиатурами, а вендора придумают какие-нибудь новые категории продуктов по ИБ, чтобы быть в новых нишах лидерами!
Читать полностью…В 2015-м году Fortinet выпустил видео, которое выглядело так, как будто сотрудники ИБ-вендора под кайфом 🍀🤢 поют какую-то чушь. Видимо, понимая, что оно именно так и выглядит, Forinet удалила это видео с Youtube, а заодно и из Интернет-архивов. Но Интернет-то помнит... 😇
Но... как бывший сотрудник крупной международной компании могу сказать, что это для американского бигтеха норма 🥳 На корпоративных тусовках чего-то только не делаешь 🤘 А уж какую чушь творят большие боссы и в каких клипах они снимаются для поднятия корпоративного духа и желая показать, что они такие же как все и как рядовые сотрудники 🤪 Короче, хорошо, что ролики Cisco про ИБ не утекали в сеть 😂
Не знаю, как вы проводите свои последние дни праздника, а я все-таки посетил музей криптографии. Сейчас, когда ни вакцинацию от COVID-19 не надо подтверждать для посещения музея, ни ПЦР сдавать, самое время для расширения профессионального кругозора. Кроме того, мне было интересно, насколько наш музей отличается от национального криптологического музея при АНБ? Ну что я могу сказать - музей однозначно рекомендован к посещению; особенно если у вас есть дети 12+, которые найдут в музее множество интерактивных занятий - от VR-экскурсий в квантовую запутанность до разгадывания шифров. Но и для взрослых в музее есть что узнать нового. И хотя у меня есть определенные вопросы и к логике прохождения залов и к отдельным экспонатам, о чем я еще напишу отдельно и в блоге, я 3 часа там провел точно не зря.
ЗЫ. Зал с "Фиалками" особенно хорош 👍
Распространяемые в соцсетях "списки мобилизуемых" - это в лучшем случае дезинформация, а в худшем - фишинг, целью которого является компрометация компьютера/учетных записей доверчивой жертвы!
Будь бдителен!👀
Продолжаю вчерашнюю заметку про то, как CISO ходят к топ-менеджменту рассказывать о своей деятельности. Сегодня поговорим о том, как и какие CISO представляют данные по рискам, угрозам и недопустимым событиям.
Читать полностью…Внутренняя конкуренция между криптографами царских времен, измерение эффективности, гонка за лучшими показателями, метрики... Ничего в этом мире не меняется...
ЗЫ. Фото сделано в экспозиции музея криптографии.
Железный занавес опускается, но иногда из-за него прорываются искры и даже лучи лучших практик в области кибербезопасности, которыми я, по мере своих сил, делюсь. На этот раз мне хотелось бы привести 8 примеров содержания отчетов, с которыми руководители ИБ ходят к своему руководству.
Читать полностью…Интересно, LockBit за 3 недели до ареста REvil уже знали об этом (на картинке фрагмент «переписки» LockBit и REvil)? Пресс-релиз об аресте членов группировки появился именно 8 ноября
Читать полностью…Реализованные, планируемые и непланируемые элементы стратегии управления уязвимостями в организациях, согласно опросу CyberRisk Alliance Business Intelligence и RSA Conference.
Автоматическое устранение, приоритизация и визуализация пути атаки через выявленные уязвимости входят в тройку самых планируемых в 2023-м году. Автоматизация - это вообще хит всей ИБ на годы вперед. Приоритизация, при ежегодном росте числа CVE и уходе иностранных ИТ-компаний вместе с официальными обновлениями, тоже становится важной. Ну а визуализация - это мостик в сторону понимания того, что может сделать и куда залезть хакер, проэксплуатировавший дыру в софте.
С уязвимостями АСУ ТП странная история - примерно одинаковое число респондентов планирует и не планирует этот компонент.
ЗЫ. Кстати, число уязвимостей больше 25000 CVE и дыры в open source и всякие взаимозависимости в него часто не попадают
Интересно, конференция ФСТЭК «Актуальные вопросы защиты информации» в этом году будет или нет? Регулятор молчит (хотя раньше, бывало, уже осенью анонсировал проведение мероприятия). На сайте ТБ-Форум тоже обходят стороной этот вопрос. Полная неопределенность…
Хотя, если допустить, что в феврале будет вторая волна сами знаете чего, то регулятор действует разумно - смысл проводить конференцию, если целевой аудитории будет не до этого. А онлайн можно очень быстро организовать.
С другой стороны, в феврале по части ИБ пройдет Инфофорум (вместо традиционного января), Уральский форум ЦБ и «Магнитка» от Авангарда. И как туда втиснуть еще и конфу ФСТЭК, совершенно непонятно. Может она будет в марте? Но и там с датами не то, чтобы совсем свободно. В общем, одни вопросы…
Фишинг есть фишинг, но не исключено, что в какой-то момент времени вендора могут начать за пользователей решать, что им хорошо, а что небезопасно. Да еще и деньги брать за это 🤑
Читать полностью…Интересно, что согласно опросу CyberRisk Alliance Business Intelligence и RSA Conference, для защиты e-mail самыми эффективными считаются шифрование электронной почты и решения по защите BEC (Business Email Compromise). А вот тренинги персонала, сканирование аттачей, защита от подмены адресов и фишинга требуют существенных улучшений и доработок, чтобы показать свою эффективность.
Читать полностью…Результаты опроса CyberRisk Alliance Business Intelligence и RSA Conference показывают, что компании в Топ3 планируемых к использованию решений ИБ включают Zero Trust, автоматизацию реагирования и XDR. В Топ3 непланируемых инвестиций попали - защита АСУ ТП, защита IoT, XDR. Да, последний класс решений попал сразу в две категории 🙂, но планируют XDR в 1,5 больше респондентов, чем не планирует.
Интересно, что в тройку уже реализованных решений входят антивирус (тут все понятно), патч-менеджмент (тут тоже все очевидно) и EDR. Вот последний пункт для меня оказался сюрпризом - EDR с 78% обошли даже сканеры безопасности (72%).
Почему, приходя к топ-менеджеру, мы не можем "продать" ему ИБ? А вы ответили сами себе на 5 возражений, которые есть и у топ-менеджера?
1️⃣ Это ко мне не относится.
2️⃣ Это не так важно по сравнению с другими моими проблемами.
3️⃣ А это точно просто?
4️⃣ А что мне это даст?
5️⃣ Ну это не так срочно, можно отложить на потом.
Если вы не можете ответить самому себе, то как вы ответите на возражения тех, кто должен у вас ИБ "купить"?
Центр Карнеги выпустил исследование о кибероперациях России в Украине, ее результатах, последствиях и перспективах
Читать полностью…Mandiant снова что-то раскопала про Turla, которую связывают с ФСБ, и которая атакует Украину
Читать полностью…Из книги одного американского военного: «поведение солдата внутри подразделения полностью определяется первыми 10 днями после его назначения в него. Если не осуществить прямое и непосредственное влияние на солдата в течение этих 10 дней, то его поведение будет определяться наблюдением за окружающими и теми правильными или неправильными выводами, которые он из этих наблюдений сделал».
Мне кажется, это можно применить и к новому члену команды ИБ. Если за первые 10 дней его не направить в нужное русло, то дальнейшее его поведение будет непредсказуемым и может быть как на пользу службе ИБ, так и во вред.