Фоточки с клуба рисковиков подогнали, где я рассказывал про невозможность ⛔️ количественной оценки рисков. Презу я уже выкладывал и слайды не будут чем-то новым. Просто тот редкий случай, когда можно смело 😏 надевать худи "Не введи нас во искушение, но избави нас от Лукацкого" 😱
Читать полностью…📺 Музеи — это окно в мир истории и культуры, где прошлое становится доступным для нас здесь и сейчас.
На протяжении последних десятилетий компьютеры и информационные технологии стали неотъемлемой частью человеческого бытия. Виртуальные миры, программные коды и вычислительные машины, которые изменили нашу жизнь — все это можно найти в IT-музеях, где каждый сможет не только увидеть артефакты цифрового прогресса, но и вдохновиться для будущих инноваций. Музеи являются источником знаний о том, как современность стала такой, какой мы ее знаем.
Мы составили подборку интересных IT-музеев, в которых вы почувствуете себя участником развития цифровой эпохи, узнаете о первых вирусах, ознакомитесь с техникой советского и зарубежного производства, а также увидите другие экспонаты, благодаря которым так стремительно эволюционировал наш рукотворный мир. Подробнее читайте в наших карточках.
Яндекс-музей
Музей криптографии
Политехнический музей
Музей советских игровых автоматов
Онлайн-музей вредоносных программ
Почему у меня слово "чеклист" на смартфоне автоматически меняется на "чекист"? 🫡 Вроде день сотрудника госбезопасности уже прошел...
Читать полностью…Во всей этой истории с Lockbit безопасникам интересно не то, что группировка меньше чем через неделю восстановила инфраструктуру, и не то, что они уже снова начали заражать новых жертв, и не то, что они пишут более сложную и опасную версию Lockbit 4.0, и не то, что они вдруг порефлексировали в открытом письме в адрес ФБР, а всего одна фраза из него:
I didn't pay much attention to it, because for 5 years of swimming in money I became very lazy, and continued to ride on a yacht with titsy girls.
Я не уделил достаточно внимания [результатам пентеста своей инфраструктуры], потому что после 5 лет купания в деньгах я стал очень ленивым и продолжал ходить на яхте с грудастыми девками.
Вторая моя публичная презентация на Digital Kyrgyzstan 🇰🇬 посвящена SOCам и она продолжает первую историю про методы атак на банковские инфраструктуры. Если в ней я только наметил технологии, которые позволяют выявлять и бороться 🛡 с описываемыми атаками, то во второй презентации я рассказываю, как это все объединить 🎮 вместе, на каких принципах строится свой центр противодействия киберугрозам и почему триады SIEM+NTA+EDR недостаточно, чтобы называться SOCом! 🧃
3-я презентация посвящена больше стратегии построения SOC и на чем ему нужно фокусироваться, чтобы быть эффективным и приносить результат и пользу 🍬 Ну а 4-е выступление (3-4 в закрытой части 🤫) уже про то, как вообще увязать ИБ с бизнесом и на чем стоит фокусироваться, в том числе и с точки зрения центров противодействия киберугрозам. Все 4 выступления дают целостную картину мониторинга и реагирования, которое не только важно для ИБ, но и понятно для топ-менеджеров. Что и требовалось... 🤗
Кстати, о спецслужбах... 👮🏻 Мне тут после вчерашней заметки про недопустимые события несколько человек уже написало в личку, что они уже эти НС в страшных снах 😴 видят. Так вот, как муж психоаналитика, могу сказать, что этому есть свое название - "энэсэофобия". Но этот страх не имеет отношения к НС - это боязнь спецслужб, следящих за тобой в соцсетях 👀. У некоторых ИБшников это уже стало профессиональным заболеванием. И недопустимые события тут ни причем 🤷♀️
Читать полностью…Альянс пяти глаз (на пятерых) 👀 во главе с английским NCSC выпустил бюллетень, в котором описал изменения в тактиках и техниках группировки, за которой якобы стоит СВР, которая атакует западную демократию 🤕 Честно говоря, в этот раз не особо интересное чтиво оказалось 🤠 Все изменение - первичный вектор сместился с использования уязвимостей на периметре и внутренних системах на поиск слабых мест в облаках 😶🌫️, используемых жертвами (кража токенов, атаки на MFA и т.п.).
После того, как американцы 2 года назад кинули всех россиян с доступом к облачным сервисам, доверие к облакам сильно пошатнулось (и не только в России, но и в других регионах и странах). Так что даже почерпнуть из бюллетеня что-то интересное и полезное не получится... 🤷♀️
Я уже упоминал, что у меня в Бишкеке 🇰🇬 будет 4 или 5 выступлений. Одно из них посвящено атакам на инфраструктуры финансовых организаций и тому, как этому противостоять. Времени будет немного, поэтому буду перемежать конкретные кейсы взлома организаций из Кыргызстана с общей статистикой атак на финансовые организации 🛡
Читать полностью…Пора создавать ассоциацию ИБ-компаний, которые попали под санкции (Association of Sanctioned Security), так как их число уже перевалило за 20. Сокращенно, я бы ее назвал 🔤🔠🔠 И пусть попробуют ее тоже санкционировать - предвижу заголовки американской прессы 🍑
Читать полностью…Хакерские форумы все активнее включают в правила запрет на любые операции, связанные с шифровальщиками (продажу, разработку, рекрутинг персонала и т.п.). И лично у меня это поднимает несколько вопросов:
1️⃣ Если эта тема токсична и ею стремно заниматься, так как поймают и накажут (как Lockbit и др.), то значит остальные темы не так опасны для их организаторов и спецслужбы и правоохранительные органы не сильно напрягаются в борьбе с продажей доступов в организации, продаже зеродеев и т.п.?
2️⃣ Если на обычных форумах такие темы блочат, то скорее всего рансомварьщики перейдут на специалиазированные форумы (такие есть) и в чем тогда смысла? Прикрыть свою жопу?
3️⃣ Сокращение числа площадок, где рекламируются шифровальщики, сокращение кормовой базы, а также более активная роль правоохранителей в поимке, не означает ли более агрессивной политики группировок вымогателей и роста суммы выплат? Раньше они не позволяли себе атаки на медицинские организации, а сейчас в полный рост.
Зашел у меня тут разговор с коллегами, которые работают в государственном секторе, про недопустимые события 💥 С самим термином вроде уже потихоньку многие смирились и логика его появления стала более понятной. Но вот, как их определять, до сих пор вызывает вопросы, основной из которых звучит так:
Пусть Минцифры даст 🫴 нам список недопустимых событий и мы тогда сможем с ними эффективно бороться!
Испанский стыд стартап Variston, разрабатывавший шпионское 🔍 ПО, испытывает проблемы. Часть сотрудников покидает его после того, как Google раскрыла используемые им эксплойты, а сама компания, похоже, закрывает свою деятельность ❌
В сентябре 2021 года международной организации по стандартизации ISO была подписана Лондонская декларация по климату, которая обязывает включать тему изменения климата 🌪 во все стандарты ISO, включая и серию ISO/IEC 270xx. И вот первой жертвой стал основополагающий стандарт ISO/IEC 27001:2022 - к нему принята первая поправка, которая как раз и определяет, что при управлении ИБ надо брать во внимание тему управления климата ☄️
Стандартизаторы ISO считают, что она затрагивает множество разных направлений - управление цепочками поставок 🚛, здоровье и безопасность персонала (вот выйдет аналитик SOC, сидящий на Шпицбергене, пописать на мороз и отморозит 🥶 пальцы), доступность и использование ресурсов и энергии 🔋, непрерывность бизнеса, управление активами и встречи с заказчиками, контрактные обязательства и т.п. Может ИБ это все и затрагивает, но зачем в стандарт-то все это тянуть?
Такими темпами они и толерантность в стандарт ISO/IEC 270xx включат и будут требовать от CISO иметь в своем штате определенное количество представителей меньшинств и определенных рас 👨🏿🦳! Не дело это, смешивать политику и ИБ на уровне международной организации, которая стандарты для 160+ стран разрабатывает.
В четверг в Совете Федерации прошла встреча на тему страхования киберрисков и там страховщики привели интересные цифры 0️⃣ емкости рынка для этого вида услуг.
Хотя 5️⃣0️⃣0️⃣0️⃣ как сумма компенсируемого морального ущерба - это не то, что хотят пострадавшие. По проведенному мной опросу порядок цифр совсем другой. На выплату в 5000 💸 согласно всего 2% опрошенных.
Так что будем посмотреть, продавят в парламенте эту идею или все-таки откажутся?.. 🗑 Если продавят, то страховщики будут всеми правдами и неправдами отказываться от страхования, а если их обяжут это делать, то они найдут способы не выплачивать компенсации 🤷♀️. И сделать это будет несложно - достаточно сослаться на то, что за атакой стоят поддерживаемые сопредельным государством хакеры, то есть речь идет о форс-мажоре (такие кейсы уже были в страховании зарубежом). И сама идею страхования киберрисков будет похоронена ⚰️ надолго. Может в этом план?
🤔 Кого можно назвать человеком года в сфере кибербезопасности?
Узнаете, посмотрев на обложку нового Positive Research. Ищите свежий выпуск, если хотите разгадать загадку.
Больше никаких спойлеров — только короткие анонсы нескольких материалов, опубликованных в бумажной версии и на сайте нашего медиа:
• «Из любви к запретному»: история XSpider и создания Positive Technologies — подробное интервью с Дмитрием Максимовым, сооснователем Positive Technologies и «отцом» нашего первого продукта — сканера уязвимостей XSpider, которому недавно исполнилось 25 лет. Без скандалов, интриг, расследований, но подробно и с душой.
• В рубрике «Темная комната» по традиции сохраняем анонимность автора, который говорит о проблеме CISO — отрицании киберинцидентов и нежелании признавать, тем более, публично свои ошибки.
• Презентуем еще одну интересную рубрику — «Неудобные вопросы», в которой спрашиваем экспертов по кибербезопасности о том, о чем не принято говорить в корпоративном мире.
Читайте, делитесь впечатлениями, а кто же там все-таки на обложке… напишем в другой раз, чтобы не портить сюрприз.
#PositiveResearch
Лежащая на поверхности идея сделать на базе матрицы ATT&CK таксономию попыток мошенничества. Вот в проекте ATT&CK4FRAUD эту попытку попробовали реализовать, но не довели до конца...
Читать полностью…Picus Security выложили свою десятку техник, используемых хакерами в 2023-м году. Относиться к данному 🔝 надо с определенной долей скепсиса, так как это только то, что наблюдают специалисты Picus Security у своих заказчиков. У других ИБ-компаний, которые делились своими Топ10 TTP, другая десятка 🔟 Например, у WatchTower (вы слышали про эту ИБ-компанию?) в десятку входят техники, 7 из которых отсутствуют у Picus. 7 из 10 ‼️ Это очень большое отклонение.
Читать полностью…Немного смущает, когда у удостоверяющего центра вдруг оказывается просроченным сертификат и несколько дней этого никто не замечает… 🤔
Читать полностью…Нет позиции - пусть будет экспозиция! Это краткий пересказ заметки Александра Леонова про термин "exposure", который активно используется у иностранцев. Александр считает, что раз наши регуляторы его не определили (а должны?), то пусть будет дословная калька - "экспозиция". Как по мне, так exposure прекрасно переводится как "незащищенность". Можно еще и игривое "обнаженность" 🍑 или "нагота" использовать. Ну уж точно не фотографическое "экспозиция"... 🤕
Хотя зачем вообще задумывать о переводе этого термина? "Exposure Management" вполне себе можно произносить в тех редких случаях, когда это зачем-то надо. И если уж на то пошло, то Александр забыл про свой проект с аббревиатурами для разных классов управления уязвимостями. Если уж у него есть СУУ, СДУП, СДУК и иже с ними, то почему бы не быть и СУНК (система управления незащищенности или наготой компании)? 🍞
Закономерный вопрос - кто победит ❓ Хакеры, занимающиеся "чистым" творчеством, или ИБшники, уехавшие на Магнитку, которые погружены в корпоративную бюрократию и на практическую ИБ у которых остается всего 23 минуты из всего рабочего дня ⁉️
ЗЫ. В каждой шутке есть только доля шутки 🤡
Вот чего не хватает нашей ИБ - когда о ней начинают говорить топовые инстаграмщицы и блогеры 😲 Представляете, что было бы, когда какая-нибудь Бузова 😱 у себя в Инсте скажет, что для доступа к ее видео надо поставить сертификат Минцифры?.. Шок-контент 😲
Читать полностью…Дошли наконец-то руки дочитать список новых санкций от США 🇺🇸. В этот раз они существенно расширили список ИБ-компаний. Все они попали в список по разным основаниям - кто-то из-из того, что относится к технологическому сектору, кто-то из-за активной работы с оборонкой. В любом случае это следующие имена:
1️⃣ Код безопасности
2️⃣ Редсофт (выпускают сертифицированную по требованиям ФСТЭК операционную систему)
3️⃣ Т1 Холдинг
4️⃣ РусБИТех
5️⃣ Валидата
6️⃣ КриптоПро
7️⃣ Фактор-ТС
8️⃣ Системы практической безопасности.
В этот раз американцы не сильно запаривались с поиском оснований и просто стали включать в санкционный список ⛔️ просто потому, что компания "having operated in the technology sector of the Russian Federation economy", то есть просто работает в технологическом секторе, что открывает для Байдена огромное поле для все новых и новых пакетов санкций (в технологическом секторе у нас много кто работает) ⛔️
ЗЫ. 5 игроков рынка криптографической 🗝 защиты информации, в том числе выпускающие и "железные" СКЗИ. И осталась у нас вроде только одна криптографическая компания, лицензиат ФСБ, которая не под санкциями 👏 Ну или две.
🆕 Интересный пример реакции компании на инцидент ИБ. Компания Change Healthcare (США) столкнулась 21-го февраля с инцидентом 🔓 Первоначально компания не признавала это проблемой ИБ и просто ссылалась на недоступность отдельных приложений, а потом и сетевых коммуникаций. Спустя 12 часов компания признала, что это инцидент ИБ 🤕 Ожидалось, что нарушение работы сервисов продлится не менее одного дня. Но прошло уже 4 дня, а компания все еще не восстановилась.
С 21-го по 23-е февраля компания отделывалась на специально созданной страничке повторяющейся фразой, что они знают про инцидент, что во избежании проблем у клиентов и партнеров они отключили себя от внешнего мира, что это внутренняя проблема компании и на другие активы группы UnitedHealth Group 🏥 этот инцидент не распространился и что инцидент продлится не менее суток.
С 23-го риторика поменялась. К стандартной фразе добавились слова о том, что компания работает 🛠 над разными подходами к восстановлению, что они не готовы брать на себя ответственность за озвучивание сроков восстановления, что они будут предпринимать агрессивные (как это?) меры по восстановлению и т.п. 🤕
Логика в публикации апдейтов на сайте не прослеживается. Где-то идентичные сообщения разделяют 3 часа, где-то 12 минут, где-то 9, где-то и вовсе 1 минута. В чем смысл постить одно и тоже случайным образом не очень понятно. Ясности это точно не добавляет 🤦♂️
Согласно источникам, атака началась через Zero Day в ConnectWise и это привело к сбоям в поставке лекарств в аптечные сети по всей Северной Америке 🇺🇸 Рейтинговое агентство Moody's заявило, что эта атака негативно 📉 скажется на кредитном рейтинге UnitedHealth Group, в которую входит Change Healthcare (другое регйтинговое агентство, Fitch, правда, уверяет, что негативного влияния на рейтинг пока никакого нет). Сама пострадавшая компания пока никак не оценивает финансовые потери от данного 4-хдневного (пока) инцидента 🤑
📌 Для информации: Схожая история случилась в России летом прошлого года, когда в Приморье вышла из строя система распространения льготных лекарств. А 4-мя годами ранее, наше Правительство предлагало разрешить продажу лекарств в Интернет только тем аптекам, которые имеют аттестат ФСТЭК на свои информационные системы.
Когда я был маленький... я рос на балете 🩰 Петра Ильича Чайковского "Лебединое озеро", которое очень часто ставили по телевизору 📺. Чуть постарше переключился на авторскую песню и так на ней и застрял. Современную музыку принимаю не сразу; иногда не воспринимаю вообще. С интересом наблюдаю, когда пытаются скрестить ИБ и музыку 👨🏻🎤 - как это было на последних PHDays, где ИТшники показывали свою творческую сторону с неожиданной стороны или как это делают различные зарубежные ИБшники и ИБ-компании, чье творчество я регулярно выкладываю тут 🎤
И вот воскресенье, утром. Сижу, пью свежесваренный кофе ☕️, листаю даркнет... Стучат... Не в дверь, пока только в личку. Творческая группа "Код404" решила, что со мной можно поделиться своим музыкальным творчеством про кибербез и ИТ. Сам дуэт имеет ИБшное образование, один из участников имеет отношение к ММА 👊 (смешанные боевые искусства), снимают кино (сейчас монтируют фильм "Уязвимость"), хотят пропагандировать ИТ и выбивать для них льготы... Разносторонние личности, почти как я 🤠
Мне прислали 2 трека - "Кибербез" и "Дедлайн", один из которых я и решил выложить в канале. Давать оценку не буду - вкусы у всех разные, а навязывать свой не хочу. Как и рекламировать ребят тоже - у них в канале, созданном в декабре 2023-го года, и так больше 50 тысяч фанатов. Так что это не мне их продвигать надо, а скорее мне к ним напрашиваться 🫴 Найти в телеге их не сложно, как и на музыкальных площадках страны.
Разгребая книжные завалы, наткнулся на этот неудачный пример моего выхода на англоязычный книжный рынок. Было это в начале 2000-х годов. В моем активе уже была книжка про обнаружение атак 🔍 (вроде еще до второго издания) и издательство предложило мне доработать ее для американского читателя. Работа была сделана - я написал новую редакцию книги и издательство взялось за ее перевод ✍️
И вот тут и произошел сбой. Переводчик оказался далек от темы (это видно уже по заголовку, где используется protection вместо security) и родил нечто, за что мне до сих пор стыдно 🤠 Договор не предусматривал моего вмешательства в процесс и книга ушла вот в таком варианте. Продажи были единичными (по словам издательства), гонорар я не получил, отзывы на Amazon нелицеприятными. Завоевания американского рынка не произошло, а я извлек соответствующие уроки 🤡
Сначала у вас в коде open source появляется мааааленький такой захардкоженный бэкдорчик 🚪 Потом этот код копируется в корпоративный продукт по управлению ИБ и находится там годы (!). Потом через бэкдор взламывают компании по миру…
Угадайте название продукта. Да, это Ivanti Endpoint Manager
ЗЫ. Это все к разговору о важности процесса SecDevOps 👨💻 и необходимости проверять заимствованный код. Особенно важно это для ИБ-компании 👀