Зашел тут в одном чатике разговор о курсах по процессам SOC. Ну, как водится, все набрасывают. Я вот про курсы SANS написал (про курсы Центрального Университета, кстати, забыл), так как учился на них 👨🏫 Но потом уж подумал, что есть темы, которые выходят за рамки курсов, потому что инструктора с ними никогда не сталкивались 👨🎓
Вот, например, тема SOCов на Ближнем Востоке 🕌 Мы в 🟥 там сейчас активно работаем и могу сказать, что всплывают темы, о которых ты раньше не задумывался, но которые надо принимать во внимание руководителю SOC (то есть это не про L1-L3 и даже не совсем про процессы). Мусульманин на первой или второй линии... 🛐 Ему же надо намаз совершать пять раз в день, а процедура это не быстрая (это не православный Символ Веры прочитать) и требующая определенных приготовлений. И вот что делать, если намаз пришелся на дежурную смену мусульманина?
Это, конечно, не проблема. Вы просто, формируя график дежурной смены, учитываете этот момент ✍️ Ничего сложного. Просто об этом надо думать, чтобы не было неприятных сюрпризов, когда аналитик совершает намаз, а в это время реализуются события ИБ, требующие немедленной реакции ⏳ Кстати, в России такие кейсы тоже бывают в определенных регионах.
Я когда-то выступал с презентацией, чего не хватает российскому ФГОСу по ИБ 👨🏻🎓 И там было много интересных тем, по части из которых я даже записал бесплатный (без регистрации и СМС) мини-курс в своей онлайн-школе "ВЫШИБАЛА". И вот спустя несколько лет у меня уже поднабралась еще подборка тем, которым нужно учить ИБшников, особенно в нынешнее непростое время. Одна из них - это культурологические и религиозные аспекты ИБ на Ближнем Востоке (а также в Азии и Африке). Там ведь еще и пишут по-другому, что тоже нужно учитывать 💡
Вот приходите вы с работы, устали, садитесь на диван, вытягиваете ноги, наливайте бокал просекко 🍷 или пивасика, чувствуете, как нега разливается по телу, как размякают уставшие мышцы, как отступает злость от очередного срача с коллегами или вскользь брошенной начальником фразы... Нега и расслабон... 🏝 В этот момент к вам подходит ребенок и просит телефон "на секундочку". Вы, конечно же, не можете отказать чаду любимому и уже по привычке даете ему свой смартфон, предварительно его разброкировав и думая, что ребенок хочет поиграть в 2048 или иную какую интеллектуальную игру (ваш ребенок же - будущий Лобачевский, Мацуев или Кюри, как тут отказать) 👶
А ребенок просто делает скриншот вашего смартфона и установленных на нем банковских приложений, после чего отправляет это человеку, который обещал ему взамен робаксы в Roblox или иные ценные артефакты или виртуальную валюту в какой-либо игре 🎮 И ребенок, не видя ничего зазорного, за копеечку малую, отправляет все запрошенное мошенникам. А потом получает вторую команду - отправить на номер 900 слово, позволяющее проверить баланс на счете, и тоже пересылает эту информацию мошенникам. А потом... Ну а что потом, вы и сами можете догадаться 🤑
Придя с работы, не расслабляйся, бди!
Про свой ПИН-код нигде не звизди!
Телефон даже детям с оглядкой давай!
Варежку и дома не разевай! ⛔️
ЗЫ. Спасибо коллеге за присланную историю и реальный скрин!
Если вы думали, можно ли и как лучше применить ML для процесса Threat Intelligence, то свежий опрос SANS дает ответ и на этот вопрос 🤒 Но нельзя сказать, что ответ является откровением - на каждом из этапов CTI (сбор данных, обогащение, анализ, персонализация, анализ обратной связи) плюс/минус одинаково используются. Ну разве что анализ чуть вырывается с небольшим отрывом. Но тут, скорее, это связано с тем, что это самый очевидный путь использования ML и с него все и начинают. Я тоже регулярно на вход GenAI (у нас внутри 🟥 развернута своя собственная LLM) подаю всякие логи, индикаторы, TI-отчеты и прошу быстро сделать некое резюме. Это сильно экономит время ⏳
Читать полностью…Всегда был сторонником идеи, что "кесарю кесарево" и что задача SIEM агрегировать и анализировать события безопасности, а работу с Threat Intelligence лучше отдавать в специализированные решения - коммерческие типа Anomali или PT Threat Analyzer или open source типа MISP или OpenCTI 📖
Но вот очередной опрос SANS показывает, что большинство специалистов все-таки SIEM использует под задачу сбора, анализа, представления данных CTI. Треть компаний пишет вообще свое (например, Cisco CSIRT написал под это дело gosint, помимо использования MISP и Anomali). Но есть и те, кто пошли по пути наименьшего сопротивления и используют таблицы и e-mail. Герои!!! 💪
Но вывод простой - прежде чем искать какое-то новое решение под свою задачу, посмотри, не может ли текущее решение справиться с ней? По крайней мере на первых порах 💡
МВД 🇷🇺 запилило ролик про фейковых майров ФСБ и сотрудников служб безопасности банков и телефонное мошенничество 🥷 Инновационно, с использованием искусственного интеллекта 🧠
Надеюсь только, что это творчество 📺 делали в обеденный перерыв, минут за 10-15, и на его создание не потрали бюджет, больший чем потери от всего кибермошенничества 🥺 Сделано, мягко скажем, на троечку. Но как первый опыт, пойдет (если, опять же, не были потрачены на это миллионы).
Аффтар, давай ищщо (с)
ЗЫ. Вот этот ролик получше был.
А вот кому интересный опросник, который позволяет оценивать различные SIEM, размещаемые в облаках? 😶🌫️ На днях, на одном из мероприятий SANS выдавали участникам. А я подумал, чего его в себе держать, - пусть все пользуются.
Он, конечно, немного заточен под иностранных игроков ( в части упоминаний интеграций с источниками данных, с SOAR и т.п.), но в остальном хороший набор фич, который можно спрашивать с вендора в зависимости от ваших потребностей 🫴
Очередная рефлексия на тему маркетинга в кибербезе. Я про это активно пишу ✍️ в блоге (это одна из популярных рубрик у меня) и в этот раз снова не удержался. Наболело... 😠
Читать полностью…Так выглядит продажа доступов в компании с общим годовым доходом в 1 триллион 😲 долларов (это как 💲1️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣0️⃣) через взломанного подрядчика 😮
Вы можете быть защищены как угодно, но достаточно одного дырявого подрядчика и упс...
RU-CENTER на РИФ привел статистику, что только 9% их клиентов, а это крупнейшие компании России, включили многофакторную аутентификацию для защиты своих доменов. Да, это пугающая статистика 😮 и опасения RU-CENTER понятны, но есть два больших "но".
Во-первых, что мешает регистратору доменов отключить обычную парольную аутентификацию в своем сервисе? 🤦♂️ Вот прям так взять и отключить. Госуслуги же так поступили. Почему RU-CENTER не может? И не надо было бы тогда жаловаться на низкий уровень защищенности доменных имен. Во-вторых, тот же RU-CENTER уже был замечен в сбросе функции MFA у своих клиентов - я лично с этим столкнулся в прошлом году 🤠 Хорошо, что вовремя заметил и включил обратно.
Но если отбросить в сторону историю с RU-CENTER, то ответьте себе на вопрос, а вы после историй начала 2022-го года, когда массово перехватывали управление доменами, в том числе и госорганов, поменяли метод аутентификации у своего регистратора домена/доменов? 🌐
👀 На киберфестивале Positive Hack Days 2 у нас было 27 треков, более 520 спикеров, тысячи часов выступлений, сотни презентаций…
Все это было категорически необходимо в путешествии по вселенной кибербезопасности, и к делу мы подошли серьезно.
🔥 На сайте киберфестиваля опубликованы все записи выступлений, а также презентации с докладов. Ищите их в полной программе и заряжайтесь позитивом! Там точно много полезного 😉
P. S. Кроме того, все записи c PHDays Fest 2 опубликованы на нашем YouTube-канале (в ближайшее время мы рассортируем их по плейлистам и поделимся ссылками в отдельном посте).
#PHD2
Бывшего бригадира российского предприятия, работающего в сфере ОПК 🚀, обвинили в удалении с рабочего ПК папки "Хлам" 🗑 с критически важными расчетами, утрата которых едва не стоила предприятию срыва гособоронзаказа. В обычной жизни мы бы посмеялись 😂 над таким кейсом и каждый вспомнил бы, как у него папка с мусором на компьютере называется (от просто "Мусор" до "какая-то *уйня"). Но когда такое происходит на объекте КИИ, нельзя не найти крайнего и навесить на него уголовное дело по статье 274.1 👮 Ведь не задаваться же вопросом, а почему удаление папки "Хлам" приводит к срыву гособоронзаказа и где было резервное копирование?
Вторая история произошла в Сингапуре 🇸🇬, где также уволенный (в первом кейсе речь также шла об уволенном работнике) сотрудник ИТ-компании удалил 180 виртуалок в качестве несогласия со своим увольнением 👿 Правда, сделал он это спустя пару месяцев после окончания контракта с ним, что поднимает вопрос, а что, в ИТ-компании не следили за сменой административных паролей уволенных сотрудников? А вы следите, кстати? ❓
Вот поэтому ФСТЭК, принимая модели угроз на согласование, никогда не пропускает модели, в которых внутренний нарушитель признан неактуальным. А это в свою очередь приводит к тому, что модель нарушителя по линии ФСБ автоматом поднимается до Н3, то есть требует применения СКЗИ класса не ниже КС3 (и никаких вам КС1 или КС2). Но это уже другая тема и к посту отношения не имеет... 🫡
Когда смотришь на "лучшие практики" иностранцев в области ИБ, понимаешь, что местами они и не очень "лучшие" 👎 Вот, например, Gartner предлагает бенчмаркинг в соответствие с NIST CSF. Вроде хорошая изначально идея - иметь фреймворк, который даст направление в сторону улучшения состояния ИБ за счет реализации неких защитных мер. В этом плане к NIST CSF у меня вопросов нет (надо, кстати, дописать обзор второй версии, я из-за PHD2 этот момент упустил).
Но затем приходят всякие консультанты 🧐 и говорят, а давайте мы оценим ваш текущий статус по сравнению с другими компаниями в отрасли? И большие начальники, которые любят себя сравнивать "с такими же как они только другими", тратят кучу бабла на такой бенчмаркинг 🤑 Консультанты долго сидят у вас в компании, в выделенном кабинете; секретарши носят им кофе, они вызывают по очереди сотрудников и задают им кучу вопросов, а потом выкатывают вот примерно такие таблички, в которых отображается разрыв между тем "как у вас" и, нет, не тем "как должно быть", а тем "как у других". И намечают роадмап (обязательно роадмап, так как иначе выглядит несолидно) по устранению выявленных разрывов 🗺
И никто не задается вопросом (а консультанты стараются тоже обходить его вниманием): "А какое это все отношение имеет к реальному состоянию ИБ?" ❓ Насколько в реальности компания защищена от действий хакеров, которые не будут читать NIST CSF, а будут искать слабые места и долбиться в них? ❓ Если компания задается таким вопросом, то хорошо; пусть в security gap и maturity level посмотрит. Но если ими подменяется реальная оценка защищенности, то, блин, компания сама себе "Буратино" 🤥
Компания Comparitech провела анализ атак шифровальщиков в 2023-м году и выяснила, что почти каждое пятое нападение программ-вымогателей привело к судебному разбирательству 👩🏼⚖️ За последние пять лет в среднем 12% таких атак заканчивались исками. Всего в прошлом году было подано 355 исков из 3002 подтвержденных атак (подтверждены самими жертвами, а не заявлениями хакерских группировок на их сайтах). Из 228 завершенных дел 59% были успешными, в результате чего компании, по чьей вине произошло заражение шифровальщиками, выплачивали штрафы 🤑 или достигали судебных или внесудебных соглашений. Только 11% кейсов суды отклонили. Самая пострадавшая отрасль — здравоохранение, где 21% атак привели к судебным разбирательствам.
Средняя сумма урегулирования составила 2,2 миллиона долларов (всего 245 миллионов на 112 кейсов) 🧐 Штрафы со стороны регуляторов тоже были, но в совокупности их сумма составила почти 10 миллионов долларов, то есть всего 4% от общей суммы урегулирования. То есть основную опасность представляют не регуляторы, а клиенты жертв вымогателей 🥷 Большинство судебных исков подано по причине утечки данных, следующей за действиями шифровальщика. И если в России возникнет рынок юридических услуг по истребованию потерь в результате утечек данных 🚰, это может стать, на мой взгляд, гораздо более серьезным мотиватором для бизнеса заняться защитой, чем страх "смешных" штрафов от регуляторов.
ЗЫ. По данным Sophos, средняя стоимость восстановления после атаки шифровальщика составила в 2023-м году 2,73 миллиона долларов, что на 50% больше, чем в позапрошлом году.
Центр макроэкономического анализа и краткосрочного прогнозирования выпустил отчет по кадрам, в котором зафиксировал, что кибербез - самая дефицитная специальность в стране 📉 То есть у нас не только с качеством обучения выпускников проблема, но и с количеством 👨💻
Ау, УМО, хватить херней заниматься. Займитесь делом! Пока вас ИИ не заменил 🤖
Выступаю я, значит, утром в Самаре на Positive Tech Day с рассказом про морковку 🥕 спереди и сзади, как инструмент мотивации или стимуляции ИБшника на лучшее понимание бизнес-потребностей его организации. К выступление коллеги и морковку подготовили брендированную, свежую, сладкую, длинную, с широким основанием корнеплода... (эпитет каждый выберет для себя). И чтобы продемонстрировать, что это не реквизит, а вполне себе реальный овощ, который можно брать и есть, разнообразив свой завтрак, я громко кусаю сей корнеплод прямо на сцене, разнося по залу хруст свежести и мотивации ✊
Но так как есть и говорить одновременно непросто, то я откладываю свою морковь с намерением вернуться к моей "радости" по окончанию выступления ☕️ И что же вы думали?.. Кто-то стащил ее! Более того, кто-то с ней даже фотографировался, как заметили бдительные коллеги! 📸 Но что меня напрягает больше всего, так это то, что кому-то в руки попали слепок моего укуса, моих зубов, который, как известно, может быть отнесен к биометрическим персональным данным! 😁 Теперь, если вдруг в ЕБС добавят новую модальность в виде зубного слепка, то я всерьез напрягусь по этому поводу! 😂
ЗЫ. Но если шутки в сторону, то кто спёр мою покусанную морковку?
ЗЗЫ. У нас еще и рюкзак увели, но тут мы провели расследование и знаем в лицо того, кто это сделал (мы же не зря услуги по расследованию предлагаем). Такое доброе, милое лицо 😈 на видеонаблюдении…
Вчера, в аэропорту имел беседу с представителем службы авиационной безопасности 🫡, которая попросила меня достать и включить ноутбук (ну, это стандартная история, привык). Но когда она меня попросила открыть считыватель дисков, я впал в некоторый ступор 🖥 Пришлось покрутить ноутбук в разных проекциях, чтобы показать, что никакого отверстия для вставки CD в ноуте нет. Даже понажимал по ее просьбе в разные места на корпусе, что доказать, что и скрытого считывателя тоже нет 😦 ВЫВОД №1: Регулярно проводите повышение осведомленности персонала, чтобы они были в курсе того, что происходит в их сфере контроля.
Ровно та же история бывает с Flipper Zero, который, когда спрашивают, можно выдать за внешнюю батарею, а Wi-Fi-модуль к нему за внешний жесткий диск. Пока работает... 🛩 ВЫВОД №2: Threat Intelligence тоже должен быть не разовым, а в форме процесса.
ЗЫ. Картинку честно стащил из Интернета. Надо будет себе футляр тоже купить, а не в рассыпуху возить...
Не знаю, задавались ли вы вопросом, а я задавался - как хакеры обучают свои модели ML для вредоносных целей. Ведь это стоит бешеных денег 🤑 Так вот, в рамках одного исследования, выяснилось, что хакеры обленились и перестали идти по сложному пути. По сути, из публично известных, сегодня есть только WormGPT, которая представляет собой вредоносную LLM, обученную на хакерских форумах, вредоносных семплах, фишинговых сообщениях и т.п. 🥷 WolfGPT, DarkBARD, DarkBERT, DarkGPT, FraudGPT, EvilGPT, XXXGPT являются либо откровенным обманом и выманивающимм деньги у других мошенников, либо имели очень низкое качество обучения, такое, что их нельзя было использовать в реальном мире 👨🏫
Сейчас хакерский рынок, следуя принципу наименьшего сопротивления, старается минимизировать свои усилия для получения максимального экономического эффекта 📈 Для этого они занимаются обходом (джейлбрейком) существующих LLM 👩💻, в обучение которых были вложены десятки и сотни миллионов долларов и повторить эти инвестиции хакерам, не то чтобы сложно, но неразумно (я про экономические законы "потустороннего" мира рассказывал на PHD2). Поэтому стали появляться такие сервисы как EscapeGPT, BlackHatGPT, LoopGPT, которые позволяют правильно формировать запросы к ChatGPT, Gemini и другим LLM, и обходить существующие ограничения в этих GenAI 🧠
ENISA 🇪🇺 выпустила пресс-релиз, что они получили статус CVE Numbering Authority и будут еще больше и глубже работать с CVE. Но как по мне, так основное, что в этом пресс-релизе есть, сказано вскользь в самом конце. А именно то, что ENISA теперь будет собирать и вести свою собственную базу узвимостей EUVD 🫴
После проблем с NVD, которые обещают починить к сентябрю, у многих встал вопрос, а что делать-то в условиях отсутствия единого источника данных об уязвимостях? 😦 ФСТЭК начала вести свой банк данных угроз и уязвимостей в 2014-м году и активно развивает его (об этом говорили на PHD2). Я таким вопросом задался еще в 2015-м году. Европа, вот, задумалась только сейчас. Лучше поздно, чем никак. Что у них получится, не очень понятно, но последние их шаги показывают, что они хотят стать независимыми от США в части кибербеза; ну или хотя бы попытаться такими стать 🖥
У китайцев 🐉 в этом направлении тоже работы идут и давно, с 2010-го года, как минимум. Одна из двух баз, CNNVD, управляется министерством госбезопасности, что как бы намекает 👲 Так что балканизация и разделение сферы ИБ, о которой я пишу с 2014-го года, продолжится 🔀
FAIR проанализировала потери, которые могла/может понести UnitedHealth в результате одного из крупнейших по масштабу потерь инцидента 💥 Первичные потери оцениваются в 1,94 миллиарда долларов, вторичные - в "смешные" 130 миллионов 🤑 Основная доля этих потерь, примерно 5/8 приходится на прерывание бизнеса 900 тысяч врачей, 118 тысяч дантистов, 33 тысяч аптек, 5,5 тысяч больниц и 600 лабораторий (а также на компенсации за смерть людей и иной ущерб здоровью пациентов во время простоя), еще 2/8 на нарушение приватности утекших данных (оплата call center, оплата бесплатного кредитного мониторинга, штрафы и компенсации претензий за утечки ПДн и т.п.). Репутационный ущерб, затраты на сетевую безопасности и выплата вымогателям - это "всего-то" 80 миллионов долларов 💵
Напоминаю: атака произошла 21 февраля, восстановление (и то неполное, на 86% от уровня до атаки) состоялось 22 апреля. 2 месяца простоя!!! ⛔️
ЗЫ. Чтобы понимать, откуда берутся такие значения и что еще надо учесть в расчетах стоимости инцидента, рекомендую вебинар, который я читал в начале года, и презентацию с него.
Майор Утечка? 🚰 Это скорее целый генерал 🫡 Титры иногда бывают смешные в СМИ. Особенно, когда омонимы встречаются...
Помню я написал статью «Звериный оскал безопасности» и редакция разместила мою не самую улыбчивую фотографию рядом с названием. Получилось забавно 😈
ЗЫ. Мы кстати будем проводить для журналистов ✍️ тренинг «СМИшно про ИБ». Заюзаю там эту фотку 📸
И чем нам это всем грозит? 🐲 Китай тоже активно начнет атаковать Россию?
ЗЫ. «Выкуп» по-китайски будет 赎金, а «мне нужная твоя одежда, обувь и мотоцикл» - 我需要你的衣服、你的靴子和你的摩托车 🤖
Кибергруппировка, созданная по религиозным мотивам?.. 🥷 Теперь есть и такая. Будет стоять на страже исламского мира в виртуальном пространстве 🕋 Ну или говорить, что стоять 😱
Читать полностью…Первый раз с таким сталкиваюсь - голосовой криптоскам ❗️ Текстовый уже сразу видно - по первым двум словам "Проверено" или "Приглашаю к сотрудничеству". А тут приходится делать лишние телодвижения - либо прослушивать сообщение, либо, при наличии Premium, делать расшифровку 📝 В любом случае, думаю этот способ начнет набирать обороты, но в частных сообщениях, не в чатах.
Читать полностью…Выходя на зарубежные рынки 🌎 стоит помнить, что конкуренция заключается не только в битве технологий и маркетинга, но и в битве юристов.
Orca, компания, занимающаяся облачной ИБ, обвинила Wiz, американского ИБ-единорога, в нарушении патентов и краже технологий 👩🏼⚖️ Wiz, в ответ, обвинил Orca в аналогичном преступлении, добавив, что инновационность Orca преувеличена и поэтому они приворовывают чужое 😡 В частности речь идет о облачной ИБ, анализе векторов/пути атак, обнаружению угроз с помощью ИИ и использовании LLM при реагировании на инциденты 🧠
Скорее всего оба иска закончатся примирением, но репутации крови они попьют знатно друг другу, денег на юристов спустят тоже немало, а результата скорее всего не будет. Но это тоже опыт и урок... Патентуйте свои технологии!!!
Есть такое известное правило Керкгоффса:
"стойкость криптографической системы должна зависеть только от секретности ключа, а не от секретности алгоритма"
В России произошел массовый сбой в работе сайтов авиакомпаний, туроператоров и ПО управления операционной деятельностью.
Служба мониторинга работы сайтов, приложений и веб-сервисов Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) со вчерашнего дня фиксирует массовый сбой доступа к интернет ресурсам российских авиакомпаний.
В частности, у пользователей возникли сложности с доступом к сайтам, приложениям и веб-сервисам авиакомпаний Nordwind, S7 и «Россия», аэропорта Домодедово, туроператора «Пегас Туристик» и производителя ПО для авиакомпаний «АвиаБит».
Сегодня некоторые из них продолжают испытывать проблемы с доступом. Так, «Северный ветер» предупредил своих пассажиров о «профилактических работах на официальном сайте» и попросил их использовать резервные ресурсы для бронирования билетов и онлайн-регистрации на рейсы.
Также продолжают «лежать» сервисы «АвиаБита». В результате, например в Nordwind, бортпроводников попросили сообщать о своих рейсах, так как у планирования отсутствует информация по графикам и ее приходится собирать по кусочкам.
Кроме того, перебои с доступом к сайтам и телефонной связи продолжаются у аффилированного с авиаперевозчиком туроператора Pegas Touristik. Сегодня он попросил турагентов отправлять запросы на резервные почти и сообщил, что IT-специалисты трудятся над возобновлением работы сайта.
Из ближайших моих выступлений:
1️⃣ Positive Tech Day в Самаре 18 июня. У меня там открывающая презентация с сюрпризом! Люблю когда маркетинг поддерживает самые смелые, даже вскользь вброшенные идеи, и потом из них у нас рождается что-то запоминающееся
2️⃣ IT IS Conf в Екатеринбурге 20 июня. Тут у меня будет три модерации - дискуссии про мифы ИБ, дискуссии про ИИ в ИБ и дискуссии про расследование инцидентов 🔍
3️⃣ Выступление "13 граблей, на которые наступают менеджеры по ИБ" на мероприятии 3 июля, которое известно в узком кругу, но которое в паблике никогда не светится и даже информации в Интернет о нем нет! 🏕
4️⃣ Выступаю 25-го июля на позитивном тренинге для журналистов "СМИшно про ИБ", где буду рассказывать СМИшно о сложном для пишущей братии ✍️
5️⃣ ИТ-Пикник в Москве 17 августа, куда я подался с рассказом "От стелек и кардиостимуляторов до умных пылесосов и колонок. Что делать с их небезопасностью?"