alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Продолжим тему с оценкой защищенности. Простая визуализация, которая показывает, что часто забывают включить в область оценки защищенности (и мониторинга); независимо от того, идет речь о поиске уязвимостей (покрытии сканером), пентесте, багбаунти или любой иной форме оценки 🎩

Читать полностью…

Пост Лукацкого

Хочется ли вам, чтобы покупаемые вами продукты были результативными? Наверное, да. Всегда хочется похвастаться тем, что используемое решение дает некий результат, а значит мы не сделали ошибки, выбрав то или иное решение; Даже если оно бесплатное и open source. Но что такое результативность продукта? В чем она измеряется. Я тут готовился к выступлению, где как раз поднимал эту тему и сейчас хотел бы поделиться своими мыслями. Не претендую на полноту, но мне показалось, что логика в моих рассуждениях есть.

Читать полностью…

Пост Лукацкого

В очередной раз, когда вы будете рвать на себе волосы из-за того, что вы вовремя не прочитали и не выполнили очередной нормативно-правовой акт по ИБ, подумайте вот о чем 🤔 Если никто не прилетел из будущего и не исправил то, что вы натворили (или не натворили), то может вы и не сделали ничего катастрофического? 🤔

Ну или будущего у нас уже нет. Вам решать 😂

Читать полностью…

Пост Лукацкого

Детская загадка

Три CISO сидели на конференции PHD2. Один из них решил 💡 решил прыгнуть на новую ступеньку в своем развитии, изменить свою жизнь и начать общаться с бизнесом на его языке, начать нести ответственность за свои инициативы, оценивать результаты своей деятельности с точки зрения бизнеса 😮‍💨 Сколько CISO осталось на прежнем уровне понимания, восприятия топ-менеджментом, компенсации и др.? 🤔

Большинство ИБшников отвечают: аутсайдерами осталось два CISO. Ответ неверный. Правильный ответ - аутсайдерами осталось три CISO. Вы спросите почему? Потому что решение изменить себя и изменение себя - это не одно и тоже! 🤔

Читать полностью…

Пост Лукацкого

АНО "Цифровая экономика" при участии Минцифры выпустило "Белую книгу цифровой экономики" (как по мне, так от дословного перевода white paper стоило бы давно уже отказаться, он распространен еще меньше, чем "дорожная карта"), в которой подсобрали тренды, статистику 📈 и конкретные кейсы по развитию цифры в России 🇷🇺 в 2023-м году. Как руководство к действию использовать ее сложно, но как сборник всяческих цифр для презентаций 📈 - вполне себе.

Читать полностью…

Пост Лукацкого

«Грибной» дождь прошел… Группировки появляются как после него… В целом пофигу, но атрибуцию осложняет 🤯

Читать полностью…

Пост Лукацкого

Как обжечься 🔥 на криптографии?

Все просто - возьмите книжку по квантовой криптографии с собой в баню 🧖 Глянцевая обложка там накалится и мое нежное тело с кожей, как у младенца, будет обожжено 🔥 Надеюсь, она ничего не излучает ☢️

ЗЫ. Урок - не надо критиковать квантовую криптографию ☝️

Читать полностью…

Пост Лукацкого

Вот тут иностранцы пишут про недопустимые события, ой, нет, про катастрофические события ИБ ⚠️ Мол, несмотря на скептицизм, такие события существуют, их немало и становится все больше (тут вам и отключение электричества в одном из регионов России пару лет назад, и двухмесячный простой UnitedHealth, и неработающие аптеки в Приморье, и свежий пример с CDK Global, из-за атаки на которого тысячи автодилеров в США остались не у дел) 💥 И киберкатастрофы происходят не из-за вымышленных сценариев, которыми нас пичкают сценаристы Голливуда, а из-за роста цифровизации и взаимосвязанности ИТ/ОТ-систем.

А вот дальше автор пишет, что вместо того, чтобы полагаться на сенсационные и драматические представления о киберугрозах, необходимо проводить глубокий анализ 😦 внешних и внутренних данных, получаемых изнутри компании и от внешних поставщиков (этакий кибербарометр, измеряющий киберпогоду ), чтобы понять и прогнозировать реальные киберкатастрофы. Такие модели позволяют страховым компаниям принимать более обоснованные решения по страхованию своих клиентов от потенциальных угроз 😦

И вот к этому тезису у меня неоднозначное отношение. Да, страховой бизнес построен на актуарных таблицах, которые составляются на основе статистики многих десятилетий (для страхования жизни) или лет (для автострахования) 🧮 Но в ИБ очень сложно найти репрезентативную статистику. А главное, как, на том, что происходило и зависело от кучи постоянно меняющихся факторов, предсказать, что будет происходить в будущем? 🔮 Мне это представляется малореальным. Ущерб считать еще можно, но пост-фактум, а не закладывать его в совокупную стоимость владения, как предлагают в чатике (я бы посмотрел на такие рассчеты, которые примет реальный заказчик на этапе выделения денег) 🎲

ЗЫ. Наверное именно потому, что я не люблю риски и достаточно жестко дискутирую на эту тему с ее апологетами, нас сначала пригласили на эфир по управлению рисками, а потом внезапно «мест нет» 🖕

ЗЗЫ. Кстати, про голливудские сценарии. Мы тут в рамках Positive Hack Media запустили шоу "Хак Так", в котором хакеры обсуждают реалистичность придумок сценаристов и режиссеров мировой киноиндустрии. В первом выпуске обсуждают сцену минета 🔞 в фильме "Пароль рыба-меч", во время которого хакер должен взломать базу данных МинОбороны 🇺🇸 Ну а эксперты "Хак Так" сразу стали фантазировать о том, что такие конкурсы надо бы устроить на PHD, а также взять в практику собеседований на работу в ИБ-компании 🤦‍♂️

Читать полностью…

Пост Лукацкого

Повторяйте это как мантру - "Threat Intelligence - это не тоже самое, что индикаторы компрометации и фиды"!!! Пять раз в день - два раза утром, четыре раза в полдень, четыре раза перед вечером, три раза вечером и четыре раза ночью! 🤲

Читать полностью…

Пост Лукацкого

Масштабная атака и без ущерба? Как говорилось в фильме "День выборов":

Ты определись, ты анонимный или ты Игорь Иванович?

Читать полностью…

Пост Лукацкого

А вот кому сырые данные по зарплатам 🤑 директоров по маркетингу ИБ? Смотрите, анализируйте, завидуйте, готовьте обоснование перед руководителями, почему вам надо получать не меньше (или не показывайте, если вы получаете больше), просто любуйтесь, ищите связь между зарплатой и расовой и гендерной принадлежностью...

ЗЫ. Данные не по России 🇷🇺 Преимущественно, США 🇺🇸 Есть также Израиль 🇮🇱 То есть основные страны, где сидят компании по ИБ.

Читать полностью…

Пост Лукацкого

⚡️ На днях уважаемый Алексей Лукацкий сообщил о вопиющем происшествии. Во время выступления на Positive Tech Day в Самаре у него пропала морковь. Неизвестные присвоили корнеплод и скрылись в неустановленном направлении. Особое беспокойство у Алексея вызвал тот факт, что исчезнувшая морковь была им лично покусана.

«Теперь, если вдруг в ЕБС добавят новую модальность в виде зубного слепка, то я всерьёз напрягусь по этому поводу!» – отметил знаток кибербеза.


Что же было дальше ❗️

Вчера с нами связался один из участников мероприятия. По его словам, корнеплод несколько дней путешествовал по трассе М5, пока не добрался до Москвы. В столицу он устремился, чтобы оказаться в единственном разрешённом хранилище биометрии. Сегодня утром морковь была передана представителям оператора ЕБС.

🦸‍♂️ Готовы заверить Алексея, что повода для беспокойства нет. Без его согласия зарегистрировать морковную биометрию не получится. В случае регистрации овощным слепком можно будет управлять на Госуслугах.

❗️Уведомляем, что морковь сохранила товарный вид. Забрать корнеплод можно в Центре биометрических технологий. Контакты указаны на сайте.

Читать полностью…

Пост Лукацкого

Меня тут спросили на IT IS Conf, почему меня нет в широко известном в узких кругах списке Treadstone71? А я и не знал, что меня там нет. Все 500 фотографий не просматривал. А у людей недоумение и вопросы "как так?". А у меня вопрос другой - как ЛК умудряется столько раз не попадать в санкционные списки? Я, безусловно, им этого и не желаю (хотя по опыту могу сказать, что это не так и страшно), но все-таки... 🤔 Новый "запрет" на фоне того, что ЛК и так уже запрещали продавать в США, - это вообще ни о чем 😠

Читать полностью…

Пост Лукацкого

Продолжая вчерашнюю тему. Если уж и пытаться заниматься оценкой вероятности событий ИБ ☝️, то на совершенно ином уровне. И речь пойдет не о классическом понятии из теории вероятности, а о более сложной концепции из теории игр (я даже про это писал в блоге лет пять назад, но не докрутил эту тему) 🖕 По теории же игр, если не брать иностранные материалы, которые ее приземляют сразу на ИБ, рекомендую для начального погружения в тему три книги: 📚
1️⃣"Стратегия конфликта" Шеллинга
2️⃣"Совершенный стратег или Букварь по теории стратегических игр" Вильямса
3️⃣"Стратегические игры" Дикси, Скит и Рейли-младшего

Читать полностью…

Пост Лукацкого

Навеяло постом в одном канале. От замены слова «кибермошенник» на «ИБ-компания» текст практически не поменялся 😦

Платить ли компаниям по кибербезопасности?

Недавний случай с одной взломанной ИБ-компанией стал ярким примером того, почему уступать требованиям ИБ-компаниям и платить им — это путь к дальнейшим проблемам, а не к их решению.

Рассказываю, почему ⬇️

1️⃣ Отсутствие Гарантий
Прежде всего, оплата договора не гарантирует, что ИБ-компания окажется добросовестными ребятами и окажет вам качественный сервис или ее не взломают и украденные у вас ваши данные не сольют в даркнет.

2️⃣ Спонсирование бессмысленной деятельности
Оплачивая договор, вы фактически нецелево расходуете средства и финансируете тех, кто не обеспечивает вам никакого результата. Это не только усиливает показуху в целом, но и обостряет угрозу для других потенциальных жертв, доверившихся на сладкие речи и красивый маркетинг.

3️⃣ Бесконечный шантаж
Платеж по договору может стать лишь первым в серии требований. Попав в замкнутый круг, вы рискуете стать постоянным источником дохода для ИБ-компаний.

Что делать вместо оплаты по договору?

Незамедлительно начните готовить своих высококвалифицированных специалистов по кибербезопасности.

Сообщите о необоснованных требованиях соответствующим регуляторам.

Разработайте стратегию решения проблемы и дальнейшей защиты данных.

Не спонсируйте ИБ-компании! Лучше присылайте им многочисленные посты из канала Лукацкого, пусть знают, что их троллят 😉

Читать полностью…

Пост Лукацкого

Если продолжать утреннюю заметку, то упомянутый в ней параметр Coverage of Key Assets определяет насколько у вас выстроен процесс управления активами, от которого зависит и то, насколько быстро вы определяете, скомпрометированы ваши активы или нет, то есть параметр Time to Exploit 🤔

ЗЫ. Чем-то напоминает концепцию "Окна Джохари", о которой я писал 8 лет назад ✍️ Только тогда я приземлял это все на обнаружение угроз, а сейчас - на управление уязвимостями и активами 📞

Читать полностью…

Пост Лукацкого

Джулиан Ассанж согласился признать себя виновным 👮 в краже материалов, угрожающих национальной безопасности США, заключив соответствующую сделку с американским правосудием 🇺🇸 Ему будет назначен срок длительностью 62 месяцев, что эквивалентно 5 годам, которые он отбывал в Великобритании, ожидая экстрадиции в США 😳 Этот срок и будет зачтен ему, что позволит уже в конце этой неделе отбыть Ассанжу обратно на Родину, в Австралию. На этом эпопея, длившаяся с 2010-го года, закончится и Ассанж сможет считать себя свободным человеком 🗽

Читать полностью…

Пост Лукацкого

Опрос выше 👆 не про математику, он про жизнь. Нельзя похудеть до 0. Потеряв половину массы своего тела, вы, скорее всего, отбросите коньки. Есть предел, который вы не можете преодолеть без ущерба для здоровья 🤔 Даже лежа в гробу, даже пройдя кремацию, вы что-то да весите (правда, вам уже все равно будет) 😃

Поэтому не надо ставить целью снижение количества инцидентов или уязвимостей до нуля - это опасно для службы ИБ. Выброшенные на ветер деньги, стресс… 🤔 Нужен баланс, приоритизация и вот это вот все.

Что касается ответа на вопрос. С точки зрения математики да, 490 - правильный ответ, но математика тут не применима. Если следовать мнению, что человек может похудеть до 40-60% своего веса, то есть 50% в среднем, то вариант 245 дней ближе к той границе, где нужно остановиться в похудении при указанных исходных данных. Но если смотреть на смысл вопроса, то правильного ответа там вообще нет 😊 (это специально так сделано) - поэтому последние два ответа ближе всего по сути 👙

Читать полностью…

Пост Лукацкого

Ветка обсуждения на Twitter повествует о случае, когда автор, находясь на встрече с потенциальным клиентом — крупной нефтегазовой компанией 🛢, столкнулся с неожиданным требованием со стороны CISO этой компании. Во время презентации продукта CISO прервал их и заявил, что не будет рассматривать продукт, если ему не предложат стать советником их компании и не дадут долю в ней 🫴

Он объяснил, что является "воротами" 🚪 ко всем остальным нефтегазовым компаниям, и если инициатор обсуждения в Twitter хочет продать свой продукт другим компаниям в этой отрасли, его компания должна предоставить ему долю в бизнесе за такую помощь. Это было откровенное вымогательство предупреждение о том, что без его поддержки они не смогут продать свой продукт в этой сфере, и их ждет бойкот ⛔️

Автор был шокирован таким требованием, считая, что CISO не имеет представления о их продукте и отрасли, и не принесет никакой пользы как советник. Несмотря на это, участники встречи со стороны вендора вежливо сказали 😠, что обсудят предложение, но в итоге отказались, посчитав его "слишком неприятным" и не полезным 👎

В результате их компания не была выбрана для дальнейшей оценки ☺️, и за время работы автора их продукт так и не был продан ни одной нефтегазовой компании. Автор не утверждает, что их заблокировали, но также не исключает этой возможности. Написал он про это только сейчас, имен не назвал. В комментах народ пишет, что с таким тоже встречались.

Читать полностью…

Пост Лукацкого

Вы ждали и спрашивали, когда же записи докладов с киберфестиваля PHDays Fest 2 появятся на нашем YouTube-канале

Мы не теряли времени и выкладывали сотни гигабайтов и часов видео. Они распределены по трекам и темам для того, чтобы было удобнее искать и смотреть то, что нужно именно вам (впереди для этого целые выходные 😊).

⬇️ Делимся ссылками на плейлисты ⬇️

👀 Для всех

Научпоп
Lifestyle

🛡 Кибербезопасность:

Offense
Defense
AI Track
Blockchain
Fast Track
Community
Evasion
Международный
Standoff

🧑‍💻 Разработка:

General Development
Secure Development
Team Lead
Data Engineering
Languages and tools
Python
Platform Engineering

💰 Бизнес:

Государство
Школа CISO
Архитектура ИБ
SOC будущего
Кибербез с разных сторон
День инвестора Positive Technologies
Big Boss
Партнерский
Вместе
HR-трек
Кибербез: с чего начать

Смотрите сами и делитесь ссылками с теми, кому будет интересно!

#PHD2

Читать полностью…

Пост Лукацкого

В следующий раз, когда вы пойдете стращать 😱 руководство страшными рисками и карами, а также штрафами в 60 тысяч рублей за нарушение закона о персональных данных, обратите внимание на то, какие часы носит человек, которому вы будете рассказывать о "катастрофических" или даже "серьезных" потерях 😱

Часы справа стоят 60 тысяч, только не рублей. Рассказывать таким людям о масштабе потерь, которые вы измеряете вашими "часами", - только время тратить, его и свое Да еще и репутацию себе портить, так как вас будут считать человеком, недостойным, чтобы садиться с руководством за один стол.

Кстати, а у вас самих какие часы и сколько они стоят? ⌚️ Apple Watch за 50 тысяч (уже рублей)? Или "Слава Традиция" (на фото слева) за 40 тысяч? И вам самим не стыдно рассказывать про ущерб в 60 тысяч, который еще надо умудриться получить? Да вы на услуги юристов потратите больше 🤔

Читать полностью…

Пост Лукацкого

Я про операцию "Конец игры" (Operation Endgame) не писал, хотя и затрагивал вскользь ее в заметке про использование правоохранителями психологических приемов раскола в киберпреступном мире. Если вкратце, то в ее рамках западные спецслужбы 🇺🇸 из пары десятков стран совместно с некоторыми ИБ-компаниями прикрыли инфраструктуры шести крупнейших в мире ботнетов 🤠 - Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC и Trickbot, которые, по данным правоохранительных органов предоставлялись операторам ransomware при оказании услуг Ransomware-as-a-Service ⚠️

Но мне понравилось в этой истории, что организаторы Endgame выпустили по итогам своей операции анимационный сериал 🎬 - с легким троллингом, множеством намеков и т.п. Прям хорошо получилось 🍿

Читать полностью…

Пост Лукацкого

Компания Аny[.]run, выпустившая облачную песочницу, была скомпрометирована через скомпрометированного клиента, отправившего фишинговое письмо сотруднику аny[.]run. Пишут, что доступа к инфраструктуре или исходным кодам сотрудник не имел 🤔

Читать полностью…

Пост Лукацкого

По радио тут было интервью с серийным ИТ-предпринимателем ("серийный", мать его, ИТ-преприниматель), который "придумал" сервис виртуального трупа 💀, то есть, общение с умершим человеком, оцифрованным при жизни 💀 Умолчу, что этой идее 10 лет в обед, но она меня навела тоже на предпринимательскую идею в области ИБ. Представьте, что хакер эксплуатирует уязвимость на публичном web-сайте, как лебедь в "Лебедином озере" перемещается боком, добирается до базы данных... и ему вылезает баннер: 💀

1️⃣ Посмотреть фотографии сисек
2️⃣ Забрать все данные
Нажмите 1 или 2.

Многие бы даже до второго пункту не доходили бы. И ведь число утечек данных снизилось бы многократно 😈

Читать полностью…

Пост Лукацкого

После очередного сборища стран-участниц G7 было решено, что они разработают и начнут претворять в жизнь решения XX съезда КПСС фреймворк по безопасности систем промышленной автоматизации (фиг знает, как OT коротко на русский перевести) 🏭 В первую очередь это связано с тем, что число атак на энергетику возросло и это может привести к недопустимым последствиям для экономик "стран семи" и их саттелитов ⚛️

Американский Минэнерго 🔋 сразу выпустил принципы кибербезопасности при обеспечении цепочек поставок для поставщиков и конечных пользователей. Такие компании как GE Vernova, Schneider Electric, Hitachi Energy, Honeywell, Schweitzer Engineering Laboratories, Rockwell Automation и Siemens поддержали эту инициативу 🤝

Хакеры 🥷 тоже не остались в стороне и тоже поддержали эту инициативу. Группировка Hunt3r Kill3rs, если верить ее сообщениям, взломала системы на базе Schneider Electric в США, Германии, Израиле и Турции 🏭 А IntelBroker попутно взломала, опять же, если верить (но пока оснований не верить не было), AMD, Apple 🍏 T-Mobile.

Читать полностью…

Пост Лукацкого

В Массачусетсе два часа не работал телефон службы спасения 911 📞 из-за того, что... их блокировал межсетевой экран, установленный провайдером услуги. Причина, по которой МСЭ блокировал звонки 🤬, пока неизвестна, идет расследование. Хорошо, что за эти два часа не было чрезвычайных ситуаций в штате, в котором была организована первая британская колония на территории будущих США 🇺🇸

Читать полностью…

Пост Лукацкого

🤦‍♀️ Люблю такое 🤝

Читать полностью…

Пост Лукацкого

Время обнаружения атомарных событий постепенно уходит и ему на смену приходит обнаружение целых сценариев реализации угроз 🔗 Причем в этом случае существующие SIEM могут служить сенсорами для решений более высокого уровня. Раньше это казалось малореальным - описать ✍️ все возможные комбинации техник злоумышленников, но сейчас уже понятно, что это вполне по силу даже для средних вычислительных возможностей при должной предварительной обработке (в лоб перебирать все комбинации, конечно, смысла нет).

И технологии очень быстро развиваются. Раньше ты ручками прописывал ✍️ правила корреляции, комбинируя IP, идентификаторы сигнатур атак и иные индикаторы. Потом появились решения на базе No/Low Code, которые существенно ускорили возможность написания цепочек атак 🖥 Теперь, спустя еще меньший промежуток времени, ИБ-решения стали оперировать готовыми сценариями реализации атак (attack path/scenario), базирующимся на реальных инцидентах 🗺 Последнее позволяет еще и атрибутировать группировки, стоящие за атаками (хотя смысла в этом не так уж и много на оперативном и тактическом уровне).

Интересно, что ИБ-вендора придумают дальше?.. 🤔

Читать полностью…

Пост Лукацкого

IT IS Conf еще не начался, секция про мифы кибербезопасности не стартовала 🏃, но у нас вчера вечером уже была дискуссия о том, что требование антивируса - это такой же миф, как и кактус на мониторе, который все излучение притягивает, как и православная иконка на приборной панели у водителя-дальнобойщика 🚛 Иллюзию защищенности создает и чувствуется приятное тепло... Но вот пользы немного. И это только один из мифов, который мы будем развенчивать на IT IS Conf, прямая трансляция с которой будет вестись на сайте ▶️

Напомню, что сегодня в Екатеринбурге у меня:
1️⃣ Модерация пленарной сессии "Мифы и заблуждения информационной безопасности"
2️⃣ Модерация панельной дискуссии "Искусственный интеллект в ИБ - взгляд с трех сторон баррикад"
3️⃣ Модерация круглого стола по расследованию инцидентов
4️⃣ Ведение трека "Следа хакера: как расследуются инциденты".

Так и хочется добавить "Не переключайтесь..." ▶️

Читать полностью…

Пост Лукацкого

В соцсетях, отечественных и зарубежных, регулярно ходит картинка утки с надписью: "Шанс быть убитым уткой очень мал, но он не равен нулю" 🦆 И хотя я не видел статистики по смертям от утки, допускаю, что такие анекдотичные истории все-таки бывали. От акул же гибнет 5 человек в год, почему от уток не может? 🦈

Но сейчас речь пойдет не о психологии восприятии рисков (человеческий мозг 🧠 воспринимает угрозу совсем не так, как это сделал бы компьютер, обладая всей нужной статистикой), а о другом аспекте оценки вероятности, а именно ее случайности. Если вспомнить оценку рисков, то мы помним, что риск базируется на двух показателях - ущербе и вероятности. И вот вероятность-то как раз у меня всегда и вызывала вопросы 😔 Ее оценивать всегда предлагают исходя из предположения, что некто (хакер или иной, не антропогенный источник угрозы) действует неким случайным образом при реализации атак.

Так и представил себе, как хакер бросает кости 🎲 и говорит, сегодня я пойду реализовывать T1055. А завтра кости покажут T1059, а послезавтра T1003 по MITRE ATT&CK. Ну смешно же. Выбор атак точно не случаен и описать этот выбор с помощью "равномерного распределения по методу Монте-Карло" (как бы не хотелось) не получится 🤔

У нас тут во внутреннем чатике возникло желание потроллить одну тему (не буду говорить какую), а я предложил, что если хочется срача, то надо на LinkedIn написать, что риск-менеджмент в ИБ - это полное говно и отъем денег у населения бизнеса, которое верит в эту серебряную пулю. Но пока ограничусь своим каналом. А потом может и в LinkedIn выйду 😱

А в заключение анекдот:

"Как-то на трассе я подобрал путешественника, нам было по пути. Мы разговорились, и он спросил, не страшно ли мне было останавливаться, вдруг он серийный убийца. "Вероятность того, что в одной машине окажутся два серийных убийцы ничтожно мала", ответил я улыбнувшись."

Читать полностью…
Подписаться на канал