alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

💰 В конце мая мы поделились с вами примерами кибератак, которые привели к банкротству компаний — одному из самых значимых недопустимых событий.

Вы думаете, что это все примеры и больше такого не было? Увы, вынуждены вас разочаровать, — цифровизация компаний растет, а значит, открывается и простор для негативного воздействия на их ИТ-инфраструктуры и сервисы.

Делимся еще одной небольшой подборкой.

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Встретил тут в одной инструкции ограничение на длину пароля - в 255 символов. Я бы посмотрел на тех людей, кто способен ввести пароль хотя бы на 50 символов 💻 Все-таки, когда пишешь какие-либо инструкции и вводишь запреты, надо думать об их реалистичности, а не только о возможных технических ограничениях 🙏

Читать полностью…

Пост Лукацкого

Вспоминая Высоцкого:

Проникновенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке!


В АНБ тоже есть ;-)

Читать полностью…

Пост Лукацкого

У большинства американских SOCов (in-house) от 11 до 25 сотрудников!

Читать полностью…

Пост Лукацкого

📊 В 2022 году в целях противодействия вредоносной киберактивности внутри нашей страны на базе ФГБУ «НИИ «Интеграл» была развернута информационная система мониторинга фишинговых сайтов и утечек персональных данных.
С начала 2023 года специалисты «Интеграла» заблокировали уже более 14 тысяч подозрительных интернет-страниц.

В рамках инициативы по повышению осведомленности и уровня защищенности мы будем еженедельно публиковать официальную статистику обнаруженных вредоносных фишинговых ресурсов по странам и секторам.

Читать полностью…

Пост Лукацкого

⚡️Отраслевой центр информационной безопасности цифровой экономики

В целях ускорения массового внедрения доверенных отечественных ИТ-технологий с интегрированными механизмами информационной безопасности, в том числе с применением криптографических алгоритмов ‎и протоколов защиты информации, при создании и развитии цифровых сервисов и информационных систем, а также при внедрении механизмов цифровой идентификации и аутентификации, формировании цифрового пространства доверия и использовании технологий электронной подписи Правительство РФ планирует создать отраслевой центр информационной безопасности цифровой экономики, функции которого будет выполнять «Национальный технологический центр цифровой криптографии».

Основные функции Отраслевого центра ИБ:
🔹осуществление научной деятельности в области ОИБ, в том числе ‎с использованием перспективных механизмов криптографической защиты информации
🔹участие в разработке и реализация государственной политики ‎в области ОИБ Российской Федерации
🔹предоставление услуг в сферах исследования механизмов ОИБ
🔹создание, эксплуатация и поддержание в актуальном состоянии научно-технической, вычислительной, информационно-телекоммуникационной и экспериментальной инфраструктуры
🔹сбор и анализ потребностей госорганов органов в области ОИБ, выявление и анализ факторов и барьеров, препятствующих внедрению отечественных решений по обеспечению информационной безопасности, в том числе с встроенными отечественными криптографическими механизмами
🔹осуществление функций секретариата Технического комитета ‎по стандартизации «Криптографическая защита информации» (ТК 26).

🚀Об ЭП и УЦ

Читать полностью…

Пост Лукацкого

Мне тут позвонили журналисты и попросили прокомментировать грядущие "выборы мэра Москвы, Сергея Семеновича Собянина", которые пройдут в дистанционном электронном формате. Мол, как я оцениваю безопасность этих будущих выборов через ДЭГ? А я не стал ничего комментировать. Раз уж и имя выбранного мэра уже известно, то можно заранее утверждать, что выборы прошли успешно и безопасно 😱

ЗЫ. Но некоторые журналисты, конечно, совсем незамутненные.

ЗЗЫ. А вообще, в эти выходные тема выборов мэра Москвы, конечно, является очень актуальной 😂 Других, более актуальных тем у нас просто нет 🔫

Читать полностью…

Пост Лукацкого

На фоне всего произошедшего вспомнилось вдруг, что несколько лет назад в определенных коридорах власти ходила идея запрета всех частных команд по реагированию на инциденты. Мол, эта деятельность подпадала под оперативно-разыскные мероприятия, а ими могут заниматься только спецслужбы и правоохранительные органы.

К счастью, тогда эту идею так и не реализовали, а то мы могли бы получить историю ЧВК Вагнера, но в виртуальном пространстве. С одной стороны наемничество прямо запрещено законом, а с другой - все закрывают глаза и даже превозносят частные военные компании. А тут команды по расследованию инцидентов ИБ, которые вроде могли бы быть вне закона, но их бы привлекали по мере необходимости, но всегда держали бы на крючке. Незавидная судьба... могла бы быть. Хорошо, что все обошлось.

ЗЫ. На видео фрагмент из сатирического киножурнала "Фитиль" (1992), который показывает, что за 30 лет так ничего и не поменялось 😊

Читать полностью…

Пост Лукацкого

Интересно нейросети видят хакеров будущего и ИБшников будущего. В первом случае искусственный интеллект, роботизация и вот это вот все. Во втором - бронежилеты, каски, плохое зрение... 😰

Читать полностью…

Пост Лукацкого

Распределение методов удержания персонала в американских SOCах. Патриотизма и «отобрали паспорт» в списке нет 😀

Читать полностью…

Пост Лукацкого

Согласно свежему исследованию 600+ североамериканских SOCов к трем основным метрикам, используемым ими для оценки своей эффективности, относятся:
1️⃣ Число инцидентов
2️⃣ Время от обнаружения инцидента до устранения причин, приведших к нему
3️⃣ Соотношение инцидентов, в которых использовались известные/неизвестные уязвимости.

Читать полностью…

Пост Лукацкого

Три основных технологии/инструмента, которые оцениваются при приеме на работу кандидатов в американских SOCах, это:
1️⃣ EDR / XDR
2️⃣ SIEM
3️⃣4️⃣ Устранение уязвимостей на хостах и мониторинг сетевого трафика.

Причем первые две с большим отрывом от всего остального. Меньше всего интересуют фильтрация трафика, инспекция SSL/TLS и анализ Netflow.

Читать полностью…

Пост Лукацкого

Топ 5 уже внедренных или планируемых к внедрению в американских организациях технологий защиты:
1️⃣ EDR / XDR
2️⃣ Фильтрация e-mail
3️⃣ Регистрация событий на хостах
4️⃣ NGFW
5️⃣ VPN

А пять самых редких технологий:
1️⃣ Full PCAP
2️⃣ Обманные технологии
3️⃣ Сетевой анализ пакетов
4️⃣ Анализ сетевого трафика / аномалий
5️⃣ Машинное обучение / ИИ

Читать полностью…

Пост Лукацкого

Хорошая иллюстрация. Ничего не скажешь, умеют иностранцы неплохо иллюстрировать различные концепции и модели. На этой мы видим различные риски (недопустимые события) для компании, которые имеют совершенно различную природу и способы их реализации. Немало из этого и через ИТ/ОТ может быть реализовано (я бы сказал, большинство). Это универсальная модель, которая, как часто бывает с универсальными моделями, может либо не учитывать что-то специфическое для вас (например, санкции тут не упомянуты), а что-то для вас, наоборот, неактуально.

Но и способы борьбы с этими рисками тоже различные - далеко не всегда ИБ является тем столпом, на котором все держится. Не нужно строить иллюзий. Да, ИБ важна, но также важны и другие функции - юридическая, ИТ, корпоративные финансы, PR, маркетинг и т.п. Поэтому и борьба с недопустимыми событиями должна вестись сообща. И, обратите внимание, что на картинке показаны именно функции, а не подразделения.

Читать полностью…

Пост Лукацкого

Google ищет экспертов по российским спецслужбам, осуществляющим кибератаки на западные демократии. Интересно, а по американским спецслужбам у них есть эксперты?

Читать полностью…

Пост Лукацкого

Интересно, находятся ли те, кто пользуется «гарантированным» получением лицензий ФСБ и ФСТЭК?

Читать полностью…

Пост Лукацкого

Steve YARA Synapse Miller опубликовал серию постов, которые по его мнению, отвечают на вопрос: "Почему мы ничего не слышим о "западных" государственных хакерских группировках?". Если кратко, то Стив сформулировал 10 тезисов:
1️⃣ Китайские APT гоняются за интеллектуальной собственностью и поэтому с их стороны очень много попыток промышленного шпионажа, спонсируемого государством. А образному Западу это не нужно - у них и так все есть.
2️⃣ На Западе не хватает квалифицированных специалистов, а китайцы имеют "триллион хакеров"
3️⃣ Коммерческие компании платят больше и в государственные хакеры идут только долбанные патриоты (die hard patriot).
4️⃣ Повторное использование кода почти не используется Западом. Когда какой-нибудь Raytheon по контракту с государством пишет какой-нибудь эксплойт или находит уязвимость, этот код больше никем и никогда не используется. А когда код пишется, например, для корейских хакеров, то он живет вечность и многократно переиспользуется.
5️⃣ Запад (под которым Стив понимает "пять глаз", то есть США, Канаду, Великобританию, Австралию и Новую Зеландию) часто использует чужие C2-инфраструктуры и поэтому такая маскировка позволяет неплохо скрывать государственную принадлежность.
6️⃣ Запад не всегда "ломает", то есть занимается классическим хакингом, часто заменяя его OSINT или иными разведывательными операциями, которые "не видны", а также использует другие страны для своего прикрытия.
7️⃣ Большинство TI-отчетов пишется западными корпорациями, которые, очевидно, не проводят расследований в России, Иране, Китае и Северной Корее, представляя однобокий взгляд на проблему.
8️⃣ Западные СМИ скрывают многие новости, которые подчеркивают/доказывают взломы со стороны "своих".

Но тут список у Стива прервался и вместо десятки причин осталось всего 8

Читать полностью…

Пост Лукацкого

ИБ-компания NortonLifeLock попала в список жертв хакерской группировки CLOP; наряду с PWC и EY. Помимо этого в американской блогосфере активно обсуждают тему дефейса сайта компании Voatz, которая занимается электронным голосованием на базе блокчейна (вы же помните, что осенью пройдут выборы мэра в Москве и тоже на блокчейне). И специалисты задаются вопросы, может ли компания, которая не смогла защитить даже свой сайт, обеспечивать безопасность выборов? И это при том, что Voatz заявляет, что они первая в мире компания в области выборов, которая вышла на Bug Bounty (ценник за криты у них, правда, невысокий) и вот это вот все...

Читать полностью…

Пост Лукацкого

Но будь я директором НИИ Интеграл, я бы все-таки помимо красивых оранжево-синих (хорошо, что не желто-голубых) диаграмм и графиков еще бы IOCи отдавал по API или выкладывал бы на сайт. Хотя кто-то и говорит, что толку от них немного, но в отдельных случаях, может быть полезным. Ибо указывать просто страны и просто домены, с которых идут фишинговые атаки и в которых размещаются мошеннические ресурсы, большого смысла нет - использовать на практике эти данные невозможно (если только не заявлять в СМИ, что нас чаще всего атакуют Голландия, США и Канада). Ну и картинку с Топ-5 целей я бы переименовал - это не цели атак, это скорее их темы. Но все-таки это первая попытка, скорее всего еще будут доработки.

Читать полностью…

Пост Лукацкого

Если раньше еженедельную статистику по блокируемым угрозам ИБ публиковал только НКЦКИ, то сейчас это еще и Минцифры будет делать через подведомственный НИИ Интеграл. Так, глядь, и Банк России через ФинЦЕРТ начнет публично рассказывать о своей деятельности на еженедельной, а не ежегодной основе.

Читать полностью…

Пост Лукацкого

В пятницу европейцы ввели санкции против 🟥, о чем написали чуть ли не все ИБ-каналы и бизнес-СМИ. Но мало кто написал, что под раздачу попала еще несколько ИБ-компаний. Из тех, что на слуху, - НТЦ Вулкан и НПО Эшелон. Окенит, Поиск-ИТ, НИИ Вектор, Итеранет тоже занимаются отдельными аспектами ИБ и тоже имеют лицензии ФСБ, а это, похоже, было основным критерием введения санкций.

ЗЫ. Официально заявляю, что все, что происходило в стране в пятницу вечером и в субботу, никакого отношения к попыткам сместить акценты с санкций на новую повестку не имеет. Батискаф тоже никак не связан с переключением внимания с санкций.

Читать полностью…

Пост Лукацкого

Больше суток официальный Твиттер-аккаунт ЛДПР взломан и находится в руках неизвестных, постящих всякую антироссийскую шнягу. Интересно почему? Админ отдыхает? Партия не в курсе? Твиттер не реагирует на обращения? А может это нейросеть «Жириновский» шалит?

Читать полностью…

Пост Лукацкого

Интересный проект, сочетающий в себе виртуальный и физический мир. Pave Bike - первый велосипед, который защищен блокчейном. Именно защищен, то есть с помощью токена NFT, который получает каждый ездок, велосипед блокируется и разблокируется, предотвращая тем самым кражу. А сам ключ доступа в виде NFT-токена хранится в приложении Pave+ на смартфоне (есть и смарткарта на случай утери телефона или отсутствия Интернета).

До этого существовали псевдо-e-bike. Например, Colnago выпускал велики с RFID-метками, в которых был "зашит" также NFT, который позволял убедиться во владении транспортным средством в случае остановки полицией.

Читать полностью…

Пост Лукацкого

Хочется обратить внимание, что во время контртеррористической операции, в соответствии с законом, временно может отменяться тайна переписки и государство может контролировать телефонные переговоры, телекоммуникационные сети и другие средства связи 📡. Также услуги связи вообще могут быть ограничены частично или полностью ⛔️.

Не пора ли учесть этот сценарий в модели угроз? Отключение обновления средств защиты - вполне себе вероятная история. А вот если из-за этого сценария организация не сможет оказывать сервис в течении доительного времени, то это уже может рассматриваться как недопустимое событие; для бизнеса, не для ИБ 🤨

Читать полностью…

Пост Лукацкого

Главное, чтобы аббревиатуру XDR в стране не запретили. А то она в кириллической раскладке как ЧВК звучит…

Читать полностью…

Пост Лукацкого

Какой основной подход используется в американских SOCах при принятии решения о том, какие данные будут собираться в SOCе? У половины решение в лоб - что SIEM собирать умеет, то и анализируем, не задумываясь, нужно оно или нет 🤔 У второй "половины" чуть более здравый подход - ориентируясь на риски, чтобы кто не вкладывал в это понятие. Приоритизацию по ключевым/целевым системам и сценариям используют гораздо реже 😫

Читать полностью…

Пост Лукацкого

Почти 70% SOCов не измеряют такой показатель, как "cost per record" в используемых SIEM, тем самым не оценивая и не оптимизируя хранилище логов в своих центрах мониторинга.

Чтобы делать это, необходимо ответить себе на ряд вопросов:
1️⃣ Какие источники телеметрии мне нужны?
2️⃣ Какие поля из этих источников мне нужны?
3️⃣ Как долго мне может понадобиться информация из этих источников?
4️⃣ Что я потеряю, если у меня не будет этих источников?

И чтобы не зависнуть на этапе выбора нужных логов, необходимо отталкиваться не от тех источников, которые у нас есть (а их может быть реально до хрена), а от тех сценариев мониторинга (use case), которые выбраны для организации актуальными. А если поднять выше по пищевой цепочке иерархии потребностей и дойти до бизнеса, то мы отталкиваться будем и вовсе от недопустимых событий. Тогда станет понятно, какие use cases могут привести к НС и какие логи нам будут нужны, чтобы это детектить.

Читать полностью…

Пост Лукацкого

Хорошая иллюстрация. Ничего не скажешь, умеют иностранцы неплохо иллюстрировать различные концепции и модели. На этой мы видим различные риски (недопустимые события) для компании, которые имеют совершенно различную природу и способы их реализации. Немало из этого и через ИТ/ОТ может быть реализовано (я бы сказал, большинство). Это универсальная модель, которая, как часто бывает с универсальными моделями, может либо не учитывать что-то специфическое для вас (например, санкции тут не упомянуты), а что-то для вас, наоборот, неактуально.

Но и способы борьбы с этими рисками тоже различные - далеко не всегда ИБ является тем столпом, на котором все держится. Не нужно строить иллюзий. Да, ИБ важна, но также важны и другие функции - юридическая, ИТ, корпоративные финансы, PR, маркетинг и т.п. Поэтому и борьба с недопустимыми событиями должна вестись сообща. И, обратите внимание, что на картинке показаны именно функции, а не подразделения.

ЗЫ. Удалил по ошибке этот пост - возвращаю 😞

Читать полностью…

Пост Лукацкого

Еще в 3 утра я был в Казахстане и отходил от проведенного Positive Security Day и Positive CISO Club, а уже днем выступал в Москве на Positive Customer Day про различные стратегии борьбы с плохими парнями - от мониторинга и реагирования до устранения хакеров, от удорожания атаки до ее удлинения и усложнения.

Читать полностью…

Пост Лукацкого

По версии ENISA именно так выглядит десятка угроз к 2030-му году. Как по мне, так полная шняга. Сами-то угрозы актуальны, но сейчас, а не через 7 лет. А вот квантовые компьютеры, биотехнологии и т.п. не упомянуты вовсе 🤔

Читать полностью…
Подписаться на канал