alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

На их месте мог быть ты, если используешь Fortinet 🤒

Читать полностью…

Пост Лукацкого

А вот эта пузырьковая диаграмма из отчета Chainalysis нам позволяет в очередной взглянуть на деятельность киберпреступников с бизнесовой точки зрения. Перед какой дилеммой обычно стоят компании, продающие свои товары потребителю? Как выставить цену такой, чтобы она была не очень маленькой, но при этом позволяла бы иметь большую клиентскую базу? То есть нужно искать все время баланс 🪙 - делаешь цену на продукт/услугу высокой и число клиентов снижается, делаешь очень низкой и число покупателей растет, но доходы растут не так, как хотелось бы.

Вот и у шифровальщиков 🤒 та же задача - выставить такой сумму выкупа, чтобы жертвы не отказались платить. Возьмем Phobos - размеры выкупа у них мизерные, но зато и вероятность получения выкупа у них стремится 📈 к единице, то есть 100%. Помаленьку, но они зарабатывают себя на хлеб (уж не знаю, с маслом ли). Но чтобы иметь высокий годовой доход Phobos надо иметь оооочень много жертв. На другой стороне у нас находится omega - высокие суммы выкупа и низкая вероятность его получения. Наиболее грамотные с бизнесовой точки зрения операторы шифровальщиков в 2023-м году 🤒 - ALPHV/Blackcat, Clop, Play, LockBit, BlackBasta, Royal, Ransomhouse и Dark Angels. У них и средняя сумма выкупа высока и вероятность его получения тоже выше 0,5 (исключая cl0p, у которого выкуп гораздо больше других). Лидером по всем показателям является ALPHV/Blackcat.

В реальности все еще гораздо сложнее. Нужно не только искать баланс по цене, но и учитывать платежеспособность 🤒 потенциальной жертвы. Иногда проще поставить конский ценник и получить его один раз, чем получать по копейке с тысяч жертв. Больше затрат на операционку уходит, на взаимодействие с жертвами, на закупки трафика и т.п. И все это надо учитывать в своей бизнес-модели 🤑

Читать полностью…

Пост Лукацкого

Если вы еще используете у себя на периметре Cisco ASA/FTD с включенной функцией SSL VPN, то обновитесь. Шифровальщики Akira и Lockbit сейчас активно эксплуатируют уязвимые средства защиты Cisco.

Читать полностью…

Пост Лукацкого

Отчетами по шифровальщикам 🤒 уже никого не удивить и новый от Record Future не стал сенсацией, хотя в нем и приводятся некие аналитические выкладки по тому, какие уязвимости чаще всего используют шифровальщики, какие шаблоны поведения или фокус в атакуемом ПО им присущи 👿

Но проблема отчета в том, что он попытался оценить тренд за 7 лет, с 2017 по 2023 годы, и это портит всю картину с практической точки зрения. У шифровальщиков 🤒 каждый год что-то меняется, вплоть до используемых техник, и дольше пары лет такое ВПО обычно не живет. Поэтому анализировать технические детали на уровне конкретных CVE и CWE на таком интервале смысла большого нет. Но как еще один отчет в копилку, почему бы и нет... 😴

Читать полностью…

Пост Лукацкого

Приятно, что читают и изменяют политику ИБ к лучшему. Так, общими усилиями, усилим ИБ в стране 💪 Также спасибо подписчику, кто держит в курсе 🤝

Читать полностью…

Пост Лукацкого

Спецслужбы альянса "Пяти глаз" (США, Канада, Великобритания, Австралия и Новая Зеландия) выпустили очень детальный отчет по деятельности китайской 🇨🇳 группировки Volt Typhoon, также известной как Vanguard Panda, BRONZE SILHOUETTE, Dev-0391, UNC3236, Voltzite и Insidious Taurus. Судя по участвовавшим в выпуске бюллетеня министерствам США, под раздачу китайцев попали организации из сферы ТЭК, водоснабжения и транспорта, а также коммуникаций. Группировку считают прогосударственной 👲

Это было бы не так интересно, если бы не один момент. Судя по тому, что мы наблюдаем 👀 в рамках расследований, российские 🇷🇺 организации нередко атакуются и китайцами, что требует изучения техник и тактик последних. Поэтому данный отчет вполне релевантен и для наших организаций. Особенно с учетом того, что по данным американских 🇺🇸 спецслужб китайцы сидели в критической инфраструктуре США 5️⃣ (☝️!) долбанных лет, оставаясь незамеченными.

Тоже возможно и у нас и это не предположение. Я тут выступал в одной государственной организации 🏛 и потом в кулуарах коллеги признались, что только внедрив у себя средство мониторинга сетевых аномалий они совершенно случайно наткнулись на сидящих у них хакеров из Поднебесной. Кстати, одной из техник Volt Typhoon является использование Zero Day в Fortinet, а продукция этой компании достаточно активно 🤒 до сих пор используется российскими госорганами. Так что, как пелось в песне "Если у вас нету тети", "думайте сами, решайте сами" читать или не читать!

ЗЫ. Кстати, с китайским Новым годом!

Читать полностью…

Пост Лукацкого

Руководитель ИБ. Можно из дома... 🏡 Редкое сочетание 😦

Читать полностью…

Пост Лукацкого

SANS выпустил новый постер про шифровальщиков. Симпатичный и информативный

Читать полностью…

Пост Лукацкого

Тут на днях я давал комментарий про очередную схему мошенников для "Авторадио" 📻. Кто-то опять перевел денег кому-то, но уже по просьбе "директора", замолвившего словечко за сотрудника спецслужб, который позвонит/напишет и ему надо оказать содействия. Популярная в последнее время схема Fake Boss. И вот на эту тему я и давал комментарий, а потом радиоведущие из группы "Мурзилки International" по традиции спели 🎙 на горячую тему. Я, конечно, не пел, а у "Мурзилок" получилось забавно про мошенников...

Читать полностью…

Пост Лукацкого

В тему вводимой сертификации ИТ/ИБ-продуктов и услуг в Евросоюзе, агентство по сетевой и информационной безопасности ENISA выпустило отчет с обзором всех 42 систем оценки соответствия (30 для продуктов и 12 для облачных сервисов), которые применяются в Европе 🇪🇺 и покрывают вопросы контроля доступа, криптографии, электронной подписи, Интернета вещей, облаков и сетей 5G.

Читать полностью…

Пост Лукацкого

🍽 Влияние риск-аппетита и толерантности к рискам на определение недопустимых событий

Подходы по расчету рисков и определению недопустимых событий не отменяют друг друга, а дополняют 🤝

Оценка риск-аппетита и толерантности к риску помогает руководству компании определить, какой уровень риска они готовы принять для достижения бизнес-целей и какие меры по управлению рисками необходимо предпринять, чтобы недопустимые события стали невозможны.

За подробностями и примерами заглядывайте в нашу новую статью 👀

Читать полностью…

Пост Лукацкого

Новый год в мировой ИБ достаточно активно начался с обсуждения в разных странах и на разных уровнях, что ИБ должна быть результативной 😵 (outcome-based). Американцы, англичане, австралийцы... Но сама по себе тема не то, чтобы нова, - она давно витала в воздухе, так как несмотря на все усилия, число и ущерб от инцидентов не сокращаются 📈. А значит надо уходить от традиционных подходов в сторону чего-то нового. И результативный кибербез кажется чем-то, что может помочь изменить ситуацию.

Сингапурцы 🇸🇬 пошли дальше многих и не просто постулируют мысль, что безопасность должна приводить к измеримому выхлопу, но и дают рекомендации по заключению соответствующих контрактов 📑. Они говорят, хватит жить по госушным правилам, когда вы оплачиваете человеко-часы (headcount-based contracts). И подход "от задач" (task-based contracts) тоже уже уходит в прошлое. Четко описывайте результат 🎯, которого вы ждете от ИБ (outcome-based contracts), и пусть она вам его обеспечивает.

В своем руководстве представители этого, второго по безопасности города на Земле после Токио, дают различные примеры того, как считать стоимость таких контрактов, что указывать в разделе "стоимость услуг", как вести переговоры с поставщиками. Достаточно интересный и даже неожиданный взгляд на привычную многим историю с заключением договоров 🤝

Читать полностью…

Пост Лукацкого

Ну что, и Европа дожила до сертификации ИТ-продукции по требованиям безопасности. Пока финальный текст не опубликован, но согласно проектам, новая единая система сертификации будет:
1️⃣ описывать конкретные классы продуктов и сервисов, на которые она распространяется (например, туда попадет сетевое оборудование, биометрия, МСЭ, xDR-решения, SIEM, дата-диоды, а также ОС, включая мобильные, СУБД, чипы и облачные сервисы)
2️⃣ включать конкретные требования по ИБ, которые должны быть реализованы в оцениваемых продуктах
3️⃣ предписывать, когда оценка будет обязательной, а когда добровольной
4️⃣ объяснять, когда оценку можно будет делать самому, а когда - только с применением внешних компаний
5️⃣ уточнять глубину оценки в зависимости от уровня риска применения продукта или сервиса. Надо предложить европейцам идею с недопустимыми событиями 😂

Базируется эта система сертификации на "Общих критериях"

Как мне кажется, а я застал начало этой истории еще в Cisco, все это делалось изначально с целью приструнить американских вендоров, как это происходит с поставщиками Интернет-услуг и ПДн. Но потом добавилось желание оградить Европу и от российской ИБ.

Читать полностью…

Пост Лукацкого

🆕 Давненько я не брал в руки шашки писал ничего для Хабра (3,5 года). А тут решил тряхнуть и тряхнул. 20-тистраничный текст на тему будущего, а местами и настоящего, даже не решений класса SIEM, а функции управления данными безопасности. А называть ее монолитным SIEMом или комплексом из десятка инструментов для сбора, маршрутизации, хранения, анализа, обогащения, поиска событий безопасности, реагирования на них и т.п., каждый вендор решает для себя сам 🖥

ЗЫ. А заодно это еще и первая моя 💪 публикация в блоге Позитива на Хабре. А то все Форбс, Ведомости... 😇

Читать полностью…

Пост Лукацкого

Хватить вешать стикеры 📑 с паролями на монитор, постоянно забывая их там, уходя домой. Вешай стикеры на себя - это гораздо удобнее и безопаснее!

Читать полностью…

Пост Лукацкого

Скандал в благородном семействе. LockBit 🤒 заблокировали на двух крупнейших русскоязычных форумах XSS и Exploit за «кидалово». Тот не согласился и началась занятная дискуссия 🤬 на тему, кто прав, а кто нет.

Спустя время на форум XSS пришел юрист 🧑‍💼 LockBit (а у вас есть свой юрист?) и предложил решение затянувшегося конфликта - бесплатная реклама Lockbit на форуме в качестве возмещения морального вреда 😂, выплата 10% от доходов форума и продажа форума за 1 доллар 🛍

Конфликт позволяет погрузиться в культурные традиции отечественного кибер-андерграунда, его правила и особенности 🤒

Читать полностью…

Пост Лукацкого

К разговору о том, в чем отличия организаций, зараженных шифровальщиками, с точки зрения выплат выкупа или невыплат 🤒. На первой картинке прямые и вторичные финансовые потери казино Caesars в Лас-Вегасе 🎪 На втором - казино MGM Grands в том же Вегасе. В первом случае выплата выкупа была произведена почти сразу, а во втором - был отказ от выкупа. Разница, как мы видим, почти трехкратная.

Это я не к тому, что надо обязательно платить вымогателям выкуп 🤑 Выводы совсем иные:
1️⃣ Атака шифровальщика - это совсем не ИБ-проблема, а вопрос бизнесовый. Платить и быстро восстановиться или не платить и восстанавливаться неделями. Это решает именно бизнес, а не ИБшник.
2️⃣ С точки зрения финансовых потерь от шифровальщиков проблема тоже выходит на уровень топ-менеджмента. Я про это как раз рассказывал на пятничном вебинаре, видео и презентацию с которого выложу в ближайшее время. Это не "какой-то там вирус".
3️⃣ Даже если вы выплатите выкуп, то потери от шифровальщика составят все равно в разы больше, чем сумма выкупа.
4️⃣ Лучше нормально выстроить систему защиты от шифровальщиков (и это не только и не столько антивирус), чем потом вынимать из бизнеса деньги на выплату или нести потери от простоев.

Читать полностью…

Пост Лукацкого

Сегодня у нас будет день шифровальщика 😊 Если посмотреть отчет Chainalysis по выплатам вымогателям, заражающим организации шифровальщиками по всему миру, то мы увидим, что за последние пару лет, сумма выкупа больше 1 миллиона долларов неуклонно растет и приближается к 80% всех выплат 🤑

Это к тому, что если вы вдруг попадете под раздачу, не выстроив адекватную систему защиты от шифровальщиков, то заложите эту сумму в бюджет. Ну или готовьтесь платить 🤒 в несколько раз больше денег за восстановление системы и потери в процессе ее недоступности.

Читать полностью…

Пост Лукацкого

Отель Caesars отказался 🫸 от продления контракта с организаторами DEFCON после 25 лет сотрудничества. Без объяснения причин. Может быть топ-менеджмент Caesars испугался 😱 прошлогодней атаки шифровальщика? Нет, вряд ли, не может быть 😂

Интересно, нет, не где пройдет 32-й DEFCON (место уже найдено), а не будет ли новой ответочки от хакеров? Вполне возможный сценарий 😦

Читать полностью…

Пост Лукацкого

Новая инициатива против рынка шпионских программ

Во вторник в Лондоне был запущен Pall Mall Process — это объединение для борьбы с неправильным использованием шпионских программ. А более формально — для борьбы с распространением и безответственным использованием коммерческих средств кибервзлома (Tackling the Proliferation and Irresponsible Use of Commercial Cyber Intrusion Capabilities).

Встречу организовали Великобритания и Франция, участие приняли многие (но не все) западные страны, включая США, Германию, Швейцарию, но также и Малайзия, Республика Корея, Африканский союз, Совет сотрудничества арабских государств Персидского залива. Израиля, который в последние годы стал главным козлом отпущения для критиков spyware (из-за скандалов вокруг NSO Group и других израильских компаний), среди участников не было. Помимо стран участвовали компании, прежде всего Google, Meta и Microsoft, а также ESET, HackerOne и другие и НКО, исследовательские организации.

По итогам участники приняли декларацию, в которой обещают, что под эгидой Pall Mall Process «будут разработаны руководящие принципы и предложены варианты политики для государств, бизнеса и гражданского общества в отношении разработки, содействия, приобретения и использования коммерчески доступных средств кибервзлома». В декларации есть параграф про международно-нормативную сторону вопроса, в котором, в частности, упоминаются доклады нормы 13(e), (i) и (j) из докладов ГПЭ 2015 и 2021 года. Ещё есть словарик с рабочими определениями таких терминов, как коммерчески доступное средство кибервзлома (cyber intrusion), рынок уязвимостей и эксплойтов, разрушительные киберсредства.

Из компаний лучше всех подготовился Google, опубликовав доклад об индустрии шпионских программ. В нём описаны основные spyware-вендоры, эксплуатируемые ими уязвимости, приведены истории нескольких жертв слежки (в т.ч. Галины Тимченко). Завершается доклад призывом вместе противодействовать неправильному использованию шпионских программ.

Кстати, Google в докладе использует термин CSV — Commercial Surveillance Vendors. Если приживётся, то будет наряду с APT использоваться.

Читать полностью…

Пост Лукацкого

Вы же помните разницу между аутентификацией и авторизацией?

Читать полностью…

Пост Лукацкого

А ведь кто-то же им продает WAF и обеспечивает защиту от DDoS? 🤑

Помню на прошлой работе рассказывали историю, что одним из крупнейших покупателей мощных коммутаторов (только появившихся Catalyst 6500) были чешские порностудии , которым нужно было обрабатывать колоссальный поток сетевого трафика и шеститонники подходили для этого как нельзя лучше (а местный сейл перевыполнил свой план 🤑).

Вообще, давно известно, что порно 🔞 является драйвером многих технологий (скоростной Интернет, оплата в Интернет, VR, дипфейки и т.п.), но менее этичным от этого вопрос "готовы ли вы продать средство защиты тем, кто будет потом вас же и атаковать?" 💰 не становится.

Читать полностью…

Пост Лукацкого

В прошлый раз, скоро как 4 года назад, я ругался, когда на RSA Conference один TI-вендор на лабе показывал живые примеры про одну российскую компанию из области транспорта ✈️ (трендовые уязвимости, индикаторы компрометации, C2-коммуникации, открытые порты и т.п.); все в реальном времени 😮 Их не особо волновало, что эта информация могла быть использована против компании, выбранной для демонстрации (ну а когда американцев волновало, что будут атаковать русских?) 🤠

Мне тогда это показалось не только непрофессиональным, но и неэтичным. И вот новый пример, уже от другого, но тоже американского TI-вендора, который засветил во время демонстрации данные по своему заказчику 🏦, правда, на этот раз американского. Нуу, такое себе, если честно... Хотя, что еще они могли показать? Синтетические данные в TI особо не засунешь... Но могли бы заблюрить на худой конец 🔚 А лучше создали бы несуществующую компанию и показывали бы на ее примере...

Читать полностью…

Пост Лукацкого

Вот тут я среди примеров недопустимых событий банкротств компаний в результате кибератак упоминал финский психотерапевтический центр Вастаамо. И вот в конце прошлого года финское национальное бюро расследований 🤒 опубликовало доказательства вины одного финна, среди которых была и вот эта фотография, на которой рука, держащая спрей для лица.

Эта фотография 🤒 была загружена с сервера, который интересовал полицию и который был связан с предполагаемым преступником 🤒 Но что самое примечательное, что на этом фото стражи закона смогли разглядеть отпечатки пальцев 🤒, которые и позволили идентифицировать преступника! Ну а дальше был классический OSINT - ФИО директора фирмы, использующей сервера, кредитка для оплаты серверов, атакующие IP 🤒 и т.п.

ЗЫ. Самое неприятное в этой истории, что обвиняемый возглавлял фирму, занимающуюся кибербезопасностью 😲

Читать полностью…

Пост Лукацкого

Через 30 минут начинаю вебинар про расчет стоимости инцидента. И презенташку уже замутил небольшую, слайдов на 70 всего 😲

Читать полностью…

Пост Лукацкого

Вот пришли вы на вебинар по финансовой оценке стоимости инцидента, который я провожу через три часа, послушали, вдохновились, посчитали, пришли к руководству, а вам говорят: "Ну и что?" А вы стоите, разводите руками, не знаете, что сказать 🤬, и только клянете последними словами "этого Лукацкого". А все почему? 🤨

Возможно потому, что уровень риск-аппетита вашего руководства выше посчитанных вами значений и их ваши цифры просто не впечатляют. Более того, они могут укладывать в их зону нормальных потерь 🤑 и поэтому они не будут готовы инвестировать в предотвращение инцидентов. Поэтому, стоит поинтересоваться риск-аппетитом и уровнем толерантности к рискам в вашей организации и учитывать их при оценке стоимости инцидента 💸 Но об этом мы тоже поговорим на вебинаре, а пока можете пробежаться по статье, которую я готовил для портала "Резбез" 👇

Читать полностью…

Пост Лукацкого

Считаю прекрасным, когда у наших регуляторов есть чувство юмора. Назвать НИР "Сомелье" 🥂 - это же отлично. Также как и систему обнаружения атак "Аргус" относить к проекту "Упырь" 🧛🏻‍♂️

ЗЫ. Спасибо подписчику, что поделился этой новостью, которую я перепроверил на сайте ФСТЭК. Так что все без обмана ☺️ Можете сами проверить. Заодно и методику по организации процесса управления уязвимостями в организации посмотрите, если еще не видели.

Читать полностью…

Пост Лукацкого

История про 3 миллиона зубных щеток 🪥, атаковавших швейцарскую компанию и выведших ее сайт из строя, что привело к многомиллионным убыткам, конечно, занятна, но это фейк 👎 В зарубежном ИБ-сообществе идет активная дискуссия не на тему, как это могло произойти, а на тему, как это могло произойти так, что об этом никто не знает - ни компании-жертвы, ни марки зубной щетки, ни одного живого свидетеля. Только статья на немецком под paywall и сплошь и рядом упоминания Fortinet, на исследования и мнение эксперта которой все и ссылаются 🤥

Но в тексте есть интересные формулировки, которые намекают, что неопубликованное исследование использовало историю с щетками, как гипотетический пример, "сценарий" для Голливуда, а не нечто реальное. Другие авторы начинают увязывать эту историю с российской хакерской группировкой NoName057(16), которая в шутку 😂 тоже начинает раскручивать историю, спрашивая своих волонтеров: "Кто инфицировал тысячи умных зубных щеток с помощью нашего ПО?" NoName057(16) действительно активно DDoSила швейцарцев 🇨🇭 в январе этого года, во время проведения форума в Давосе, но делала это традиционным способом 🤕

Пока эта история напоминает древний, как говно мамонта 🦣, миф о сталелитейном заводе в Германии, который был выведен из строя вредоносной программой, да так, что пришлось менять футеровку в сталеплавильной домне. И хотя про это упомянул в своем ежегодном отчете местный регулятор, но ни одного доказательства этого факта до сих пор не было приведено. История с зубными щетками, похоже, из той же серии 🤠

ЗЫ. Что, конечно же, не отменяет опасности заражения и последующих атак со стороны IoT-устройств!

Читать полностью…

Пост Лукацкого

Помнится, на курсе по персданным в ВШЭ, где я веду часть по защите информации, я рассказывал про уровни защищенности и про актуальные типы угроз 🤒 в виде недокументированных возможностей. Ну и чтобы каждый раз не произносить эту длинную фразу и не использовать аббревиатуру НДВ, я использовал краткое "закладка". После лекции ко мне подошла одна юрист и спросила, какое отношение наркотики 😦 имеют к персданным? Я вначале не допёр, а потом до меня дошло, что под закладкой она имела ввиду именно наркотики, а не недекларированные возможности.

Так вот Positive Technologies, следуя своей стратегии ежегодно все удваивать, выставляет на Bug Bounty новое недопустимое событие, определенное нашими топами 🔝, - закладку в код продуктов. Теперь у нас вдвое больше НС выставлено в паблик для хакеров, желающих взломать Позитив. И сумму выплат мы также увеличили вдвое - с 30-ти до 60-ти миллионов рублей💸.

Хочу обратить внимание, что речь именно о внедрении закладки (привет, кейс SolarWinds), а не просто выкладывании крякнутых лицензий или даже утечки исходников. По сути, всем желающим предлагают встроиться в конвейер разработки и реализовать то, что является для ИБ-компании, имеющей решения по AppSec и продвигающей историю с безопасной разработкой, реально недопустимым 💥

Не ссыкотно ли нам это делать? Нет, сракотно 😊 Это единственный способ не только проверить себя и свои процессы и решения, но и доказать, что мы историю с результативным кибербезом двигаем не потому, что нам хочется выделиться на фоне других игроков рынка, а потому что мы реально считаем, что только так и можно показать свою реальную защищенность. Можно, конечно, и под реальной атакой со стороны плохих парней 🤒, но тогда может быть уже поздно.

На текущий момент в программе участвует 9️⃣7️⃣8️⃣ участников. Число сданных отчетов - 🔤🔤. Размер выплат - 0️⃣

Читать полностью…

Пост Лукацкого

💸 В 2021 году крупнейшая в мире онлайн-площадка Amazon выплатила штраф в размере 886 млн долларов за нарушение европейского регламента по защите персональных данных GDPR. А в 2022 году капитализация технологической компании Okta снизилась на 6 млрд долларов в течение недели после того, как стало известно о взломе компании.

Это лишь пара примеров публичных инцидентов, ущерб от которых был оценен после того, как они произошли. Но как это сделать заранее и минимизировать потери?

💡 Об этом Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, расскажет на вебинаре 8 февраля в 14:00.

Обсудим, как отстаивать затраты на защиту от критически опасных инцидентов, если в вашей компании еще не выстроена результативная кибербезопасность, каким бывает ущерб от инцидентов и какие факторы влияют на их стоимость. Также Алексей поделится базовыми рекомендациями по предотвращению инцидентов.

Регистрируйтесь на вебинар заранее на нашем сайте

@Positive_Technologies
#PositiveЭксперты

Читать полностью…
Подписаться на канал