Вы знаете какова цена зерен кофе в стоимости чашки кофе? Всего 4%! А целых 60% от стоимости чашки кофе уходит на аренду помещения и оплату труду работников кофейни. Аналогичная история и со стоимостью коммерческих SOCов и структурой их затрат. Порассуждал об этом в блоге. #nosocforum
Читать полностью…TLP:CLEAR
Что же делать, чтобы решить проблему перегрузки аналитиков SOC? Согласно результатам опроса на первое место среди менеджеров выходит использование продвинутой аналитики, лучшая поддержка от боссов и правильная приоритизация инцидентов и задач. У работников SOC тройка другая - психологическая помощь и программы по управлению стрессом (не знаю, никогда не пользовался, но допускаю, что полезная штука), правильная приоритизация инцидентов и задач и автоматизация workflow.
Автоматизация, продвинутая аналитика, машинное обучение... Это те меры, которые также могут помочь снизить нагрузку на аналитиков и это то, что сейчас является трендом при разработке SIEM/SAP, о чем я напишу в блоге в рамках #nosocforum
TLP:CLEAR
Согласно четвертому ежегодному Devo SOC Performance Report 71% работников SOC сказали, что вероятно покинут свою работу. К основным причинам такого решения относятся:
📌 перегрузка
📌 нехватка инструментов интеграции
📌 усталость от числа сигналов тревоги.
Относительно первого пункта стоит отметить, что 78% аналитиков перерабатывают в среднем от 1 до 9 часов в неделю. А четверть пашет сверхурочно, добавляя к своему обычному графику по 10-30+ часов в неделю (по 1,5-6 часов в день!!!) дополнительно.
#nosocforum
В отношении инцидентов ИБ необходимо задаваться не вопросом “ЕСЛИ”, а “КОГДА”. Сегодня с этой проблемой сталкиваются все — от индивидуальных предпринимателей до монополистов, от коммерческих компаний до госорганов. Поэтому умение реагировать на инциденты и нейтрализовывать причины, приводящие к ним, становится важнейшим умением любого предприятия. Но допустим. Допустим, вы знаете как реагировать на инциденты — у вас есть план, у вас разработаны плейбуки, у вас отрисованы все workflow, у вас куплено лучшее ПО класса IRP и SOAR или написаны свои скрипты, реализующие весь нужный функционал, ваш персонал прошел необходимые киберучения. Но несмотря на это инцидент все-таки случился и о нем стало известно за пределами компании. Как вы будете себя вести?
#nosocforum
@danielmakelley опубликовал в Твиттере список из 30 поисковиков по различным аспектам ИБ:
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayHatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.
Это тоже поздравительная песня 🎼 на день шифровальщика, но уже для более молодого поколения 😊 Мне она не зашла, так как звучит как-то натянуто...
Читать полностью…На мероприятиях по ИБ я часто рассказываю про тайпсквоттинг (ошибка при наборе домена, чем пользуются злоумышленники, создавая схожие по написанию домены). Часто добавляю, что пользователи смартфонов находятся под большей угрозой, так как на мобильном устройстве клавиши уже и при широких подушечках пальцев часто нажимаешь на соседние виртуальные клавиши. А вот и яркий пример этого факта ;-)
ЗЫ. Юли меня тоже поймут ;-)
По тому, поздравляют тебя с днем безопасности 12 или 30 ноября понятно, в теме человек или нет!
Читать полностью…Илон Маск и Твиттер опять в центре скандала. Попытка Маска заработать на верифицированных учетных записях обернулась проблемами. Некто создал фейковый аккаунт фармацевтической компании Eli Lilly and Company и "верифицировал" его (то ли кто-то помог, то ли просто добавил значок соответствующий). А позже этот некто опубликовал сообщение о бесплатной раздаче инсулина, что повлекло за собой падение курса акций компании на 6%.
Интересно, должна ли ИБ заниматься такими историями? Если уж она занимается сайтами-клонами, то почему не должна заниматься учетками-клонами? Да, фишинг ловить проще, чем отслеживать фейковые учетки, но кто-то же это должен делать? И второе "интересно". А сервисы DRP (Digital Risk Protection) такое могут взять на себя?
📌 Как же меня это достало. Я ни с кем не согласовываю свои посты в этом канале. Это мой личный ресурс, где я высказываю свою личную точку зрения! Она может вам не нравиться, вы можете жаловаться хоть в ООН, хоть в "Спортлото" на меня. Но хватит уже мне указывать, что мне писать, а что нет. И моему работодателю 🟥 не надо жаловаться - он не определяет политику этого канала. Имейте смелость мне в лицо говорить (или в личку написать), когда вам что-то не нравится, а не гадить как это любят делать чиновники мелкого пошиба! И подсылать никого не надо. Это делает ситуацию только хуже!
Читать полностью…ФСТЭК в лице Лютикова Виталия Сергеевича на ИТ-Диалоге в Питере заявила, что если сертифицируемое средство защиты информации работает под управлением только недружественных ОС и СУБД, то новые сертификаты на такие средства защиты выдаваться не будут. При этом выданные ранее сертификаты, в случае отсутствия движения у разработчиков в сторону отечественного ПО, будут сначала приостанавливаться, а затем и отзываться.
Также, комментируя инициативу Минцифры о поддержке всего трех ОС (Astra, Red, ALT), ФСТЭК заявила, что они не планируют выделять кого-то из разработчиков и поддерживать только их, но с точки зрения усилий разработчиков средств защиты, было бы правильно, чтобы в стране не было десятков разных форков и клонов ОС и СУБД и у нас их было поменьше. И хотя, явно это ни у кого в выступлениях не звучало, но вариант мобилизационного развития экономики, когда останется небольшое число игроков-разработчиков на рынке ИБ (а не 200 компаний, как сейчас), которые выживут и, может быть, смогут рассчитывать на поддержку государства, прослеживается.
А это в свою очередь указывает на важность выбора надежного поставщика средств защиты. До 1-го января 2025 года остается чуть больше двух лет и за это время многим надо будет перейти на отечественного производителя. И надо будет оценивать не только продукты по их функциональности, надежности и масштабируемости, но и сами компании по тому, выживут они в обозримом будущем или нет. Как тут не вспомнить магические квадраты Гартнера или волны Форрестера, в которых оценивались не просто продукты в той или иной нише, а именно способность их разработчиков развивать продукты в перспективе нескольких лет, распространенность продуктов, стабильность компаний и т.п.
Моя презентация с конференции ФСТЭК про тенденции развития SIEM или SAP, как их называет Forrester (Security Analytics Platform), в России
Читать полностью…Интересная дискуссия прошла на питерском ИТ-Диалоге. Я еще про нее в блоге напишу, а пока по горячим следам про BugBounty. На фоне новостей Минцифры про запуск BugBounty для Госуслуг я задал участникам вопрос, а готовы они идти дальше и выставлять свои решения для публичного легального взлома?
Региональные министры ИТ предложили рейтинговать софт в реестре отечественного ПО и, в зависимости от того, проходил вендор ПО программу BugBounty или нет, можно повышать рейтинг софта и давать ему больше преференций.
Виталий Сергеевич Лютиков (ФСТЭК) считает, что выставлять ГИС (как это будет делать Минцифры) для BugBounty можно, но только после проработки всех условий и ограничений и аппробации подхода. А вот вендорам было бы неплохо, если они не боятся, выйти на BugBounty-платформы. И может быть, когда-нибудь, такое требование появится в нормативке.
Так что не исключаю, что в 2023-м году участие в BugBounty может стать обязательным либо по направлению ИТ-разработки, либо ИБ. Ждемс…
TLP:CLEAR
title: Конференция компании Devo для аналитиков SOC
author: Alexey Lukatsky (Positive Technologies)
description: Прошедшая недавно конференции была посвящена не технологиям, а рассказу о том, как не выгорать специалистам SOC, как поддерживать свое здоровье и т.п. Презентаций не было - круглые столы и онлайн-дискуссии.
tags:
- conference
references:
- https://www.socanalystday.com
falsepositives:
- no
#nosocforum
В феврале 2011-го года на Мюнхенской конференции по безопасности был представлен доклад "К выработке правил поведения в киберконфликтах: применимость Женевских и Гаагских конвенций в современном информационном пространстве", подготовленный большой группой экспертов со стороны России и США, ведущими из которых были Карл Фредерик Раушер и Андрей Коротков.
Среди прочего была дана рекомендация о применении в киберпространстве женевской концепции опознавательной эмблематики. "Женевские и Гаагские конвенции предписывают, что защищенные объекты, защищенный персонал и защищенные транспортные средства должны быть маркированы ясно видимым и отличительным способом. Далее Конвенции устанавливают особые стандарты непосредственно для отличительной эмблемы (то есть Красный Крест, Красный Полумесяц и др.), инструкцию для ее применения и последствия при ее неправильном применении. Однако в киберпространстве не существует отличительных, ясно видимых указателей для объектов, персонала или соответствующего имущества. Без таких указателей гуманитарные интересы, предполагаемые для защиты положениями Конвенций, находятся в опасности. Эта рекомендация предлагает разработку системы аналогичных маркеров в киберпространстве, чтобы обозначить защищенные объекты, персонал и прочие активы".
И вот, спустя 11 лет, 3 ноября 2022-го года Красный Крест сообщил, что разработал цифровую эмблему для Красного Креста и Красного Полумесяца для размещения их на web-сайтах и иных цифровых сервисах для защиты их атак хакеров. По международному праву, атака на объекты Красного креста считается военным преступлением. Но учитывая, что атрибуция и поимка хакеров в реальном пространстве - занятие не очень успешное, то, если честно, мне эта идея кажется немного утопичной. И, как показывает опыт событий с 24 февраля, хакерам (да и не только им) в целом по барабану атаковать гражданские или военные объекты, как и все международное право. Но интересно в этой истории то, что над цифровой эмблемой трудились с 2020-го года эксперты в том числе и из России, а именно из питерского ИТМО.
TLP:GREEN
Я многократно за долгие годы в ИБ подступался к задаче систематизации получаемых из разных источников по ИБ данных (новостей, ссылок, документов, идей, наблюдений и т.п.). Папки на жестком диске, база данных в MS Access и Bento, облачный Notion, MS OneNote и т.п. Все было не очень удобно, так как информация нелинейна и имеет кучу связей, который заранее не предусмотришь, а спустя время уже забудешь обновить.
Однако в какой-то момент времени нашел удобный именно для меня способ записи всего, что вижу вокруг или что до меня долетает и что я бы не хотел забыть или потерять. Кто-то называет это "цифровым садом", кто-то Зеттелькастеном, кто-то вторым мозгом 🧠, кто-то никак не называет. В целом это и не так важно - главное, что вся информация консолидируется, имеет перекрестные ссылки и всегда под рукой. Локально (никаких облаков). А неиерархическая структура позволяет видеть неочевидные связи (на картинке фрагмент).
Из используемых мной сценариев могу назвать несколько:
📌 заметки для блога
📌 наброски для статей и книг
📌 база инцидентов ИБ.
Последний сценарий вполне может быть применен и в SOCах, если каждый индикатор, артефакт, APT-группа, инцидент или уязвимость будут рассматриваться как узлы графа. Тогда они будут использованы как перекрестные ссылки и смогут дать интересные, ранее незамеченные взаимосвязи.
#nosocforum
TLP:CLEAR
Среднее время поиска персонала и закрытия вакансий в SOC в составляет 7 месяцев. В одном случае из семи длительность поиска составляет более двух лет. Это, конечно, статистика зарубежная, но не думаю, что у нас она прям сильно отличается.
Как вы думаете, на кого сваливается работа тех, кого еще не наняли? Правильно, на уже нанятых аналитиков 😞 А это требует в свое время особого отношения к ним - нормального соцпакета, возможностей для отдыха и т.п.
#nosocforum
Начинаю завтра в своих соцсетях No SOC Forum. Буду писать всякие сочные заметки разного формата - от коротких, как индикатор компрометации, в Телеге, до развернутых, как отчет Threat Intelligence, в блоге. Все будет сопровождаться тегом #nosocforum Продлится всю неделю
Читать полностью…МИД РФ включил в персональный список санкций Дмитрия Альперовича, бывшего главу CrowdStrike, и Джен Эстерли, главу американского агентства по ИБ CISA
Читать полностью…Поздравительная песня 🎶 на день шифровальщика (этот тот, кто занимается криптографической защитой информации, а не тот, кто вымогает деньги за расшифрование данных) на знакомую с детства (моего, как минимум) мелодию. Официально же это день защиты гостайны в Вооруженных силах РФ, который раньше считался днем военного шифровальщика! С праздником всех причастных! Сообщите по секрету всем, кого это касается 📞
Читать полностью…Как человек, который и начал всю эту шумиху по поводу "первой уголовки за VPN", я продолжаю следить за происходящим и сейчас можно подвести некоторые промежуточные итоги:
📌 я публикую с подачи подписчика Андрея Лаптева ссылку на пресс-релиз томского суда о приговоре за использование VPN (хотя про VPN в пресс-релизе ни слова, у меня это была единственная версия, так как ПО, которое скрывает идентификацию пользователя и не дает следить за его активностью, - это и есть функция большинства VPN)
📌 из-за поднятой шумихи томский суд публикует материалы дела, из которых становится понятно, что речь идет не о VPN, а о защищенном мессенджере VIPole (мало чем по сути отличается от функциональности VPN только применительно к обмену сообщениями)
📌 прокуратура заявляет, что в материалах и пресс-релизе суда ошибка и осудили виновного именно за применение вредоносной программы, но почему в материалах ее назвали "мессенджером VIPole" прокуратура не знает, хотя название у ВПО похожее
📌 эксперты считают, что речь идет о сделке со следствием по делу о распространении наркотиков (у наркоторговцев VIPole пользовался популярностью, а 273-ю применили потому что не было иных доказательства, а надо было дать срок хоть за что-то, чтобы не портить статистику)
📌 другие эксперты считают, что речь идет о наказании за использование пиратской версии VIPole, то есть о нарушении авторских прав и следователи применили 273-ю в рамках "палочной системы"
📌 кто-то считает, что это такая многоходовая реклама мессенджера "Сибрус", у которого с VIPole одни и те же разработчики (на сайте Сибрус 8-го ноября протух сертификат SSL), хотя если почитать форумы, где бывшие сотрудники Сибруса жалуются на руководство за невыплату зарплаты, то это скорее антиреклама
📌 кто-то считает, что таким образом хотели унизить/обвинить/замарать Агентство стратегических инициатив (АСИ), Институт развития Интернета (ИРИ), Администрацию Президента, Ростелеком и др. которые в рамках импортзамещения выдали грантов на 180 миллионов рублей на разработку ПО, которое позже было названо судьей вредоносным (то есть тех, кто давал денег тоже можно привлечь по 273-й статье за разработку ВПО?).
Итого, 3 более-менее реалистичных версии:
1️⃣ Суд не ошибся и действительно судят за использование функции защищенной связи в мессенджере (а могут и за такое использование в любой иной программе). Тогда это прецедент и нехорошо.
2️⃣ Суд не ошибся, но VIPole и 273-ю статью УК применили просто потому, что ничего другого не нашли, а надо было посадить человека, который был виновен в чем-то другом. То есть судья просто написала то, что ей сказали те, кто вел следствие, а обвиняемый особо и не сопротивлялся.
3️⃣ В материалы суда закралась ошибка, но признать это они не могут (хотя Рунет и СМИ взбаламутили, конечно).
Лет 20+ назад случился маленький le scandale - завкафедрой по ИБ одного ВУЗа и преподаватель той же кафедры опубликовали книжку, которая на 1/5 состояла из материалов, на которые распространялись мои авторские права; разумеется без упоминания меня. С тех пор много воды утекло, а я взял за правило во все свои материалы вставлять скрытные "цифровые водяные знаки". Но не в виде использования особого расстояния между символами (это для печатных документов подходит), и не в виде особых символов на картинках.
Первое легко обходится после сканирования и распознавания текста, а картинок у меня нет так много, чтобы я заморачивался их охраной. Вот с текстами да, запариваюсь. Так вот, перепробовав кучу разных вариантов, я остановился на стеганографии, а именно на использовании специального алгоритма, который позволяет по символам, стоящим на определенных местах в написанном мной тексте, составлять слова, которые и будут указывать на мое авторство. Этакий акростих, но для целей защиты моих авторских прав. Плюс такого механизма в том, что он работает независимо от формы представления текста. Скрыть плагиат можно только переписав текст, что требует определенных усилий.
К чему это все? К тому, что выросло число случаев, когда у меня стали подворовывать контент, выдавая его за свой. Я понимаю, когда у меня берут картинки и видео и постят у себя без указания, где это было взято. В конце концов, я сам эти картинки и видео тоже нахожу в Интернете и просто придумываю к ним свои подписи. Мемасики и скриншоты более авторские, но тоже некритичная история, - в основе все равно лежат какие-то генераторы картинок, на которые я просто наношу свой текст (забавно бывает, когда тебе же присылают твой же мемасик и говорят "смотри, как прикольно").
Но вот тексты у меня сугубо свои, выстраданные, и поэтому к их воровству я отношусь крайне отрицательно. Особенно печально, когда твой контент потом перепродают, выдавая за свой. Например, на днях попалась презентации одной консалтинговой компании, сотрудники которой сходили на мои курсы по измерению эффективности ИБ, а теперь они мои же материалы преподносят как результаты своего титанического труда. Ну не суки ли?.. Где моя доля? 😊
Первое упоминание термина "penetration" в контексте оценки защищенности систем была сделано в апреле 1967-го года
Читать полностью…Когда ломают субъект КИИ, сообщать надо в ГосСОПКУ. Когда ломают финансовую организацию, сообщать надо в ФинЦЕРТ. Когда происходит утечка ПДн, надо сообщать в РКН. А куда надо сообщать (и надо ли), когда ломают компанию, работающую в области ИБ? И не просто ИБ, а ИБ АСУ ТП?
Вопрос не риторический - действительно интересно. Как-то обычно не задумываешься, что ИБ-компания - это иногда серьезнее, чем ее клиенты - субъекты КИИ. Ведь у компании могут быть отчеты об обследовании состояния ИБ своих заказчиков (и не одного, а всех). В качестве примера, у нас в 🟥 - несанкционированный доступ к таким отчетам - это одно из 4-х недопустимых событий, то есть история серьезная. Поэтому усилия прилагаются тоже немалые по обеспечению своей ИБ.
А в России это уже не первый случай, когда инцидент происходит у ИБ-компании (еще и лицензиата). Хотя может на такой случай есть свой секретный ФСТЭК-ЦЕРТ и о нем все ИБ-компании узнают, когда им вручают лицензию?
На фото Анна Ньюбергер, бывшая первая глава департамента по кибербезопасности АНБ, а ныне заместитель советника президента США по национальной безопасности. В одном из своих интервью она говорила, что даже при наличии Blackberry она не всегда доступна даже в режиме 24/6. Сначала я подумал, что в статье ошибка, и речь была о 24/7 (для ее-то должности), но потом оказалось и правда. Она ортодоксальная иудейка и значит с вечера пятницы и в субботу Тора запрещает ей заниматься деятельностью, которую можно отнести к творчеству и созиданию. В Торе за работу в Шаббат предусмотрена даже смертная казнь (хотя это и не практикуется). И вот как она это разруливает интересно? 🤔
У меня в курсе по моделированию угроз есть примеры про нестандартные факторы, влияющие на безопасность, - социальные или связанные с укладом жизни. Там и "Аум Синрикё", и пьянство и наркотики у админов, и тейповость. Религиозные аспекты я рассматривал только в контексте биометрической идентификации. А тут всплывает старая шутка "Работает ли поддержка Check Point по субботам?" и оказывается, что это вполне себе правда :-) Интересно, как она разруливает конфликт между работой и религией? Ведь это риск, а она была еще и главным рисковиком АНБ...
ЗЫ. Может раввин разрешает в особых случаях? Как в фильме "Мюнхгаузен" диалог священника и барона:
- Вы же разрешаете разводиться королям.
- Ну, королям, в особых случаях, в виде исключения, когда это нужно, скажем, для продолжения рода.
- Для продолжения рода нужно совсем другое 😂
Еще один вопрос на ИТ-Диалоге возник вокруг NGFW. Присутствовавшие вендора говорили, что у них все прекрасно и этот сегмент рынка прекрасно импортозамещается. А вот региональные министры ИТ были с этим не согласны - им не хватает качественного и производительного решения.
Тему подхватило Минцифры, которое тоже пожаловалось, что для их высоконагруженных систем нет на рынке отечественных NGFW от слова совсем. Поэтому они собрали от ФОИВов хотелки и сейчас планируют запустить проект “ГосNGFW” - то ли будет заказная разработка, то ли грант в сторону вендоров NGFW. А ФСТЭК сейчас завершает разработку требований к NGFW. На фоне озвученного Позитивом на форуме решения идти в разработку своего NGFW, конкуренция в следующем году станет жаркой