ФинЦЕРТ, в рамках финансовой грамотности, раньше такие кроссворды делал. Да и вообще, много делал. #nosocforum
Читать полностью…За совершение преступлений в сфере компьютерной информации предлагают наказывать конфискацией имущества
К числу таких относятся:
🔹неправомерный доступ к компьютерной информации,
🔹создание, использование и распространение вредоносных компьютерных программ,
🔹неправомерное воздействие на критическую информационную инфраструктуру РФ,
🔹нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей.
Для повышения эффективности мер по противодействию таким преступлениям предлагается внести изменения в пункт «а» части 1 статьи 104-1 Уголовный кодекс РФ и дополнить его статьями 272-274, которые позволят конфисковать имущество за киберпреступления.
Соответствующие поправки в УК РФ разработали председатель Комитета СФ по конституционному законодательству и государственному строительству Андрей Клишас и депутаты.
По словам сенатора, данные МВД за прошлый год показали, что каждое четвёртое преступление было совершено с использованием информационно-коммуникационных технологий или в сфере компьютерной информации. При этом в большинстве таких правонарушений использовались сеть «Интернет», средства мобильной связи, компьютерная техника и программные средстве.
@sovfedofficial
Место отдельным SecOps-решениям, конечно, останется, но чем более зрелым будет заказчик, тем больше шансов, что он выберет консолидированную платформу, а не разрозненный стек продуктов. #nosocforum
Читать полностью…Как-то тема оценки защищенности неожиданно хорошо выстрелила за последнюю пару недель, что я решил ей уделить отдельную заметку в блоге. Набралось дофига новостей по этому направлению - это и 4 методики ФСТЭК, и парочка документов ФСБ, и методика американской CISA, и с десяток проектов ГОСТов по оценке защищенности, и еще кое-что. Обо всем этом и решил написать. В конце концов, это тоже часть #nosocforum
Читать полностью…В чем отличие должности директора по информационной безопасности в России и в мире
🙇 В большинстве российских компаний, особенно небольших, специалист по ИБ выполняет организационные функции в рамках своей деятельности и практически никогда не выходит на уровень коллегиального органа (совета директоров, правления и других управленческих структур) и не участвует в принятии стратегических решений, необходимых для развития бизнеса.
🤵 На Западе начальник службы ИБ может участвовать в совещаниях по инвестициям наравне с финансовым, операционным директором и другими руководителями, хотя он и оценивает проекты с точки зрения ИБ. Чаще всего он не входит в структуру IT-департамента, а подчиняется непосредственно генеральному, операционному или финансовому директору.
Чем различается восприятие должности CISO в России и в остальном мире? Что отличает CISO от других руководителей в сфере ИБ? Какие риски связаны с активной публичной деятельностью CISO?
Об этом порталу Cyber Media рассказал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.
#PositiveЭксперты
А вы, занимаясь ИБ, покупали уже акции какой-либо компании по ИБ или целого фонда? Насколько вы верите в сам рынок, что он будет расти? Если верите, то почему не прикупить акций (даже немного)? Если не верите, то почему продолжаете работать в ИБ?
Я раньше как-то не особо задумывался об этом способе заработка. Ну были у меня акции Cisco; ну так их мне работодатель выдавал. Потом я прикупил акций одного из фондов, включающих акции многих зарубежных ИБ-компаний. Потом прикупил акций Positive Technologies (еще до выхода к ним на работу и даже до 24 февраля).
Я могу ошибаться, но все-таки считаю, что это некий маркер того, насколько зрелый рынок ИБ. Не с точки зрения самих вендоров (тут у нас всего пока один только Positive), а с точки зрения ИБшников.
ЗЫ. Хотя из Москвы легко рассуждать о том, куда потратить деньги 💰 Но с другой стороны, надо же верить в лучшее ;-)
ФСТЭК в этом году прям достойно выступила на SOC Forum. Виталий Сергеевич Лютиков презентовал ключевые нормативные изменения по ведомству (ниже на фото), а Елена Борисовна Торбенко в своем докладе рассказала о практических рекомендациях по защите объектов КИИ, включая и отражение атак supply chain и многое другое. Кто-то смотрит на нормативку регулятора буквально и требует пояснений и согласования на каждый чих, а кто-то превращает нормативку в результативную ИБ. Каждый видит в приказах ФСТЭК что-то свое 🤔
Читать полностью…standoff запущен позитивом
и для страны и за рубеж
и для души да и во благо
себе ж
22-24 ноября буду участвовать в онлайн-программе The Standoff, сразу в пяти мероприятиях:
📌 Кибератаки на российские компании. Опыт 2022 года
📌 Подведение итогов киберучений на инфрастуктуре Рositive Тechnologies. Запуск программы bug bounty на 1 млн.долларов
📌 Может ли bug bounty стать гарантией киберустойчивости бизнеса?
📌 Влияние кибератак на котировки акций публичных компаний
📌 Мемы в ИБ: можно ли говорить об информационной безопасности картинками
Где-то буду простым участником, где-то буду модерировать более опытных коллег, где-то буду отвечать на вопросы ведущего. Зарегистрироваться можно на сайте мероприятия.
❗️Якутская лаборатория судебной экспертизы (входит в структуру Минюста РФ) заказала софт для взлома и изучения содержимого смартфонов, планируемая цена закупки превышает 730 тыс. рублей. Помимо нашумевшего защищённого мессенджера ViPole, впервые в списках интересующих облачных сервисов для «извлечения и импорта данных» обнаружилось эротическое приложение Onlyfans, заметил O!News.
Экспертизы средств связи подобные учреждения Минюста проводят в основном в рамках уголовных дел – по запросам следователей и спецслужб. Чаще всего используется программный комплекс под названием «Мобильный криминалист» от российской фирмы Oxygen Software, которая недавно провела ребрендинг и стала «МКО Системы». По-видимому, компания включила в портфель услуг Onlyfans.
Сервис платных интим-видео Onlyfans до этого не встречался в программных требованиях российских судебных экспертов, но появление в закупке говорит о том, что интимная отрасль окажется под более значительным контролем силовиков. В 2020–2021 годах в Красноярске, Череповце и Петербурге проводились рейды на вебкам-студии, на организаторов заводили уголовные дела о незаконном изготовлении и обороте порнографических материалов.
Подписаться на O!News
На прошедшей на днях в США CyberwarCon активно рассказывали о различных атаках и кампаниях (почему-то часто упоминалась Россия), представляли результаты исследований и т.п. Среди прочих, эксперты признанной экстремистской и запрещенной в России META представили свое видение цепочки атак в онлайн-пространстве (online operations kill chain), которая состоит из 10 этапов:
📌 Покупка активов для проведения дальнейших атак (хостинг, e-mail, IP, аккаунты и т.п.)
📌 Маскировка купленных активов под легальные
📌 Сбор информации о среде, в которой будет проводиться операция
📌 Координация и планирование работы купленных активов
📌 Тестирование/проверка защиты
📌 Обход обнаружения
📌 Массовые, нецелевые атаки ("по площадям")
📌 Выбор целевой жертвы
📌 Компрометации активов
📌 Скрытие активности.
#nosocforum
Раз уж я начал вчера про оценку защищенности, то, как нельзя кстати, в журнале "ИТ-Менеджер" вышла моя обзорная статья про разные варианты оценки защищенности, в которой я "пробежался" по сканированию уязвимостей, DAST, BAS, пентестам, Red Team и Bug Bounty. То, что я не осветил в статье, так это интеграцию всех этих решений в SOC, так как они часто служат инструментами для обогащения и корреляции событий ИБ, которые поступают от средств мониторинга. #nosocforum
Читать полностью…Пока экспертное сообщество обсуждает новое уголовное дело и задается вопросом, не посадят ли теперь за использование ALT Linux, в состав которого также входит SQLmap (интересно, а в другие сертифицированные дистрибутивы Линукса?), я завершу этот насыщенный день моей статьей про 250-й Указ Президента, которую опубликовал сегодня РБК (требуется подписка Pro)
Читать полностью…Ну и вдогонку к предыдущей заметке, но уже про Россию. ФСТЭК готовит методику оценки состояния защиты информации в организации. Правда, ФСТЭК смотрит на оценку защищенности чуть более высокоуровнево, чем Gartner. Скорее они дополняют друг друга - ФСТЭК хочет оценивать общее состояние ИБ в организации, а Gartner говорит о поисках конкретных слабых мест, которые приводят к компрометации.
Все у ФСТЭК хорошо, но я бы поменял классификацию уровней зрелости, так как сейчас классификация "низкий - базовый - базовый повышенный - высокий" сносит мозг напрочь. Лучше либо взять за основу уровни зрелости CMMI либо убрать "базовые" уровни (чем базовый отличается от низкого, а базовый повышенный от базового и почему базовый повышенный нельзя назвать средним?), заменив их на "средний". Но пятиуровневая шкала лучше.
ФСБ при этом опубликовала проект приказа "Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими" (в развитие 250-го Указа).
#nosoсforum
Так сложилось, что сегодня началось еще одно мероприятие по SecOps, но уже в США. И если у нас мероприятия начинаются с выступлений регуляторов, то у них с выступлений Gartner :-)
Gartner делает прогноз по развитию SecOps-инструментов, считая, что SOAR, IRP и TIP будут сливаться в единое решение TDIR, которое, в свою очередь, будет сливаться с SIEMами. Да, отдельные решения будут еще существовать, но унификация решения - это мейнстрим по версии Gartner.
#nosocforum
TLP:CLEAR
title: Конференции SANS для специалистов SOC
author: Alexey Lukatsky (Positive Technologies)
description: Очень неплохие видео за несколько лет с конференций Blue Team Summit, Threat Hunting Summit, Incident Response Summit, Cyber Threat Intelligence Summit, DFIR Summit
tags:
- conference
references:
- https://www.youtube.com/c/sansinstitute/playlists?view=50&sort=dd&shelf_id=2
falsepositives:
- no
#nosocforum
Актер Рейн Уилсон (Rainn Wilson) сменил фамилию на Стена Дождя Волна Тепла Экстремальная Зима Уилсон (Rainnfall Heat Wave Extreme Winter Wilson), чтобы привлечь внимание к проблеме изменения климата.
Если бы смена фамилии не сопровождалась кучей головняка по смене всех правообладающих документов (от паспорта и водительского до свидетельства о браке и права собственности на квартиру), то я бы поменял фамилию на Алексей Против Голимой Рекламы И Скучного Гундежа На Конференциях По ИБ Лукацкий. Но увы ;-(
Если верить "Киберпартизанам", они взломали Роскомнадзоровский ГРЧЦ, потырили немало внутренней информации, утащили переписку работников, пошифровали рабочие станции и, судя по компрометации AD и получению доступа к используемой DLP, еще и получили учетку админа ГРЧЦ 🧑💻 И судя по скринам, я вполне допускаю, что это не фейк, как уже бывало раньше со стороны других хакерских группировок, и это не "опубликованная ранее в Интернет публичная информация".
Как говорится, 100% ИБ не бывает, но лишний раз демонстрируется, что и на старуху бывает проруха 🤷♂️
Возвращаясь к трехдневной давности посту о прогнозе Gartner о слиянии разных SecOps-решений в рамках SIEM. Они даже приводят цифры - 75% вендоров SIEM будут предлагать клиентом консолидированные решение SIEM+IRP+SOAR+TIP. Интересный прогноз. Раньше считалось, что решения должны быть все-таки разные. Видимо, нехватка кадров и требования по оперативному реагированию сместили акценты. #nosocforum
Читать полностью…4 ноября этого года ФСБ выпустила приказ №547 "Об утверждении перечня сведений в области военной, военно-технической деятельности, которые, при их получении иностранным источниками могут быть использованы против безопасности РФ".
Интересно в этом приказе то, что его существенно расширили и теперь стоит внимательно относиться к тому, что говорить или писать в иностранных СМИ, на зарубежных мероприятиях, коллегам с двойным или просто одним, но нероссийским гражданством. Во избежание так сказать... В перечень внесены следующие сведения в области ИБ:
📌 сведения о действительных наименованиях, дислокации и персональные данные сотрудников, включая их контактную информацию, подразделений ФСБ (это теперь нельзя про 8ку ничего писать, а их контакты удалить с телефона, который синхронизируется и бэкапится в зарубежном облаке?)
📌 сведения об использовании криптографической защиты, квантовых технологий и искусственного интеллекта при разработке вооружений, военной и спецтехники
📌 сведения о центрах ГосСОПКИ и инцидентах в рамках ОПК
📌 сведения о закупке СрЗИ для нужд ОПК
📌 сведения о составе и организации работы ГИС и ОКИИ (включая незначимые), их ЦОДах, исходниках ПО, ТЗ, моделях угроз, паролях, настройках СрЗИ, результатах анализа защищенности и реагирования на инциденты
📌 сведения об обеспечении ИБ в области космической деятельности.
Вообще 31-й пункт перечня (про КИИ) меня смутил и напряг. Это что, теперь нельзя публиковать данные с обобщенными результатами пентестов (типа таких)? А на конференциях типа "Магнитки" нельзя делиться лучшими практиками и опытом защиты финансовых организаций? А на GitHub нельзя держать open source утилиты, которые применяются для пентестов ОКИИ? Много вопросов... 🤔
На фото рассекреченные плакаты Агентства национальной безопасности. Вы видите на них что-то секретное? 🤷♂️ Неужели фраза "take a positive approach to security" 😊 Мне кажется мы еще "наедимся" последствий бездумного засекречивания 🧐
Сегодня я решил описать тему другого своего несостоявшегося доклада, посвященного тоже SOCам с финансовой точки зрения. На этот раз речь идет о возможных моделях ценообразования и лицензирования центров мониторинга, тарификации и т.п.
Читать полностью…Обратите внимание вот на этот слайд - это проект документа ФСТЭК с требованиями к NGFW, о котором я писал на прошлой неделе
Читать полностью…⚡️ Standoff пройдет уже в ноябре
Мы определились с датами юбилейного, десятого по счету Standoff: 22–24 ноября белые хакеры и специалисты по информационной безопасности вновь соберутся на открытой кибербитве.
Что будет
📌 Три дня принципиального противостояния красных и синих за инфраструктуру Государства F.
📌 Митап Standoff Talks, где можно обменяться опытом с offensive и defensive специалистами, поделиться успешными находками и открытиями.
📌 Выступления экспертов из мира ИБ и встречи с представителями государства и бизнеса.
📌 Инвестиционная сессия, где мы обсудим влияние хакерской активности на привлекательность отрасли и перспективы вложений в сферы IT и кибербезопасности.
Наблюдать за происходящим можно будет в онлайн-трансляции на сайте standoff365.com
👀 А о том, как попасть на площадку и увидеть все это своими глазами, мы расскажем немного позже. Следите за новостями!
Государство достаточно активно занялось вопросом ИБ, выпускает кучу нормативки и методичек, но все это должно, как мне кажется, сопровождаться оценкой общего уровня защищенности, чтобы понять, насколько мы все движемся в правильном направлении.
Можно попробовать измерить общий индекс ИБ страны, но он ничего не говорит о том, что конкретно надо улучшать. Можно попробовать задействовать метрики ИБ. Вот так, например, в Новой Зеландии оценивают уровень цифровой устойчивости отраслей (называется Cyber Resiliense Barometer). По сути своей, они просто взяли NIST Cyber Security Framework и заставили попросили компании ежеквартально его заполнять, проставляя против каждого блока защитных мер значение по пятибалльной шкале.
Компании могут делать тоже самое и сделать это даже частью своего SOC, который помимо всего прочего будет иметь в своем сервисном каталоге и услугу по оценке состояния защищенности организации.
Надо будет посмотреть, что ФСТЭК придумала в своей методике, о которой я писал вчера, и насколько получаемые в ней уровни зрелости могут быть выведены на уровень отрасли или страны.
#nosocforum
Руководство по принятию решений в части борьбы с шифровальщиками. Делится на три части - подготовка к борьбе с ransomware, процесс реагирования на активность шифровальщика и восстановление от последствий.
Интересно, что руководство не говорит вам, не платите вымогателям. Оно подводит вас к правильному решению в зависимости от того, как вы ответили на предыдущие вопросы. И это будет решение взвешенное с разных точек зрения и с учетом интересов бизнеса, а не вот это вот «не платить ни при каких условиях и пусть бизнес в следующий раз думает, когда урезает бюджет на ИБ».
#nosocforum
Если вдруг вы хотите оценить свою готовность к реагированию на инциденту, то есть неплохой инструмент для этого, разработанный по заказу шотландского правительства на базе двух стандартов по управлению инцидентами - ISO 27035 (две части) и NIST SP800-61.
Этот опросник / калькулятор, конечно, не заменит вам плана реагирования на инциденты, но может подсветить ваши слабые места в этом процессе.
#nosocforum
Один из докладов, который я мог бы сделать на SOC Forum был посвящен анализу того, что сегодня делают российские вендора в области SIEM (или SAP, если следовать терминологии Forrester). Но не склалось 😭 Поэтому попробовал описать это неродившееся выступление в виде заметки в блоге. #nosocforum
Читать полностью…Пока ООН празднует рождение восьмимиллиардного жителя, а специалисты по цифровой трансформации обсуждают очередное заявление Касперской о необходимости отказаться от цифровизации промышленности и отключать все IoT-устройства (из-за них число атак растет), у нас новая уголовка. На этот раз за разработку и распространение средства для пентестов, внутри которого использовался SQLmap, который, судя по статье, запрещен в России (?). Материалов дела не видел, судить сложно, но такие вот дела снижают привлекательность участия в программах Bug Bounty, так как непонятно, когда тебя возьмут за фаберже ;-(
Читать полностью…Gartner также вводит новую аббревиатуру "новое" направление в ИБ - exposure management. Это нечто, позволяющее оценивать незащищенность компании с разных точек зрения, и включает в себя
📌 сканеры безопасности,
📌 симуляторы атак BAS,
📌 средства по анализу площади атаки (Attack Surface Management),
📌 средства по анализу компании в Даркнете и в Интернете (открытые извне порты, сайты-клоны, утекшие пароли и т.п.),
📌 платформы для проведения киберучений,
📌 инструментарий для пентестов/Red Team и т.п.
Думаю, что идея тут не в выделении очередной "магической" аббревиатуры, а в том, что пора на свою незащищенность смотреть с разных точек зрения, но в рамках унифицированного процесса, в идеале объединив разрозненные решения с помощью API в рамках некого оркестратора.
#nosocforum
Обновленная карта по пентесту AD. Можно ли считать пентесты и киберучения частью SOCа? А все зависит от сервисной стратегии и каталога услуг. Мне доводилось встречать оба варианта - в одном случае пентесты были просто частью предоставляемых SOCом сервисов, в другом - с помощью пентестов/Red Team оценивалась эффективность SOC и его способность выявлять и реагировать на атаки хакеров. #nosocforum
Читать полностью…Тут по телеку опять показывали "Хоттабыч" и там есть сцена, которая, как мне кажется, уже происходит или скоро будет происходить и у нас 😈 - легализация взломов ресурсов противников 🧑💻 А когда закончится СВО (должна же она когда-нибудь закончиться), тогда все эти хакеры обратят внимание куда?.. Да, SOCам стоит готовиться к этому уже сейчас.
#nosocforum