Криптовалютный стартап Prime Trust объявил о своем банкротстве после того, как забыл пароль к криптокошельку 👛, содержащему активов на 38+ миллионов долларов 🤑
ЗЫ. Думаю Центробанку надо будет к инструкции по пользованию цифровым рублем прикладывать рецепт на лекарство 💊 от забывчивости паролей
ЗЗЫ. Похоже в судебный лексикон вводится новый термин «Wallet Event»
Англичане хотят ввести запрет не только на шифрование «точка-точка», активно используемое в мессенджерах, но и на выпуск вендорами патчей к уязвимостям, так как это может помешать программам слежки 🔎
Следующим шагом будет требование внедрять закладки в свои продукты для облегчения борьбы с терроризмом, экстремизмом и защиты детей 😎 Наверное...
И вообще, видя результаты пентестов, я бы с точки зрения продуктов фокусировался не на NGFW, а на тех же NDR, EDR, WAF и VM. Они ловят и предотвращают то, что NGFW в принципе не видит.
Читать полностью…Неожиданное решение для тех, кто постоянно забывает пароли. Нет, это не парольный менеджер 💊
Но вообще, если задуматься, интересно получается. Это явно распространенная проблема, если ее сделали заглавной темой рекламы. А значит и решение пора искать адекватное. Не пора ли подумать о беспарольной аутентификации?..
Нигерийский спам - II. Уже на всех мониторах страны 😱 Нигерийские спамеры вышли на тропу войны 👉
Читать полностью…Выручка этих компаний измеряется миллиардами долларов, а доступ к их инфраструктуре оценивается в смешную десятку тысяч. А обошлась продавцу она еще дешевле… И какой смысл после этого говорить об увеличении стоимости атаки? Да хоть в 10 раз увеличь ее, все равно это меньше стоимости системы защиты. Нужна иная стратегия, подразумевающая, что проникновение все-таки возможно, но должно занимать времени больше, чем время на его обнаружение и реагирование.
Читать полностью…Мошенники взломали в запрещённой соцсети сразу несколько аккаунтов фэшн-брендов - вчера Belle you, сегодня Yulia Wave. С января этого года не функционирует аккаунт бренда 2Mood, который так и не удалось вернуть. Была создана резервная страница марки.
Есть мнение, что мошенники часто используют информацию бывших или нынешних сотрудников, имевших доступ к паролям и прочей конфиденциальной информации.
Сбер опубликовал подборку рекомендаций для операторов ПДн. Я давно похоронил для себя тему с ПДн ⚰️, но не их техническую защиту. Поэтому я посмотрел два документа из представленных - по защите ПДн и по уведомлению об инцидентах с ними, и могу кое-что по ним сказать. Как по мне, так в рекомендациях много теории, - на практике, половина из описанного в вводной части не реализуется, а то, что написано на оставшихся слайдах требует пояснений и комментариев, так как на практике там огромное количество нюансов. Но в любом случае, я в одном чатике по прайваси это расписал, повторю и у себя:
1⃣ Нарушена последовательность при оценке актуальных угроз. Сначала упоминается необязательная методика ФСТЭК, носящая рекомендательный характер для всех, кроме госов, а определение актуальных угроз по ПП-1119 указано только после. Хотя логика при разработке ПП-1119 была иная. Сначала вы определяете уровень защищенности, от которого будут зависеть защитные меры в базовом наборе. Если для вас актуальны какие-то особые угрозы или вы не хотите базовый уровень защиты, то тогда вам надо уже идти в сторону методики ФСТЭК и углубляться в детали. Хотя сама методика сегодня нерабочая с практической точки зрения.
2⃣ Уровень защищенности определяется не по результатам сбора и анализа исходных данных, указанных в отчете об обследовании. Это избыточно. ПП-1119 прямолинейно и требует всего 4 показателей - чьи ПДн, сколько их, какие они и какой тип угрозы. Все. Для этого нет смысла городить отдельное обследование, которое в крупных организациях к моменту завершения уже становится неактуальным (если следовать странице 8). Ну и 13-я страница это подтверждает.
3⃣ Список видов оценки соответствия неполный. Декларирование соответствия в ИБ отсутствует, добровольная оценка не работает (таких систем на практике уже не существует). Не упомянуто, что сертификация не является обязательной для защиты ПДн (даже с учетом ПП-330).
4⃣ Не упомянута такая прекрасная норма 21-го приказа, что базовый набор защитных мер - это не тоже самое, что минимальный и список защитных мер можно и нужно подстраивать под себя; и что можно даже из базового набора исключать какие-то меры.
5⃣ Не упомянуто, что именно для госов сертификация средств защиты является обязательной, но тогда и сама защиты должна быть по 17-му, а не 21-му приказу. 524-й приказ ФСБ по защите ГИС вообще не упомянут.
6⃣ Оценка соответствия для госов - это всегда аттестация; для коммерсов - в любой форме, например, аудит. Но самое главное, что не упомянуты практические мероприятия по оценке защищенности, например, тесты на проникновения. А они обязательны для тех же госов (а сейчас Минцифры и вовсе уже на BugBounty засматривается).
7⃣ Отличия в информировании ФСБ России (НКЦКИ) зависят не от того, были компании присоединены к ГосСОПКЕ до 01.03.2023 или нет, а являются они субъектами КИИ или не являются.
8⃣ Часть из требований упомянутых НПА вообще не реализуема на практике и даже их авторы не реализуют их.
9⃣ Не хватает раздела о правоприменении в области защиты информации и описании ответственности за невыполнение описанных мер, чтобы все встало на свои места. Я не призываю не выполнять требования законодательства, но это в теории нет разницы между практикой и теорией, а на практике она есть.
Если уж ты проводишь форум про комплексную кибербезопасность, то зачем 🤦 ты берешь название, домен для которого с 2001-го уже занят и используется для совершенно иных целей? Да, речь о http://www.socforum.ru/ (попробуйте сходить по ссылке) ❓
Читать полностью…Спасибо подписчику 😊 за присланную ссылку. Понятно, что у нас право не прецедентное, но кейс вполне себе занятный
Читать полностью…То, что Минцифры регулярно щекочет нервы госам на тему ИБ - это хорошо. Но гораздо интереснее было бы, если бы Минцифры выделяло бюджеты 🤑 на реализацию мер, о реализации которых потом надо будет отчитываться. Например, BugBounty. Отличная тема; я ее поддерживаю всеми конечностями 🫦. Но откуда брать деньги на то, что не является обязательным требованием? Это ж нецелевое расходование средств 😡. И какую сумму закладывать? Это ж не NTA или WAF с фиксированной стоимостью по прайс-листу; тут плавающая сумма 🥸
Читать полностью…Когда вы выступаете на ИБ-мероприятиях у вас должна быть своя «модель угроз», которую нужно регулярно пересматривать. Я вот, например, сейчас задумался, что при практически ежедневном ночном и утреннем прилете БПЛА в Москву, закрытии аэропортов и отмене/переносе рейсов, надо брать авиабилеты на дневные и вечерние рейсы. А иначе пролетишь мимо ИБ-мероприятия, число которых ближайшей осенью прям зашкаливает.
Или вот выступление со своим лэптопом. Это распространенная практика, когда используешь либо собственные шрифты, либо нестандартную ОС (macOS или Linux), либо хочешь запустить терминал или какую-то программу для демонстрации. Но иногда случаются казусы, как на фотографии, - выводишь экран на проектор, а там целующиеся мужики, а слушают тебя одни брутальные девчонки (шутка) и все, твое реноме упало ниже плинтуса и всерьез тебя уже никто не воспринимает. Так что включите себе в чеклист для выступлений этот момент 😊
👩🎓 «А как попасть к вам на стажировку?» — один из самых частых вопросов, который прилетает нам в личку. Обычно мы отвечаем, что расскажем об этом на страничках в соцсетях. И вот момент настал!
Мы запускаем стажировку PT START для начинающих специалистов по кибербезопасности. Вы на практике обучитесь защите цифровой инфраструктуры от атак, сможете стать сертифицированными специалистами по нашим продуктам и получите возможность попасть на оплачиваемую стажировку с перспективой классного офера!
🤔 Что нужно сделать?
Заполнить заявку с рассказом о себе и пройти онлайн-тест на нашем сайте до 4 сентября. До 7 сентября мы рассмотрим заявки и ответим всем (даже в случае отказа).
Первый этап стажировки начнется 11 сентября.
📝 Кто может подать заявку?
Студенты, обучающиеся по специальностям «информационная безопасность», «информационные технологии» или другим смежным направлениям, а также выпускники, если обучение завершилось не более двух лет назад.
Будет плюсом, если вы принимали участие в СTF-соревнованиях, хакатонах и профильных олимпиадах (не забудьте рассказать про это).
🧑💻 А как проходит обучение?
Онлайн. Оплачиваемая стажировка возможна как онлайн, так и в офисе (обсудим дополнительно с каждым кандидатом).
Остались вопросы? Мы постарались подробнее рассказать обо всем на сайте.
Ждем ваши заявки! И вас — в нашей команде 😎
@Positive_Technologies
#PositiveСтажировка
Проблемы сбора данных о киберпреступности в США
В июне в качестве рецензента принимал участие в защите работы студента по теме кибербезопасности. Одним из вопросов от комиссии было, в какой стране совершается больше всего киберпреступлений, на что студент в общих словах ответил, что и в России много, и в США, и в ЕС. Членов комиссии это устроило.
Но, наверно, правильный ответ звучал бы так, что точно никто не знает: надёжной глобальной статистики нет, подходов общих нет, значительная часть публично обсуждаемых данных поступают от частных компаний, а не от государств. О каком реальном сравнении можно говорить, если даже внутри государств с данными всё довольно сложно?
Эта долгая подводка была к тому, что у Счётной палаты США (GAO) вышел крайне интересный доклад под заголовком: «Киберпреступность: механизмы отчётности различаются, и ведомства сталкиваются со сложностями при выработке метрик». Документ на 40 страниц, полностью пересказывать не буду, только основные моменты.
За деятельность в сфере борьбы с киберпреступностью в США отвечают по меньшей мере 12 ведомств, у всех своих роли и полномочия. Обобщённо выделяются три направления: выявление преступлений, расследование, уголовное преследование. Фокус ведомства накладывает отпечаток на то, как оно собирает данные о киберпреступности и отчитывается о них. Например, в рамках выявления преступлений IC3 (часть ФБР) собирает жалобы через вебсайт. Другое подразделение ФБР получает данные от правоохранительных органов всех уровней через информационную систему. CISA получает отчёты от объектов критической инфраструктуры.
Наличие разных механизмов сбора данных о киберпреступлениях имеет и плюсы, и минусы. Из недостатков ведомства называют следующие:
— нет общего определения киберпреступности;
— из-за различия механизмов сложно стабильно отслеживать данные;
— данные о киберпреступности не собираются в одной централизованной точке.
При этом ведомствам не так-то просто выработать общие метрики для сбора данных. Выделяются следующие проблемы:
— сложность измерения масштаба и воздействия киберпреступности;
— отсутствие общего определения;
— сложность проведения различия между киберпреступностью и преступлениями, совершёнными с использованием компьютеров (cybercrime и cyber-dependent crime);
— координация между правоохранительными органами.
В США проблема осознаётся, год назад был принят целый закон, призванный улучшить сбор данных о киберпреступности, — Better Cybercrime Metrics Act. Но судя по докладу GAO, поиск решения — непростая задача. Вероятно, похожая ситуация наблюдается и в других крупных странах с большим количеством правоохранительных органов, у каждого из которых есть свой киберкомпонент.
Интересные бюджетные стратегии для CISO отмечаются сейчас за железным занавесом. 80% компаний делают ставку на автоматизацию, 70% - на консолидацию бюджета и сокращение дублирующих статей расходов. 43% сокращают свои хотелки в области ИБ, а 23% сокращают персонал. Интересный показатель в 26% CISO, которые начинают активно использовать бесплатные пилоты, которые позволяют перекантоваться в сложные времена.
Читать полностью…Если вдруг вы летите на «конференцию по новым компьютерным технологиям и защите компьютерных программ» и вас не пустили на границе (даже при наличии визы), то возможно это потому, что погранцы анализируют все ваши посты в соцсетях (за годы в ретроспективе) и оценивают их тональность, на основе чего оценивают риск посещения вами страны 👮♂️ По крайней мере, в США эта система используется.
Судя по функционалу продукта от Fivecast его и под ИБ можно использовать. Правда, в национальных масштабах только… 👁 Ну или в очень крупных корпорациях и холдингах.
Можно ли считать отправку простого радиосигнала с компьютера через разблокированную радиостанцию компьютерным взломом, вопрос риторический. FlipperZero тогда тоже не относится к арсеналу хакера, как и вообще все, что связано с атаками на беспроводные решения.
Вопрос в другом. Остановка железнодорожного движения 🚂 зафиксирована? Да. Возможно, в условиях военного времени прекращение, даже на несколько часов, доставки вооружений и боеприпасов 🛤 может рассматриваться как недопустимое событие. И не так уж и важно - был взлом системы централизованного управления транспортом 🚦 или компьютер только управлял проигрышем гимна России.
А второй вопрос 🙋♂️- возможно ли повторение такой истории, но уже в России? По крайней мере проукраинские хакеры у себя в чатиках таким вопросом уже задаются 🤔
Я регулярно спорю с PR-службой 🟥 на тему выпускаемых интервью или пресс-релизов. Я придумал какую-то херню какой-то информационный повод, приношу его в PR, а меня бац по сусалам.
- Леша, где ты взял эти цифры? А откуда эти факты? Где подтверждения во внешних источниках?
- Юля/Юля/Катя/Саша/Женя/Маша, я, так вижу глядь, эксперт, верьте мне на слово!
- Леша, ты сейчас херню непроверяемую ляпнешь, а отвечать нам. А компания мы публичная, акции на бирже котируются, нам надо думать о репутации… 🤬
К чему эта прелюдия? А я тут просто 🏖 прочитал у ТАСС, что коллеги из «Кода безопасности» заявили, что до конца года половина российских компаний перейдет на отечественные же NGFW 😮. А я же тролль 👿 со стажем человек с критическим мышлением; еще и прикладной математик по образованию. Поэтому я начал считать 🧮.
По данным ФНС в первом квартале этого года в стране было 2,770 миллионов коммерческих компаний. Теперь попробуем упростить задачу и представим, что у этих компаний нет филиалов и допофисов, сегментация внутри реализуется не с помощью NGFW, ЦОДы отдельно не защищаются и единственный МСЭ нового поколения (хотя я помню проекты, когда спеки на NGFW в одного заказчика содержали по несколько тысяч устройств) стоит на периметре (и без резервирования в режиме хотя бы Active-Standby). Тогда нам до конца года на всех нужно почти полтора миллиона 😮 NGFW.
Если предположить, что у кого-то эти решения уже стояли и были отечественного производства, то по оценкам заказчикам до конца года должно быть поставлено около 500-700 тысяч устройств 😮 Если предположить 🤔, что средний ценник на NGFW у нас порядка 200 тысяч рублей, то до конца года будет продано железок на 100-140 миллиардов рублей, что составляет больше половины всего рынка ИБ в 2023-м году по оценкам ЦСР. А ведь у ЦСР на всю сетевую ИБ приходится всего 40% рынка. А это далеко не только NGFW, но и NTA, песочницы, VPN и т.д. В общем не сходится у меня паззл 🧐
Мы еще не смогли успели посмотреть «Оппенгеймера», но на фоне популярности картины Нолана на прошлой неделе рассказали, какие инциденты на атомных электростанциях могли бы быть признаны недопустимыми событиями.
А потом задумались: какие недопустимые события придумывали киносценаристы? Вспомнили, пересмотрели фильмы и подготовили подборку, которая получилась настолько большой, что мы не смогли уместить все в один пост. Так что ждем ваших лайков и репостов — вторую часть опубликуем через неделю 😉
P. S. Пишите и свои варианты в комментариях 👀
@Positive_Technologies
Спустя 20 дней Литрес сообщил об утечке моего пароля. Если это, конечно, не новый кейс, но это хрен поймешь, они же не пишут, когда мой пароль был раскрыт 🔓
Но есть и польза - для книги по измерениям появился пример метрики и конкретного ее значения (<21 дня на уведомление об инциденте). Можно поспорить с тем, насколько этот показателен верен, но это хоть что-то. От этой точки отсчета можно теперь отталкиваться. Теперь при следующей утечке можно будет сравнить значения и увидеть динамику!
Вот о таком примере я упомянул в конце прошлой заметки. Австралийская финансовая компания Latitude подтвердила в своем полугодовом финансовом отчете величину ущерба от атаки шифровальщика. 76 миллионов австралийских (это около 50 американских) долларов 🤑
Там в отчете еще есть интересный пассаж, согласно которому одно из подразделений, заработавшее 637 миллионов долларов за отчетный период, получило на 19% меньше прошлогодних показателей и причина этого - инцидент ИБ с шифровальщиком. То есть там еще где-то сотка миллионов недополучена из-за инцидента. Интересно, что в явные потери эта сумма вряд ли попадет (ведь она не потеряна, а недополучена, то есть это вероятностное событие, а не прямо потраченные средства). Это такой лайфхак у многих компаний - они в P&L включают только прямые потери, а не недополученную прибыль. Вон и FAIR в своем новом стандарте FAIR-MAM их не учитывает, а зря...
Нечастое явление - в годовом отчете крупной корпорации неоднократно упоминается кибербезопасность. Речь о "Почте России" 📬 и ее отчете за 2022 год. Например, в списке 13 основных рисков два касается недопустимых событий угроз ИБ - выход из строя информационных систем и необеспечение безопасности КИИ. Хотя странно, что утечка персональных данных не указана ни среди основных рисков (допускаю, что ущерба от этого для монополиста нет), ни среди киберрисков.
Целая страница посвящена описанию системы кибербезопасности "Почты России", которая больше не "бумажная". Но на фразе "основной причиной инцидентов являются новые требования регуляторов" я завис. Вот как так открыто можно? А в остальном прям приятно читать красиво оформленный отчет, в котором нашлось место и кибербезу! Так, глядишь, и другие годовые отчеты подтянутся, а в отчетах о прибылях и убытках (P&L) будут подробно раскрываться детали по инцидентам ИБ, включая финансовые и иные потери.
Ээээ, долго думал, но так и не понял, это они так прикалываются, просто попутали слова "шифры" и "шрифты" или реально думают, что криптографы и дизайнеры шрифтов - это одни и те же люди?
Возможно, авторы имели ввиду древнюю историю Руси, когда авторы первой славянской азбуки использовали ее в качестве тайнописи (вы же знаете, что такое монокондил?). В те времена грамотность была редким явлением и любой написанный текст уже считался чем-то непонятным и закрытым. Да, были и другие примеры, в которых именно написание разных букв использовалось для сокрытия смысла и содержания текстов (азбука Филарета, азбука копцева, флопяцевская азбука и т.п.), но те времена давно канули в Лету. Сегодня криптограф и дизайнер шрифтов - это совсем разные люди и занимаются они разными вещами... 🔤🔤🔤 🔤🔤🔤🔤
ЗЫ. И спасибо подписчику, приславшему этот прекрасный образчик проникновения ИБ в массы.
Телефон и е-mail сами по себе не являются персональными данными
Страховая компания успешно оспорила действия Роскомнадзора по признанию обработки персональных данных пользователей своего сайта неправомерной.
Обвинения ведомства касались, в том числе, формы "Заявка на оформление полиса", которая запрашивала у посетителей сайта их телефон и адрес электронной почты.
Суды указали, что:
•данная форма не подразумевает сбора персональных данных в контексте определения "персональные данные", содержащегося в п. 1 ст. 3 Закона о персональных данных, поскольку не используется для идентификации потребителя финансовых услуг с целью заключения договора страхования, а является формой обратной связи для последующего контакта сотрудника продающего подразделения общества с потенциальным клиентом, которым кроме физического лица также может выступать ИП или юридическое лицо;
•персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). При этом форма "Заявка на оформление полиса" не содержит полей, предусматривающих указание данных, позволяющих определить (идентифицировать) конкретное физическое лицо, поскольку запрашивает только "Форму обращения", "e-mail", "телефон",
•совокупность данных, получаемых страховой компанией посредством формы "Заявка на оформление полиса", не обеспечивает возможности доподлинно определить конкретное физическое лицо, которому принадлежит номер телефона и/или адрес электронной почты, поскольку форма не подразумевает предоставления полных "ФИО" и/или иных идентификаторов, таких как "Номер документа удостоверяющего личность", "ИНН", "СНИЛС", "Дата и место рождения", в особенности принимая во внимание тот факт, что в форме могут быть указаны номер телефона и адрес электронной почты, принадлежащие юридическому лицу или иному физическому лицу, не являющемуся заполнителем формы;
•утверждение Управления Роскомнадзора о том, что адрес электронной почты является персональными данными лица его зарегистрировавшего, так как обладает "двумя важными свойствами: неизменностью при присвоении и уникальностью", признано несостоятельным, поскольку по аналогии с номером телефона, без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит;
•более того, адрес электронной почты фактически не обладает свойством "абсолютной неизменности", потому что в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам), в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, также, как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту.
Верховный Суд РФ согласился с указанной позицией и отказал Роскомнадзору в пересмотре дела (Определение Верховного Суда РФ от 21 июля 2023 г. № 305-ЭС23-12160).
#персданные #почта #телефон #суд #ркн
@ofd24
Контроль физического местоположения субъектов можно использовать как один из атрибутов для аутентификации 🛂 (причем прозрачной). В качестве идентификатора можно пропуск с RFID использовать. Правда, у нас не осталось беспроводных решений и решений по контролю доступа, которые были бы из дружественных государств или которые можно было бы купить официально.
Читать полностью…В проектах по аудиту и построению SOC я сталкивался с ситуациями, когда аналитиков L1-L2 оценивали по тому, как они выполняют свою работу- как быстро берут тикеты в работу, как закрывают, насколько качественно, как эскалируют и т.д. И речь не просто об измерениях временных и иных метрик, но скорее о том, что на их основе принимаются управленческие решения. И если сама задача сбора метрик легко автоматизируема при наличии правильных средств управления ИБ, то вот аналитика и выводы - это уже немного иной уровень в сокостроении 🏗
Судя по видео из одной кофейни, не за горами тот день, когда аналитиков SOC начнут оценивать еще и по активности на рабочем месте - сколько времени болтает с коллегами, сколько времени ходит покурить и в туалет, сколько времени пьет чай ☕️, а сколько времени «тупит» в монитор… 👨💻 По крайней мере в некоторых организациях регулярно от менеджмента звучит «идея» измерения «этих дармоедов» 👻
ЗЫ. Этичность такой аналитики вызывает, конечно, вопросы, но когда акул капитализма это останавливало?..
ЗЗЫ. Болтающая по телефону Лльга с тремя чашками кофе ☕️ (на фоне 20 у других) выглядит первым кандидатом на непопулярные управленческие решения ⛔️
Известный тезис "Чем длиннее, тем сложнее управляться" в ИБ позволяет сделать простой вывод - чем больше шагов 👣 хакеру нужно делать в инфраструктуре для достижения своей цели, тем больше шансов на его обнаружение и меньше шансов на успешную атаку.
Соответственно внедрение пусть и простых, но все-таки отдельных защитных мер (сегментация, патчинг, MFA, снижение числа привилегированных учетных записей, закрытие неиспользуемых портов и т.п.), дает очень хороший эффект с точки зрения защиты. Вроде как и ничего сложного, но число шагов, которые должен предпринять хакер, увеличивается, а значит и его незаметность и успешность снижаются. Если, конечно, мониторинг и реагирование в организации реализованы...
ЗЫ. Графики построены по реальным инцидентам!
Всегда интересовала численность разных регуляторов по ИБ 🫡 Часто это закрытая информация, но вот по CISA всплыла цифра - 3161 на текущий момент и 1337 новых сотрудников за два последних года 🥸
Читать полностью…