Splunk разродился отчетом "The State of Security 2023", в котором опросил 1520 ИТ- и ИБ-руководителей по различным аспектам, интересным Splunk в контексте их бизнеса. Меня зацепила вот эта диаграмма, в которой показано, как и в чем оценивают эффективность ИБ.
Во-первых, тут есть некоторая манипуляция. Заявляется о бизнес-лидерах, но по факту вопрос задавался ИБшникам и ИТшникам, а не бизнесу. Допускаю, что среди 1500 респондентов были и люди уровня CxO, но, их явно было не большинство, так как, и это, во-вторых, не будет топ-менеджер измерять ИБ в MTTD/MTTR. Ну какая ему разница, в течение какого времени был взят инцидент в работу и когда он был закрыт?.. Его волнует, чтобы недопустимое событие не было реализовано ущерб не был нанесен компании.
В крайнем случае, его могут заинтересовать время простоя (4-е место в списке), прогресс важных ИБ-инициатив (7-е место), возможность обеспечивать ИБ в рамках бюджета (9-е место) и возврат инвестиций в ИБ (10-е место).
MTTD/MTTR явно притянуты за уши в этом отчете и скорее льют воду на мельницу Splunk, решения которого как раз и направлены на снижение MTTD/MTTR. Манипуляция результатами одним словом. Но если отбросить первый показатель эффективности, то остальные похожи на правду.
О, какие инициативы у нас пошли. Стандартизация защиты бортовых компьютеров автомобилей, поставляемых/собираемых в России с целью защиты от утечек персональных данных и удаленного несанкционированного вмешательства в работу автомобиля. Интересно, это ведь про защиту ПДн, и про защиту КИИ (если транспорт служебный), а про ФСТЭК и ФСБ в заметке ни слова. Насколько я помню, любые попытки обойти этих двух регуляторов в принятии судьбоносных для ИБ решений, часто заканчиваются провалом любой инициативы 🫡
Читать полностью…На самом деле это вчерашний анонс; поэтому третий вебинар 👆🏻серии пройдет сегодня! 👍
Читать полностью…Помните давние дискуссии о том, почему одна ИБ-компания называет группировку Fancy Bear, а другая, ту же группировку, - APT28, а третья - Pawn storm, а четвертая - Sofacy, а пятая и шестая - Sednit и Strontium соответственно?
Вот Microsoft решила навести порядок в этом деле и придумала свою таксономию названий хакерских группировок. Уж не знаю, насколько они думают, что это начнут использовать все исследователи, но попытка интересная.
Александр Леонов сделал карту отечественных средств управления уязвимостями и вот, что я хочу сказать. Придуманные им аббревиатуры, СДУП, СДУК, СДУИ, СДУСП и т.п. выглядят очень странно; как минимум, непривычно. Не звучат они совершенно. Но это похоже вообще особенность нашего восприятия родного языка.
Почему-то VM не вызывает такой реакции, в отличие от СУУ. CASB, NGFW, DLP, IDS звучат привычнее СКСМНИ (средства контроля съемных машинных носителей информации), СОБДРИС (средства обеспечения безопасной дистанционной работы в информационных системах), ГРИЗИ (группа реагирования на инциденты защиты информации) и т.п.
Сделал обзор пленарной секции с CISO Forum 2023, которую я модерировал и на которой 8 достойных CISO, директоров по ИБ и вице-президентов по ИБ делились лайфхаками и советами относительно текущей ситуации. Собрал ключевые тезисы в блоге пока мы ждем, когда организаторы выложат видео с конференции после их монтажа и обработки.
Читать полностью…В чатике "Результативный CISO" прозвучала мысль, что расширение инвестиций в ИБ приводит к тому, что картина с ИБ становится только хуже, так как вскрывается то, чего раньше даже не замечали. В этом есть свой правда жизни и к ней надо быть готовым. Оно конечно так, но... рост инвестиций не только показывает новые проблемы, но и позволяет с ними лучше бороться (вы же инвестиции просили не только, чтобы просто больше знать).
Однако если вспомнить про управление рисками, то снижение одних, первичных, рисков может привести к появлению рисков вторичных. Вот и с новыми технологиями ИБ также - их внедрение может привести к тому, что у вас либо создается ложное чувство защищенности, либо вообще появляются новые угрозы. Например, в выложенном Денисом Макрушиным выступлении с мероприятия OWASP с говорящим названием "Dev Sec Oops" Денис рассказывает о том, как некорректная конфигурация статических анализаторов (SAST) и средств динамического анализа ПО (DAST) может привести к утечке интеллектуальной собственности и нарушению процессов безопасной разработки.
Презентация Алексея Лукацкого "От CISO к BISO. Как сесть за один стол с большими мальчиками" с CISO Forum 2023
Читать полностью…Если вы, вдруг, зададитесь вопросом, а какую пользу наши ИБ-регуляторы приносят и что они делают "на наши налоги", то вот вам списочек проектов, которые бесплатны для всех граждан России и ее специалистов по ИБ:
1️⃣ИС мониторинга фишинговых сайтов (Минцифры) - https://paf.occsirt.ru
2️⃣ИС мониторинга сбоев (Роскомнадзор) - https://portal.noc.gov.ru/ru/monitoring/
3️⃣ScanOVAL для Windows (ФСТЭК) - https://bdu.fstec.ru/scanoval
4️⃣ScanOVAL для Linux (ФСТЭК) - https://bdu.fstec.ru/scanovalforlinux
5️⃣Национальный Мультисканер (ФСБ) - https://virustest.gov.ru
А еще, сегодня, на CISO Forum Минцифры рассказало, что делает «русский Шодан».
А рассекретили этого летчика-зуммера из США, слившего секретные документы в Discord, ребята из bellingcat.
Как? По столешнице.
Bellingcat сопоставили гранитную столешницу и напольную плитку, замеченные в утечках в его доме, по фотографиям, размещенным в Интернете.
В такой osint, кажется, не умеет даже Масалович.
@cybersachok
Прилетело обновление на софт и тут всплыло две проблемы. Первая - оказалось, что раньше этот софт подписывался личной подписью разработчика, не имеющей ничего общего с корпоративной подписью работодателя. То есть так могли на комп сотрудника все, что угодно подсадить и через него в софт засунуть любую закладку.
А вы проверяете, какой подписью подписывается прилетающий к вам софт? В автоматическом режиме?
Во-вторых, видя сообщение, что мне надо будет предоставить полный доступ обновленному приложению к жесткому диску и к учетным записям в ОС, включается профдеформация и я уже задумываюсь, а не supply-chain ли это атака?
Дилемма-с... 🤔
В Интернете, если ты не продавец и не покупатель, ты товар. И даже если ты продавец или покупатель, то все равно для кого-то ты товар!
Читать полностью…Уже совсем близко Positive Hack Days 12, и в этом году это уже не просто конференция по кибербезу, а масштабный киберфестиваль, который пройдет в Парке Горького 19–20 мая 💤
Самое главное, что отличает нынешний фестиваль от прошлых конференций, — общедоступный для всех Кибергород, который можно будет посетить бесплатно, без билетов и регистрации!
Кибергород предстанет в виде современного мегаполиса 🌇 в стиле киберпанк, который разрушается под натиском кибератак, и который будет наполнен яркими активностями, повышающими киберграмотность и доверие к технологиям. Гости смогут примерить на себя роль исследователей кибербезопасности и поучаствовать в квесте, где нужно будет найти и исправить уязвимости в разных элементах городской инфраструктуры, а еще посмотреть на кибербитву Standoff 🎳 и сфоткаться на фоне прикольных арт-объектов (может быть вы даже что-то похожее увидите 🤞).
А чтобы принять участие в бизнес-части PHDays и послушать гуру ИБ (это не про меня 🤠), сходить на круглые столы с участием лидеров мнений, мастер-классы экспертов и понаблюдать за кибербитвой и макетом вблизи — нужно купить билет в Кибердеревню. Как человек, взявший на себя ответственность за бизнес-трек, буду походу рассказывать о том, что будет интересного в конференционной части.
ЗЫ. Для семейных ИБшников 👨👩👧👦 или состоящих в отношениях, фестиваль PHDays 12 дает возможность наконец-то показать и рассказать, чем вы занимаетесь. Пока вы будете на хардкорных докладах и дискуссиях в Кибердеревне, ваши близкие смогут походить по Кибергороду и погрузиться в кибербез.
Я звукорежиссер работаю в гос филармонии каким боком наша организация относится к КИИ 😂😵💫 мы не знаем, но нам тоже спустили с Минкульта РФ этот приказ , мы в шоке , но делать нечего , вот теперь сидим и тупим что да как
Читать полностью…На сайте kassу.ru висит достаточно интересное объявление от администрации. С одной стороны она подтверждает, что сайт был атакован, а с другой - что он не пострадал (то есть недоступность сайта и утекшие данные - это не ущерб?). С одной стороны многие годы портал прекрасно, со слов администратции, справлялся со всеми атаками, но в этот раз она была какая-то нетипичная (какая?). С одной стороны ИБшники лажанули (явно их никто не обвиняет, но это прям чувствуется по тексту), а с другой - бравые айтишники все восстановили.
Вообще, вот это самое обидное, как мне кажется. У ибшников негативный имидж, а айтишники прям святые и всех спасли 👨💻
Но зато не скрывают. Но все-таки есть куда развиваться в части антикризисного PR. Мы, кстати, планируем на PHDays в одной из секций бизнес-трека поговорить о том, как надо общаться с внешним миром в случае взлома 👨💻
ЗЫ. Вообще, картина занятная. Если кого-то где-то сломали, то виноваты ИБшники. А если кто-то всех спас, не жалея себя, то это ИТшники. Абыдна, да 😫
Российские официальные лица высказывали опасения в появления зависимости нашей страны от Huawei и росте рисков кибербезопасности в связи с этим. Это, конечно, не новость и закрытые циркуляры о запрете или ограничении использования продукции китайских вендоров выпускались неоднократно на моей памяти на протяжении последних пары десятков лет, как минимум. Тут изюминка ситуации в другом. Авторы американского Bloomberg заявляют о наличие неопубликованного (закрытого) отчета Минцифры... Откуда у журналистов доступ к такому документу (явно ДСП), который вышел уже после начала СВО, когда внимание спецслужб было приковано ко всем изменникам и еще неизменникам Родины, иноагентам и иным подозрительным лицам?
Читать полностью…Мир меняется и это уже не просто красивая игра слов. Мы видим, что все, к чему мы привыкли, изменяется. И в мире кибербеза тоже. Но самое главное, что происходит это не только у нас, не только по ту сторону баррикад, но и по ту сторону океана. При этом 2023-й год показал, что есть Россия, которая пытается слезть с американской иглы; есть Китай, который решил показать зубы и начать повышать ставки в противостоянии с США. И учитывая обострившиеся геополитические разногласия, я бы хотел посмотреть на то, каким видят будущее своего кибербеза в США, стране, которая до недавнего времени диктовала всем свою волю в области технологий, включая и ИБ. 2-го марта администрация Байдена анонсировала новую национальную стратегию кибербезопасности, мини-обзор которой я и сделал в блоге.
Читать полностью…Один из самых частых вопросов в нашем чате — «когда пройдет вебинар с участием Алексея Лукацкого?» Отвечаем — уже завтра, в 11:00 😉
Ужесточение требований со стороны регуляторов и рост количества кибератак увеличили потребность компаний малого и среднего бизнеса в услугах профильных специалистов по кибербезопасности.
Когда стоит отдавать на аутсорсинг реагирование, мониторинг или консалтинг? Этот вопрос мы обсудим на третьей онлайн-встрече проекта «#Агент250»
Также мы разберем причины, по которым стоит делать выбор в пользу развития собственного отдела ИБ. Оценим плюсы и минусы обоих подходов и дадим методику, с помощью которой заместители генеральных директоров по ИБ смогут выбрать свой.
Проведет вебинар Светлана Озерецковская, руководитель отдела маркетинга комплексных решений Positive Technologies. В гостях — Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.
Для участия в онлайн-встрече необходимо зарегистрироваться 👈
Если у вас есть вопросы по теме вебинара, то задать вы их можете в комментариях 🙂
#Агент250
Раньше, кейсы, демонстрирующие падение курса акций в результате инцидента ИБ, можно было пересчитать по пальцам одной-двух рук. Сегодня они происходят сплошь и рядом. Чуть ли не еженедельно выплывают факты о взломе той или иной компании, зашифровании ее данных, утечке информации из нее и т.п.
Вот последний пример с Western Digital. В конце марта их хакнули, в начале апреля они про это рассказали и вот результат - падение курса акций почти на 8%. Но ущерб не только в этом - если зайти к ним на сайт, то можно обратить внимание на надпись, сделанную маленьким шрифтом на самом верху, что в данный момент они не обрабатывают заказы, а это уже не просто волатильный курс акций (сегодня -8%, завтра +8%), а недополученная прибыль.
И это всего лишь обычный шифровальщик, емкость рынка которых составляет около 2 миллиардов долларов. А ведь это самая малая доля в структуре доходов на рынке киберпреступности. Та же торговля данными приносит по ту сторону баррикад почти 200 миллиардов долларов, а промышленный шпионаж в 2,5-3 раза больше. Но слышим мы только о верхушке этого айсберга, связанной с шифровальщиками.
Вы помните школьный курс физики и тему равномерного движения? Я вот недавно наткнулся в учебнике у детей. Это сложно себе представить, но с точки зрения физики, равномерное движение и покой равнозначны, так как на тело в этом случае не действуют никакие силы или их действие скомпенсировано. То есть, что вы медленно и ровно двигаетесь вперед, что стоите на месте, никакой разницы не имеет.
Чем-то это напоминает жизнь многих ИБшников до 24 февраля (да и после, если уж честно говорить). Кто-то изо дня в день, месяц за месяцем, год за годом выполняет нормативку ФСТЭК, ФСБ, ЦБ, Минцифры, не пытаясь посмотреть за ее пределы. А кто-то вообще ничего не делает, сидя по жопе ровно, ссылаясь на то, что денег нет. А результат один и тот же 😞 И даже если вы белкой в колесе скачете, пытаясь заработать на хлеб с маслом, но этот бег равномерный и никаких новых проектов вы не запускаете, никаких новых целей себе не ставите, челенджи не организуете, то с тем же успехом, можно было бы ничего и не делать. Результат, а точнее его отсутствие, был бы тот же.
Вот такая физика-лирика... Мы уже 100 дней с начала года прожили и самое время подумать, как проживем оставшиеся 250. Поставили ли перед собой новые, отличающиеся от прошлого года, результаты и движемся ли мы с ускорением к их достижению? Если да, то и прекрасно. А что, мля, если нет?..
Меня тут спросили, почему у меня в презентации с CISO Forum 2023 одни негры. Ну что ж, отвечу. Во-первых, это не негры, а афроамериканцы 😊 Ну или как сказал Илья Борисов, "сильно загорелые люди" 😊 Во-вторых, их там, извините, меньшинство. На 8 людей негроидной расы, там 13 европеидной (хотя, если считать представителей монголоидов, то да, они меньшинство, - их там двое). Это классическая психологическая слепота - глаз цепляется за одно и совсем не замечает другое. У аналитиков SOC и операторов средств защиты такое бывает сплошь и рядом. Ну а в-третьих, чтобы стать бизнес-ориентированным ИБшником, придется поработать как негр (ну или папа Карло, если быть толерантным).
Читать полностью…Я всегда говорил, что фокусные мероприятия, посвященные какой-либо одной теме, гораздо лучше конференций "все обо всем". И я всегда также возмущался тем, что вокруг каких-либо знаковых конференций не создается соответствующего комьюнити, которое могло бы обмениваться опытом и знаниями между мероприятиями. А в случае хорошего развития канала/чата/комьюнити, они начинают жить своей жизнью. Например, чатик по SOC, созданный под один из PHDays, а сегодня существующий вполне себе самостоятельно.
Поэтому, под CISO Forum 2023, был создан чатик "Результативный CISO", который, я надеюсь, будет жить и после конференции и станет местом для общения руководителей ИБ. Правила описаны в начале ленты чатика - ничего сверхествественного - отсутствие рекламы, публикация ссылок, обмен опытом, вопросы и ответы. И да, даже если вы не CISO, то кто мешает вам заранее готовиться к этой роли? Плох тот солдат, что не мечтает стать генералом.
Вечером, на CISO Forum 2023, буду выступать с мастер-классом "От CISO к BISO. Как сесть за стол с большими мальчиками"
Читать полностью…ЦМУ ССОП Роскомнадзора запустил отечественный аналог DownDetector, который с начала СВО перестал публиковать данные о простоях российских Интернет-сервисов. Хорошая инициатива для отслеживания рядовыми пользователями или корпоративными заказчиками сбоях в работе Рунета, происходящих, например, в результате DDoS-атак. Однако есть одно "но"...
Помня, что страна у нас построена на телефонном праве, которым любят пользоваться властью и деньгами облеченные люди, насколько высока вероятность, что этот сервис будет показывать все происходящее без прикрас и скрытия фактов? Ведь если на какой-либо сервис у нас происходит мощная DDoS-атака и она наносит удар по репутации владельца сервиса, у него может быть велико желание поднять трубку и позвонить "кому надо", чтобы сервис РКН не показывал реальное состояние дел. И что-то мне кажется, что достаточно одного раза, чтобы РКН дал слабину, и сервис превратится не в независимый рупор доступности Рунета, а в известно что 💤
Нафига им моя камера? Что они собираются там увидеть? Внутреннее содержимое моих джинсов? 🤔
Читать полностью…В преддверии CISO Forum 2023 (уже завтра) черканул пару строк о том, что CISO бывают разные (vCISO, gCISO, mCISO, rCISO) и в одной компании их может быть много.
Читать полностью…Есть чатик по 250-му Указу и там постоянно идет дискуссия о том, как выполнять положения этого нормативного акта. Самое забавное, когда в чат приходят люди, которые настолько далеки от ИБ, что прости диву даешься и которые рассказывают, что им какой-нибудь ФОИВ спустил сверху требование выполнить Указ, даже не удосужившись подумать, кому надо выполнять Указ и зачем он вообще появился. Вот тут звукорежиссер филармонии погрузился в ИБ 👿
Читать полностью…К разговору о том, может ли ChatGPT искать уязвимости? Не может, если уж его разработчики объявили программу Bug Bounty и пригласили людей с естественным интеллектом искать дыры в интеллекте искусственном 😊
Читать полностью…