alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Splunk разродился отчетом "The State of Security 2023", в котором опросил 1520 ИТ- и ИБ-руководителей по различным аспектам, интересным Splunk в контексте их бизнеса. Меня зацепила вот эта диаграмма, в которой показано, как и в чем оценивают эффективность ИБ.

Во-первых, тут есть некоторая манипуляция. Заявляется о бизнес-лидерах, но по факту вопрос задавался ИБшникам и ИТшникам, а не бизнесу. Допускаю, что среди 1500 респондентов были и люди уровня CxO, но, их явно было не большинство, так как, и это, во-вторых, не будет топ-менеджер измерять ИБ в MTTD/MTTR. Ну какая ему разница, в течение какого времени был взят инцидент в работу и когда он был закрыт?.. Его волнует, чтобы недопустимое событие не было реализовано ущерб не был нанесен компании.

В крайнем случае, его могут заинтересовать время простоя (4-е место в списке), прогресс важных ИБ-инициатив (7-е место), возможность обеспечивать ИБ в рамках бюджета (9-е место) и возврат инвестиций в ИБ (10-е место).

MTTD/MTTR явно притянуты за уши в этом отчете и скорее льют воду на мельницу Splunk, решения которого как раз и направлены на снижение MTTD/MTTR. Манипуляция результатами одним словом. Но если отбросить первый показатель эффективности, то остальные похожи на правду.

Читать полностью…

Пост Лукацкого

О, какие инициативы у нас пошли. Стандартизация защиты бортовых компьютеров автомобилей, поставляемых/собираемых в России с целью защиты от утечек персональных данных и удаленного несанкционированного вмешательства в работу автомобиля. Интересно, это ведь про защиту ПДн, и про защиту КИИ (если транспорт служебный), а про ФСТЭК и ФСБ в заметке ни слова. Насколько я помню, любые попытки обойти этих двух регуляторов в принятии судьбоносных для ИБ решений, часто заканчиваются провалом любой инициативы 🫡

Читать полностью…

Пост Лукацкого

На самом деле это вчерашний анонс; поэтому третий вебинар 👆🏻серии пройдет сегодня! 👍

Читать полностью…

Пост Лукацкого

Помните давние дискуссии о том, почему одна ИБ-компания называет группировку Fancy Bear, а другая, ту же группировку, - APT28, а третья - Pawn storm, а четвертая - Sofacy, а пятая и шестая - Sednit и Strontium соответственно?

Вот Microsoft решила навести порядок в этом деле и придумала свою таксономию названий хакерских группировок. Уж не знаю, насколько они думают, что это начнут использовать все исследователи, но попытка интересная.

Читать полностью…

Пост Лукацкого

Александр Леонов сделал карту отечественных средств управления уязвимостями и вот, что я хочу сказать. Придуманные им аббревиатуры, СДУП, СДУК, СДУИ, СДУСП и т.п. выглядят очень странно; как минимум, непривычно. Не звучат они совершенно. Но это похоже вообще особенность нашего восприятия родного языка.

Почему-то VM не вызывает такой реакции, в отличие от СУУ. CASB, NGFW, DLP, IDS звучат привычнее СКСМНИ (средства контроля съемных машинных носителей информации), СОБДРИС (средства обеспечения безопасной дистанционной работы в информационных системах), ГРИЗИ (группа реагирования на инциденты защиты информации) и т.п.

Читать полностью…

Пост Лукацкого

Сделал обзор пленарной секции с CISO Forum 2023, которую я модерировал и на которой 8 достойных CISO, директоров по ИБ и вице-президентов по ИБ делились лайфхаками и советами относительно текущей ситуации. Собрал ключевые тезисы в блоге пока мы ждем, когда организаторы выложат видео с конференции после их монтажа и обработки.

Читать полностью…

Пост Лукацкого

В чатике "Результативный CISO" прозвучала мысль, что расширение инвестиций в ИБ приводит к тому, что картина с ИБ становится только хуже, так как вскрывается то, чего раньше даже не замечали. В этом есть свой правда жизни и к ней надо быть готовым. Оно конечно так, но... рост инвестиций не только показывает новые проблемы, но и позволяет с ними лучше бороться (вы же инвестиции просили не только, чтобы просто больше знать).

Однако если вспомнить про управление рисками, то снижение одних, первичных, рисков может привести к появлению рисков вторичных. Вот и с новыми технологиями ИБ также - их внедрение может привести к тому, что у вас либо создается ложное чувство защищенности, либо вообще появляются новые угрозы. Например, в выложенном Денисом Макрушиным выступлении с мероприятия OWASP с говорящим названием "Dev Sec Oops" Денис рассказывает о том, как некорректная конфигурация статических анализаторов (SAST) и средств динамического анализа ПО (DAST) может привести к утечке интеллектуальной собственности и нарушению процессов безопасной разработки.

Читать полностью…

Пост Лукацкого

Презентация Алексея Лукацкого "От CISO к BISO. Как сесть за один стол с большими мальчиками" с CISO Forum 2023

Читать полностью…

Пост Лукацкого

Если вы, вдруг, зададитесь вопросом, а какую пользу наши ИБ-регуляторы приносят и что они делают "на наши налоги", то вот вам списочек проектов, которые бесплатны для всех граждан России и ее специалистов по ИБ:
1️⃣ИС мониторинга фишинговых сайтов (Минцифры) - https://paf.occsirt.ru
2️⃣ИС мониторинга сбоев (Роскомнадзор) - https://portal.noc.gov.ru/ru/monitoring/
3️⃣ScanOVAL для Windows (ФСТЭК) - https://bdu.fstec.ru/scanoval
4️⃣ScanOVAL для Linux (ФСТЭК) - https://bdu.fstec.ru/scanovalforlinux
5️⃣Национальный Мультисканер (ФСБ) - https://virustest.gov.ru

А еще, сегодня, на CISO Forum Минцифры рассказало, что делает «русский Шодан».

Читать полностью…

Пост Лукацкого

А рассекретили этого летчика-зуммера из США, слившего секретные документы в Discord, ребята из bellingcat.

Как? По столешнице.

Bellingcat сопоставили гранитную столешницу и напольную плитку, замеченные в утечках в его доме, по фотографиям, размещенным в Интернете.

В такой osint, кажется, не умеет даже Масалович.

@cybersachok

Читать полностью…

Пост Лукацкого

Прилетело обновление на софт и тут всплыло две проблемы. Первая - оказалось, что раньше этот софт подписывался личной подписью разработчика, не имеющей ничего общего с корпоративной подписью работодателя. То есть так могли на комп сотрудника все, что угодно подсадить и через него в софт засунуть любую закладку.

А вы проверяете, какой подписью подписывается прилетающий к вам софт? В автоматическом режиме?

Во-вторых, видя сообщение, что мне надо будет предоставить полный доступ обновленному приложению к жесткому диску и к учетным записям в ОС, включается профдеформация и я уже задумываюсь, а не supply-chain ли это атака?

Дилемма-с... 🤔

Читать полностью…

Пост Лукацкого

В Интернете, если ты не продавец и не покупатель, ты товар. И даже если ты продавец или покупатель, то все равно для кого-то ты товар!

Читать полностью…

Пост Лукацкого

Уже совсем близко Positive Hack Days 12, и в этом году это уже не просто конференция по кибербезу, а масштабный киберфестиваль, который пройдет в Парке Горького 19–20 мая 💤

Самое главное, что отличает нынешний фестиваль от прошлых конференций, — общедоступный для всех Кибергород, который можно будет посетить бесплатно, без билетов и регистрации!

Кибергород предстанет в виде современного мегаполиса 🌇 в стиле киберпанк, который разрушается под натиском кибератак, и который будет наполнен яркими активностями, повышающими киберграмотность и доверие к технологиям. Гости смогут примерить на себя роль исследователей кибербезопасности и поучаствовать в квесте, где нужно будет найти и исправить уязвимости в разных элементах городской инфраструктуры, а еще посмотреть на кибербитву Standoff 🎳 и сфоткаться на фоне прикольных арт-объектов (может быть вы даже что-то похожее увидите 🤞).

А чтобы принять участие в бизнес-части PHDays и послушать гуру ИБ (это не про меня 🤠), сходить на круглые столы с участием лидеров мнений, мастер-классы экспертов и понаблюдать за кибербитвой и макетом вблизи — нужно купить билет в Кибердеревню. Как человек, взявший на себя ответственность за бизнес-трек, буду походу рассказывать о том, что будет интересного в конференционной части.

ЗЫ. Для семейных ИБшников 👨‍👩‍👧‍👦 или состоящих в отношениях, фестиваль PHDays 12 дает возможность наконец-то показать и рассказать, чем вы занимаетесь. Пока вы будете на хардкорных докладах и дискуссиях в Кибердеревне, ваши близкие смогут походить по Кибергороду и погрузиться в кибербез.

Читать полностью…

Пост Лукацкого

Я звукорежиссер работаю в гос филармонии каким боком наша организация относится к КИИ 😂😵‍💫 мы не знаем, но нам тоже спустили с Минкульта РФ этот приказ , мы в шоке , но делать нечего , вот теперь сидим и тупим что да как

Читать полностью…

Пост Лукацкого

На сайте kassу.ru висит достаточно интересное объявление от администрации. С одной стороны она подтверждает, что сайт был атакован, а с другой - что он не пострадал (то есть недоступность сайта и утекшие данные - это не ущерб?). С одной стороны многие годы портал прекрасно, со слов администратции, справлялся со всеми атаками, но в этот раз она была какая-то нетипичная (какая?). С одной стороны ИБшники лажанули (явно их никто не обвиняет, но это прям чувствуется по тексту), а с другой - бравые айтишники все восстановили.

Вообще, вот это самое обидное, как мне кажется. У ибшников негативный имидж, а айтишники прям святые и всех спасли 👨‍💻

Но зато не скрывают. Но все-таки есть куда развиваться в части антикризисного PR. Мы, кстати, планируем на PHDays в одной из секций бизнес-трека поговорить о том, как надо общаться с внешним миром в случае взлома 👨‍💻

ЗЫ. Вообще, картина занятная. Если кого-то где-то сломали, то виноваты ИБшники. А если кто-то всех спас, не жалея себя, то это ИТшники. Абыдна, да 😫

Читать полностью…

Пост Лукацкого

Российские официальные лица высказывали опасения в появления зависимости нашей страны от Huawei и росте рисков кибербезопасности в связи с этим. Это, конечно, не новость и закрытые циркуляры о запрете или ограничении использования продукции китайских вендоров выпускались неоднократно на моей памяти на протяжении последних пары десятков лет, как минимум. Тут изюминка ситуации в другом. Авторы американского Bloomberg заявляют о наличие неопубликованного (закрытого) отчета Минцифры... Откуда у журналистов доступ к такому документу (явно ДСП), который вышел уже после начала СВО, когда внимание спецслужб было приковано ко всем изменникам и еще неизменникам Родины, иноагентам и иным подозрительным лицам?

Читать полностью…

Пост Лукацкого

Мир меняется и это уже не просто красивая игра слов. Мы видим, что все, к чему мы привыкли, изменяется. И в мире кибербеза тоже. Но самое главное, что происходит это не только у нас, не только по ту сторону баррикад, но и по ту сторону океана. При этом 2023-й год показал, что есть Россия, которая пытается слезть с американской иглы; есть Китай, который решил показать зубы и начать повышать ставки в противостоянии с США. И учитывая обострившиеся геополитические разногласия, я бы хотел посмотреть на то, каким видят будущее своего кибербеза в США, стране, которая до недавнего времени диктовала всем свою волю в области технологий, включая и ИБ. 2-го марта администрация Байдена анонсировала новую национальную стратегию кибербезопасности, мини-обзор которой я и сделал в блоге.

Читать полностью…

Пост Лукацкого

Один из самых частых вопросов в нашем чате — «когда пройдет вебинар с участием Алексея Лукацкого?» Отвечаем — уже завтра, в 11:00 😉

Ужесточение требований со стороны регуляторов и рост количества кибератак увеличили потребность компаний малого и среднего бизнеса в услугах профильных специалистов по кибербезопасности.

Когда стоит отдавать на аутсорсинг реагирование, мониторинг или консалтинг? Этот вопрос мы обсудим на третьей онлайн-встрече проекта «#Агент250»

Также мы разберем причины, по которым стоит делать выбор в пользу развития собственного отдела ИБ. Оценим плюсы и минусы обоих подходов и дадим методику, с помощью которой заместители генеральных директоров по ИБ смогут выбрать свой.

Проведет вебинар Светлана Озерецковская, руководитель отдела маркетинга комплексных решений Positive Technologies. В гостях — Алексей Лукацкий, бизнес-консультант по ИБ Positive Technologies.

Для участия в онлайн-встрече необходимо зарегистрироваться 👈

Если у вас есть вопросы по теме вебинара, то задать вы их можете в комментариях 🙂

#Агент250

Читать полностью…

Пост Лукацкого

Раньше, кейсы, демонстрирующие падение курса акций в результате инцидента ИБ, можно было пересчитать по пальцам одной-двух рук. Сегодня они происходят сплошь и рядом. Чуть ли не еженедельно выплывают факты о взломе той или иной компании, зашифровании ее данных, утечке информации из нее и т.п.

Вот последний пример с Western Digital. В конце марта их хакнули, в начале апреля они про это рассказали и вот результат - падение курса акций почти на 8%. Но ущерб не только в этом - если зайти к ним на сайт, то можно обратить внимание на надпись, сделанную маленьким шрифтом на самом верху, что в данный момент они не обрабатывают заказы, а это уже не просто волатильный курс акций (сегодня -8%, завтра +8%), а недополученная прибыль.

И это всего лишь обычный шифровальщик, емкость рынка которых составляет около 2 миллиардов долларов. А ведь это самая малая доля в структуре доходов на рынке киберпреступности. Та же торговля данными приносит по ту сторону баррикад почти 200 миллиардов долларов, а промышленный шпионаж в 2,5-3 раза больше. Но слышим мы только о верхушке этого айсберга, связанной с шифровальщиками.

Читать полностью…

Пост Лукацкого

Вы помните школьный курс физики и тему равномерного движения? Я вот недавно наткнулся в учебнике у детей. Это сложно себе представить, но с точки зрения физики, равномерное движение и покой равнозначны, так как на тело в этом случае не действуют никакие силы или их действие скомпенсировано. То есть, что вы медленно и ровно двигаетесь вперед, что стоите на месте, никакой разницы не имеет.

Чем-то это напоминает жизнь многих ИБшников до 24 февраля (да и после, если уж честно говорить). Кто-то изо дня в день, месяц за месяцем, год за годом выполняет нормативку ФСТЭК, ФСБ, ЦБ, Минцифры, не пытаясь посмотреть за ее пределы. А кто-то вообще ничего не делает, сидя по жопе ровно, ссылаясь на то, что денег нет. А результат один и тот же 😞 И даже если вы белкой в колесе скачете, пытаясь заработать на хлеб с маслом, но этот бег равномерный и никаких новых проектов вы не запускаете, никаких новых целей себе не ставите, челенджи не организуете, то с тем же успехом, можно было бы ничего и не делать. Результат, а точнее его отсутствие, был бы тот же.

Вот такая физика-лирика... Мы уже 100 дней с начала года прожили и самое время подумать, как проживем оставшиеся 250. Поставили ли перед собой новые, отличающиеся от прошлого года, результаты и движемся ли мы с ускорением к их достижению? Если да, то и прекрасно. А что, мля, если нет?..

Читать полностью…

Пост Лукацкого

У багов тоже есть чувства… Багхантеры такие романтики 🧑‍💻

Читать полностью…

Пост Лукацкого

Меня тут спросили, почему у меня в презентации с CISO Forum 2023 одни негры. Ну что ж, отвечу. Во-первых, это не негры, а афроамериканцы 😊 Ну или как сказал Илья Борисов, "сильно загорелые люди" 😊 Во-вторых, их там, извините, меньшинство. На 8 людей негроидной расы, там 13 европеидной (хотя, если считать представителей монголоидов, то да, они меньшинство, - их там двое). Это классическая психологическая слепота - глаз цепляется за одно и совсем не замечает другое. У аналитиков SOC и операторов средств защиты такое бывает сплошь и рядом. Ну а в-третьих, чтобы стать бизнес-ориентированным ИБшником, придется поработать как негр (ну или папа Карло, если быть толерантным).

Читать полностью…

Пост Лукацкого

Я всегда говорил, что фокусные мероприятия, посвященные какой-либо одной теме, гораздо лучше конференций "все обо всем". И я всегда также возмущался тем, что вокруг каких-либо знаковых конференций не создается соответствующего комьюнити, которое могло бы обмениваться опытом и знаниями между мероприятиями. А в случае хорошего развития канала/чата/комьюнити, они начинают жить своей жизнью. Например, чатик по SOC, созданный под один из PHDays, а сегодня существующий вполне себе самостоятельно.

Поэтому, под CISO Forum 2023, был создан чатик "Результативный CISO", который, я надеюсь, будет жить и после конференции и станет местом для общения руководителей ИБ. Правила описаны в начале ленты чатика - ничего сверхествественного - отсутствие рекламы, публикация ссылок, обмен опытом, вопросы и ответы. И да, даже если вы не CISO, то кто мешает вам заранее готовиться к этой роли? Плох тот солдат, что не мечтает стать генералом.

Читать полностью…

Пост Лукацкого

Вейвлеты? Кротовые норы? Мультифракталы? А вот гиперкубы не хотите ли?!

Читать полностью…

Пост Лукацкого

Вечером, на CISO Forum 2023, буду выступать с мастер-классом "От CISO к BISO. Как сесть за стол с большими мальчиками"

Читать полностью…

Пост Лукацкого

ЦМУ ССОП Роскомнадзора запустил отечественный аналог DownDetector, который с начала СВО перестал публиковать данные о простоях российских Интернет-сервисов. Хорошая инициатива для отслеживания рядовыми пользователями или корпоративными заказчиками сбоях в работе Рунета, происходящих, например, в результате DDoS-атак. Однако есть одно "но"...

Помня, что страна у нас построена на телефонном праве, которым любят пользоваться властью и деньгами облеченные люди, насколько высока вероятность, что этот сервис будет показывать все происходящее без прикрас и скрытия фактов? Ведь если на какой-либо сервис у нас происходит мощная DDoS-атака и она наносит удар по репутации владельца сервиса, у него может быть велико желание поднять трубку и позвонить "кому надо", чтобы сервис РКН не показывал реальное состояние дел. И что-то мне кажется, что достаточно одного раза, чтобы РКН дал слабину, и сервис превратится не в независимый рупор доступности Рунета, а в известно что 💤

Читать полностью…

Пост Лукацкого

Нафига им моя камера? Что они собираются там увидеть? Внутреннее содержимое моих джинсов? 🤔

Читать полностью…

Пост Лукацкого

В преддверии CISO Forum 2023 (уже завтра) черканул пару строк о том, что CISO бывают разные (vCISO, gCISO, mCISO, rCISO) и в одной компании их может быть много.

Читать полностью…

Пост Лукацкого

Есть чатик по 250-му Указу и там постоянно идет дискуссия о том, как выполнять положения этого нормативного акта. Самое забавное, когда в чат приходят люди, которые настолько далеки от ИБ, что прости диву даешься и которые рассказывают, что им какой-нибудь ФОИВ спустил сверху требование выполнить Указ, даже не удосужившись подумать, кому надо выполнять Указ и зачем он вообще появился. Вот тут звукорежиссер филармонии погрузился в ИБ 👿

Читать полностью…

Пост Лукацкого

К разговору о том, может ли ChatGPT искать уязвимости? Не может, если уж его разработчики объявили программу Bug Bounty и пригласили людей с естественным интеллектом искать дыры в интеллекте искусственном 😊

Читать полностью…
Подписаться на канал