alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Еще пара образчиков мира по ту сторону баррикад ☁️ Обыватель слушает новости про хакеров, про взломы, про суммы выкупа... Но не всегда думает, а как хакеры прокачивают свои навыки, где и как они учатся ✈️ А ответ прост - так же, как и все остальные. Хакерские курсы, учебные центры, университеты. Минимум теории, максимум практики

И никакого вам УМО по информационной безопасности, лицензирования образовательной деятельности, калькуляции числа писсуаров исходя из пропускной способности учебных классов... А потом мы удивляемся, почему выпускники ИБшных специальностей ничего кроме нормативки не знают 🤦‍♂️

ЗЫ. С днем учителя!

Читать полностью…

Пост Лукацкого

Хоть и работаем мы по разные стороны баррикад океана, но шуточки у ИБшников все равно одинаковые... 🤤

Читать полностью…

Пост Лукацкого

На SOCtech или SOCcon будут говорить преимущественно про технологии. А что если вы хотите погрузиться в менеджерские темы? 👨‍💻 Это, конечно, не полноценное руководство SOC Manager 👑, но как шпаргалка вполне себе 🧐 Ну а если вам хочется еще прокачать и свой английский и послушать о том, что болит в американских SOCах, то можно посетить SOC Analyst Appreciation Day 16 октября 🧑‍💻

Читать полностью…

Пост Лукацкого

Прикольная попытка рассказать про кибербез от CISO-отца своим детям 👶

Читать полностью…

Пост Лукацкого

Славное название "пентест" взято хакерской группировкой, которая в публичном поле появилась совсем недавно и которая специализируется на атаках на АСУ ТП 🏭 Группировка взяла на себя ответственность за взлом систем водоснабжения в Арканзасе, о котором много писали в западной прессе 🚰

Про остальные кейсы беглый поиск результатов не дал, но сам факт атаки на пищевое производство вполне распространен 👨‍💻 Например, на днях вышло интервью про атаку и месячный (!) простой в одном из северозападных российских агрокомплексов. Также известны атаки на пищевые предприятия на юге страны, о них тоже писали в СМИ. Из непубличного я слышал про взлом системы управлениям рецептурой на одном из отечественных производств с последующим отравлением людей некачественной пищей 🤮

Взломы систем водоснабжения и водоочистки тоже не редкость в последнее время. Так что все возможно... 🤷‍♀️

Читать полностью…

Пост Лукацкого

MITRE расширила свою модель угроз EMB3D, добавив ключевые защитные меры по нейтрализации угроз для встраиваемых устройств, которые используются в критической инфраструктуре 🏭 Модель помогает компаниям и производителям средств промышленной автоматизации выявлять угрозы и внедрять соответствующие механизмы защиты 🛡

Эти меры сгруппированы в три категории: базовые, промежуточные и расширенные, что позволяет организациям приоритизировать свои стратегии безопасности. Все меры соотносятся с международным стандартом ISA/IEC 62443-4-2 для автоматизации и управления промышленными системами 🛡

Читать полностью…

Пост Лукацкого

Тут на одной онлайн-платформе по подготовке аналитиков SOC ввели персонажей, которые помогают пользователям с лабораторками. Первый такой персонаж - это оммаж на мою главную аватарку 😇 Прикольно получилось 😎

Читать полностью…

Пост Лукацкого

Не забывайте, что риск - это не только и не столько угроза, то есть что-то отрицательное. Это, и в первую очередь, возможности, то есть что-то положительное 💡 Да, вы можете потерять, но вы можете приобрести. Задача - не просто найти баланс, а сделать так, чтобы возможностей было больше, а не только, чтобы угроз было меньше. Подумайте, на чем вы больше сконцентрированы? Бизнес от вас ждет фокуса на возможностях, а не на угрозах! 💡

Читать полностью…

Пост Лукацкого

Близится 1 января 2025 года... Растет число мероприятий по импортозамещению в преддверие сроков, указанных в 250-м Указе Президента. Но чуда не происходит 😱 На мероприятиях, на которых мне доводится бывать и где у меня есть возможность спрашивать о том, насколько далеко продвинулись люди в замене иностранцев на российское, они не так оптимистичны, как наши депутаты или иные чиновники, рапортующие о 90% замене ушедших компаний на отечественные продукты.

В реальности картина иная 😦 Полный переход осуществили 3-7%, процентов 20 перевели на бумаге, продолжая пользоваться привычными решениями. Треть живет по принципу "пока гром не грянет" (ответственности-то никакой не предусмотрено за отказ от импортозамещения). Остальные находятся в позе Ван Дамма между двумя грузовиками... Ждем-с...

Читать полностью…

Пост Лукацкого

Результативный кибербез делает жызнь ярче 😂

Читать полностью…

Пост Лукацкого

А вот кому шпаргалку по подготовке к экзамену CISSP? 👩‍🎓

Читать полностью…

Пост Лукацкого

IDentity Verification, дополненная кибербезопасность, GenAI, внутренние угрозы, Zero Trust, сторителлинг и бизнес-вовлеченность CISO, толерантность к инцидентам, киберучения, SecDevOps и безопасность цепочек поставок... Вот список основных тем, которые обсуждались на лондонском Gartner Security & Risk Management Summit 🇬🇧 О российских трендах мы поговорим через неделю, но могу сказать, что пересечений у нас от силы 35-40% 🔮

Читать полностью…

Пост Лукацкого

Проект Russian APT Tool Matrix содержит список инструментов, которые используются якобы российскими APT-группировками 🎃 Разработан на базе проект Ransomware Tool Matrix, который содержит список инструментов, используемых различными шифровальщиками (кража данных, обход средств защиты, кража учетных записей, поиск жертв, сетевые коммуникации и т.п.) ☁️

ЗЫ. Второй проект интереснее первого.

Читать полностью…

Пост Лукацкого

Как говорилось в известном фильме: "Ты определись, ты Игорь Иванович или ты анонимный!.." 🤔 Либо ты настаиваешь и доказываешь, что информация не твоя (но тогда зачем признавать инцидент), либо посыпаешь голову пеплом и устраняешь причины, приведшие к инциденту 🔓

Но вообще объяснение компании, конечно, занятное и лишний раз демонстрирует отличия результативной ИБ от бумажной ✔️ Ну кого волнует, сколько бумажных требований ты выполнил, если у тебя произошел инцидент и хакеры нарушили целостность системы? Тем более, что НКЦКИ про атаки на подрядчиков говорит уже третий год. А уж пассаж "инцидент произошел в выходной день" стоит отдельного занесения в анналы... ✍️

Читать полностью…

Пост Лукацкого

И хотя взрывчатку 💥 в ливанских пейджерах у членов Хезболлы вряд ли можно отнести к инцидентам ИБ (чтобы и как бы там не наш МИД), но сам кейс интересен тем, что он меняет модус операнди в мире не только безопасности, но и кибербезопасности в том числе 🛡

Читать полностью…

Пост Лукацкого

Подписчик прислал, за что ему спасибо, образчик современной детско-молодежной музыки, которая прям про кибербез 🎶 Спросил дочь, знает ли она автора сего опуса с 16 миллионами просмотров на Youtube, но она, к счастью, не знакома с этим творчеством 🎷 Текст на двойку, поет тоже не Орфей... 🎼 Да и суть не то, чтобы позитивная... Но что мы с подписчиком будем вдвоем знать об этом певце - теперь и вы знаете 🎼

Я другом твоим хочу стать
Дай побольше о тебе узнать
Будем вместе мы играть
То, что в письме - лучше не знать...
Задаю тебе вопросы:
"Зима, лето или осень?
Твоя любимая еда?
Какое имя у зверька?"
Доверься мне, мы же друзья
И ты со мною до конца
Я всё узнаю про тебя
От меня не скроешься
В моих руках твои друзья
Ты их забудешь навсегда
Ведь у тебя есть только я
И только я, и только я
Бесконечное веселье!
Только лишь для нас двоих
С тобой найдём мы увлеченье
О проблемах позабыв
(С возвращением, друг!)
Кажется был завершён сеанс
Но ты не бойся, коли вдруг
Смогу восстановить баланс
Осталось сделать одну вещь
В админ состав меня вовлечь
В командную строку набрать:
Давай-давай, пиши!
Комп мне свой уступи!
Я НЕ ВИРУС!!
Я НЕ ВИРУС!!
Бесконечное веселье!
Только лишь для нас двоих
С тобой найдём мы увлеченье
О проблемах позабыв
Бесконечное веселье!
Только лишь для нас двоих
Нам не скучно - это правда
Разве не согласен ты? (А теперь…)
Дай мне доступ
Мы же друзья!
Скажи, ну хоть раз
Подвёл я тебя?!
Целый мир, здесь я и ты
Места нет для скукоты
Всё подстроил под тебя
Теперь системой правлю я!
(Теперь системой правлю я!)

Читать полностью…

Пост Лукацкого

Нужно что-нибудь техническое по SOCам? 🛠 А вот вам руководство по развертыванию SOC в домашней лабе (на базе AWS). Это, конечно, еще не SOC, но все равно... Показывает, что для самостоятельного изучения не обязательно иметь кучу серверов с набором дорогого ПО - все можно сделать попроще, но все равно достигнуть результата и прокачать навыки. Было бы желание 😘

Читать полностью…

Пост Лукацкого

Сегодня выступаю на программе "Цифровая трансформация бизнеса" для руководителей компаний, где буду рассказывать про кибербез (ну а про что мне еще рассказывать) 🛡 Построил презу с точки зрения CJM при разработке продукта и месте ИБ на всех этапах этого процесса - от архитектуры и DevOps до сопровождения и маркетинга 😵 Все с примерами, ущербом, недопустимыми событиями (как мы любим) 👉

Читать полностью…

Пост Лукацкого

В продолжение истории про наличие в модели угроз реальной опасности захвата здания. Подписчик, за что ему спасибо, прислал фотографию. "О времена, о нравы..." ⚔️

Интересно, можно ли это рассматривать как средство гарантированного уничтожения информации? 🤔 Думаю, результат зависит от размера серверной 😊

Читать полностью…

Пост Лукацкого

Австралия 🇦🇺, Великобритания 🇬🇧, Германия 🇩🇪, Канада 🇨🇦, Корея 🇰🇷, Новая Зеландия 🇳🇿, США 🇺🇸 и Япония 🇯🇵 выпустили руководство по безопасности АСУ ТП 🏭 Эти рекомендации содержат шесть ключевых принципов для обеспечения безопасности систем промышленной автоматизации: соблюдение безопасности, понимание ценности данных АСУ ТП, сегментация сетей, защита цепочек поставок и важность человеческого фактора 🤓 Ждать много от этого руководства не стоит - это все-таки принципы, то есть ответ на вопрос "ЧТО", а не детальное описание "КАК". Но как точка отсчета вполне себе...

Читать полностью…

Пост Лукацкого

Вчера, в Нижнем Новгороде, на конференции Олег Седов, в дискуссии про руководителей ИБ, сославшись на коллег из лондонского KPMG, привел три уровня зрелости CISO, которые, как мне кажется, очень неплохо, в одно слово, показывают отличия в восприятии своей роли и бизнес-ориентированности 🧐
1️⃣-й уровень. Ответ на вопрос "🔤🔤🔤". На этом уровне специалист по ИБ, он даже еще вряд ли руководитель, просто делает то, что ему говорят регуляторы, ИТ, начальство... Особо не задумываясь о том, нужно это или нет.
2️⃣-й уровень. Ответ на вопрос "🔤🔤🔤". На этом уровне специалист начинает задумываться, как реализовать то или иное требование. Например, защита web-приложений, которую можно реализовать как через on-prem Web Application Firewall, так и через облачный WAF. Та же история с мониторингом и реагированием, которые можно реализовать за счет собственного или аутсорсингового SOC;
3️⃣-й уровень. Ответ на вопрос "🔤🔤🔤🔤🔤". На верхнем уровне важно не ЧТО и не КАК, а ЗАЧЕМ это все надо. Может оказаться, что оно и не надо или что дешевле не делать, приняв риски или заложив оплату штрафа за невыполнение в бюджет.

Как и любая модель, эти три уровня, конечно, позволяют взглянуть на роль руководителя ИБ достаточно упрощенно, но при этом подсветив ключевые задачи и отличия 🤔

Читать полностью…

Пост Лукацкого

Неудобно получилось с просраченным сертификатом… 🤔

Читать полностью…

Пост Лукацкого

Технологии искусственного интеллекта, особенно deepfake, стремительно развиваются и представляют как возможности, так и угрозы для различных отраслей 🎭 Deepfake — это гиперреалистичный, синтетический и искаженный аудио, видео и цифровой контент, который сложно отличить от реальности, что создает как положительные, так и негативные последствия для людей, бизнеса и государства 🔪 Среди рисков:
1️⃣ Мошенничество с идентификацией
2️⃣ Несогласованные манипуляции с личными данными
3️⃣ Распространение дезинформации.

Обычно все рассматривают негативные стороны дипфейков, но их можно использовать в различных сферах, таких как маркетинг, развлечение, образование и медицина с благими намерениями 😇 Предлагаемое руководство описывает как правильно и этично создавать дипфейки, а также как распознавать их рядовым пользователям. Например, разработчикам deepfake рекомендуется: 👨‍💻
1️⃣ Защищать данные пользователей
2️⃣ Получать согласие на использование их персональных, часто биометрических, данных
3️⃣ Обеспечивать прозрачность создания deepfake
4️⃣ Внедрять системы контроля с помощью человека.

От пользователей ждут: 🪞
1️⃣ Проверки источников цифрового контента
2️⃣ Анализа аудиовизуальных элементов на наличие несоответствий
3️⃣ Использования ИИ-инструментов для выявления признаков манипуляции.
Как по мне, так неработающие советы на практике.

Следуя описанным в руководстве рекомендациям, местами высокоуровневым, можно с пользой использовать потенциал deepfake, минимизируя его риски. Не могу сказать, что руководство отвечает на все вопросы, но то, что кто-то озаботился созданием такого документа, это прям хорошо. Не все только описывать, как бороться с дипфейками.

Читать полностью…

Пост Лукацкого

На октябрь у меня запланировано почти полтора десятка выступлений. Но особо я бы хотел отметить два, которые пройдут на Positive Security Day 10-го октября (регистрация открыта). Точнее, речь идет о модерации двух секции, посвященных безопасной разработке и искусственному интеллекту 🧠

В первой я вернусь почти к истокам, ведь я начинал карьеру в ИБ именно как программист средств шифрования 👨‍💻 Но 30 лет назад никто о DevSecOps в привычном сейчас виде не думал - максимум, это военпреды, принимающие работы перед сдачей их заказчику в погонах. Во второй дискуссии мы будем говорить не об ИИ в ИБ, а наоборот - об ИБ для ИИ. Ведь часто компании внедряют ИИ-проекты, даже не думая о безопасности и доверии к моделям и используемым датасетам 🙌

Эти две темы не так часто находятся на повестке специалистов по ИБ и хочется немного изменить эту ситуацию 🤠 К обеим подготовил недурные, как мне кажется вопросы, местами провокационные, чтобы заставить участников из 🟥 и со стороны заказчиков и партнеров поерзать на своих креслах 💺

Читать полностью…

Пост Лукацкого

В центре внимания — исследовательский проект “Mythical Beasts”, который изучает связи между 435 организациями, связанными с глобальным рынком шпионского ПО в 42 странах 🥷 Он раскрывает ключевые тенденции, такие как концентрация в Израиле 🇮🇱, Италии и Индии, сотрудничество с производителями аппаратного обеспечения для слежки, а также регулярные изменения в идентичности поставщиков и перемещение по юрисдикциям для обхода ограничений 🥷

Проект предлагает улучшить прозрачность рынка для более эффективного контроля шпионского ПО, что выглядит немного смешно для ПО, которое активно используется в том числе и государственными организациями, и спецслужбами, которые точно не захотят никакой прозрачности 🥷

ЗЫ. Некоторые данные местами устарели, а некоторые и вовсе не соответствуют действительности (хотя проект датируется сентябрем 2024), что ставит под сомнение и весь анализ, и выводы 🤔

Читать полностью…

Пост Лукацкого

Кто-то где-то когда-то мастурбировал в электричке, что попало на видео и стало распространяться в Интернете, что потребовало реакции правоохранительных органов, возбудивших уголовное дело 👮, которое уже вошло в анналы (чьи-то точно).

Поражает формулировка установочной части… Я последние лет 15 говорю, что наше уголовно-процессуальное законодательство не очень хорошо подходит для цифрового мира. Зато по данным МВД ущерб от компьютерных преступлений с начала года превысил 116 миллиардов рублей. Уж что-что, а палки статистика 📈 у нас на высоте.

Читать полностью…

Пост Лукацкого

В наступающем октябре разворачиваются события, которые можно смело назвать эпопеей в мире информационной безопасности, словно два тома великого романа о сражении добра и зла в цифровом пространстве ⚔️ Эти два события — SOCtech и SOCcon — представляют собой масштабные главы, описывающие вечную борьбу между светлыми силами специалистов по кибербезопасности и темными легионами хакеров 🥷

15 октября в сердце России, как на поле великого сражения, начнется SOCtech. Здесь, подобно великим полководцам, соберутся лучшие из лучших — те, кто на передовой защиты данных и сетей. Подобно героям первого тома "Войны и мира", они обсудят стратегии и тактики, готовясь к неизбежным атакам врага, делясь опытом и новейшими технологиями, словно оружием, готовым к бою 🛡

Но это лишь прелюдия к событиям второй части, ибо через две недели, 30 октября, столица Беларуси станет ареной не менее масштабной встречи — Positive SOCcon. Как во втором томе эпопеи Льва Николаевича, здесь развернется дальнейшее повествование о борьбе, в которой каждая ошибка 😵 может привести к фатальным последствиям. Силы специалистов по ИБ объединятся вновь, чтобы противостоять мощным атакам, что каждый день угрожают стабильности цифрового мира 🔓

Два города, два сражения, одна великая цель 🤕 — победа над хаосом и восстановление порядка в мире информационной безопасности. Станьте частью этой грандиозной эпопеи, где решаются судьбы киберпространства!

Регистрация на SOCtech уже открыта, а у меня для вас подготовлен промокод KazimirSOC. Регистрация на Positive SOCcon откроется совсем скоро. Следите за анонсами на сайте мероприятия 👉

Читать полностью…

Пост Лукацкого

Инцидент произошёл в выходной

Министерство труда и социальной защиты России в августе получило административный штраф в размере 100 тысяч рублей за утечку персональных данных. Согласно постановлению, ведомство допустило утечку базы персданных сотрудников на 1400 строк.

Датой нарушения названо 27 ноября 2023 года. Речь, очевидно, идёт о кибератаке и последующем сливе внутренней информации Минтруда, организованных проукраинской группировкой Blackjack. 29 ноября она заявила в своём канале о краже и удалении 50 ТБ данных министерства, опубликовав в подтверждение скриншоты и архив с внутренними документами. Украинские СМИ сообщали тогда, что кибератака якобы была проведена Blackjack с помощью СБУ.

Blackjack — хактивистская группировка, выступающая публично с осени 2023. Согласно отчёту «Лаборатории Касперского», она использует только свободно распространяемое или опен-сорсное ПО и по инструментарию схожа с группировкой Twelve.

Постановление суда примечательно не только тем, что подтверждает прошлогоднюю атаку, но и относительно подробным описанием инцидента со слов представителей защиты. Минтруда было взломано через подрядчика, который имел легитимный доступ к его инфраструктуре. Злоумышленники, получив доступ к подрядчику, через VPN подключились к системам министерства и частично зашифровали серверы и рабочие станции.

Фрагмент с более детальным описанием прикрепляю в виде скриншота. На мой взгляд, он заслуживает изучения всеми, кто занимается обеспечением информационной безопасности организаций. Особенно в части оправданий (этой теме я посвятил несколько постов, а также выступление на PHDays).

Сразу обращает на себя внимание тезис о том, что «инцидент, в результате которого в отношении Министерства составлен протокол об административном правонарушении произошел в выходной день». С таким аргументом в постановлениях по административным делам я сталкиваюсь впервые, даже не знаю, сочувствовать или нет. Увы, у вас и злоумышленников может быть разный график работы.

Аргумент о том, что в организации «в полном объеме выполняется комплекс работ и организационно-технических мероприятий по обеспечению безопасности персональных данных» хорош до тех пор, пока ваши данные не оказываются в канале хакерской группировки.

Подрядчик действительно должен «обеспечивать соблюдение требований информационной безопасности при подключении к [инфраструктуре министерства], а также обеспечивать защиту своей инфраструктуры от возможности подключения к ней третьих лиц». Но имеет смысл проверить, а делает ли он всё это, а также быть готовым к худшему сценарию, особенно в условиях, когда число атак через подрядчиков растёт в разы.

Наконец, ещё отмечу такой момент: «не доказано, что обрабатываемая информация относилась к инфраструктуре [Минтруда], поскольку информационные системы Министерства не содержат той совокупности персональных данных , которые были размещены в Telegram-канале».

Действительно, согласно постановлению, судья принимал решение на основе протокола Роскомнадзора, двух уведомлений от Минтруда, скриншотов из телеграм-канала и др. материалов — но выездная проверка, в ходе которой специалисты Роскомнадзора сопоставляли бы данные из утечки с данными из информационных систем ведомства, похоже, не проводилась. В 2022 году Роскомнадзор регулярно проводил такие проверки, но их число сократилось, когда операторов персданных обязали направлять уведомления об инцидентах. После этого Роскомнадзор чаще всего ориентируется только на уведомления.

Тут и правда могут возникнуть проблемы: например, если организация уведомляет об утечке только на основании публикации в канале хакеров, а не собственного расследования, Роскомнадзор может составить протокол на основе этого уведомления и скриншотов, то есть не проверив, была ли утечка. Правда, в случае Минтруда, поскольку взлом действительно был, выездная проверка вряд ли была бы в его пользу.

В конце хочу сказать отдельное спасибо судье, не согласившегося с просьбой представителей министерства не публиковать судебный акт «в целях безопасности». Наоборот: это очень полезное чтиво в целях безопасности.

Читать полностью…

Пост Лукацкого

Смотрю на очередной рейтинг лидеров мирового SIEMостроения без позитива 🏆 Все эти квадраты, волны, радары… теряют смысл, так как там или все лидеры или вот-вот станут ими. А если ты аутсайдер, то ты и не захочешь попадать в рейтинг, ссылаясь на то, что тебе не надо. И вот зачем тогда это все? 🤔

А самое главное, как этот рейтинг 🏆 отвечает на вопрос: "Подойдет ли мне SIEM из списка?" Почему критерии, которыми пользовалась IDC, должны совпадать с моими собственными? А насколько безопасен сам продукт? 🤔 Рейтинги, аналогичные IDCшному, обычно проверяют только функционал продукта или возможности самого производителя, но не его способность к реальной ИБ, так как это требует либо собственной команды пентестеров, либо привлечения внешних. Но это совсем другой уровень тестирования и оценки... 🪜

Я вот представил, что IDC говорит участникам своего обзора: «А теперь мы будем проверять вашу реальную ИБ с помощью пентеста!» 🤕 Как вы думаете, многие ли останутся на финишной прямой? Вот почему, например, не все российские разработчики WAF участвовали в независимом тестировании с участием пентестеров?

Читать полностью…

Пост Лукацкого

Ээээ??? 🤔

Читать полностью…
Подписаться на канал