alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Эксперты по ИБ за пределами РФ прям слюной исходят из-за этой временной шкалы, которая демонстрирует косяки на стороне Microsoft

Читать полностью…

Пост Лукацкого

Завелись тут осы на даче. Наткнулся случайно, когда косил газон и всколыхнул гнездо. Стал разбираться с тем, как бороться с ними. Нашел три способа - купить патентованное средство, конечно же дорогое, пригласить специалистов и сделать все своими силами и подручными средствами. Все как в ИБ - навороченные средства защиты, open source и аутсорсинг. Но пост не об этом, а о том как измерять эти три варианта. С одной стороны цель все равно одна (устранить ос) и именно ее достижение нам и нужно измерять. Но в ИБ же никто не хочет измерять отсутствие недопустимых событий (это ж непростая цель и для многих недостижимая). Поэтому все стремятся измерять что-то промежуточное.

И вот тут важно помнить, что когда вы выстраиваете систему оценки/измерения эффективности ИБ, то у вас должны быть разные показатели для оценки процессов, в которых участвует человек, и которые построены на использовании полной автоматизации? 5 минут на взятие инцидента в работу для аналитика первой линии - это вроде как и нормально. Но вот для SOC, в котором этот процесс полностью автоматизирован, это как-то многовато... И это еще мы не учитываем, что эти показатели будут отличаться для коммерческих решений и open source.

Поэтому бессмысленно искать в Интернете или у коллег «лучшие значения метрик». «Дай списать» тут не работает и придется самому оценивать текущие значения (сами-то метрики не так уж и важны), пути улучшения и потом уже целевые показатели. И зависеть они будут не только от уровня автоматизации, но и уровня компетенций аналитиков.

ЗЫ. Ну и про закон Гудхарта не забудьте; метрики - не самоцель.

Читать полностью…

Пост Лукацкого

Американцы вчера отметили национальный день книжки-раскраски. CISA тоже не осталась в стороне, выпустив свою ✍️

Читать полностью…

Пост Лукацкого

❗️Сегодня ночью произошел взлом соцсетей некоторых банков, в том числе и нашего.

Если вы перешли по ссылке из фейкового поста про акцию с 1win и оставили данные своей карты, то для безопасности ваших средств советуем временно её заблокировать.

Сделать это можно 3 способами:

1⃣ Через Уралсиб Онлайн.
Заходим в раздел «О карте» и выбираем пункт «Заблокировать карту».
2⃣ По телефону горячей линии +7 800 250-57-57
3⃣ Непосредственно в отделении банка Уралсиб.
Не забудьте взять с собой паспорт.

Главное — не затягивайте. Мошенники в любой момент могут расплатиться вашей картой или снять с нее деньги.

Читать полностью…

Пост Лукацкого

Я уже не раз писал о том, что у нас регуляторы в области кибербеза не только не дружат, но и достаточно активно конкурируют между собой, иногда даже перетягивая одеяло на себя. Например, посмотрим на свеженький 406-ФЗ, который все знают как закон о запрете регистрации с нероссийских e-mail, но есть в нем и другой раздел, посвященный теме хостинг-провайдеров. Теперь требования по их кибербезу устанавливает не ФСТЭК, а Минцифры по согласованию с ФСБ. Правда, требования ФСТЭК по защите персданных никто не отменял.

Меня в этом законе заинтересовал не только пункт про защиту информации, но и про изменение самого определения хостинг-провайдера. Раньше, это было "лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет". В новом законе это "лицо, осуществляющее деятельность...". Я не юрист, но не подпадает ли под новое определение гораздо большее число компаний, в том числе размещающих собственные сайты у себя в ДМЗ? Тут опять потребуется комментарий от Минцифры, которое в последнее время разгребает всю ту кашу, которую заварили депутаты то ли по скудоумию своему в области технологий, то ли вполне осознанно. В последнем случае это жопа, так как там помимо требований по защите информации, есть еще и требования по СОРМу, и куча других ограничений.

А что же ФСТЭК? Она инициировала поправки в Указ Президента №1085, определяющий полномочия ФСТЭК. Помимо запроса на увеличения численной штатности, ФСТЭК готова взять на себя централизованный учет всех защищаемых информационных систем и мониторинг текущего состояния их защищенности (учитывая, что защищенностью у нас занимаются Минцифры, РКН, ФСБ и ФСТЭК, а мониторингом так и вовсе ФСБ), информирование всех подопечных об угрозах и уязвимостях в ИС и мерах по защите от них, разработку процессов управления отраслевой защитой информацией и безопасностью ЗОКИИ. В целом ФСТЭК и так занимается большинством из этих задач (исключая, быть может, мониторинг защищенности); так что ничего совсем нового в предлагаемых поправках нет.

Так что битва якодзун регуляторов продолжится с новой силой...

Читать полностью…

Пост Лукацкого

Microsoft, после недавнего скандала со взломом их облака Azure, разродилась рекомендациями по защите от кражи аутентификационных токенов

Читать полностью…

Пост Лукацкого

Боль… Мы стараемся ее исключить, устранить источник боли. И когда это произошло, мы забываем про нее... до следующего раза. Вот так и ИБ. Мы ее сами преподносим как боль - угрозы, инциденты, уязвимости… Поэтому очень сложно держать фокус топ-менеджмента на ИБ - они выделили бюджет и забыли эту тему как страшный сон; до следующего года или когда вдруг нарыв вскроется и придется судорожно решать проблему с болью и последствиями... Надо быть более позитивными и искать не только боли, которые ИБ лечит, но и плюшки, которые она дает.

Попробую на неделе в блоге про это написать.

Читать полностью…

Пост Лукацкого

Ну и визуализация онтологии. Спасибо авторам и подписчику, приславшему все это 🤝

Читать полностью…

Пост Лукацкого

🍎 Для сотрудников многих министерств и ведомств «яблочная» техника становится «запретным плодом»: девайсы компании Apple запрещают или крайне не рекомендуют использовать в рабочих целях.

Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, считает, что эффективным такой запрет не будет. И у него на это пять три причины.

Во-первых, любой «бумажный» запрет нужно подтверждать техническими мерами, иначе он продержится недолго.

Во-вторых, чиновникам необходимо предложить устройства на замену. А имеющиеся альтернативы либо также могут быть использованы для шпионажа, либо их пока не хватает для всех.

В-третьих, нужно учитывать пользовательские привычки, ведь далеко не все готовы носить с собой два устройства и вести личное и деловое общение на разных платформах.

Подробности — в колонке Алексея Лукацкого в Forbes.

#PositiveTechnologies #PositiveЭксперты

Читать полностью…

Пост Лукацкого

«Снаряд дважды в одну воронку не падает», говорит поговорка. «Падает. Все зависит от плотности огня», говорит нам солдатская мудрость. Вот и с утечками или инцидентам в целом такая же история.

ЗЫ. Хотя, как показывают последние события, второй раз может быть и направленным, если мишень «вкусная» или у нападающих какие-то свои мотивы.

Читать полностью…

Пост Лукацкого

Думал просто запостить в двух заметках попавшую в руки статистику - одна по изменениям в семействах шифровальщиков за последние 2 квартала, а вторая - про изменения в форматах и каналах доставки вредоносов на основе анализа 3 миллиардов семплов. Но подумал, что из этого можно и что-то из серии "Капитана Очевидность сделать. В итоге родилась заметка в блоге.

Читать полностью…

Пост Лукацкого

Сам отчет, а то, ссылка видимо одноразовая или многоразовая, но не постоянная

Читать полностью…

Пост Лукацкого

Чтобы закончить (на сегодня) тему со страхованием, приведу пример формулы, по которой страховка киберрисков считается в Калифорнии. Тут важно отметить, что статистика (актуарные таблицы), о которых иногда говорят наши страховщики, нужна не всегда. И в любом случае должны учитываться предпринимаемые страхователем меры защиты. Есть они - страховая премия (проще говоря, это страховой платеж, а не страховая выплата, выплачиваемая в случае наступления страхового случая) будет ниже; нет защиты - страховая платежи в сторону страховщика будут выше. То есть не получится ничего не делать и застраховать свои риски - цена может быть очень высокой, делающей страхование невыгодным.

ЗЫ. Да, думаю, не надо пояснять, что тут не тупо перемножение нескольких чисел идет, а просто указаны факторы, влияющие на конечную стоимость страховки. И гораздо важнее понимать, как эти факторы вычисляются, но вот это обычно и составляет ноу-хау страховых компаний. А потом уже умножить первоначальную стоимость на с десяток коэффициентов, которые могут изначальную сумму страховки как увеличить в разы, так и уменьшить (но уже не в разы).

Читать полностью…

Пост Лукацкого

В Совете Федерации задумались о новом способе обязать компании думать о своей кибербезопасности - обязательное страхование ответственности бизнеса от кибератак и утечек данных. Уже и название придумали для страхового продукта - "Округ", что расшифровывается как "обязательное киберстрахование рисков и угроз". Пока больше ничего, кроме названия, нет. Но правильное название - это половина успеха! Осенью ждем мякотки в виде конкретики, а пока несколько моих заметок про страхование киберрисков; чтобы не забылось:
😱 /channel/alukatsky/8318
😱 /channel/alukatsky/8320
😱 /channel/alukatsky/8331
😱 /channel/alukatsky/8316
😱 /channel/alukatsky/6465
😱 /channel/alukatsky/6181 (вот тут я вообще напророчил)
😱 /channel/alukatsky/6178

Читать полностью…

Пост Лукацкого

Надо не только патчиться регулярно, но и проверять, что механизмы автоматического обновления работают корректно. Я тут внезапно обнаружил, что домашний NAS не обновлялся с июня. По логам видно, что пытается, а не получается. Пришлось скачивать обновление и ручками раскатывать.

К чему это я? Надо регулярно проверять, что автоматические задания реально срабатывают, а однажды установленные настройки работают. А то будет как у меня с RU-Center, который без предупреждения и уведомления отключил в панели управления моими доменами MFA.

ЗЫ. На скрине взлом израильской нефтехимической Bazan Group через непатченный Check Point, который и в России еще используется.

ЗЫ. А кто будет контролировать механизмы контроля за механизмами контроля?

Читать полностью…

Пост Лукацкого

ФСТЭК утвердила давно ожидаемые многими требования к NGFW и СУБД. Но написать я хотел не о них, они скорее послужили причиной для заметки. Вспомним закон Гудхарта, который утверждает, что "когда мера становится целью, она перестает быть хорошей мерой". Давайте его рассмотрим на примере сертификации средств защиты информации. В идеальном мире (где он только?), где и органы по сертификации, и испытательные лаборатории, и потребители, и регуляторы знают, что и как делать (и делают все своевременно) сертификация позволяет подтвердить качество и функциональность продуктов ИБ. Но вот в реальности...

😕 С точки зрения многих потребителей им нужна не качественная защита, а сертифицированные средства, чтобы проверяющие не имели к ним претензий. То есть сертификат нужен, что не было проблем с надзором, а не с хакерами.
😕 с точки зрения испытательных лабораторий они оценивают безопасную разработку и функциональность продукта в соответствие с требованиями, а не тем, что происходит в реальном мире. То есть выданный сертификат говорит, что продукт соответствует бумаге, а не противодействует реальным атакам. Никто же не выставляет сертифицированные продукты на багбаунти или киберполигоны на постоянной основе 😞
😕 С точки зрения отдельных регуляторов (например, ЦБ) им проще сослаться на действующие требования по сертификации, а не расписывать что реально нужно в той или иной ситуации. То есть в условиях, когда система сертификации работает идеально, это работает. Но когда система отстает, то и все ссылающиеся на нее требования тоже.

Ну а пока у нас появляется два новых набора РД с требованиями по защите к СУБД и NGFW.

Читать полностью…

Пост Лукацкого

💅 Ничто не может остановить фанатов (и не только фанатов), желающих увидеть себя в роли Барби или Кена. И нужно-то всего ничего: скормить сервису на базе нейросети свое фото и указать электронный адрес. В этом-то и опасность. Почему? Сейчас расскажем.

Оставляя свои персональные данные в сети, вы участвуете в создании собственного глобального профиля, говорит Алексей Лукацкий, бизнес-консультант Positive Technologies по информационной безопасности.

Если сервис генерации барби-картинок продаст ваши фото и e-mail, их можно будет соотнести с массивом данных, доступных в интернете. И, если у вас есть привычка всюду указывать один и тот же адрес почты, очень скоро мошенники смогут узнать ваш номер телефона, привычки, примерный список покупок, набор устройств в системе «умного дома», следить за вашими профилями в соцсетях и многое другое.

А с помощью фото ваше изображение можно будет сравнить с другими, например сделанными системами видеонаблюдения. Так злоумышленники смогут узнать, посещаете ли вы театры и концерты, в какие магазины ходите, где паркуете машину и куда предпочитаете ездить в отпуск.

👣 О том, во что это может вылиться и можно ли «замести» свой цифровой след, читайте в колонке Алексея Лукацкого в «Российской газете».

Небольшой спойлер: просто не указывайте свой настоящий электронный адрес 😏

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Новая пророссийская хакерская группа 🎸 Удачное позиционирование. Даже если ни хера не делать, никто претензий не предъявит. Во-первых, некому; они же неизвестные. Во-вторых, не за что; никто же не знает, что они делают.

Читать полностью…

Пост Лукацкого

Американская CISA предупреждает о повышении риска взлома The Sphere в Лас-Вегасе в связи с проведением в городе с 5 по 13 августа трех ИБшных конференций - Defcon, BlackHat и BSides. Регулятор США опасается размещения порнографии на огромном шаре. А я ведь предупреждал 😂

Читать полностью…

Пост Лукацкого

Ну уж если «блондинки» хотят на белых хакеров учиться... Хотя может их белый цвет привлекает 👩‍🦳

Читать полностью…

Пост Лукацкого

С помощью решений по ИБ южнокорейского крупного ИБ-вендора Genians оказались взломаны некоторые клиенты местных криптобирж. Похоже на supply chain атаку, но расследование только началось. Решения Genians активно используются в госсекторе Южной Кореи

Читать полностью…

Пост Лукацкого

Это шуточный, местами сексистский, но заставляющий задуматься ролик. Должна ли компания, производящая средства защиты, использовать их сама? Я считаю, что да.

Выпускаешь EDR? Используй сам и особенно на компы сейлов и дизайнеров поставь. Выпускаешь VPN - используй и особенно VPN-клиенты для часто путешествующих сотрудников.

Свои работники - лучшие и бесплатные тестеры, которые скажут вам всю правду, не стесняясь в выражениях. А вот если вендор сам не использует свои же продукты, то это сигнал 🚨, что к продуктам надо присмотреться пристальнее; а так ли они хороши, как о них поют сейлы.

ЗЫ. Я бы в тендерную документацию вставлял условие - продукт должен использоваться самим производителем не менее года. И тогда сразу и качество, и функциональность решений улучшатся.

Читать полностью…

Пост Лукацкого

Вот и сама онтология, о которой я писал ранее

Читать полностью…

Пост Лукацкого

Если вдруг вы задавались вопросом, сколько в Европе в среднем тратят на GDPR, то вот и ответ - 1.3 миллиона евро (порядка 120 миллионов рублей) 🤑

Читать полностью…

Пост Лукацкого

Результаты опроса по компенсациям в случае утечки персданных. Честно говоря, меня эти цифры удивили. Я лично голосовал за вариант "от 5 до 10 тысяч", но большинство считает адекватным размер компенсации на уровне среднемесячной зарплаты в России.

А теперь представим, что так желаемые некоторыми депутатами правки в КоАП в части компенсации приняты, Минцифры добилось того, что компенсировать надо не всем, а хотя бы 80% пострадавших, и сумма компенсации равна той, которую хочет большинство граждан. Какую бы сумму пришлось бы выплатить компаниям, у которых произошли утечки в последние пару месяцев:
1️⃣ Российская электронная школа - 9 миллионов уникальных адресов - 360 миллиардов рублей
2️⃣ Ренессанс Страхование - 633 тысячи уникальных адресов - 25 миллиардов 320 миллионов
3️⃣ Ашан - 7,7 миллионов телефонных номеров - 308 миллиардов рублей
4️⃣ Твой дом - 618 тысяч уникальных номеров - 24,7 миллиарда рублей
5️⃣ Леруа Мерлен - 4,7 миллионов уникальных адресов - 188 миллиардов рублей
6️⃣ Читай-город - 9,6 миллионов уникальных адресов - 384 миллиарда рублей
7️⃣ Эксмо и АСТ - 426 тысяч уникальных адресов - 17 миллиардов рублей

1,5 триллиона рублей только за 7 утечек июня. А можно же не гражданам эти деньги переводить, а в фонд перечислять, а дальше уже гражданам, которые заявили о желании получить компенсацию (ведь если дать такую возможность самим операторам ПДн, то они будут манкировать этой обязанностью, не желая расставаться с деньгами). А заявят процентов 10 от силы, то есть 1,3 триллиона останутся в бюджете. Гениальная схема вырисовывается. На пустом месте пополнить бюджет триллионами рублей, не прикладывая никаких усилий по росту экономики, и все под соусом защиты конституционных прав граждан. А то, что сумма компенсации часто превышает обороты компаний, кого это волнует; работать надо лучше!

Читать полностью…

Пост Лукацкого

Ну а чо, понятное требование. Гораздо проще, чем пароль правильный выбирать или включить везде многофакторную аутентификацию 🤷‍♀️

Читать полностью…

Пост Лукацкого

Центр стратегических разработок выпустил отчет "Прогноз развития рынка кибербезопасности в Российской Федерации на 2023-2027 годы". С уходом иностранных аналитиков у нас не так много структур, которые могли бы заниматься оценкой рынка (и речь не о вендорах, которые анализируют СПАРК). Так что отчет ЦСР интересен в первую очередь попыткой создать в России свой "русский Гартнер". Но если вернуться к цифрам, то они местами достаточно интересны:
📈 Рынок незначительно, но вырос (на 5%), хотя еще в прошлом году прогнозировалось его падение на 10%. С учетом ухода иностранных игроков у российских вендоров прям большой, местами в 2 и более раз, рост.
📈 Рост объема отечественных решений составил 9% и достиг 70%. Но иностранцы продолжают занимать немалую долю - 30% с прогнозом ее катастрофического снижения до 5%.
📈 В пятерку лидеров рынка вошла большая отечественная "четверка" - Каспер, Позитив, BI.ZОNE и Солар (именно в такой последовательности). Между BI.ZОNE и Соларом затесалась израильская Check Point. Интересно, что когда я смотрел другой, непубличный отчет с опросом CISO и то, как они оценивают лидеров рынка, одной из упомянутых отечественных компаний и израильтян в списке не было, но была другая компания, которая в исследование ЦСР вообще не попала 🤷
📈 Приятно, что 🟥 входит в список из тех двух игроков, у которых доля рынка занимает больше 10% и которые обходят ближайших конкурентов минимум в 2,5 - 3 раза.
📈 Сегмент защиты данных упал почти вдвое, а сетевая безопасность - на 5%. Зато сегменты защиты оконечных устройств и инфраструктуры растут.
📈 Интересно, что авторы отчеты отмечают неготовность крупных заказчиков к отказу от "иностранцев" и переходу на отечественные решения (ну, прям, удивительно). Они заняли выжидательную позицию.
📈 Российский рынок ИБ в 2027 году достигнет 559 миллиардов рублей.

Там в отчете еще много всяких цифр и срезов - не буду пересказывать (по ссылке выше можно все скачать и прочитать).

Читать полностью…

Пост Лукацкого

Если вдруг вы не знали, но в России уже 2 года принят и действует национальный стандарт по страхованию киберрисков - ГОСТ Р 59516-2021 🧐

Читать полностью…

Пост Лукацкого

Американцы катят баллоны на китайцев, которые якобы внедрили вредоносный код в системы водо- и электроснабжения, а также телекоммуникаций вокруг американских военных баз и могут не только следить за активностью МинОбороны США, но и даже помешать ей; особенно во время потенциальной оккупации Тайваня материковым Китаем 🐲.

Доказательств, что именно Китай 🇨🇳стоит за всем не приводится, но все указывают пальцем именно на Поднебесную 🐉. Ссылаются на свежий взлом китайцами почты американских чиновников и дипломатов, а также на майские заявления Microsoft о мистическом вредоносном коде на базе на Гуаме 🏮.

Без упоминаний России тоже не обошлось, но скорее «до кучи». А Китай все отрицает, конечно 🙅

Читать полностью…

Пост Лукацкого

Судя по фото в разных телеграм-каналах (публиковать не буду) вокруг башен Москва-сити разбросано немало ДСПшных документов. Надо ли теперь пересматривать модель угроз и включать в нее БПЛА и как неантропогенный источник нарушения доступности, и как источник нарушения конфиденциальности?

ЗЫ. А законодательства по служебной тайне в России как не было, так и нет; лет 20 законопроект в Госдуме пылится. Поэтому и ответственности за публикацию фото и видео с ДСП никакой…

Читать полностью…
Подписаться на канал