alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Так уж получается, что мы с коллегами часто вступаем в заочную полемику по результатам постов друг друга 🤜 Вот и в этот раз Сергей Солдатов прокомментировал мой вброс о ненужности антивируса 🦠 (кстати, на пленарной секции на IT IS Conf в Екатеринбурге, где этот миф обсуждался, половина участников не имела антивируса на своих компьютерах; на других мероприятиях этот показатель схожий), задавшись риторическим вопросом, кого конкретно я имею ввиду 😅

Ну а я подготовил обзорную табличку, в которой достаточно поверхностно сравнил антивирус 🦠 с EPP, EDR и XDR. И кажется мне, что когда Сергей и его коллеги возмущаются на мои высказывания про антивирус и говорят, что антивирус уже давно не тот, они имеют ввиду не антивирус, а EPP. Ну так и надо называть вещи своими именами. Да, в EPP может входить антивирус, как один из модулей, но не более того. Антивирус, который мы все знаем, уже давно анахронизм и толку от него немного, и с точки зрения детекта, и с точки зрения расследования.

ЗЫ. Кстати, у меня уже больше года как закончилась лицензия на KTS (а это, извините, EPP, а не антивирус) и... я так и забил на ее продление. И вот уже год прошел с лишним и ничего 🤷‍♀️ И на KTS я половину функций сразу выключил после установки - с ними все тормозило 🏎 То есть и EPP мне, как домашнему пользователю, тоже как бы не очень и нужен был.

Читать полностью…

Пост Лукацкого

Интересный факт, персидский ковер, сотканный вручную, обязательно должен иметь изъян 🕳 И это не проблема технологии или процесса, а осознанное действие ткачей, считающих, что только Бог может создать что-то совершенное, а человек не идеален 🤦‍♂️

Почему еще ИТшники не следуют этому правило, оставляя дыры в своих системах? 🤔 Или следуют, только не говорят ИБшникам?

Читать полностью…

Пост Лукацкого

Honeywell выпустила отчет о росте числа вредоносного ПО, распространяющегося через USB 🤒 и несущего опасность для промышленных, иногда изолированных от Интернет, сред 🏭 Горизонт наблюдений составил 6 лет, что и позволило Honeywell сделать вывод о росте угрозы 📈, эксплуатирующей разные CVE, использующей многоходовые схемы, атакующей не только Windows, но и Linux и другие платформы.

Читать полностью…

Пост Лукацкого

Мало правильно использовать NGFW - его еще и создать нужно уметь. А в создание NGFW могут не только лишь все! 🤬

Читать полностью…

Пост Лукацкого

Коллеги, за что им спасибо, поправляют по заметке по контролю сообщений от регуляторов. Оказывает ЦБ использует не только RAR, но и ARJ (я и забыл про его существование) в качестве архиваторов. И гораздо важнее обращать внимание на реквизиты письма и контакты исполнителя! ☝️ Так что, как я и написал, приведенный шаблон надо тюнить под конкретного регулятора ☝️

Читать полностью…

Пост Лукацкого

Пока в России три с лишним десятка вендоров пилят свой NGFW 🤬 на Западе смотрят дальше и пытаются понять, что можно улучшить в области безопасности сетевого доступа. Так, CISA выпустила обзорное руководство по трем таким подходам:
1️⃣ Zero Trust (ZT), который реализует принцип "никогда не доверяй, всегда проверяй" 🛃 при обеспечении доступа различных субъектов (пользователей, устройств, приложений, IP-адресов и т.п.). По мнению CISA этот подход позволит снизить риски утечек данных и компрометаций компаний на 50%. Как по мне, так за такими технологиями будущее 🔥
2️⃣ Secure Service Edge (SSE), который комбинирует Cloud Security Access Broker (CASB), Secure Web Gateway (SWG) и Zero Trust Network Access (ZTNA) и Firewall-as-a-Service (FWaaS). CISA считает, что SSE снижает число инцидентов на 40% 😶‍🌫️
3️⃣ Secure Access Service Edge (SASE), который обеспечивает пользователям защищенный доступ к данным и приложениям, независимо от их местоположения и объединяет SD-WAN, SWG, CASB, ZTNA и NGFW.

Еще CISA рекомендует три простых практики (на самом деле в руководстве их больще), которые сильно улучшают сетевой доступ в организации:
1️⃣ Непрерывный мониторинг активности пользователей и сетевого трафика для оперативного реагирования на аномалии и угрозы 🔍
2️⃣ Многофакторная аутентификация, в том числе и на решениях по безопасному сетевому доступу 👍
3️⃣ Регулярная оценка защищенности в виде поиска уязвимостей и проведения пентестов с целью уменьшения площади атаки 🤏

Читать полностью…

Пост Лукацкого

Я в такой плейбук ☝️ включил бы следующие базовые моменты, которые могут быть детализированы в зависимости от регулятора и используемых им способов коммуникаций и адресов/номеров (специфичны для каждого субъекта РФ).

Проверка подлинности e-mail сообщений: ✉️
1️⃣ Проверка адреса отправителя:
Убедитесь, что адрес отправителя совпадает с официальным доменом организации
Задайте для писем регуляторов, которые часто отправляются с одного и того же адреса, правило в почтовой программе (это отсечет явные подделки)
Используйте механизмы DMARC/SPF/DKIM, но предварительно убедитесь, что у домена регулятора они включены (вас может ждать сюрприз по ряду наших регуляторов)
Обращайте внимание на мелкие изменения в адресе (например, fstek, nkcki, gov-cert[.]com и т.п.)
Проверяйте заголовку писем для анализа пути прохождения сообщения
2️⃣ Анализ содержания письма:
Проверяйте грамматику и орфографию. Официальные организации редко допускают ошибки в своих письмах
Обратите внимание на общий тон и стиль письма. Слишком срочные и угрожающие сообщения могут быть подозрительными
3️⃣ Проверка ссылок и вложений:
Никогда не открывайте вложения .RAR из писем регуляторов (где вы вообще видели, чтобы кто-то работал с RAR?)
Наведите курсор на ссылку, чтобы увидеть ее реальный адрес. Убедитесь, что он совпадает с официальным сайтом
Используйте песочницу для проверки вложений.

Проверка подлинности сообщений в мессенджерах: 📱
1️⃣ Проверка профиля отправителя:
Убедитесь, что профиль отправителя выглядит подлинным (фотография, количество друзей/подписчиков, история публикаций, время создания, предыдущие сообщения)
Проверьте наличие официальных верификационных знаков (галочки/звездочки)
2️⃣ Анализ содержания сообщения:
Обратите внимание на ошибки в тексте, общий тон сообщения и наличие подозрительных ссылок
3️⃣ Подтверждение через другие каналы:
Свяжитесь с отправителем через другой проверенный канал связи (телефон, e-mail), чтобы подтвердить подлинность сообщения; особенно если регулятор раньше с вами ни разу не связывался по этому каналу. Иногда можно проверить через знакомых.

Проверка подлинности звонков: ☎️
1️⃣ Идентификация номера:
Проверяйте номер телефона через интернет-сервисы или приложения для определения мошеннических звонков
Обратите внимание на номера, начинающиеся с международных кодов, особенно если вы не ожидаете звонков из-за границы
Убедитесь, что звонок осуществляется не через мессенджеры (регуляторы и госорганы в России такое не любят, не практикуют и вообще скоро запретят)
2️⃣ Спросите о деталях:
Задавайте вопросы о деталях, которые должны быть известны только официальным лицам
Не сообщайте конфиденциальную информацию до тех пор, пока не убедитесь в подлинности звонка
3️⃣ Подтверждение через официальные каналы:
Попросите предоставить дополнительную информацию через e-mail или официальное письмо
Позвоните в организацию по официальному номеру, указанному на веб-сайте регулятора, чтобы подтвердить подлинность звонка

Читать полностью…

Пост Лукацкого

Если вдруг вы получили звонок с номера 0080 CERT NZ (0800 2378 69) 🇳🇿 и вас просят установить обновленную версию ПО с устраненными уязвимостями, то знайте - это не настоящий новозеландский CERT, а жалкое подобие его 🧌 которое пытается замаскироваться под ИБ-регулятора.

Учитывая, что такие истории происходили и у нас, и от имени Роскомнадзора, ФСТЭК, НКЦКИ, ФинЦЕРТа рассылались фишинговые сообщения 💻 (а уж про звонки от майоров МВД и ФСБ и говорить не приходится), то у вас же есть соответствующий плейбук по аутентификации пишущих и звонящих регуляторов? ☎️

Читать полностью…

Пост Лукацкого

Про продуктовый подход и его связь с ИБ я уже писал пару лет назад. А совсем недавно, на PHD2, про это рассказывал Дима Гадарь. А теперь про это уже шутки создают 😂 Смешные... Но как известно, в каждой шутке... О важности включения ИБ в разработку продуктов... 💻

Читать полностью…

Пост Лукацкого

⚠️ Известный многим производитель TeamViever, с помощью решения которого обеспечивается удаленный доступ во многих компаниях (640 тысяч клиентов), объявил 26-го июня, что их взломала "российская" группировка APT29, она же Midnight Blizzard (опять русский хакеры 🎃), и проникла во внутреннюю инфраструктуру компании через учетку одного из сотрудников 🤒 В сообщении компании говорится, что "безопасность у нее в ДНК", что "ИТ-инфраструктура полностью изолирована от продуктивной инфраструктуры" (врут ведь), что "данные заказчиков не пострадали" (как это все выяснилось без проведения расследования, непонятно) 🖥 Идет расследование

ЗЫ. Стоит отметить, что TeamViever имеет сертификат ISO/IEC 27001, рейтинг безопасности А от SecurityScorecard и входит в топ 1% рейтинга ИБ в техиндустрии по версии BitSight, имеет сертификат TISAX в части оценки защищенности ИТ-инфраструктуры и кучу других наград и сертификаций 🎖

ЗЗЫ. В 2019-м году TeamViever уже был взломан китайской Winnti 🐉, которая активно работала и "по России" 🇷🇺

ЗЗЗЫ. Несмотря на заявления компании о прозрачности и открытости в расследовании инцидента, страница с его описанием содержит HTML-тег "<meta name="robots" content="noindex">" 😠, который запрещает ее индекс поисковыми системами. Наверное, это случайно и осталось "с прошлого раза"... 🖕

Читать полностью…

Пост Лукацкого

Проект Cyber Visuals университета Беркли в Калифорнии с различными плакатами по ИБ 🎨 Открытая лицензия позволяет использовать все эти иллюстрации без ограничений. Местами есть интересные, местами странные, как с тестом на беременность, например, - я его не вкурил 😦, очень странная ассоциация

Читать полностью…

Пост Лукацкого

Если бы у меня не было контента для канала, то полностью автоматический генератор мемов на базе Glif помог бы мне заполнить зияющую пустоту... Но контента у меня много, поэтому вот вам просто пример сгенерированного мема 😱

Читать полностью…

Пост Лукацкого

Год назад русские (и немножко сербские) хакеры атаковали крупнейший морской порт Европы 🚢 - Роттердам, на несколько часов выведя из строя веб-сайты порта. И вот спустя год морская гавань отрапортовала ⛴ о запуске квантовой защищенной сети, которая, по мнению авторов проекта, позволит защитить порт, обрабатывающий 15 миллионов контейнеров ежегодно и обеспечивающий 8,2% голландского ВВП от кибератак 👨‍💻 Хотя, как по мне, ни от DDoS, ни от шифровальщиков, системы квантового распределения ключей 🤒 не защищают.

Но тут интересно другое. Из этой истории, учитывая роль порта Роттердама 🛳 в экономике Голландии и Европы, можно сделать хорошую диверсификацию, построив на базе порта свой центр управления ключами и предоставляя услугу всем контрагентам, а их там десятки тысяч по всему миру, пользующихся морскими перевозками, перевалкой грузой и т.п. То есть это уже ближе к деньгам, чем к ИБ 🤑

Читать полностью…

Пост Лукацкого

Threat Intelligence - это как ошибка выжившего, если вы понимаете, о чем идет речь 🤔 Мы узнаем о том из отчетов о том, что смогли расследовать, описать и внести в анналы, базы, отчеты, фиды и иные примеры документированной информации об угрозах ⚠️ Очевидно, что что-то остается за кадром и никуда не попадает. И причин тому много - не знают, как расследовать, не пригласили нормальных пацанов для расследования 🤠, провели расследование, но решили не делиться ни с кем результатами (страшно и стыдно)... Причин много - результат один 🤐

По этой же причине и техники в MITRE ATT&CK описывают далеко не все способы, которыми ломают организации. Сколько уже было случаев, когда технику не возьмут, потому что ее подсанкционная компания зарепортила, или потому что "у нас нет доказательств, что техника применялась в дикой природе"... 🤦‍♂️ Поэтому MITRE ATT&CK - это хорошо, это must have, это обязательно, но этого недостаточно. И если у вас в инфраструктуре не замечено индикаторов из очередного TI-отчета, то это еще не гарантия, что внутри у вас никто не сидит 🏝

Читать полностью…

Пост Лукацкого

В 2016-м году CNN в реальном времени показывало 📺, как ломать компанию с помощью социального инжиниринга 🎣 "Жертва" сама обратилась к белым хакерам и готова была заплатить, если они смогут обмануть сотрудников и заставить их сделать что-то в нарушение политик ИБ. Хакерам это удалось чуть ли не в прямом эфире 🫢

А вы готовы на такой эксперимент в прямом эфире? Уверены в крепости своих виртуальных бастионов? 🤕

Читать полностью…

Пост Лукацкого

Я похоже робот 🤖

Читать полностью…

Пост Лукацкого

В 2022-м финансовом году американские федеральные структуры 🇺🇸 отрапортовали о 30000 инцидентов, для которых американская Счетная палата выявила 4 основные направления для улучшений:
1️⃣ Внедрение эффективной стратегии ИБ и надзора за ее реализацией
2️⃣ Защита федеральных систем и информации в них
3️⃣ Защита критической инфраструктуры
4️⃣ Обеспечение приватности 👮

В этих четырех высокоуровневых блоках Счетная палата разработала с 2010-го года 1610 рекомендаций (интересно было бы сравнить с числом рекомендаций от ФСТЭК за этот же период), из которых реализовано было 1043. По состоянию на май 2024 года 567 рекомендаций (треть) так и не была реализовано ☺️ Все это описано в новом, достаточно детальном и интересном отчете Счетной палаты. Там почти 100 страниц и пересказывать их я не буду - просто рекомендую почитать. Мне кажется, что у наших госов очень много схожих проблем. Например, отсутствие непрерывного мониторинга, отсутствие мониторинга достижения целей ИБ, отсутствие измерения эффективности ИБ и т.п. 🛡

Читать полностью…

Пост Лукацкого

Александр Леонов написал ✍️ пост по мотивам моей заметки о результативности управления уязвимостями. У себя в ВК Александр написал, что ему мой подход показался слишком идеалистичным и недосягаемым и поэтому он предложил свой - оценивая процесс управления уязвимостями по трем ключевым направлениям:
1️⃣ Использование средств детектирования уязвимостей 🔍
2️⃣ Охват инфраструктуры 💯
3️⃣ Выполнение SLA по исправлению уязвимостей ✔️

Не могу не прокомментировать и высказать свое, сугубо непрофессиональное мнение ☹️ Что меня сразу цепануло, так это то, что Александр измеряет процесс, не говоря ни слова о результате (я как раз шел от обратного). И это прям проблема, как по мне, так как мы тем самым подменяем то, ради чего это все делается, на то, что легче всего измерять. Процесс ради процесса... ⚙️

Возьмем к примеру SLA по плановому исправлению уязвимостей. Кто его устанавливает? ИТ? Так они ставят 30, а то и 90 дней на устранение выявленных дефектов 🛠 И мы, конечно, же выполним этот SLA. Но только вот время эксплуатации уязвимостей гораздо меньше указанного SLA (сутки для трендовых уязвимостей). И в чем тогда смысл? Да, SLA соблюден. Но только нас уже взломали и мы это обнаружили спустя 10 дней только 🤕

С предложенным параметром оценки охвата тоже все не так просто. Представим, что у нас интересующих хакеров узлов всего 10% от общего числа 🛡 Мы установили значение показателя по охвату на уровне 90% и выше (это у нас будет зеленый сигнал "светофора"). Все, что меньше, требует внимания и улучшения (мы же не будем стремиться к устранению всех уязвимостей - это невозможно). И вот мы просканировали все узлы кроме тех 10%, что интересны хакерам. И что? Показатель в 90% соблюден, мы в зеленой зоне, но толку ноль 🚦 Уязвимости на целевых системах остались непатченными, так как их никто не детектировал.

С оценкой средств детектирования вообще все сложно. Как вообще оценивать полноту базы детектов? 🤔 Вендор еще может поставить себе задачу охватить все CVE (для примера), но заказчику-то это зачем, если у него из десятка тысяч систем, для которых в CVE есть уязвимости, в инфраструктуре всего пару десятков вендоров? А как оценивать достаточность способов детектирования? Вот с оперативностью доставки детектов я не спорю - это Time to Notify из моей заметки 🤝

Да, все указанные у Александра метрики могут быть поправлены, уточнены, детализированы... Но тогда это еще больше усложнит систему оценки процесса, на что мы будем тратить время и усилия, но так и не поймем, достигаем мы результата или нет 🤔

Читать полностью…

Пост Лукацкого

Интересная история. Активный американский инвестор Jana Partners (активный отличается от пассивного тем, что первый не просто держит ценные бумаги, а постоянно следит за рынком и новостным фоном, анализирует компании, выбирает ценные бумаги и подходящие моменты для сделок 🤑) оказывает давление на компанию Rapid7, известного вендора в области управления уязвимостями, требуя её продажи 🛍

Основной причиной такого шага является неудовлетворительное состояние акций компании 📉, несмотря на предпринятые меры по сокращению расходов, включая увольнение 18% сотрудников (второе место из топовых вендоров ИБ по объему сокращений за последние годы) ✂️ В 2024 году стоимость акций Rapid7 снизилась на 26% (хуже только у Qualys). В прошлом Rapid7 уже рассматривалась как потенциальный объект для поглощения, но до сих пор не нашлось подходящего покупателя. Jana Partners настаивает на том, что компания нуждается в улучшении операционных показателей и перспектив 🧐

Внутренняя структура акционерного капитала Rapid7 делает её уязвимой для давления со стороны активных инвесторов 🔫, так как обычно в ИБ-компаниях большая часть акций сосредоточена в ограниченном числе рук ее основателей и владельцев. В случае Rapid7 12 топ-менеджеров владеют всего 3% акций, а институциональные инвесторы (BlackRock, Vanguard и т.п.) - всего 34%. Соответственно Jana может выкупить свободно котирующиеся акции 🛒 и добиться изменения состава совета директоров на своих кандидатов, которые и будут продвигать нужные решения, направленные на продажу компании.

Ну а к чему приводят продажи компаний мы все знаем... Тем более, что Jana Partners и ее партнер Cannae Holdings не обладают опытом в кибербезопасности - первая больше занимается пищевой промышленностью и ретритом, а вторая - футболом и ресторанами 🤠 Вот такая непростая судьба у публичных ИБ-компаний 😳

Читать полностью…

Пост Лукацкого

Вообще пофигу, какое средство защиты у вас на периметре, если у админа пароль "admin" и не включена многофакторная аутентификация 🪞 Рекомендации CISA ☝️ как раз для такого случая.

Читать полностью…

Пост Лукацкого

А кому-то пофиг и после наступления инцидента. А кому-то уже поздно… Все относительно 🤷

Читать полностью…

Пост Лукацкого

Стервятники набросились… 🦅 Раньше хоть внешне приличия соблюдались 🤠

Читать полностью…

Пост Лукацкого

Продуктовые вопросы разработки сейфов.

Коллеги, команда продукта провела ряд исследований и мы рады представить вам наши инсайты.

Как вы помните, в прошлой версии мы добавили аналитику: сейф отправляет событие при нажатии каждой кнопки. Мы заметили, что пользователи значительно часто (p<=0.01) пользуются цифрами 1 и 9, а цифры 3, 4, 6, 7 практически не используются. Поэтому мы приняли решение в следующей версии внедрить новый циферблат с цифрами 1, 2, 5, 8, 9.

На основе интервью мы выяснили, что пользователи пользуются сейфами, чтобы спрятать оружие от детей. Алексей уже прорабатывает возможности выхода на смежные рынки детских игрушек, оружия и детского оружия. Бизнес девелопмент уже договорился о совместной рекламной акции с Heckler & Koch и Nestle: купи снайперскую версию MR762A1, получи сейф и упакову "Несквик" в подарок. Однако наша долгосрочная цель в собственной экосистеме, где пользователь получает уникальную комбинацию сейфов, оружия и детских товаров. Команда инженеров делает прототип дробовика, который был бы совместим только с нашими сейфами, и мы надеемся показать его к концу следующего спринта.

Мы заметили, что со временем пользователи начинают воспринимать продукт как данность. Но в процессе интервью было обнаружено, что неудачные попытки детей вскрыть сейф значимо повышают доверие родителей к продукту. Мы предлагаем новый дизайн сейфа с яркими цветами. По замерам фокус группы такой сейф на 32% чаще привлекает внимание детей и побуждает родителей к апгрейду до более надежных сейфов из премиум линейки.

Мы исследуем новые модели монетизации. Самой перспективной выглядит pay-as-you-go модель с подпиской, где мы берем деньги в течение всего цикла: при покупке, за обслуживание и за каждую попытку открыть сейф. Наш новый продакт Иван очень верно подметил, что лучше брать деньги за открытие сейфа, а не за закрытие, как мы делали раньше. Внедрение этих изменений в прошлом месяце вызвало взрывной рост ревенью по сравнению с контрольной группой, а Иван заслужил грейдап.

К сожалению, всё ещё сохраняется ряд багов. По прежнему не исправлена ситуация, что цифра 1 может залипать при быстром наборе. Мы всё ещё получаем репорты от пользователей, которым было трудно открыть сейф во время вторжения в их дом. К счастью никто ещё не сообщил о том, что ему не удалось открыть сейф во время вторжения, поэтому у проблемы низкий приоритет и мы вернемся к ней в Q4.

Новости о коллаборации с GR отделом. Как выяснили аналитики, продажи сейфов коррелируют со свободным обращением оружия в регионе. Хорошие новости: нашей команде удалось внести на рассмотрение новый законопроект о легализации скрытого ношения оружения в двух новых юрисдикциях.

На этом всё, коллеги. Напоминаю о необходимости отчитаться по OKR за месяц. Особенно от команды энгейджмента: я заметил, что конверсия в открытие сейфа при попытке ввода перестала расти, и ожидаю полный отчет.

#щитпостинг

Читать полностью…

Пост Лукацкого

Сегодня утром был задефейсен 👨‍💻 сайт Jet CSIRT (сейчас сайт недоступен), на котором появился логотип ГУР Украины и "поздравление" российских ИБшников с днем конституции Украины. Неприятный факт, но делать какие-либо выводы имеет смысл только после того, как коллеги из Jet CSIRT опубликуют результаты расследования, как это ранее было сделано ИБ-командами BI.ZONE и Инфотекс ✍️

Из предварительных комментариев Jet можно предположить, что виноват во всем подрядчик, который администрировал сайт, неподключенный к инфраструктуре ни CSIRT, ни "Инфосистем Джет" 🖥 Чтение каналов сопредельной стороны наводит на мысли, что взлом мог быть связан с Битриксом. Об этом же говорит и выбранный подрядчик, выполнявший работы по личному кабинету Jet CSIRT, и который специализируется именно на продуктах 1С 🌦 (но может это и совпадение).

Задавать риторический вопрос, а как вы контролируете своих подрядчиков, я не буду. Это же и так понятно, не так ли? 😯

Читать полностью…

Пост Лукацкого

Не знаю насчет американцев, но мне кажется это общая для многих наций 👨‍🦰👨🏻‍🦰👨🏾‍🦰👨🏿‍🦰 проблема - подзабивать болт на правила выбора паролей, не думать о последствиях, ругать на чем свет стоит количество требуемых запоминать пароли и т.п. 🤒 Неиспользование парольных менеджеров - тоже для многих норма 🙄 Но главное тут не само поведение людей, а те выводы, которые специалисты по ИБ должны сделать из этой статистики. Ждать изменений от человеческой натуры не приходится - придется его компенсировать техническими мерами - многофакторная аутентификация, парольные менеджеры, мониторинг утечек, решения Identity Detection & Response... 😦

Читать полностью…

Пост Лукацкого

Продолжаем тему, начатую во вторник про измерение результата для управления уязвимостями 👀 Тогда я сконцентрировался на Time to Notify, только упомянув такой показатель как Time to Exploit Пришло время поговорить подробнее и про него.

Читать полностью…

Пост Лукацкого

Сергей Солдатов тут написал пост, с чего надо начинать работу CISO, поставив на первое место аудит ✔️ А я вот не соглашусь, что аудит - это хорошая точка старта. Начав с аудита, мы сами себя загоняем в тупик, начиная заниматься не результативной ИБ, цель которой будет соотнесена с потребностями бизнеса, а с неких требований, соответствие которым мы и должны проверить ☑️

В одном случае CISO становится рабом чеклистов, которые он разработает сам, скачает из Интернета или ему принесут их интегратору и аудиторы 🤠 В этом случае он занимается не тем, что нужно бизнесу, а тем, что написано в том или ином стандарте. Если это будет CIS (на этой неделе вышла новая версия 8.1) или NIST CSF 2.0, в последних версиях которых появился совершенно новый пункт - Governance, который как раз про соотнесение целей ИБ и бизнеса, то это и неплохо 💪 Вот с Governance, которого нет в отечественных стандартах, и надо начинать. Но аудит проверяет, что сделано (в прошедшем времени), а надо именно делать - идти к бизнесу и понимать его боли, его задачи, его риск-аппетит, его страхи, но с прицелом на сферу влияния CISO 🏋️‍♂️ В этом случае CISO превращается из бумажного ИБшника в человека, который чаще сталкивается с разными инструментами, чем с чеклистами.

Иными словами, начинать надо не с аудита, а с общения с бизнесом. Потом уже определить, как этого достичь, потом понять, чего не хватает (вот на этот вопрос может частично ответить аудит) и устранить разрыв за счет реализации различных мер - своими силами и с помощью других подразделений 🤔

Читать полностью…

Пост Лукацкого

Вы задумывались, почему есть вроде как посредственные ИБ-эксперты 🤠, но они гораздо более удачливы, чем более экспертные специалисты, не имеющие хорошей работы, хорошего дохода, и всех остальных признаков успешности? Известный ученый, Альберт Барабаши, придумал "науку об успехе", обосновав ее множеством исследований в разных сферах жизни 😎 Согласно им:

Успех любой карьеры зависит от связей человека (определяемых его местом в профессиональной социальной сети – офлайн плюс онлайн) и его престижа (авторитета, уважения, влияния, «кармы» среди участников этой сети).


И чтобы связей было больше, человек должен постоянно где-то светиться, расширять свою "социальную сеть" 🕸 Поэтому я уже давно призываю специалистов по ИБ больше выступать, писать, любым способом делиться своими знаниями. Вариться в своем соку можно, но такое стремление к жизни интроверта имеет свою цену 👨‍💻 Второй вывод, который сделал Барабаши:

Чем «центральней» (в сетевом смысле) человек в такой сети, тем выше его шансы стать еще более «центральным». Это 100%но соответствует евангельскому «Закону Матфея» - "богатые становятся еще богаче” - феномен неравномерного распределения преимуществ, в котором сторона, уже ими обладающая, продолжает их накапливать и приумножать, в то время как другая, изначально ограниченная, оказывается обделена ещё сильнее и, следовательно, имеет меньшие шансы на дальнейший успех.


А это уже следствие. Больше выступаете или пишите, вас больше узнают, больше приглашают выступать, вы становитесь более известными, вы получаете приглашения на более интересные конференции, более интересные офферы на работу, еще большую известность... И так далее по спирали... 🌱

Я не призываю никого писать или больше выступать - это решение каждый принимает сам. Просто я часто слышу 👂 вопрос, а как получить больше <интересной работы, известности, бабла, поездок, статуса> и многие думают, что кому-то просто улыбнулась удача, а у кого-то блат, а кто-то просто пришел раньше. Но все проще и подчиняется науке об успехе ☝️

Читать полностью…

Пост Лукацкого

Если майнинг криптовалют 💸 сопровождается ростом температуры окружающей среды 🌡, то значит ли это, что вирус гриппа тоже что-то майнит в нашем организме, когда мы болеем и у нас поднимается температура? 🤔 Где моя доля? Или у вируса гриппа 🦠есть свой C2-сервак, который и забирает все себе?

Читать полностью…

Пост Лукацкого

Если раньше синие и красные 🤜 бились только на Standoff, то теперь их битва (в проекции на 🟥) вылилась в соцсети. Против канала красных PT SWARM был выставлен абсолютно новый канал синих - PT ESCalator, в котором мои коллеги будут публиковать всякое с расследований инцидентов ИБ - трюки, лайфхаки, индикаторы, артефакты, советы...

И пусть победит сильнейший ⚔️

Читать полностью…
Подписаться на канал