Признавайтесь, были у вас в 2023-м году описанные в бинго ☝️ события?
ЗЫ. Стащил у коллег
Как у правильных ИБшников, у вас должна быть практика проверки ненадежных паролей! Стоит добавить в нее новые комбинации, заканчивающиеся на 2️⃣0️⃣2️⃣4️⃣ и 2️⃣0️⃣2️⃣4️⃣❗️. Например, Positive2024 или Positive2024! 🤭
Читать полностью…Дракон 🐉 в разных традициях знаменует собой совершенно разное. В китайской он олицетворяет мудрость, в западноевропейской - это нечто враждебное. Но в любом случае, это символ испытания, пройдя которое, ты получишь нечто ценное (помимо опыта). Таким будет и новый 2️⃣0️⃣2️⃣4️⃣ год для отрасли ИБ. Кто-то будет смотреть на Восток 🐲 и осваивать китайские и индийские ИБ-решения, а также бороться с китайскими и северокорейскими хакерами. Кто-то будет продолжать держаться за Запад 🌎, всеми правдами и неправдами пользуясь американскими технологиями. А я желаю вам следовать славянской мифологии, в которой змей (дракон) 🐲 является посредником между небом и землей, а поэтому считался одновременным и добрым и опасным существом, вбирая в себя все из обоих направлений. В любом случае 2️⃣0️⃣2️⃣4️⃣ год будет для нас годом испытаний (а когда было иначе?)! Всем удачи!
PS. Да, я знаю, что до начала года дракона еще больше месяца, но все же... Мне летом на полтинник подарили офигенного дракона и я сделал его фотку, которую наконец-то смог использовать по назначению!
🎅 На компьютере Деда Мороза случился новогодний переполох: его данные оказались зашифрованы, а на экране начали всплывать странные уведомления... Что было дальше? Смотрите в нашем ролике!
🎄 Дорогие читатели, поздравляем вас с наступающим Новым годом! На всякий случай напоминаем: у хакеров не бывает праздников и выходных, и на каникулах они могут атаковать не только Деда Мороза. Желаем вам быть бдительными и оставаться в кибербезопасности!
@Positive_Technologies
Новая ИБ-игра в коллекции от коллег из Start X. Карточные ситуационные киберучения 🃏
Читать полностью…8 сериалов о киберугрозах
Нравится смотреть, как киношные хакеры в худи драматично стучат по клавиатуре? Или как их не менее драматично ловят киберполицейские? У создателей сериалов со всего мира есть чем вас развлечь на праздниках.
Мошенники (Казахстан, 2023): преступная группа занимается классическим телефонным мошенничеством, выманивая деньги под видом звонков из банков. Все серии на YouTube.
Оффлайн (Россия, 2022-2023): анонимный хакер угрожает пользователям невидимого приложения для покупки наркотиков раскрыть их данные полиции. Во втором сезоне к охоте на приложение подключаются спецслужбы. Смотреть на Okko или Кинопоиске.
The Undeclared War / Необъявленная война (Великобритания, 2022): GCHQ пытается сорвать план иностранного (не угадаете, чьего) вмешательства в выборы; по разные стороны баррикад оказываются бывшие одногруппники.
Tehran / Тегеран (Израиль, 2020-2022): главную героиню — хакера и агента Моссада, забрасывают в Иран с миссией нейтрализовать систему ПВО, чтобы ВВС Израиля смогли нанести удар по ядерному объекту. Смотреть на Apple TV.
Hack: Crimes Online / Хакеры: Киберпреступления (Индия, 2023): спецподразделение по борьбе с киберпреступностью Мумбаи нанимает молодых технических специалистов и расследует различные дела, от мошенничества с банкоматами до детской порнографии.
Spy Game / Миссия секретного агента (Китай, 2023): власти китайского города расследует деятельность шпионской сети, которая контролируется иностранной разведкой с помощью онлайн-игры, обманом побуждающей игроков раскрывать гостайну.
Indonesia Biner (Индонезия, 2022): кто-то взламывает уличные экраны на улицах Джакарты и показывает по ним порноролики, и группа хакеров начинает борьбу с этой угрозой. Первую серию можно посмотреть на YouTube.
De Kraak / Банковский хакер (Бельгия, 2021): освободившись из тюрьмы, старый аферист находит нового партнёра — 20-летнего хакера, вместе они придумывают грандиозную мошенническую схему.
TGStat заботливо прислал статистику с итогами года в канале, какая не может не радовать 😃 Не могу сказать, что я гонюсь за цифрами и прилагаю отдельные усилия по их увеличению или даже накрутке, но всегда приятно видеть, что то, что ты делаешь, кому-то интересно. По сравнению с прошлым годом по всем показателям прирост - подписчиков стало еще больше (за что всем вам спасибо), как и публикаций, которых я сотворил на 25% больше (и когда я все успеваю 💪). Спасибо всем, кто меня читает 🙏 Надеюсь, это и полезно, и забавно, и дает пищу для ума. В следующем году буду продолжать в том же духе 👋
И, кстати, хочу напомнить, что
🔤🔤🔤🔤🔤 🔤 🔤🔤🔤🔤 🔤🔤🔤 🔤 🔤🔤🔤🔤 🔤 🔤🔤🔤🔤 🔤🔤🔤🔤🔤🔤🔤🔤🔤🔤🔤
ЗЫ. Впереди длинные выходные и я 😱 не буду нарушать традиции. Буду писать, кататься на коньках, пить коньяк, сидеть у камина, гулять в лесу и греться в сауне. Сюда буду писать ✍️ нерегулярно; только если что-то интересное увижу. Отдыхать, так отдыхать! 👍
Уже в новом году выложу на портале Positive Technologies бесплатный и доступный всем курс по кибергигиене и основам персональной кибербезопасности. Что-то аналогичное я делал для Нетологии в свое время, но пришло время перезапустить историю и сделать ее немного иначе. Так что ждите анонс в начале следующего года на портале и у меня в канале.
ЗЫ. Нетология за этот курс берет деньги 💰 Вроде небольшие (790 рублей), но все же. Зато его Руслан Юсуфов у себя порекламировал, назвав одним из трех курсов по цифровой гигиене, за которые не стыдно, что тоже приятно ☺️
Время оглашать итоги голосования, господа. Это было самое скандальное голосование по итогам года в ИБ-отрасли на моей памяти. Под финал все завершилось как плей-офф КХЛ ну или обычное зеленое дерби между татарским Ак Барсом и башкирским Салаватом Юлаевым, только цвет был красный🟥.
Тройки победителей, набравших больше всего голосов в номинациях:
«ИБ-телеграм канал года»
1 место — Пост Лукацкого
2 место — Secator
3 место — Security Lab
«ИБ-мероприятие года»
1 место — SOC форум
2 место — Positive Hack days
3 место — Positive Security days
«ИБ-проект года»
1 место — MTC RED ASOC
2 место — Positive Technologies NGFW
3 место — онлайн киберполигон Standoff 365
«ИБ-компания года»
1 место — MTC RED
2 место — Positive Technologies
3 место — Солар.
Согласен с результатами — ставь ❤️, не согласен — 🗿
@cybersachok
Знаете, почему не работает определение недопустимых событий снизу, от ИБ? Причина проста. ИБшник не топ-менеджер и не знает его интересов, его страхов, его задач и мотивации 🤑 Так и CISO должен понимать, что его подчиненные могут быть не настолько лояльны компании, в которой они работают и которая платит им зарплату 🤑
Они самолюбивы, эгоистичны, капризны, ленивы, туповаты. А самое главное, что они далеко не всегда любят свою компанию и CISO, а часто и вовсе не разделяют их интересов 🖕 И вот с этими людьми вам надо идти на кибервойну и изо дня в день сражаться с плохими парнями, у которых как раз есть мотивация вас заломать, украсть у вас данные или деньги и реализовать какие-то иные недопустимые или нежелательные события 💰
Задача CISO сделать своих бойцов не просто командой, а людьми, способными преодолевать трудности самостоятельно, способными брать на себя ответственность за найденные решения 🤘 А для этого подчиненные должны научиться постоянно учиться и смотреть на многие возникающие в ИБ задача шире, чем это предусмотрено нормативкой или программой обучения в ВУЗе по КОИБАСу. Если они вместо того, чтобы уходить в 6 вечера с работы, приходят к вам и предлагают какие-то идеи и решения наболевших задач, 🛡 - это и есть лучший критерий того, что у вас команда, которая способна действовать в условиях волатильности и непредсказуемости, которая не живет только в рамках написанных кем-то плейбуков, которая, даже уйдя из ккомпании, будет вам благодарна за уроки! 🤜
Пусть в 2024-м году у вас будет время на учебу!!! 🤓
Qualys пишет, что в 2023-м году 25% высококритичных уязвимостей эксплуатировались в день опубликования данных о них, что вновь поднимает вопрос о том, зачем нужны сканеры безопасности и в течение какого времени надо устранять такие уязвимости. И не факт, что даже ФСТЭКовские 2️⃣4️⃣ часа, указанные в методике оценки защищенности, тут помогут. Все-таки этот срок должен быть меньше. А иначе злоумышленники будут всегда на шаг впереди.
И вот тут мы видим очень неплохую метрику для оценки решения класса VM - насколько быстро оно позволяет детектировать высококритичные уязвимости. Хотя мы помним, что CVE, который присваивается уязвимостям, приоритизированным согласно CVSS, не всегда означает, что дыра активно эксплуатируется в дикой природе. Как по мне, так метрику можно чуть переформулировать - насколько быстро VM позволяет выявлять трендовые уязвимости (KEV в терминологии CISA). Эта метрика гораздо ближе к реальности. И целевой показатель здесь должен быть на уровне 12 часов 🏪
Конечно, можно сразу вставить свои 2 цента и сказать, что мало выявить уязвимость, ее еще надо устранить, но с чего-то надо начинать. Не выявив уязвимость, нам и устранять-то будет нечего. Вот для процесса VM просто обнаружение измерять бессмысленно - в нем нужно оценивать время устранения возможности использования уязвимости, которое может быть достигнуто за счет патчинга, виртуального патчинга, компенсирующих мер, реконфигурации и т.п.
Если в 2024-м году вам удастся выстроить процесс управления уязвимостями, то это будет прям прекрасно! И в конце года можно будет раскупорить бутылочку хорошего коньяка 🥃
Я, конечно, ненастоящий ботовод, но судя по голосованию за проект года и компанию года, кто-то явно накручивает голоса 🤬 Это прям к бабке не ходи ☹️
Читать полностью…❗️ОБНОВЛЕНО❗️
Провёл небольшое собственное расследование в дополнение к этому посту. Есть оригинальный украинский проект лампы/гирлянды и есть форк, переведённый на русский. 18 октября "пранк" был добавлен в оригинальный проект, в начале декабря видимо случайно попал в русскую версию (пля закынули) и 1 января уже из неё убран. Все кто загружал-обновлял прошивку в декабре - получил подарочек. "Пранк" действительно зашифрован, скрыт от "читающего" код и выводится в первый день года исключительно для жителей России по гео.
Печальная новогодняя история. 1-го января на одного новгородца составили протокол о дискредитации российской армии за гирлянду, которая вместо надписи "С наступающим Новым годом!" в первые минуты нового года вдруг стала показывать другую надпись на украинском языке 🚩
Оказалось, что "нарушитель" увидел в Интернете инструкцию по сборке "умной" гирлянды из деталей с AliExpress. Быстро припаяв микроконтроллер к светодиодной ленте и скачав прошивку из Интернете житель Новгорода стал радовать свою семью и прохожих радостной надписью, которая в полночь превратилась в 🎃
Выясняется, что с такой неприятностью столкнулось уже несколько человек в разных концах России 🏡 Все дело в прошивке, автор которой из Харькова и который тем самым заложил закладку для ничего не подозревающих россиян. Некоторые из них теперь будут доказывать в суде, что не виноваты, и пытаться уйти от уголовной статьи, а мы в очередной раз видим проникновение кибербеза в жизнь рядовых граждан.
Помните в детстве, лет с двух, мы начинали ждать Нового года? 🚗 Подарков, мандаринов, Деда Мороза, ёлку… 🪟 Всего того, что составляет новогоднее настроение 🔴
Потом мы взрослели и к 11-12-ти годам многие знали, что Дела Мороза 🤭 не существует и его роль играл отец или сосед, дядя Сережа🎩 Кто-то скрывал это знание еще пару лет, чтобы получать два подарка 🎁 от родителей вместо одного, но все равно, к 13-14-ти один из атрибутов новогоднего настроения уходил.
Становясь старше, уходили и остальные. Мы стали праздновать Новый год не дома, с друзьями 🥂 И вот уже подарки 🧸 мы дарим сами, мандарины покупаем сами, Снегурочка (а у кого-то и Дед Мороз) вызывает иные желания 🔞 И только ёлка 🎄 пока еще ждет нас там, куда мы приходим праздновать.
И вот мы становимся совсем взрослыми и понимаем, что все то, чего мы раньше ждали ⏰ как чуда, создавалось нашими родителями, и что не надо ждать ⏳ новогоднего настроения, надо создавать его самому 🥂 А кто-то до сих пор ждет, когда оно само
И ведь с ИБ все тоже самое. Не надо ждать 🥺, что она появится сама, ее надо создавать своими руками 🙌 И тогда произойдет чудо 👍
Остававшаяся годами нераскрытой тайна наконец-то раскрылась! Российской общественности удалось узнать, как умудряется Лукацкий писать ✍️ так много! Оказывается, У него есть "мини-он"! Пока полноразмерный Лукацкий выступает на мероприятиях, малая копия пишет тексты, ведет блог и Telegram-канал! 😎 А когда малыш устает, творить начинает старшенький. Вот и еще одна тайна осталась в прошлом! А мы с открытым глазами смотрим на новые и тоже будем их раскрывать!!! 🥂
Читать полностью…В Новый год все желают новых свершений. А я пожелаю вам отказа от чего-то старого, чтобы освободилось место для чего-то нового!
ЗЫ. Фоточка из архивов 🤭 Но в качестве Деда Мороза не я 😂
Кто-то ищет с помощью Shodan АСУ ТП, кто-то аэропорты, кто-то бордели. А вот тут кто-то нашел небольшой огородик ☘️ для разведения… помидоров 😂 OSINT в деле 🦋
Читать полностью…Долгие годы я готовил список крупных мероприятий 📣 по ИБ и публиковал его в блоге. Но в следующем году я решил его не делать. Хочу пересмотреть всю историю и не делать просто список того, что я субъективно считаю крупным 🎙
Ведь есть региональные мероприятия, о которых я часто не знаю. Есть мероприятия, которые хоть и крупные, но не стоят, чтобы их посещали 🚫 ввиду отсутствия хоть какой-то практической пользы. Есть мероприятия, которые я просто не хочу рекомендовать посещать 🖕
В конце концов, крупность мероприятия вообще не говорит о его пользе, а на фоне PHDays с его десятками тысяч участников, все остальное просто меркнет. Наконец, сейчас проходит такое количество мероприятий по кибербезу (по 2-3 каждый день), что тратить время на их поиск и составление списка я уже не могу (для этого есть и другие источники) 🔍
Поэтому в скором времени я запущу что-то иное, касающееся российских мероприятий по ИБ. Следите за анонсами!!! 🔄
❗️Новая волна атак хакерской группировки Core Werewolf
Под Новый год группировка решила провести ряд атак на российские организации, связанные с критической информационной инфраструктурой (КИИ).
Во время расследования одного инцидента команда PT CSIRT (подразделение экспертного центра безопасности Positive Technologies, PT Expert Security Center) зафиксировала рассылку от имени ФСТЭК с фишингового домена fstec[.]support. В письме находилась ссылка opk-pure[.]com/secur926545423. Она вела к архиву, внутри которого — самораспаковывающийся архив с именем «Меры. Список уязвимостей и принимаемых мер по их устранению.exe». Он содержал документ-заглушку и клиент UltraVNC с контрольным сервером strafiki[.]ru.
Индикаторы компрометации (IoCs)
fstec[.]support
opk-pure[.]com
strafiki[.]ru
🤔 Что за группировка
Core Werewolf занимается активным шпионажем: как минимум с 2021 года она предпринимает атаки на российские организации, связанные с оборонно-промышленным комплексом и КИИ. Судя по совокупности атак, группировка не поменяла свои методы.
🔐 Как защититься
⚠️ При получении писем от ФСТЭК России с дополнительными мерами защиты необходимо подтверждать факт их отправки специалистами ФСТЭК России по телефонам, определенным ранее для взаимодействия.
🧑💻 Для отслеживания подобных атак и реагирования на них мы рекомендуем использовать PT Sandbox (для выявления фишинговых писем), MaxPatrol EDR (для выявления киберугроз на конечных точках и реагирования на них), а также PT Network Attack Discovery (для контроля сетевых соединений).
📩 Для защиты от почтового фишинга следуйте стандартным правилам. Не открывайте подозрительные ссылки и вложения. Спросите себя: ожидали ли вы письмо от этого адресата? Входит ли обсуждаемый вопрос в вашу компетенцию? Есть ли в письмах подозрительные вложения, нехарактерные для переписки в вашей компании? Верная ли подпись в письме? Точные ответы на эти вопросы в совокупности со средствами защиты помогут более эффективно отразить атаку.
@Positive_Technologies
В 2012-м году, в канун тоже года дракона я писал письмо Деду Морозу 🎅 Почти такое же наивное, как и три года назад. Но все-таки… Но Дед Мороз так и не внял моим молитвам. До сих пор, наверное, ржет над большинством из них 😱 А я с тех пор писем Деду Морозу не пишу 😭
Читать полностью…Ну что, наступил последний рабочий день (если вы не аналитик SOC и вам "повезло" работать на выходных) 2023-го года. Вроде как принято подводить какие-то итоги и озвучивать планы на будущее. В этом году не буду отступать от традиций. Не знаю, будут ли еще сегодня какие-то серьезные посты, посмотрим! 🎄
Читать полностью…Коллегам из Сачка может это и не понравится, но голосование очень странное. Прошло 4 голосования, которые набрали следующее количество голосов:
🔣Telegram-канал года - 189 голосов (мой канал победил; мне приятно 🎆)
🔣ИБ-мероприятие года - 258 голосов
🔣Проект года - 2888 голосов
🔣Компания года - 10800+ голосов
Первые два - вполне себе нейтральные голосования и количество голосов там небольшое. На третьем пошла явная накрутка одного из участников. Ну а четвертое - это вообще за гранью 👿 На момент моего репоста вчера там было чуть больше шести тысяч голосов. Сегодня там почти 11 тысяч голосов!
Я скажу предельно откровенно - такое число голосов у нас в российском Telegram-ИБ-комьюнити невозможно. Даже когда мы с SecurityLab объединяемся в каком-то голосовании (то он меня репостнет, то я его), мы не набираем и половины от этого числа, а у нас две самых больших аудитории в Рунете по ИБ (еще есть Secator, но он не проводит своих голосований и не репостит чужие). Тут явная накрутка. А уж если посмотреть количество сердечек под постом с результатами голосования, то это лишний раз убедит нас в этом 😈
Вот поэтому я и не проводил в этом году голосования за "что-то года". Как только всплывает чей-то коммерческий интерес (а всегда приятно называться компанией года хотя бы по версии какого-нибудь Telegram-канала), то сразу всплывают накрутки, подкупы, нечестные голосования и вот это вот все. И ты либо делаешь абсолютно беззубые голосования, либо сталкиваешься вот с такими вот последствиями.
ЗЫ. Ну хоть в конце года деда в красном повеселили 😱
Смотрел я вчера старенький фильм "На грани" 🐻 с Энтони Хопкинсом и вспомнил ситуацию, в которую как-то попал и я, а именно отбился с товарищем от туристической группы и два дня мы были одни, без какой-либо помощи, без нормального снаряжения, а еще лил дождь. И вот это натолкнуло меня на мысль, которую можно применить в команде ИБ, особенно если вы ее руководитель, или вы ментор какого-либо специалиста по ИБ.
Нынешнее "поколение ЕГЭ" привыкает отвечать по готовым скриптам ☑️ и теряет способность искать ответы самостоятельно. Критическое мышление тоже куда-то улетучивается. Поэтому так важно воспитывать этот навык у своих "падаванов". И для этого можно дать несколько советов:
1️⃣ Регулярно "пропадайте". Когда ваш подчиненный понимает, что тот, в кого он верил, исчез, ему остается только верить в себя и начать хоть что-то делать, а не ждать, когда добрый CISO всех спасет и возьмет ответственность на себя.
2️⃣ Не надо обсуждать проблемы - обсуждайте способы их решения, которые предложил ваш подчиненный. Если у него нет решения, возвращаемся в начало этого пункта.
3️⃣ Совершенно неважно, насколько решение вашего подчиненного хорошо. Ваша задача - перестроить его мозги так, чтобы он был всегда способен искать и находить решения проблем. Да, ваш опыт часто позволяет вам найти решение лучше, но незашоренность может помочь найти нестандартное решение. Этот принцип особенно активно проявляется в штабных киберучениях, в которых я всегда с самого начала говорю, что нет неправильных решений.
4️⃣ Никогда не надо говорить, правильное решение или неправильное. ИБ - это не ЕГЭ, где все просто. ИБ - это жизнь и никаких заранее известных ответов часто просто нет. Фокусировать подчиненных надо на смысле решаемой задаче, а не конкретном решении. Сегодня оно такое, завтра совсем иное. ИБ вообще вариативная штука.
5️⃣ Пусть подчиненные сами оценивают свои решения. Со временем придет и опыт, и уверенность, и экспертиза. В ИБ часто надо самому брать ответственность за свои же решения и переложить ее на кого-то не удастся. Чем раньше подчиненные это поймут, тем лучше.
ЗЫ. Тоже самое работает и с детьми и со студентами 😊
ЗЗЫ. Да, совсем тупые тоже бывают и с ними эта великолепная пятерка не работает. Но тут уж вам не повезло ☹️
Европа 🇪🇺 активизировалась в части разработки собственного регулирования по ИБ. Татьяна Исакова написала заметку про европейский "250-й Указ", а я посмотрел на него чуть шире, захватив тему еще и NIS2. При этом тот же Solidarity Act я пока оставил в стороне. Про него еще есть что сказать отдельно ✍️
Читать полностью…Страшилки, конечно, это не лучший метод "продажи ИБ", но иногда и правда надо показать, что вот такое уже случалось с тем-то и тем-то. Поэтому базы инцидентов, сгруппированные по различным признакам, - это очень неплохой инструмент в обосновании своей позиции. Вот, например, база инцидентов ИБ в облаках. Проект достаточно свежий - стартовал в 2022-м году, что и обусловило наличие в нем инцидентов, начиная с прошлого года. Но в остальном, да если еще и обновлять будут (пока актуализируют), цены ему нет.
Читать полностью…