Microsoft пошла в атаку и обвинили Еврокомиссию 🇪🇺 в том, что это именно из-за нее произошел коллапс с обновлением CrowdStrike 🤦♂️ Связано это с соглашением об интероперабельности, которое было заключено в декабре 2009-го года между гигантом из Редмонда и Еврокомиссией и которое требовало обеспечить равные права на доступ к ядру ОС Windows 🪟 конкурирующих продуктов, включая и средства защиты. Речь идет о следующем пункте:
"Microsoft гарантирует на постоянной и своевременной основе, что API в операционной системе Windows Client PC и операционной системе Windows Server, которые вызываются программными продуктами безопасности Microsoft, документируются и доступны для использования сторонними программными продуктами безопасности, которые работают на операционной системе Windows Client PC и/или операционной системе Windows Server."
Генерального директора CrowdStrike вызвали в Конгресс США 🇺🇸 дать пояснения по поводу случившегося в прошлую пятницу 🫵 Можно было бы предположить, что американцы усилят контроль за технологическими компаниями, от которых стало зависеть очень многое, но до того ли им будет в условиях предвыборной гонки? 🏎
За всей этой историей с CrowdStrike затерялась новость, что Wiz, стартап по облачной безопасности, которого хотел купить Google 🌐 за 20+ миллиардов долларов, отклонил предложение американского ИТ-гиганта, решив самостоятельно выходить на IPO вместо продажи стратегическому инвестору 👎 Смелые и амбициозные ребята!
Попался мне тут в руки занятный отчет, который на фоне событий с CrowdStrike подсвечивает очень интересные моменты нашей зависимости от всего нескольких технологических компаний, атака (даже не их собственные косяки) на которых может привести к глобальному коллапсу или компрометации. Вот некоторые цифры:
1️⃣ Всего 150 компаний "отвечают" за 90% всех технологических продуктов и сервисов по всему миру!
2️⃣ 41% этих компаний имеют доказанные случаи компрометации хотя бы одного своего корпоративного устройства за последний год
3️⃣ 11% этих компаний имеют доказанные случаи атак шифровальщиков за последний год
4️⃣ 62% всех технологических продуктов и сервисов по всему миру сосредоточено в руках всего 15 компаний
5️⃣ Эти 15 технологических компаний имеют рейтинг ИБ (уровень защищенности) ниже среднего, что говорит о высокой вероятности возможной компрометации
6️⃣ Операторы шифровальщиков Cl0p, LockBit, BlackCat систематически нацеливаются на технологические компании и находят целевые устройства уже через 5 минут после их подключения к Интернет.
7️⃣ 75% всех атак на подрядчиков (цепочки поставок) нацелены на технологические компании и разработчиков ПО.
Советы для борьбы с такой зависимостью лежат на поверхности:
1️⃣ Составьте карту критически важных процессов и систем (целевых/ключевых), представляющих точки возможного отказа.
2️⃣ Поставьте эти системы и процессы на непрерывный мониторинг, а также включите их в контур анализа защищенности и оперативного устранения уязвимостей.
3️⃣ Автоматизируйте процесс обнаружения новых вендоров в инфраструктуре с помощью сканеров безопасности, средств класса NTA, CMDB-решений, SIEM и т.п.
4️⃣ Подготовьте план Б и протестируйте его, чтобы быть готовым к ситуации, когда что-то из используемых у вас решений будет скомпрометировано или выведено из строя.
Мы не всегда способны оценить каскадный эффект от уязвимостей, атак, действий или бездействий, с которыми мы сталкиваемся в нашей работе...
Читать полностью…Был я тут на мероприятии по искусственному интеллекту, где компании делились своим опытом и проектами, в которых демонстрировалась польза от ML для бизнеса 🧠 А я же человек занудный и стал спрашивать про защиту датасетов, контроль их целостности, безопасность моделей от манипуляций, проверку источников для скачивания моделей и другие неудобные вопросы ❓ А ответов-то у коллег и не было. Не думают они про это, считая, что все плюсы ИИ перевешивают все остальное. А я и не спорю, но и про ИБ забывать не стоит, чтобы в результате неконтролируемых манипуляций над ИИ-инфраструктурой не получить обратный эффект 🥴
Вот и Gartner тут говорит, что 30% компаний, внедривших у себя ИИ, столкнулись с атаками на свою ИИ-инфраструктуру. Причем как изнутри, так и снаружи 🤬 И здесь бы ИБ подсуетиться, а не выносить этот сегмент из под своего контроля, как это часто бывает. Но подсуетиться грамотно, с учетом специфики ИИ-разработки, а не "тупого" применения сертифицированных средств защиты от НСД в инфре, для этого непредназначенной.
Попробовал подсобрать главное, что известно про инцидент с CrowdStrike. Что случилось, причем тут Azure, кто пострадал, когда все восстановится, каков ущерб 💥, а что в России, импортозамещение рулит, можно ли было предотвратить, почему это произошло, а может это хакеры, реакция хакеров 👨💻 на инцидент, как отреагировали регуляторы, как сделать, чтобы это не повторилось, что будет дальше... Вот вопросы, которые я рассмотрел в заметке ✍️
Читать полностью…Пока все осмысливают решение Байдена об отказе от участия в президентских выборах, в конце дня воскресенья нельзя не написать о зубной фее 🧚
Читать полностью…Очередной образчик кейса "фейковый босс" 🥷 Сначала вам пишет якобы начальник, который сообщает, что надо помочь ФСБ расследовать важное дело. А потом к вам приходит этот самый сотрудник 👮 и, конечно, для доказательства своей личины, показывает приказ с девятизначным номером, подписанный "посредством зашифрованного Канала Связи". Но что-то выдавало в письме то, что это фейк 😊 Но я не буду, как в банках, показывать 10 признаков фальшивых купюр. А то "плохие парни" быстро научатся клепать "более настоящие" приказы... 👮♀️
Читать полностью…Новые технологии — новые способы развода
Мошенники сейчас активно используют искусственный интеллект в своих целях. Уже можно подделать голос человека и сгененрировать от его имени голосовое сообщение, чтобы выманить деньги от его знакомых.
VIce нашёл скамеров и предложил им составить список новых схем с применением технологий. Для понимания, вот вам портрет одного из «источников»: бухгалтер из Лондона, который любит заниматься интернет-мошенничеством «на фрилансе». А список вышел такой:
1️⃣ Голосовой чат-бот под видом врача
Один источник рассказал, что он с товарищами создал чат-бота, которому «скормил» сотни часов лекций, интервью и подкастов известных психотерапевтов. А затем стал искать реальных клиентов, создав вымышленному психотерапевту лендинг с поддельными рекомендациями и наградами. Терапевт принимал только аудиозвонки — но многих клиентов это не останавливало.
2️⃣ Продажа несуществующих товаров
Другой мошенник генерирует с помощью ИИ фотореалистичные изображения товаров и выставляет их на платформах объявлений с предоплатой. По его словам, это различные бытовые вещи: ИИ генерирует ему детскую кровать в стиле звёздных войн, причудливую мебель с обивкой, на которой изображены коты, и прочие фантазийные вещи. В каких-то случаях вещь уходит клиенту — правда совсем не та, что на картинке. В других — не отправляется совсем ничего.
3️⃣ Бесплатный Wi-Fi в мышеловке
Фейковые сети Wi-Fi популярны как никогда, особенно в туристических местах. Мошенники создают сеть Wi-Fi без пароля, маскируют её под сеть близлежащего Starbucks — и доступ к конфиденциальной информации у них в руках.
4️⃣ Оплата по QR
Мы уже так привыкли к QR-кодам — расплачиваться в магазинах и кафе, переводить чаевые, читать дополнительную информацию о продуктах и услугах. Так вот, мошенники находят способ незаметно приклеить изображение своего QR-кода рядом с кассой, паркоматом, на заправке. Фишинговый сайт запросит данные об оплате — и вуаля.
5️⃣ Виртуальные экскурсии
Ещё в пандемию особой популярностью стали пользоваться различные онлайн-туры, чтобы не выходя из дома погулять по древним достопримечательностям и музеям. Один из мошенников создал сайт, который предлагает подобное за небольшую плату. Экскурсии там правда есть — найденные в интернете рандомные лекции об известных местах. Получается своеобразный win-win: покупатель получил какую-никакую экскурсию, а мошенник — данные его банковской карты.
Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных со сбоем после обновления ПО CrowdStrike
Читать полностью…Тут иногда возникает вопрос: "А зачем вообще фокусироваться на чужих отчетах со статистикой по ИБ?" А все просто. 97% всех ИБшников не всегда уверены в своих решениях и хотят убедиться, что они что-то делают правильно, что так делают и другие. Поэтому статистика - это некий ориентир 📌
Если вы попадаете "в большинство", то можно не переживать - большинство не может ошибаться (на самом деле может) 🥇 Если в меньшинство, то не надо сразу думать, что вы аутсайдер; хотя это и возможно. Но может вы просто консерватор и пока еще не делаете всё, как все. А может вы в числе инноваторов и делаете что-то, что станет мейнстримом попозже. Вспомните кривую инноваций (она же кривая принятия, она же кривая Роджерса) - она хорошо показывает эту идею 💡
Поэтому я и уделил столько внимания отчетам SANS по SOCам и автоматизации последние пару дней. Кстати, если вы просто смотрели на эти циферки 📈 и мои комментарии к ним в моем канале, то вы обычное большинство. Если вы хотите почитать сами отчеты, а "их есть у меня", - вы ранние последователи и хотите попробовать что-то, чего еще не делает большинство 😇 Ну а если вы инноватор, то сдам вам ссылку (https://drive.google.com/drive/folders/1dx3hblisYUno9_u1CmS-2jlaSGbBFZyP) на все сырые данные по отчету по SOCам, которые вы можете загрузить в Jupiter Notebook и сами поработать с ними, провести анализ, поискать взаимозависимости и т.п. 🤓
Т-Банк открыл доступ к своей фрод-рулетке «Ловушка для мошенников» 📞 Хотите развести разводил? Устали играть в сервис общения с вымогателями ChatGPT? Попробуйте пообщаться с живыми преступниками 📞 Добавь адреналина, отточи разговорные навыки, разбавь серые будни…
ЗЫ. Надеюсь сайт настоящий 🎭
В Cisco'вском чатике пару дней назад зашел разговор о NGFW 🤬 и двое коллег, вдруг, поделились тем, что их компании скоро выпускают NGFW, которые "прям огонь" и всех порвут на рынке. Интересно, что в сегодняшнем списке TAdviser этих вендоров нет, хотя сами компании прям на слуху 🤨
А вчера имел беседу, в рамках которой прозвучала мысль, что надо по примеру Минцифры, которое официально поддерживает только 3️⃣ операционные системы, и ИБ-регуляторам (или тому же Минцифры) поддержать только три NGFW из 40 создаваемых в России, а остальные и запретить можно, чтобы не распылять ресурсы разработчиков на проекты, которые никто не поддерживает 🤔 Интересная идея. Полдня думал, кто же может претендовать на оставшиеся 2 позиции поддерживаемых государством NGFW?.. Пока нет явных кандидатов ⏳
Но идея ограничить число разрабатываемых средств защиты каким-то вменяемым числом не дает мне покоя... Если она пройдет на уровне Григоренко, то жить станет веселее... Всем 😵💫
Больше инструментов в SOCе - больше ресурсов требуется на анализ и реагирования, что приводит к задержкам в реакции на действия хакеров ⏳ Конечно, хочется иметь много всяких игрушек внутри SOCа, но это и имеет свою обратную сторону, повышая и затраты на внедрение и эксплуатацию, и требования к персоналу, и требования к необходимости автоматизации, и... что уж греха таить, вероятность пропуска инцидента и реализации им негативных последствий для бизнеса 🎮 Согласно отчету SANS по автоматизации, больше всего времени отжирают облачные и сетевые сигналы тревоги, а также алерты от средств управления аутентификацией. Учитывайте это при проектировании SOC 💡
Читать полностью…Вот когда от аналитиков SOC понадобится более быстрая реакция, а время детекта будет измеряться не минутами, а секундами ⏳ или даже долями секунд, тогда надо будет и такие тесты включать в программу подготовки аналитиков SOC! 🔍
Читать полностью…Тут в одном отчете наткнулся на интересный список вопросов, которые топ-менеджеры 🧐 задают своим CISO.
1️⃣ Управление рисками и готовность к инцидентам ИБ:
➖ Мы защищены?
➖ Мы готовы к тому, чтобы справиться с инцидентами ИБ?
➖ Каково текущее состояние нашей безопасности?
➖ Каковы наши реальные приоритеты в области управления рисками ИБ?
➖ Как мы решаем вопросы остаточных рисков?
➖ Какие новые угрозы возникают, и готовы ли мы с ними бороться?
➖ Как внешние инциденты влияют на нашу способность управлять рисками и защитные меры?
➖ Какой из проектов, над которыми вы работаете, окажет наибольшее влияние на улучшение состояния ИБ?
2️⃣ Процессы:
➖ Соответствуем ли мы отраслевым стандартам?
➖ Что мы не делаем?
➖ Как мы можем ускорить исправление уязвимостей и улучшить показатели Click-to-Rate в борьбе с фишингом?
➖ Достаточно ли мы используем возможности автоматизации?
➖ Как мы вы можете доказать, что мы улучшили нашу безопасность?
➖ Как совет директоров может помочь программе безопасности?
3️⃣ Бизнес:
➖ Мы помогаем решать задачи ИБ для клиентов и поставщиков?
➖ Мешает ли обеспечение безопасности другим бизнес- или IT-инициативам?
➖ Каковы бизнес-преимущества и негативные последствия от нашей программы кибербезопасности?
4️⃣ Соответствие требованиям:
➖ Насколько мы соответствуем требованиям законодательства?
➖ Есть ли новые требования законодательства, о которых нам нужно знать?
5️⃣ Ресурсы:
➖ У нас есть ресурсы, необходимые для обеспечения ИБ?
➖ Как мы можем продемонстрировать ROI, чтобы обосновать увеличение штата?
➖ Достаточно ли мы инвестируем в нужные инициативы по кибербезопасности?
А вы готовы ответить на эти вопросы? А вдруг вас спросят?! 🫵
По мере расширения сферы импортозамещения у нас будет меняться не только ландшафт применяемого ПО, но и уязвимости у нас со всем миром скоро будут разные 🤜 Если не все, то их часть точно. И так как ежедневно (на текущий момент) обнаруживается 115 уязвимостей в день, то надо их каким-то образом приоритизировать. Есть куча стандартов и фреймворков для описания этого процесса, но один из достаточно простых способов - ориентироваться на так называемые трендовые уязвимости 🗡
Но... трендовая уязвимость - понятие не универсальное. У нас 🇷🇺 это один перечень, в США 🇺🇸 другой, в Китае 🇨🇳 третий. Поэтому нужно оценивать трендовость там, где у вас точки присутствия. Есть, например, проект https://cvecrowd.com, который собирает уязвимости, активно обсуждаемые в Fediverse (это набор соцсетей, которые умеют коммуницировать друг с другом по общим протоколам, самой популярной из которых является Mastodon). Раньше еще был схожий проект https://cvetrends.com/, но из-за ограничений по работе с API Twitter, он умер 📱 Есть каталог KEV от CISA, который ориентирован на американский ИТ-рынок. В России есть регулярная публикация трендовых уязвимостей от Positive Technologies 🟥, а есть список наиболее опасных уязвимостей от ФСТЭК (правда, тут не совсем трендовые, а просто дыры с высоким CVSS).
Вроде это (ориентация на локальный список трендовых уязвимостей) очевидно, но я решил все-таки об этом напомнить. Тем более, что в CVE вряд ли будут попадать уязвимости отечественных ИТ-продуктов и ориентация на зарубежные списки приоритетных уязвимостей может увести нас по ложному следу 👣
ЗЫ. А вообще я скоро выложу обзор полутора десятков методов приоритизации уязвимостей, который я готовил для портала "Резбез" и мне надо было просто его прорекламировать ☺️
Обновил заметку про обучение аналитиков SOC, добавив еще два курса для специалистов по мониторингу, которые можно пройти в России 🧑💻
Читать полностью…Правильный ответ вчерашнего утреннего квиза - Panasonic. Да, когда я это узнал, а это данные патентного бюро Японии за период с 2000 по февраль 2024 года, я тоже был удивлен 😳 Но в реальности, у них действительно много всяких проектов вокруг Internet of Things, где они что-то делают с точки зрения ИБ. Например, VERZEUSE™ for Runtime Integrity Checker для защиты автомобилей 🚗 от кибератак. Есть решения для безопасности цепочек поставок и т.п. Всего 2️⃣6️⃣2️⃣0️⃣ патентных заявок!!!
Допускаю, что там много всякой мелочевки среди этих двух с половиной тысяч заявок, но патентование - это важная штука для международных компаний ☝️ Лучше уж затраты на патент, чем на патентных троллей или конкурентов, обвиняющих тебя в краже интеллектуальной собственности, как в недавнем кейсе Wiz, которую хочет купить Google за 20+ миллиардов долларов (и кто знает, как судебное разбирательство Wiz и Orca повлияет на эту сделку) 🌐
Британец рассказал, что он и его жена смогли отговорить дочь ставить камеру, чтобы заснять зубную фею под предлогом того, что это нарушает GDPR (Общий регламент по защите данных). Фею нельзя снимать во время выполнения работы без её согласия. В комментарии пришёл официальный аккаунт Управления информационного комиссара и подтвердил информацию.
К слову о том, как адвокаты напрягают своих детей.
Зашел на сайт называется... Владельцы его пекутся о моей приватности и поэтому продают данные 1568 партнерам. И кнопки "Reject all" нет 🤠 И зачем я включил европейский VPN?..
Сидел бы на американском VPN 🛡 - вообще не видел бы таких предупреждений. У них же нет своего GDPR и уведомлять клиента о том, что его персданные хотят 🫵 получить тысячи (без преувеличения) компаний, не надо. Поэтому серфишь в Интернете безмятежно ✨ И в российском сегменте Интернет все тоже самое. Ну требует РКН плашку всплывающую про куки показать, да и пофиг. Кто на нее вообще обращает внимание. А тут волнение одно, пульс учащается, сердцебиение начинается, одышка... Одни мучения от этой вашей приватности. То ли дело другие страны 🌐
🔴На новой гостевой форме «Рубина» вшиты имена и фамилии каждого болельщика, которые покупали абонементы за последние пять лет
Так казанский клуб решил поблагодарить фанатов, которые были с «Рубином» не только во время успехов, но и ходили на матчи команды в ФНЛ 👏🏻
⚫️ Футбол России
Фраза:
"Мы уверяем наших заказчиков, что CrowdStrike функционирует нормально и эта проблема не затронула наши системы, обслуживающие платформу Falcon" ("We assure our customers that CrowdStrike is operating normally and this issue does not affect our Falcon platform systems"),
Офигенные дни для отрасли ИБшного маркетинга, PR и просто любителей пошутить 🤡 Кто-то отрывается в создании мемасиков, кто-то дает комментарии СМИ (я вчера побывал на трех прямых эфирах на ТВ и радио, дал с десяток комментов 🎙 для бизнес- и отраслевых СМИ в России и на Ближнем Востоке, а еще случайно выступил на английском в прямом эфире ТВ, хотя предполагалась запись и на русском 💪).
Очень непростые дни у PR и антикризисного комитета CrowdStrike, которые отбиваются от журналистов, блогеров и других инфлюенсеров, стараясь дать выверенные ответы, которые не уронят акции Crowdstrike еще больше 📉 (в пике было -21%) и не повлекут многомиллиардные иски, которые уже планируются 👩⚖️ Это офигенная школа для любого пиарщика, но не знаю, хотел бы я в этот момент быть в такой компании 🤔 это вам не мемасики генерить 🤠
Также Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных с покушением на Дональда Трампа, извержении вулкана в Исландии, выбросившихся на берег в Испании китов, уязвимостей CVE-2021-3773 и CVE-2024-38211, а также о сотнях других событий, которые происходят в мире, но которые не имеют никакого отношения к Роскомнадзору!
Читать полностью…Тут в SOCовском чатике задали вопрос: "Хочу писать все события на Linux. С помощью чего это лучше делать?" 👨💻 В отношении SIEM это тоже часто звучащая дилемма - какие события писать в SIEM? Все или выборочно? Если все, то нужно иметь немаленького размера ЦОД, чтобы хранить все события в течение длительного времени. И за лицензию на SIEM надо переплачивать, если схема лицензирования подразумевает оплату за объем хранения. А это приводит к разрастанию совокупной стоимости SIEM 🤑
Отчет SANS по SOCам дает нам ответ и на этот вопрос. Максимальное число ответивших на этот вопрос респондентов (152) шлют в SIEM все, что они покрывают системой мониторинга 👀 На втором месте (110) те, кто собирает в SIEM события на основе риск-ориентированного подхода, стараясь в качестве основы для выборки событий взять серьезность угроз, подлежащих обнаружению и реагированию.
Третье и четвертое место с незначительным отрывом друг от друга (40 и 38 респондентов) заняли сбор событий только с приоритетных (я бы сказал целевых/ключевых) систем и сбор событий в зависимости от use case / detection engineering 💡 Лично мне больше нравится как раз последний подход, так как он позволяет сбалансировать финансовые затраты с эффективностью мониторинга ИБ. Хотя, конечно, если у вас куча денег, то можно писать все, лить в озеро данных и там уже анализировать по мере необходимости 🙌
Подписчик, за что ему спасибо, прислал фрагмент интересной переписки с мошенниками, которые предлагают практически 100%-й 💯 выигрыш на аукционе на поставки средств защиты информации на электронной торговой площадке 🛒 А потом всплыл другой кейс - с мошенничеством с торговыми ботами 🤖 И мне показалось, что можно эти две истории объединить, что я и сделал. И это в копилку историй, когда чисто инфраструктурная ИБ и даже защита от ботов в WAF не всегда помогает.
Читать полностью…Какими возможностями по реагированию на инциденты меньше всего удовлетворены ИБшники? В пятерку входят:
1️⃣ Реверс-инжиниринг вредоносного ПО. Да и хрен с ним - отдайте это специализированным компаниям. Все равно удержать такого специалиста будет не под силу 99% компаний. Им просто не найдется такого количества интересной работы и он все равно свалит.
2️⃣ Обманные технологии. Ну тут вообще без комментариев. Вы сначала базовые компоненты SOC внедрите, EDR и NTA, а уж потом о deception/decoy/honeypot думайте...
3️⃣ Отслеживание кампаний и атрибуция угроз. А на кой она вообще нужна? В большинстве случаев лишнее это.
4️⃣ Реверс-инжиниринг железа. Заказчикам - это вообще не надо, не потянут они такую лабу. Я имею представление о "железной" лабе Позитива и могу уверенно говорить, что это как реверсингом малвари, только дороже во много раз.
5️⃣ Реагирование на основе пдейбуков. Ну еще бы, вы пробовали автоматизировать плейбуки с помощью no code/low code конструкторов в SOAR? Поэтому некоторые вендора либо GenAI начинают использовать для автоматизации создания плейбуков и работы по ним, а некоторые и вовсе идут в сторону автопилота.
А еще на этой гистограмме показано, как их НЕ НАДО делать 🤦♂️ Ну кто для отрицательных значений использует зеленый, а для положительных - красный? (красный - он для позитивных 🥰) Надо было с точностью до наоборот все делать: красный для "не удовлетворен", а зеленый - для "удовлетворен". Всему этих американцев учить надо... 🫵
А вот кому европейского 🇨🇭 взгляда на то, как устроен китайский 🐉 рынок CTFов, программ Bug Bounty и иных способов прокачки хакерских скиллов в Поднебесной? 🖥
Читать полностью…