На RSAC, которая была во многом посвящена ИИ 🧠, эксперты задавались вопросами о том, насколько можно доверять моделям ИИ и как их защищать от различных атак. Вот одна из матриц оценки рисков для публичных, частных, но выложенных в паблик, и закрытых моделей машинного обучения. Чем-то похожа на баталии сторонников open source и проприетарного ПО ⚔️
Поэтому в тему еще один анонс с RSA - Cloud Security Alliance 🌦 выпустил 4 руководства по внедрению ИИ:
➖ AI Organizational Responsibilities - Core Security Responsibilities,
➖ AI Resilience: A Revolutionary Benchmarking Model for AI
➖ Principles to Practice: Responsible AI in a Dynamic Regulatory Environment
➖ Confronting Shadow Access Risks: Considerations for Zero Trust and Artificial Intelligence Deployments
Когда Комиссия по ценным бумагам США (SEC) ввела требования по отчетности о серьезных инцидентах, то никто не думал, что с требованием определения "серьезности" возникнут вопросы, но они возникли 😔 Какие критерии "серьезности"? Где та грань, когда бизнес должен начать сушить сухари напрягаться? 😦
На RSAC про это было несколько докладов, где разные консультанты, включая и сотрудников SEC разъясняли правила, когда "да", а когда "нет". Я когда слушал это все, у меня прям дежавю было. Примерно тоже самое было, когда Минцифры ввело требования по недопустимым событиям в некоторые свои документы. И ровно та же история развивается у англичан (я писал про это тут и тут) 🫡
Есть у меня стойкое подозрение, что эта тема, когда от всех киберугроз надо защищаться, но от тех, которые несут катастрофические последствия для бизнеса, особенно, будет только разрастаться 😎 По мере того, как число инцидентов только растет, жертвами становятся все, а ряды хакеров пополняются все новыми и новыми добровольцами, надо уметь вычленять главное, что может поставить компанию на грань катастрофы, остановить критические процессы, повлиять на финансовое положение или нанести серьезный ущерб клиентам 💥 Поэтому историю с определением серьезных|катастрофических|недопустимых последствий|событий сбрасывать со счетов как нечто ситуативное нельзя - эта тема с нами надолго.
ЗЫ. На картинке категории, в которых могут произойти серьезные последствия, о которых надо сообщать в SEC. Как по мне, так перечень явно неполный. В вебинаре, который я проводил, список гораздо больше 🤠
ЗЗЫ. На PHD2 у нас будет закрытый воркшоп по тому, как выбирать такие события, но он уже забит под завязку и я даже не буду давать ссылку на него 😇
Пока мы ждем, когда регуляторы опубликуют обещанные требования по безопасности подрядчиков и контрагентов, вот вам список иностранных фреймворков по защиты цепочек поставок:
1️⃣ OpenSSF sigstore
2️⃣ SLSA
3️⃣ Microsoft S2C2F
4️⃣ NIST C-SCRM / SP 800-161
5️⃣ NSA ESF (Enduring Security Framework)
6️⃣ UK Supplier Assurance Framework
7️⃣ MITRE System of Trust (SoT) Framework
8️⃣ ISO/IEC 20243-1:2023 и ISO/IEC 27036
9️⃣ SCS 9001 Supply Chain Security Standard
1️⃣0️⃣ OWASP Software Component Verification Standard (SCVS)
1️⃣1️⃣ Google’s software delivery shield (trusted OSS)
1️⃣2️⃣ IETF SCITT
Южнокорейский специалист по кибербезопасности был осужден за взлом 🖥 более 400 тысяч видеокамер в 638 жилых комплексах и продажу видео и фотографий личного, в том числе сексуального характера. Взаимодействие хакер-ИБшник вел через Protonmail, но как мы видели совсем недавно, владельцы якобы защищенного почтового сервиса 💬 готовы сотрудничать с полицией и раскрывать персональные данные отдельных своих пользователей. В данном кейсе не раскрывается как полиция 🇷🇺 узнала личность преступника, но факт есть факт.
Другой занятный факт, что южнокорейский специалист за пару лет до опубликования в даркнете предложений о продаже чувствительных фото- и видеоматериалов 👁 давал интервью о том, насколько легко можно взломать домашние системы видеонаблюдения и что даже школьник с базовыми знаниями ПК сможет сделать это 🎩
Защита подсудимого утверждала, что ИБ-специалист таким образом продемонстрировал уязвимость системы видеонаблюдения и поэтому должен быть оправдан, так как сделал благое дело. Но суд посчитал эти доводы несуразными, так как хакер пытался извлечь выгоду из взлома, что точно говорит не о благородных помыслах преступника. В итоге он получил 4 года тюрьмы 🏴☠️, запрет на 4 года работать в учреждениях, связанных с детьми, молодежью и инвалидами, а также требований пройти программу по предотвращению сексуальных преступлений 🔞
🔥 Вся программа киберфестиваля Positive Hack Days 2 — на нашем сайте
В течение четырех дней вас ждут более 20 крутейших треков о кибербезопасности, разработке, бизнесе, а также увлекательная научно-популярная программа.
🛰 Напомним, что научпоп-сцену «Спутник» смогут посетить бесплатно все желающие. Больше про открытую зону киберфестиваля вы можете узнать в канале @PHDays.
🎫 Для посещения других треков необходимо приобрести билет на нашем сайте, сделав взнос в фонд «Подари жизнь» (минимальная сумма — 1000 рублей).
👀 Посмотреть программу (спойлер: еще будут дополнения, но основная часть уже опубликована)
До встречи с 23 по 26 мая в «Лужниках»!
P. S. Смотреть трансляции почти со всех треков можно будет и онлайн без регистрации и смс, но рекомендуем увидеть весь масштаб вживую 😉
@Positive_Technologies
#PHD2
Красивая подмена понятий от Сергея Солдатова происходит прямо сейчас в его канале. Если я в своем предыдущем посте достаточно ясно написал, что речь идет о смартфонах ☎️ и мобильных вредоносах, то Сергей 3/4 поста посвятил теме (не)безопасности мобильных АРМ 🖥, которые затем, с его же легкой руки, уравнялись со смартфонами.
Я, конечно, ненастоящий сварщик, но уравнивать свои ноуты на macOS 🍏 и Windows 🪟 со смартфоном на iOS 📱 я не могу и не буду. Более того, я предположу, что для них не только вредоносы, но и сами техники атак разные. Даже для macOS и iOS, которые вроде как от одного производителя. И безопасность удаленных рабочих мест 😷 и безопасность смартфонов - это, как говорят в Одессе, две большие разницы. И по возможностям атакующих, и по возможностям защищающихся.
PS. А про безопасность удаленных рабочих мест я сам десятки раз выступал - и во время COVID-19, и до него, и после.
Прямо в постели задержан руководитель Главного управления кадров Минобороны России, генерал-лейтенант 🇷🇺 Юрий Кузнецов. Задержание связано не с его кадровой деятельностью, а с периодом с 2021 по 2023 год, когда он возглавлял 8-е управление Генштаба (Службу защиты государственной тайны Вооруженных сил России), которое занимается вопросами информационной безопасности в войсках. Ему вменяют получение взятки 💸 за помощь пока неназванным коммерческим структурам. Во время задержания у него изъято более 100 миллионов рублей 😲
Читать полностью…👊 Зачем синим командам участвовать в кибербитве Standoff?
Решили спросить об этом у них самих и сняли серию интервью, в которых Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, задает защитникам каверзные (и не очень) вопросы.
В первом выпуске говорим с Дмитрием Балдиным, заместителем директора департамента ИТ и цифрового развития, и Егором Тихоновым, заместителем начальника корпоративного SOC компании «РусГидро», команда которой впервые участвовала в кибербитве прошлой осенью. Еще один важный гость — Елена Молчанова, бизнес-лидер киберполигона Standoff.
Обсудили, чем кибербитва Standoff напоминает курсы вождения и для чего компании приходят на нее с собственной инфраструктурой. Поговорили о том, как состязание помогает подружить сотрудников ИБ и ИТ, нужно ли синим готовиться к нему заранее и чего им не хватает на полигоне (спойлер: массажиста и возможности атаковать красных в ответ).
Бонус — фановые истории и байки со Standoff 12. Ищите интервью целиком по ссылке, вдохновляйтесь и приходите смотреть Standoff 13 в «Лужники» 23–25 мая!
Если я буду обновлять свою статью про будущее 🔮 платформ анализа данных безопасности, то добавлю туда примеров разных стартапов, которые добавляют разные кусочки в общий пазл - в части ETL, в части аналитики и детекта, в части хранения данных, в части реагирования, в части визуализации, в части прогнозирования атак и инцидентов 🖥
На RSAC и GISEC я вытащил немало новых имен. Не все из них, конечно, выживут или доживут хотя бы до выставок следующего года, но часть из них вполне способна выйти из категории только что вылупившихся птенцов и пойти дальше 🐣 На грядущем PHD2 будет целый однодневный трек, посвященный будущему SOCов, на котором, среди прочего, будут обсуждать и этот вопрос.
Инструмент моделирования угроз по методике STRIDE с применением... та-дам... ChatGPT 🧠 Совсем уже обленились. Все как в советском мультфильме "Вовка в тридевятом царстве":
- А вы и есть за меня будете?
- Ага...
Путин внес в Совет Федерации кандидатуры руководителей силового блока 🇷🇺 и министерств, которые подчиняются непосредственно ему. И только по ФСТЭК пока ничего непонятно ☺️ Особенно учитывая, что ФСТЭК единственная осталась под МинОбороны (ФСВТС выведена из под него и подчиняется теперь 🎩 непосредственно Президенту, а руководит ею будет Шойгу, как и СовБезом), а министр обороны у нас сменился 👮
Читать полностью…React, nodejs, docker, no hassle, typescript… Это если вдруг вам интересно, на чем пишут шифровальщиков, как минимум, их консоли управления 🖥 Ну и стоимость…
Если вспомнить мои лекции по стоимости информации 💸, то из поста сложно понять, какая это стоимость. Если ликвидационная, то группировка прощается с нами. А может это стоимость использования, которая оценивается самим пользователем в его контексте и с учетом его ограничений? 🍿 Наконец, мы не знаем метод оценки. Вряд ли использовался затратный метод, например, метод исходных затрат или метод стоимости замещения. Доходный метод тоже вряд ли - на этом коде заработали больше 🤑 Возможно тут и вовсе надо быстро сбагрить код с рук и заработать на нем хоть что-то, если он уже утек, но это еще не стало достоянием гласности. Или кто-то его просто стащил и хочет нажиться, не понимая истинной цены того, что попало в руки... 😱
Видите, как много неопределенностей всего в одном объявлении в даркнете... Именно поэтому так сложно оценивать стоимость защищаемой информации 🤷♀️
Ну и чтобы тему с GPS 🛰 закрыть на сегодня. Если вдруг у вас теряется или сбоит GPS, то не спешите обвинять хакеров. Возможно, это магнитная буря пятого (G5) уровня💥 Отслеживать их можно на сайте Института космических исследований. Возможные последствия описаны там же.
Не так чтобы это было прям по ИБ, но это одна из возможных причин наступления события, которое может попасть в прицел ИБ. Ну, примерно, как неработающий Интернет 🛜, причиной чего может быть DDoS, а может и перерубленный экскаватором кабель.
Теперь и вы обладаете этим ценным знанием. А я пойду блесну в дачном чатике, где уже пару дней идет срач на тему «почему мерцают лампочки 💡 на отдельных фазах».
Интересно, много ли в Израиле 🇮🇱 компаний, который одновременно работают в области нацбезопасности, АСУ ТП и кибербезопасности?.. 🤐 А ценник очень небольшой!
И это не Zscaler и не Dell, взломанные недавно. Число ИБ-компаний, а также имеющих к ним регуляторов (Европол, а также ФБР, про которую вроде тоже написали, что взломали, 🔓 но там пока все как-то тухло с доказательствами и признанием), что-то опять стало расти. Расслабились все, деньги на маркетинг для RSAC тратят, а не на собственную ИБ. Вот и получается "сапожник без сапог" 🫡
Диалог на RSAC:
- Кто больше всех выиграл от проведения RSA Conference?
- Регистраторы доменов в зоне .ai 🧠
Предпочтительные (сверху вниз) способы обеспечения конфиденциальности структурированных и неструктурированных данных 🤒 - от токенизации до шифрования. Такой стратегии придерживается американский банк CapitalOne с базой в 100 миллионов клиентов. Интересно, что при всей развитости российской криптографической школы большинство представленных на нашем рынке решений - это последние две строчки в списке и касаются они преимущественно шифрования в процессе передачи данных, то есть VPN 🛡
Решения по шифрованию на уровне файлов, которые бы соответствовали не очень прозрачным требованиям регуляторов 🇷🇺, зависят больше от операционной системы (если закрыть глаза на требования, то решений немало, в том числе и встроенных в ОС). Решений по шифрованию на уровне сообщений и полей БД у нас практически нет. Хорошо хоть токенизацию никто не стандартизует и не регулирует пока; но это не точно! 😦
MITRE открыла модель угроз для встроенных систем, о которой я уже писал, и которая ориентирована на производителей устройств и владельцев таких систем, часто используемых в критических инфраструктурах 🏭
Читать полностью…Так как Microsoft 🪟 тут вновь разрешила обновления для россиян без использования VPN, то стоит обновиться, особенно Outlook из Office 2016, 2019, LTSC 2021 и Microsoft 365 Apps for Enterprise для архитектур x86 и x64. Ценник в 1,7 миллиона долларов (без скидки), конечно, высокий, но покупатели найдутся, учитывая распространенность продукции Microsoft у лакомых для любого хакера заказчиков 😷
ЗЫ. Ну и не забудьте на мониторинг поставить узлы с Outlook.
Если вдруг вы решите, что жить не можете без очередного 🏅 сертификата и он обязательно должен быть про безопасность искусственного интеллекта и международно признанным, то вот вам список текущих сертификаций специалистов в области ИБ ИИ:
🔤 GSDC Generative AI in Risk and Compliance Certification
🔤 IAPP AI Governance Professional Certification (и тренинг к ней)
🔤 IEEE Certified Authorized Assessor Training
🔤 ISACA AI Fundamentals Certificate
🔤 SANS Institute AI Security Essentials for Business Leaders
🔤 Securiti.AI AI Governance Certification
🔤 Tonex Certified AI Security Practitioner
Да удастся вам соединить два интеллекта - искусственный 🧠 и естественный 🤯
Производители средств защиты мобильных устройств 📱 предсказуемо твердят об опасности мобильных вредоносов 🦠
Я, если честно, ни разу не сталкивался с этой угрозой за почти три десятилетия использования мобильных устройств. Один раз у меня смартфон украли и, пожалуй, все. Но это из области психологии восприятия рисков уже - то, с чем никогда не сталкивался, всерьез не воспринимается, а статистика говорит, что есть и более актуальные проблемы, чем мобильный апокалипсис 📱
Но если у вас на мобилки завязаны бизнес-процессы или вы оказываете услуги ИБ топ-менеджменту, то вам актуальны решения класса MTD, MDM (в России их, правда, всего одно или два).
ЗЫ. Есть еще и всякие Pegasus'ы и Триангуляции, но это особый случай. Лично я пока не диссидент и не дипломат 🙄, чтобы на них закладываться.
Интересный и, я бы даже сказал уникальный, кейс. Генерального директора ИБ-компании судят за ложь в отношении продуктов его компании, а также за введение в заблуждение относительно его предыдущего опыта 🎩
Джек Блаунт, бывший CEO публичной компании Intrusion Inc., нарушил антимошеннические правила законодательства о ценных бумагах (Securities Exchange Act и Securities Act). В мае 2020-го года Блаунт и его компания начали рекламировать решение Intrusion Shield 🛡, в рекламе которого были сделаны некорректные заявления о продукте, опыте CEO (якобы он был гендиректором в пяти компаниях и CIO в американском Минсельхозе) и клиентах компании, которые якобы после бета-тестирования купили Intrusion Shield, что также было ложью (часть якобы купивших 🤑 были связаны родственными или бизнес связями с Intrusion Inc., а часть тестировала решение и вовсе у себя дома, а не на работе).
Все это было сделано с одобрения Блаунта, что и стало основанием для его увольнения в 2021-м году и последующими претензиями со стороны Комиссии по ценным бумагам 💸
🍷 Британская фирма объявила в своей Политике конфиденциальности о намерении вручить бутылку хорошего вина «первому человеку, который прочитает это», — The Independent
Компания Tax Policy Associates добавила этот пункт в качестве эксперимента, чтобы проверить, прочтет ли кто-нибудь полные условия.
Такой человек появился только спустя три месяца — им оказался сотрудник другой компании, который просто искал образец политики для своего веб-сайта.
Подписаться / Прислать новость
Рассказ про bug bounty 🐞 от представителя испытательной лаборатории ФСТЭК, это как рассказ про Linux от фаната Windows. Тут каждая часть тезиса некорректна; особенно последние две. Прийти на платформу Bug Bounty может каждый, а вот участвовать в той или иной программе нет. Это зависит от самой программы и ее условий. Ряд программ требуют верификации участников ✋, а ее контроль лежит на операторе платформы. А уж про отсутствие возможности подписания NDA в условиях, когда у нас даже согласие ✔️ на обработку персданных дается в электронном виде и принимается Роскомнадзором, я бы вообще не упоминал.
Все эти вопросы лежат на поверхности, всегда задаются компаниями, выходящими на Bug Bounty, и имеют ответы у операторов соответствующих платформ. Хотя чего еще ждать от представителя испытательной лаборатории, чувствующего конкуренцию со стороны инструмента, который часто показывает бОльшую эффективность, чем классическая сертификация (как минимум, в части обнаружения реально эксплуатируемых уязвимостей)? 😵
Хотя я бы вообще не противопоставлял эти два способа оценки защищенности ПО. Одно (сертификация) - это больше про функциональное тестирование 🧑💻, наличие базовых процессов безопасной разработки и первичную проверку ПО. Второе (bug bounty) - это про непрерывный мониторинг 🖥 уязвимостей бОльшим числом участников. Они прекрасно дополняют друг друга. В идеале Bug Bounty вообще могла бы стать частью процесса жизненного цикла сертифицированного изделия.
ЗЫ. И про все это мы тоже будем говорить на PHD2. Пользуясь случаем, приглашаю представителей испытательных лабораторий на киберфестиваль.
В тему точности статистики. По данным Positive Technologies, Mandiant, PaloAlto и других ИБ-компаний в тройку основных причин инцидентов ИБ входят - социальный инжиниринг, уязвимости в публично доступных приложениях и скомпрометированные учетные записи. А вот по данным eSentire на первое место выходят вредоносы, атакующие через браузеры 🧊 🧊
Возможно дело в том, что авторы презентации работают в компании, которая занимается соответствующим направлением, а может быть проблема в формулировках - у PA, Mandiant, PT данные по источникам инцидентов, а eSentire анализирует источники только вредоносного ПО 🦠
В любом случае, стоит задаться вопросом, как с такой угрозой бороться, особенно если она прилетает по TLS-соединению, которое не|сложно мониторится на периметровых средствах защиты и требуется мониторинг на десктопах (EDR вам в помощь).
Мне кажется Apple совсем уже берега попутал, сравнивая такую солидную организацию как АНБ 🇺🇸 с цирком 💤
Ну а если отбросить шуточки в сторону, то мне стоит задуматься, почему мне уже iPhone предлагает «АНБ» в качестве часто используемого слова ;-)
И снова австралийцы... Они (Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC)) 🇦🇺 выпустили неплохое руководство по выбору безопасных и доверенных технологий. Не являясь чеклистом, это руководство должно помочь производителям выпускать, а покупателям выбирать верифицируемые и безопасные решения на основе четких и понятных критериев ✔️
Это то, чего всегда не хватало в наших требованиях по ИБ и что всегда вызывало вопросы применительно к пункту по закупке информационных систем в ISO 27001 и NIST SP800-53 или NIST CSF. То есть требования по безопасной разработке есть 🧑💻 Требования по устранению уязвимостей в купленных решениях есть. А что между ними? Как выбрать решение безопасное, ориентируясь не только на сертификат ФСТЭК? 💡 Как уменьшить число задач по управлению уязвимостями за счет не выстраивания этого процесса, что тоже важно, а выбора изначально более защищенного решения? Вот на последний вопрос документ от "жителей страны кенгуру" 🦘 и отвечает.
ЗЫ. А в это время 68 вендоров подписали меморандум с CISA о добровольном выполнении принципа “secure by design” в своих продуктах, согласившись реализовывать, как минимум:
1️⃣ Внедрить MFA
2️⃣ Обязать клиентов менять дефолтовые пароли
3️⃣ Включить в описание CVE ссылки на CWE и CPE
4️⃣ Уменьшить число уязвимостей
5️⃣ Заставить клиентов ставить патчи
6️⃣ Опубликовать политику раскрытия уязвимостей
7️⃣ Обеспечить возможность сохранять доказательства по инцидентам (логи)
Это интересная история, которая произошла параллельно RSAC. Есть такой "небольшой" пенсионный фондик в Австралии, который обслуживает без малого полмиллиона человек, - UniSuper 🇦🇺 Является крупнейшим пенсфондом в стране кенгуру 🦘 и утконосов. И вот у него внезапно Google снес все частное облако 🌩 И все бы ничего, люди в UniSuper опытные, знают, что такое резервирование, поэтому у них было второе, резервное частное облако в том же Google... которое ИТ-гигант тоже удалил 🗑
Как говорят в заявлении обе компании, это произошло в результате редкой и беспрецедентной последовательности событий, которые никогда ранее не случались ни с одним клиентов Google (а теперь, глядь, расскажите мне об оценке вероятности такого события) 🖕
"Этого не должно было произойти"
Когда ты привык сражаться с фишингом в электронной почте 💻 и считаешь, что достиг больших высот в этом, а тебе вдруг приходить обычное бумажное письмо по почте 📬 и приглашают стать тестировщиком новых продуктов в французском Амазоне, требуя просканировать QR-код с деталями уникального предложения...
Смена привычной тактики на что-то нестандартное, непротестированное в рамках киберучений и фишинговых симуляций, и человек теряется и может попасться на удочку 🎣
Таким образом год-два назад ловили владельцев холодных аппаратных криптокошельков Ledger, которым приходила посылка с якобы подменным и более защищенным, чем прежний, кошельком (этакий жест доброй воли от производителя), который в итоге крал все деньги у ничего не подозревающих жертв 🤒