SOCprime, разработавшая онлайн-транслятор для правил обнаружения угроз uncoder.io, разродилась новой инициативой. На этот раз это открытый язык RootA, который должен помочь специалистам по обнаружению угроз, threat hunting и threat intelligence проще общаться, не взирая на использования различных инструментов и языков. Авторы заявляют, что сейчас они поддерживают 65 (!) языков (откуда столько?) и 45 технологий от разных вендоров. Я бы сказал, что это SIGMA NG, так уж у них синтаксис похож. Однако они добавили туда данные по нарушителям, слинковали это все с TTP и добавили код для автоматизации реагирования.
Интересная инициатива - посмотрим, куда это все зайдет и насколько этот язык станет популярным...
Мое выступление с конференции SberPro Tech 2023 про влияние кибербезопасности на бизнес-модель и как каждый из 9 компонентов последней может учитывать и включать в себя кибербез
Читать полностью…Цветовая палитра ИБ в соответствие с пирамидой BAD (build|строим, attack|атакуем, defend|защищаем). Тут вам не только ЦСКА красно-синие 🌈
Читать полностью…Когда только начиналась вся эта эпопея 🍑 с импортозамещением и апологеты ее с пеной у рта доказывали, что российский софт более защищенный, чем супостатный, тихие выступления наших регуляторов, которые утверждали, что им вообще насрать на страну происхождения ПО, а его безопасность завимит совсем от другого, никто не слушал и не слышал.
С начала СВО и вовсе началась вакханалия и разговоры о том, что надо срочно отказываться от Windows, так как она небезопасна и там куча закладок (а десятилетия до этого никого это не смущало и никто не задавался таким вопросом?); и надо срочно переходить на Линукс. Ну так на него переходить стали не только отечественные организации, но и хакеры 👨💻
Вот и одна из первых ласточек - кампания Lahat от группировки Hellhound, в рамках которой идут атаки инфраструктуры на базе Linux. К сожалению не указано, какой это Linux ❓ Не исключаю, что некоторые пользователи сейчас начнут: «Да это не наш Linux. У нас Астра, а у вас просто Линукс» 🖕
Если посмотреть на различные TI-источники, то русские хакеры в последние пару лет чаще всего стоят за атаками шифровальщиков и зарабатывают бабло. А вот китайцы активно занимаются шпионажем. Вот свежий кейс с атакой на МИД Узбекистана. Северокорейский группировок меньше, но занимаются они и тем и тем. И кто опаснее?
Читать полностью…В 2014-м году CISO Yahoo говорил, что SIEM не на базе Hadoop сегодня уже мало что может и мало кому нужен. А еще он говорил, что средства защиты для ЦОД надо выбирать, оценивая их не по пропускной способности в мегабитах, а по потребляемой мощности в киловаттах ⚡️
А пока вы осмысливаете прочитанное, можете посмотреть презентации с последней ATTACKcon 4.0 в приложенном архиве. А презентации с #SOCtech вы можете скачать сами - они уже выложены на сайте 🕸
Термин «патч» в контексте обновления ПО пришел с тех времен, когда программы писали на перфокартах «с дырками». Когда вносились изменения в код, просто наклеивали заплатку (англ. patch) из бумаги на нужное отверстие. Так и пошло 😂
Читать полностью…Польскую Naftor, которая занимается в т.ч. и кибербезом, взломали Blackcat 😺Тут вам и про Zero Trust в широком смысле, и про атаки на подрядчиков, что является в России проблемой 🔤🔤Не устаю напоминать две вещи:
1️⃣ Ломают всех, даже ИБ-компании
2️⃣ На случай взлома вашего ИТ и ИБ-подрядчика надо иметь соответствующий плейбук и действовать в соответствии с ним 🐈
ЗЫ. На второй картинке свежее объявление о продаже доступа в одну европейскую ИБ-компанию.
Вторая презентация с #soctech была посвящена нюансам выбора технологического стека для SOC
Читать полностью…Моя первая презентация с вчерашнего #soctech про мониторинг угроз от|на подрядчиков. Я специально сделал disclaimer во время выступления, что, во-первых, вариантов угроз на цепочку поставок достаточно много (от аппаратных имплантов до несанкционированных действий сотрудников подрядчиков), а во-вторых, по каждой из них можно отдельно говорить не менее 20 минут, а у меня на все было 20 минут. Так что в презентации некоторые мысли о том, на что стоит обратить внимание...
Читать полностью…Во... тут все без ошибок. И даже Россию упомянули, куда уж без нее 😈
ЗЫ. Вообще, когда говорят, что ИИ еще далеко до человека и вообще все это детский сад, то я смотрю на такие картинки и понимаю, что я бы такое никогда сам не нарисовал. А если бы кого-то просил, то стоило бы мне это не одну тысячу рублей. А тут ты берешь DALL-E или Midjourney и они тебе рисуют все, что нужно. И правки вносят без раздумий и споров. И разговоров "я художник, я так вижу" они тоже себе не позволяют 👎 Может и хорошо, что ИИ еще далеко до человека? 🤨
И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠
ЗЫ. Спасибо подписчику, что обратил внимание
Второй выступление на #SOCtech у меня посвящено мониторингу атак на|от подрядчиков. Аппаратные импланты, SLSA, TLS Fingerprinting с хешами JA3, каталог шаблонов атак на цепочку поставок MITRE, что такое syft и какое отношение он имеет к SBOM и т.п.
Читать полностью…Сегодня на #SOCtech у меня два выступления. Первое посвящено выбору технологий SOC в зависимости от различных исходных данных. На что обращать внимание при выборе SIEM, как режим работы SOC влияет на необходимость технологий для Threat Hunting и Forensics, когда нужны конвертеры правил для SIEM, что такое тесты Atomic Red Team и многое другое...
Читать полностью…Провокационное, мягко скажем, название для выступления. Надеюсь там не было дано инструкций для bad guys 👨💻 Хорошо, что доступ к записям выступлений закрытый и возможен только для участников или тех, кто готов заплатить 3️⃣2️⃣0️⃣0️⃣0️⃣ рублей (что для юрлиц, что для физлиц, без разницы). А techtalk так и вовсе не выкладывали 🤔
Читать полностью…СМИ пишут, что половина банков не выполняет закон о персданных. Так вот я вам скажу, что это наглая ложь 🤥 В стране 99,9(9)% организаций не выполняют ФЗ-152. Вы где-нибудь видели реализованный учет машинных носителей (ч.5 п.2 ст.19)? Чтобы кто-то регистрировал все используемые флешки, наклеивал на них метки, учитывал все действия с ними?! Вот то-то и оно...
Читать полностью…Иногда утечку информации через тот же e-mail можно побороть, просто блокируя учетную запись нарушителя на почтовом сервере. Не обязательно для этого устраивать танцы с бубнами, настраивая фильтры, внедряя DMARC/DKIM/SPF, контролируя аттачи, устанавливая DLP и UEBA, и множество чего еще.
При выборе метрик ИБ самым популярным является не метод SMART, а метод KISS, что расшифровывается Keep It Simple, Stupid! (Будь проще, тупица!). При выборе защитных мер тоже не всегда надо усложнять.
Не знаю, видели ли вы анонс курса 🟥 по управлению уязвимостями (не путать с курсом по продукту), но мне тут в руки попало руководство, которое на этом курсе выдают. 140+ страниц про:
1️⃣ То, как приоритизировать уязвимости и разные подходы к этому вопросу
2️⃣ То, как выстраивать процесс управления активами, включая их инвентаризацию и классификацию
3️⃣ То, из чего состоит процесс управления уязвимостями
4️⃣ Методологию и различные сценарии, в которых должен быть выстроен процесс управления уязвимостями (тут вам и АСУ ТП, и облака, и критичные системы, и т.п.)
5️⃣ То, как писать практические политики
6️⃣ То, что делать с выявленными уязвимостями
7️⃣ То, каким должен быть SLA у этого процесса и как наладить взаимодействие с ИТ-службой
8️⃣ Методики ФСТЭК и НКЦКИ по вопросам анализа защищенности
9️⃣ Оценку эффективности процесса управления уязвимостями, метрики и дашборды
1️⃣0️⃣ Коммерческие и open source решения в области управления уязвимостями.
Получилась хорошая такая книга, которую можно использовать на практике с различными продуктами, не только MaxPatrol VM (хотя на нем и иллюстрируются некоторые идеи). Я в году этак 98-99 участвовал в работе по подготовке регламента управления уязвимостями в одном банке и помню, какая это была непростая задача, - совместить требования ИТ и ИБ, учесть особенности сканирования AIX, HP UX, OS/2, MS DOS, первых версий Windows, с учетом их критичности и разнесенности по разным площадкам (при том развитии Интернетп), а потом еще и оперативно устранять их.
ЗЫ. Отдельно от курса руководство не распространяется ⛔️
В ДССТЗИ назначили нового главу. Бывший банковский финансист и HR; до назначения был руководителем эскадрильи ударных БПЛА. К технологиям, и тем более к ИБ, отношения, похоже, не имеет 👾
Читать полностью…Не хотите выходить из дома в эту снежную погоду? Понимаем.
Проведите время дома с пользой и посмотрите лекцию из цикла Дискуссионного клуба Музея криптографии про кибербезопасность. В этой встрече приняли участие спикер от Positive Technologies и эксперт по кибербезопасности Алексей Лукацкий.
Смотрите запись лекции на Youtube-канале Музея криптографии
не помогли два новых патча
мне залатать дыру внутри
и чтоб закрыть ее решаюсь
на три
гисы багбаунти боятся
не из за рейтинга цэтэ
их гложет неопределенность
и энтропия зеродей
ℹ️ Прекрасный дисклеймер. Первый раз такое вижу, но прям хорошо 📌 А то так и за несанкционированный доступ к ПДн можно было бы загреметь. Ведь субъекты не давали согласия на предоставление такого доступа журналистам, пусть и вследствие утечки.
ЗЫ. Это в тему взлома национальной лаборатории Айдахо при МинЭнерго США.
Совет, обращать внимание на ошибки в тексте, что должно выдать неграмотных фишеров, скоро канет в лету. ИИ не ошибается в написании слов и operator у него никогда не будет opeator’ом 😱, а ransomwar пишется с e на конце ✍️
Читать полностью…🆕 Не успело ГУР украинского МинОбороны взять на себя, публично признав, взлом Росавиации, в гонку публичных заявлений о взломе российских организаций включилась и СБУ, руководители которой недавно были отправлены в отставку по обвинению в коррупции. Украинская спецслужба призналась в том, что вместе с хакерами стояла за взломом российского Минтруда и соцзащиты 🆒
Нечасто можно услышать признание, что одно государство и конкретное ведомство, стоит за нападением. А тут уже третий пример (первым было признание Минцифры год назад, что оно курирует ИТ-армию Украины). Все меняется в нашем кибермире - геополитика, политика, дипломатия 🛡
С профессиональным праздником, коллеги! 👍 С международным днем защиты информации! 🥳 Пусть наш труд оценивают по достоинству, а мы не будем бояться брать ответственность за тот результат, к которому мы стремимся! Ура! 👍
Читать полностью…Свежий проект RULER (Really Useful Logging and Event Repository) про то, какие логи и какие события в них наиболее полезны при расследовании инцидентов. Проект только в самом начале своего развития и пока там данные только по антивирусам (из наших там только Каспер) и средствам удаленного администрирования. Автор приглашает всех участвовать.
ЗЫ. Как пишет автор, проект не про то "что надо регистрировать", а про то, что включено по умолчанию и приносит пользу.
#soctech