Ну что, наступил последний рабочий день (если вы не аналитик SOC и вам "повезло" работать на выходных) 2023-го года. Вроде как принято подводить какие-то итоги и озвучивать планы на будущее. В этом году не буду отступать от традиций. Не знаю, будут ли еще сегодня какие-то серьезные посты, посмотрим! 🎄
Читать полностью…Коллегам из Сачка может это и не понравится, но голосование очень странное. Прошло 4 голосования, которые набрали следующее количество голосов:
🔣Telegram-канал года - 189 голосов (мой канал победил; мне приятно 🎆)
🔣ИБ-мероприятие года - 258 голосов
🔣Проект года - 2888 голосов
🔣Компания года - 10800+ голосов
Первые два - вполне себе нейтральные голосования и количество голосов там небольшое. На третьем пошла явная накрутка одного из участников. Ну а четвертое - это вообще за гранью 👿 На момент моего репоста вчера там было чуть больше шести тысяч голосов. Сегодня там почти 11 тысяч голосов!
Я скажу предельно откровенно - такое число голосов у нас в российском Telegram-ИБ-комьюнити невозможно. Даже когда мы с SecurityLab объединяемся в каком-то голосовании (то он меня репостнет, то я его), мы не набираем и половины от этого числа, а у нас две самых больших аудитории в Рунете по ИБ (еще есть Secator, но он не проводит своих голосований и не репостит чужие). Тут явная накрутка. А уж если посмотреть количество сердечек под постом с результатами голосования, то это лишний раз убедит нас в этом 😈
Вот поэтому я и не проводил в этом году голосования за "что-то года". Как только всплывает чей-то коммерческий интерес (а всегда приятно называться компанией года хотя бы по версии какого-нибудь Telegram-канала), то сразу всплывают накрутки, подкупы, нечестные голосования и вот это вот все. И ты либо делаешь абсолютно беззубые голосования, либо сталкиваешься вот с такими вот последствиями.
ЗЫ. Ну хоть в конце года деда в красном повеселили 😱
Смотрел я вчера старенький фильм "На грани" 🐻 с Энтони Хопкинсом и вспомнил ситуацию, в которую как-то попал и я, а именно отбился с товарищем от туристической группы и два дня мы были одни, без какой-либо помощи, без нормального снаряжения, а еще лил дождь. И вот это натолкнуло меня на мысль, которую можно применить в команде ИБ, особенно если вы ее руководитель, или вы ментор какого-либо специалиста по ИБ.
Нынешнее "поколение ЕГЭ" привыкает отвечать по готовым скриптам ☑️ и теряет способность искать ответы самостоятельно. Критическое мышление тоже куда-то улетучивается. Поэтому так важно воспитывать этот навык у своих "падаванов". И для этого можно дать несколько советов:
1️⃣ Регулярно "пропадайте". Когда ваш подчиненный понимает, что тот, в кого он верил, исчез, ему остается только верить в себя и начать хоть что-то делать, а не ждать, когда добрый CISO всех спасет и возьмет ответственность на себя.
2️⃣ Не надо обсуждать проблемы - обсуждайте способы их решения, которые предложил ваш подчиненный. Если у него нет решения, возвращаемся в начало этого пункта.
3️⃣ Совершенно неважно, насколько решение вашего подчиненного хорошо. Ваша задача - перестроить его мозги так, чтобы он был всегда способен искать и находить решения проблем. Да, ваш опыт часто позволяет вам найти решение лучше, но незашоренность может помочь найти нестандартное решение. Этот принцип особенно активно проявляется в штабных киберучениях, в которых я всегда с самого начала говорю, что нет неправильных решений.
4️⃣ Никогда не надо говорить, правильное решение или неправильное. ИБ - это не ЕГЭ, где все просто. ИБ - это жизнь и никаких заранее известных ответов часто просто нет. Фокусировать подчиненных надо на смысле решаемой задаче, а не конкретном решении. Сегодня оно такое, завтра совсем иное. ИБ вообще вариативная штука.
5️⃣ Пусть подчиненные сами оценивают свои решения. Со временем придет и опыт, и уверенность, и экспертиза. В ИБ часто надо самому брать ответственность за свои же решения и переложить ее на кого-то не удастся. Чем раньше подчиненные это поймут, тем лучше.
ЗЫ. Тоже самое работает и с детьми и со студентами 😊
ЗЗЫ. Да, совсем тупые тоже бывают и с ними эта великолепная пятерка не работает. Но тут уж вам не повезло ☹️
Европа 🇪🇺 активизировалась в части разработки собственного регулирования по ИБ. Татьяна Исакова написала заметку про европейский "250-й Указ", а я посмотрел на него чуть шире, захватив тему еще и NIS2. При этом тот же Solidarity Act я пока оставил в стороне. Про него еще есть что сказать отдельно ✍️
Читать полностью…Страшилки, конечно, это не лучший метод "продажи ИБ", но иногда и правда надо показать, что вот такое уже случалось с тем-то и тем-то. Поэтому базы инцидентов, сгруппированные по различным признакам, - это очень неплохой инструмент в обосновании своей позиции. Вот, например, база инцидентов ИБ в облаках. Проект достаточно свежий - стартовал в 2022-м году, что и обусловило наличие в нем инцидентов, начиная с прошлого года. Но в остальном, да если еще и обновлять будут (пока актуализируют), цены ему нет.
Читать полностью…Навеяло беседой с коллегой, который утверждал, что у него оценка рисков ИБ в компании реализована. Чтобы убедиться в этом достаточно ответить себе на три вопроса:
1️⃣ Если вас попросят показать реестр рисков, то сколько времени у вас уходит на поиск файла у вас на компе или на корпоративной вики? Подсказка: это время не должно быть больше минуты!
2️⃣ Как давно вы открывали реестр рисков? Подсказка: проверяется по атрибуту Last Opened Date
3️⃣ Ваш финансовый и операционный директор могут показать, где расположен реестр рисков, включающий и ваши риски ИБ? Подсказка: ответ не должен занимать больше трех минут
Интересно, если хакеры после удачного взлома будут выпускать видеообращения и извиняться, что это они «зашли не в ту дверь»🚪 но «всего один раз» (а, как известно, «один раз - не Элтон Джон»), это может рассматриваться как смягчающее обстоятельство и стать причиной отказа от уголовного преследования? Судя по тому, как это делает Киркоров с Биланом и Лолита после посещения «голой вечеринки» 🐇, это рабочая схема 😱
ЗЫ. Еще вспоминается злодейка Анна Сергеевна из "Бриллиантовой руки": "Не виноватая я, он сам пришел!" 😱
🚀Телеграм-канал "Об ЭП и УЦ" специально для телеграм-канала "Пост Лукацкого"🤠
Подписчики нашего канала также сталкивались с мошенническими рассылками, о которых рассказал Алексей Лукацкий. Даже невооруженного взгляда достаточно, чтобы понять, что это мошенническая рассылка, давайте вместе подсчитаем на основании чего можно сделать такой вывод:
1. На всех приказах ФСБ России герб Российской Федерации, а не эмблема ведомства.
2. Приказ не адресуется, как письмо, к тому же по шаблонному обращению -ый (ая).
3. Контакты территориального органа, тогда как "подписал" данный приказ первый зам.главы ведомства.
4. Ни один приказ ФСБ России не имеет такого принципа нумерации.
5. Некорректно написание названия ведомства.
6. Некорректное сокращение, звание.
7. На приказах не ставятся печати, тем более ненастоящие, нарисованная подпись.
8. "Подписан посредством зашифрованного канала связи" - просто набор слов.
9. Серийный номер сертификата не соответствует ни 10-ной, ни 16-ной системе счисления.
10. ФИО в отметке об ЭП не по ГОСТ.
Приятно, что подписчики канала никогда бы не поверили такому письму - сразу обратили внимание на написание серийного номера сертификата.
Я уже писал, что ФГУП Интеграл каждую неделю постит статистику по фишинговым ресурсам, с которыми сталкиваются российские пользователи. У меня по данным регулярным отчетам были вопросы к тому, насколько они вообще полезны в таком виде, но сейчас не об этом.
Наткнулся я на сайте координационного центра доменов .RU/.РФ на раздел "Отчеты компетентных организаций", в котором, на протяжении последних 7 лет, публикуются ежемесячные и годовые отчеты о том, сколько компетентные организации (не органы), которые способны определять нарушения в сети Интернет (их там 12 и среди них Касперский, НКЦКИ, РКН, Интеграл, Банк России, RU-CERT и т.п.), выявляют и блокируют вредоносных доменов. И что-то у меня не бьются цифры из инфографики координационного центра с цифрами, которые публикует тот же Интеграл и НКЦКИ.
По данным последнего еженедельно НКЦКИ выявляет, блокирует и разделегирует около 2000 доменов. Примерно столько же выявляет Интеграл. То есть за месяц, в среднем, только они двое должны выявлять не менее 15000-18000 доменов. А по статистике координационного центра, которая учитывает цифры и Интеграла, и НКЦКИ, это число на все 12 организаций крутится вокруг значения 5000 доменов в месяц. Какая-то нестыковка
ЗЫ. К визуализации гистограммы 📊 у меня тоже вопросы 😊 Зачем манипулировать не только шириной столбика, но и его высотой, которая ничего не отображает и не показывает?
Один российский CISO, являющийся автором высказывания на экране, реализовал мечту и открыл собственный бар 🍹 в Тайланде. А в это время я рассказывал про это высказывание в московском баре 🥃 для CISO, которые, возможно, имеют ту же мечту (ну или другую какую заветную). Неисповедимы пути CISO (как и круговорот баров 🍻) и кто знает, куда занесет их судьба. Но чтобы дать ей шанс, особенно важно уметь общаться с бизнесом на языке денег. И тогда они у вас точно будут, чтобы, как минимум, расплатиться в баре 🍹, а, как максимум, открыть свой собственный 🍸
Читать полностью…Будь я циничным американским чиновником, я бы обязательно заявил, что русские хакеры попытались вмешаться в полет Санта-Клауса 🎅🏻, несущего демократию подарки всему прогрессивному человечеству, негативно воздействовали на систему GPS-геолокации, встроенную в сани 🛷 Санты, и чуть не лишили весь мир еще и новогоднего праздника 🎄
А будь я российским чиновником, которому не чуждо чувство юмора, я бы обязательно выпустил пресс-релиз, что лапландские (на фоне приграничного конфликта с финнами очень даже актуально) киберэльфы попытались помешать нашему деду Морозу 🎅🏼 порадовать детей 👦🏻 новогодними подарками, но в рога наших оленей 🦌 были встроены системы защита от ПЭМИН отечественного производства, сани были построены в соответствии с проектом РД ФСТЭК по средствам защиты от DDoS-атак и в полном соответствие с требованиями по безопасной разработке, а сам дед Мороз прошел курсы повышения осведомленности по ИБ и не поддался на уловки лапландских эльфов 🧝.
МИД, ФСТЭК, ФСБ, Минцифры, РКН, ау... Это же офигенная тема. Актуально, геополитически выверенно, с юмором, да еще и про импортозамещение и столь важный нонче кибербез!!! Нам сейчас так не хватает добра вокруг! 🎁
Думаю, многие из вас слышали про NIST Cybersecurity Framework, один из лучших фреймворков по ИБ, который описывает не только список защитных мер, но и правила их выбора, внедрения и даже оценки зрелости. Менее известен Privacy Framework от NIST (хотя я писал про оба и даже давал Excel'евский калькулятор оценки зрелости по обоим фреймворкам).
И вот тут я наткнулся на интересный инструмент, который позволяет визуализировать работу с защитными мерами, увязать их с угрозами (по методике STRIDE), делать выборки или фильтровать защитные меры под стоящие задачи.
Судя по тому, что помимо русскоговорящих и украинцев меня активно читают жители англоговорящих, испаноговорящих, италоговорящих, франкоговорящих и германоговорящих стран, то не могу не поздравить их с католическим Рождеством! 🎄 Вам, живущим вдали от вашей первой Родины, добра, тепла, мира и безопасности! 🎄 Всех благ! 🎅🏻
ЗЫ. Свитшот продается на Amazon, стоит 32 бакса 😊 Я не в доле!
ЗЗЫ. Сотрудникам иностранных спецслужб 😕, читающим меня по долгу службы, тоже безопасности и побольше! Мы еще встретимся с вами на полях виртуальных сражений ⚔️
Ну что… 50 лет ФСТЭК отпраздновали 🥂, 106 лет органам госбезопасности отметили 🥃, можно и за 32 года ФАПСИ накатить 🥴. Тем более, есть подписчики, служившие в этой структуре, долгое время являвшейся оплотом отечественной криптографии.
10 лет назад ФАПСИ расформировали и только неотмененная 152-я, «розовая» инструкция (22 года стукнуло документу) продолжает напоминать нам, что такая спецслужба у нас была! И вроде уже неоднократно пытались ее заменить чем-то более свежим, но увы. Есть у нас еще незыблемые вещи!
Мошенничество по схеме «сообщение от начальника» выходит на новый уровень. Сначала были просто сообщения от руководителя с предупреждением о звонке/сообщении от куратора из ФСБ. Потом «кураторы» для доказательства стали присылать свои фото с удостоверениями в раскрытом виде (уже смешно, но кто не общался с ФСБ может повестись).
А вот новый вариант. Мне когда подписчик прислал (за что ему спасибо), первые мгновения прям поверил. А когда дочитал до конца смутила фамилия подписанта (сам Королев, а это первый зам Бортникова 😕, утечками в конкретной организации занимается) и приписка, что сообщение подписано ✍️ аж шифрованной связью.
Кем же они потом будут подписываться? Бортниковым уже вряд ли. А вот секретарем СовБеза, самим Медведевым вполне 🎭
Время оглашать итоги голосования, господа. Это было самое скандальное голосование по итогам года в ИБ-отрасли на моей памяти. Под финал все завершилось как плей-офф КХЛ ну или обычное зеленое дерби между татарским Ак Барсом и башкирским Салаватом Юлаевым, только цвет был красный🟥.
Тройки победителей, набравших больше всего голосов в номинациях:
«ИБ-телеграм канал года»
1 место — Пост Лукацкого
2 место — Secator
3 место — Security Lab
«ИБ-мероприятие года»
1 место — SOC форум
2 место — Positive Hack days
3 место — Positive Security days
«ИБ-проект года»
1 место — MTC RED ASOC
2 место — Positive Technologies NGFW
3 место — онлайн киберполигон Standoff 365
«ИБ-компания года»
1 место — MTC RED
2 место — Positive Technologies
3 место — Солар.
Согласен с результатами — ставь ❤️, не согласен — 🗿
@cybersachok
Знаете, почему не работает определение недопустимых событий снизу, от ИБ? Причина проста. ИБшник не топ-менеджер и не знает его интересов, его страхов, его задач и мотивации 🤑 Так и CISO должен понимать, что его подчиненные могут быть не настолько лояльны компании, в которой они работают и которая платит им зарплату 🤑
Они самолюбивы, эгоистичны, капризны, ленивы, туповаты. А самое главное, что они далеко не всегда любят свою компанию и CISO, а часто и вовсе не разделяют их интересов 🖕 И вот с этими людьми вам надо идти на кибервойну и изо дня в день сражаться с плохими парнями, у которых как раз есть мотивация вас заломать, украсть у вас данные или деньги и реализовать какие-то иные недопустимые или нежелательные события 💰
Задача CISO сделать своих бойцов не просто командой, а людьми, способными преодолевать трудности самостоятельно, способными брать на себя ответственность за найденные решения 🤘 А для этого подчиненные должны научиться постоянно учиться и смотреть на многие возникающие в ИБ задача шире, чем это предусмотрено нормативкой или программой обучения в ВУЗе по КОИБАСу. Если они вместо того, чтобы уходить в 6 вечера с работы, приходят к вам и предлагают какие-то идеи и решения наболевших задач, 🛡 - это и есть лучший критерий того, что у вас команда, которая способна действовать в условиях волатильности и непредсказуемости, которая не живет только в рамках написанных кем-то плейбуков, которая, даже уйдя из ккомпании, будет вам благодарна за уроки! 🤜
Пусть в 2024-м году у вас будет время на учебу!!! 🤓
Qualys пишет, что в 2023-м году 25% высококритичных уязвимостей эксплуатировались в день опубликования данных о них, что вновь поднимает вопрос о том, зачем нужны сканеры безопасности и в течение какого времени надо устранять такие уязвимости. И не факт, что даже ФСТЭКовские 2️⃣4️⃣ часа, указанные в методике оценки защищенности, тут помогут. Все-таки этот срок должен быть меньше. А иначе злоумышленники будут всегда на шаг впереди.
И вот тут мы видим очень неплохую метрику для оценки решения класса VM - насколько быстро оно позволяет детектировать высококритичные уязвимости. Хотя мы помним, что CVE, который присваивается уязвимостям, приоритизированным согласно CVSS, не всегда означает, что дыра активно эксплуатируется в дикой природе. Как по мне, так метрику можно чуть переформулировать - насколько быстро VM позволяет выявлять трендовые уязвимости (KEV в терминологии CISA). Эта метрика гораздо ближе к реальности. И целевой показатель здесь должен быть на уровне 12 часов 🏪
Конечно, можно сразу вставить свои 2 цента и сказать, что мало выявить уязвимость, ее еще надо устранить, но с чего-то надо начинать. Не выявив уязвимость, нам и устранять-то будет нечего. Вот для процесса VM просто обнаружение измерять бессмысленно - в нем нужно оценивать время устранения возможности использования уязвимости, которое может быть достигнуто за счет патчинга, виртуального патчинга, компенсирующих мер, реконфигурации и т.п.
Если в 2024-м году вам удастся выстроить процесс управления уязвимостями, то это будет прям прекрасно! И в конце года можно будет раскупорить бутылочку хорошего коньяка 🥃
Я, конечно, ненастоящий ботовод, но судя по голосованию за проект года и компанию года, кто-то явно накручивает голоса 🤬 Это прям к бабке не ходи ☹️
Читать полностью…Часто слышу о том, что банки - это самый лакомый кусочек для хакеров. Но это же не так. Кража денежных средств с банковских счетов 👨💻 - это копейки по сравнению с промышленным кибершпионажем, который проводят многие государства против других, обладающих серьезными инновациями. Китай 🇨🇳 - самый яркий пример, когда китайские хакеры или инсайдеры крали ценнейшую информацию о военных 🔫 и гражданских 🛩 разработках американцев, а затем Китай на их основе делал чуть ли полные клоны американской техники и вооружений, не тратя ни юаня 💰 на исследования и инженерные изыскания.
И объемы потерь 💵 от промышленного кибершпионажа измеряются сотнями миллиардов, если не триллионами долларов, а не миллиардами, как от тех же шифровальщиков или иных, привычных инцидентов ИБ! Но да, случаи шпионажа не так часты и не так публичны, как остальные более типичные истории из жизни ИБшников. И проявляются эти кейсы спустя какое-то время, не сразу, что также накладывает свой отпечаток на то, как о них рассказывают и как расставляют приоритеты.
Продолжаем обзор инициатив, связанных с безопасностью и искусственным интеллектом. На этот раз заметка будет про то, как защищать проекты, использующие ИИ в своей основе:
🔤 Достаточно бестолковый фреймворк Google SAIF
🔤 Очень неплохой фреймворк от ENISA
🔤 Свежая, но пока пустая инициатива от Cloud Security Alliance.
Но обзор от ENISA перекрывает пустоту от двух других и изобилует массой полезных ссылок и рекомендаций.
После выхода PT O2 и анонса PT Carbon автоматическое выстраивание цепочек атак, реагирование и рекомендации по уменьшение площади атаки уже не выглядят чем-то невозможным 💡 Но вот как в зарубежном продукте на картинке умудряются увязать это с конкретными суммами денег и посчитать сумму предотвращаемого ущерба и затраты на предотвращение атак в зависимости от выбранного вектора/цепочки атаки, я пока не очень понимаю. Хотя... Если ориентироваться на какие-нибудь цифры Ponemon Institute, Verizon DBIR и т.п., то может быть и можно... Но как они считают длительность мероприятий по уменьшению площади атаки, загадка...😲 Но все равно интересно 😮
Читать полностью…Помните в детских журналах были две похожие картинки и надо было найти 10 отличий? Вот по мотивам моей заметки про мошенничество «сообщение от начальника» с письмо от первого зама директора ФСБ, в канале «Об ЭП и УЦ» повторили эту игру, но уже по-взрослому, найдя 10 ошибок в письме мошенников ;-)
Читать полностью…Пока у нас все с нескрываемым любопытством обсуждают совершенно непонятных кандидатов в будущие президенты или концовку сериала "Слово пацана", в Европе 🇪🇺 происходят не менее любопытные вещи. А именно на уровне всего Евросоюза хотят заставить разработчиков браузеров включить в них 250 корневых УЦ из Европы (с сертификатами, конечно) и запретить их удалять без разрешения локального правительства. Можно только представить себе, во что это выльется с точки зрения легализованного перехвата данных или выпуска мошеннических сертификатов 🤠
Читать полностью…Вот раньше тему противостояния ихнего Санта Клауса и нашего Деда Мороза вкупе с русскими хакерами вполне себе использовали и было забавно 🎅🏼
Читать полностью…Я тут завершил статью (скоро выложу ссылку) про факторы, влияющие на цену инцидента ИБ. Получилось 🔤🔤 пункта, среди которых и достаточно очевидные, например, стоимость расследования инцидента или компенсации пострадавшим, и нележащие на поверхности, например, отклоненные претензии по страховкам киберрисков и влияние на кредитный рейтинг 📉 и повышение затрат на обслуживание капитала). Факторы совершенно разные и не все из них присущи всем инцидентам, - все зависит от организации, отрасли, особенностей управления корпоративными финансами и т.п.
И как доказательство, что это все вполне ощутимые потери 🤑, наткнулся на свежесозданный институтом FAIR сайт "Насколько материален этот взлом?", который по последним нашумевшим инцидентам пытается подсчитать, во сколько обошелся этот инцидент компании с точки зрения денег. Они берут не только явные цифры, названные самими компаниями, но и учитывают различные судебные дела, возбужденные после инцидента 😡 (например, после атаки шифровальщика на сеть отелей MGM, о которой я тут много писал, уже подано 4 иска в суд) 🎰 По каждому инциденту даны ссылки на формы обязательной отчетности об инциденте, поданные в комиссию по ценным бумагам, материалы судебных дел и т.п.
Сейчас на сайте есть данные по инцидентам с Okta, 23andMe, Johnson & Johnson, Keurig Dr Pepper Inc., MGM Resorts, The Clorox Company, Caesars Entertainment, PROG Holdings., Johnson Controls International.
Местами цифры очень интересные. Например, по атаке шифровальщика на казино "Цезарь" в Лас-Вегасе известно, что казино сразу выплатило выкуп в 15 миллионов долларов и, в отличие от MGM, продолжило свою работу. Но все равно, оценочный ущерб для "Цезаря" составляет около 96 миллионов долларов (при нижней границе в 60 и верхней 214 миллионов). У MGM эти показатели иные - 237 миллионов наиболее вероятная оценка и 99 и 631 миллион долларов нижняя и верхняя соответственно.
Мы тут разродились большим числом прогнозов на год грядущий с учетом произошедшего в год уходящий. Свою лепту внес и я, поразмышляв о результативной кибербезопасности, ее итогах в 2023-м и планах на 2024-й год. А мои коллеги поделились своими оценками происходящего в рамках своих зон ответственности (кстати, не так уж и часто в прогнозах указываются конкретные авторы, с которых в конце года можно спросить "А что ж ты вот тут напрогнозировал, мы заложились, а оно не случилось?"):
Часть 1️⃣ - технологии, AppSec, искусственный интеллект, безопасность ОС, блокчейн
Часть 2️⃣ - рынок ИБ, результативная кибербезопасности, Bug Bounty, образование по ИБ
Часть 3️⃣ - взгляд нападающего, веб-атаки на телеком, угрозы и уязвимости аппаратных решений, уязвимое ПО, взгляд Blue Team
Часть 4️⃣ - тенденции угроз (Россия vs весь мир)
Часть 5️⃣ - самые громкие инциденты и наиболее атакуемые отрасли
Всегда, когда вижу такие видео инцидентов на промышленных предприятиях (в данном случае на аллюминиевом производстве), задаюсь вопросом - а может ли быть кибератака причиной такого события?
Читать полностью…В США смена руководства АНБ и киберкомандования. Тимоти Хаф, который сейчас является замом руководителя киберкомандования, сменит Пола Накасоне в начале 2024-го года после соответствующей церемонии
Читать полностью…