alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Мда… Но хорошо хоть не шифрокриптование… 🤦‍♂️ Про «просто» сертифицировать российские СКЗИ в зарубежных центрах сертификации, вообще агонь 🤦‍♂️

Читать полностью…

Пост Лукацкого

Oxford Economics по заказу Splunk провел исследование и выпустил отчет "Скрытая цена простоя", в котором попробовал оценить стоимость простоя с разных точек зрения - прямые потери, штрафы от регуляторов, штрафы за нарушение SLA, потери производительности и т.п. 🤑

Одна минута простоя по оценкам обходится от 9 тысяч долларов, или 540 тысяч долларов в час. Понятно, что применять эти суммы к российским реалиям некорректно, но вот посмотреть на статьи затрат очень даже полезно.

Кроме того, в отчете описаны временные параметры восстановления после простоев , примеры влияния на различные бизнес-единицы предприятия (например, маркетинг) и т.п. В целом полезное чтиво с точки зрения бизнеса и оценки влияния на него инцидентов ИБ (56% всех простоев происходит именно по причине кибербеза и только 44% - по причине сбоев в приложениях и инфраструктуре) 🤕

Читать полностью…

Пост Лукацкого

Продолжая вчерашнюю тему, немного написал про страхование ответственности CISO за его действия или бездействия. Интересно, что страховые продукты (D&O и E&O) предлагаются и в России.

Читать полностью…

Пост Лукацкого

В Европе прошли демократические выборы, в США такие еще только грядут, а мне занятная статья попалась на глаза 👀 Текст начинается с воспоминаний автора о запуске космического шаттла “Челленджер” в его детстве 🚀 Запуск, который ожидали с нетерпением, привел к трагедии через 73 секунды после старта. Это событие стало символом катастрофических последствий группового мышления и проблем с культурой принятия решений внутри NASA 🤦‍♂️ Автор приводит пример с “Челленджером” как аналогию, подчеркивая важность создания меритократии (системы, где продвижение и принятие решений основано на заслугах) в области кибербеза.

Причина катастрофы была связана с отказом уплотнительных колец в твердотопливных ускорителях. NASA и производитель ускорителей Morton Thiokol знали о дефекте с 1977 года, но не предприняли никаких мер по его устранению 🤐 Менеджеры NASA игнорировали предупреждения нижестоящих инженеров о запуске при низких температурах и не сообщали о технических проблемах своим начальникам. Это привело к катастрофе, в которой погибли семь человек ⚰️

Автор считает, что безопасность должна строиться по принципу меритократии, то есть "власти достойных". Он предлагает пять способов, которые помогут создать такую культуру в командах по ИБ:
1️⃣ Оценка по действиям. Оценивать людей надо по их действиям, а не по словам ("звиздить, не мешки ворочать"). Идеи и решения должны быть проверены на практике, а не только выглядеть хорошо на бумаге 🫢
2️⃣ Исключение политики. Политика разъединяет людей. В обсуждениях по безопасности политика не должна упоминаться. Важно сосредоточиться на стратегических, оперативных и тактических вопросах, а не поптыках удовлетворить хотелки очередного начальника или его любовницы 😍
3️⃣ Избегание группового мышления. Групповое мышление приводит к предвзятым и неверным решениям, за последствия которых еще никто и не отвечает. Решения должны основываться на данных, логике и разуме 🧠
4️⃣ Игнорирование “блестящих” объектов. Новые идеи должны оцениваться по их реальной ценности, а не по тому, насколько они популярны или личного того, кто их продвигает. Необходимо объективное тестирование идей перед внедрением.
5️⃣ Поощрение правильной культуры. Сотрудники должны чувствовать себя комфортно, предлагая новые идеи и подходы. Критика и насмешки должны отсутствовать, чтобы не упустить ценные предложения 🏖

Культура влияет на эффективность и успех любой организации, включая команды по кибербезу. Создание внутри служб ИБ (да и в системе госуправления ИБ) меритократии помогает избежать группового мышления и предвзятости, помогая достигать лучших результатов и улучшая общее состояние ИБ в компании, в отрасли, в стране. Когда люди чувствуют себя уверенно, выражая свои идеи и подходы, понимая, что их не поднимут на смех и не заткнут "выскочек", выигрывают все 🏆

Читать полностью…

Пост Лукацкого

Можно пытаться защищаться от атак, выстраивая систему обнаружения 🔍 и реагирования, стараясь сделать это быстрее, чем хакеры достигнут своих целей. А можно попробовать усложнить жизнь хакерам и их продвижение по инфраструктуре, начиная с закрытия открытых извне портов, отключения сервисов, сегментации сети и т.п. 🛡

Ровно тоже самое делают корабли, идущие через Красное море в Суэцкий канал 🚢 Их не страхуют, они не всегда могут защитить себя и поэтому они делают это подручными средствами, существенно усложняя жизнь пиратам, пытающимся проникнуть на корабль... 🏴‍☠️

Читать полностью…

Пост Лукацкого

Лень 🦥 - это не только двигатель прогресса, но и двигатель для хакерских находок. Зачем, например, в уличный гриль 🥩 встраивать Wi-Fi-контроллер? А чтобы удаленно контролировать его через смартфон, поднимать и понижать температуру, заливать свои прошивки, и т.п. Ну и, конечно же, нашлись те, кто решил проверить такой гриль от компании Traeger "на вшивость", то есть на уязвимость 🥷 Исследователи из BishopFox нашли пару дыр в контроллере, одна из которых имела достаточно высокий CVSS - 7.1.

У меня, конечно, есть парочка комментариев к этой истории:
1️⃣ Не покупайте устройства с Интернетом (IoT) только ради забавы. Вы наиграетесь в них и забудете, а хакеры нет и через них могут сделать всякое 👴
2️⃣ Если уж покупаете, то перед покупкой уточните, какие механизмы защиты используются в устройстве. У гриля вся авторизация была построена на 48-битном идентификаторе, который легко перехватывался во время связывания устройств (гриля и смартфона).
3️⃣ Как по мне, так CVSS 7.1 для массово неэксплуатируемой уязвимости в консьюмерском IoT, - это как-то слишком.

ЗЫ. Оставлять гриль без присмотра вообще не рекомендуется! 🔥 Как и турку на газовой плите ☕️

Читать полностью…

Пост Лукацкого

Роберт Хансен придумал кодекс этики CISO, включив в него 9 пунктов:
1️⃣ CISO должен соблюдать NDA, кодекс этики и трудовой договор своей компании.
2️⃣ CISO обязан раскрывать работодателю любое вознаграждение, акции, деньги, обещания будущих позиций, подарки любого размера или любые формы вознаграждений, включая соглашения о консультациях и выплаты супругам или другим лицам, от которых CISO может получить финансовую или другую выгоду.
3️⃣ Если у CISO есть консультативная практика, клиенты и характер консультационных соглашений должны быть прозрачны для работодателя CISO и не содержать конфликта интересов.
4️⃣ В случае неизбежных конфликтов интересов, CISO должен отказаться от участия.
5️⃣ CISO может присоединиться к консультативным советам клиентов только с разрешения своей компании, и если предлагается компенсация, она также должна быть одобрена работодателем CISO.
6️⃣ Если CISO вкладывает личные средства в поставщика или входит в совет директоров поставщика, они должны избегать конфликта интересов, отказавшись от оценки конфликтующих продуктов.
7️⃣ Все продукты и услуги поставщиков должны оцениваться по эффективности, цене, совместимости и полезности для компании, и это должно быть документально оформлено.
8️⃣ У CISO должен быть как минимум один человек, проверяющий их статус на предмет конфликта интересов при каждом решении о закупке и имеющий право наложить вето в случае обнаружения такого конфликта.
9️⃣ По причинам национальной безопасности, CISO не должны становиться советниками других компаний по безопасности, которые не находятся в той же стране, что и их работодатель.

Еще несколько лет назад я мог бы сказать, что для нас это не такая уж и актуальная история. Хотя я помню (хоть и не CISO), как меня звали в совет директоров одной отечественной ИБ компании (но не сложилось). Но лично у меня регулярно всплывали кейсы, в которых мог образоваться конфликт интересов, если бы я согласился на предлагаемые условия. Сейчас ситуация в РФ стала немного иной. Я знаю, что многие коллеги CISO не чураются внешнего консалтинга и подработок, но иногда забывают о соблюдении интересов своего основного работодателя. Поэтому пост Роберта вполне релевантен и нам.

Читать полностью…

Пост Лукацкого

Дочь переслала мне пост из одного канала, у автора которого примерно такое же количество подписчиков, как у меня. Но количество лайков там несоизмеримо больше 👍

Н Е С О И З М Е Р И М О!!! 😖

Одно только и утешает - в ИБ так не принято. У нас тут одни интроверты, нежелающие коммуницировать даже таким образом, или параноики, считающие, что по лайкам можно глубоко изучить человека как в кейсе Cambridge Analytics. Я, кстати, сам такой - интроверт-параноик, и тоже мало где и что лайкаю. Хотя может все проще - дети выражают свои эмоции гораздо охотнее, чем взрослые!

Раздумываю над экспериментом по открытию комментариев 🤔

ЗЫ. Может запеть? 🎤

Читать полностью…

Пост Лукацкого

Прокомментирую последний опрос. Со смартфона не до конца виден ответ, поэтому я его опубликую целиком:

"Несмотря на то, что Паго-Паго и Апиа разделяет всего 70 км, они находятся по разные стороны от линии перемены дат и разница во времени между ними составляет 24 часа!".


Это не только к вопросу о важности понимания роли времени при мониторинге и расследовании инцидентов, но и о том, что смотреть на ситуацию надо не только со своей позиции, а постараться выйти за ее пределы и окинуть взглядом целиком

ЗЫ. Я первоначально в примере хотел вообще использовать острова Диомида - Ратманова и Крузенштерна, которые разделяет всего 4 км, но при этом между ними 20 часов разницы (или больше - в зависимости от летнего/зимнего времени). Но кейс с Паго-Паго и Апиа мне показался более примечательным - там реально ровно 24 часа разницы между двумя территориями 🕙

ЗЗЫ. Кстати, вы знали, что у России и США общая граница и проходит она как раз между островами Ратманова (Россия) и Крузенштерна (США), которые разделяет всего 4 км водной поверхности. Иногда, зимой, там даже на лыжах можно махнуть из России в Америку 🇷🇺🇺🇸

ЗЗЗЫ. И снова кстати. Франция - единственная страна в мире, территория 🗺 которой располагается в 12-ти часовых поясах. А Китай, который в 20 раз больше Франции, имеет всего 1 часовой пояс (хотя географически располагается в пяти) 😱

Читать полностью…

Пост Лукацкого

Если вдруг вы интересовались курсами для аналитиков SOC, то для вас небольшая заметка с ссылками на онлайн и оффлайн, зарубежные и отечественные курсы 👨‍🎓

Читать полностью…

Пост Лукацкого

Расскажу вам историю, о которой вы вряд ли где-то еще прочитаете; хотя и ничего нового в ней нет. Бывшим сотрудникам российского офиса Cisco активно пишет мошенник ✍️, представляющийся нынешним генеральным директором российского офиса (он же еще формально не закрыт, хотя там и не осталось сотрудников) и... та-дам, просит оказать содействие российским спецслужбам в деле обеспечения информационной безопасности 😕

Схема, конечно, топорная 🤦‍♂️ С кем в Cisco Russia проводить беседы не очень понятно, но то упорство, с которым с прошлой осени мошенники пытаются развести бывших сотрудников российского офиса Cisco, вызывает уважение 😎 Но незнание культуры работы в американских компаниях, правил оформления официальных документов российских госорганов и методов работы "Прикомандированных Сотрудников" всю схему превращает в тыкву 😄

PS. В мае я уже писал про схожую историю с бывшими сотрудниками иностранных компаний.

Читать полностью…

Пост Лукацкого

Мегафон тут посоветовал (спасибо подписчику, который обратил на это внимание) своим клиентам воспользоваться сайтом, непонятно кому принадлежащим и зарегистрированным в Польше 🇵🇱, чтобы проверять IMEI б/у мобильных устройств при их покупке. Желание покупателя не быть надутым понятно. Непонятно, зачем отправлять их в недружественную страну? ⬅️ А где гарантия, что владельцы сайта теперь не внесут присланные им из России IMEI в список украденных устройств? Внести-то туда такие сведения может кто угодно. И потом доказывай, что ты не верблюд 🐫 (например, на границе во время отпуска или про продаже).

Я бы на месте Мегафона тогда уж инициировал создание такого реестра на базе "Госуслуг". Эта же информация у наших мобильных операторов 📡 есть. У МВД есть данные по кражам мобильных устройств. Надо только объединить все и предложить россиянам полезный сервис. А Минцифры может возглавить 🫡 эту инициативу, чтобы не было коммерческого интереса у заинтересантов.

Читать полностью…

Пост Лукацкого

В Москве набирает популярность схема с обманом пожилых людей с помощью дипфейка мэра Москвы Собянина 👎

В апреле 75-тилетнему москвичу позвонила девушка, представившаяся секретарем мэра и предупредила, что с ним свяжется сам Собянин, который и вправду "сам" позвонил 📞 пенсионеру и предупредил, что через его банковский счет похищены государственные деньги и поэтому ему надо сотрудничать с ФСБ. Звонок от генерал-полковника спецслужбы 🇷🇺 тоже не заставил себя ждать. В итоге на "защищенный счет" были выведены 1,5 миллиона, которые и исчезли в неизвестном направлении. Об аналогичной истории (звонке от "Собянина") рассказывал ректор Иннополиса, которому мэр звонил по Whatsapp'у 📲

В июне по такой же схеме 4 миллиона похитили у бывшего главы РДКБ Николая Ваганова, правда в данном случае, это уже был видеозвонок. Бывший министр культуры Михаил Швыдкой рассказывал недавно о таком же кейсе - там "мэр" Москвы по-братски предупреждал, что со счетов жертвы были отправлены деньги на счета ВСУ и ей надо будет дать объяснения правоохранительным структурам. В этой схеме участвовал и зампред Банка России, чей дипфейк 🎭 также был задействован для солидности.

В чем особенность данной схемы? Она не массовая - список жертв небольшой и неплохо проработанный. Артисты, политики, чиновники, общественные деятели, руководители московских подведов (театры, больницы и т.п.), бывшие начальники... Люди, которых не удивишь звонком из "мэрии Москвы", которые не привыкли отвечать "нет" 👎 властьпредержащим.

Таких примеров, на самом деле, много и все их приводить большого смысла нет. Я бы хотел скорее обратить внимание на три момента:
1️⃣ Дипфейк - это уже не просто технология для организации шуток и розыгрышей, это вполне себе способ реализации угроз. И не за горами тот момент, когда его активно начнут применять и в корпоративной среде, а не только против физлиц.
2️⃣ Технологии развиваются очень быстро и рассчитывать, что "еще есть время" уже не приходится.
3️⃣ Да, это пришло уже и в Россию. Поэтому истории директора в ОАЭ или Сингапуре можно оставить в прошлом - у нас своих кейсов немало 😭

Читать полностью…

Пост Лукацкого

Ну и еще один мемчик про ИБ 😊 Меня тут спросили про форумы, где можно начинающему ИБшнику 👶 спрашивать совета и вот это вот все. А я и не знаю. Я же не начинающий уже; Да и на форумах я был в прошлом веке - сейчас все как-то вживую, за бокалом коньяка или кружкой иван-чая 😊 Но чтобы не просто мемчик был, а и польза (хотя улыбнуться бывает полезно), кину ссылку, которую мне ее автор прислал, - список ресурсов для начинающих ИБшников. Про форумы там, вроде, ничего нет. Но всякие курсы, лабы, CTF, стажировки и т.п. точно есть 🎓

Читать полностью…

Пост Лукацкого

Сколько вы знаете формул оценки рисков ИБ? Одну, две, три?.. Я знаю с десяток и абсолютное большинство из них в качестве одного из двух основных параметров (помимо вероятности) используется ущерб 💥 В ооочень редких случаях вместо ущерба упоминается стоимость актива, на который влияет риск. Но все это полная фигня; особенно когда апологеты этих формул говорят, что она позволяет говорить на одном языке с бизнесом. Это похвальное стремление, но только вот бизнес не говорит на таком языке 😱

Для любого бизнесмена риск - это сочетание возможностей и опасностей; причем на возможности он смотрит с большим вниманием, чем на опасности. Я про это недавно писал, но не грех и повторить ✍️ Можно долго бегать вокруг предотвращения ущерба, но если бизнес внес его величину в себестоимость продукта, то ему уже пофиг на ущерб, он отбил свои деньги и начал зарабатывать. А ИБшники продолжают носиться с предотвращением ущерба, который уже не интересен 🤠

Поэтому если вы видите в формуле 🧮 риска, которую вам кто-то презентует, слово "ущерб" или "impact", бегите от таких людей как от чумных - они не понимают, что такое риски на самом деле, и не понимают, что такое бизнес. Вместо "ущерба" должно быть "value" или "ценность", которую мы получаем от реализации какого-то проекта или инициативы. И вот "value" может быть как положительным (заработали), так и отрицательным (потеряли) 😦

Кстати, обратите внимание, что на картинке в знаменателе есть countermeasures (защитные меры) 🛡 и exposure factor. Последний параметр по своему интересен и достаточно редко упоминается в формулах рисков. Я про него отдельно напишу. А вот на место countermeasures надо обратить внимание особо. Если вы делите ("уязвимость" * "угроза"), то это хорошо; вы тем самым снижаете опасность. А вот если вы делите "ценность", то защитные меры в знаменателе вам только все портят, так как они уменьшают ценность! И это то, про что я тоже уже писал.

ЗЫ. Поэтому, когда вам рассказывают про киберриски, всегда уточняйте, что имеет ввиду спикер, показывая классическую формулу "риск = вероятность * ущерб"? По его блеянию вы поймете, понимает он что-то в теме или нет 🤔

Читать полностью…

Пост Лукацкого

В 2023-м году было зарегистрировано 28902 CVE. А только за первое полугодие 2024-го года в CVE внесено уже 2️⃣0️⃣9️⃣1️⃣0️⃣ записей. Это 115 CVE в день (только зарегистрированных). Ежегодный рост - 36.45%!!! 📈 Не буду в очередной раз писать о важности управления уязвимостями 🧐

Читать полностью…

Пост Лукацкого

Страховой брокер Хауден (Howden) выпустил отчет, в котором, среди прочего, отметил падение стоимости 📉 страхования киберрисков, что связано с улучшением уровня ИБ организаций; хотя число успешных атак шифровальшиков и растет. При этом рынок киберстрахования растет стремительно 📈 и если в этом году он составляет 15 миллиардов долларов, то к 2030-му году он вырастет до 43 миллиардов 🤑 Такой рост будет достигнут за счет активного выхода страховых продуктов за пределы США и обращение к ним малого и среднего бизнеса. Думаю, и толика российского рынка страхования в этом росте есть. По крайней мере интерес к этому методу снижения потерь от реализации недопустимых событий появляется и у нас в стране и понемногу растет.

Читать полностью…

Пост Лукацкого

Летом 2023 года Clorox, неизвестная в России компания из США, занимающаяся средствами для ухода за животными, коммерческого клининга и т.п., столкнулась с атакой, которая обошлась компании недешево - потеря дохода в размере 500 миллионов долларов и снижение оценки компании на 3 миллиарда 🤑 Но вместо того, чтобы извлечь уроки и начать улучшения ИБ, компания сделала своим “козлом отпущения” директора по информационной безопасности (CISO) Эми Богач, которая покинула свой пост во время кризиса, в то время как совет директоров и генеральный директор Линда Рэндл получили вознаграждения 💰

Несмотря на кризис, Clorox переизбрала всех двенадцать директоров и не создала отдельный комитет по технологиям или кибербезопасности, оставив ответственность за кибербезопасность аудиторскому комитету, в котором не было членов с соответствующим опытом в ИТ или ИБ 😍 "Прокси-заявление" включало план обеспечения кибербеза из семи пунктов, но он в значительной степени повторял планы предыдущих лет, что свидетельствует об отсутствии значительных изменений или улучшений в ответ на инцидент ИБ с катастрофическими последствиями 🤦‍♂️

Эта ситуация подчеркивает более широкую проблему с корпоративным управлением кибербезопасностью, где советы директоров часто не предпринимают существенных шагов для повышения уровня своей защищенности, вместо этого выбирая минимальное соблюдение требований и сохранение руководящих позиций и компенсационных пакетов. Фу быть такими 🤠

Читать полностью…

Пост Лукацкого

А сегодня у нас будет что-нибудь позитивное, про то, как CISO не сесть в тюрьму за инциденты ИБ 👮 Правда, на основе опыта супостатных заокеанских 🇺🇸 коллег

Читать полностью…

Пост Лукацкого

Mandiant, войдя в состав Google, стала прям строчить различные отчеты и исследования по хакерским группировкам. Вчера вот они перед саммитом НАТО 🇺🇸 в Вашингтоне запостили перечень группировок, которые нацелились на Североатлантический альянс (преимущественно российские и китайские). Там и "Ледяная фуражка" (ICECAP, она же APT29), и "Замерзший Баренц" 🥶 (FROZENBARENTZ, она же APT44, она же Sandworm), и "Холодная река" (COLDRIVER), и "Писатель-призрак" (GHOSTWRITER), и другие.

А в конце июня они выпустили другой отчет про рост роли хактивистов 🥷 (например, KillNet, Anonymous, NoName, CyberAv3ngers, Gonjeshke Darande и т.п.) в ИБ-сфере и необходимости более пристально обращать внимание на их деятельность и учитывать в своей стратегии ИБ 🎩

Атрибуция там уровня "бог", но для изучения техник вполне себе источник 🇷🇺

ЗЫ. Но как они от "песочного червя" перешли к "замерзшему Баренцу"?..

Читать полностью…

Пост Лукацкого

Тут некоторые российские специализированные СМИ выпустили новость под заголовком "Технологии Passkey бессильны перед атаками Adversary-in-the-Middle" 😷 В оригинале заголовки зарубежных СМИ звучали не так безапелляционно - "Passkeys aren’t attack-proof, not until properly implemented", то есть "Технологии Passkey не защищены от атак, пока не будут должным образом внедрены". Согласитесь, немного другие интонации. Исходное же исследование, на которое ссылаются все, звучало и вовсе в иной коннотации - "Securing Passkeys: Thwarting Authentication Method Redaction Attacks" 🤒

Идея исследования очень проста - Passkey, беспарольная технология аутентификации пользователей, несмотря на свою популярность, может быть уязвим для атак “adversary-in-the-middle” (AitM) 🥷 Некорректная реализация Passkey, например, предоставление менее защищенных методов резервной аутентификации, может позволить AitM обойти процесс аутентификации 😲 путем изменения отображаемых пользователю запросов. Используя open source решения для атак AitM, например, Evilginx, можно обмануть пользователей популярных сервисов, таких как GitHub, Microsoft и Google, захватив их токены аутентификации и сессионные cookies 😮

Большинство методов резервной аутентификации, такие как пароли, контрольные вопросы, push-уведомления на доверенные устройства, коды по SMS и email, подвержены атакам AitM 👨‍💻 Единственным надежным по мнению авторов исследования методом является использование второго Passkey или аппаратного ключа FIDO2, защищенного PIN-кодом 🤒 Использование нескольких Passkey, один из которых является аппаратным ключом, считается наиболее безопасным методом 👍 Для восстановления аккаунта при потере Passkey или аппаратного ключа, наименее уязвимым методом является использование магической ссылки по заранее определенному email или номеру SMS.

Вывод простой - не все так страшно, если думать головой и правильно внедрять Passkey. А если не думать, то создается иллюзия защищенности. И кое-кто про это уже arkenoi/whats-wrong-with-passkeys-advocacy-e3b6806b3277">писал (и это не я).

ЗЫ. Тем временем, Microsoft 📱 планирует запретить своим сотрудникам в Китае пользоваться смартфонами на базе Android 📱

Читать полностью…

Пост Лукацкого

В одном из сервисов пробива появилась база уехавших из страны после февраля 2022 года россиян 🇷🇺 Источник формирования базы, как и ее подлинность неизвестны. Но выборочная проверка журналистами некоторых лиц показывает, что данные об уехавших 🏎 в основном верны.

В базе лиц, которые выехали из страны разными видами транспорта ✈️🚘 🚶 более чем на два месяца, указаны ФИО, дата рождения, дата выезда из России и название страны, куда уехал гражданин России. В качестве причины отъезда в базе написано "Начало СВО", "Объявление мобилизации" и "Мятеж ЧВК Вагнер" 🎖 Вот именно это у меня и вызывает сомнение в подлинности базы - откуда эта причина взята? Кто в здравом уме на границе скажет правду о причинах отъезда?.. 🤦‍♂️

Даже если база фейковая (а каналы по утечкам про нее почему-то пока не написали), то ее опасность в том, что на ее основе могут начать выискивать "уехавших" - с разными целями. В свое время по утекшей базе сайта "Свобода Навальному" с работы увольняли людей. Тут может быть схожая неприятная история... 🫵

ЗЫ. Также в этом сервисе появилась база "Оппозиционеры 2022-2024", в котором собраны ФИО, ИНН, СНИЛС, адрес электронной почты, дата рождения, номер телефона и ID человека в Telegram.

Читать полностью…

Пост Лукацкого

Алекс Тейкшейра задался вопросом , можно ли рассматривать Sysmon как альтернативу EDR? И в различных околоSOCовских чатиках эта тема тоже регулярно всплывает. Продвинутые эксперты рассказывают, что они никогда не будут платить EDR-вендорам, так как все тоже самое они могут сделать с помощью условно бесплатного Sysmon'а. Алекс решил расставить все точки над i, предварительно исключив из рассмотрения кейсы домашнего применения, компаний-противников коммерческого ПО 😠, а также истории, где необходимо пост-инцидентный анализ и форензика. По сути, он отвечал на вопрос, хорош ли Sysmon именно для детекта угроз?

И ответ его был отрицательным для 99% случаев. И дело даже не в управлении Sysmon в крупной территориально-распределенной сети, а в поддержке разработки новых детектов на базе получаемой телеметрии. Кто будет их писать? ✍️ Sysmon дает вам огромный объем ценнейшей телеметрии, которую надо уметь правильно обрабатывать. Если у вас есть такие специалисты и вы уверены, что они надолго с вами, тогда Sysmon вполне себе инструмент (если не вспоминать про функцию реагирования) 👨‍💻 Но если у вас специалистов нет, то надо довериться вендорам, которые уже взяли телеметрию, проанализировали ее, написали детекты и оснастили ими свои EDR-решения, сделав эту работу за вас.

Да, детекты в EDR - это черный ящик для большинства продуктов. Вы не можете увидеть ни список детектов, ни логику/код, скрывающиеся за ними. Но тут все зависит от выстроенного у вас процесса Detection Engineering 🎮 и как вы тестируете возможности по обнаружению угроз в вашей инфраструктуре. Как и любой продукт класса xDR, он не работает в парадигме "поставил и забыл" (это, пожалуй, единственное преимущество, которое есть у антивирусов), - с ним надо постоянно работать 👀 Писать кастомные детекты, разбирать телеметрию, реагировать, отрабатывать фолсы... Просто у Sysmon надо делать все тоже самое, только в разы больше.

От себя добавлю, что все тоже самое применимо не только к "Sysmon vs EDR", но и к любым другим схожим баталиям - "Wireshark vs IDS/NTA", "Log Management vs SIEM", "NBAR2 vs NGFW" и т.п.

Читать полностью…

Пост Лукацкого

Казахстан 🇰🇿 планирует оценивать уровень кибербезопасности в стране, для чего МЦРИАП (местное Минцифры) подготовило проект приказа "Об утверждении форм, предназначенных для сбора административных данных в области информационной безопасности" 📐 Вся ИБ Казахстана будет оцениваться по трем ключевым показателям:
🔤 Уровень осведомленности населения по вопросам кибергигиены 📈 Как этот параметр будут измерять не определено. Как-то ✌️ И раз в год.
🔤 Доля государственных информационных систем, подключенных к сервису контроля доступа к персональным данным
🔤 Уровень защищенности объектов информатизации электронного правительства, который ежегодно определяется по наличию протокола испытаний на соответствие требованиям ИБ, наличию договора с организацией - центром ОЦИБ (аналог Центра ГосСОПКИ) 🤔

И ни слова про число инцидентов, время простоя государственных ИС и объектов КИИ, число утечек ПДн 📉, число квалифицированных ИБ-специалистов, число обученных кибергигиене граждан, количество киберстраховок, количество систем, выставленных на Bug Bounty, число киберпреступлений и т.п. А жаль...

Но есть во всем этом и положительный момент. В Казахстане хоть пытаются измерять уровень ИБ на уровне государства. У нас пока это получается не очень 🤠 Хотя попыток было несколько; я как-то писал об этом и о тех показателях, которые могли быть использованы у нас. Из последних попыток можно назвать показатель «информационная безопасность», который был добавлен в качестве одного из параметров рейтинга руководителей 🧐 цифровой трансформации (РРЦТ), или оперативного рейтинга, который измеряет Минцифры. Мы по нему калькулятор делали 🧮 и вы можете посмотреть, какие показатели туда включены.

Читать полностью…

Пост Лукацкого

Если вы не любите спойлеры, то не надо читать заметку Александра о том, как он сходил на анимационный фильм "Три бгатыря. Ни дня без подвига" и какие истории про Bug Bounty он увидел в мультике и как это соотносится с реальным миром ИБ ☺️

Читать полностью…

Пост Лукацкого

Представьте, что вы (допустим) провели 9-го мая кибератаку против ресурсов АНБ на Восточное Самоа, в его столице Паго-Паго. Чтобы запутать следы и чтобы американцы опять не ссылались, что атака осуществлялась из московского часового пояса GMT+3 , вы решили провести атаку тоже из архипелага Самое, но из города Апиа. Спустя полгода АНБ 🇺🇸 публикует совместно с CISA отчет с результатами расследования, в котором почему-то указано, что атака была организована 24-мя часами ранее, 8-го мая. При этом все остальное в отчете совпадает со всем, что вы делали 🖥

Читать полностью…

Пост Лукацкого

На улице был ливень, град, ветрило… Ураган 🌪️ «Орхан» безраздельно царил почти весь день в Подмосковье. Решил стейк 🥩 пожарить не на огне, а на сковороде… а она хакерская ;-) Везде знаки…

Читать полностью…

Пост Лукацкого

🎥 Как и в мультике «Головоломка», в нас живет множество эмоций.

Социальные инженеры — талантливые психологи и манипуляторы — умеют использовать каждую из них как крючок, на который можно поймать жертву.

В карточках по лекции Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies, рассказали, как именно это происходит и чем нас цепляют мошенники. С примерами, чтобы вы могли распознать такое воздействие и не поддаться ему.

Больше полезных советов — в полном видеокурсе Алексея по личной кибербезопасности на портале Positive Education.

Читайте сами, делитесь с друзьями и оставляйте социальных инженеров с носом 🤥

P. S. Кстати, посмотрели уже вторую часть мультика? Как вам?

@positive_investing

Читать полностью…

Пост Лукацкого

🟥 выпустил отчет с итогами проведения пентестов в 2023-м году. Там есть интересные цифры про то, как наши парни "ломают" 🤕 заказчиков, сколько времени на это уходит (я упоминал некоторые цифры, говоря про Time-to-eXploit). Но заметка о другом.

Почему так важно изучать и оценивать TTX, читать отчеты своих "белых хакеров", смотреть чужие отчеты и т.д.? Потому что мы, ИБшники, часто живем в плену иллюзий о том, как будет действовать "живой" хакер 🔓 И исходя из наших мыслей, мы создаем модель угроз, а потом по ней строим систему ИБ. А у хакера может быть совсем иной майндсет, иное мышление... и совсем иные способы реализации угроз, отличные от того, что там себе напридумывал ИБшник 🤔

Моделирование угроз - это точка зрения ИБшника. Чтобы убедиться в ее правоте, иди и попробуй хотя бы на Standoff в Blue Team пару дней простоять и отражать атаки, которые выходят за рамки модели, но при этом очень эффективны 😂 Но ведь нет. Не идут, боятся, прекрасно зная, что написанные на бумаге и согласованные с регуляторами модели угроз так и останутся на бумаге. Одно дело - согласовать с ФСТЭК модель и совсем другое - попробовать по ней защитить виртуальный город на киберполигоне. И уж совсем третье дело - защищаться от реальных "плохих парней" 🥷

ИБшники сталкиваются с так называемой "дилеммой защитника", когда им надо найти и закрыть все дыры в своей инфраструктуре, а хакеру нужно найти всего одну единственную 🤜 И чтобы эта дилемма решалась, нужно обладать майндсетом, как модно говорить на Западе, хакера, то есть думать как он и действовать как он. И вот тогда, вы сможете приблизиться к пониманию того, как вас будут реально ломать и что можно этому противопоставить 🛡

Читать полностью…

Пост Лукацкого

🏗 С чего начать строить кибербезопасность в компании?

С определения недопустимых событий? С реализации защитных мер, предписанных приказами и прочими нормативными актами различных ведомств? С ситуативной защиты?

🧱 Это все, конечно, вещи необходимые. Но для начала Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, советует сосредоточиться на нескольких более простых и эффективных вещах. Записали в карточках, какие кирпичики нужно заложить в фундамент киберзащищенности организации любого размера и сферы деятельности.

Готовы? Пробуйте сами и делитесь с коллегами.

#PositiveЭксперты
@Positive_Technologies

Читать полностью…
Подписаться на канал