Тут Алексей Лукацкий приводит в пример использование ChatGPT для поиска уязвимостей и задается вопросом о нужности пентестеров — специалистов, которые сегодня за большие деньги эти уязвимости ищут.
И как всегда провоцирует на размышления — я вот с другой стороны зайду, со стороны плохишей в черных шляпах:
1. Как скоро поиск уязвимостей станет сервисом-коммодити в хакерском сообществе за 10$ руками умельцев, которые могут формировать правильные запросы к ИИ?
Как скоро взлом систем сведется к командам:> Exploit critical vulns at company X (эксплуатируй критические уязвимости в компании Х)
> Upload data to pastebin (выгрузи данные в паблик)
> Get emails of top-10 executives at Company X (получи список емейлов топов)
> Send them a ransom note with my monero address (отправь им емейл с вымогательством и моим криптовалютным кошельком)
2. Как скоро взлом станет именно таким, как он показан в хакерских голливудских фильмах?> hack company X
… hacking …
> access granted!
3. Как скоро регуляторы всего мира запретят ИИ смотреть в чужие домены и как это будет реализовано?
@alukatsky, пора придумывать новый термин для нового поколения script kiddie!
Скайнет может нам пока и не грозит, но конкуренция у некоторых ИБшников будет нехилая.
Хочется на PHDays эту тему покрутить, если получится…
Небольшое видео на тему важности наличия не только инструмента, но и умения им пользоваться.
К ИБ имеет самое прямое отношение - а то накупят, понимаешь, всяких XDR, SOAR, NDR, NG SIEM и иже с ними, а потом жалуются, что оно не помогает ловить хакеров :-)
Про атаку шифровальщика, от которой пострадало 1000 судов DNV Ship Management написали многие, а про закрытие на сутки нескольких сотен ресторанов KFC и Taco Bell в Великобритании по той же причине никто. А ведь это гораздо ближе и понятнее обывателю. Получить свой товар с задержкой? К этому привыкли многие. Не пожрать вредной еды - катастрофа 🍔
ЗЫ. Интересно оценку ущерба посмотреть от простоя.
Ну прекрасное же 🙂 Хакер в стиле Рубенса и греческая статуя хакера, как их видит нейросеть Midjourney...
Читать полностью…А вот в этом варианте я ChatGPT уже дал более четкую задачу - написать комикс про CISO, которому гендиректор отказал в бюджете на ИБ. Дальше этот текст загнал в Midjourney и она мне сгенерила два варианта картинок, из которых я выбрал второй, нанеся на него текст, также предложенный ChatGPT.
Читать полностью…Ну и чтобы предыдущий пост не был воспринят за правду 🙂 Помимо текста ИИ может генерить и картинки. Я вот, со своим не самым лучшим чувством прекрасного, попробовал рисовать комиксы про ИБ. DALL-E в этом плане мне не очень подошел - там и лица кривые (для защиты от дипфейков) и надо сильно дорабатывать картинку по результатам создания прототипа. Midjourney в этом плане гораздо интереснее. Первая картинка - 4 варианта по написанному ChatGPT тексту (да-да, текст комикса написала ChatGPT без указания тематики; просто ИБ-комикс). Вторая картинка - доработанный вариант Midjourney и потом я просто придуманный ChatGPT текст нанес на рисунок. Все. Комикс готов :-) На все ушло минут 10-15
Читать полностью…А в этом примере я задал чуть больше деталей в вопросе и получил более детальное описание. По сути - это уже основа не просто для заметки в блоге, но для статьи на сайте или для курсовой. В США сейчас активно идет "борьба" с ChatGPT в ВУЗах. Одни просто блокируют доступ к ИИ из вузовской сети или используют сторонние сервисы для проверки текстов, сгенерированных ИИ. Другие - разрешают применение ChatGPT, но устанавливают более высокие требования к тексту и проверяют то, какие вопросы задавал студент ИИ (умение формулировать правильные вопросы, часто гораздо важнее, чем умение получать ответы).
Про написание книг с помощью ChatGPT я уже приводил примеры выше. В общем, если отбросить написание или проверку кода с помощью ChatGPT и сфокусироваться только на генерации текстов, этот инструмент позволяет решать многие проблемы. Например, убогие сайты вендоров по ИБ, создание словарей и энциклопедий по ИБ, написание понятных инструкций, популяризация сложных концепций ИБ простым языком и т.п. И все это можно размещать в своих интернет-ресурсах (если нет хороших авторов).
Госорганы США не выполняют рекомендации по кибербезопасности
Счётная палата США (GAO) опубликовала первый из планируемых четырёх докладов о проблемах в области кибербезопасности, на которые должно обратить внимание федеральное правительство.
Утверждается, что из 335 рекомендаций по кибербезопасности, сделанных GAO с 2010 года, по состоянию на конец 2022 года были выполнены только 40%.
Претензии GAO касаются, в частности, национальной киберстратегии: версия документа, принятая при Трампе, не включала цели и задачи, показатели исполнения, информацию о выделяемых ресурсов. Эти недостатки предлагается исправить в новой редакции киберстратегии, над которой работает администрация Байдена (документ должен быть опубликован позднее в этом месяце).
Другой пример (на картинке) — рекомендации по управлению рисками цепочки поставок. Из 23 ведомств ни одно полностью не выполнило все советы GAO.
Когда мы считаем ущерб по произошедшим инцидентам, то там ничего сложного нет. Методология понятна (я про нее даже экспресс-курс делал). Бери, декомпозируй и считай. Ну разве что исходных данных могут не дать, но это отдельная тема. А вот как быть с ущербом будущих периодов? Посчитать его просто так нельзя - от множества параметров зависит и будущий результат. У вас может быть ущерб 3 миллиона, 10 тысяч, 1 миллиард или вообще никаких потерь. И как это просчитать? Как понять, какой из вариантов наиболее вероятен? Тут может помочь метод Монте-Карло. При определенных условиях...
Читать полностью…Чаты и каналы Telegram по информационной безопасности 2023: https://zlonov.ru/telegram-security-list-2023/
Читать полностью…Очень интересная диаграмма, которая показывает, что бизнес-руководство опрошенных компаний смотрит на ИБ именно с точки зрения бизнеса; как на тему, которая способствует развитию бизнеса. А вот ИБшники на 20% реже так думают, считая, что ИБ - это больше тема соответствия требованиям. То есть сами ИБшники загоняют себя в тупик, больше занимаясь бумажной безопасностью, чем результативной. И вроде бизнес готов смотреть на ИБ правильными глазами, но ИБ к этому не готова 🙁 То есть это не "бизнес не понимает ИБ", а ровно наоборот 🙁
Читать полностью…"Утечки не было!". "Она старая!". "И вообще это не у нас!". Никакой фантазии у тех, у кого утекло. Вот как надо реагировать на утечку ;-)
ЗЫ. Если кого-то задевает некоторый сексизм в отдельных шутках и мемасиках... ну, извините. Я тоже не совершенен :-)
Mailchimp снова взломали. Второй раз за полгода. Кто пользуется их рассылками стоит задуматься о смене паролей и вообще…
Читать полностью…Ну и финалочка на сегодня про ChatGPT (наверное, если больше ничего в голову не придет). Попросил ее написать мне стихи про кибербезопасность. Вот тут вылезла слабость ИИ при работе с русским языком. На английском стихотворение вполне рифмованное, чего не скажешь о русском тексте.
Читать полностью…Если помучаться, то Midjourney может нарисовать картинки в любом стиле - от Рубенса до Пикассо и от Disney до Pixar. Ну а чтобы сделать из прототипа картинку, нужно уже некоторое знание графических редакторов, чтобы нанести нужный текст в правильное место. Предыдущие картинки я "рисовал" без каких-либо редакторов, но вот на текущих без них уже не обойтись. Поэтому просто показываю вариант на текст ChatGPT, что CISO отказали в бюджете на ИБ.
Читать полностью…Агентство CISA обновило свое руководство "Best Practices for MITRE ATT&CK® Mapping", которое должно помочь специалистам правильно "разложить" кибератаки на тактики, техники и процедуры из матрицы MITRE ATT&CK.
В новой редакции учли изменения самой матрицы, добавили таблицу с распространенными аналитическими ошибками и погрешностями, а также сформулировали рекомендации по "маппингу" для систем управления производственными процессами.
Кстати, идея для авторов телеграм-каналов 👨💻 - не знаешь, что писать или пропало вдохновение✍️, привлеки ChatGPT. Задай ей вопрос и опубликуй ответ. Так можно прожить достаточно долго 👋 Да, я сам так сегодня сделал 😂
Читать полностью…Регулярно прилетают какие-то идеи и я их тестирую на ChatGPT. Вот, например, попросил ИИ написать для меня заметку в блог про метрики ИБ, интересные для гендиректора. Получился вот такой текст (я его вообще не менял, не причесывал, не корректировал):
Кибербезопасность является ключевым фактором для любой компании, и генеральный директор должен быть в курсе о том, как защищены ИТ-активы компании. Для отслеживания кибербезопасности необходимо определить несколько ключевых метрик:
1️⃣ Количество и тип кибератак: Отслеживание количества и типов кибератак, которые направлены на компанию, позволяет оценить уровень уязвимости и сделать необходимые меры по защите.
2️⃣ Рейтинг безопасности: Оценка рейтинга безопасности компании по сравнению с другими компаниями в отрасли позволяет оценить уровень защиты и сделать необходимые меры для улучшения.
3️⃣ Процент защищенности: Отслеживание процента защищенности ИТ-активов компании позволяет оценить насколько изменяется состояние защиты и определить необходимые меры для улучшения.
4️⃣ Время восстановления после инцидента: Отслеживание времени, необходимого для восстановления после инцидента, позволяет оценить эффективность плана действий по восстановлению и сделать необходимые меры для улучшения.
Генеральный директор должен регулярно отслеживать эти метрики и делать необходимые меры для улучшения кибербезопасности компании. Это поможет держать руку на пульсе о том, как защищены ИТ-активы компании и минимизировать риски потери данных или других убытков.
Очевидно, что если улучшить и детализировать сам вопрос, то и текст получится менее абстрактным.
Я завершил серию заметок, рассказывающих о том, как иностранные CISO ходят к своему руководству и как доносят до него непростую тему кибербеза. Вот что вошло в эту серию:
1️⃣ С чем CISO ходят к своему руководству? 8 примеров
2️⃣ С чем CISO ходят к своему руководству? Разговор о рисках, угрозах и недопустимых событиях
3️⃣ С чем CISO ходят к своему руководству? Демонстрация зрелости ИБ
4️⃣ С чем CISO ходят к своему руководству? Критические инциденты
5️⃣ С чем CISO ходят к своему руководству? Инициативы по ИБ
6️⃣ С чем CISO ходят к своему руководству? Метрики ИБ
В отчете Всемирного экономического форума есть и другие интересные выводы:
1️⃣ характер киберугроз меняется и на первый план выходит нарушение бизнес-процессов и ущерб репутации (это два основных опасения всех респондентов)
2️⃣ геополитическая нестабильности помогла уменьшить разрыв в восприятии ИБ у CISO и топ-менеджмента, которые ожидают катастрофических киберсобытий в ближайшие пару лет. 43% руководителей считают, что киберугрозы приведут к материальному ущербу, а не просто финансовым или репутационным потерям. Это приведет к большему выделению денег на повседневную ИБ (SecOps), чем на долгосрочные инвестиции в ИБ
3️⃣ Защита данных и геополитика приводит к балканизации (фрагментации), что приводит к изменению принимаемых решений касательно инвестиций в ИБ-решения и в то, как управляется бизнес
4️⃣ Руководство компаний понимает, что их безопасность зависит от ИБ на всем протяжении бизнес-процесса, включая и всю цепочку поставок
5️⃣ Бизнес и ИБ стали чаще встречаться. 56% CISO говорят, что встречи проходят ежемесячно.
🔤 Ну и до кучи рекомендации о том, что ИБ и бизнесу надо говорить на одном языке, метрики помогают наладить коммуникации, людей не хватает и т.п.
Это, конечно, занимательная иллюстрация. Руководителей бизнеса и ИБ спросили, насколько они чувствуют свои организации устойчивыми в цифровой сфере. У топ-менеджмента уверенность в своей киберустойчивости пошатнулась за прошедший год. А вот у ИБшников она наоборот выросла.
Читать полностью…К Всемирному экономическому форуму был подготовлен не только отчет о глобальных рисков (см.👆), но и отчет по кибербезопасности, в котором руководители бизнеса и руководители ИБ делились своим видением влияния ИБ на бизнес и геополитику. Отчет достаточно высокоуровневый, но есть интересные моменты, которые меня зацепили и о которых я напишу дальше.
Читать полностью…Ну что, завершаю серию заметок про то, как иностранные CISO ходят к топ-менеджменту, защищая себя, свои проекты, своих подчиненных, свои инициативы. На этот раз поговорим на мою любимую тему - о метриках, которые позволяют демонстрировать определенные достижения в области кибербезопасности. CISO из описываемых мной примеров в части применения метрик при общении с руководством активно спорили о том, что лучше, - больше рассказывать, а не фокусироваться на числах, или наоборот. Понятно, что какие-то метрики все равно будут включены в отчеты для руководства (тот же уровень зрелости), но надо сразу сказать, что универсального перечня метрик не было, нет и вряд ли будет. Все очень сильно зависит от кучи условий, ключевых инициатив и инцидентов, отрасли компании и множества других факторов.
Читать полностью…