Для обхода санкций и возможности доступа к ресурсам Сбера с зарубежных браузеров банк стал использовать «неофициальные» домены, например, securecardpayment[.]ru и secure-payment-way[.]ru. Оно и понятно - бизнес есть бизнес и терять клиентов никто не хочет. Но тут мы видим прямое нарушение рекомендации, которую ИБшники дают уже много лет, - проверяйте домены, на которые ходите. А тут как быть? Вот, например, скриншот фишингового домена microsoftidentity[.]dev для аутентификации в сервисах Microsoft.
Читать полностью…OSC&R (Open Software Supply Chain
Attack Reference) - база знаний, описывающая тактики, техники и процедуры, используемые злоумышленниками для атак на цепочки поставок программного обеспечения.
Структура фреймворка OSC&R аналогична MITRE ATT&CK. Разработана бывшими и действующими сотрудниками Gitlab, Microsoft, Google Cloud, Check Point и OWASP.
Слабый пароль в GitHub теперь считается как CVE? Вы серьезно? Я таких CVE тысячами могу нагенерить!
Читать полностью…Дорвался я что-то до отечественной ИБ-литературы (что книги, что диссертации)... Ох, зря... Но тут я не мог пройти мимо, все-таки темой SOCов я занимаюсь давно, а тут прям целая книга, да еще и с научными основами. Дай, думаю, просвещусь. Вообще, всегда удивлялся писучести ВУЗовских преподавателей. Строчат книги пачками; когда только успевают студентов учить... Ну да ладно, к книге.
Скажу честно, не зашло. Вот вообще. Ни научной ценности не увидел, ни практической. Построить даже SOC, не говоря уже о ЦПК (отличие в фокусе на предотвращении, а не мониторинге, но не суть), по этой книге нельзя. Даже высокоуровневая архитектура SOC нормально не описана; не говоря уже о низкоуровневой. Из нескольких десятков процессов SOC худо-бедно описаны 4 (и то есть вопросы). Модель зрелости SOC упомянута, но не описана. Технологический стек ограничивается преимущественно SIEM и ЖРС (это Log Management по-русски). Раздел про SIEM 3.0 убил окончательно - предлагается строить совершенные SIEMы на базе блокчейна (я бы посмотрел хотя бы на прототип системы, которая осуществляет запись в блокчейн хотя бы нескольких миллионов событий в сутки, не говоря уже о миллиардах). Утверждается, что даны вербальные описания ключевых индикаторов компрометации, но я их не нашел 🙁 Практические основы работы с источниками телеметрии?.. Нет. Use cases, плейбуки, RE&CT?.. Нет, не слышали.
Окончательно гвоздь в крышку ⚰️ забил раздел про практическую значимость книги и указание примеров организаций, в которых якобы было проведено внедрение в промышленную эксплуатацию описанных в книге результатов исследований. Но так получилось, что я в курсе того, как строилась система мониторинга в как минимум двух упомянутых автором солидных организациях. Там описанного в книге нет 🙁 А вот с тем, что материалы книги нашли свое отражение в ФГОСах 3 и 3+ по ИБ, верю.
Вообще все очень поверхностно - даже обидно при таком количестве свободно находимой в Интернет литературе. Я даже не говорю о минимум десятке книг по SOCам (именно по SOCам, а не по отдельным его процессам - реагирование, TI, аналитика, визуализация и т.п.; в этом случае только книг было бы под сотню), которые были выпущены за последнее время. Статей, WP и брошюр по теме еще больше. У меня только в электронной библиотеке таких, с любовью собранных и отсортированных, материалов 800+. То есть даже ради списка литературы книгу я бы не рекомендовал (хотя обычно у пишущих вузовских преподавателей самое ценное в книгах это именно этот раздел).
ЗЫ. А может просто это зависть во мне говорит, что я не книг давно не выпускал, ни диссер так и закончил (хотя дважды брался)? Мне тут предъявили, что я критикую одно ИБшное мероприятие потому что меня в программный комитет не позвали... Пойду к коучу-психотерапевту на сессию запишусь - может он мне подскажет, что ж я все критикую-то. Может проблема с ИБ все-таки не вокруг, а во мне?
Получаем много вопросов о том, какую профессию в сфере информационной безопасности выбрать, куда пойти учиться, и чем именно занимаются наши сотрудники. Поэтому мы решили подробно разобрать тему профессий в ИБ в новом сезоне подкаста «Hack me, если сможешь».
В первом эпизоде поговорим с ML-инженерами. Гости выпуска, руководитель отдела перспективных технологий Александра Мурзина и старший специалист отдела перспективных технологий Артем Проничев, расскажут, как устроена их работа в Positive Technologies, какие стеки технологий используют, куда можно развиваться работая ML-специалистом в ИБ и как попасть к ним в команду.Будем рады поддержке этого выпуска лайком и репостом
❤️
ПО автомобиля нельзя обновить, потому что владелец живет на холме (дорога крутая). Интересная история… Если чуть подправить код (а я думаю, там простая бинарная проверка), то можно просто реализовать угрозу (даже можно сказать недопустимое событие для владельца авто), когда авто будет нельзя обновить вовсе
Читать полностью…Представил… Поехал я на Магнитку 🧲, вышел на горнолыжный склон, стою, пью глинтвейн, осмысливаю доклад «Как достойно выстоять в противостоянии «Приказ ФАПСИ №152 vs. IIoT»… Подходит ко мне афроамериканец, говорит «Хаузит» («привет» на африкаанс) и намекает, что он сотрудник южноафриканских спецслужб. Я, конечно, сразу же сообщаю, что знаком с российскими спецслужбами, забыв упомянуть, что у многих из них я в черном списке ;-) Картина маслом…
ЗЫ. На Магнитку я, кстати, еду ✈️, а название доклада взято из программы. Все остальное - художественный вымысел. В контактах с южноафриканской разведкой пока не замечен.
Навороченная Intelligence Architecture Mindmap, которая базируется на интервью с кучей экспертов по ИБ и разведке о том, как проводится анализ информации при принятии решений в области ИБ.
ЗЫ. Сам черт ногу сломит - надо сильно увеличивать.
Кстати, портал НКЦКИ (safe-surf.ru) обновили. Симпатичненько так получилось.
ЗЫ. Сертификат TLS у него до 15 марта (всего на 3 месяца выдан). Интересно, что потом? Новый Let's Encrypt или НУЦ?
А это варианты дашбордов для темы внутреннего аудита, включая и вопросы кибербезопасности, оценки защищенности приложений и т.п.
Читать полностью…У нас в регионе прошли проверки организаций по выполнению лицензионных требований по СКЗИ. И есть несколько очень грустных новостей:
1. VPN между офисами рассматривают как лицензируемый вид деятельности и в рамках проверки по нему тоже требуется предоставить информацию. Логику этого подхода я так и не понял. Оспорить тоже похоже ни у кого не получилось. По крайней мере мне такие случаи не известны.
2. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии.
3. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. То есть если человек на прошлой работе генерил ключи на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии СКЗИ (вид деятельности 28) у него нет. Чтобы иметь стаж, он должен был генерить ключи клиентам в рамках лицензии.
4. Стаж должен быть подтверждён документально. И исходя из п.2 и п.3 будет недостаточно сказать, что у бывшего работодателя нынешнего работника была лицензия на СКЗИ. Надо предоставить внутренние документы с прошлого места работы из которых прямо следует, что он занимался именно таким видом деятельности в области предоставления лицензируемых услуг СКЗИ.
Сегодня полгода как я в Позитиве 🟥 Лыжи едут, борода седеет, горло берегу, шляпа оберегает умище. Работать не мешают, от оголтелых наездов защищают, инициативы поддерживают, кофе наливают, старпёром уже/еще не считают; тапочки в офисе теплые и не белые. Впереди много всего интересного и, надеюсь, полезного. В целом, все прекрасно и позитивно.
Читать полностью…Челядь самарского губернатора Дмитрия Азарова сообщила о взломе портала с отчётом об исполнении самарской «Народной программы» «Единой России». Экстравагантное заявление о порче базы данных появилось после того, как выяснилось, что портал набит мусором. В буквальном смысле – случайными числами и стоковыми картинками. Бесстыжую халтуру Дмитрий Азаров богато продал Андрею Турчаку («только в Самаре», «уникальное», «выполнено 5400 объектов» и т.п.). После фотосессии с планшетом (лица мыслителей, думы о народе, бровки домиком) самарский фуфел был рекомендован Турчаком к повсеместному внедрению.
Тем временем объявлена премия 100 тыс. руб. тому, кто найдет азаровскую Народную программу - 2018. В неё, якобы, внесены 340 тыс. предложений от 205 тысяч граждан. Парадоксальным образом программы нет на «взломанном» портале с отчётом о её исполнении, а на месте портала для сбора предложений – реклама казино. Исчезло и приложение «Мы вместе», которое по заказу Департамента управления делами Азарова было разработано за неделю и 24 млн.руб. бывшим продавцом М-Видео. Как, впрочем, нет и никаких следов того, что кто-либо интересовался Народной программой - 2018 до губернаторских выборов - 2023. Из 205 тысяч граждан телеграмм-каналом Народной программы заинтересовалось 84 человека. Её «уникальный информационный портал» имеет нулевую посещаемость и по какой-то необъяснимой причине не образует единое целое с официальным сайтом «Единой России». Обвинить хакеров в отсутствии интереса к продуктам губернаторской жизнедеятельности сложно. Поэтому стоит задуматься о том, насколько народной оказалась азаровская Народная программа - 2018. Если она вообще когда-либо существовала кроме как медийный фантом.
ФБ напомнил, что 10 лет назад я задавался сакраментальным вопросом, который в неизменном виде могу снова задать и сейчас. Все-таки есть стабильность у нас в стране, есть…
Читать полностью…Не работала учетка ребенка в школе. Написал в поддержку, получил гениальный ответ!
Читать полностью…Регулярно стал видеть такое в соцсетях. Будьте бдительны - включите хотя бы двухфакторную аутентификацию!
Читать полностью…Запись митапа Яндекса про внутреннюю кухню ИБ ИТ-компании. 4 доклада про безопасность финтех-сервисов в Yandex Cloud, методы защиты от современных DDoS-атак, организацию привилегированного доступа к Linux-инфраструктуре, автоматизацию процессов безопасности в корпорациях.
ЗЫ. Про утечку репозитория исходников Яндекса ни слова - обещали рассказать про это отдельно.
В прошлой заметке, когда я упомянул СПЧ, предлагающего приравнять защиту ПДн и гостайны, еще была надежда, что член СПЧ Кабанов ошибся, но теперь все встало на свои места. Тот же член предлагает аккредитовывать все организации, работающие с персданными 🤡. И ничего, что каждое российское юрлицо и ИП работает с ПДн. А потом этот член вспомнит, что раньше от каждого оператора ПДн требовали лицензию на ТЗКИ… 🥳
Читать полностью…Спорил с преподавателем английского на тему, что такое искусство и, в частности, перформанс. Я придерживаюсь мысли, что, если в центре выставки наложить кучу говна, то это будет куча говна. А препод считает, что если автор вложил в это некий смысл и вокруг кучи говна строится целая история, то это уже перформанс.
К чему это я? На фото взломанная (или упавшая) винда, управляющая подсветкой колонн в торговом центре. Это я так приземленно думаю. А айтишник ТЦ может представить это как перформанс, демонстрирующий иллюзорность этого мира, ненадежность столпов, основ, на которых держится все наше мироздание.
Во-первых, это красиво - если убрать слово компьютерной (а это вполне допустимо), то название книги состоит из 9 существительных подряд. Во-вторых, уже на первых страницах авторы, ссылаясь на "Теорию положений о криминологии" Беккария и Бентама, строят свою методику прогнозирования атак на предположении, что если:
😈 у человека есть возможность совершить преступление и
😈 человек в случае совершения преступления получает достаточную (с точки зрения нарушителя) полезность,
то любой человек становится нарушителем.
То есть если бухгалтер может (а он может) перевести 25 миллионов рублей на подставной счет и при его зарплате в 50 тысяч рублей этой суммы ему хватит на 40 лет, то, согласно теории, такой бухгалтер станет обязательно нарушителем?.. И с этим тезисом я как-то пока не могу согласиться - буду читать дальше. Может по ходу авторы обоснуют свою методику. Пока же это выглядит странновато. Хотя эта же исходная предпосылка позволяет гораздо проще предсказывать атаки - вокруг же одни враги!
ЗЫ. Но обзор методик моделирования угроз и рисков, включая и методику ФСТЭК, сделан в целом неплохой.
На календаре 2 февраля, а это значит, что наступил 2nd FActor Day!
Да, да, у двухфакторки есть свой день в календаре - отличный день, чтобы убедиться, что на всех ресурсах, где у вас есть аккаунты, включена двухфакторная аутентификация✔️
Например, на сайте Гослуслуг или в Telegram.
А на сайте 2fa.directory можно посмотреть как включить эту функцию на различных популярных сайтах.
🤔 Как управлять компанией в период цифровой трансформации и под шквалом кибератак? Как при этом выполнить положения Указа Президента №250 и организовать собственную «команду кибербезопасности»?
Поговорим об этом на вебинаре, который пройдет 2 февраля в 11:00. Кроме того, обсудим:
🔸новое понимание роли руководителя в обеспечении киберустойчивости компании, и как эта роль соотносится с требованиями регуляторов;
🔸как участие руководителя в решении вопросов информационной безопасности помогает избежать катастрофических последствий кибератак;
🔸что вообще происходит в кибербезопасности: в мире, России, отраслях и компаниях.
Также на вебинаре анонсируем программу по ИБ для топ-менеджеров «Киберустойчивая организация: управление компанией в цифровом шторме», которую Positive Technologies запускает совместно с МГУ.
🔗 Зарегистрироваться на вебинар можно на нашем сайте.
#PositiveWebinars
Программирование систем ИБ официально признано видом спорта! Теперь мы все спортсмены!
Читать полностью…Интересным поделились коллеги в одном из чатиков про результаты проверок ФСБ в части выполнения требований по шифрованию. Если это локальная история только одного региона - это одно. Но если это общая тенденция, то хреново, конечно.
Читать полностью…🧑💻 В последние годы многие компании перевели сотрудников на удаленную работу. Перед организациями встала сложная задача: сохранить непрерывность бизнеса и не открыть двери злоумышленникам к защищаемым системам.
🎙 1 февраля в 11:00 эксперты по кибербезопасности на эфире AM Live обсудят лучшие практики по защите удаленных рабочих мест, стандарты и требования законодательства по защите удаленного доступа, а также к каким системам нельзя открывать доступ извне ни при каких условиях.
Модератором эфира выступит Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.
🔗 Зарегистрироваться на онлайн-эфир можно на сайте AM Live.
#PositiveЭксперты