Интересная коллекция ссылок на SOC-тематику, но не могу сказать, что она полна. Я нашел несколько ссылок, которых у меня не было, но не нашел (и много чего) в коллекции то, что есть у меня (моя коллекция раза в два/три больше).
Возможно, это связано с тем, что сам по себе термин Security Operations Center не имеет однозначного толкования и кто-то в него включает только базовые сервисы - мониторинг и реагирование (с сопутствующим Threat Intelligence), а кто-то смотрит шире, дополняя его киберучениями, багбаунти, поиском уязвимостей, фишинговыми симуляциями и т.п.
А может дело просто в том, что у меня в коллекции много и непубличных или платных материалов и книг, которые не включены в Github Awesone...
Хотите чтива на выходные? Их есть у меня. Новый очередной номер журнала Positive Research. В этом выпуске мы подводим итоги 2022 г. и рассказываем о трендах 2023-го. В фокусе — громкие атаки, результативная кибербезопасность, недопустимые события, отраслевые кейсы и исследования, а также реальный опыт экспертов Positive Technologies.
В новом номере:
🟥 Итоги 2022-го: кому вилы в бок, а кому реальная защита...
🟥 Кто и как атакует российские организации
🟥 Результативная стратегия управления уязвимостями
🟥 Рынок ИБ в России: рост вопреки прогнозам
🟥 Смена парадигмы ИБ, переход к результативной защите и другие тенденции 2023 г.
🟥 Мы предложили хакерам похитить деньги со счетов Positive Technologies и заработать 30 млн рублей
🟥 Что не так с информационной безопасностью в промышленности и ТЭК
🟥 Финансовая отрасль: атаки, пентесты и работа с недопустимыми событиями
🟥 Медицина лидирует по утечкам данных
🟥 Недопустимые события для ИТ-компаний
🟥 Наука и образование страдают от шифровальщиков
🟥 Мировой рынок bug bounty: кто, зачем и сколько платит за уязвимости
🟥 Как обнаружить 10 популярных техник атак
🟥 Искусственный интеллект и информационная безопасность
🟥 Письмо ценой катастрофы: расследуем атаку, используя продукты Positive Technologies
🟥 Трендовые уязвимости начала 2023 г.
И многое другое!
Mandiant вычислил Ростелеком-Солар
Специалисты Mandiant нашли на VirusTotal вредоносную программу, предназначенную для атак на киберфизические системы, а конкретно для отключения электроэнергии. Вредонос был загружен на сайт из России в 2021 году. Специалисты отмечают, что по своим возможностям программа, которую в Mandiant обозначили как COSMICENERGY, похожа на INDUSTROYER.
Главный нюанс: согласно одному из комментариев в коде, вредонос мог быть разработан для учений на киберполигоне Ростелеком-Солара в качестве инструмента для редтиминга. То есть из лучших побуждений и в оборонительных целях. Впрочем, достаточных подтверждений этому ресёрчеры найти не смогли, поэтому допускают, что программа всё же была разработана злоумышленниками. А значит операторам систем с устройствами, уязвимыми к атак с помощью вредоноса, должны быть настороже. В любом случае, говорится в отчёте, барьеры для входа в разработку вредоносов против киберфизических систем снижаются.
За 12 лет я был на PHDays обычным участником, спикером и модератором. А вот теперь я стал организатором. Причем в отношении PHD это совсем не то, что организатор других ИБ-мероприятий; а у меня есть такой опыт 🏄♂️
Сначала тебе дают отдают в полное управление бизнес-трек и говорят, организуй. И тебе кажется это несложным. Ну при моем-то опыте организаций разных, хотя и менее масштабных мероприятий. Потом оказывается, что все желающие выступить, включая партнеров, не влезают в один шатер, и надо строить второй 🎪 Потом тебя просят подвинуться и ты идешь в третий шатер. А попутно у тебя еще два закрытых мероприятия в параллель основному треку и Positive CISO Club вечером первого дня. Я, пожалуй, впервые не смог прослушать ни одного выступления или дискуссии за все три дня PHDays. Ну кроме тех, что я сам и модерировал. Сейчас пересматриваю все видео и как будто заново участвуешь в мероприятии 🤠
И ладно, если бы тебе надо было просто придумать темы и найти спикеров. Это как раз оказалось самой простой задачей. Тебе еще надо умудриться найти способ не разругаться с большими чиновниками, которые за день до мероприятия решают вдруг, что без их участия мероприятия не обойдется. Или партнеры, которые вдруг решили, что они обязаны выступать только в пятницу и никаких суббот. А вопрос помощницы другого большого начальника «А где тут VIP-туалет?»? Так и хотелось ответить: «Вам везде!» 🚽
Но все равно - это новый колоссальный опыт 🏋️♀️, который я получил и который был бы невозможен без команды 🟥 А пока послевкусие и продолжительный отходняк... 😱
Делать обзоры выступлений непросто, а делать обзоры обзоров тем более. Поэтому не буду. Если вы хотите почитать, что говорили ФСБ, ФСТЭК, Минцифры, Госдума на PHDays, то милости прошу в блог
Читать полностью…Все-таки нейросеть "Кандинский" не зря так называется. Она очень абстрактна и явно уступает по качеству картинок MidJourney 🎨 Вот, например, что она рисует по запросу "ответственность за результат в области кибербезопасности" в разных стилях (Telegram-версия "Кандинского" вообще один депрессняк рисует 🧑🏻🎨).
ЗЫ. Может, конечно, надо с промптами поиграться (даже не может, а надо), но все-таки, все-таки...
ЗЗЫ. Хотя, как простенькие заставки к новостям, этого вполне хватает. Если не придирать к нюансам анатомии, например, рук…
Прочитал тут в отчете: "Russian EW is also apparently achieving real time interception and decryption of Ukrainian Motorola 256-bit encrypted tactical communications systems, which are widely employed by the Armed Forces of Ukraine", что означает, что Россия научилась в реальном времени дешифровать коммуникации, защищенные 256-тибитным ключом 🤔 Видимо, только для конкретного технического решения, хотя... Деталей в отчете нет, но интересненько... Как? 🧑💻
Читать полностью…Вчера по радио говорили про концепцию риск-шеринга, которую активно обсуждают в России. Это инновационная модель лекарственного обеспечения с оплатой за результат. Оплата за разработку фармпрепарата по госконтракту осуществляется по факту получения терапевтического эффекта, иначе сумма контракта снижается.
Мне кажется, если уж такая консервативная отрасль, как медицина, переходит на модель с оплатой за результат, то уж кибербезу это давно пора делать. На прошедшем PHDays эту тему активно обсуждали и на пленарке, и в отдельных дискуссиях бизнес-трека. Но надо признать, что пока большинство ИБшников опасается брать на себя ответственность за результат (причем не только требовать такой результат с вендоров и поставщиков услуг, но и обеспечивать его внутри своей компании). Да и сам результат-то не всегда мы способны описать в понятным всем терминах.
Интересный опыт у Минцифры, которым она поделилась на PHDays (вторая ссылка выше), - прописывать в контрактах с поставщиками ИБ-услуг штрафные санкции за простой в результате инцидента. И это не просто какие-то смешные цифры, а десятки процентов от суммы контракта. Правда, в этом случае и сумма контракта может быть повышена и это обосновано и понятно руководству. Но сама по себе идея оплаты за результат дисциплинирует.
3 года тюрьмы, 800 тысяч штрафа и конфискованный компьютер 💻 Таков приговор российскому ИТшнику за DDoS-атаки на российские объекты КИИ
Читать полностью…Квиз на закрытом Positive CISO Club тоже прошел на ура! Были и простые вопросики, которые 20+ команд угадывали быстрее отведенных на вопрос 30 секунд. Например, про троянского коня 🐴 Но были и более сложные истории, например, про фреймворк ERM&CK, анонсированный на PHDays 12 🤔
Читать полностью…На PHD12 не только VK занимался повышением осведомленности пользователей, но и холдинг Rambler, который к киберфестивалю запустил и онлайн-игрушку, и советы по ИБ от "Кибербезопакла", легендарного первого ИБшника 🤔 Наконец-то у нас awareness стал входить в моду и про него говорят уже не только ИБ-компании!
Читать полностью…Новое отечественное Security Experts Community – "это открытое сообщество специалистов по ИБ, которые хотят делать мир чуточку безопаснее и помогать коллегам на пути обеспечения защищённости своей инфраструктуры". Про него рассказали в некоторых докладах и дискуссиях на PHDays и уже сейчас в нем обсуждаются и реализуются всякие open source инициативы, к которым можно присоединиться, начав "дружить домами".
Читать полностью…Сколько тратить на ИБ от ИТ-бюджета?! 🛍 Вопрос до сих пор наипопулярнейший. Из этого заблуждения (что ИБ - это часть ИТ и считаться должна именно от ИТ) проистекает огромное количество проблем. А ведь если задуматься, то мы защищаем не ИТ, мы защищаем активы, мы нейтрализуем риски, мы боремся с недопустимыми событиями. И бюджет на ИБ должен зависеть от их стоимости, а не от того, сколько ИТ тратит на сетевуху, ОС, СУБД и принтеры.
Читать полностью…PHDays завершился; как и сутки молчания, связанные с погружение в киберфестиваль. Скоро придет время порефлексировать над произошедшим. Как организатор бизнес-трека, я так и не смог послушать ни одну из сессий (кроме двух, модерируемых мной). Но зато сейчас есть время все внимательно пересмотреть и переслушать, чтобы выцепить ключевые идеи, которые я буду потихоньку выкладывать.
Читать полностью…Продолжаю рефлексировать по ИБ-мероприятиям... ☝️ Бесит, когда вендор, оплативший спонсорский пакет, прям требует, чтобы ему дали выступить с его говёной презентацией. Ты ему предлагаешь участвовать в дискуссии, где он раскроется с лучшей стороны, но нет, он настаивает на прочтении своей никому ненужной презентации из принципа «уплочено».
Ладно бы презентация была интересная, про кейсы, про опыт, про лайфхаки. Но нет. Надо обязательно упомянуть про все продукты компании, сертификаты, попадание в реестры, свою двадцатилетнюю историю, про незнающих жизни дураков-конкурентов и что ты стоял у истоков и даже держал свечку. До сути презентации уже не успевают дойти - отведенное время уже кончилось. А в дискуссии мог бы и раскрыться... Забавно, когда этот спонсор потом же начинает требовать включить его в дискуссию. Только вот поезд уже ушел 🚂
ЗЫ. Во время вынужденного безделья с момента начала СВО и до момента ухода Cisco из России я даже начал писать книгу "ИБ-мероприятия глазами спикера и участника" 👨💻 Половину уже даже написал 😎 Вот найти бы время и закончить ее. Уж я бы там раскрыл все секреты, что думают спикеры об отечественных мероприятиях по ИБ 🤥
Интересно, а хакерам сказали, что Standoff закончился и что выходить за рамки скоупа нельзя? Или они просто во вкус вошли?..
Читать полностью…Классическая багбаунти на платформе и внутренняя, багбаунти на недопустимые события, Data Breach Bounty, фишбаунти, Month of Bug, "Дневники хакера", криты в госинформатизации и другие идеи и лайфхаки про поиск слабых мест за вознаграждение
Читать полностью…Чего творится-то... Американцы посягнули на святое, на киберучения и киберполигоны. Хорошо, что их еще на Standoff 17-20 мая не было. А то бы они гораздо больше всего увидели и узнали 😂
Читать полностью…В догонку вчерашней заметки про обзор угроз для искусственного интеллекта от немецкого BSI делюсь ссылкой на карту атак на ИИ
Читать полностью…Полторы недели назад американский суд приговорил бывшего ИТшника компании Ubiquiti к 6 годам тюрьмы за кражу гигабайтов данных у своего уже бывшего работодателя, вымогательство почти 2-х миллионов долларов под видом анонимного хакера и последующий слив информации в СМИ.
Чтобы найти виновника Ubiquiti потратила 1,5 миллиона долларов и сотни часов работы сотрудников и консультантов, но хуже всего, что утечка данных привела к потере рыночной капитализации компании на 4 миллиарда (!) долларов. Интересно, что во время расследования обвиняемый хоть и признал свою вину, но пытался придать своим действия легальный характер, сославшись на проводимые киберучения; правда, никем не санкционированные. Правда, в суде эта аргументация не сработала.
На днях был произошел схожий случай уже в Англии. Бывший аналитик ИБ, участвовавший в расследовании атаки шифровальщика на свою компанию, решил поживиться на беде своего работодателя. Имея доступ ко всем данным расследования, он подменил реквизиты криптокошелька хакера, первоначально требовавшего выкуп, на свои собственные. Но так как руководство компании не планировало платить выкуп и продолжило расследование, то бывший ИБшник компании понял, что могут выйти на него, попытался затереть все следы своего преступления, но не успел, - его задержали правоохранительные органы. 5 лет длилось расследование, в течение которого обвиняемый все отрицал, но в итоге он признал свою вину и в июле суд вынесет вердикт, в рамках которого обвиняемому грозит от 2 до 14 лет лишения свободы.
Это к разговору о модели угроз, которая часто не учитывает внутреннего нарушителя, а средства защиты не умеют мониторить происходящее внутри, фокусируясь только на периметре. А ведь будь в организации EDR/NTA/XDR/SIEM, доказательства были бы собраны гораздо быстрее, чем за несколько лет.
Немецкий BSI выпустил не очень большой, но все-таки интересный отчет с обзором различных проблем и атак на системы, базирующиеся на искусственном интеллекте. Как введение в проблему вполне себе подойдет.
Читать полностью…В году этак 97-98-м я занимался разработкой сайта "Информзащиты". Да, был у меня такой опыт 💻 Тогда вообще многие компании самостоятельно занимались разработкой своих же сайтов и каждая уважающая себя компания должна была иметь в штате веб-мастера (я был, правда, не веб-мастером, но мне было интересно). Потом, уже следующую версию, которая согласно ТЗ должна была обладать более широким функционалом, мы заказывали у внешней веб-студии.
Я по-прежнему отвечал за сайт, но уже с точки зрения заказчика, ставящего задачи и принимающего результат. Все-таки "кесарю кесарево" и разработкой сайтов должны заниматься профессионалы (правда, нельзя забывать про безопасность сайтов - веб-студии часто не очень компетентны в этих вопросах). Так вот ФСТЭК поменяла себе сайт. Ну не знаю.... Мне кажется, что давно прошло то время, когда разработкой сайта надо было заниматься самостоятельно. Все-таки надо было поручить эту задачу не ГНИИ ПТЗИ. Вон и у головного МинОбороны сайт получше, не говоря уже о Минцифры.
Как проверить, что утекшая база с персданными фейковая или скомпилированная? Об этом 10-тиминутный доклад с PHDays 12
Читать полностью…Если вы были на PHDays 12 и осталась какая-то недосказанность в ваших отношениях с этим мероприятием (вы не просто хотите сказать, как все было классно, но и сказать, что именно, или вы хотите рассказать, где мы накосячили /про регистрацию мы в курсе/ и где можно улучшить ситуацию, или даже вы хотите предложить классную идею на будущее), то заполните, пожалуйста, небольшую форму. Никаких стандартных вопросов о том, кто из спикеров вас потряс больше всего (я-то не выступал 😂), какой партнер выдал вам лучший мерч или сколько треков помимо курируемого мной бизнесового вы посетили, не будет 😊 4 необязательных вопроса ❓ с ответами в свободной форме - отвечать можно на любое количество из них. Есть что сказать, заполняйте; нет - чего время зря терять. Я буду вам благодарен - хочется в следующем году сделать мероприятие еще лучше!
Читать полностью…Если вдруг вы увидите на улицах Москвы такие граффити, то не пугайтесь, они безопасны 😊 Тем более и PHD уже закончился 😭
ЗЫ. Я, кстати, под конец киберфестиваля PHDays зашел к кибергадалке 🧙🏻♀️, которой задал вопрос о том, какие киберугрозы меня ждут. Но ответ получил позитивный - если меня что-то и ждет, то я к ним готов! На том мы и расстались. А вот узнать свое будущее 🔮 по паролю я уже не успел - к субботней полночи все кибераттракционы завершили свою работу 🧙♂️
Извещение об инциденте утечки ПДн из базы данных сайта ИнфоТеКС
20 мая около 19:00 в телеграмм-канале "Утечки информации" была опубликована информация о появлении в открытом доступе данных, полученных предположительно из базы данных пользователей сайта www.infotecs.ru. По факту публикации компания «ИнфоТеКС» незамедлительно начала проверку данной информации. Превентивно был отключен личный кабинет (ЛК) пользователей сайта www.infotecs.ru, а спустя 3 часа после старта проверки была остановлена работа всего сайта с целью детального анализа логов и образов виртуальных машин, реализующих ИТ-инфраструктуру сайта.
В 22:00 20 мая после блокировки доступа к личному кабинету пользователей началось детальное расследование данного инцидента специалистами компании «ИнфоТеКС» и экспертами компании "Перспективный мониторинг" (входит в ГК «ИнфоТеКС» и является аккредитованным центром ГосСОПКА).
Проверка подтвердила факт утечки базы данных с учетными записями зарегистрированных пользователей сайта. Предварительно установлено, что компрометации подверглась только база данных учетных записей пользователей сайта, содержащая следующие обязательные для заполнения пользователем поля: логин, имя пользователя и адрес электронной почты. Пароль доступа в базе не хранится, вместо него в базе хранится хэш от пароля, по которому пароль восстановить невозможно. Анализ базы показал, что из 60 911 записей скомпрометированной базы подавляющее большинство являются фейками, автоматически сгенерированными записями ботов, одноразовыми, технологическими записями и тп. В настоящее время идет очистка базы от устаревших данных, расследование инцидента продолжается. Уведомление об инциденте направлено в Роскомнадзор в соответствии с требованиями.
Также расследование установило, что сервисы сайта ИнфоТеКС (веб-сервер, система управления сайтом, операционные системы, системы виртуализации и балансировки нагрузки) не были скомпрометированы злоумышленником. Учетные записи сервисов сайта хранятся в других базах и не были скомпрометированы. В ближайшее время сайт www.infotecs.ru будет запущен в работу.
Все программное и аппаратное обеспечение сайта www.infotecs.ru расположено в выделенном контуре безопасности, не имеет возможности взаимодействовать с внутренней ИТ-инфраструктурой компании. Работа с сайтом как пользователей, так и администраторов сайта осуществляется исключительно через документированные возможности систем управления сайтом и вспомогательными системами через защищенные SSL/TLS-соединения. Никакого ущерба внутренней ИТ-инфраструктуре компании нанесено не было. Все бизнес-процессы компании продолжают функционировать в штатном режиме. Данный инцидент никак не повлиял на разработку и выпуск продуктов ViPNet, их качество и безопасность.
Что касается содержания скомпрометированной базы данных и безопасности персональных данных пользователей сайта «ИнфоТеКС», отметим, что при регистрации на сайте пользователь может внести в базу еще ряд необязательных полей, таких как ФИО, телефон, место работы, должность и т.д. Эти данные компания никогда и не при каких условиях не передает третьим лицам, а использует исключительно в собственных маркетинговых целях. В большинстве учетных записей эти поля не заполнены. Верифицируемыми данными, помимо логина и хэша, является только адрес электронной почты, который используется в процедуре регистрации пользователя. Остальные данные компания «ИнфоТеКС» не проверяет и не может подтвердить или опровергнуть их корректность.
Мы настоятельно рекомендуем зарегистрированным пользователям сайта www.infotecs.ru оперативно сменить пароль доступа к ЛК сразу после того, как он будет запущен в работу. Об этом мы сообщим дополнительно.
Если пользователь сайта www.infotecs.ru использовал при регистрации тот же логин и пароль, что используется в других учетных записях (личных и корпоративных), настоятельно просим сменить этот логин и пароль во всех своих учетных записях, не дожидаясь запуска в работу ЛК.
Помните, на CISO Forum, во время интервью на сцене, которое я брал у Владимира Бенгина, был упомянут проект "русский Shodan"? Так вот на PHDays компания CyberOK рассказала о "русском Shodan", новом сканере сетевого периметра Rooster, который может просканировать все адресное пространство IPv4 всего за сутки. А в презентации CyberOK про Rooster на PHDays было упомянуто, что проект делался для Минцифры. Все сошлось! 🧐
Но было бы глупо делать просто "еще один Shodan". У Rooster есть и ряд ключевых отличий. Во-первых, он сканирует все TCP-порты, а не ограниченное их число как Shodan. Во-вторых, он детектит уязвимости не через анализ заголовков/баннеров уязвимых сервисов. Да, их многие не меняют, но это сродни афоризму Козьмы Пруткова "не верь глазам своим" или более народному "На заборе хрен написано, а там дрова лежат!". Поэтому у Rooster проверки наличия реальной уязвимости делаются иначе.
А если вспомнить антипленарку на "Магнитке", то, помните, там прозвучала идея об автоматических штрафах за наличие неустраненных критических уязвимостей на периметре организаций, которые могут привести к проникновению внутрь и утечке ПДн, за которой последует оборотной штраф? Учитывая, что за ПДн у нас отвечает Минцифры, законопроект об оборотных штрафах готовит Минцифры, на Магнитке в антипленарке участвовало Минцифры, "русский Shodan" затевало Минцифры, то я бы, сложив буквы А, Б, В, Г и Д, получил бы прекрасное и защищенное будущее, которое нас ждет.🔮
Российское IP-пространство сканируется на ежедневной основе, автоматом выявляются уязвимости, автоматом рассылаются уведомления о необходимости их устранения, автоматом проводится повторная проверка, автоматом выписывается штраф за неустранение уязвимости после определенного интервала времени или отсутствии реализации компенсирующих мер, делающих невозможной эксплуатацию. Прекрасный новый мир! 🌐
ЗЫ. Последние два абзаца - это мои фантазии, конечно. Я просто сложил 1+1, но будет ли так в реальности, кто знает?..
Киберфестиваль Positive Hack Days 12 завершился! Это было очень громко и грандиозно 🎊
Хотим поблагодарить всех, кто посетил наш кибергород и территорию безопасности в Парке Горького, всех зрителей онлайн-трансляции, а также спикеров и партнеров, которые принимали участие в организации PHDays 12.
Итогами двух дней работы киберфестиваля мы поделимся позднее, а пока предлагаем посмотреть, как прошел второй день Positive Hack Days 12!
P. S. записи всех треков можно будет посмотреть на нашем сайте, а также positiveevents5242">на YouTube-канале Positive Events.
#PHD12
«ВКонтакте» запустил арт-проект о безопасности в Сети, где опубликовал работы нескольких художников на эту тему. И хотя сами комиксы, если на чистоту, довольно банальные и скорее вымученные, чем остроумные — ну не цепляют — идея не такая и плохая.
Ведут все работы в одно место — на страницу безопасности VK. Если пользуетесь соцсетью и до сих пор не были там, обязательно зайдите.
P.S. — обращает внимание имя одного из авторов «Макс Шадгаев» 🤔. Из девяти авторов только у него не указана страница в VK. Совпадение? 🙊