alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Считаю прекрасным, когда у наших регуляторов есть чувство юмора. Назвать НИР "Сомелье" 🥂 - это же отлично. Также как и систему обнаружения атак "Аргус" относить к проекту "Упырь" 🧛🏻‍♂️

ЗЫ. Спасибо подписчику, что поделился этой новостью, которую я перепроверил на сайте ФСТЭК. Так что все без обмана ☺️ Можете сами проверить. Заодно и методику по организации процесса управления уязвимостями в организации посмотрите, если еще не видели.

Читать полностью…

Пост Лукацкого

История про 3 миллиона зубных щеток 🪥, атаковавших швейцарскую компанию и выведших ее сайт из строя, что привело к многомиллионным убыткам, конечно, занятна, но это фейк 👎 В зарубежном ИБ-сообществе идет активная дискуссия не на тему, как это могло произойти, а на тему, как это могло произойти так, что об этом никто не знает - ни компании-жертвы, ни марки зубной щетки, ни одного живого свидетеля. Только статья на немецком под paywall и сплошь и рядом упоминания Fortinet, на исследования и мнение эксперта которой все и ссылаются 🤥

Но в тексте есть интересные формулировки, которые намекают, что неопубликованное исследование использовало историю с щетками, как гипотетический пример, "сценарий" для Голливуда, а не нечто реальное. Другие авторы начинают увязывать эту историю с российской хакерской группировкой NoName057(16), которая в шутку 😂 тоже начинает раскручивать историю, спрашивая своих волонтеров: "Кто инфицировал тысячи умных зубных щеток с помощью нашего ПО?" NoName057(16) действительно активно DDoSила швейцарцев 🇨🇭 в январе этого года, во время проведения форума в Давосе, но делала это традиционным способом 🤕

Пока эта история напоминает древний, как говно мамонта 🦣, миф о сталелитейном заводе в Германии, который был выведен из строя вредоносной программой, да так, что пришлось менять футеровку в сталеплавильной домне. И хотя про это упомянул в своем ежегодном отчете местный регулятор, но ни одного доказательства этого факта до сих пор не было приведено. История с зубными щетками, похоже, из той же серии 🤠

ЗЫ. Что, конечно же, не отменяет опасности заражения и последующих атак со стороны IoT-устройств!

Читать полностью…

Пост Лукацкого

Помнится, на курсе по персданным в ВШЭ, где я веду часть по защите информации, я рассказывал про уровни защищенности и про актуальные типы угроз 🤒 в виде недокументированных возможностей. Ну и чтобы каждый раз не произносить эту длинную фразу и не использовать аббревиатуру НДВ, я использовал краткое "закладка". После лекции ко мне подошла одна юрист и спросила, какое отношение наркотики 😦 имеют к персданным? Я вначале не допёр, а потом до меня дошло, что под закладкой она имела ввиду именно наркотики, а не недекларированные возможности.

Так вот Positive Technologies, следуя своей стратегии ежегодно все удваивать, выставляет на Bug Bounty новое недопустимое событие, определенное нашими топами 🔝, - закладку в код продуктов. Теперь у нас вдвое больше НС выставлено в паблик для хакеров, желающих взломать Позитив. И сумму выплат мы также увеличили вдвое - с 30-ти до 60-ти миллионов рублей💸.

Хочу обратить внимание, что речь именно о внедрении закладки (привет, кейс SolarWinds), а не просто выкладывании крякнутых лицензий или даже утечки исходников. По сути, всем желающим предлагают встроиться в конвейер разработки и реализовать то, что является для ИБ-компании, имеющей решения по AppSec и продвигающей историю с безопасной разработкой, реально недопустимым 💥

Не ссыкотно ли нам это делать? Нет, сракотно 😊 Это единственный способ не только проверить себя и свои процессы и решения, но и доказать, что мы историю с результативным кибербезом двигаем не потому, что нам хочется выделиться на фоне других игроков рынка, а потому что мы реально считаем, что только так и можно показать свою реальную защищенность. Можно, конечно, и под реальной атакой со стороны плохих парней 🤒, но тогда может быть уже поздно.

На текущий момент в программе участвует 9️⃣7️⃣8️⃣ участников. Число сданных отчетов - 🔤🔤. Размер выплат - 0️⃣

Читать полностью…

Пост Лукацкого

💸 В 2021 году крупнейшая в мире онлайн-площадка Amazon выплатила штраф в размере 886 млн долларов за нарушение европейского регламента по защите персональных данных GDPR. А в 2022 году капитализация технологической компании Okta снизилась на 6 млрд долларов в течение недели после того, как стало известно о взломе компании.

Это лишь пара примеров публичных инцидентов, ущерб от которых был оценен после того, как они произошли. Но как это сделать заранее и минимизировать потери?

💡 Об этом Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, расскажет на вебинаре 8 февраля в 14:00.

Обсудим, как отстаивать затраты на защиту от критически опасных инцидентов, если в вашей компании еще не выстроена результативная кибербезопасность, каким бывает ущерб от инцидентов и какие факторы влияют на их стоимость. Также Алексей поделится базовыми рекомендациями по предотвращению инцидентов.

Регистрируйтесь на вебинар заранее на нашем сайте

@Positive_Technologies
#PositiveЭксперты

Читать полностью…

Пост Лукацкого

Так как киберриск сейчас включает материальные последствия для любого бизнеса, использующего цифровые технологии, независимо от того, регулируется он или нет, все организации должны принять Кодекс практики управления цифровыми активами!


Этот Кодекс разработан Министерством науки, инноваций и технологий Великобритании 🇬🇧 и его предлагается принять всем топ-менеджерам английской экономики. В преамбуле к Кодексу критикуется текущая практика управления киберрисками и предлагается сфокусироваться не на технических, а бизнес-аспектах ИБ, так как в противном случае организации опять погрязнут в мало понятных руководству компаний материях (там и всякие статистические данные 📊 приводятся) вместо того, чтобы заниматься предотвращением реализации катастрофических для бизнеса последствий.

Красной нитью 🚩по предлагаемому Кодексу проходит мысль, что ИБ должна быть результативной. В английском используется более адекватный по смыслу термин "outcome", который на русском по смыслу больше смахивает на "выхлоп от каких-либо действий". Тоже "результат", но лучше применимый к бизнесовой тематике 🤑

Разрабатываемый Кодекс планируется оставаться добровольным, но судя по регулярным отсылкам к новым правилам американской Комиссии по ценным бумагам о "материализации" инцидентов ИБ и обязательном уведомлении ✉️ комиссии о последствиях, измеренных в долларах, англичане тоже думают об аналогичной истории.

Кодекс рекомендует сфокусироваться на 5 критических областях, каждая из которых подразумевает 5 шагов к улучшению текущего состояния ИБ:
1️⃣ Управление рисками
2️⃣ Кибер-стратегия
3️⃣ Люди
4️⃣ Планирование и реагирование на инциденты
5️⃣ Гарантии и надзор.

Читать полностью…

Пост Лукацкого

Вот такой значок достался по случаю 😇 Надо еще The Best Positive Blogger ✍️ заполучить

Читать полностью…

Пост Лукацкого

Спасибо подписчику, что обратил внимание на сие вопиющее безобразие. На дворе 21-й век, люди на Марс готовятся лететь и чипы в мозг 🧠 внедряют, а некоторые до сих пор пароли в открытом виде по незащищенной электронной почте ✉️ отправляют. А на облачной платформе, где и критические бизнес-системы, и просто виртуалки размещаются MFA по умолчанию не включена.

Вспоминая историю с Litres, который тоже присылал 💌 пароли в открытом виде, можно подумать, что ничего страшного в этом нет. Но увы... Когда мне в открытом виде пароль от личного кабинета присылается форумом DIGITAL KYRGYZSTAN, где я выступаю 28 февраля, мне это не грозит ровным счетом ничем. Вот форум может пострадать, так как можно "угнать" чужой бейдж и пройти на конференцию бесплатно (а если он VIP, то и есть 🍔 за чужой счет). А вот с облачной платформой ситуация совсем иная - там последствия могут быть гораздо сложнее.

Главное, чтобы потом, если вдруг произойдет взлом, не обвинять 🫵 в этом самих пользователей, как сделала 23andMe после взлома и утечки чувствительной информации чуть ли не половины всех ее клиентов.

Читать полностью…

Пост Лукацкого

Американская 🇺🇸счетная палата (GAO), которая активно занимается и вопросами ИБ (в отличие от нашей), не видит, чтобы офис директора по национальному кибербезу (ONCD), отвечающему за реализацию стратегии национальной информационной безопасности, занимался результативной ИБ. Именно так и пишет (это не я придумал или пересказал):

neither the strategy nor the implementation plan included outcome-oriented performance measures for the initiatives or for the overall objectives of the strategy to gauge success.

То есть:
ни стратегия, ни план реализации не включают ориентированных на результат показателей эффективности или на достижение измеряемого успеха в реализации общих целей стратегии


ONCD в ответ ✍️ пишет, что разработка ориентированных на результат мер безопасности полезна и ценна, но... нецелесообразна, так как таких мер в природе не существует! Шта?!.. 😮 GAO в ответ замечает, что это, мягко говоря, неправда и такие меры и метрики существуют. Правда, пример они приводят не самый удачный - число сообщений об инцидентах, которые по закону должны отправляться 🤒 в CISA. Да, это измеримый, но нерезультативный показатель. Если уж ссылаться на CISA, то результатом можно назвать срок в 15 дней, в течение которого надо устранять критические уязвимости (у ФСТЭК этот срок составляет 24 часа). Вполне конкретный и измеримый результат одного из процессов ИБ - управления уязвимостями 🛠

GAO ответствует, что без понимания конечного результата и измерения 🧮 его достижимости и движения к нему (или в сторону от него) нельзя оценить эффективность реализации национальной стратегии кибербезопасности. ONCD соглашается с этим тезисом и обещает актуализировать свои подходы в этом вопросе 🤝 Так что ждем внедрения результативного кибербеза и в США. А почему бы и нет?

Читать полностью…

Пост Лукацкого

Европол 👮🏻 выпустил небольшой документ, описывающий фреймворк по компетенциям в области борьбы с киберпреступлениям 🤒. Описаны 11 профессий, 10 компетенций, 3 уровня глубины погружения в каждую из них, а также маппинг между ними 🤒

Читать полностью…

Пост Лукацкого

Код Ivanti, которую американская CISA потребовала не просто пропатчить, а отключить во всех федеральных структурах, подсказывает, почему было принято такое решение 💻 И тут впору вспомнить, почему та же ФСТЭК так активно требует от российских производителей средств защиты (а также субъектов КИИ) выполнения требований по безопасной разработке и доказательств их реализации в процессе сертификационных испытаний 👨‍💻

Читать полностью…

Пост Лукацкого

Китайская ИБ-компания Ци Аньсинь (если я правильно ее называю) выпустила отчет по APT-группировкам, атакующим Китай 🇨🇳. Ряд описанных кампаний ранее известны не были

Читать полностью…

Пост Лукацкого

В контексте новости выше ☝️ посмотрите на интересное исследование роли подводных кабелей на кибербез. Оно было выпущено летом прошлого года, когда Дмитрий Медведев заявил, что Россия может оборвать такие кабеля с помощью подводных лодок 🤿

По мере изоляции Рунета снаружи и изнутри страны для нас это становится чуть менее актуально и критично, но и забывать про эту угрозу тоже не стоит.

Читать полностью…

Пост Лукацкого

На этом проекте, окутанном тайной, я узнал, что термин "Балканизация" (в контексте разделения Интернета и технологического развития на географические и геополитические анклавы) может происходит от слова "балкон", а не "Балканы". И это пока все, что я могу сказать о том, где я только что поучаствовал. Ждите анонсов 😇

ЗЫ. Там же я делился и некоторыми из своих личных страхов, связанных с профессиональной деятельностью 😱

ЗЗЫ. Спасибо Руслану за приглашение и команде 🤐 за профессиональную съемку!!!

Читать полностью…

Пост Лукацкого

Немецкая ж/д компания ищет админа, знающего Windows 3.11. На удаленку 😲

ФСТЭК на них нет. А то, ишь, в КИИ использовать ПО без действующей техподдержки… 😮

Читать полностью…

Пост Лукацкого

Занятнейшая история. Полиция 👮 наняла неоднократно судимую сурдопереводчицу-мошенницу, которая не знала жестового языка и просто случайно махала руками. Это мне напомнило частый кейс, когда компания нанимает ИБшника, но не имеет возможностей проверить его компетенции 🤔

И вот как это сделать?

Читать полностью…

Пост Лукацкого

Ну что, и Европа дожила до сертификации ИТ-продукции по требованиям безопасности. Пока финальный текст не опубликован, но согласно проектам, новая единая система сертификации будет:
1️⃣ описывать конкретные классы продуктов и сервисов, на которые она распространяется (например, туда попадет сетевое оборудование, биометрия, МСЭ, xDR-решения, SIEM, дата-диоды, а также ОС, включая мобильные, СУБД, чипы и облачные сервисы)
2️⃣ включать конкретные требования по ИБ, которые должны быть реализованы в оцениваемых продуктах
3️⃣ предписывать, когда оценка будет обязательной, а когда добровольной
4️⃣ объяснять, когда оценку можно будет делать самому, а когда - только с применением внешних компаний
5️⃣ уточнять глубину оценки в зависимости от уровня риска применения продукта или сервиса. Надо предложить европейцам идею с недопустимыми событиями 😂

Базируется эта система сертификации на "Общих критериях"

Как мне кажется, а я застал начало этой истории еще в Cisco, все это делалось изначально с целью приструнить американских вендоров, как это происходит с поставщиками Интернет-услуг и ПДн. Но потом добавилось желание оградить Европу и от российской ИБ.

Читать полностью…

Пост Лукацкого

🆕 Давненько я не брал в руки шашки писал ничего для Хабра (3,5 года). А тут решил тряхнуть и тряхнул. 20-тистраничный текст на тему будущего, а местами и настоящего, даже не решений класса SIEM, а функции управления данными безопасности. А называть ее монолитным SIEMом или комплексом из десятка инструментов для сбора, маршрутизации, хранения, анализа, обогащения, поиска событий безопасности, реагирования на них и т.п., каждый вендор решает для себя сам 🖥

ЗЫ. А заодно это еще и первая моя 💪 публикация в блоге Позитива на Хабре. А то все Форбс, Ведомости... 😇

Читать полностью…

Пост Лукацкого

Хватить вешать стикеры 📑 с паролями на монитор, постоянно забывая их там, уходя домой. Вешай стикеры на себя - это гораздо удобнее и безопаснее!

Читать полностью…

Пост Лукацкого

Взломанный в сентябре производитель промышленных решений Johnson Control отчитался в Комиссию по ценным бумагам о результатах финансовой деятельности за 4 квартал 2023 года.

Согласно требованиям законодательства (жаль, что у нас все еще таких требований нет), JCI пишет, что потерял 📉 от этого инцидента 27 миллионов долларов на момент подачи отчетности. В эту сумму входят затраты на реагирование и восстановление; за вычетом страховых возмещений. Однако, это не все затраты.

Компания ожидает, что в первом полугодии она понесет 🤑 также потери, связанные с расходами на привлечение третьих лиц на восстановление ИТ-систем, проведение расследования и иные профессиональные сервисы, а также рост 📈 операционных затрат, связанных с последствиями инцидента (например, неработоспособность биллинга из-за шифровальщика).

Компания Johnson Controls ожидает, что эти затраты 📈 в 2024 году вряд ли сильно повлияют на доход компании. Кроме того, JCI заверяет, что многие ее траты на инцидент покрывается страховкой и будут возмещены.

Если вы не строите адекватную современным угрозам систему защиты, то вы, наверное, заложили в бюджет возможные расходы на привлечение внешних компаний, занимающихся расследованием 🕵🏻‍♀️ инцидентов?

Читать полностью…

Пост Лукацкого

По приглашению Минцифры Нижегородской области выступил на конференции с рассказом про тенденции атак и хакеров, недопустимые события, взгляд на ИБ с точки зрения бизнеса госуправления и вот это вот все. Презентацию своего выступления прилагаю 👇

Читать полностью…

Пост Лукацкого

Кстати, о 23andMe. Компания потеряла в стоимости акций уже 74% и продолжает свое стремительное падение 📉 Эксперты бьют тревогу, считая, что компания может скоро пойти с молотка и тогда генетический материал американцев попадет в чужие руки, а это угроза нацбезопасности. Такова цена инцидента ИБ, провала в его освещении и попытки свалить всю вину на своих же клиентов 😡

Читать полностью…

Пост Лукацкого

О, а я говорил, дипфейки 🎭 приходят в реальный мир. Сотрудник перевел 25 миллионов долларов 🤑 мошенникам, которые использовали realtime-дипфейки в процессе видео-переговоров, выдав себя за представителей партнеров.

Читать полностью…

Пост Лукацкого

В фильме "Место встречи изменить нельзя" есть фрагмент, когда за столом два главных героя общаются с Зиновием Гердтом, упоминающим эру милосердия, когда должна скоро настать. Именно так, "Эра милосердия", назывался сам роман братьев Вайнеров, который был выпущен в обход существовавшей в середине 70-х годов цензуры пресс-бюро КГБ, МВД, Прокуратуры, а также Главлита. Цензура не должна была пропустить роман с очень ярким, но все-таки антигероем, которого в фильме сыграл Высоцкий, но "Воениздат", где и был опубликован роман, интересовало только отсутствие в романе военных тайн, а не моральный облик героев

Так вот, мы сейчас семимильными шагами вступаем в эру страха, когда даже слова "проститутка", "хрен" и "мандула раздвижная" попадают под запрет и не проходят цензуру. А еще упоминание шифровальщика Wagner, фишинга в канун президентских выборов, кибервойны, инцидентов в крупных компаниях и много чего еще.

Читать полностью…

Пост Лукацкого

Если посмотреть на список трендовых и активно эксплуатируемых уязвимостей (KEV), который ведет CISA, мы увидим, что первое место (🥇) занимает как раз компания Ivanti с 16-тью дырами. Остальные два места в тройке лидеров у Fortinet (11 активно эксплуатируемых уязвимостей) и TrendMicro (10 уязвимостей).

Стоит отметить, что продукция Fortinet продолжает очень активно применяться и в российских госорганах 🏛, которые не только не ушли с нее, но и продолжают закупать ее и получать обновления по параллельному импорту. И помогают им в этом некоторые лицензиаты (обоих регуляторов - ФСТЭК и ФСБ).

Такая ситуация как бы намекает нам, что не так уж все хорошо у нас с импортозамещением в ИБ (а может эти госорганы ждут NGFW от 🟥?) и что регуляторам, которые требуют и перехода на отечественное, и наличия техподдержки, и выстроенного процесса управления уязвимостями 🛠, приходится закрывать глаза на такие нарушения, так как несмотря на наличие почти 30 вендоров, заявляющих, что они имеют или пишут NGFW, альтернатив-то иностранцам до сих пор нет 😭

ЗЫ. Подписчики пишут, за что им спасибо, что продукция Ivanti у нас все-таки встречается и даже на объектах КИИ. Правда, не те, что Ivanti получила в результате покупки Pulse Secure, в продукции которой, преимущественно, и находят критические уязвимости.

Читать полностью…

Пост Лукацкого

Редкая рекомендация от ИБ-регулятора - не просто пропатчить средство защиты, а не позже полуночи пятницы отключить 🔌 его и провести поиск угроз на всех устройствах, подключенных или недавно подключенных к скомпрометированному средству защиты. Под руку американского 🇺🇸 регулятора попала компания Ivanti, которой в последнее время не очень везет с точки зрения нахождения в ее коде серьезных уязвимостей, приводящих к потенциальным проблемам.

Из других рекомендаций CISA:
1️⃣ Изолировать устройства от корпоративной сети настолько серьезно, насколько это возможно. Там так и написано - "the greatest degree possible".
2️⃣ Сбросить до заводских настроек, предварительно сохранив конфиги.
3️⃣ Отозвать и перевыпустить все сертификаты, ключи шифрования и поменять пароли.
4️⃣ Аннулировать все тикеты Kerberos, а также токены для корпоративного и облачного окружения
5️⃣ На все давалось 2 дня (для тикетов Kerberos и токенов - месяц).

В США нехилый шухер поднялся из-за Ivanti. Судя по рекомендациям, похоже кого-то сильно подломали, вплоть до компрометации доменных учетных записей.

ЗЫ. У нас в регионе я что-то не встречал продукцию Ivanti.

Читать полностью…

Пост Лукацкого

Компания Palo Alto проиграла суд 😡 и выплатит 151 миллион долларов за использование 4 патентов, принадлежащих существующей с 2009 года американской компании Centripetal. Согласно вердикту суда 👩🏼‍⚖️, Palo Alto нарушила чужие патенты в таких своих продуктах как NGFW, Cortex XDR, XSOAR и XSIAM, и за нарушение каждого из них обязана будет выплатить компенсацию возмещения ущерба 🤑 в размере 37 миллионов 875 тысяч долларов.

Читать полностью…

Пост Лукацкого

Хуситы угрожают перерезать 🔪 подводные Интернет-кабели, если американцы будут опять бомбить Йемен 🇾🇪. Одни эксперты считают, что это создаст угрозу экономике (на подводные кабеля приходится до 10 триллионов долларов транзакций ежедневно), национальной и информационной безопасности. Другие говорят, что ничего страшного не будет, так как таких кабелей больше одного. А вы знаете, как ваше предприятие подключено к Интернет 🌐 и что будет, если канал до вас будет разрушен?

Читать полностью…

Пост Лукацкого

Слово «ransomware» было добавлено в Оксфордский словарь английского языка в 2018 году. Не знаю, много ли еще новых слов, которые столько «стоят» для мировой экономики? Разве что COVID, и то, не уверен…

Читать полностью…

Пост Лукацкого

Когда ТАСС, по ошибке или реально записав 📝 слова министра цифрового развития о том, что на Госуслугах будет использоваться ChatGPT, опубликовало свою новость, которую очень быстро растиражировали все, Минцифры быстро выпустило ✏️ опровержение, что имелась ввиду GPT, а не американская ChatGPT.

Когда СМИ стали распространять новости с упоминанием хранения на Госуслугах биометрических 🎭 персданных, Минцифры оперативно выпустило ✍️ опровержение (хотя для большинства граждан ЕБС, ЕСИА и Госуслуги - это части одной системы).

А вот новость о том, что от имени Минцифры ведется фейковая фишинговая 😱 кампания, пока никак министерством не прокомментирована ⁉️

Читать полностью…

Пост Лукацкого

Индусы из Ministry of Security всякие прикольные картинки про ИБ для чайников рисуют 🎨

Читать полностью…
Подписаться на канал