alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

В одном крупном холдинге у CISO среди метрик оценки его эффективности есть и такая - повысить операционную эффективность группы компаний путем ослабления защитных мер до минимально достаточного уровня! Обратите внимание - не путем усиления, а путем ослабления защитных мер! 😎

Иными словами надо не бездумно увеличивать число средств защиты, процессов ИБ, плодить оргштатную структуру и другими способами показывать свою значимость и наращивать "капитализацию", а найти баланс между уровнем ИБ, инвестициями в кибербез и пользой для бизнеса. А это оооочень непростая задача! И она реально для CISO, должности, которая является сплавом технических и организационных знаний с учетом бизнес-потребностей своего, нет, не работодателя, а бизнеса. На этом уровне CISO уже не просто наемный менеджер - он разделяет интересы своей компании и старается нащупать баланс 🤝

Читать полностью…

Пост Лукацкого

Запись 🎞 моего выступления про кибербез как неотъемлемую часть бизнес-модели любой компании или предприятия лежит на сайте конференции SberPro Tech 2023. Смотреть с 4:00:30. Всего 22 минуты, но зато каких 👀

Читать полностью…

Пост Лукацкого

Не нашел в списке, но скидки есть еще на курсы SANS (600 баксов, то есть около 10%) и тренинги FAIR

Читать полностью…

Пост Лукацкого

Плохо подготовленный социальный инжиниринг ;-)

Читать полностью…

Пост Лукацкого

🔥 Конференция Standoff 101 для новичков в области кибербезопасности продолжается!

Подключайтесь к трансляции на сайте Moscow Hacking Week, чтобы узнать:

🖥 в каких направлениях ИБ могут прокачивать свои навыки начинающие специалисты и профи.

👾 как получить свою первую работу вирусного аналитика и что ждет впереди.

🤖 как open source расширяет понимание ИБ, почему нужно заниматься eBPF и WebAssembly, посматривая на искусственный интеллект.

Об этом и многом другом расскажут профи из сферы кибербезопасности — расписание выступлений на сегодня на картинках.

#Standoff101
#PositiveEducation
#MoscowHackingWeek

Читать полностью…

Пост Лукацкого

На прошлых выходных, пытаясь противостоять серости, настигающей в это время года Москву, пошли с Айсылу в театр.

Во время спектакля Айсылу явно себя чувствовала не в своей тарелке. То ли вздрагивала, то ли была на грани панической атаки.

Не дожидаясь антракта, она выбежала из зала. Я, слыша в догонку ворчливое шипение заядлой театралки в возрасте, что водятся в пределах Садового кольца, выбежал следом.

Оказалось, что моя дама в тайне от меня взяла с собой секс-игрушку, которая управляется через приложение. Но мой телефон во время спектакля был на авиарежиме.

Тут я, как опытный человек в теме инфобеза, вспомнил о том, что есть хакеры, которые получают удовольствие, взламывая секс-игрушки. Случаев таких за последние годы было достаточно много.

И вот я натыкаюсь на очередную свежую историю о том, как «энтузиасты»(можно ли их так назвать) взламывали чужие вибраторы с помощью Flipper Zero.

В общем, окультуриться нам помешал какой-то «энтузиаст», ну а Айсылу сделала вывод, что брать с собой вибратор на величайшие пьесы современности плохая идея.

Как там говорит Алексей Лукацкий, «недопустимое событие»? Вот оно самое.

@cybersachok

Читать полностью…

Пост Лукацкого

По мнению Майкла Портера (это его имя в «пяти силах Портера»), чем сильнее развита конкуренция 🤼 на внутреннем рынке страны и выше требования покупателей, тем больше вероятность успеха компаний 🎰 из этой страны на международных рынках (и наоборот, ослабление конкуренции на национальном рынке приводит, как правило, к утрате конкурентных преимуществ) 🤔

Может и неплохо, что у нас под три десятка вендоров NGFW, с десяток SIEMов, столько же средств управления уязвимостями, DLP и вовсе без счета… 🧮

ЗЫ. А у вашего периметра (тоже слово на П) есть конец?

Читать полностью…

Пост Лукацкого

Моя презентация "Биздата. О защите бизнес-данных нетрадиционными мерами, которые реализованы у всех" с выступления на "Защите данных"

Читать полностью…

Пост Лукацкого

🤔 Знаете ли вы, что объединяет овцебыка, бабочку-шифровальщицу и кибербезопасность?

Если нет, то специально для вас Positive Education запускает бесплатный курс «Базовая кибербезопасность: первое погружение», автором которого стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

С помощью небольшого курса вы сможете понять основы отрасли: что такое кибербезопасность и как она влияет на людей, бизнес и государство. Материал в первую очередь рассчитан на новичков в этой сфере: в нем собран необходимый минимум информации, которую обычно приходится искать в различных источниках — статьях, выступлениях и видео.

Вас ждут девять коротких видеоблоков, в которых Алексей расскажет просто о сложных терминах в мире ИБ, что движет плохими парнями, кто работает на светлой стороне и даже какие инструменты ИБ использовали в Древнем Египте.

🤟 Курс доступен всем желающим, смотрите его на нашем сайте и делитесь с друзьями, которые хотят начать свой путь в сфере кибербезопасности!

@Positive_Technologies
#PositiveEducation

Читать полностью…

Пост Лукацкого

Вся это controls physiology базируется на модели FAIR-CAM, которая... не очень-то и похожа на классическое управление рисками (Risk 1.0). Магии не случилось. По сути речь идет о нормальной системе ИБ, которая зиждется на трех китах:
1️⃣ Меры поддержки принятия решений, которые позволяют приоритизировать оценить что и от чего мы защищаемся (управление активами, выбор ключевых систем, моделирование сценариев реализации угроз и т.п.)
2️⃣ Вариативные меры управления (управление уязвимостями, оценка защищенности, повышение осведомленности и т.п.)
3️⃣ Меры нейтрализации потерь, представляющие по сути собой харденинг инфраструктуры и уменьшение площади атаки.

Ничего нового, если честно. Я бы мог сказать, что это почти один в один концепция результативного кибербеза, только подана красиво и привычно использует слово «риск» в своей основе 👌

Читать полностью…

Пост Лукацкого

Устроим сегодня день риск-менеджмента 🔥 Если вы не просто слышали про оценку рисков, а реально пытались общаться с топ-менеджментом про эту тему, то знаете, что задача эта нетривиальная. Бизнес с трудом понимает абстрактные риски, которых еще и несколько сотен в реестре. Есть разные подходы к тому, чтобы решить эту непростую проблему, например, история с недопустимыми событиями. А вот г-н Шапиро (но не тот, другой) предложил свою методологию, назвав ее изящно и просто, - Двоичный анализ рисков (Binary Risk Analysis, BRA).

Идея BRA проста до безобразия - вам надо задать всего 10 вопросов, каждый из которых имеет всего два ответа - да 🆗 или нет 👎 (отсюда и "бинарный" в названии). Все вопросы делятся на пары и в зависимости от комбинации ответов (Да + Да, Нет + Нет, Да + Нет) вы получаете одно из трех значений классического "светофора" 🚦Риск оценивается экспертным путем по тому, насколько атака на актив требует нужных компетенций, актив имеет слабости в защите, каков источник угрозы и насколько актив ценен для бизнеса.

Из этого набора вопросов уже становится понятно, что облегчив саму процедуру оценки рисков методология BRA рассчитана на ИБшников (ну откуда бизнес знает про компетенции хакеров и слабости в защите активов?). А вот откуда ИБшники возьмут ответы на последнюю пару вопросов (имеет актив ценность для бизнеса и будет ли стоимость восстановления актива значительной), BRA не отвечает 🤑

Резюмируя могу сказать, что попытка облегчения оценки рисков в BRA достаточно интересная, но основную проблему она так и не решает. Бизнес все равно не будет ею пользоваться, а ИБшник не сможет донести важность темы до топ-менеджмента 🧐 Тут нужно нечто совершенно иное, простое и понятное для бизнеса.

Читать полностью…

Пост Лукацкого

А часто ли вы проверяете, нет ли в соцсетях у вас двойников, которые прикрываясь вашим именем, пишут всякую чушь и даже больше, тем самым подставляя под удар вашу репутацию? Вот, например, фейковый аккаунт моего друга и товарища по киберборьбе Алексея Волкова. "Он" участвует в ИБшных чатиках и постит всякое нелицеприятное для людей. У меня тоже как-то был фейковый аккаунт на Github 😊

Если вы личность публичная, то стоит регулярно проверять Интернет на предмет цифровых двойников. У "больших дядей" для этого есть отдельные люди и даже сервисы DRP (Digital Risk Protection), которые следят за появлением в соцсетях фейковых аккаунтов генеральных директоров компаний и организаций. А что делать обычному, пусть и популярному человеку? Только самому следить за своей цифровой репутацией 🧐 И надеяться на помощь коллег и друзей, которые увидят и обратят внимание!

Читать полностью…

Пост Лукацкого

Матрица MITRE ATT&CK, версия для АСУ ТП для отрасли энергетики с указанием техник, используемых в последних инцидентах

#soctech

Читать полностью…

Пост Лукацкого

Вчера, в ночи, с друзьями за бокалом коньяка, зашел разговор о том, что фреймворк - штука полезная не только в ИБ, но и в приготовлении плова, щей, а также во многих других вещах. Но если про плов и щи я писать в канале не планирую, то вот про ИБ поговорить можно. Фреймворков в ИБ существует немало; думаю наберется не меньше двух-трех десятков. Есть более популярные, например, NIST CSF или ISO 270xx, есть менее, например, SABSA или ISM3. В любом случае они позволяют не только построить ИБ (другой вопрос, будет ли она результативной, но это отдельный разговор), но и оценить текущий уровень защищенности и попробовать его даже "продать" топ-менеджменту. И можно себя даже сравнивать с другими компаниями на рынке, следующими тому же фреймворку. И вот в отчете, на который я ссылался вчера, был также вопрос о том, с помощью какого фреймворка/стандарта компании оцениваете зрелость своей программы ИБ? Ответы вы видите на горизонтальной гистограмме.

ЗЫ. В России фреймворков по ИБ, к сожалению, нет. И да, ГОСТ 57580.х к таковым не относится, так как он ни слова не говорит о том, как внедрять ИБ; да и сами требования ГОСТа без поллитра не разберешь (да и с литром тоже).

Читать полностью…

Пост Лукацкого

А вот какие еще метрики, помимо классической тройки MTTD-MTTR-MTTC, используются SOCами. На пьедестале с первыми тремя местами, конечно же, размер члена число инцидентов, число уязвимостей и число попыток взлома. Бестолковые, но легко измеряемые метрики, которые ложатся на стол руководству, которое недоуменно спрашивает: "И что? Как это все связано с нашим бизнесом/госуправлением? Мы стали меньше зарабатывать или хуже оказывать госуслуги гражданам?" И нет ответа на этот вопрос И все остальные почти два десятка метрик тоже не помогают отвечать на эти вопросы. Но зато считаются легко и тешат собственное самолюбие.

Выбирая метрики, задайте тот же сакраментальный вопрос: "Кому я буду показывать результаты своей деятельности?". Ответ на него подскажет вам, правильные метрики вы собирались выбирать или нет.

#soctech

Читать полностью…

Пост Лукацкого

Дашборд по ИБ в управлении обслуживания фермеров (Farms Service Agency), входящем в структуру Минсельхоза США. Тамошний CISO считает, что с помощью такого дашборда он следует подходу, ориентированному на результат (Result-based Management), увязанному со стратегическими целями агентства. Как по мне, так при хорошей задумке реализация на троечку. Сама по себе идея измерения текущего состояния ИБ и его улучшения неплоха, но тут, как мне кажется, измерения ради измерения. Вроде и делается что-то, но как это все связано с помощью американским фермерам?

Большинство метрик уровня compliance - завершено в срок, реализовано защитных мер, соответствует требованиям, сделано по расписанию, обработано запросов… Скучно 🥱 и совсем не про реальный результат 🤨

Читать полностью…

Пост Лукацкого

Муж не дебил, он админ с чувством юмора 💻

Читать полностью…

Пост Лукацкого

Неминуемо приближается Черная пятница, а значит настало время тратить деньги, хотя это и стало делать сложнее🤷
Уже по традиции можно посмотреть скидки на различные курсы, сервисы и утилиты по направлению ИБ в репозитории InfoSec Black Friday Deals ~ "Friday Hack Fest" 2023 Edition 🔥

Еще можно заглянуть в Awesome Black Friday/Cyber Monday Deals - 2023 - здесь также можно найти скидки на книги, утилиты, сервисы различных направлений🛍

Читать полностью…

Пост Лукацкого

Когда с вашей символикой делают разные прикольные штуки, значит любят, значит появляются фанаты, значит тема ушла в народ!

Читать полностью…

Пост Лукацкого

Чего мне не хватает на сайте НКЦКИ, так это отдельного раздела с предупреждениями о той или иной угрозе. Есть там раздел "Бюллетени НКЦКИ", но он про новые уязвимости. Есть раздел "База уязвимостей", но чем он отличается от предыдущего не очень понятно (разве, что в нем последняя уязвимость датируется началом октября, а в "бюллетенях" серединой ноября.

А вот особые предупреждения приходится выискивать в разделе новостей, что не очень удобно. Тем более, что они тоже оформлены как бюллетени НКЦКИ, хотя и не называются так же. А был бы отдельный раздел, можно было бы без проблем на него ссылаться, вытягивать автоматом и парсить новые предупреждения и т.д. Запишите это как рацпредложение! ✍️

Читать полностью…

Пост Лукацкого

Бытовой антифрод 👀😅

#пятничное #юмор

Читать полностью…

Пост Лукацкого

💬 «Не стоит пытаться бежать впереди паровоза и искать какие-то новомодные решения для борьбы с утечками, лучше начать с того, что у вас есть в арсенале уже сейчас. У всех есть фаерволы, у всех есть решение для мониторинга активности. В идеале вообще просто выстроить процесс обновления сегментации — это уже сильно поможет вам бороться с утечками данных и любыми другими инцидентами, связанными с данными» — советует Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

Читать полностью…

Пост Лукацкого

🔥 Сегодня стартует первый день нашего масштабного мероприятия Moscow Hacking Week!

Начнем с основ, а точнее с конференции Standoff 101 для студентов и начинающих специалистов, которые хотят развиваться в кибербезопасности и узнать больше об этой сфере. Специально для вас мы собрали на одной площадке крутых профи, которые поделятся своим опытом.

🤔 Реверс-инженер, специалист по AppSec, белый хакер, вирусный аналитик — как выбрать, кем стать? Из чего состоит жизнь специалиста по ИБ? На какой доход можно рассчитывать? Что нужно, чтобы стать востребованным в этой сфере?

Ответы на эти и многие другие базовые вопросы вы узнаете в ближайшие два дня. Подключайтесь к трансляции на сайте Moscow Hacking Week и делитесь ссылкой с друзьями, которые хотят попасть в мир кибербезопасности.

Расписание первого дня конференции на карточках

#Standoff101
#PositiveEducation
#MoscowHackingWeek

Читать полностью…

Пост Лукацкого

Если опуститься с оценки рисков к моделированию угроз, то мы помним, что из 4-х подходов в этой области есть и такой, в рамках которого мы отталкиваемся не от активов, не от угроз, а от нарушителя 👨‍💻, от его возможностей, которые и определяют то, что может сделать "плохой парень", то есть какие угрозы реализовать 💻

Известный в узких кругах Arkanoid, высказавшись на тему оценки рисков
«людям трудно понять, что лучше просто и сейчас, чем подробно и никогда»,
предложил свою вариацию на тему моделирования нарушителя, разделив их на 4 уровня:
😛 Хакер-оппортунист - мамкин-хакер или хактивист, звезд с неба не хватает, использует обычно готовый инструментарий
😂 Хакер с целеполаганием - может и кастомный эксплойт для известной уязвимости написать, но основное его отличие в целеустремленности и выборе целей
😉 Хакер-организатор - тратит много ресурсов на организацию атаки, стараясь оставаться незамеченным, может быть даже "в погонах", но не самого высокого ранга
😎 Хакер-хищник - желает стратегического доминирования в киберпространстве и предпринимает для этого максимум усилий.

По мнению автора эта градация позволяет писать модели угроз любой сложности, но как по мне, это возможно только если ты прекрасно разбираешься в теме и представляешь, какими возможностями обладает каждый из 4-х уровней. Без этого это еще одна классификация хакеров, не более.

Читать полностью…

Пост Лукацкого

Когда риск-менеджмент перестает работать, придумывают "риск-менеджмент 2.0" 😊 Но красиво, ничего не скажешь. Отсылки к физиологии, использованию искусственного интеллекта, генетического инжиниринга. Прям фьюжн какой-то... Но есть один нюанс в реализации этого подхода, о котором далее А вообще "controls physiology" звучит интригующе, но непереводимо на русский язык 🔫

Читать полностью…

Пост Лукацкого

Сегодня я выступаю на SberPro Tech 2023 с коротким выступлением про роль кибербезопасности в бизнес-модели любого коммерческого предприятия. Времени не так много выделено, поэтому пройдусь по самым верхам и покажу, что если смотреть на бизнес с точки зрения тех, кто зарабатывает деньги и обеспечивает функционирование бизнеса (а не веб-сайта, ОС, рутера или мобильного устройства), то найдется много точек, в которых кибербез играет свою роль. Да не всегда главную, иногда второго плана, но это тоже роль (за нее иногда и Оскары с Никами дают).

ЗЫ. Я по сути продолжаю и углубляю свой рассказ в Питере про морковку спереди и морковку сзади (кстати, все презентации с этой конференции уже выложены), но углубляюсь только в одно направление.

ЗЗЫ. Будет трансляция. Я выступаю в секции "Цифровая трансформация" (не "Кибербезопасность") около 13-ти часов.

Читать полностью…

Пост Лукацкого

Американцы в плане открытости по вопросам ИБ могут дать фору многим государствам. И одним из таких примеров является национальный план реагирования на инциденты ИБ, принятый в США в 2016-м году и распространяющийся на весь американский бизнес.

60 страниц текста достаточно подробно для документа национального уровня 🏢 расписывают, как происходит реагирование 🧑‍💻, какие роли у участников, как определяется уровень серьезности инцидентов, как происходят коммуникации во время инцидента, проводится ли атрибуция, как информация об инциденте доносится до заинтересованных сторон, как репортить об инциденте, как вовлечены в реагирование НКЦКИ ведомственные центры ГосСОПКИ федеральные центры кибербезопасности при ФБР, разведке, АНБ, CYBERCOM и т.п.

В соответствие с новой национальной стратегией кибербезопасности, о которой я уже не раз писал, американцы сейчас обновляют ✍️ свой план реагирования, который должен быть представлен в 2024-м году. Пока содержание новой версии плана неизвестно, но утверждается, что он будет "бла-бла-бла какой крутой" и учитывать уроки прошедших 8 лет.

#soctech

Читать полностью…

Пост Лукацкого

Как-то тренер по восточным единоборствам 👊 на наше нытье, что нельзя ставить против нас, безусых юнцов, которые фактически (когда я начинал заниматься, занятие восточными единоборствами 👊 было внесено в Уголовный Кодекс, статья 219.1, и поясов не присваивали) носили желтые, оранжевые или зеленые пояса, бойцов с синими и коричневыми поясами 🥋, и что это выглядит как избиение младенцев, он отвечал, что, чтобы перейти на другой уровень, надо бороться с более сильными противниками. Какой смысл биться и побеждать тех, кто слабее тебя? Ни удовольствия, ни уважения окружающих. Успешно противостоять тем, кто сильнее тебя, - вот истинное искусство и путь воина 🥢

Так и с ИБ. Не так интересно искать слабые места на сайте своей школы и размещать там фотку нелюбимого завуча с подписью "Раиса Петровна - дура!", как попробовать это сделать на нормальном киберполигоне, который является цифровым двойником👬 компании с нормальной ИБ. Не так интересно обнаруживать атаки, записанные и хранящиеся в специально подготовленном PCAP-файле, как ловить реальных, пусть и "белых" хакеров 💻, которые не всегда идут стандартным путем и не ведают, что там написано в 239-м приказе ФСТЭК или ДСПшной методически НКЦКИ по обнаружению и реагированию на компьютерные атаки.

На киберучения, которые пройдут на следующей неделе на Moscow Hacking Week, вы уже не успеете (но можно понаблюдать онлайн), а вот на следующий год запланируйте себе участие на нормальном киберполигоне. Это позволит вам прокачать реальные навыки с реальными воинами клавиатуры 👨‍💻

Читать полностью…

Пост Лукацкого

Отсюда и невысокая оценка эффективности используемых метрик - меньше половины опрошенных SOCоводов считают, что их метрики помогают улучшать процесс ИБ в организации. 50% вообще считают эти метрики неэффективны, а 10% даже не смогло ответить на прямо поставленный вопрос. А все потому, что бизнес нифига не понимает в этих показателях эффективности ничего. Для внутреннего потребления они вполне себе ничего, но вот для внешнего (за пределами SOC)... увы 🤠

#soctech

Читать полностью…

Пост Лукацкого

Не устаю повторять, что разговоры коммерческих SOCов про "мы за 15 минут реагируем на инциденты у наших заказчиков" - это трындёж и потрясание бубенцами вместо того, чтобы пойти и мешки ворочать.

Статистика показывает 📉, что меньше трети SOCов способны задетектить инцидент в течение хотя бы получаса (классическая метрика MTTD), а реагирует большинство (MTTR) в срок до 8 часов 📈 Так что слышите про 15 минут или видите это в рекламе - бегите от таких продаванов. Или требуйте доказательств; а вдруг этот SOC, и правда, обладает уникальными способностями укладываться в четверть часа 💪

#soctech

Читать полностью…
Подписаться на канал