Мне тут в личку пишут и спрашивают, почему я ничего не пишу про взлом "Верного"? Ну а как я могу подводить подписчиков! Итак, что я могу сказать про атаку на "Верный" 🛒, а также на другие организации, которые были атакованы за последние дни. Повторю то, что я говорил в разных интервью по радио - достаточно неразумно считать, что мы пережили основной пик атак, начавшихся весной 2022-го года 📈 Более того, именно сейчас начнутся инциденты с серьезными, можно даже сказать, катастрофическими последствиями. За прошедшие пару лет плохие парни уже нащупали слабые места, закрепились в инфраструктуре и начинают реализовывать недопустимые события 💥
Но пост вообще не об этом, а о том редком в нашей области явлении, когда кто-то озвучил финансовые последствия от атаки 🤑 Да, скорее это предположение, но все-таки оно имеет под собой основу, как мне кажется. Итак, что нам говорит гендиректор «Infoline-Аналитики» Михаил Бурмистров:
По подсчетам одного из собеседника «Ъ», потери «Верного» из-за хакерской атаки уже сейчас могут составить как минимум 300 млн руб., если эта ситуация не будет исправлена в ближайшие два дня, то потери могут превысить 500 млн руб. При неработающих картах, сайте и приложении ритейлер может терять не менее 40% оборота, считает гендиректор «Infoline-Аналитика» Михаил Бурмистров. Таким образом, потери «Верного» могут составлять 120–140 млн руб. в день, или около 1 млрд руб. в неделю. Ранее в такую сумму эксперты оценивали ущерб, понесенный СДЭК от хакерской атаки.
Подогнали тут исследование, которое показывает, как LLM-агенты могут в автоматическом режиме взламывать веб-сайты. Именно в автоматическом, без участия человека, режиме 😔
Исследователи тестировали 15 способов атак - от простых к более сложным и комплексным. Например, в одном из экспериментов LLM-агент самостоятельно осуществил 38 действий 📎 - получение схемы БД, вытаскивание данных из БД, генерация SQL-запросов, обнаружение уязвимостей и итоговый взлом. При этом, тестируемые LLM-агенты ничего заранее не знали о проверяемых уязвимостях, а на каждый "взлом" им давалось ограниченное время (10 минут) 🧠
Эффективность агента на базе GPT-4 (не GPT-4o) составила 73,3%, что очень даже неплохо и ставит перед компаниями новые задачи по защите своих онлайн-ресурсов от автоматических ИИ-инструментов. У вас же есть WAF, который защищает от всех этих SQLi, XSS, CSRF и т.п.? 🕸
ЗЫ. Тем временем платформа для построения ML/AI моделей HuggingFace столкнулась с взломом.
Ситуация. У соседей хакеры зашифровали все файлы, базу данных, бэкапы и вымогают много миллионов.
Ваш испуганный техдир/техлид/тимлид прибежал и просит выделить бюджет на ИБ. Кричит, говорит что-то непонятное про какой-то рут доступ, антивирусы, selinux и apparmor.
Сохраняйте спокойствие и не ведитесь на провокацию. Спросите его, освящали ли серверную? Стоят ли там иконы? Богоугодное ли ПО использует? В храм ходит регулярно? Это база.
#база
Экс-замгубернатора Смоленской области развели на 6,5 млн рублей, пока он отдыхал в Крыму. Раньше он отвечал в регионе за цифровизацию и IT-безопасность.
До весны 2023 года Николай Кузнецов работал на должности замгубернатора и курировал в регионе в том числе информационную безопасность. После увольнения Кузнецов рассказывал в интервью, что остался работать в администрации области на должности советника-эксперта. По данным источников «Базы», мошенники связались с Кузнецовым 29 мая. Неизвестные убедили чиновника, что его накопления под угрозой и деньги необходимо срочно перевести на безопасный счёт.
Кузнецов поверил звонившим. Чтобы «обезопасить» деньги, ему пришлось прервать отпуск — из Крыма чиновник поехал в Анапу и Новороссийск, где находились указанные преступниками «безопасные» платёжные терминалы. Через них он отправил 6,5 млн рублей, а затем вернулся в Крым.
После этого Кузнецов догадался, что его обманули, и обратился в полицию.
Я тут часто писал про уязвимости в решениях Fortinet, но они не единственные из зарубежных производителей МСЭ страдают 🤬 В середине апреля Cisco Talos опубликовал у себя в блоге пост о том, что они наблюдают кампанию, нацеленную на подбор паролей VPN-устройств Cisco, Checkpoint, Fortinet, SonicWall, Mikrotik, Draytek, Ubiquiti. На днях, 27 мая, Checkpoint выпустила бюллетень, в котором рассказала об успешных атаках на некоторых своих клиентов, у которых на устройствах включен VPN или мобильный доступ 🚠
Самое интересное, что вендор пишет о возможности реализации атаки из-за нерекомендуемого способа аутентификации. Но если он не рекомендуется, то, глядь, какого рожна он не отключен? 😔 Что мешает просто отключить эту возможность в ПО и на тестах проверить невозможность ее использования? Это же вообще не проблема - не надо ничего нового добавлять. Это вам не квантовое распределение криптографических ключей в VPN-решение внедрять. Тут надо просто взять и отключить одну процедуру в коде и убрать галку из графического интерфейса. Всего делов-то... 🧑💻
Интересно, что Checkpoint не подписал меморандум CISA с 68 вендорами об обязательном включении MFA и отказе от использования паролей по умолчанию в продуктах ИБ. Интересно, почему?
Отдельные военные аналитики пишут, что в очень скорой перспективе мы столкнемся с качественно более мощными атаками БПЛА 🚀 на критически важные объекты на территории России (не путать КВО с ОКИИ). И текущий ресурс МинОбороны, сосредоточенный на защите собственных объектов и ведении боевых действий не способен будет эффективно защищать еще и воздушное пространство внутри страны. Росгвардия 👮♂️ будет в том же положении; в то время как противник сейчас только нащупывает слепые пятна в воздушной обороне, ищет слабые места и т.п. И стоят за всем этим не жаждущие мести отдельные граждане сопредельного государства, собирающие дроны у себя в гаражах, а вполне себе профессиональные службы МинОбороны, ГУР и т.п. Поэтому противостоять им службы безопасности различных НПЗ, ТЭЦ и т.п. самостоятельно не в состоянии 🤷♂️
Как следствие, согласно прогнозам, через несколько месяцев нас ждет рост числа атак со стороны БПЛА на все большее число критически важных объектов 🏭, что может привести к дефициту топлива и выходу из строя энергоснабжения, что, в свою очередь, может повлечь за собой отключения систем ИБ на предприятиях в целях перераспределениях дефицита электричества на более приоритетные системы и объекты. И есть подозрение, что за такими атаками БПЛА могут следовать и скоординированные теми же структурами кибератаки 😷
Отсюда возникает несколько вопросов, на которые каждый должен дать себе честный ответ:
1️⃣ Готовы ли к обнаружению и отражению атак в условиях отключения некоторых из ваших средств защиты? Насколько у вас реально реализован принцип эшелонированной обороны? 🛡
2️⃣ Тестировали ли вы работоспособность вашей системы ИБ (и вашей команды) в условиях внезапного отключения электричества? 💥
3️⃣ Есть ли у ваших ключевых средств защиты (кстати, вы знаете, какие из всех ваших средств защиты наиболее эффективны и должны отключаться в последнюю очередь?) резервное энергоснабжение? 🔋
ЗЫ. Не зря тут и тут говорится про физическую безопасность, которая является частью компетенций и сферой ответственности CISO.
В поиске работы я не нахожусь и это не случайно 😎 Но предложения интересные прилетают. Вот тут в Китай 🇨🇳 позвали преподавать.
Всегда хотел, чтобы студентки третьего курса, которые, как известно из древнего анекдота, не стареют никогда, называли меня "Профессор" или, в данном случае, "Чжаошу" (教授) 😇
На обычных мероприятиях по ИБ обычно настолько плотный график, что не всегда даже основные темы по ИБ успеваешь вставить, что уж говорить про смежные. Но PHD2 - мероприятие было необычное и поэтому я реализовал то, что давно хотел сделать, - поговорили с авторами разных книг по ИБ ✍️ о том, как они дошли до жизни такой, как выбирали темы для своих книг, как засталяли себя писать, как боролись с синдромом самозванца, сколько заработали на своих творениях, как публиковались зарубежом и много о чем еще. Так что если вы стояли перед вопросом - писать или нет, то, надеюсь, эта дискуссия даст вам нужный толчок! 🫵
Читать полностью…Ходят разговоры, что Snowflake ❄️ взломали, но сама компания это отвергает, ссылаясь на то, что они не видят никаких подтверждения наличия уязвимостей, ошибок в конфигурации или взломов своих продуктов, включая облачные 🖥 В утечку учетных записей заказчиков они тоже не верят. Взлома API не было. А вот взлом демо-учетки бывшего сотрудника Snowflake был зафиксирован, но, как обычно, "никакого доступа к чувствительной информации не было".
Схожая история была с атакой на тестовое окружение Microsoft и сначала тоже, якобы ничего серьезного. Так что подождем развития событий, которые не заставят себя ждать, так как:
➖ взломали крупнейшего в мира продавца билетов Live Nation (TicketMaster), о чем он уведомил Комиссию по ценным бумагам (еще и Santander Bank так же взломали)
➖ Live Nation утверждают, что взломали их через облачного провайдера (между строк говорят про Snowflake)
➖ Snowflake, как утверждают, взломали через инфостилер Luma Stealer
➖ Snowflake пока все отрицает. Ждем…
А вот и анонс SOC Tech появился. В прошлом году эта конфа, организованная впервые, была посвящена обнаружению и реагированию на инциденты с подрядчиками (supply chain attack) 🔍 В этом году организаторы хранят интригу по поводу заглавной темы. Ну и я раскрывать секретов и поднимать завесу тайну тогда не буду. Но должно быть интересно 💃
Читать полностью…После PHD2 мы получили массовые запросы на передачу архивов курса по базовому кибербезу 🛡, чтобы положить их в корпоративную библиотеку для обучения собственных сотрудников на рабочих местах. За 9 дней с момента выкладывания первого ролика из серии, на VK его посмотрели уже более 100 тысяч раз 😲 Делюсь ссылками на оба курса, которые мы выложили в формате SCORM для загрузки их в свои LMS:
👩🏫 Базовая кибербезопасность
👩🏫 Личная кибербезопасность
ЗЫ. Ссылки ☝️ ведут на портал Positive Education. А ссылки на эти видео на 📱 ptsecurity">вот
На ИТ-конференции, в понедельник, неизвестные создали фальшивую точку доступа 👴 и заманивали на нее ничего не подозревающих участников. Именно поэтому, когда меня спрашивают в рамках курса по персональному кибербезу, как защитить Wi-Fi (не домашний), моя первая рекомендация всегда касается полного отказа от беспроводного доступа.
В большинстве городов он не нужен - LTE 📡 работает достаточно неплохо и полностью заменяет необходимость подключаться к непонятным точкам доступа. Да, создать фейковую базовую станцию тоже можно, но все-таки это требует бОльших ресурсов, чем фальшивый 👎 Wi-Fi.
А уж на ИТ/ИБ-конференциях подключаться к беспроводной сети?.. Я даже на PHD2 не подключался к нему, помня прежние фокусы и конкурсы, которые там устраивались, а потом кто-то выкладывал на Хабре или Секлабе статью с унизительным разбором паролей и посещаемых безопасниками сайтов 🍓
В мире насчитывается около 1,3 миллиарда человек с различными видами ограниченных возможностей, к наиболее часто встречающимся из которых относятся сложности передвижения 👨🦽, нарушение зрения или слуха, а также сложности с обучением и мышлением. У Microsoft 📱 был интересный доклад на RSAC, где они рассказывали, как надо включать специалистов по доступности в команды разработки, включая и службы ИБ 😮
Возьмем в качестве примера CAPTCHA. Попробуйте закрыть глаза и найти все картинки с пожарными гидрантами или автобусами. Если это CAPTCHA без голосовой поддержки, то у вас не получится 🤖 и вы не сможете войти в нужную систему. А во время COVID-19 вы пробовали проходить биометрическую аутентификацию по лицу в маске? 🎭 А представляете с какими сложностями сталкиваются люди с утраченными конечностями или атритром рук при прохождение аутентификации по геометрии ладони? 🖐
Microsoft рекомендует следующее:
1️⃣ Необходимо включать сразу несколько методов ввода той или иной информации (голос, клавиатура, касание...), например, в подсистемах аутентификации.
2️⃣ Предлагайте альтернативы или удлиняйте таймеры для решения задач с CAPTCHA, например. Не все способны их решать мгновенно ✍️
3️⃣ Не блокируйте пользователей за нестандартные взаимодействия с системой; возможно это их особенность связана с ограниченными возможностями.
4️⃣ Следуйте руководствам Web Content Accessibility Guidelines (WCAG), которые описывают правила проектирования систем для людей с ограниченными возможностями.
5️⃣ Используйте понятный и простой язык, не жаргон 😱
6️⃣ Поясняйте иконки, используйте alt на сайтах для подписи картинок, текстовые метки для цветовых маркировок (например, в SIEM надо не только красным и зеленым помечать события, но и подписывать их "опасно" и "норма", вводя новую колонку) 🎮
7️⃣ Пользователи должны иметь возможность сообщать о проблемах с доступностью 💬
Вопрос ценообразования по ту сторону баррикад, конечно, очень занятная история. Вот берем три примера (на первом слайде с моего выступления на PHD2). Во всех трех случаях продается доступ к устройствам Fortinet 💻 В первом случае доступ стоит 0,003% от оборота компании, в третьем - 0,006%, а во втором - 0,00004%. Почему такое отличие? И как вообще коррелирует оборот компании от стоимости уязвимости/эксплойта/доступа? Плохие парни переходят на "оборотную модель" раньше РКН, но по аналогии с GDPR? 🤑
На второй картинке стоимость близка первому и третьему кейсу - 0,008% от оборота в 12,5 миллиардов долларов. В абсолютных значениях, по текущему курсу биткойна, - это около 1 миллиона долларов. Интересная картина, конечно... Надо попробовать подсобрать стоимости продаваемых доступов 🦺 и сопоставить с оборотами жертв; возможно будет какая-то корреляция. Ну а пока я бы, оооочень условно, ориентировался бы на усредненное значение в 0,006% от оборота, как сумма, в которую обходится продажа доступа в современную компанию 💸
Это было предсказуемо, вопрос был только в том, кто первым выпустит отчет 📑 о влиянии России на Олимпийские игры в Париже, их дестабилизации и использовании хакеров против спорта. Первым оказался Microsoft 📱
ЗЫ. Фраза, что Россия десятилетиями пыталась влиять на Олимпийские игры, особенно доставила 😎
ЗЗЫ. Параллельно Жозеп Боррель, глава евродипломатии, обвинил Россию во вмешательстве в выборы в Европарламент 6-9 июня. Мол, фейки, боты, искусственный интеллект... и все это супротив демократии. Тоже было предсказуемо 🇪🇺
Я про бизнес-моделирование писал уже не раз, а применительно к рынку киберпреступности 🥷, живущему по этим законам, не раз обращался в различных непубличных выступлениях и курсах для органов внутренних дел 👮♀️ И вот вынес некоторые мысли оттуда на Большую спортивную арену Лужников.
Читать полностью…А вот на этой дискуссии про OSINT 🔍 на PHD2 мы немного зарубились, а после нее осталась какая-то недосказанность. С одной стороны никто не спорит, что корпоративный OSINT (также известный как Digital Risk Protection или даже Brand Protection) позволяет открыть глаза компаниям на то, как они видны извне, злоумышленникам и вообще плохим парням. И что с этим знанием надо что-то делать. С другой, желание регулятора выпустить методический документ, который бы описывал этот этап деятельности в области ИБ (в контексте offense или defense), вызвало подозрение, что скоро на этот вид деятельности еще и лицензию 👮♂️ придется получать. И хотя ФСТЭК старалась снять эти опасения, говоря о методическом документе, описывающем работу с первой тактикой согласно MITRE ATT&CK (Разведка/Reconnaissance), но в это не все поверили. Особенно учитывая, что интерес регулятора к этой теме оказался неожиданным 😳
Читать полностью…Про скорую помощь от НКЦКИ пострадавшим от инцидентов ИБ я уже писал, а теперь можно посмотреть и само видео этой дискуссии c PHD2. Там есть много всякого относительно инициатив НКЦКИ и Минцифры в области ИБ для граждан, но, к сожалению, я не успел задать все вопросы, которые подготовил участникам 🤐 Но впереди еще много мероприятий - отыграюсь там.
Читать полностью…Стадионы 🏟 собирал, в плавках на сцену перед тысячами людей выходил… Какой бы еще челендж замутить, чтобы жизнь разнообразить еще больше 😂🤡😎
Читать полностью…Про меня тут в арабской прессе пишут ✍️ Всякое пишут. Неверное. Мол, зовут меня Алексис, а фамилия моя Позитев 😂 А еще, что я генеральный директор компании по кибербезу 😔 И что я один из всемирно известных специалистов по ИБ.
И согласиться я могу только с последним тезисом 👍 Ну и с Алексисом - так меня иногда звали зарубежные коллеги. А вот остальное… Надо провести расследование. Не открыл ли кто на мое имя в каком-нибудь бахрейнском ЕГРЮЛе конторку по ИБ? А может у меня брат-близнец 😎, с которым меня в младенчестве разлучили, объявился, и он тоже выбрал стезю ИБшную? 🤠
Вопросов много. Но точно я могу сказать только одно - перед арабской аудиторией я точно выступал; не раз. И надеюсь еще буду. Ин ша Аллах…
Демократия - это хорошо, но нацбезопасность и интересы государства будут везде и всегда превыше всего 🫡 И любые разговоры про конституционные права человека - это звиздёж и хороши только на мероприятиях про DLP и в тематических чатиках 😝
Читать полностью…А это еще один часто дискутируемый вопрос - "За какие сферы отвечают CISO?" ❓ Только ли классическая история с обнаружением и предотвращением угроз (A&E), а также соответствие требованиям? Или все-таки есть иные сферы ответственности? И если есть, то какие они? 🤔
На RSAC был дан ответ на этот вопрос в виде результатов исследования (предыдущая заметка оттуда же), в котором мы видим, что бывают CISO, которые не отвечают за обнаружение 👀 и предотвращение угроз (это ИТ-функция), но при этом отвечают за AppSec, Identification & Authentification Management (IAM), продуктовую безопасность, приватность и непрерывность бизнеса. Я, кстати, знаю таких и у нас в стране 🇷🇺
Самая редка зона контроля - борьба с мошенничеством 😮 На втором месте с конца - физическая безопасность ‼️ Так что, когда вы будете рассуждать о том, что включает в себя работа ИБшника, то помните, что есть те, кто берет на себя больше привычного (но и получает тоже больше). У нас бывает и так, что CISO отвечают за лифтовое хозяйство. Вы же в курсе, что за ввод в эксплуатацию лифтов у нас в стране отвечает ФСБ? (и это не шутка) И есть организации, в которых на ИБшников вешают все, что связано с ФСБ 😱 Американцам такое и не снилось 😴
Есть несколько вопросов, которые задаются ❓ из года в год и при этом не имеют однозначного ответа. Это "сколько тратить на ИБ от ИТ бюджета", "кому должна подчиняться ИБ?" 😦 и, конечно же, "какой должна быть структура подразделения ИБ". Вот тут вам пример службы ИБ в зависимости от масштаба компании. Конкретные подразделения скрываются на схеме за ролями их руководителей 🫡
ЗЫ. A&E - это Architecture & Engineering.
Парадокс тренингов по личному кибербезу для больших начальников. Ты им про зеродеи, зероклики, АНБ, обходы UAC, написание кастомных вредоносов, многоходовые кампании… 🇺🇸 А они тебя постоянно спрашивают: «А как защитить телеграм от угона?» 📱, «А правда ли, что ФСБ меня слушает?» (правда 😂), «А вот мне позвонил майор 👮♀️, что спросить, чтобы понять, что это мошенник?»… 🎩
Утрирую, конечно. В реальности все немного не так. Однако разрыв в знаниях между аудиторией и спикером обычно огромен. Второй уже давно ушел вперед и ему, как правило, неинтересно в стопицотый раз рассказывать то, что он маме рассказывал несколько лет назад, а первые все еще топчатся на месте и не знают, как запоминать пароли по правилам, которые для них установили их ИБшники 🤦♂️
Все-таки в любом тренинге важны не знания тренера как профессионала, сколько умение донести информацию правильным образом, на правильном языке, по много раз повторяя одно и тоже. Это особый труд и умение 👨🏼🏫👩🏫
Люблю такое ❤️ Не скучные, безликие блокноты из соседнего «Комуса», а что-то осмысленное и с полезным контентом. Сидишь на обучении, строчишь ✍️ заметки, а на подкорку пишется - «включи второй фактор в Telegram», «обновляй не только ОС, но и приложения и плагины к ним», «поменяй стандартный пароль у WiFi-роутера»… ℹ️
Сейчас обдумываю ежедневник для CISO с полезным контентом на каждый день. Если все сложится удачно, то будет прям неплохо 🔜
ЗЫ. К курсу по личному кибербезу этот блокнот отношения не имеет - курс проходит в онлайне, а блокнотик имеет вполне конкретную физическую форму 🗒
Попала мне тут в руки новая версия руководства по курсу "Как построить процесс управления уязвимостями". Я и про первую версию отзывался восхитительно, а уж во второй добавили еще больше практического контента, еще больше визуала, еще больше нового материала. Прям приятно в руках держать - увесистое издание, тянет на целую книжку.
Читать полностью…