Если вдруг меня примут американские спецслужбы 🇺🇸 и начнут на полиграфе выпытывать, был ли я в ГРУ, то смело могу отвечать, что да, был, решал вопросы кибербезопасности 🛡 И ни один полиграф не поймает меня на неуверенном ответе или попытке увильнуть ;-) ☺️
Читать полностью…Я, конечно, победил 🤼 хакеров на киберполигоне, но у меня три вопроса:
🔤 Почему для трояна есть только варианты «пометить» и «пропустить», но нет «заблокировать» или «удалить»? ❌
🔤 Почему анализ статистический, а не статический?
🔤 Почему рекламируются продукты ушедших из России американских компаний? 🤔
Ждем роста кибератак от хактивистов на Францию…. ✈️ (они уже начались). Руслан у себя высказался про сложившуюся ситуацию и склонен согласиться с его взвешенным мнением. А я только отмечу одно - любая централизованная система коммуникаций, неподконтрольная какому-либо государству, рано или поздно вызывает вопросы к ней со стороны разных государств и спецслужб 😕 А за вопросам следует желание контролировать. И если владелец платформы делает вид, что сигналов не понимает или прямо говорит, что он за свободу слову, то извините, ждите последствий 😡
Если вам кто-то впаривает абсолютно надежный и безопасный мессенджер и его название не Anom, Phantom Secure, Sky ECC или EncroChat, то я бы 10 раз задумался 🤔 А с указанными названиями и думать нечего - там и так все понятно. Но лично мне ясно одно - примерно так, как сейчас авторы шифровальщиков начинают писать собственные криптографические подсистемы, так скоро появятся децентрализованные или очень непубличные и на малые группы пользователей защищенные мессенджеры. И бороться с ними будет гораздо сложнее, чем с популярными средствами коммуникаций 👀
Австралийский Medibank провел в четверг звонок с инвесторами, где, помимо прочего, рассказал о последствиях кибератаки, о которой я уже как-то писал. Итак, страховая компания, столкнувшаяся с шифровальщиком:
➖ Ожидает совокупные расходы на модернизацию своей системы ИТ-безопасности в размере 85 миллионов американских долларов за 3 года (126 миллионов австралийских долларов). В результате атаки годовой бюджет на ИБ вырос в 40 раз! 👇
➖ Потратила 40 миллионов австралийских долларов в 2024-м году на обновление ИТ-систем (в прошлом году было потрачено чуть больше денег на это)
➖ Могла получить штраф в размере фантастических 21,5 триллионов долларов, если бы суд по максимуму наказал компанию, но итоговая сумма штрафа была существенно ниже.
Для информации: до атаки шифровальщика Medibank тратил на свою ИБ всего 1 (один) миллион австралийских долларов (это менее 60 миллионов рублей), на ИТ-бюджет - 4-5 миллиона; и это при годовом доходе Medibank в 7,1 миллиарда долларов. Число сотрудников Medibank составляет 3291 человек, а штат ИБ - всего 13 специалистов.
"Амеравиация" (она же Federal Aviation Administration, FAA) выпустила проект новых требований по кибербезопасности самолетов ✈️, которые учитывают новые угрозы для авиации и должны помочь повысить уровень защищенности бортов от целенаправленных воздействий, которые могут быть реализованы через:
➖ бортовое ПО (Field Loadable Software)
➖ ноутбуки специалистов поддержки
➖ сети аэропортов и авиакомпаний
➖ публичные сети
➖ Интернет
➖ беспроводные сенсоры самолетов
➖ мобильные сети
➖ USB-устройства
➖ спутниковые коммуникации
➖ мобильные компьютеры and портативные electronic flight bags (EFBs)
➖ системы навигации, например, GPS.
Интересно, для МС-21, Ту-204/214, SSJ, Ил-114 есть такие же требования по кибербезу? ✈️
ЗЫ. И будет у нас тогда вот так ✈️
В Cisco был (и есть, но в России недоступен) классный сервис - dcloud, который позволял не только тестировать различные средства защиты компании, но и обучаться на виртуальном стенде, проходя различные сценарии атак и реагируя на них правильным образом 👨💻 При этом dcloud работал без участия специалистов Cisco и не требовал их привлечения. Вы просто заходили на сайт, бронировали время, запускали в нужное время браузер, заходили в dcloud, где уже была развернута виртуальная среда, эмулирующая обычную ИТ-инфраструктуру многих компаний. И дальше вы могли на этом цифровом двойнике экспериментировать, отрабатывать навыки и все такое 🧑💻 Очень полезный и целиком автоматический сервис был.
И вот на днях схожую историю, но в чуть более упрощенном режиме и без привязки к конкретным вендорам, запустила американская CISA. Речь о сервисе "Try CYBER", где можно попробовать решить шесть разных заданий в зависимости от роли специалиста по ИБ 🛡 Под каждое задание разворачивается виртуальный стенд, в котором вы и резвитесь за отведенное вам небольшое время. Достаточно интересный опыт 🤔
Я все жду, когда мы киберполигон Standoff 365 доведем до такого состояния, чтобы можно в нем было обкатывать свои навыки без помощи со стороны менторов ⏳ Я бы с удовольствием в такую историю влез; в Cisco я регулярно в dcloud разные сценарии тестировал.
ЗЫ. Зайти на Try CYBER можно только с американских, вроде, IP-адресов. У меня, по крайней мере, с европейского VPN не получилось, только с американского 🇺🇸
Gartner тут разродился очередной ежегодной кривой развития 25 прорывных технологий, которые группируются в 4 ключевых блока:
🔤 Автономный искусственный интеллект
🔤 Продуктивность разработчиков
🔤 Пользовательский опыт
🔤 Кибербезопасность, ориентированная на человека, и приватность.
Эта кривая, это дистиллят, как пишет сам Gartner, из более чем 2000 технологий и различных фреймворков, из которых выбрана самая мякотка 💎 и которые должны быть знакомы каждому человеку, считающему себя на короткой ноге с технологиями. Эти технологии, если ничего не произойдет, должны иметь трансформационный эффект на горизонте ближайших 10 лет 🌱
С точки зрения кибербеза Gartner разумно пишет, что:
"Методы обеспечения безопасности слишком часто исходят из того, что люди могут вести себя абсолютно безопасно. Но когда сотрудники должны сделать выбор между безопасностью и бизнес-требованиями, они часто выбирают второе, иногда обходя слишком строгий контроль безопасности."
"Ориентированная на человека безопасность и приватность неразрывно вплетает их в цифровой дизайн организации."
Американцы новые кибер-санкции подогнали против компаний:
➖ Digital Security
➖ Софт Плюс
➖ Cloudrun
➖ Digital Compliance
➖ Кибер Сервис
➖ Machine Learning Labs
и их руководство:
➖ Илью Медведовского
➖ Дмитрия Евдокимова
➖ Евгению Климину
➖ Дмитрия Частухина
➖ Глеба Чербова
➖ Таранджита Камбо.
Санкции выглядят странновато, но, видимо, больше уже некого санкционировать... 🤔
🔄 UPDATE: в список также попали Диасофт, ЦФТ, Крибрум, 27-й ЦНИИ МинОбороны, Центр речевых технологий, "Сфера", Норникель Сфера, Норникель Спутник, БазАльт, МТС РЕД (Серенити), а также ряд других компаний, занимающихся биометрией и искусственным интеллектом.
АНБ с партнерами разродилось руководством по лучшим практикам регистрации событий 📝 и обнаружению угроз, которое дает рекомендации по тому, как:
1️⃣ регистрировать события в АСУ ТП
2️⃣ регистрировать события в мобильных решениях
3️⃣ регистрировать события в облаках
4️⃣ безопасно хранить логи и передавать их по сети в централизованное хранилище
5️⃣ централизованно собирать и анализировать логи
6️⃣ обеспечивать целостность логов
7️⃣ обнаруживать отдельные виды угроз
8️⃣ и какие события и параметры событий фиксировать в логах
9️⃣ работать с временными метками и многое другое.
Всего 16 страниц, которые дают очень хорошее погружение в тематику. А для желающих больших деталей, даны ссылки на дополнительные стандарты и руководства по ведение журналов регистрации событий ✍️
Презентация с вчерашнего вебинара по оценке эффективности SOC 🌡 Всего 50 слайдов, но опять вышел за тайминг, - с вопросами получилось 2,5 часа. И ведь это 8-я часть более объемной презентации по оценке эффективности SOC, которая у меня есть. Но там получается контента на день с лишним 🤯
Последний вопрос от участника был "А может быть Вы и есть AI? Помашите рукой, плз!" Так вот, я не ИИ 😊 Машу рукой 👋
ЗЫ. Когда выложат видео, тоже поделюсь. Ну и есть планы развить эту историю.
В темных глубинах цифрового мира, в зловещем и бескрайнем океане нулей и единиц, появился в 2003 году червь, нареченный Nachi 🪱 Он был странным созданием, порожденным мрачным разумом, и его миссия была окутана тайной. Этот загадочный червь не стремился к разрушению, как его зловещий предшественник Blaster, а напротив, как древний обитатель бездны, он рыскал по миру, ища уже зараженные Blaster'ом машины ☢️ Воплощая странную форму цифровой альтруистической сущности, Nachi проникал в эти машины, изгонял зловредного Blaster и, словно безумный бог, устанавливал патч, призванный оградить жертву от повторного вторжения 🤬
Однако, как и все создания, рождённые в этих темных водах, он был далеко не совершенен. Его вмешательство, хотя и часто успешное, не всегда проходило без последствий. Порой, как древний артефакт, патч, принесенный им, был несовместим с жертвой, вызывая непредвиденные мутации в её цифровой плоти 🙊
Словно предчувствуя своё неизбежное исчезновение, в коде Nachi была заложена функция самоуничтожения 💥 В первый день января 2004 года или после 120 дней своего существования, он, подобно мифическому фениксу, сжигал себя дотла, исчезая навсегда из этого зыбкого мира 🔥
Таков был один из тех редких и мрачных случаев, когда вирусы обретали странную и пугающую форму доброжелательности. Эти “доброносные” программы, как древние мифы, однажды населяли цифровое пространство, но с течением времени их свет угас, и они исчезли, уступив место хаосу, который ныне царит на Земле ☠️
Сегодня в 14.00 по Москве будем проводить вебинар "Как измерить 📈 эффективность SOC: подходы и лучшие практики", где я буду рассказывать про метрики SOC, лайфхаки и т.п. Присоединяйтесь!..
Читать полностью…⚠️ Не верьте, когда кто-то пишет про свежую уязвимость IPv6 в Винде, что:
“Microsoft рекомендует отключить IPv6”.
“Системы не подвержены уязвимости, если IPv6 отключен на целевой машине.”
Ну всё, всем кранты 😱 Анонимные арабы (так группировка называется, если что) выходят на тропу войны под девизом «За Курск! За Россию! За Белгород! За Донбасс» 🏹
ЗЫ. «Марроканские драконы» 🐉 тоже в деле - на днях 12 камер взломали в украинских офисах и складах. Под тем же девизом 💪
Обратили внимание, в предпоследней заметке эффективность МСЭ не самая высокая 🤬 в части блокирования, что вызывает некоторые вопросы? Да, то, что на оконечном устройстве эффективность работы EDR/RPP выше, это понятно, - все-таки они видят конечную цель хакеров и могут ее точнее идентифицировать 🎯 Но что не так с МСЭ? Он не видит современные атаки? Он не способен анализировать зашифрованный трафик? Может быть всякое, в том числе и проблема с настройкой средства сетевой безопасности в конкретной организации 😞
А вот на кривой "эффективность-цена", которую разработал Mads Bundgaard Nielsen, те же межсетевые экраны находятся в самой выгодной позиции - почти минимальная стоимость и максимальная эффект 📈 от внедрения с точки зрения ИБ. Как по мне, так достаточно спорная кривая, так как все будет зависеть от кучи факторов. Считать IAM-решения - самыми-самыми эффективными в ИБ я бы не стал, если автор в них, конечно, не зашивал историю с ITDR (Identity Threat Detection & Response). Не очень понятно, чем APT Defense отличается от Advanced Threat Detection, почему IDS более эффективны чем фильтрация e-mail и т.п. Но как еще один способ приоритизации инвестиций в ИБ, почему бы и нет. Как повод поразмышлять, так уж точно 🤔
США 🇺🇸 подали иск против технологического института Джорджии и исследовательской корпорации Джорджии за невыполнение требований Министерства обороны США в области кибербезопасности. Кроме того, "обвиняемые" сфальсифицировали результаты проведенной оценки уровня своей ИБ, чтобы показать свое соответствие и получить "вкусные" контракты МинОбороны 🇺🇸 Информация об этом была доведена до сведения американского Минюста, который еще в 2021-м году запустил новую инициативу, в рамках которой все желающие могут сообщить об обмане со стороны получателей государственных контрактов, которые сознательно:
➖ используют или предоставляют некачественные продукты или сервисы ИБ
➖ нарушают стандарты и регламенты ИБ
➖ отказываются от непрерывного мониторинга ИБ и уведомления об инцидентах ИБ 🤬
И таких дел у Минюста США уже несколько, что говорит о серьезности намерений американских надзорных органов строго следить за тем, как обеспечивается безопасность данных и систем, владельцем которых является государство.
Ох, незамутненные такие... 🇨🇳 Раньше приходили за зеродеями или вредоносами. Теперь вот данные по LinkedIn им подавай. А когда отказываешь, обижается, и просит контакты самых лучших хакеров, чтобы вместе атаковать американцев... 👨💻
Читать полностью…ИБ-компания Cado Security столкнулась с атакой typosquatting, когда злоумышленники, готовящие атаку против клиентов компании (а может и самих сотрудников), создали похожий домен cadosecurlty[.]com (а вы заметили разницу с написанием реального домена?), а заодно и аккаунт в соцсети X (бывший Twitter). Также, эти же злоумышленники создали фишинговые домены для атак на компании ClickUp (ciickup[.]com), Scribd (scrib3[.]com) и других, менее известных в России.
Cado, идентицифировав атаку, сразу сделала следующее:
1️⃣ Информировала своих сотрудников о попытке атаки
2️⃣ Провела поиск на почтовом сервере всех сообщений, исходящих с вредоносного домена, а также включила мониторинг и блокировку новых сообщений с него
3️⃣ Сообщила о проблеме регистратору доменов.
Я бы к этому списку добавил уведомление специализированных компаний, занимающихся борьбой с фишингом, типа Google или Phishtank, а в России, соответственно, - ИС "Антифишинг", НКЦКИ или проект "Нетоскоп" КЦ домена .ru/.рф, а также, если вы являетесь субъектом КИИ или финансовой организацией, то в центр ГосСОПКА или ФинЦЕРТ.
На фоне новости о том, что Microsoft 📱 с октября вводит обязательную многофакторную аутентификацию для пользователей Azure, Microsoft Entra и Intune, нашел прикольную визуализацию по дизайну защищенных систем 🛡
Читать полностью…Коллеги из PT ESC решили провести шуточный опрос про любимое APT-животное, предложив много разных вариантов на "волчью" тему 🐺 А мне тут надысь попалось описание индийский группировки CyberVolk, стоящей за одноименным шифровальщиком, символом которой является тот самый серый хищник из детских сказок, который может укусить за бочок 🐺
В очередной раз задумался о том, что отсутствие единых подходов к наименованию хакерских группировок может сыграть злую шутку со специалистами по безопасности. Возьмем того же волка 🐺 С легкой руки CrowdStrike, которая использует название классов животных для APT-групп, ассоциируя их с разными странами, медведи теперь ассоциируются с Россией, драконы 🐉 с Китаем, леопарды с Пакистаном, а волки - это группировки из Турции 🇹🇷 Компания "Бизон" тоже взяла на флаг волчью тему, но привязывает ее не к стране происхождения группировки, а к ее мотивации. Волки - это финансово мотивированные хакеры 🤑 Оборотни и гиены при этом хакеры, спонсируемые государствами, и хактивисты соответственно. Интересно, что для хактивистов CrowdStrike зарезервировала в качестве животного тотема шакала, Palo Alto называет их "девами" (Virgo), а TrendMicro и вовсе ветром 🌬
И отсюда начинается путаница. Возьмем, к примеру, группировку, названную "Бизоном" Red Wolf. У того же F.A.C.C.T. (и Group-IB), где раньше трудились некоторые коллеги из компании, чье имя ассоциируется с животным, которого тот же CrowdStrike использует для обозначения хакерских группировок из Вьетнама (да, вы правы, речь идет о бизоне, которого в Северной Америке называют Buffalo 🦬, а это общее название группировок из страны, в которой когда-то была база советских подводных лодок (Камрань), эта же группировка называется RedCurl. Почему? Не знаю. Trend Micro называет эту же группировку Earth Kapre (TM все группировки, занимающиеся шпионажем, называет Earth, в то время как Бизон их называет "оборотнями"). И таких примеров масса. Например, APT 26, которая также известная как Turbine Panda 🐼, Shell Crew, WebMasters, KungFu Kittens. Или APT15, которая другими компаниями называется Vixen Panda, Mirage, Ke3chang и Nylon Typhoon. А Gallium - это Softcell, она же Phantom Panda, она же Alloy Taurus, она же Granite Typhoon 🥷
И так во многих случаях - вместо того, чтобы использовать уже известное имя, компания придумывает новое, в соответствие со своей классификацией. Например, в 2019 Cisco Talos выявил группировку Sea Turtle 🐢, которую спустя время обнаружили Microsoft, CrowdStrike, PwC и другие, назвав уже известную группировку так же Teal Kurma, Marbled Dust, Silicon, UNC1326, Cosmic Wolf 🤔 В итоге сотни группировок превращаются в тысячи и отслеживать разные наименования становится той еще задачей (например, как у немцев сделано в отношении группировок, активно действующих против Германии 🇩🇪).
А все потому, что сначала исследователи Shinigami42/what-a-cluster-how-industry-groups-and-names-threat-activity-clusters-0c65a7128162">определяют "кластеры активности” 🎮, наборы вредоносных действий, которые связывают с определенными угрозами или нарушителями. Эти кластеры определяются на основе различных данных, таких как техники атак, инфраструктура, используемые инструменты, цели, мотивация и т.п. Схожие параметры дают возможность объединить атаки в кластеры, а затем в группировки. Однако проблема заключается в том, что разные компании и исследователи называют одни и те же кластеры по-разному, что и приводит к путанице 😃
Возможно стоит подумать об унификации подхода в именовании и классификации для облегчения анализа и координации разных компаний, исследователей, регуляторов и центров мониторинга и реагирования на угрозы. Или это утопия? 😕
В отчете "2024 State of Ransomware Report" от Malwarebytes говорится, что большинство атак шифровальщиков происходит с часа ночи до пяти утра, когда айтишники спят и видят сны. А тут, бац, вторая смена (с) 😴
Я такой кейс часто на штабных киберучениях рассматриваю. А вы пока можете сами себе задать вопрос: "Как мы реагируем на инцидент, который начинается в 3 часа ночи и который требует реагирования?" И вариантов ответа на него не так уж и много:
1️⃣ Круглосуточно работающий собственный SOC
2️⃣ Аутсорсинг функции обнаружения и реагирования в нерабочее время во внешний SOC
3️⃣ Обучение дежурной ИТ-смены реагированию на типовые сценарии/кейсы
4️⃣ Внеурочная работа ИБ и вызов в любое время дня и ночи, прописанные в трудовом договоре (с соответствующей компенсацией)
5️⃣ Автоматизация ИБ, а в идеале и автопилот.
Тут классическая карта уровней Cyber Threat Intelligence (стратегический, тактический, операционный) и процесса обмена информацией по угрозам, каждый из которых разбит на элементы:
1️⃣ Аудитория для TI
2️⃣ Инструменты анализа
3️⃣ Фокус в анализе
4️⃣ Форма результата анализа
5️⃣ Частота репортинга
ЗЫ. Ничего сверхестественного и нового, просто еще одна визуализация. Юрген - молодец!
Продолжаю постить картинки/фреймворки Юргена 😊 В этом посте будет еще один фреймворк, посвященный на этот раз моделированию угроз, после чего можно будет плавно перейти в разработку сценариев обнаружения угроз (use cases) 🤔
В данном случае на вход подается информация о защищаемом бизнесе, архитектуре предприятия и его ИТ-инфраструктуры, а также данные по имеющимся рискам и практикам управления ими 💎 Затем, в зависимости от выбранного подхода моделирования (от нарушителя, от защищаемых активов, от приложений) предлагается составить перечень ✔️ исходных данных (в каждом случае он будет свой). С точки зрения моделирования не учтен как минимум один из подходов - data-centric, то есть на основе защищаемых данных. Ну а потом уже даются подсказки, какие из существующих методик оценки угроз, стоит использовать в том или иной сценарии 💬
Не могу сказать, что эта картинка отвечает на все вопросы моделирования, особенно, если вы этим процессом не занимались. За ней должна скрываться целая методология, которая описывает, какой из подходов выбрать и, как следствие, какой из имеющихся фреймворков по оценке угроз применять. Где-то STRIDE/DREAD подойдет, а где-то лучше сработает PASTA, где-то MITRE TARA (я про нее писал), а где-то и вовсе нужны Raindance или PyTM.
Вот так надо абитуриентам специальности по ИБ рассказывать, что их ждет в профессии ☺️
Читать полностью…В 2010-м году Microsoft заявляла, что не будет платить исследователям деньги за найденные уязвимости и не будет, по примеру Google или Mozilla, участвовать в программе Bug Bounty. Спустя всего 5 лет Microsoft изменила свое решение, а позже стала одной из основных компаний, поддерживающих ответственное раскрытие информации об уязвимостях и платящих за найденные в их множественных продуктах багах. Так что независимая оценка и оплата за результат выгодны обеим сторонам. К этому рано или поздно придут даже первоначальные противники идеи платить за дыры в ПО.
Читать полностью…Говорил тут с коллегой, возглавляющим отдел Threat Intelligence в одном банке, который жаловался на то, что его роль в компании не очень ценится (это при наличии целого подразделения-то), что его процессы в SOC на второстепенных ролях и вообще, жизнь - боль 😫 Так что представленная картинка поможет показать роль CTI в поддержке различных сервисов ИБ в организации - не только связанных с SOCом, но и гораздо шире - архитектура, формирование культуры ИБ, управление рисками и т.п. И вот в такой схеме Threat Intelligence уже в центре всего - альфа и омега ИБ! 📌
Читать полностью…От того же ☝️ автора есть еще и карта знаний для аналитика Threat Intelligence, коль скоро на кривой выше CTI не была учтена. По сути Юрген взял контент, требуемый для сертификации SANS GCTI и EC-Council CTIA, обобщил его и предположил, что эта карта покрывает 80% всех нужных знаний по TI, применив правило Парето 🗺
Хорошо, что автор в обоих случаях не забыл про привязку к защищаемым бизнес-процессам 🧐, ключевым системам, бизнес-рискам недопустиммым событиям, организационной структуре и т.п. темам, без которых ИБшник так и останется, пусть и технически подкованным и очень грамотным и зрелым, но технарем! 👨💻
Карты знаний и компетенций аналитиков SOC 🧑💻 появляются достаточно часто. И вот вам еще одна, на этот раз в форме кривой зрелости, где по оси абсцисс показаны линии SOC и "статусность" аналитиков, а по оси ординат - глубина необходимых знаний. Кривая не учитывает такие роли как Threat Hunter, Cyber Threat Intelligence Analyst, Use Case Developers, пентестеров и др., хотя и им тоже нужны описанные знания, но и многие другие. Ее автор предлагает использовать этот фреймворк для 4-х задач:
1️⃣ Обратная связь для оценки слепых зон аналитиков SOC
2️⃣ Интервью при приеме на работу
3️⃣ Планирование карьерного пути
4️⃣ Оценка возможностей по автоматизации.
Ну а за наполнением "кубиков" этой карты можно пойти на https://cybersecurity-roadmap.ru 🗺
Федеральной службой безопасности России 🇷🇺 возбуждено уголовное дело в отношении сотрудника одной из научных организаций по признакам преступления, предусмотренного ст. 275 УК РФ («Государственная измена»). Ранее фигурант был задержан 👮 в Москве по подозрению в совершении преступления, предусмотренного ст. 274.1 УК РФ («Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации») 😕
По версии следствия, он инициативно установил контакт с представителями украинских спецслужб. После начала СВО по их указанию задержанный проводил DDoS-атаки на критически важные объекты России 🏭 в целях нанесения ущерба информационной безопасности России. Осуществлял сбор сведений о российских военнослужащих и передвижении военной техники 💪 Кроме того, на постоянной основе переводил личные денежные средства и криптовалюту на счета зарегистрированных на Украине фондов для приобретения ВСУ вооружения, военной техники и экипировки 🤑
Задержанный дал признательные показания. Ему избрана мера пресечения в виде заключения под стражу 👮