alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Мое отношение к антивирусам известно... 😂 А уж к бесплатным антивирусам... 😡

Читать полностью…

Пост Лукацкого

В упомянутом выше опросе также задали вопрос по самым важным сервисам и решениям, которые используются в SOCах. В целом, набор достаточно предсказуем, но два пункта меня там зацепили - IoT Security и AppSec. Первый понятен - все-таки сегодня уже Интернет вещей 💡 - штука популярная и поэтому его надо мониторить. Хотя я не думаю, что средства защиты IoT настолько популярны, чтобы обогнать DLP, XDR, IAM или TIP с SOAR.

А вот попадание в первую семерку AppSec меня удивило 🧑‍💻 У меня давно висит драфт статьи, в которой я как раз описываю возможность интеграции темы AppSec в SOC (и речь не о банальном подключении WAF в качестве сенсора в SIEM). Видимо, надо будет ускориться с этим материалом. А то получается, уже все интегрировали DevSecOps в центры мониторинга, одни мы еще только на подходе...

А попадание SOAR на предпоследнее место, возможно, объясняется тем же, о чем говорит и Gartner. А в остальном все достаточно очевидно, без революций. Современный SOC - это логи, их анализ в SIEM и, обязательно, мониторинг оконечных устройств с помощью EDR. На 4-м месте также решения по управлению уязвимостями, которые позволяют уменьшить площадь возможной атаки 😔

Читать полностью…

Пост Лукацкого

Мы скоро будем проводить уже вторую конференцию Positive SOCcon (материалы первой можно увидеть на сайте мероприятия), где я тоже планирую выступать с чем-нибудь интересным. На SOCtech я в этом году не попадаю (буду на GITEX в ОАЭ), но Positive SOCcon не пропущу. Так как больше ничего достойного моего внимания по теме SOCов у нас больше не будет, а контента у меня много, то поэтому потихоньку собираю всякое разное про SOCи и буду что-то из этих материалов постить в канале.

Читать полностью…

Пост Лукацкого

1-е сентября... День знаний 👩‍🎓 Я провел его в самолете. На Москву была атака дронов и мы сначала час кружили над столицей, а потом нас отправили в Питер, пережидать когда снова откроют аэропорт. Было время поразмышлять. Мне кажется, что мы сейчас скатываемся в достаточно жесткий прагматизм в обучении, когда надо получить знания (и в ИБ тоже) здесь и сейчас и применить их также здесь и сейчас 👨‍🎓 Вся "философия" и гуманитарные науки отбраковываются в пользу каких-то конкретных задач, которые указываются рекрутерами в резюме.

Я удивляюсь ВУЗовским дисциплинам сына, который учится вроде на той же специальности, что и я 30 лет назад, но у нас совпадение по предметам процентов на 15-20%. Да, у него сугубо практические дисциплины и проекты, в которых он участвует, которые сейчас очень востребованы 👨‍🏫 Но они же и быстро устаревают, как мне кажется, в силу динамики происходящих в отрасли изменений. Да, это приводит к тому, что процесс получения знаний становится непрерывным (это ценнейший навык), но это же приводит к тому, что образование у нас является не частью развития человека как раньше, а инструментом решения насущных задач и достижения каких-то краткосрочных целей 🤕

Смысл высшего образования теряется 🥹 Скоро и получение диплома перестанет быть причиной похода в ВУЗ (отсрочка от армии уже не особо работает в нынешних условиях). Все, что нужно "здесь и сейчас", можно будет получить на курсах повышения квалификации или в разных онлайн-университетах 🖥 Это приводит к тому, что современная молодежь может решать многие задачи гораздо лучше и быстрее, чем это было раньше. Но большинство этих задач носит приземленный характер - стратегические и методологические вещи становятся молодежи неподвластны, так как у них нет того кругозора, который нужен, чтобы взглянуть на проблему с разных стороны и учесть разные точки зрения - культурологические, социальные, исторические и даже религиозные 🎮

ЗЫ. Да, это про и про ИБ тоже 🛡

Читать полностью…

Пост Лукацкого

Одна российская компания заявила позавчера о разработке NGFW на 100 Гбит/сек. Другая не стала мелочиться и заявила про разработку NGFW для каналов 200-400 Гбит/сек 📏 Поверьте, качество и эффективность NGFW определяется не длиной пропускной способностью. В конце концов - это не firewall 🤬

Читать полностью…

Пост Лукацкого

В 2021 году в компании Andreessen Horowitz описали “парадокс облачных технологий”, когда компании, несмотря на высокую эффективность и гибкость облачных сервисов, сталкиваются с неожиданно высокими затратами при их масштабировании 🤑 Этот парадокс заключается в том, что облако, которое должно быть экономичным и гибким решением, в итоге становится значительной статьей расходов для крупных компаний, что может ограничивать их возможности для инноваций 😶‍🌫️ Одной из стратегией оптимизации затрат на облачные услуги инвесторы из AH предложили репатриацию, то есть перенос некоторых рабочих нагрузок обратно в локальные дата-центры для снижения расходов 📉

И вот недавно Barclays Bank подтвердил этот тренд в своем большом опросе CIO. Мы видим, что последние 3 года идет неуклонный рост желающих репатриировать свои данные и приложения обратно из публичных облаков либо в частные, либо в собственные центры обработки данных 🫴 При этом, в первую очередь это касается облачных хранилищ данных и систем управления базами данных. Так что ситуация с облаками не такая радужная, как об этом говорят различные аналитики. Раньше их выбирали, не желая закупать собственное железо под это все и желая переложить большую часть ИТ-задач на чужие плечи. Да и нехватка персонала тоже приводила к стремлению уйти в облака 🏃 Но все оказалось не так радужно, как рисовалось вначале. И не последнюю роль тут сыграли инциденты ИБ с облачными провайдерами 🔓

России это пока не так чтобы сильно касается, но для понимания общих тенденций полезно. Особенно для тех компаний, которые смотрят за пределы локального рынка 🤔 Ну а причем тут безопасность, я думаю, рассказывать не надо.

Читать полностью…

Пост Лукацкого

В полной традиции с манерой ведения канала "то пусто, то густо", написала лонгрид на тему оценки рисков, как соотносится стоимость риска и стоимость защиты, и причем тут "нобелевская" совокупная теория перспектив Канемана и Тверски.
Очень хочу обсудить, велкам в комментарии.

Читать полностью…

Пост Лукацкого

Мне на следующей неделе лететь в Абу-Даби для выступления на конференции по киберпреступности, к которой я готовлю различные кейсы. И вот один из свежих примеров, когда на компании Ближнего Востока 🕌 нацелились хакеры, распространяющие вредонос под видом средства защиты Palo Alto (Palo Alto GlobalProtect). Сама по себе схема не нова - сначала предположительно идет фишинговое письмо ❗️, в котором жертве предлагается установить средство защиты американской компании. На второй стадии компьютер заражается и попадает под контроль хакеров, которые управляют им через C2-инфраструктуру. Пострадавшие от этой атаки пока неизвестны.

Читать полностью…

Пост Лукацкого

У коллег из канала "Резбез" вышло два поста про то, что должен содержать в себе отчет по анализу защищенности и каковы критерии качества работ по оценке защищенности. И я сразу вспомнил один отчет по пентесту, который попался мне в руки в Бразилии 🤕 Всего 4 страницы, на которых просто указаны меньше 10 найденных с помощью Nmap, Nikto, WPScan уязвимостей на периметре заказчика. Рекомендации впечатляют. Думаю, даже не знающие португальский, легко поймут, о чем идет речь. И "это" у кого-то поворачивается язык называть пентестом, а кто-то за это еще и платит 🤠 Тьфу таким быть. Должно быть стыдно выдавать "это" за пентест.

Читать полностью…

Пост Лукацкого

Ну где тебя 🟥 еще так встретят и проводят? Только в Бразилии 🇧🇷 И хотя я не попал на день рождения компании, который празднуется сегодня в Москве, в Бразилии мы тоже отметили как смогли 💃

Читать полностью…

Пост Лукацкого

20 августа Верховный суд оставил решение нижестоящих инстанций о тюремном заключении 😡 Илья Сачкова без изменений, посчитав, что оснований для пересмотра дела нет ☹️ В резолютивной части приговора говорилось, что в деле имеются вещественные доказательства, включая визитки сотрудников ФБР, сотрудников посольств США и Великобритании в РФ и сотрудников британского МИД 🇺🇸

Официально заявляю, что после того, как я это прочитал в прошлом году, я сразу уничтожил все визитки, которые у меня были от сотрудников различных посольств, которые бывали в офисе Cisco по роду службы, а также от сотрудников АНБ и ФБР 🇺🇸, которые [визитки, а не сотрудники] у меня скопились после многократного посещения RSA Conference и других мероприятий, на которых указанных сотрудники выступали 👮

Читать полностью…

Пост Лукацкого

Интересно, кстати, как организован CISO Forum в Бразилии 🇧🇷 Единственный keynote-доклад (от меня) и потом одни дискуссионные панельки. И в первый день точно такая же история. Никакой рекламы, никаких спонсорских «мы платим - вы должны включить наш доклад про мегасуперпупернгфв» 🤬 Про продукты вообще ничего нет. Респект и уважуха оргам 🙂

Читать полностью…

Пост Лукацкого

Как-то я смотрел выступление Джеки Чана на церемонии получении Оскара и думал: "Вот ведь классный чувак, давно в Голливуде, но до сих пор говорит по-английски так себе и не парится на эту тему. Он делает то, что он считает нужным и не заморачивается, насколько хорошо или плохо он при этом говорит по-английски. Его ведь понимают!" 😱

Меня достаточно долгое время напрягал мой английский. Да что говорить, он до сих пор меня напрягает. Я реально не чувствую себя уверенным, когда выступаю на не родном для меня языке, который я и учить-то стал уже после института, когда попал в Cisco (до этого у меня было 8 лет немецкого в школе), то есть в зрелом возрасте 😛 Но я влезаю во все международные инициативы 🟥 именно потому, что иначе я не смогу перестать бояться. Не бояться выступать, с этим у меня нет проблем. И не бояться оказаться вне повестки ИБ, с этим тоже нет сложностей (я вообще понял за годы в ИБ, что мы можем дать фору иностранцам по многим вопросам, так как опережаем их в обеспечении практической, результативной ИБ).

Позитив, даже не Cisco, дал мне возможность не бояться говорить на иностранном языке. Это офигенное ощущение, когда ты выступил на знакомую тебе тему и она зашла аудитории 🎆 Да, ты косячил с временами и спряжениями, но это не так важно. Я выступал не перед native speakers. Для них английский - такой же не родной, как и для меня. И в любой стране мира, где мне доводилось выступать очно или онлайн, я могу сказать, что все очень лояльны к тебе, так как мало кто родился со знанием английского. Арабы, бразильцы, чехи, поляки, норвеги, испанцы... Все они учились английскому также как и я (ну или почти также). Даже многие англичане снимают шляпу (не мою 🤠) перед теми, кто изучает их язык, так как у нас есть коренное отличие от них - они знают только один язык, свой, английский, а все остальные знают как минимум два языка - свой родной и английский. И это не мы плохо говорим - это они вообще не говорят ни на каком языке, кроме своего. То есть это не нам должно быть стыдно, что мы плохо говорим на английском, а им, что они не говорят на русском, португальском, испанском, немецком, чешском, сербском и т.п.

Так что не надо бояться выступать - на другом языке, перед незнакомой аудиторией, на не до конца изученную тему (хотя тему лучше изучить, конечно). Вы тем самым пересиливаете себя и свой страх. А это дорогого стоит! Ну а после выступления и выпить не грех, снять стресс и расслабиться, что я и сделал после своего выступления в Бразилии 🇧🇷

Читать полностью…

Пост Лукацкого

Прекрасный пост на Хабре о том, как мой коллега, Алексей Усанов, написал книгу ✍️ по реверс-инжинирнгу встраиваемых систем. Помните дискуссию на PHD2, где мы обсуждали в узком кругу ИБ-писателей зачем и как писать 📝 книги (эфир тоже можно посмотреть)? Так вот Алексей раскрыл эту тему в статье еще шире. Так что если вы стояли перед выбором, писать или нет, то прочитав мысли Алексея у вас отпадут все сомнения ✍️

Читать полностью…

Пост Лукацкого

Первый визит в Южную Америку, первое выступление в Южном полушарии на английском, первый полет на A380, впервые такие приключения с организацией выступления русской компании в Бразилии... Ну что ж, с почином...

ЗЫ. И пусть кусают локти те, кто не взял на меня на работу из-за того, что я не знаю английского 😂 Бразильцев это совершенно не смущает 🤝

Читать полностью…

Пост Лукацкого

Выложили видео выступлений с ИТ-Пикника, среди которых и мое про безопасность Интернета вещей...

Читать полностью…

Пост Лукацкого

Наткнулся тут на свежий, апрельский опрос лидеров SOCов, в котором 200 руководителей делятся своими болями и опытом, лайфхаками и т.п. Я про него еще дальше напишу, а пока в догонку к вебинару по оценке эффективности SOC (видео и презентация), который я читал недавно, еще один набор используемых метрик: 🌡
🔤 Уровень соответствия требованиям законодательства, индустриальным стандартам и внутренним политикам
🔤 Стоимость на инцидент
🔤 Время обнаружения (MTTD)
🔤 Уровень эскалации инцидента (как много инцидентов требует эскалации)
🔤 Возврат инвестиций
🔤 Время реагирования (MTTR)
🔤 Объем инцидентов
🔤 Число ложных срабатываний (FP/FN)
🔤 Уровень удовлетворенности сотрудников или клиентов.

ЗЫ. Среднее число метрик, используемых на регулярной основе, - 3,1 🌡

Читать полностью…

Пост Лукацкого

Вы знаете, что у таких ИБ-компаний, как Cisco, Fortinet, PaloAlto, CheckPoint и т.п., основные доходы приходят от продажи межсетевых экранов, доходя до 70-80% от всего объема продаж ИБ-решений 🤬

И вот в обсуждаемом в последнее время на Западе опросе Barclays 🏦 был вопрос - насколько изменяются инвестиции в межсетевые экраны в ближайшие три года. И вот что интересно, взгляд CIO на этот класс средств защиты достаточно пессимистичен - только 28% считает, что они увеличат инвестиции в МСЭ 🤑 29% считают, что они сократят свой бюджет на эти решения, а 43% - оставят на том же уровне, что и были.

Рост 📈 будет происходить там, где требуются мощные (и дорогие) железки для инспекции зашифрованного трафика, а также для внутренней сегментации в инфраструктуре, позволяющей уменьшить площадь атаки. То есть по сути речь идет об обычных МСЭ, а не NGFW. С другой стороны, облака, пусть и частные, снижают потребность в аппаратных МСЭ, которых могут заменить либо виртуальные (а там тоже в меньшей степени нужна NG-функциональность), либо встроенные решения IaaS-провайдеров 😶‍🌫️ Также, на Западе продолжается дискуссия на тему "заменит ли SASE межсетевые экраны, особенно в филиалах и малом бизнесе?". Отсюда и итоговой результат - 72% CIO, а именно они являются основными бюджетодержателями для МСЭ, не видят перспектив для данного класса продуктов 👎

Но все это не относится к России, где одна из основных задач на годы вперед - замена МСЭ и NGFW кинувших своих заказчиков американских компаний. Поэтому у нас цифры Barclays не работают - у нас по направлению NGFW только рост... 🇷🇺

Читать полностью…

Пост Лукацкого

Список основных глобальных рисков - штука не новая. Такое делает ВЭФ в Давосе, такое публикует страховая компания «Цюрих» (из хорошо известного). Поэтому данный вариант не то, чтобы уникален, но… у него интересная визуализация 🎨 Она показывает временной горизонт влияния/ущерба текущих рисков - уже влияет (те же кибериски), будет влиять в течение 1-5 лет, и на горизонте 5-10 лет.

Если заменить все риски только недопустимыми для конкретной организации событиями и ввести размер/серьезность потенциального ущерба (отображается размером кружочка), то будет неплохая стратегическая визуализация 💡

Читать полностью…

Пост Лукацкого

В Бразилии запретили X (бывший Twitter). Но на этом все не закончилось, как у нас 😅 После запрета судья Александр де Мораес 👨‍⚖️ заявил, что компании и физлица, попытавшиеся обойти запрет и подключиться к соцсети, ждет штраф в размере 50 000 реалов (примерно 9 тысяч долларов США) в день.

Все познается в сравнении… Хорошо, что я уже улетел, а то как раз перед вылетом я… ну вы поняли 🖥

Читать полностью…

Пост Лукацкого

Не все могут инвестировать 🤑 в создание реалистичного мини-города как Standoff для демонстрации последствий от реализации недопустимых событий и обучения специалистов по ИБ. Но это не значит, что не надо пытаться. Например, в австралийском университете TAFE при создании мини-города для обучения Blue/Red Team использовался конструктор Lego! 💡

ЗЫ. Фото честно утащил у Олега Вайнберга, преподающего в TAFE.

ЗЗЫ. Хотя, подозреваю. что закупка Lego такого масштаба тоже выйдет в копеечку. Там же еще и автоматизация под капотом 🏠

Читать полностью…

Пост Лукацкого

Вот и Катя прошлась по оценке рисков... 🔪 Мне кажется, чем больше будет статьей на тему реального применения оценки рисков в ИБ, тем более зрелым будет становиться рынок и тем более осознанным использование различных правильных подходов к тому, как говорить с бизнесом 🤝 Не вот это вот "аааа, все пропало" и метод светофора, а учет не только потерь от реализации риска, но и пользы, которую тот или иной риск может принести, а также поиск баланса между ними, что и отличается бизнесмена и предпринимателя от наемного менеджера и безопасника 🚦

Читать полностью…

Пост Лукацкого

Думаю, многие видели модель разделения ответственности за безопасность в различных моделях оказания облачных услуг (IaaS, PaaS и SaaS). Вот аналогичная, но для машинного обучения 🧠 Тут и вам про персональные данные, и про этику, и про реагирование инцидентов... 💭

Читать полностью…

Пост Лукацкого

Ну и по традиции краткая выжимка из второй прочитанной в Бразилии презентации. Да, она не на бразильском португальском языке, mas então não ficaria claro nem para você nem para mim :-)

PS. Учите иностранные языки. Это отличный способ оттянуть, а то и вовсе исключить из своего будущего болезнь Альцгеймера 😎

ЗЗЫ. У этой презентации есть один секрет, который очень сильно помог нам в Бразилии. Но я его не расскажу (хотя он и показан на слайдах ☝️) - оставлю при себе. А то все побегут в Бразилию 🏃

Читать полностью…

Пост Лукацкого

Рассказывал в Бразилии 🇧🇷 про результативную кибербезопасность, недопустимые события и вот это вот всё. После подошел CISO крупной компании и говорит:

О, Боже! Наконец-то я услышал то, что мне нужно. А то ко мне приходили ребята из Big4, приносили простыни со своими реестрами рисков и пытались всучить их оценку. А я понимаю, что к моменту, когда они закончат оценивать, мне надо будет начинать все заново и более того, появятся новые риски, и все начинать сначала; и так по кругу.


Так что тема понятна и вполне заходит 😎 Вторая дискуссия была с девушкой из страховой компании, которая пыталась убедить, что топы любят цифры, Excel’вские расчеты, актуарные таблицы, вероятности и вообще, чем больше цифр, тем лучше 🧮 И вообще топы тупенькие и неправильно оценивают последствия от кибератак.

Тут мы, конечно, немного зарубились с ней на тему восприятия последствий от кибератак и того, для чего собственно нужны сложные калькуляторы и цифры - для продажи страховых продуктов или для погружения топов в тему ИБ. И вроде как мы пришли к некой срединной линии, где наши взгляды сошлись 🤝 Но тему недопустимых событий для страхового бизнеса еще надо, конечно, дорабатывать.

Читать полностью…

Пост Лукацкого

В американском ИБ-издании на редкость неплохой материал по российскому рынку Bug Bounty 🤑 Автор пишет, что HackerOne, BugCrowd, Intigriti вышвырнули русских багхантеров со своих платформ, а американские бигтехи типа Apple и др. отказываются платить русским за найденные у них уязвимости, что и привело к предсказуемому росту рынка Bug Bounty в России 🇷🇺

Упоминается первая программа Bug Bounty от Яндекса, начавшаяся в 2012-м году. Есть информация о трех крупнейших платформах - BugBounty[.]ru, Stnadoff 365 Bug Bounty 🟥 и BIZONE Bug Bounty, а также о суммах выплат, которые, по мнению автора, сопоставимы с тем, что платились на HackerOne. Не обойдена вниманием и тема Минцифры, которая вышла на BugBounty со своими ГИСами. Также дается небольшой экскурс в уголовное законодательство в контексте истории с легализацией белых хакеров 👨‍💻

В заключении автор пишет, что у российской экосистемы Bug Bounty большое будущее 💪, так как эти платформы будут привлекать 🫴 не только российских багхантеров, которых только сейчас насчитывается около 20 тысяч, но и исследователей из других юрисдикций, которые с высокой степенью вероятности могут попасть под очередные санкции США. Это приведет к тому, что уязвимости в западных продуктах будут продаваться не вендорам на иностранных платформах, а в России, что, потенциально, может означать, что их покупателями станут российские спецслужбы, что создаст дополнительные угрозы шпионажа для Запада 😕 Ну и по аналогии с недавно вышедшей статьей о том, что иностранцам надо присматривать за Astra Linux, автор предлагает присматривать и за российским рынком Bug Bounty 😮

Читать полностью…

Пост Лукацкого

Оказалось, что в Бразилии вообще мало кто рассказывает про кибербез, так как это сделали мы 🤹‍♂️ Не только нестандартная тема (ИБ с точки зрения бизнеса), но и сама подача, оформление были очень хорошо восприняты аудиторией. И это при том, что на весь первый день CISO Forum было всего две англоязычных презентации - моя и еще одна спикера, девушки, которая отвечала на вопросы модератора (без презентации); все остальное было на бразильском языке 🇧🇷

Люди тут скучают по нормальным, а не согласованным строгим корпоративным PR и маркетингом, скучным презентациям с кучей ограничений, выверенными нейтральными картинками из фото-стоков... 🤠 Ну а я особо не заморачивался - взял тему оценки защищенности и провел аналогии с футболом, который в Бразилии введен чуть ли не в религиозный культ. Зашло на ура! 🎆

ЗЫ. В итоге организаторы попросили "на бис" выступить и во второй день 😂

ЗЗЫ. Мой вам совет: ваша целевая аудитория - это слушатели, а не ваш маркетинг.

Читать полностью…

Пост Лукацкого

Выложено видео нашего вебинара "Как измерить эффективность SOC", презентацию с которого я выкладывал чуть раньше 🧮

Читать полностью…

Пост Лукацкого

Главврач 👀 уфимской больницы, ссылаясь на законодательство о безопасности и борьбе с терроризмом, распорядился установить видеокамеру 👀 в гинекологическом кабинете. Теперь-то стало понятно, где террористы и экстремисты закладывают взрывные устройства, прячут килограммы наркотиков, нарушают законодательство о криптографии и снимают порнофильмы 🤦‍♂️

Читать полностью…

Пост Лукацкого

Если посмотреть внимательно на текст предъявленных Павлу Дурову обвинений, то из 12 пунктов три (3) касается нарушения владельцем Telegram законодательства Франции по криптографии, а именно:
🔤 Предоставление криптологических, а не просто криптографических, услуг, направленных на обеспечение функций конфиденциальности без соответствующего декларирования (у нас бы сказали лицензирования)
🔤 Предоставление криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления
🔤 Импорт криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления.

Отмечу, что в России существуют схожие с французским законодательством требования по импорту и экспорту шифровальных средств и, так как Telegram не считался отечественным, то к нему и у нас должно было применяться схожее тому, что действует в стране-хозяйке недавних летних Олимпийских игр. Интересно, если бы Дуров прилетел в Россию, его бы по прилету ждала такая же судьба?.. 🤔

Читать полностью…
Подписаться на канал