Тээээкс, надо завершить историю с публикацией ссылок на мои выступления/модерации на PHD2. Эта дискуссия, по сути, задала тон всему стриму про CISO на бизнес-треке PHD2. Мы поговорили о том, как оценивать работу руководителя ИБ - по числу обнаруженных и отраженных инцидентов или все-таки по неким иным показателям? И надо сказать, что у коллег был разный взгляд на этот, казалось бы, простой вопрос ❓
Не буду говорить, какая позиция оказалась мне ближе (хотя в видео я, вроде, это говорю), - все-таки это вопрос, не имеющий универсального ответа. Каждый проходит разные этапы в этом вопросе. Кому-то соответствие требованиям - результат, кому-то снижение числа инцидентов, кому-то попадание в бюджет, а кому-то удовлетворение хотелок большого босса 🤸 И на определенном этапе развития CISO и компании, в которой он трудится, это будет вполне нормально. Наверное, в этом и смысл любой дискуссии, - обменяться мнениями, чтобы слушатели взяли что-то свое, без навязывания извне.
История «взлома» Snowflake ❄️ обрастает новыми подробностями и получает развитие (кто бы сомневался). Сначала они вместе с Crowdstrike и Mandiant (сразу с двумя!!) выпускают заявление, что ничего страшного, взлома не было. Но при этом в Knowledge Base компании незаметно и без уведомления появляется статья ☝️с индикаторами компрометации. Потом Snowflake через юристов 🧑⚖️ добивается удаления первоначального поста о взломе. При этом австралийский ИБ-регулятор подтверждает взлом некоторых клиентов Snowflake, а американская CISA публикует бюллетень про инцидент.
А так-то, да, инцидента не было и вся движуха - это цепь нелепых случайностей 🤦♂️ Осталось Ватикану выпустить заявление, что взлома Snowflake не было, но Папа Римский молится за всех пострадавших от инцидентов ИБ, и паноптикум станет полным.
Услышав в разговоре про security data lake (озеро данных безопасности), всегда уточняйте, что конкретно имеет ввиду человек, его упоминающий. А то знаете ли, мнения у всех разные и нет единого или хотя бы доминирующего 😱 А без этого впарят вам обычный SIEM под видом озера, а то и просто облачное файловое хранилище...
Читать полностью…Интересно, никто не задавался вопросом, насколько случайно падение капель и звук дождя по крыше❓ Нельзя ли использовать их как генератор действительно случайных паролей? И хотя действительно случайные пароли, созданные таким образом, бессмысленны ввиду своей незапоминаемости, но как способ генерации случайных чисел... Почему бы и нет 💡
ЗЫ. Спасибо подписчице за ссылку на видео с Пикабу!
Это было предсказуемо, вопрос был только в том, кто первым выпустит отчет 📑 о влиянии России на Олимпийские игры в Париже, их дестабилизации и использовании хакеров против спорта. Первым оказался Microsoft 📱
ЗЫ. Фраза, что Россия десятилетиями пыталась влиять на Олимпийские игры, особенно доставила 😎
ЗЗЫ. Параллельно Жозеп Боррель, глава евродипломатии, обвинил Россию во вмешательстве в выборы в Европарламент 6-9 июня. Мол, фейки, боты, искусственный интеллект... и все это супротив демократии. Тоже было предсказуемо 🇪🇺
Я про бизнес-моделирование писал уже не раз, а применительно к рынку киберпреступности 🥷, живущему по этим законам, не раз обращался в различных непубличных выступлениях и курсах для органов внутренних дел 👮♀️ И вот вынес некоторые мысли оттуда на Большую спортивную арену Лужников.
Читать полностью…А вот на этой дискуссии про OSINT 🔍 на PHD2 мы немного зарубились, а после нее осталась какая-то недосказанность. С одной стороны никто не спорит, что корпоративный OSINT (также известный как Digital Risk Protection или даже Brand Protection) позволяет открыть глаза компаниям на то, как они видны извне, злоумышленникам и вообще плохим парням. И что с этим знанием надо что-то делать. С другой, желание регулятора выпустить методический документ, который бы описывал этот этап деятельности в области ИБ (в контексте offense или defense), вызвало подозрение, что скоро на этот вид деятельности еще и лицензию 👮♂️ придется получать. И хотя ФСТЭК старалась снять эти опасения, говоря о методическом документе, описывающем работу с первой тактикой согласно MITRE ATT&CK (Разведка/Reconnaissance), но в это не все поверили. Особенно учитывая, что интерес регулятора к этой теме оказался неожиданным 😳
Читать полностью…Про скорую помощь от НКЦКИ пострадавшим от инцидентов ИБ я уже писал, а теперь можно посмотреть и само видео этой дискуссии c PHD2. Там есть много всякого относительно инициатив НКЦКИ и Минцифры в области ИБ для граждан, но, к сожалению, я не успел задать все вопросы, которые подготовил участникам 🤐 Но впереди еще много мероприятий - отыграюсь там.
Читать полностью…Стадионы 🏟 собирал, в плавках на сцену перед тысячами людей выходил… Какой бы еще челендж замутить, чтобы жизнь разнообразить еще больше 😂🤡😎
Читать полностью…Про меня тут в арабской прессе пишут ✍️ Всякое пишут. Неверное. Мол, зовут меня Алексис, а фамилия моя Позитев 😂 А еще, что я генеральный директор компании по кибербезу 😔 И что я один из всемирно известных специалистов по ИБ.
И согласиться я могу только с последним тезисом 👍 Ну и с Алексисом - так меня иногда звали зарубежные коллеги. А вот остальное… Надо провести расследование. Не открыл ли кто на мое имя в каком-нибудь бахрейнском ЕГРЮЛе конторку по ИБ? А может у меня брат-близнец 😎, с которым меня в младенчестве разлучили, объявился, и он тоже выбрал стезю ИБшную? 🤠
Вопросов много. Но точно я могу сказать только одно - перед арабской аудиторией я точно выступал; не раз. И надеюсь еще буду. Ин ша Аллах…
Демократия - это хорошо, но нацбезопасность и интересы государства будут везде и всегда превыше всего 🫡 И любые разговоры про конституционные права человека - это звиздёж и хороши только на мероприятиях про DLP и в тематических чатиках 😝
Читать полностью…А это еще один часто дискутируемый вопрос - "За какие сферы отвечают CISO?" ❓ Только ли классическая история с обнаружением и предотвращением угроз (A&E), а также соответствие требованиям? Или все-таки есть иные сферы ответственности? И если есть, то какие они? 🤔
На RSAC был дан ответ на этот вопрос в виде результатов исследования (предыдущая заметка оттуда же), в котором мы видим, что бывают CISO, которые не отвечают за обнаружение 👀 и предотвращение угроз (это ИТ-функция), но при этом отвечают за AppSec, Identification & Authentification Management (IAM), продуктовую безопасность, приватность и непрерывность бизнеса. Я, кстати, знаю таких и у нас в стране 🇷🇺
Самая редка зона контроля - борьба с мошенничеством 😮 На втором месте с конца - физическая безопасность ‼️ Так что, когда вы будете рассуждать о том, что включает в себя работа ИБшника, то помните, что есть те, кто берет на себя больше привычного (но и получает тоже больше). У нас бывает и так, что CISO отвечают за лифтовое хозяйство. Вы же в курсе, что за ввод в эксплуатацию лифтов у нас в стране отвечает ФСБ? (и это не шутка) И есть организации, в которых на ИБшников вешают все, что связано с ФСБ 😱 Американцам такое и не снилось 😴
Есть несколько вопросов, которые задаются ❓ из года в год и при этом не имеют однозначного ответа. Это "сколько тратить на ИБ от ИТ бюджета", "кому должна подчиняться ИБ?" 😦 и, конечно же, "какой должна быть структура подразделения ИБ". Вот тут вам пример службы ИБ в зависимости от масштаба компании. Конкретные подразделения скрываются на схеме за ролями их руководителей 🫡
ЗЫ. A&E - это Architecture & Engineering.
Не умаляя отношений с друзьями, все-таки самые ценные подарки, которые мы получаем, они от детей! Вот и вчера, дочь мне на день рождения, подарила комикс про папу - позитивмэна, который помогает королю выбрать надежный пароль! ❤️🔥 Интересно меня видит ребенок, конечно. Три волосинки и красные революционные трусселя, в которых я спасаю виртуальный мир 😊 Недалеко от истины, кстати 💯
Читать полностью…В мае было зафиксировано более 5000 CVE, что составляет, в среднем, 164 уязвимости в день 🎯 В 2023-м году среднее число обнаруживаемых уязвимостей (которым присваивался CVE) в день было… 84. Нас ждет горячий год с точки зрения vulnerability management… ⚔️
И вряд ли ситуация будет лучше. Чем больше в процесс разработки будет внедряться ML 🤖 и чем чаще он будет обучаться на говёном коде, тем больше дыр в софте будет появляться и тем больше атак может случиться, так как, как мы помним, использование уязвимостей в публично доступных приложениях входит в тройку 3️⃣ основных причин инцидентов!
ЗЫ. NIST обещает в сентябре вернуть NVD к жизни. Верится с трудом. Никто не захотел взять на себя эту ношу. В итоге NIST законтрактовал компанию Analygence, которая не имеет опыта такой работы. Так что перспективы туманны 😶🌫️
В российском Darknet достаточно активно приторговывают логами, полученными в результате работы инфостилеров Raccoon, RedLine, RisePRO и др., крадущих информацию 🥷 И вот последние несколько дней у американских специалистов по ИБ стало подгорать от нового инструмента Recall от компании Microsoft. Оказалось, что это очень простой, понятный и, местами, полезный сервис, встроенный в последние версии Windows 📱 вместе с Copilot, делает каждый 5 секунд копии экрана и хранит их в течение 3-х месяцев, чтобы человек мог всегда пролистать до нужного скриншота/снэпшота, понять, что он делал в этот момент и поискать вокруг, что его интересовало в моменте.
И вот оказалось, что эти копии не особо-то и защищены, а также могут содержать достаточно чувствительную информацию, - вводимые пароли, данные банковских счетов, переписку и т.п. 📬 И все это скрупулезно собирается вполне законными инструментами, складируется на жестком диске и... может быть сперто уже нелегальным инфостилером. Или к этому контенту может быть получен доступ в случае утери ноутбука с отсутствующим шифрованием 👹
Вот так и рубятся на корню все благие начинания. А Microsoft сейчас огребает по самое не балуйся. Ему вспоминают все его последние косяки, расследования Конгресса, наезды CISA... Так, глядишь, антимонопольщики вновь потребуют их разделить и таки разделят 🔪
Мне тут в личку пишут и спрашивают, почему я ничего не пишу про взлом "Верного"? Ну а как я могу подводить подписчиков! Итак, что я могу сказать про атаку на "Верный" 🛒, а также на другие организации, которые были атакованы за последние дни. Повторю то, что я говорил в разных интервью по радио - достаточно неразумно считать, что мы пережили основной пик атак, начавшихся весной 2022-го года 📈 Более того, именно сейчас начнутся инциденты с серьезными, можно даже сказать, катастрофическими последствиями. За прошедшие пару лет плохие парни уже нащупали слабые места, закрепились в инфраструктуре и начинают реализовывать недопустимые события 💥
Но пост вообще не об этом, а о том редком в нашей области явлении, когда кто-то озвучил финансовые последствия от атаки 🤑 Да, скорее это предположение, но все-таки оно имеет под собой основу, как мне кажется. Итак, что нам говорит гендиректор «Infoline-Аналитики» Михаил Бурмистров:
По подсчетам одного из собеседника «Ъ», потери «Верного» из-за хакерской атаки уже сейчас могут составить как минимум 300 млн руб., если эта ситуация не будет исправлена в ближайшие два дня, то потери могут превысить 500 млн руб. При неработающих картах, сайте и приложении ритейлер может терять не менее 40% оборота, считает гендиректор «Infoline-Аналитика» Михаил Бурмистров. Таким образом, потери «Верного» могут составлять 120–140 млн руб. в день, или около 1 млрд руб. в неделю. Ранее в такую сумму эксперты оценивали ущерб, понесенный СДЭК от хакерской атаки.
Подогнали тут исследование, которое показывает, как LLM-агенты могут в автоматическом режиме взламывать веб-сайты. Именно в автоматическом, без участия человека, режиме 😔
Исследователи тестировали 15 способов атак - от простых к более сложным и комплексным. Например, в одном из экспериментов LLM-агент самостоятельно осуществил 38 действий 📎 - получение схемы БД, вытаскивание данных из БД, генерация SQL-запросов, обнаружение уязвимостей и итоговый взлом. При этом, тестируемые LLM-агенты ничего заранее не знали о проверяемых уязвимостях, а на каждый "взлом" им давалось ограниченное время (10 минут) 🧠
Эффективность агента на базе GPT-4 (не GPT-4o) составила 73,3%, что очень даже неплохо и ставит перед компаниями новые задачи по защите своих онлайн-ресурсов от автоматических ИИ-инструментов. У вас же есть WAF, который защищает от всех этих SQLi, XSS, CSRF и т.п.? 🕸
ЗЫ. Тем временем платформа для построения ML/AI моделей HuggingFace столкнулась с взломом.
Ситуация. У соседей хакеры зашифровали все файлы, базу данных, бэкапы и вымогают много миллионов.
Ваш испуганный техдир/техлид/тимлид прибежал и просит выделить бюджет на ИБ. Кричит, говорит что-то непонятное про какой-то рут доступ, антивирусы, selinux и apparmor.
Сохраняйте спокойствие и не ведитесь на провокацию. Спросите его, освящали ли серверную? Стоят ли там иконы? Богоугодное ли ПО использует? В храм ходит регулярно? Это база.
#база
Экс-замгубернатора Смоленской области развели на 6,5 млн рублей, пока он отдыхал в Крыму. Раньше он отвечал в регионе за цифровизацию и IT-безопасность.
До весны 2023 года Николай Кузнецов работал на должности замгубернатора и курировал в регионе в том числе информационную безопасность. После увольнения Кузнецов рассказывал в интервью, что остался работать в администрации области на должности советника-эксперта. По данным источников «Базы», мошенники связались с Кузнецовым 29 мая. Неизвестные убедили чиновника, что его накопления под угрозой и деньги необходимо срочно перевести на безопасный счёт.
Кузнецов поверил звонившим. Чтобы «обезопасить» деньги, ему пришлось прервать отпуск — из Крыма чиновник поехал в Анапу и Новороссийск, где находились указанные преступниками «безопасные» платёжные терминалы. Через них он отправил 6,5 млн рублей, а затем вернулся в Крым.
После этого Кузнецов догадался, что его обманули, и обратился в полицию.
Я тут часто писал про уязвимости в решениях Fortinet, но они не единственные из зарубежных производителей МСЭ страдают 🤬 В середине апреля Cisco Talos опубликовал у себя в блоге пост о том, что они наблюдают кампанию, нацеленную на подбор паролей VPN-устройств Cisco, Checkpoint, Fortinet, SonicWall, Mikrotik, Draytek, Ubiquiti. На днях, 27 мая, Checkpoint выпустила бюллетень, в котором рассказала об успешных атаках на некоторых своих клиентов, у которых на устройствах включен VPN или мобильный доступ 🚠
Самое интересное, что вендор пишет о возможности реализации атаки из-за нерекомендуемого способа аутентификации. Но если он не рекомендуется, то, глядь, какого рожна он не отключен? 😔 Что мешает просто отключить эту возможность в ПО и на тестах проверить невозможность ее использования? Это же вообще не проблема - не надо ничего нового добавлять. Это вам не квантовое распределение криптографических ключей в VPN-решение внедрять. Тут надо просто взять и отключить одну процедуру в коде и убрать галку из графического интерфейса. Всего делов-то... 🧑💻
Интересно, что Checkpoint не подписал меморандум CISA с 68 вендорами об обязательном включении MFA и отказе от использования паролей по умолчанию в продуктах ИБ. Интересно, почему?
Отдельные военные аналитики пишут, что в очень скорой перспективе мы столкнемся с качественно более мощными атаками БПЛА 🚀 на критически важные объекты на территории России (не путать КВО с ОКИИ). И текущий ресурс МинОбороны, сосредоточенный на защите собственных объектов и ведении боевых действий не способен будет эффективно защищать еще и воздушное пространство внутри страны. Росгвардия 👮♂️ будет в том же положении; в то время как противник сейчас только нащупывает слепые пятна в воздушной обороне, ищет слабые места и т.п. И стоят за всем этим не жаждущие мести отдельные граждане сопредельного государства, собирающие дроны у себя в гаражах, а вполне себе профессиональные службы МинОбороны, ГУР и т.п. Поэтому противостоять им службы безопасности различных НПЗ, ТЭЦ и т.п. самостоятельно не в состоянии 🤷♂️
Как следствие, согласно прогнозам, через несколько месяцев нас ждет рост числа атак со стороны БПЛА на все большее число критически важных объектов 🏭, что может привести к дефициту топлива и выходу из строя энергоснабжения, что, в свою очередь, может повлечь за собой отключения систем ИБ на предприятиях в целях перераспределениях дефицита электричества на более приоритетные системы и объекты. И есть подозрение, что за такими атаками БПЛА могут следовать и скоординированные теми же структурами кибератаки 😷
Отсюда возникает несколько вопросов, на которые каждый должен дать себе честный ответ:
1️⃣ Готовы ли к обнаружению и отражению атак в условиях отключения некоторых из ваших средств защиты? Насколько у вас реально реализован принцип эшелонированной обороны? 🛡
2️⃣ Тестировали ли вы работоспособность вашей системы ИБ (и вашей команды) в условиях внезапного отключения электричества? 💥
3️⃣ Есть ли у ваших ключевых средств защиты (кстати, вы знаете, какие из всех ваших средств защиты наиболее эффективны и должны отключаться в последнюю очередь?) резервное энергоснабжение? 🔋
ЗЫ. Не зря тут и тут говорится про физическую безопасность, которая является частью компетенций и сферой ответственности CISO.
В поиске работы я не нахожусь и это не случайно 😎 Но предложения интересные прилетают. Вот тут в Китай 🇨🇳 позвали преподавать.
Всегда хотел, чтобы студентки третьего курса, которые, как известно из древнего анекдота, не стареют никогда, называли меня "Профессор" или, в данном случае, "Чжаошу" (教授) 😇
На обычных мероприятиях по ИБ обычно настолько плотный график, что не всегда даже основные темы по ИБ успеваешь вставить, что уж говорить про смежные. Но PHD2 - мероприятие было необычное и поэтому я реализовал то, что давно хотел сделать, - поговорили с авторами разных книг по ИБ ✍️ о том, как они дошли до жизни такой, как выбирали темы для своих книг, как засталяли себя писать, как боролись с синдромом самозванца, сколько заработали на своих творениях, как публиковались зарубежом и много о чем еще. Так что если вы стояли перед вопросом - писать или нет, то, надеюсь, эта дискуссия даст вам нужный толчок! 🫵
Читать полностью…Ходят разговоры, что Snowflake ❄️ взломали, но сама компания это отвергает, ссылаясь на то, что они не видят никаких подтверждения наличия уязвимостей, ошибок в конфигурации или взломов своих продуктов, включая облачные 🖥 В утечку учетных записей заказчиков они тоже не верят. Взлома API не было. А вот взлом демо-учетки бывшего сотрудника Snowflake был зафиксирован, но, как обычно, "никакого доступа к чувствительной информации не было".
Схожая история была с атакой на тестовое окружение Microsoft и сначала тоже, якобы ничего серьезного. Так что подождем развития событий, которые не заставят себя ждать, так как:
➖ взломали крупнейшего в мира продавца билетов Live Nation (TicketMaster), о чем он уведомил Комиссию по ценным бумагам (еще и Santander Bank так же взломали)
➖ Live Nation утверждают, что взломали их через облачного провайдера (между строк говорят про Snowflake)
➖ Snowflake, как утверждают, взломали через инфостилер Luma Stealer
➖ Snowflake пока все отрицает. Ждем…
А вот и анонс SOC Tech появился. В прошлом году эта конфа, организованная впервые, была посвящена обнаружению и реагированию на инциденты с подрядчиками (supply chain attack) 🔍 В этом году организаторы хранят интригу по поводу заглавной темы. Ну и я раскрывать секретов и поднимать завесу тайну тогда не буду. Но должно быть интересно 💃
Читать полностью…После PHD2 мы получили массовые запросы на передачу архивов курса по базовому кибербезу 🛡, чтобы положить их в корпоративную библиотеку для обучения собственных сотрудников на рабочих местах. За 9 дней с момента выкладывания первого ролика из серии, на VK его посмотрели уже более 100 тысяч раз 😲 Делюсь ссылками на оба курса, которые мы выложили в формате SCORM для загрузки их в свои LMS:
👩🏫 Базовая кибербезопасность
👩🏫 Личная кибербезопасность
ЗЫ. Ссылки ☝️ ведут на портал Positive Education. А ссылки на эти видео на 📱 ptsecurity">вот