alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Очередная десятка тенденций в сфере кибербеза. Сразу надо отметить, что это Топ10 у иностранцев - в России больше половины из этого списка вряд ли станет трендом:
1️⃣ Использование ИИ злоумышленниками. Киберпреступники будут активно применять искусственный интеллект для создания сложных атак, включая генерируемые с помощью ИИ фишинговые кампании и использование дипфейков для обмана.

2️⃣ Увеличение числа уязвимостей нулевого дня. Частота и эффективность атак с использованием неизвестных ранее уязвимостей возрастут, требуя от организаций проактивных мер и постоянного мониторинга дыр и фактов их использования.

3️⃣ ИИ как основа современной кибербезопасности. Искусственный интеллект станет неотъемлемой частью систем безопасности, помогая в обнаружении угроз, реагировании на инциденты и формировании стратегий защиты.

4️⃣ Усложнение вопросов приватности данных. Компании столкнутся с необходимостью соблюдения множества региональных и локальных требований по защите персональных данных, что потребует интеграции этих требований в их стратегии безопасности.

5️⃣ Расширение облачных сервисов и связанных рисков. С еще большим увеличением использования облачных технологий возрастет и количество атак на них, что потребует усиленной защиты облачных инфраструктур.

6️⃣ Рост числа атак на цепочки поставок. Злоумышленники будут чаще нацеливаться на поставщиков и партнеров, чтобы получить доступ к более крупным целям, что делает безопасность цепочек поставок критически важной.

7️⃣ Усиление атак на устройства Интернета вещей (IoT). С увеличением числа подключенных устройств возрастет и количество атак на них, требуя от производителей и пользователей усиленных мер ИБ.

8️⃣ Повышение значимости киберстрахования. Компании будут чаще обращаться к киберстрахованию для минимизации финансовых рисков, связанных с кибератаками, что приведет к росту этого рынка.

9️⃣ Развитие концепции нулевого доверия (Zero Trust). Модели безопасности, основанные на принципе "никогда не доверяй, всегда проверяй", станут стандартом для защиты корпоративных сетей и данных.

1️⃣0️⃣ Аутсорсинг кибербезопасности. Многие организации будут передавать функции кибербезопасности внешним специалистам, чтобы обеспечить высокий уровень защиты в условиях растущих угроз и нехватки кадров.

Если бы меня спросили, что из этого будет применимо у нас, то я бы назвал числа 1, 2, 6 и, может быть, 10. А все остальное мимо. Но... если вдруг Трамп забудет про данные вчера обещания купить Гренландию, отобрать Панамский канал и присоединить к США Канаду, и реально поспособствует прекращению СВО, то может к концу года и остальные темы у нас могут начать реализовываться 🤔

Читать полностью…

Пост Лукацкого

А раньше атаки на больницы 🏥 считались зашкваром, а в Женевской конвенции так это и вовсе запрещено. Но кого это волнует 🤌

Читать полностью…

Пост Лукацкого

Один плохой мальчик взломал сайт Интернет-магазина и списал баллы лояльности у десятков пользователей, оплатив ими себе товары. Когда его поймали, он заявил, что идентифицирует себя как белого хакера 👺 и поэтому не виновен; следователь его отпустил. А потом его подстерегли пострадавшие пользователи сайта, избили и выбили все зубы 🦷 Уходя, они забрали зубы с собой, заявив, что идентифицируют себя как зубных фей 🧚

Мораль: не важно как ты себя идентифицируешь, важно, на месте у тебя зубы или нет какая у тебя аутентификация.

ЗЫ. Любые совпадения с реальными историями и персонажами случайны!

Читать полностью…

Пост Лукацкого

Многие компании сейчас не испытывают острой необходимости в найме директора по информационной безопасности 😎 (хотя многим и требуется замгендира по ИБ, но отношение к этой роли небизнесовое, а скорее "для галочки"), но им важно заранее определить роль CISO, включая планы по развитию нынешнего руководителя службы ИБ до уровня квалифицированного CISO 🧐 Данный подход предполагает формирование образа "идеального" CISO. Почему именно "идеального", а не просто "оптимального"? Потому что современный CISO должен быть мастером на все руки, совмещая в себе множество компетенций — своего рода "целое стадо единорогов". Этот профиль часто оказывается слишком амбициозным и служит скорее основой для обсуждения роли CISO и его команды, чем реальной инструкцией к действию 🫡

Поиск идеального CISO представляет собой серьёзную задачу 🔍 Для выполнения этой роли необходим крайне специфический набор навыков, а количество специалистов, соответствующих этим критериям, минимально. Более того, вероятность того, что такой специалист окажется доступным для найма и будет готов присоединиться к конкретной компании, практически равна нулю 🥲

В таких условиях компаниям стоит быть гибкими и готовыми рассматривать возможность привлечения внешнего кандидата, что вполне разумно для любой руководящей позиции. Однако зачастую внутри компании уже есть руководитель службы безопасности, обладающий частью необходимых навыков и глубоким пониманием внутренних процессов. Этот специалист может стать отличной основой для формирования "идеального" CISO в будущем, если инвестировать в его развитие.

Что же такое "идеальный CISO"? Ниже 👇 вы найдете описание такой роли.

Читать полностью…

Пост Лукацкого

10 вещей, которые специалист по кибербезопасности должен успеть сделать до Нового года: 🔥
1️⃣ Провести инвентаризацию активов. Убедитесь, что все учетные записи, устройства, и системы учтены, а неиспользуемые или устаревшие отключены. Это как генеральная уборка, но в киберпространстве
2️⃣ Пересмотреть правила паролей. Обновите свои пароли и убедитесь, что коллеги делают то же самое. В Новый год с новым паролем. И никакого password2025!, лучше уж KerfwrbqUtybqRfrJyDctEcgtdftn (вы же прочитали, что там зашифровано?) 😉
3️⃣ Проверить резервные копии. Перепроверьте, что резервные копии работают корректно, а восстановление данных занимает меньше времени, чем приготовление оливье 🎄
4️⃣ Настроить праздничный автоответчик на почте. "Я вне офиса, но хакеры пусть знают, что я всегда на страже!" Не забудьте чувство юмора и будьте вежливыми 🧑‍💻
5️⃣ Заручиться поддержкой руководства на будущий бюджет. Убедите топ-менеджмент в важности инвестиций в кибербезопасность. Используйте фразу: "Сколько стоит незащищенный Новый год?" 🙏
6️⃣ Устроить праздничную фишинговую атаку. Проведите шуточное фишинговое тестирование среди сотрудников с забавным сценарием. Например, письмо с темой "Срочно: Премия за лучший рождественский свитер!" 😎
7️⃣ Обновить системы и патчи. Убедитесь, что все обновления установлены, чтобы не оставлять уязвимостей для хакеров, которые тоже любят "подарки" 🫡
8️⃣ Написать письмо Деду Морозу. Попросите стабильности в IT-системах, защиты от ransomware, умных пользователей, которые не кликают на подозрительные ссылки, а также снижения ключевой ставки 👍
9️⃣ Создать чек-лист кибербезопасности для друзей и семьи. Помогите близким защитить их гаджеты и аккаунты. Ведь Новый год — это время заботы 🥰
1️⃣0️⃣ Устроить "киберелку". Организуйте командное мероприятие с коллегами: квест или викторину на тему кибербезопасности. Обязательно наградите победителей сувенирами в виде флешек и антивирусных лицензий, даже если они уже и не нужны! 🤣

Читать полностью…

Пост Лукацкого

Две тенденции вижу я. CAPTCHA становится сложнее. И это вам не "вертикальные реки" выбирать даже 🤔 И не краски осени. Сначала появилась свинья, которую надо было тыкать пальцами в жопу, потом вот такое 🤔 Теперь очередная напасть - надо понять, что имел ввиду художник, совместив две части картины 🤔 Хорошо, что они Кандинского или еще какого абстракциониста не выбрали в качестве примера 🤔

Вторая тенденция печальнее - такие капчи стали "поднимать" при заходе на сайт 🖥 Я еще главной страницы не увидел, а у меня уже челендж, который бывает сложно со смартфона в машине пройти 🤦‍♂️ 3-4 раза ошибся и все, желание посещать сайт пропадает. Интересно будет как-нибудь увидеть цифры потерь от ухода клиентов, не поборовших механизм защиты сайта от них. Ой, не от них, а от хакеров, ведь такую капчу включают для защиты от плохих парней, которые увеличили число атак на российские компании. И сравнить цифры потерь от атак с цифрами потерь от ухода клиентов 🤠 И какой результат будет хуже 🤔

Читать полностью…

Пост Лукацкого

Интересный кейс коллега и товарищ скинул. Если вкратце, то история такая (ею поделился руководитель компании на своем канале YouTube). Интернет-магазин по продаже премиальных гитар 🎸, в том числе и очень дорогих, столкнулись с DDoS-атакой, за которой последовал взлом сайта 🔓 После было проникновение в админку магазина, набор в корзину музыкальных инструментов стоимостью по 300-700 тысяч рублей, обнуление цены, и добавление мелких товаров на несколько сотен рублей 🛒 После была осуществлена оплата пяти заказов, реальная стоимость которых составляет под десяток миллионов, а фактическая - всего пару тысяч рублей. Увидев утром такую ситуацию, владельцы магазина обнулили заказы и думали, что на этом можно расслабиться, но не тут-то было 🤷‍♀️

На следующий день от "разгневанных" клиентов, чьи заказы были обнулены, стали поступать претензии и угрозы 😠 Позже прилетело предписание из Роспотребнадзора (в одностороннем порядке заказ нельзя аннулировать - закон это запрещает). Затем был суд и претензии со стороны коллекторов 😈 Гитарные боссы подали кучу жалоб в прокуратуру, Роспотребнадзор, полицию, но все безрезультатно, - жалобы были остановлены без движения.

История пока продолжается. А я хотел бы обратить внимание на ряд моментов:
1️⃣ Я не судья, но налицо явное мошенничество, которое начиналось с обычной DDoS-атаки (хотя у меня нет полной уверенности, что DDoS связан с последующими событиями), а затем продолжилось взломом админки сайта по продаже гитар 🎸
2️⃣ Схема извлечения прибыли из атаки не быстрая, но достаточно эффективная, показывающая знание российского правоприменения 🇷🇺 Пока следствие да суд встанут на сторону пострадавших, коллекторы и Роспотребнадзор выжмут из них по максимуму. И если у них нет серьезной финансовой подушки, то там и до недопустимого события банкротства недалеко 🤑
3️⃣ Нечасто жертвы придают огласке такие кейсы. Руководитель признает, что у них не было нормальной ИБ (похоже и ИТ не было), что и послужило причиной взлома 🤔 Кстати, в данном кейсе даже навороченной системы защиты не надо было иметь. Достаточно было внедрить многофакторку на админку CMS, настроить права доступа к папкам и файлам сайта, выбрать надежный пароль к админке и к СУБД и выполнить еще ряд несложных настроек по ИТ-харденингу 🖥 Но увы...

Читать полностью…

Пост Лукацкого

13 лет прошло, угроза только растет 😊 На многих закрытых мероприятиях, куда меня заносит судьба, служба или призвание, многие выступающие перед началом своих выступлений внимательно смотрят на меня и говорят: "Алексей, вот этого писать у себя не надо!" Забавные люди. Если бы я писал все, что знаю, за мной бы уже давно пришло и забрали бы прям в процессе написания очере

Читать полностью…

Пост Лукацкого

Вчера, на курсе по моделированию угроз, обсуждая методику ФСТЭК, меня спросили:

А кибератака от имени ИИ может ли быть отнесена к антропогенному источнику? 😡


По сути-то все равно - мы должны учитывать разные источники реализации угроз, не только от человека 🤖 Но вот формально… Оказалось, что многие госорганы прям страдают от буквального прочтения методики оценки угроз со стороны проверяющих структур.

Будем надеяться, что консорциум доверенного ИИ сможет найти ответ и на этот вопрос тоже 🤞

Читать полностью…

Пост Лукацкого

Ничего святого у русских хакеров из «Святой лиги» - пивную Хугарден ddos’ят 🍺 Главное, чтобы коньячные заводы и винокурни не трогали 🥃 А то на молоко переходить придется 🍼

Читать полностью…

Пост Лукацкого

Один раз - случайность, два раза - совпадение, три - закономерность. Есть такая поговорка. И вот на российском рынке ИБ у нас произошло совпадение. Сначала, разделилась компания Group-IB. Ее российская часть стала называться F.A.C.C.T. и предоставлять продукты и услуги только в нашей стране, а международный бизнес ушел целиком в Group-IB с штаб-квартирой в Сингапуре 🇸🇬 Компании разошлись окончательно и поделили технологии и интеллектуальную собственность. А затем часть активов F.A.C.C.T. была передана в новую компанию, созданную фондом Cyberus и частными инвесторами 🫴

В ноябре этого года другая ИБ-компания, QRator Labs, приняла решение о разделении на два бизнеса международный, с штаб-квартирой в Праге, который продолжил носить привычное имя, и чисто российский, названный Curator. У компания разные руководители и разные ассортименты продуктов 👫 Правда, есть некое лукавство в этом. Curator не скрывает своего российского происхождения 🇷🇺, но историю свою отсчитывает с момента основания QRator, просто поменяв все упоминания QRator в пресс-релизах и новостях на новое имя, что выглядит странновато.

А вот сам QRator у себя на сайте не упоминает свои российские корни в принципе, убрав их из истории компании 🇨🇿 (хотя если сделать сквозной поиск по сайту, то всякое вылезает). Вопрос разделение интеллектуальной собственности и мощностей по фильтрации остается открытым 🤔

Интересно, кто будет следующий, чтобы это превратилось в закономерность?

Читать полностью…

Пост Лукацкого

😮 Кребс тут интересное пишет, хотя и не новое по сути ✍️ Он наткнулся на web-сервис взлома Araneida, который предлагает инструменты для взлома веб-приложений, эксплуатации уязвимостей и обхода защитных механизмов. Услуги включают автоматизацию атак, сбор данных и тестирование на проникновение. Несмотря на заявления о легальности, Araneida используется киберпреступниками для атак 🤕

Исследователи нашли связь между Araneida и зарегистрированной в Турции 🇹🇷 IT-компанией - на сервере Araneida обнаружены данные, указывающие на использование инфраструктуры турецкой компании, включая корпоративные домены и IP-адреса 🤔 Это поднимает проблему маскировки киберпреступной деятельности под законные операции, что наблюдалось уже и в России в том числе 🥷

В статье упоминается связь между Araneida и инструментом Acunetix, который часто используется для автоматизированного сканирования веб-уязвимостей 🌎 Этот инструмент сам по себе является легальным и широко применяется специалистами по кибербезопасности для тестирования на проникновение и поиска уязвимостей в веб-приложениях. Однако Araneida использует утекший и взломанный Acunetix и аналогичные инструменты в нелегальных целях. А вдруг кто-то и MaxPatrol VM так использует 🤔

Связь с Acunetix прослеживается через серверы и инфраструктуру Araneida, где обнаружены конфигурации, указывающие на использование этого сканера. Это подчеркивает, что легальные инструменты 👾, разработанные для повышения безопасности, могут быть переориентированы киберпреступниками для эксплуатации уязвимостей 🎩

Выводов не будет. Разве, что выстраивайте процесс анализа зщищенности самостоятельно, а если привлекаете внешнюю компанию, то проведите ее проверку перед заключением договора 🤔

Читать полностью…

Пост Лукацкого

Термин "хакер" 👨‍💻 считывать можно на разных уровнях восприятия. Самая банальная история - это плохой парень (или девчонка), который ломает системы 🥷 Этот вариант, к сожалению, является очень популярным и достаточно активно продвигается везде. Чтобы как-то снизить накал страстей вокруг него начинается эксплуатация антонима к нему - "белый хакер", что только усугубляет ситуацию 👺 Раньше хакером называли технарей, кто изучал как работают системы, обладал нехилым техническим бэкграундом и не следовал правилам и инструкциям в ИТ-сфере.

Но я бы смотрел на термин "хакер" шире. Это человек, который в целом мыслит нестандартно, "взламывает" окружающий мир, его правила и установки, чтобы сделать его лучше 👨🏼‍🔬 В такой трактовке Хеди Ламарр как раз хакер, которая нестандартно смотрела на многие проблемы, находила их решение и потом они внедрялись в жизнь. И кому какое дело, что она была актрисой и сначала стала известной благодаря тому, что снялась обнаженной? 👩🏼‍🔬

Читать полностью…

Пост Лукацкого

Фишинговые атаки 🎣 продолжают использовать человеческие слабости в организациях, причем определенные роли подвергаются большему риску из-за их обязанностей и поведения 🧐 Отчет "Exposing Human Risk", подготовленный Mimecast совместно с Cyentia Institute, доказывает "с цифрами в руках", какие роли наиболее часто становятся целями и как минимизировать эти риски 🙂 Отчет интересен тем, что Cyentia все свои исследования подкрепляет мощной аналитикой, основанной на анализе данных.

Авторы отчеты выделяют несколько ролей с высоким риском попасться на удочку мошенников 💳 В первую очередь это отделы продаж, члены правления и руководители, которые чаще всего и становятся мишенями фишинговых атак. Их публичная видимость и регулярные внешние коммуникации увеличивают вероятность контакта с фишинговыми угрозами. Даже при хорошем уровне их подготовки объем атак делает вероятность успеха выше 🔠

К уязвимым подразделениям также относятся R&D-подразделения, лаборатории и технические команды, которые, несмотря на меньшую частоту атак, демонстрируют более высокий уровень кликов по фишинговым ссылкам 👨‍💻 Это связано с тем, что концентрированность на своих задачах может снижать внимание к признакам угрозы 👩‍💻

При этом авторы отмечают ограничения стандартного обучения, так как универсальные программы обучения по кибербезопасности оказываются недостаточно эффективными (про это уже недавно был пост) 📉 Необходим индивидуальный подход и персонализированное обучение, учитывающие особенности каждой роли и отдела, что требует разработки не одной, а нескольких обучающих и адаптированных программ. Например, отделу продаж подойдут сценарии, моделирующие реальную деятельность коммерческого департамента (обновленные реквизиты, не получили счет на оплату, пришли коммерческое предложение и т.п.) 🛫

Для сотрудников с высоким риском, таких как руководители и члены правления, рекомендуется применение дополнительных уровней безопасности 🛡 Например, более глубокий мониторинг и защита от целенаправленных атак. Кроме того, Mimecast и Cyentia рекомендуют применять данные для выявления паттернов атак и реакций сотрудников. Такая информация позволит точечно распределять ресурсы и принимать своевременные меры 🛡

В заключение отмечу, что аналитика Cyentia показывает неравномерность фишинговых атак в организациях - всего 1% пользователей стоит за 44% всех открытий фишинговых писем, а 5% пользователей отвечают за 83% всех кликов по мошенническим ссылкам. Такая дифференциация должна учитываться при разработке персонализированных обучающих программ 👨‍🏫

Читать полностью…

Пост Лукацкого

Генпрокуратура 🇷🇺 внезапно признала американскую TI-компанию Recorded Future нежелательной 😨 Решение странное, если не сказать больше. Мало того, Recorded Future была куплена недавно MasterCard и может скоро прекратить свое существование как самостоятельное юрлицо в первой четверти следующего года, так и в России эта компания не работает. Большого смысла данное действие не имеет, так как никакого ущерба ни компании, ни стране ее происхождения 🇺🇸 не наносит 🤷‍♀️

А вот проблем российским компаниям и специалистам может создать немало, так как отчеты Recorded Future попадали в платформы Threat Intelligence, в том числе и российских предприятий 💻 Я вот нередко ссылался на их аналитику. Журналисты ее упоминали. И что теперь? 🤔 Ну ссылаться на нее скорее всего уже нельзя, а что делать с ранее опубликованными материалами, ссылками и и упоминаниями? Не будет ли это отнесено как участие в деятельности нежелательной организации? Надеюсь, что нет ☺️

Можно предположить, что российская генеральная прокуратура ⚖️ решила ответить заокеанским коллегам, которые также бессмысленно вводили санкции против российского кибербеза. Если так, то нас ждут еще не менее увлекательные истории о том, как различные не очень известные на российском рынке компании будут признаваться нежелательными ⛔️, так как они

Специализируются на киберугрозах, активно взаимодействуют с ЦРУ и разведслужбами других государств. Обеспечивают информационно-техническую поддержку развернутой Западом пропагандистской кампании против России. ... участвуют в сборе и анализе данных о действиях Вооруженных Сил РФ. Обеспечивают украинским специалистам свободный доступ к программам, используемым для подготовки и проведения наступательных информационных операций против России.


Как работавший в американской компании, могу поделиться наблюдением, - почти все ИБ-компании США попадают под это определение из пресс-релиза Генпрокуратуры. Так что ждем-с

Читать полностью…

Пост Лукацкого

В декабре 2024 года ИБ-компания BeyondTrust обнаружила две уязвимости в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS), с помощью которых осуществляется удаленная техническая поддержка по модели SaaS. Эти дыры позволяли неавторизованному злоумышленнику удаленно выполнять команды операционной системы от имени пользователя сайта через специально сформированный клиентский запрос. В результате было скомпрометировано, как утверждается, ограниченное число клиентов.

Уязвимости возникли из-за недостаточной проверки входных данных в компонентах PRA и RS, что позволило злоумышленникам получить доступ к ключу API и за счет этого внедрять и выполнять произвольные команды на сервере, включая и сбор паролей для локальных учетных записей приложений. Это указывает на пробелы в процессе разработки и тестирования безопасности программного обеспечения.

BeyondTrust уже не поможешь, а вот остальным можно дать следующие рекомендации для предотвращения подобных инцидентов в будущем:
🔤 Усиление процессов безопасной разработки (SDLC). Интегрировать практики безопасного кодирования и регулярного анализа уязвимостей на всех этапах разработки.
🔤 Регулярное обновление и патчинг систем. Обеспечить своевременное применение обновлений безопасности для всех продуктов и систем, как облачных, так и локальных.
🔤 Проведение регулярной, а лучше непрерывной оценки защищенности. Организовать периодические проверки и тестирования на проникновение для выявления и устранения потенциальных уязвимостей с перспективой выхода на Bug Bounty.
🔤 Обучение сотрудников. Проводить регулярное обучение разработчиков и специалистов по безопасности современным методам защиты и реагирования на инциденты, а также SecDevOps.
🔤 Внедрение многоуровневой защиты. Использовать дополнительные механизмы безопасности, такие как системы обнаружения угроз (IDS/WAF/NGFW) и средства мониторинга активности (SIEM/NDR/CDR), для своевременного выявления и предотвращения атак.

Читать полностью…

Пост Лукацкого

У Александра утащил ссылку на интересный отчет про экономику кибербезопасности для развивающихся рынков от Всемирного банка, который разбит на три части:
1️⃣ Ландшафт угроз
2️⃣ Экономика инцидентов ИБ
3️⃣ Рынок ИБ.

Первый раздел не очень интересен (лично для меня), так как там ну очень уж высокоуровневые данные по инцидентам в разных странах со срезами по отраслям и т.п. Возможно, для страховых компаний или для регуляторов это может быть интересно, но не для отдельных компаний. Третья часть тоже слишком абстрактна ☕️

Второй раздел оказался более интересным. Там даются интересные цифры (тоже уровня стран, но зато про деньги, экономику и т.п. Например, если бы развивающиеся страны снизили число инцидентов ИБ и из верхнего квартиля попали в нижний, то их ВВП (и речь про президента России) вырос бы на 1,5%! 🤔 Это очень интересные расчеты, показывающие насколько ИБ стала влиять на экономику страны. Автор отчета пишет, что один из рассмотренных инцидентов привел к снижению ВВП страны на 2,4% (это просто маленький пушной зверек какой-то 🤯).

Более 40% инцидентов замалчиваются (в России так и больше), что сумму потерь делает еще выше 😫 В отчете повторяется вывод из отчета ExtraHop, что гораздо больше потерь от инцидентов носит непрямой характер и они часто превышают прямые финансовые потери, которые видит жертва в первые дни после инцидента 😃 Об этом же говорят и кейсы с MGM Grands, Caesars Palace, United Health Group, Medibank и т.п., которые в своих финансовых отчетах указывали суммы, в разы, а то и на порядки превышающие сумму выкупа шифровальщикам 🧐

Еще одной интересной частью является обзор всех имеющихся исследований по теме влияния инцидента ИБ на курс акций компаний 📊 В зависимости от временного интервала и региона (преимущественно США) этот показатель скачет от 0,3 до 6,78 процента, но в среднем - около 1,5 процентов 📉

Еще три экономических наблюдения авторов отчета:
1️⃣ Инвестиции в кибербезопасность обусловлены соображениями экономии. Однако, в отличие от других проектов по экономии средств, отдача от инвестиций в кибербезопасность не поддается количественной оценке 🤑
2️⃣ Компании переводят убытки от киберинцидентов в рост цен, который принимают на себя потребители 😮
3️⃣ Отсутствие прозрачности в отношении частоты и серьезности кибер-инцидентов и низкая осведомленность общественности влияют на эффективность рынка!

Читать полностью…

Пост Лукацкого

Ничто не выдавало в этом «сообщении от WB» 🛒 фишинговую рассылку 🙅‍♂️ Будьте бдительны 👋

ЗЫ. Спасибо коллеге, что поделился сим образчиком.

Читать полностью…

Пост Лукацкого

А я же говорил, что бывают внезапные выступления... Вот, думал, что все, курс по моделированию угроз будет финальным в этом году, но нет. Позвали на митап по рискам "Операционные риски 2024-2025. Новогодняя дискуссия" 😬

Он для директоров по операционным рискам финансовых компаний и что я там делаю, я не знаю 😂 Особенно учитывая мою "любовь" к рискам. Но так как, среди прочего, заявлен разбор прогресса в управлении рисками данных, новых технологий и кибербезопасности, а также прогнозы по трансформации бизнес-моделей, цифровизации и регуляторным изменениям, то может и мне что удастся сказать позитивного, не ругающего риски ИБ 🤣

ЗЫ. Нейросеть так видит директоров по операционным рискам. Какой-то сексизм прям... 👼

ЗЗЫ. Участие бесплатное, но количество физических мест, как обычно, ограничено. Зато будет трансляция 🍿

Читать полностью…

Пост Лукацкого

Презы с BlackHat Europe 2024 выложили в одно место - https://github.com/onhexgroup/Conferences/tree/main/BlackHat_Europe_2024_slides

Читать полностью…

Пост Лукацкого

У MITRE вышла стабильная, первая версия их фреймворка D3FEND. Идея ее достаточно простая. Мы имеем матрицу MITRE ATT&CK, которая содержит является базой зданий по техникам и тактикам тех, кто атакует системы (хоть пентестеры, хоть киберпреступники). И по многим техникам матрица содержит описание того, как ее выявлять (раздел Source или Detection). Но что с отражением и нейтрализацией этих техник? Ведь в зависимости от платформы методы могут быть совсем разные. Смотреть в раздел Mitigation? Он очень высокоуровневый и скорее описывает классы защитных мер, но без их детализации.

MITRE D3FEND как раз и предназначен для того, чтобы закрыть этот пробел. Он увязывает защитные меры с техниками, базируясь на исследованиях о применимости той или иной меры в различных условиях. Авторы пишут, что они проанализировали более 500 патентов в области ИБ с 2001 по 2018 годы, а также много других источников данных, которые и позволили собрать вместе все разрозненные сведения в единую онтологию, позволяющую разрабатывать архитектуры ИБ.

Вместе с D3FEND 1.0 MITRE выпустила и специальные визуальный конструктор D3FEND CAD, который позволяет визуализировать работу с новым фреймворком. И это не просто матрица, которая была и раньше, но инструмент, который позволяет построить граф/диаграмму защиты своих ИТ-активов.

Ну и как это часто бывает у американцев, они вместе с новым фреймворком по ИБ, выпускают его маппинги (сопоставления) с уже известными на тот момент стандартами. В частности по D3FEND доступны сопоставления с NIST 800-53 Rev.5 и с DISA CCI. Связки D3FEND и ATT&CK тоже, конечно, доступны. На закономерный вопрос, почему такие странные матрицы сравнения (со стандартами ИБ для военных и для госухи) отвечу - заказчиком D3FEND была АНБ. Отсюда и специфика, что не делает этот инструмент менее интересным.

Читать полностью…

Пост Лукацкого

А у нас вышел очередной, новогодний выпуск Positive Research, который можно скачать на сайте журнала 📰 В этот раз он полностью посвящен всему, что связано с багхантингом, онлайн-полигоном, кибербитвой, белыми хакерами и тренировками red team и blue team. Есть в журнале и бонус - в печатную версию вложена матрица MITRE ATT&CK, чтобы на стенку вешать (многие такое любят) 🪧

Читать полностью…

Пост Лукацкого

19 декабря РКН внес 😈 в реестр организаторов распространения информации 12 коммуникационных сервисов 📱 (мессенджеров), обеспечивающих защищенные соединения (как правило, со сквозным шифрованием), а именно:
🔤 WhatsApp (США)
🔤 Skype (США)
🔤 Wire (Швейцария)
🔤 Element (Великобритания)
🔤 KakaoTalk (Южная Корея)
🔤 Session (Астралия)
🔤 DUST (США)
🔤 Pinngle SafeMessenger (Армения)
🔤 Status (Швейцария)
🔤🔤 Keybase (США)
🔤🔤 Trillian (США)
🔤🔤 Crypviser (Германия).

Все указанные сервисы должны теперь выполнять "пакет законов Яровой" и хранить переписку пользователей, предоставляя ее по запросу российских спецслужб 🇷🇺 Кроме того, ОРИ обязаны установить в своей инфраструктуре оборудование СОРМ для непрерывного доступа к коммуникациям со стороны правоохранительных органов 🇷🇺 Отказ от выполнения указанных норм может повлечь за собой блокировку сервиса на территории России 🇷🇺

Почему именно сейчас (тот же Telegram был внесен в реестр ОРИ в 2017-м)? Хрен знает. Выборы прошли, вроде особо нечего опасаться. Но в любом случае держим в голове, что массовой анонимности в стране потихоньку приходит конец 🍑 Если еще и вспомнить проект приказа РКН по идентификации всех пользовательских устройств доступа к Интернет 🌍

Читать полностью…

Пост Лукацкого

Россия наращивает международное сотрудничество и подписывает два межправительственных соглашения в области кибербезопасности с достойными партнерами - Северной Кореей и Зимбабве. Ну а что, с кем еще подписывать?.. ✍️

Читать полностью…

Пост Лукацкого

В метро 🚇 внезапно увидел, как человек читает конспект лекций по бизнесу 🧐 Меня там 2 момента зацепило. Во-первых, почему в основных показателях бизнеса нет ни одной финансовой метрики 🤔 Это примерно как CISO, говорящий с бизнесом «на одном языке», но нечитавший ни одного годового отчета своей компании, не знающий ее основных статей доходов, уровня риск-аппетита и отличий CapEx от OpEx 🤑

А во-вторых, почему результативность описывается в формате «градусника» 🌡 Результат он либо есть, либо нет. А вот эти вот полумеры (степень достижения цели), они только все портят и позволяют думать, что можно реализовывать ИБ не на 💯 процентов. Вот это вот "уровень достижения целевого состояния ИБ составляет 💯" обычно и приводит к ущербу и негативным последствиям от реализации инцидентов, причина которых кроется в оставшем 1% 🤔

Читать полностью…

Пост Лукацкого

У меня сегодня финальное в этом году выступление (если ничего экстренно не изменится и не надо будет срочно готовить презентацию и ехать с ней куда-то выступать). Сегодня я читаю курс по моделированию угроз и, так совпало, наткнулся на новое средство автоматизации этой задачи, которое демонстрируется применительно к системам генеративного ИИ.

С развитием генеративного искусственного интеллекта (Generative AI) важность моделирования угроз для обеспечения безопасности таких систем возрастает, так как он создает уникальные риски, включая возможность злоупотребления, утечку данных и нарушение конфиденциальности. Моделирование угроз позволяет понять, где уязвимости могут повлиять на работу системы, и спланировать меры по их предотвращению и статья AWS обсуждает подходы, как проводить моделирование для облачных систем с GenAI, как оценивать риски, как их снижать; и все это на конкретных примерах.

AWS рекомендует использовать методику STRIDE для моделирования угроз. Этот подход предполагает 6 основных опасностей:
🔤poofing (подмена): атаки, имитирующие пользователя или систему.
🔤ampering (искажение данных): изменение данных или моделей.
🔤epudiation (отрицание действий): невозможность доказать, что действие было выполнено.
🔤nformation Disclosure (раскрытие информации): утечка конфиденциальных данных.
🔤enial of Service (отказ в обслуживании): блокировка доступа к ресурсу.
🔤levation of Privilege (повышение привилегий): несанкционированное повышение доступа.

Например:
🔤 Spoofing. Злоумышленник может выдать себя за разработчика, чтобы загрузить вредоносную ИИ-модель.
🔤 Tampering. Искажение датасета может привести к созданию небезопасной модели.
🔤 Information Disclosure. Использование API генеративного ИИ без шифрования данных может привести к утечке данных.

Применительно к ИИ AWS предлагает классическую 4-шаговую модель от Адама Шостака, которая позволяет, ответив на 4 вопроса, сформировать перечень угроз (в статье показывается пример как раз для GenAI):
1️⃣ Над чем мы работаем?
2️⃣ Что может пойти не так?
3️⃣ Что мы собираемся с этим делать?
4️⃣ Мы сделали свою работу хорошо? (Звучит просто, но за этой простотой скрывается куча работы)

Из интересного: у Amazon есть собственный бесплатный инструмент для моделирования угроз - Threat Composer, с которым можно поработать без ограничений. И как раз для GenAI в этом инструменте уже есть готовая модель угроз

Читать полностью…

Пост Лукацкого

🌟 Мы возрождаем нашу рубрику #женщинывкриптографии!

Сегодня у нас на повестке Хеди Ламарр — изобретательница с титулом «самой красивой» в профессии и «мама WiFi», прошедшая большой путь от актрисы до ученого. Хеди стала первой женщиной, получившей награду «Дух достижений Бульби Гнасса». Ее имя внесено в Национальный зал славы изобретателей США. А в день рождения Ламарр, 9 ноября, уже несколько десятилетий жители Австрии, Германии и Швейцарии празднуют День изобретателя.

🌟 Подробности о пути женщины-ученого, сошедшей с кинолент, ищите в карточках.

А развернутый материал о Хэди Ламар от кандидата исторических наук и старшего научного сотрудника Музея криптографии Анастасии Ашаевой можно прочитать здесь.

Читать полностью…

Пост Лукацкого

С ростом числа киберугроз и реализованных недопустимых событий, страхование киберрисков может стать критически важным инструментом для защиты организаций от катастрофических последствий инцидентов. В отчете The Geneva Association, ассоциации гендиректоров страховых и перестраховочных компаний, рассматриваются текущие тенденции рынка киберстрахования, его развитие и возникающие сложности, а также новые финансовые инструменты, такие как страховые ценные бумаги (ILS), предназначенные для распределения киберрисков.

Что отмечают авторы отчета:
1️⃣Быстрый рост рынка киберстрахования. Глобальные премии по киберстрахованию выросли с $1,5 млрд в 2013 году до $15 млрд в 2023 году. Темпы роста (CAGR) составляют 26% в год. Ожидается дальнейший рост, так как цифровизация продолжает ускоряться, а число атак с последствиями - расти.
2️⃣Расширение охвата покрытия. Включает восстановление данных, IT-экспертизу, восстановление систем, компенсацию убытков третьим сторонам. Также покрываются убытки из-за бизнес-простоев, связанных с кибератаками.
3️⃣Недостаток капитала для поддержки полисов. Примерно 50% премий передаются перестраховщикам, что существенно выше среднего уровня для других страховых направлений (10–15%). Для устойчивого роста отрасли потребуется увеличение капитала, включая привлечение внешнего инвестирования через финансовые рынки.
4️⃣Появление инновационных подходов. Страховые ценные бумаги (ILS) и Cyber ILS как инструмент распределения рисков.

С 2023 года произошло ускорение выпуска кибероблигаций. Пример: Beazley и Swiss Re выпустили "катастрофические" облигации, которые покрывают убытки от крупных кибератак. Общий объем таких облигаций составляет около $800 млн, что пока недостаточно для масштабного покрытия. Обратите внимание на название. Иностранцы тоже устали от термина "киберриск", описывая серьезные ИБ-инциденты. Они стали использовать термин "киберкатастрофа", что равнозначно нашему "недопустимое событие".

К преимуществам ILS (на секунду показалось, что весь отчет ради рассказа про ILS и делался) можно отнести привлечение капитала из финансовых рынков, снижение зависимости от традиционных перестраховщиков. А к вызовам - высокую стоимость капитала, сложность стандартизации страховых полисов и узкую базу инвесторов. Поэтому для роста ILS предлагается целый набор инициатив:
1️⃣Разработка четких стандартов полисов и исключений из их покрытия.
2️⃣Улучшение моделей оценки рисков и сценариев, включая и динамическое ценообразование.
3️⃣Расширение инструментов для привлечения различных типов инвесторов, готовых брать на себя работу с киберрисками.

Киберстрахование может существенно улучшить ситуацию с управлением финансовыми последствиями кибератак, но его рост зависит от решения нескольких проблем. Необходимы инновационные подходы для привлечения капитала, такие как, например, Cyber ILS, которые позволяют перераспределить риски. В то же время, стандартизация полисов, развитие моделей оценки и увеличение ликвидности на рынке страховых ценных бумаг могут обеспечить устойчивый рост отрасли.

Хорошо, конечно, иностранцам - они уже о росте отрасли думают. Нам бы эту отрасль сформировать для начала... А то попытка была, но меньше месяца назад Максут Шадаев сообщил, что все, крантец, не будет ничего...

Читать полностью…

Пост Лукацкого

А вы знали, что 🟥 выкладывает в открытый доступ правила для сетевого обнаружения угроз в формате Suricata (Snort)? Достаточно просто регулярно заходить на сайт https://rules.ptsecurity.com/ и скачивать обновления правил, которые создает и которыми делится с индустрией PT ESC 🕵️‍♀️

ЗЫ. Без регистрации и SMS 👍

Читать полностью…

Пост Лукацкого

Ну и, чтобы два раза не вставать, напечатали чеклист ✔️ для топ-менеджеров "Вас взломали?! Что делать руководству компании". В контексте текущей ситуации с инцидентами и иногда отсутствием у генеральных директоров понимания, что делать в кризис, эта черная папочка оказалось очень кстати 📁

Читать полностью…
Подписаться на канал