alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Мегафон тут посоветовал (спасибо подписчику, который обратил на это внимание) своим клиентам воспользоваться сайтом, непонятно кому принадлежащим и зарегистрированным в Польше 🇵🇱, чтобы проверять IMEI б/у мобильных устройств при их покупке. Желание покупателя не быть надутым понятно. Непонятно, зачем отправлять их в недружественную страну? ⬅️ А где гарантия, что владельцы сайта теперь не внесут присланные им из России IMEI в список украденных устройств? Внести-то туда такие сведения может кто угодно. И потом доказывай, что ты не верблюд 🐫 (например, на границе во время отпуска или про продаже).

Я бы на месте Мегафона тогда уж инициировал создание такого реестра на базе "Госуслуг". Эта же информация у наших мобильных операторов 📡 есть. У МВД есть данные по кражам мобильных устройств. Надо только объединить все и предложить россиянам полезный сервис. А Минцифры может возглавить 🫡 эту инициативу, чтобы не было коммерческого интереса у заинтересантов.

Читать полностью…

Пост Лукацкого

В Москве набирает популярность схема с обманом пожилых людей с помощью дипфейка мэра Москвы Собянина 👎

В апреле 75-тилетнему москвичу позвонила девушка, представившаяся секретарем мэра и предупредила, что с ним свяжется сам Собянин, который и вправду "сам" позвонил 📞 пенсионеру и предупредил, что через его банковский счет похищены государственные деньги и поэтому ему надо сотрудничать с ФСБ. Звонок от генерал-полковника спецслужбы 🇷🇺 тоже не заставил себя ждать. В итоге на "защищенный счет" были выведены 1,5 миллиона, которые и исчезли в неизвестном направлении. Об аналогичной истории (звонке от "Собянина") рассказывал ректор Иннополиса, которому мэр звонил по Whatsapp'у 📲

В июне по такой же схеме 4 миллиона похитили у бывшего главы РДКБ Николая Ваганова, правда в данном случае, это уже был видеозвонок. Бывший министр культуры Михаил Швыдкой рассказывал недавно о таком же кейсе - там "мэр" Москвы по-братски предупреждал, что со счетов жертвы были отправлены деньги на счета ВСУ и ей надо будет дать объяснения правоохранительным структурам. В этой схеме участвовал и зампред Банка России, чей дипфейк 🎭 также был задействован для солидности.

В чем особенность данной схемы? Она не массовая - список жертв небольшой и неплохо проработанный. Артисты, политики, чиновники, общественные деятели, руководители московских подведов (театры, больницы и т.п.), бывшие начальники... Люди, которых не удивишь звонком из "мэрии Москвы", которые не привыкли отвечать "нет" 👎 властьпредержащим.

Таких примеров, на самом деле, много и все их приводить большого смысла нет. Я бы хотел скорее обратить внимание на три момента:
1️⃣ Дипфейк - это уже не просто технология для организации шуток и розыгрышей, это вполне себе способ реализации угроз. И не за горами тот момент, когда его активно начнут применять и в корпоративной среде, а не только против физлиц.
2️⃣ Технологии развиваются очень быстро и рассчитывать, что "еще есть время" уже не приходится.
3️⃣ Да, это пришло уже и в Россию. Поэтому истории директора в ОАЭ или Сингапуре можно оставить в прошлом - у нас своих кейсов немало 😭

Читать полностью…

Пост Лукацкого

Ну и еще один мемчик про ИБ 😊 Меня тут спросили про форумы, где можно начинающему ИБшнику 👶 спрашивать совета и вот это вот все. А я и не знаю. Я же не начинающий уже; Да и на форумах я был в прошлом веке - сейчас все как-то вживую, за бокалом коньяка или кружкой иван-чая 😊 Но чтобы не просто мемчик был, а и польза (хотя улыбнуться бывает полезно), кину ссылку, которую мне ее автор прислал, - список ресурсов для начинающих ИБшников. Про форумы там, вроде, ничего нет. Но всякие курсы, лабы, CTF, стажировки и т.п. точно есть 🎓

Читать полностью…

Пост Лукацкого

Сколько вы знаете формул оценки рисков ИБ? Одну, две, три?.. Я знаю с десяток и абсолютное большинство из них в качестве одного из двух основных параметров (помимо вероятности) используется ущерб 💥 В ооочень редких случаях вместо ущерба упоминается стоимость актива, на который влияет риск. Но все это полная фигня; особенно когда апологеты этих формул говорят, что она позволяет говорить на одном языке с бизнесом. Это похвальное стремление, но только вот бизнес не говорит на таком языке 😱

Для любого бизнесмена риск - это сочетание возможностей и опасностей; причем на возможности он смотрит с большим вниманием, чем на опасности. Я про это недавно писал, но не грех и повторить ✍️ Можно долго бегать вокруг предотвращения ущерба, но если бизнес внес его величину в себестоимость продукта, то ему уже пофиг на ущерб, он отбил свои деньги и начал зарабатывать. А ИБшники продолжают носиться с предотвращением ущерба, который уже не интересен 🤠

Поэтому если вы видите в формуле 🧮 риска, которую вам кто-то презентует, слово "ущерб" или "impact", бегите от таких людей как от чумных - они не понимают, что такое риски на самом деле, и не понимают, что такое бизнес. Вместо "ущерба" должно быть "value" или "ценность", которую мы получаем от реализации какого-то проекта или инициативы. И вот "value" может быть как положительным (заработали), так и отрицательным (потеряли) 😦

Кстати, обратите внимание, что на картинке в знаменателе есть countermeasures (защитные меры) 🛡 и exposure factor. Последний параметр по своему интересен и достаточно редко упоминается в формулах рисков. Я про него отдельно напишу. А вот на место countermeasures надо обратить внимание особо. Если вы делите ("уязвимость" * "угроза"), то это хорошо; вы тем самым снижаете опасность. А вот если вы делите "ценность", то защитные меры в знаменателе вам только все портят, так как они уменьшают ценность! И это то, про что я тоже уже писал.

ЗЫ. Поэтому, когда вам рассказывают про киберриски, всегда уточняйте, что имеет ввиду спикер, показывая классическую формулу "риск = вероятность * ущерб"? По его блеянию вы поймете, понимает он что-то в теме или нет 🤔

Читать полностью…

Пост Лукацкого

Все-таки есть что-то притягательное в ИБшных койнах. Вроде по сути та же грамота из олдскульных времен, но ощущения совсем иные. И подделать сложнее 😎 Это вам не грамота от директора ФСБ на Авито 🫡

Читать полностью…

Пост Лукацкого

Сделал презу для сегодняшнего мероприятия, но показать ее не могу, условия такие, закрытое мероприятие. Поэтому только один слайд и могу в паблик выложить. Остальное, может быть, изложу в формате блога...

Читать полностью…

Пост Лукацкого

Вот спрашивается, что я делаю среди 4-х генеральных директоров? Но начинание интересное. Так глядишь "Романовы" или "История Государства Российского" получится, но про кибербез... если меценаты найдутся. Где вы, Саввы Морозовы, Павлы Третьяковы, Саввы Мамонтовы, Алексеи Бахрушины или даже Марии Тенишевы?.. 🔍

ЗЫ. Кстати, после сегодняшних новостей, гендиректоров на картинке уже не четыре!

Читать полностью…

Пост Лукацкого

Помните, на PHD2, представители НКЦКИ анонсировали сервис бесплатной скорой помощи по расследованию и реагированию на инциденты ИБ? 🇷🇺 Пока коллеги оформляют все процедуры, американцы опубликовали статистику по тому, как и какие сервисы по обмену данными об угрозах используют супостатные госорганы 👮

Достаточно показательные цифры 0️⃣ Чаще всего используются либо всяческие брифинги (а значит это совершенно неоперативная информация), либо различные продукты класса TIP. Самая непопулярная история - каталог известных уязвимостей от CISA (KEV). И почему мы тогда удивляемся, что в новостях 📰 постоянно проскакивают истории об очередном зашифровании целых городов и муниципалитетов. Если ты не получаешь оперативно информацию об угрозах и уязвимостях, то и рассчитывать на оперативную защиту не приходится. Поэтому, когда Счетная палата пишет про почти повсеместное отсутствие непрерывного мониторинга, уже и не удивляешься 😭

Читать полностью…

Пост Лукацкого

Так уж получается, что мы с коллегами часто вступаем в заочную полемику по результатам постов друг друга 🤜 Вот и в этот раз Сергей Солдатов прокомментировал мой вброс о ненужности антивируса 🦠 (кстати, на пленарной секции на IT IS Conf в Екатеринбурге, где этот миф обсуждался, половина участников не имела антивируса на своих компьютерах; на других мероприятиях этот показатель схожий), задавшись риторическим вопросом, кого конкретно я имею ввиду 😅

Ну а я подготовил обзорную табличку, в которой достаточно поверхностно сравнил антивирус 🦠 с EPP, EDR и XDR. И кажется мне, что когда Сергей и его коллеги возмущаются на мои высказывания про антивирус и говорят, что антивирус уже давно не тот, они имеют ввиду не антивирус, а EPP. Ну так и надо называть вещи своими именами. Да, в EPP может входить антивирус, как один из модулей, но не более того. Антивирус, который мы все знаем, уже давно анахронизм и толку от него немного, и с точки зрения детекта, и с точки зрения расследования.

ЗЫ. Кстати, у меня уже больше года как закончилась лицензия на KTS (а это, извините, EPP, а не антивирус) и... я так и забил на ее продление. И вот уже год прошел с лишним и ничего 🤷‍♀️ И на KTS я половину функций сразу выключил после установки - с ними все тормозило 🏎 То есть и EPP мне, как домашнему пользователю, тоже как бы не очень и нужен был.

Читать полностью…

Пост Лукацкого

Интересный факт, персидский ковер, сотканный вручную, обязательно должен иметь изъян 🕳 И это не проблема технологии или процесса, а осознанное действие ткачей, считающих, что только Бог может создать что-то совершенное, а человек не идеален 🤦‍♂️

Почему еще ИТшники не следуют этому правило, оставляя дыры в своих системах? 🤔 Или следуют, только не говорят ИБшникам?

Читать полностью…

Пост Лукацкого

Honeywell выпустила отчет о росте числа вредоносного ПО, распространяющегося через USB 🤒 и несущего опасность для промышленных, иногда изолированных от Интернет, сред 🏭 Горизонт наблюдений составил 6 лет, что и позволило Honeywell сделать вывод о росте угрозы 📈, эксплуатирующей разные CVE, использующей многоходовые схемы, атакующей не только Windows, но и Linux и другие платформы.

Читать полностью…

Пост Лукацкого

Мало правильно использовать NGFW - его еще и создать нужно уметь. А в создание NGFW могут не только лишь все! 🤬

Читать полностью…

Пост Лукацкого

Коллеги, за что им спасибо, поправляют по заметке по контролю сообщений от регуляторов. Оказывает ЦБ использует не только RAR, но и ARJ (я и забыл про его существование) в качестве архиваторов. И гораздо важнее обращать внимание на реквизиты письма и контакты исполнителя! ☝️ Так что, как я и написал, приведенный шаблон надо тюнить под конкретного регулятора ☝️

Читать полностью…

Пост Лукацкого

Пока в России три с лишним десятка вендоров пилят свой NGFW 🤬 на Западе смотрят дальше и пытаются понять, что можно улучшить в области безопасности сетевого доступа. Так, CISA выпустила обзорное руководство по трем таким подходам:
1️⃣ Zero Trust (ZT), который реализует принцип "никогда не доверяй, всегда проверяй" 🛃 при обеспечении доступа различных субъектов (пользователей, устройств, приложений, IP-адресов и т.п.). По мнению CISA этот подход позволит снизить риски утечек данных и компрометаций компаний на 50%. Как по мне, так за такими технологиями будущее 🔥
2️⃣ Secure Service Edge (SSE), который комбинирует Cloud Security Access Broker (CASB), Secure Web Gateway (SWG) и Zero Trust Network Access (ZTNA) и Firewall-as-a-Service (FWaaS). CISA считает, что SSE снижает число инцидентов на 40% 😶‍🌫️
3️⃣ Secure Access Service Edge (SASE), который обеспечивает пользователям защищенный доступ к данным и приложениям, независимо от их местоположения и объединяет SD-WAN, SWG, CASB, ZTNA и NGFW.

Еще CISA рекомендует три простых практики (на самом деле в руководстве их больще), которые сильно улучшают сетевой доступ в организации:
1️⃣ Непрерывный мониторинг активности пользователей и сетевого трафика для оперативного реагирования на аномалии и угрозы 🔍
2️⃣ Многофакторная аутентификация, в том числе и на решениях по безопасному сетевому доступу 👍
3️⃣ Регулярная оценка защищенности в виде поиска уязвимостей и проведения пентестов с целью уменьшения площади атаки 🤏

Читать полностью…

Пост Лукацкого

Я в такой плейбук ☝️ включил бы следующие базовые моменты, которые могут быть детализированы в зависимости от регулятора и используемых им способов коммуникаций и адресов/номеров (специфичны для каждого субъекта РФ).

Проверка подлинности e-mail сообщений: ✉️
1️⃣ Проверка адреса отправителя:
Убедитесь, что адрес отправителя совпадает с официальным доменом организации
Задайте для писем регуляторов, которые часто отправляются с одного и того же адреса, правило в почтовой программе (это отсечет явные подделки)
Используйте механизмы DMARC/SPF/DKIM, но предварительно убедитесь, что у домена регулятора они включены (вас может ждать сюрприз по ряду наших регуляторов)
Обращайте внимание на мелкие изменения в адресе (например, fstek, nkcki, gov-cert[.]com и т.п.)
Проверяйте заголовку писем для анализа пути прохождения сообщения
2️⃣ Анализ содержания письма:
Проверяйте грамматику и орфографию. Официальные организации редко допускают ошибки в своих письмах
Обратите внимание на общий тон и стиль письма. Слишком срочные и угрожающие сообщения могут быть подозрительными
3️⃣ Проверка ссылок и вложений:
Никогда не открывайте вложения .RAR из писем регуляторов (где вы вообще видели, чтобы кто-то работал с RAR?)
Наведите курсор на ссылку, чтобы увидеть ее реальный адрес. Убедитесь, что он совпадает с официальным сайтом
Используйте песочницу для проверки вложений.

Проверка подлинности сообщений в мессенджерах: 📱
1️⃣ Проверка профиля отправителя:
Убедитесь, что профиль отправителя выглядит подлинным (фотография, количество друзей/подписчиков, история публикаций, время создания, предыдущие сообщения)
Проверьте наличие официальных верификационных знаков (галочки/звездочки)
2️⃣ Анализ содержания сообщения:
Обратите внимание на ошибки в тексте, общий тон сообщения и наличие подозрительных ссылок
3️⃣ Подтверждение через другие каналы:
Свяжитесь с отправителем через другой проверенный канал связи (телефон, e-mail), чтобы подтвердить подлинность сообщения; особенно если регулятор раньше с вами ни разу не связывался по этому каналу. Иногда можно проверить через знакомых.

Проверка подлинности звонков: ☎️
1️⃣ Идентификация номера:
Проверяйте номер телефона через интернет-сервисы или приложения для определения мошеннических звонков
Обратите внимание на номера, начинающиеся с международных кодов, особенно если вы не ожидаете звонков из-за границы
Убедитесь, что звонок осуществляется не через мессенджеры (регуляторы и госорганы в России такое не любят, не практикуют и вообще скоро запретят)
2️⃣ Спросите о деталях:
Задавайте вопросы о деталях, которые должны быть известны только официальным лицам
Не сообщайте конфиденциальную информацию до тех пор, пока не убедитесь в подлинности звонка
3️⃣ Подтверждение через официальные каналы:
Попросите предоставить дополнительную информацию через e-mail или официальное письмо
Позвоните в организацию по официальному номеру, указанному на веб-сайте регулятора, чтобы подтвердить подлинность звонка

Читать полностью…

Пост Лукацкого

На улице был ливень, град, ветрило… Ураган 🌪️ «Орхан» безраздельно царил почти весь день в Подмосковье. Решил стейк 🥩 пожарить не на огне, а на сковороде… а она хакерская ;-) Везде знаки…

Читать полностью…

Пост Лукацкого

🎥 Как и в мультике «Головоломка», в нас живет множество эмоций.

Социальные инженеры — талантливые психологи и манипуляторы — умеют использовать каждую из них как крючок, на который можно поймать жертву.

В карточках по лекции Алексея Лукацкого, бизнес-консультанта по информационной безопасности Positive Technologies, рассказали, как именно это происходит и чем нас цепляют мошенники. С примерами, чтобы вы могли распознать такое воздействие и не поддаться ему.

Больше полезных советов — в полном видеокурсе Алексея по личной кибербезопасности на портале Positive Education.

Читайте сами, делитесь с друзьями и оставляйте социальных инженеров с носом 🤥

P. S. Кстати, посмотрели уже вторую часть мультика? Как вам?

@positive_investing

Читать полностью…

Пост Лукацкого

🟥 выпустил отчет с итогами проведения пентестов в 2023-м году. Там есть интересные цифры про то, как наши парни "ломают" 🤕 заказчиков, сколько времени на это уходит (я упоминал некоторые цифры, говоря про Time-to-eXploit). Но заметка о другом.

Почему так важно изучать и оценивать TTX, читать отчеты своих "белых хакеров", смотреть чужие отчеты и т.д.? Потому что мы, ИБшники, часто живем в плену иллюзий о том, как будет действовать "живой" хакер 🔓 И исходя из наших мыслей, мы создаем модель угроз, а потом по ней строим систему ИБ. А у хакера может быть совсем иной майндсет, иное мышление... и совсем иные способы реализации угроз, отличные от того, что там себе напридумывал ИБшник 🤔

Моделирование угроз - это точка зрения ИБшника. Чтобы убедиться в ее правоте, иди и попробуй хотя бы на Standoff в Blue Team пару дней простоять и отражать атаки, которые выходят за рамки модели, но при этом очень эффективны 😂 Но ведь нет. Не идут, боятся, прекрасно зная, что написанные на бумаге и согласованные с регуляторами модели угроз так и останутся на бумаге. Одно дело - согласовать с ФСТЭК модель и совсем другое - попробовать по ней защитить виртуальный город на киберполигоне. И уж совсем третье дело - защищаться от реальных "плохих парней" 🥷

ИБшники сталкиваются с так называемой "дилеммой защитника", когда им надо найти и закрыть все дыры в своей инфраструктуре, а хакеру нужно найти всего одну единственную 🤜 И чтобы эта дилемма решалась, нужно обладать майндсетом, как модно говорить на Западе, хакера, то есть думать как он и действовать как он. И вот тогда, вы сможете приблизиться к пониманию того, как вас будут реально ломать и что можно этому противопоставить 🛡

Читать полностью…

Пост Лукацкого

🏗 С чего начать строить кибербезопасность в компании?

С определения недопустимых событий? С реализации защитных мер, предписанных приказами и прочими нормативными актами различных ведомств? С ситуативной защиты?

🧱 Это все, конечно, вещи необходимые. Но для начала Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, советует сосредоточиться на нескольких более простых и эффективных вещах. Записали в карточках, какие кирпичики нужно заложить в фундамент киберзащищенности организации любого размера и сферы деятельности.

Готовы? Пробуйте сами и делитесь с коллегами.

#PositiveЭксперты
@Positive_Technologies

Читать полностью…

Пост Лукацкого

Думаю, вы неоднократно сталкивались с примерами динамического ценообразования 🤑 Самый яркий - транспорт, такси или самолеты, цены на которые могут меняться в течение дня (для такси) или недели, в зависимости от множества факторов - количество транспортных средств, спроса на них, направления и т.п. В сфере питания такое тоже бывает нередко - продукты, у которых срок годности подходит к концу, также продают со скидкой 📉

В целом, динамическое ценообразование 💸 строится обычно на одном из пяти (иногда на их комбинации) факторов:
1️⃣ по аудитории, по ее уровню дохода
2️⃣ по времени покупки
3️⃣ по времени обслуживания
4️⃣ по повышенному спросу
5️⃣ по специфическим факторам.

И вот подумалось мне, а что, если стоимость средств защиты также будет динамически меняться? 🤔 Подходит, например, к концу срок действия сертификата ФСТЭК или ФСБ - скидка 50% на покупку. Произошел крупный инцидент ИБ в отрасли - поднятие цены для компаний из этой отрасли. Стало известно о появлении новых требований регулятора - опять рост цены на решения, удовлетворяющие этим требованиям, с последующим ее снижением после некоторого насыщения рынка 🤔 Сталкивается вендор с тем, что у него все основные покупки происходят в 4-м квартале, значит он делает скидку на покупку решений в 1-2-м кварталах для сглаживания спроса и наличия продаж даже в "низкий" сезон. И т.д. Ну а что, почему бы и нет? Рынок так рынок... 🤔

Читать полностью…

Пост Лукацкого

Вот на этом мероприятии нескажукаком так всегда... 🏕

Читать полностью…

Пост Лукацкого

Мишель Моска, эксперт в области криптографии 🤒, предложил теорему, позволяющую определить длительность подготовки к переходу на постквантовую криптографию.

"Существует 1 шанс из 7, что фундаментальная криптография с открытым ключом будет взломана к 2026 году, и 1 шанс из 2, - что к 2031 году"


Согласно теореме Моски (X+Y)>Z, количество времени, в течение которого данные должны оставаться защищенными (X) 🗝, плюс время, необходимое для модернизации криптографических систем (Y), больше, чем время, в течение которого появятся квантовые компьютеры с достаточной мощностью для взлома криптографии (Z) 🔐

Если x + y > z, то пора беспокоиться


Теорема Моска очень хорошо показывает, что организациям необходимо уже сейчас начать задумываться о том, что будет происходить в постквантовом мире в скором времени Если законодательство требует хранить от вас те или иные данные в течение определенного времени, то добавив к этому времени период перехода на квантово-защищенные решения (а у нас их как бы и нет сейчас в России от слова совсем; системы квантового распределения ключей не в счет), мы получаем 🍑

ЗЫ. Картинка выше - это адаптация американской Счетной палатой теоремы Моска применительно к американским же 🇺🇸 госорганам, от которых требуется перейти к постквантовой криптографии к определенному времени.

Читать полностью…

Пост Лукацкого

Группировка Brain Cipher принесла извинения перед гражданами Индонезии за то, что зашифровала часть их данных и… выложила бесплатно ключи для расшифровывания 🔐 Выборочная проверка показала, что ключи рабочие!

Свою деятельность они назвали «пентестом с постоплатой» и обратили внимание на важность найма специалистов по кибербезу 🥴

Специалисты расходятся во мнении, что послужило причиной такого необычного решения - давление правоохранителей 👮 или разногласия внутри команды

PS. Но вымогатели не были бы вымогателями, если бы все-таки не попросили пожертвование 🤑, еще раз особо подчеркнув, что ключи они выложили абсолютно бесплатно.

Читать полностью…

Пост Лукацкого

Я похоже робот 🤖

Читать полностью…

Пост Лукацкого

В 2022-м финансовом году американские федеральные структуры 🇺🇸 отрапортовали о 30000 инцидентов, для которых американская Счетная палата выявила 4 основные направления для улучшений:
1️⃣ Внедрение эффективной стратегии ИБ и надзора за ее реализацией
2️⃣ Защита федеральных систем и информации в них
3️⃣ Защита критической инфраструктуры
4️⃣ Обеспечение приватности 👮

В этих четырех высокоуровневых блоках Счетная палата разработала с 2010-го года 1610 рекомендаций (интересно было бы сравнить с числом рекомендаций от ФСТЭК за этот же период), из которых реализовано было 1043. По состоянию на май 2024 года 567 рекомендаций (треть) так и не была реализовано ☺️ Все это описано в новом, достаточно детальном и интересном отчете Счетной палаты. Там почти 100 страниц и пересказывать их я не буду - просто рекомендую почитать. Мне кажется, что у наших госов очень много схожих проблем. Например, отсутствие непрерывного мониторинга, отсутствие мониторинга достижения целей ИБ, отсутствие измерения эффективности ИБ и т.п. 🛡

Читать полностью…

Пост Лукацкого

Александр Леонов написал ✍️ пост по мотивам моей заметки о результативности управления уязвимостями. У себя в ВК Александр написал, что ему мой подход показался слишком идеалистичным и недосягаемым и поэтому он предложил свой - оценивая процесс управления уязвимостями по трем ключевым направлениям:
1️⃣ Использование средств детектирования уязвимостей 🔍
2️⃣ Охват инфраструктуры 💯
3️⃣ Выполнение SLA по исправлению уязвимостей ✔️

Не могу не прокомментировать и высказать свое, сугубо непрофессиональное мнение ☹️ Что меня сразу цепануло, так это то, что Александр измеряет процесс, не говоря ни слова о результате (я как раз шел от обратного). И это прям проблема, как по мне, так как мы тем самым подменяем то, ради чего это все делается, на то, что легче всего измерять. Процесс ради процесса... ⚙️

Возьмем к примеру SLA по плановому исправлению уязвимостей. Кто его устанавливает? ИТ? Так они ставят 30, а то и 90 дней на устранение выявленных дефектов 🛠 И мы, конечно, же выполним этот SLA. Но только вот время эксплуатации уязвимостей гораздо меньше указанного SLA (сутки для трендовых уязвимостей). И в чем тогда смысл? Да, SLA соблюден. Но только нас уже взломали и мы это обнаружили спустя 10 дней только 🤕

С предложенным параметром оценки охвата тоже все не так просто. Представим, что у нас интересующих хакеров узлов всего 10% от общего числа 🛡 Мы установили значение показателя по охвату на уровне 90% и выше (это у нас будет зеленый сигнал "светофора"). Все, что меньше, требует внимания и улучшения (мы же не будем стремиться к устранению всех уязвимостей - это невозможно). И вот мы просканировали все узлы кроме тех 10%, что интересны хакерам. И что? Показатель в 90% соблюден, мы в зеленой зоне, но толку ноль 🚦 Уязвимости на целевых системах остались непатченными, так как их никто не детектировал.

С оценкой средств детектирования вообще все сложно. Как вообще оценивать полноту базы детектов? 🤔 Вендор еще может поставить себе задачу охватить все CVE (для примера), но заказчику-то это зачем, если у него из десятка тысяч систем, для которых в CVE есть уязвимости, в инфраструктуре всего пару десятков вендоров? А как оценивать достаточность способов детектирования? Вот с оперативностью доставки детектов я не спорю - это Time to Notify из моей заметки 🤝

Да, все указанные у Александра метрики могут быть поправлены, уточнены, детализированы... Но тогда это еще больше усложнит систему оценки процесса, на что мы будем тратить время и усилия, но так и не поймем, достигаем мы результата или нет 🤔

Читать полностью…

Пост Лукацкого

Интересная история. Активный американский инвестор Jana Partners (активный отличается от пассивного тем, что первый не просто держит ценные бумаги, а постоянно следит за рынком и новостным фоном, анализирует компании, выбирает ценные бумаги и подходящие моменты для сделок 🤑) оказывает давление на компанию Rapid7, известного вендора в области управления уязвимостями, требуя её продажи 🛍

Основной причиной такого шага является неудовлетворительное состояние акций компании 📉, несмотря на предпринятые меры по сокращению расходов, включая увольнение 18% сотрудников (второе место из топовых вендоров ИБ по объему сокращений за последние годы) ✂️ В 2024 году стоимость акций Rapid7 снизилась на 26% (хуже только у Qualys). В прошлом Rapid7 уже рассматривалась как потенциальный объект для поглощения, но до сих пор не нашлось подходящего покупателя. Jana Partners настаивает на том, что компания нуждается в улучшении операционных показателей и перспектив 🧐

Внутренняя структура акционерного капитала Rapid7 делает её уязвимой для давления со стороны активных инвесторов 🔫, так как обычно в ИБ-компаниях большая часть акций сосредоточена в ограниченном числе рук ее основателей и владельцев. В случае Rapid7 12 топ-менеджеров владеют всего 3% акций, а институциональные инвесторы (BlackRock, Vanguard и т.п.) - всего 34%. Соответственно Jana может выкупить свободно котирующиеся акции 🛒 и добиться изменения состава совета директоров на своих кандидатов, которые и будут продвигать нужные решения, направленные на продажу компании.

Ну а к чему приводят продажи компаний мы все знаем... Тем более, что Jana Partners и ее партнер Cannae Holdings не обладают опытом в кибербезопасности - первая больше занимается пищевой промышленностью и ретритом, а вторая - футболом и ресторанами 🤠 Вот такая непростая судьба у публичных ИБ-компаний 😳

Читать полностью…

Пост Лукацкого

Вообще пофигу, какое средство защиты у вас на периметре, если у админа пароль "admin" и не включена многофакторная аутентификация 🪞 Рекомендации CISA ☝️ как раз для такого случая.

Читать полностью…

Пост Лукацкого

А кому-то пофиг и после наступления инцидента. А кому-то уже поздно… Все относительно 🤷

Читать полностью…

Пост Лукацкого

Стервятники набросились… 🦅 Раньше хоть внешне приличия соблюдались 🤠

Читать полностью…
Подписаться на канал