alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Отчет, упомянутый вчера утром, перечисляет возможные последствия от инцидентов ИБ, которые давно перестали быть лишь технической проблемой. Их влияние проникает в самые разные аспекты работы компаний, экономики и даже целых отраслей. Отчет показывает, как именно последствия кибератак могут разрушить привычный порядок вещей.

Финансовые сложности:
1️⃣ Увеличение времени оборачиваемости денежных средств, что ограничивает доступ к финансированию текущих операций.
2️⃣ Уменьшение дивидендов для акционеров и снижение их доверия к компании.
3️⃣ Сокращение числа держателей корпоративных облигаций из-за утраты привлекательности активов.
4️⃣ Отрицательная доходность фондового рынка и снижение цен на акции, усиливаемые короткими продажами.

Удар по инвестициям и инновациям:
5️⃣ Сокращение инвестиций в исследования и разработки, что ограничивает развитие новых технологий и продуктов.
6️⃣ Падение продаж, которое может продолжаться до трех лет после инцидента, влияя на долгосрочные перспективы компании.

Нарушения в цепочках поставок:
7️⃣ Прерывание логистических цепочек и снижение эффективности взаимодействия с партнёрами.
8️⃣ Распространение экономических потерь по цепочкам поставок, затрагивающее широкий круг компаний и отраслей.

Экономический и социальный эффект:
9️⃣ Экономические потери для потребителей компаний, ставших жертвами атак, включая рост цен и снижение доступности услуг.
1️⃣0️⃣ Нарушение страновых товарных потоков, что может подорвать международные экономические отношения.
1️⃣1️⃣ Снижение доверия потребителей к цифровой экономике в целом, затрудняющее её дальнейший рост.

Репутационные и доверительные риски:
1️⃣2️⃣ Подрыв репутации компаний, из-за чего восстановление имиджа становится многолетним процессом.
1️⃣3️⃣ Снижение доверия к компаниям как со стороны потребителей, так и партнёров.

Кибератаки — это не просто утрата данных или временные сбои. Как отмечает автор отчета, это фундаментальный вызов для бизнеса, влияющий на финансы, репутацию, инновации и даже доверие к цифровой экономике данных. Чтобы минимизировать последствия, компаниям важно не только укреплять свои механизмы ИБ, но и прорабатывать стратегии восстановления. Ведь чем быстрее компания сможет преодолеть киберкризис, тем меньше окажется долгосрочный ущерб для её бизнеса и экономики в целом.

Читать полностью…

Пост Лукацкого

Очередная десятка тенденций в сфере кибербеза. Сразу надо отметить, что это Топ10 у иностранцев - в России больше половины из этого списка вряд ли станет трендом:
1️⃣ Использование ИИ злоумышленниками. Киберпреступники будут активно применять искусственный интеллект для создания сложных атак, включая генерируемые с помощью ИИ фишинговые кампании и использование дипфейков для обмана.

2️⃣ Увеличение числа уязвимостей нулевого дня. Частота и эффективность атак с использованием неизвестных ранее уязвимостей возрастут, требуя от организаций проактивных мер и постоянного мониторинга дыр и фактов их использования.

3️⃣ ИИ как основа современной кибербезопасности. Искусственный интеллект станет неотъемлемой частью систем безопасности, помогая в обнаружении угроз, реагировании на инциденты и формировании стратегий защиты.

4️⃣ Усложнение вопросов приватности данных. Компании столкнутся с необходимостью соблюдения множества региональных и локальных требований по защите персональных данных, что потребует интеграции этих требований в их стратегии безопасности.

5️⃣ Расширение облачных сервисов и связанных рисков. С еще большим увеличением использования облачных технологий возрастет и количество атак на них, что потребует усиленной защиты облачных инфраструктур.

6️⃣ Рост числа атак на цепочки поставок. Злоумышленники будут чаще нацеливаться на поставщиков и партнеров, чтобы получить доступ к более крупным целям, что делает безопасность цепочек поставок критически важной.

7️⃣ Усиление атак на устройства Интернета вещей (IoT). С увеличением числа подключенных устройств возрастет и количество атак на них, требуя от производителей и пользователей усиленных мер ИБ.

8️⃣ Повышение значимости киберстрахования. Компании будут чаще обращаться к киберстрахованию для минимизации финансовых рисков, связанных с кибератаками, что приведет к росту этого рынка.

9️⃣ Развитие концепции нулевого доверия (Zero Trust). Модели безопасности, основанные на принципе "никогда не доверяй, всегда проверяй", станут стандартом для защиты корпоративных сетей и данных.

1️⃣0️⃣ Аутсорсинг кибербезопасности. Многие организации будут передавать функции кибербезопасности внешним специалистам, чтобы обеспечить высокий уровень защиты в условиях растущих угроз и нехватки кадров.

Если бы меня спросили, что из этого будет применимо у нас, то я бы назвал числа 1, 2, 6 и, может быть, 10. А все остальное мимо. Но... если вдруг Трамп забудет про данные вчера обещания купить Гренландию, отобрать Панамский канал и присоединить к США Канаду, и реально поспособствует прекращению СВО, то может к концу года и остальные темы у нас могут начать реализовываться 🤔

Читать полностью…

Пост Лукацкого

А раньше атаки на больницы 🏥 считались зашкваром, а в Женевской конвенции так это и вовсе запрещено. Но кого это волнует 🤌

Читать полностью…

Пост Лукацкого

Один плохой мальчик взломал сайт Интернет-магазина и списал баллы лояльности у десятков пользователей, оплатив ими себе товары. Когда его поймали, он заявил, что идентифицирует себя как белого хакера 👺 и поэтому не виновен; следователь его отпустил. А потом его подстерегли пострадавшие пользователи сайта, избили и выбили все зубы 🦷 Уходя, они забрали зубы с собой, заявив, что идентифицируют себя как зубных фей 🧚

Мораль: не важно как ты себя идентифицируешь, важно, на месте у тебя зубы или нет какая у тебя аутентификация.

ЗЫ. Любые совпадения с реальными историями и персонажами случайны!

Читать полностью…

Пост Лукацкого

Многие компании сейчас не испытывают острой необходимости в найме директора по информационной безопасности 😎 (хотя многим и требуется замгендира по ИБ, но отношение к этой роли небизнесовое, а скорее "для галочки"), но им важно заранее определить роль CISO, включая планы по развитию нынешнего руководителя службы ИБ до уровня квалифицированного CISO 🧐 Данный подход предполагает формирование образа "идеального" CISO. Почему именно "идеального", а не просто "оптимального"? Потому что современный CISO должен быть мастером на все руки, совмещая в себе множество компетенций — своего рода "целое стадо единорогов". Этот профиль часто оказывается слишком амбициозным и служит скорее основой для обсуждения роли CISO и его команды, чем реальной инструкцией к действию 🫡

Поиск идеального CISO представляет собой серьёзную задачу 🔍 Для выполнения этой роли необходим крайне специфический набор навыков, а количество специалистов, соответствующих этим критериям, минимально. Более того, вероятность того, что такой специалист окажется доступным для найма и будет готов присоединиться к конкретной компании, практически равна нулю 🥲

В таких условиях компаниям стоит быть гибкими и готовыми рассматривать возможность привлечения внешнего кандидата, что вполне разумно для любой руководящей позиции. Однако зачастую внутри компании уже есть руководитель службы безопасности, обладающий частью необходимых навыков и глубоким пониманием внутренних процессов. Этот специалист может стать отличной основой для формирования "идеального" CISO в будущем, если инвестировать в его развитие.

Что же такое "идеальный CISO"? Ниже 👇 вы найдете описание такой роли.

Читать полностью…

Пост Лукацкого

10 вещей, которые специалист по кибербезопасности должен успеть сделать до Нового года: 🔥
1️⃣ Провести инвентаризацию активов. Убедитесь, что все учетные записи, устройства, и системы учтены, а неиспользуемые или устаревшие отключены. Это как генеральная уборка, но в киберпространстве
2️⃣ Пересмотреть правила паролей. Обновите свои пароли и убедитесь, что коллеги делают то же самое. В Новый год с новым паролем. И никакого password2025!, лучше уж KerfwrbqUtybqRfrJyDctEcgtdftn (вы же прочитали, что там зашифровано?) 😉
3️⃣ Проверить резервные копии. Перепроверьте, что резервные копии работают корректно, а восстановление данных занимает меньше времени, чем приготовление оливье 🎄
4️⃣ Настроить праздничный автоответчик на почте. "Я вне офиса, но хакеры пусть знают, что я всегда на страже!" Не забудьте чувство юмора и будьте вежливыми 🧑‍💻
5️⃣ Заручиться поддержкой руководства на будущий бюджет. Убедите топ-менеджмент в важности инвестиций в кибербезопасность. Используйте фразу: "Сколько стоит незащищенный Новый год?" 🙏
6️⃣ Устроить праздничную фишинговую атаку. Проведите шуточное фишинговое тестирование среди сотрудников с забавным сценарием. Например, письмо с темой "Срочно: Премия за лучший рождественский свитер!" 😎
7️⃣ Обновить системы и патчи. Убедитесь, что все обновления установлены, чтобы не оставлять уязвимостей для хакеров, которые тоже любят "подарки" 🫡
8️⃣ Написать письмо Деду Морозу. Попросите стабильности в IT-системах, защиты от ransomware, умных пользователей, которые не кликают на подозрительные ссылки, а также снижения ключевой ставки 👍
9️⃣ Создать чек-лист кибербезопасности для друзей и семьи. Помогите близким защитить их гаджеты и аккаунты. Ведь Новый год — это время заботы 🥰
1️⃣0️⃣ Устроить "киберелку". Организуйте командное мероприятие с коллегами: квест или викторину на тему кибербезопасности. Обязательно наградите победителей сувенирами в виде флешек и антивирусных лицензий, даже если они уже и не нужны! 🤣

Читать полностью…

Пост Лукацкого

Две тенденции вижу я. CAPTCHA становится сложнее. И это вам не "вертикальные реки" выбирать даже 🤔 И не краски осени. Сначала появилась свинья, которую надо было тыкать пальцами в жопу, потом вот такое 🤔 Теперь очередная напасть - надо понять, что имел ввиду художник, совместив две части картины 🤔 Хорошо, что они Кандинского или еще какого абстракциониста не выбрали в качестве примера 🤔

Вторая тенденция печальнее - такие капчи стали "поднимать" при заходе на сайт 🖥 Я еще главной страницы не увидел, а у меня уже челендж, который бывает сложно со смартфона в машине пройти 🤦‍♂️ 3-4 раза ошибся и все, желание посещать сайт пропадает. Интересно будет как-нибудь увидеть цифры потерь от ухода клиентов, не поборовших механизм защиты сайта от них. Ой, не от них, а от хакеров, ведь такую капчу включают для защиты от плохих парней, которые увеличили число атак на российские компании. И сравнить цифры потерь от атак с цифрами потерь от ухода клиентов 🤠 И какой результат будет хуже 🤔

Читать полностью…

Пост Лукацкого

Интересный кейс коллега и товарищ скинул. Если вкратце, то история такая (ею поделился руководитель компании на своем канале YouTube). Интернет-магазин по продаже премиальных гитар 🎸, в том числе и очень дорогих, столкнулись с DDoS-атакой, за которой последовал взлом сайта 🔓 После было проникновение в админку магазина, набор в корзину музыкальных инструментов стоимостью по 300-700 тысяч рублей, обнуление цены, и добавление мелких товаров на несколько сотен рублей 🛒 После была осуществлена оплата пяти заказов, реальная стоимость которых составляет под десяток миллионов, а фактическая - всего пару тысяч рублей. Увидев утром такую ситуацию, владельцы магазина обнулили заказы и думали, что на этом можно расслабиться, но не тут-то было 🤷‍♀️

На следующий день от "разгневанных" клиентов, чьи заказы были обнулены, стали поступать претензии и угрозы 😠 Позже прилетело предписание из Роспотребнадзора (в одностороннем порядке заказ нельзя аннулировать - закон это запрещает). Затем был суд и претензии со стороны коллекторов 😈 Гитарные боссы подали кучу жалоб в прокуратуру, Роспотребнадзор, полицию, но все безрезультатно, - жалобы были остановлены без движения.

История пока продолжается. А я хотел бы обратить внимание на ряд моментов:
1️⃣ Я не судья, но налицо явное мошенничество, которое начиналось с обычной DDoS-атаки (хотя у меня нет полной уверенности, что DDoS связан с последующими событиями), а затем продолжилось взломом админки сайта по продаже гитар 🎸
2️⃣ Схема извлечения прибыли из атаки не быстрая, но достаточно эффективная, показывающая знание российского правоприменения 🇷🇺 Пока следствие да суд встанут на сторону пострадавших, коллекторы и Роспотребнадзор выжмут из них по максимуму. И если у них нет серьезной финансовой подушки, то там и до недопустимого события банкротства недалеко 🤑
3️⃣ Нечасто жертвы придают огласке такие кейсы. Руководитель признает, что у них не было нормальной ИБ (похоже и ИТ не было), что и послужило причиной взлома 🤔 Кстати, в данном кейсе даже навороченной системы защиты не надо было иметь. Достаточно было внедрить многофакторку на админку CMS, настроить права доступа к папкам и файлам сайта, выбрать надежный пароль к админке и к СУБД и выполнить еще ряд несложных настроек по ИТ-харденингу 🖥 Но увы...

Читать полностью…

Пост Лукацкого

13 лет прошло, угроза только растет 😊 На многих закрытых мероприятиях, куда меня заносит судьба, служба или призвание, многие выступающие перед началом своих выступлений внимательно смотрят на меня и говорят: "Алексей, вот этого писать у себя не надо!" Забавные люди. Если бы я писал все, что знаю, за мной бы уже давно пришло и забрали бы прям в процессе написания очере

Читать полностью…

Пост Лукацкого

Вчера, на курсе по моделированию угроз, обсуждая методику ФСТЭК, меня спросили:

А кибератака от имени ИИ может ли быть отнесена к антропогенному источнику? 😡


По сути-то все равно - мы должны учитывать разные источники реализации угроз, не только от человека 🤖 Но вот формально… Оказалось, что многие госорганы прям страдают от буквального прочтения методики оценки угроз со стороны проверяющих структур.

Будем надеяться, что консорциум доверенного ИИ сможет найти ответ и на этот вопрос тоже 🤞

Читать полностью…

Пост Лукацкого

Ничего святого у русских хакеров из «Святой лиги» - пивную Хугарден ddos’ят 🍺 Главное, чтобы коньячные заводы и винокурни не трогали 🥃 А то на молоко переходить придется 🍼

Читать полностью…

Пост Лукацкого

Один раз - случайность, два раза - совпадение, три - закономерность. Есть такая поговорка. И вот на российском рынке ИБ у нас произошло совпадение. Сначала, разделилась компания Group-IB. Ее российская часть стала называться F.A.C.C.T. и предоставлять продукты и услуги только в нашей стране, а международный бизнес ушел целиком в Group-IB с штаб-квартирой в Сингапуре 🇸🇬 Компании разошлись окончательно и поделили технологии и интеллектуальную собственность. А затем часть активов F.A.C.C.T. была передана в новую компанию, созданную фондом Cyberus и частными инвесторами 🫴

В ноябре этого года другая ИБ-компания, QRator Labs, приняла решение о разделении на два бизнеса международный, с штаб-квартирой в Праге, который продолжил носить привычное имя, и чисто российский, названный Curator. У компания разные руководители и разные ассортименты продуктов 👫 Правда, есть некое лукавство в этом. Curator не скрывает своего российского происхождения 🇷🇺, но историю свою отсчитывает с момента основания QRator, просто поменяв все упоминания QRator в пресс-релизах и новостях на новое имя, что выглядит странновато.

А вот сам QRator у себя на сайте не упоминает свои российские корни в принципе, убрав их из истории компании 🇨🇿 (хотя если сделать сквозной поиск по сайту, то всякое вылезает). Вопрос разделение интеллектуальной собственности и мощностей по фильтрации остается открытым 🤔

Интересно, кто будет следующий, чтобы это превратилось в закономерность?

Читать полностью…

Пост Лукацкого

😮 Кребс тут интересное пишет, хотя и не новое по сути ✍️ Он наткнулся на web-сервис взлома Araneida, который предлагает инструменты для взлома веб-приложений, эксплуатации уязвимостей и обхода защитных механизмов. Услуги включают автоматизацию атак, сбор данных и тестирование на проникновение. Несмотря на заявления о легальности, Araneida используется киберпреступниками для атак 🤕

Исследователи нашли связь между Araneida и зарегистрированной в Турции 🇹🇷 IT-компанией - на сервере Araneida обнаружены данные, указывающие на использование инфраструктуры турецкой компании, включая корпоративные домены и IP-адреса 🤔 Это поднимает проблему маскировки киберпреступной деятельности под законные операции, что наблюдалось уже и в России в том числе 🥷

В статье упоминается связь между Araneida и инструментом Acunetix, который часто используется для автоматизированного сканирования веб-уязвимостей 🌎 Этот инструмент сам по себе является легальным и широко применяется специалистами по кибербезопасности для тестирования на проникновение и поиска уязвимостей в веб-приложениях. Однако Araneida использует утекший и взломанный Acunetix и аналогичные инструменты в нелегальных целях. А вдруг кто-то и MaxPatrol VM так использует 🤔

Связь с Acunetix прослеживается через серверы и инфраструктуру Araneida, где обнаружены конфигурации, указывающие на использование этого сканера. Это подчеркивает, что легальные инструменты 👾, разработанные для повышения безопасности, могут быть переориентированы киберпреступниками для эксплуатации уязвимостей 🎩

Выводов не будет. Разве, что выстраивайте процесс анализа зщищенности самостоятельно, а если привлекаете внешнюю компанию, то проведите ее проверку перед заключением договора 🤔

Читать полностью…

Пост Лукацкого

Термин "хакер" 👨‍💻 считывать можно на разных уровнях восприятия. Самая банальная история - это плохой парень (или девчонка), который ломает системы 🥷 Этот вариант, к сожалению, является очень популярным и достаточно активно продвигается везде. Чтобы как-то снизить накал страстей вокруг него начинается эксплуатация антонима к нему - "белый хакер", что только усугубляет ситуацию 👺 Раньше хакером называли технарей, кто изучал как работают системы, обладал нехилым техническим бэкграундом и не следовал правилам и инструкциям в ИТ-сфере.

Но я бы смотрел на термин "хакер" шире. Это человек, который в целом мыслит нестандартно, "взламывает" окружающий мир, его правила и установки, чтобы сделать его лучше 👨🏼‍🔬 В такой трактовке Хеди Ламарр как раз хакер, которая нестандартно смотрела на многие проблемы, находила их решение и потом они внедрялись в жизнь. И кому какое дело, что она была актрисой и сначала стала известной благодаря тому, что снялась обнаженной? 👩🏼‍🔬

Читать полностью…

Пост Лукацкого

Фишинговые атаки 🎣 продолжают использовать человеческие слабости в организациях, причем определенные роли подвергаются большему риску из-за их обязанностей и поведения 🧐 Отчет "Exposing Human Risk", подготовленный Mimecast совместно с Cyentia Institute, доказывает "с цифрами в руках", какие роли наиболее часто становятся целями и как минимизировать эти риски 🙂 Отчет интересен тем, что Cyentia все свои исследования подкрепляет мощной аналитикой, основанной на анализе данных.

Авторы отчеты выделяют несколько ролей с высоким риском попасться на удочку мошенников 💳 В первую очередь это отделы продаж, члены правления и руководители, которые чаще всего и становятся мишенями фишинговых атак. Их публичная видимость и регулярные внешние коммуникации увеличивают вероятность контакта с фишинговыми угрозами. Даже при хорошем уровне их подготовки объем атак делает вероятность успеха выше 🔠

К уязвимым подразделениям также относятся R&D-подразделения, лаборатории и технические команды, которые, несмотря на меньшую частоту атак, демонстрируют более высокий уровень кликов по фишинговым ссылкам 👨‍💻 Это связано с тем, что концентрированность на своих задачах может снижать внимание к признакам угрозы 👩‍💻

При этом авторы отмечают ограничения стандартного обучения, так как универсальные программы обучения по кибербезопасности оказываются недостаточно эффективными (про это уже недавно был пост) 📉 Необходим индивидуальный подход и персонализированное обучение, учитывающие особенности каждой роли и отдела, что требует разработки не одной, а нескольких обучающих и адаптированных программ. Например, отделу продаж подойдут сценарии, моделирующие реальную деятельность коммерческого департамента (обновленные реквизиты, не получили счет на оплату, пришли коммерческое предложение и т.п.) 🛫

Для сотрудников с высоким риском, таких как руководители и члены правления, рекомендуется применение дополнительных уровней безопасности 🛡 Например, более глубокий мониторинг и защита от целенаправленных атак. Кроме того, Mimecast и Cyentia рекомендуют применять данные для выявления паттернов атак и реакций сотрудников. Такая информация позволит точечно распределять ресурсы и принимать своевременные меры 🛡

В заключение отмечу, что аналитика Cyentia показывает неравномерность фишинговых атак в организациях - всего 1% пользователей стоит за 44% всех открытий фишинговых писем, а 5% пользователей отвечают за 83% всех кликов по мошенническим ссылкам. Такая дифференциация должна учитываться при разработке персонализированных обучающих программ 👨‍🏫

Читать полностью…

Пост Лукацкого

Также и многие компании недооценивают последствия от кибератак, как и пассажиры, ждущие поезда на зимнем перроне ☃️ Думают, что не заденет и все такое.

Читать полностью…

Пост Лукацкого

В декабре 2024 года ИБ-компания BeyondTrust обнаружила две уязвимости в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS), с помощью которых осуществляется удаленная техническая поддержка по модели SaaS. Эти дыры позволяли неавторизованному злоумышленнику удаленно выполнять команды операционной системы от имени пользователя сайта через специально сформированный клиентский запрос. В результате было скомпрометировано, как утверждается, ограниченное число клиентов.

Уязвимости возникли из-за недостаточной проверки входных данных в компонентах PRA и RS, что позволило злоумышленникам получить доступ к ключу API и за счет этого внедрять и выполнять произвольные команды на сервере, включая и сбор паролей для локальных учетных записей приложений. Это указывает на пробелы в процессе разработки и тестирования безопасности программного обеспечения.

BeyondTrust уже не поможешь, а вот остальным можно дать следующие рекомендации для предотвращения подобных инцидентов в будущем:
🔤 Усиление процессов безопасной разработки (SDLC). Интегрировать практики безопасного кодирования и регулярного анализа уязвимостей на всех этапах разработки.
🔤 Регулярное обновление и патчинг систем. Обеспечить своевременное применение обновлений безопасности для всех продуктов и систем, как облачных, так и локальных.
🔤 Проведение регулярной, а лучше непрерывной оценки защищенности. Организовать периодические проверки и тестирования на проникновение для выявления и устранения потенциальных уязвимостей с перспективой выхода на Bug Bounty.
🔤 Обучение сотрудников. Проводить регулярное обучение разработчиков и специалистов по безопасности современным методам защиты и реагирования на инциденты, а также SecDevOps.
🔤 Внедрение многоуровневой защиты. Использовать дополнительные механизмы безопасности, такие как системы обнаружения угроз (IDS/WAF/NGFW) и средства мониторинга активности (SIEM/NDR/CDR), для своевременного выявления и предотвращения атак.

Читать полностью…

Пост Лукацкого

У Александра утащил ссылку на интересный отчет про экономику кибербезопасности для развивающихся рынков от Всемирного банка, который разбит на три части:
1️⃣ Ландшафт угроз
2️⃣ Экономика инцидентов ИБ
3️⃣ Рынок ИБ.

Первый раздел не очень интересен (лично для меня), так как там ну очень уж высокоуровневые данные по инцидентам в разных странах со срезами по отраслям и т.п. Возможно, для страховых компаний или для регуляторов это может быть интересно, но не для отдельных компаний. Третья часть тоже слишком абстрактна ☕️

Второй раздел оказался более интересным. Там даются интересные цифры (тоже уровня стран, но зато про деньги, экономику и т.п. Например, если бы развивающиеся страны снизили число инцидентов ИБ и из верхнего квартиля попали в нижний, то их ВВП (и речь про президента России) вырос бы на 1,5%! 🤔 Это очень интересные расчеты, показывающие насколько ИБ стала влиять на экономику страны. Автор отчета пишет, что один из рассмотренных инцидентов привел к снижению ВВП страны на 2,4% (это просто маленький пушной зверек какой-то 🤯).

Более 40% инцидентов замалчиваются (в России так и больше), что сумму потерь делает еще выше 😫 В отчете повторяется вывод из отчета ExtraHop, что гораздо больше потерь от инцидентов носит непрямой характер и они часто превышают прямые финансовые потери, которые видит жертва в первые дни после инцидента 😃 Об этом же говорят и кейсы с MGM Grands, Caesars Palace, United Health Group, Medibank и т.п., которые в своих финансовых отчетах указывали суммы, в разы, а то и на порядки превышающие сумму выкупа шифровальщикам 🧐

Еще одной интересной частью является обзор всех имеющихся исследований по теме влияния инцидента ИБ на курс акций компаний 📊 В зависимости от временного интервала и региона (преимущественно США) этот показатель скачет от 0,3 до 6,78 процента, но в среднем - около 1,5 процентов 📉

Еще три экономических наблюдения авторов отчета:
1️⃣ Инвестиции в кибербезопасность обусловлены соображениями экономии. Однако, в отличие от других проектов по экономии средств, отдача от инвестиций в кибербезопасность не поддается количественной оценке 🤑
2️⃣ Компании переводят убытки от киберинцидентов в рост цен, который принимают на себя потребители 😮
3️⃣ Отсутствие прозрачности в отношении частоты и серьезности кибер-инцидентов и низкая осведомленность общественности влияют на эффективность рынка!

Читать полностью…

Пост Лукацкого

Ничто не выдавало в этом «сообщении от WB» 🛒 фишинговую рассылку 🙅‍♂️ Будьте бдительны 👋

ЗЫ. Спасибо коллеге, что поделился сим образчиком.

Читать полностью…

Пост Лукацкого

А я же говорил, что бывают внезапные выступления... Вот, думал, что все, курс по моделированию угроз будет финальным в этом году, но нет. Позвали на митап по рискам "Операционные риски 2024-2025. Новогодняя дискуссия" 😬

Он для директоров по операционным рискам финансовых компаний и что я там делаю, я не знаю 😂 Особенно учитывая мою "любовь" к рискам. Но так как, среди прочего, заявлен разбор прогресса в управлении рисками данных, новых технологий и кибербезопасности, а также прогнозы по трансформации бизнес-моделей, цифровизации и регуляторным изменениям, то может и мне что удастся сказать позитивного, не ругающего риски ИБ 🤣

ЗЫ. Нейросеть так видит директоров по операционным рискам. Какой-то сексизм прям... 👼

ЗЗЫ. Участие бесплатное, но количество физических мест, как обычно, ограничено. Зато будет трансляция 🍿

Читать полностью…

Пост Лукацкого

Презы с BlackHat Europe 2024 выложили в одно место - https://github.com/onhexgroup/Conferences/tree/main/BlackHat_Europe_2024_slides

Читать полностью…

Пост Лукацкого

У MITRE вышла стабильная, первая версия их фреймворка D3FEND. Идея ее достаточно простая. Мы имеем матрицу MITRE ATT&CK, которая содержит является базой зданий по техникам и тактикам тех, кто атакует системы (хоть пентестеры, хоть киберпреступники). И по многим техникам матрица содержит описание того, как ее выявлять (раздел Source или Detection). Но что с отражением и нейтрализацией этих техник? Ведь в зависимости от платформы методы могут быть совсем разные. Смотреть в раздел Mitigation? Он очень высокоуровневый и скорее описывает классы защитных мер, но без их детализации.

MITRE D3FEND как раз и предназначен для того, чтобы закрыть этот пробел. Он увязывает защитные меры с техниками, базируясь на исследованиях о применимости той или иной меры в различных условиях. Авторы пишут, что они проанализировали более 500 патентов в области ИБ с 2001 по 2018 годы, а также много других источников данных, которые и позволили собрать вместе все разрозненные сведения в единую онтологию, позволяющую разрабатывать архитектуры ИБ.

Вместе с D3FEND 1.0 MITRE выпустила и специальные визуальный конструктор D3FEND CAD, который позволяет визуализировать работу с новым фреймворком. И это не просто матрица, которая была и раньше, но инструмент, который позволяет построить граф/диаграмму защиты своих ИТ-активов.

Ну и как это часто бывает у американцев, они вместе с новым фреймворком по ИБ, выпускают его маппинги (сопоставления) с уже известными на тот момент стандартами. В частности по D3FEND доступны сопоставления с NIST 800-53 Rev.5 и с DISA CCI. Связки D3FEND и ATT&CK тоже, конечно, доступны. На закономерный вопрос, почему такие странные матрицы сравнения (со стандартами ИБ для военных и для госухи) отвечу - заказчиком D3FEND была АНБ. Отсюда и специфика, что не делает этот инструмент менее интересным.

Читать полностью…

Пост Лукацкого

А у нас вышел очередной, новогодний выпуск Positive Research, который можно скачать на сайте журнала 📰 В этот раз он полностью посвящен всему, что связано с багхантингом, онлайн-полигоном, кибербитвой, белыми хакерами и тренировками red team и blue team. Есть в журнале и бонус - в печатную версию вложена матрица MITRE ATT&CK, чтобы на стенку вешать (многие такое любят) 🪧

Читать полностью…

Пост Лукацкого

19 декабря РКН внес 😈 в реестр организаторов распространения информации 12 коммуникационных сервисов 📱 (мессенджеров), обеспечивающих защищенные соединения (как правило, со сквозным шифрованием), а именно:
🔤 WhatsApp (США)
🔤 Skype (США)
🔤 Wire (Швейцария)
🔤 Element (Великобритания)
🔤 KakaoTalk (Южная Корея)
🔤 Session (Астралия)
🔤 DUST (США)
🔤 Pinngle SafeMessenger (Армения)
🔤 Status (Швейцария)
🔤🔤 Keybase (США)
🔤🔤 Trillian (США)
🔤🔤 Crypviser (Германия).

Все указанные сервисы должны теперь выполнять "пакет законов Яровой" и хранить переписку пользователей, предоставляя ее по запросу российских спецслужб 🇷🇺 Кроме того, ОРИ обязаны установить в своей инфраструктуре оборудование СОРМ для непрерывного доступа к коммуникациям со стороны правоохранительных органов 🇷🇺 Отказ от выполнения указанных норм может повлечь за собой блокировку сервиса на территории России 🇷🇺

Почему именно сейчас (тот же Telegram был внесен в реестр ОРИ в 2017-м)? Хрен знает. Выборы прошли, вроде особо нечего опасаться. Но в любом случае держим в голове, что массовой анонимности в стране потихоньку приходит конец 🍑 Если еще и вспомнить проект приказа РКН по идентификации всех пользовательских устройств доступа к Интернет 🌍

Читать полностью…

Пост Лукацкого

Россия наращивает международное сотрудничество и подписывает два межправительственных соглашения в области кибербезопасности с достойными партнерами - Северной Кореей и Зимбабве. Ну а что, с кем еще подписывать?.. ✍️

Читать полностью…

Пост Лукацкого

В метро 🚇 внезапно увидел, как человек читает конспект лекций по бизнесу 🧐 Меня там 2 момента зацепило. Во-первых, почему в основных показателях бизнеса нет ни одной финансовой метрики 🤔 Это примерно как CISO, говорящий с бизнесом «на одном языке», но нечитавший ни одного годового отчета своей компании, не знающий ее основных статей доходов, уровня риск-аппетита и отличий CapEx от OpEx 🤑

А во-вторых, почему результативность описывается в формате «градусника» 🌡 Результат он либо есть, либо нет. А вот эти вот полумеры (степень достижения цели), они только все портят и позволяют думать, что можно реализовывать ИБ не на 💯 процентов. Вот это вот "уровень достижения целевого состояния ИБ составляет 💯" обычно и приводит к ущербу и негативным последствиям от реализации инцидентов, причина которых кроется в оставшем 1% 🤔

Читать полностью…

Пост Лукацкого

У меня сегодня финальное в этом году выступление (если ничего экстренно не изменится и не надо будет срочно готовить презентацию и ехать с ней куда-то выступать). Сегодня я читаю курс по моделированию угроз и, так совпало, наткнулся на новое средство автоматизации этой задачи, которое демонстрируется применительно к системам генеративного ИИ.

С развитием генеративного искусственного интеллекта (Generative AI) важность моделирования угроз для обеспечения безопасности таких систем возрастает, так как он создает уникальные риски, включая возможность злоупотребления, утечку данных и нарушение конфиденциальности. Моделирование угроз позволяет понять, где уязвимости могут повлиять на работу системы, и спланировать меры по их предотвращению и статья AWS обсуждает подходы, как проводить моделирование для облачных систем с GenAI, как оценивать риски, как их снижать; и все это на конкретных примерах.

AWS рекомендует использовать методику STRIDE для моделирования угроз. Этот подход предполагает 6 основных опасностей:
🔤poofing (подмена): атаки, имитирующие пользователя или систему.
🔤ampering (искажение данных): изменение данных или моделей.
🔤epudiation (отрицание действий): невозможность доказать, что действие было выполнено.
🔤nformation Disclosure (раскрытие информации): утечка конфиденциальных данных.
🔤enial of Service (отказ в обслуживании): блокировка доступа к ресурсу.
🔤levation of Privilege (повышение привилегий): несанкционированное повышение доступа.

Например:
🔤 Spoofing. Злоумышленник может выдать себя за разработчика, чтобы загрузить вредоносную ИИ-модель.
🔤 Tampering. Искажение датасета может привести к созданию небезопасной модели.
🔤 Information Disclosure. Использование API генеративного ИИ без шифрования данных может привести к утечке данных.

Применительно к ИИ AWS предлагает классическую 4-шаговую модель от Адама Шостака, которая позволяет, ответив на 4 вопроса, сформировать перечень угроз (в статье показывается пример как раз для GenAI):
1️⃣ Над чем мы работаем?
2️⃣ Что может пойти не так?
3️⃣ Что мы собираемся с этим делать?
4️⃣ Мы сделали свою работу хорошо? (Звучит просто, но за этой простотой скрывается куча работы)

Из интересного: у Amazon есть собственный бесплатный инструмент для моделирования угроз - Threat Composer, с которым можно поработать без ограничений. И как раз для GenAI в этом инструменте уже есть готовая модель угроз

Читать полностью…

Пост Лукацкого

🌟 Мы возрождаем нашу рубрику #женщинывкриптографии!

Сегодня у нас на повестке Хеди Ламарр — изобретательница с титулом «самой красивой» в профессии и «мама WiFi», прошедшая большой путь от актрисы до ученого. Хеди стала первой женщиной, получившей награду «Дух достижений Бульби Гнасса». Ее имя внесено в Национальный зал славы изобретателей США. А в день рождения Ламарр, 9 ноября, уже несколько десятилетий жители Австрии, Германии и Швейцарии празднуют День изобретателя.

🌟 Подробности о пути женщины-ученого, сошедшей с кинолент, ищите в карточках.

А развернутый материал о Хэди Ламар от кандидата исторических наук и старшего научного сотрудника Музея криптографии Анастасии Ашаевой можно прочитать здесь.

Читать полностью…

Пост Лукацкого

С ростом числа киберугроз и реализованных недопустимых событий, страхование киберрисков может стать критически важным инструментом для защиты организаций от катастрофических последствий инцидентов. В отчете The Geneva Association, ассоциации гендиректоров страховых и перестраховочных компаний, рассматриваются текущие тенденции рынка киберстрахования, его развитие и возникающие сложности, а также новые финансовые инструменты, такие как страховые ценные бумаги (ILS), предназначенные для распределения киберрисков.

Что отмечают авторы отчета:
1️⃣Быстрый рост рынка киберстрахования. Глобальные премии по киберстрахованию выросли с $1,5 млрд в 2013 году до $15 млрд в 2023 году. Темпы роста (CAGR) составляют 26% в год. Ожидается дальнейший рост, так как цифровизация продолжает ускоряться, а число атак с последствиями - расти.
2️⃣Расширение охвата покрытия. Включает восстановление данных, IT-экспертизу, восстановление систем, компенсацию убытков третьим сторонам. Также покрываются убытки из-за бизнес-простоев, связанных с кибератаками.
3️⃣Недостаток капитала для поддержки полисов. Примерно 50% премий передаются перестраховщикам, что существенно выше среднего уровня для других страховых направлений (10–15%). Для устойчивого роста отрасли потребуется увеличение капитала, включая привлечение внешнего инвестирования через финансовые рынки.
4️⃣Появление инновационных подходов. Страховые ценные бумаги (ILS) и Cyber ILS как инструмент распределения рисков.

С 2023 года произошло ускорение выпуска кибероблигаций. Пример: Beazley и Swiss Re выпустили "катастрофические" облигации, которые покрывают убытки от крупных кибератак. Общий объем таких облигаций составляет около $800 млн, что пока недостаточно для масштабного покрытия. Обратите внимание на название. Иностранцы тоже устали от термина "киберриск", описывая серьезные ИБ-инциденты. Они стали использовать термин "киберкатастрофа", что равнозначно нашему "недопустимое событие".

К преимуществам ILS (на секунду показалось, что весь отчет ради рассказа про ILS и делался) можно отнести привлечение капитала из финансовых рынков, снижение зависимости от традиционных перестраховщиков. А к вызовам - высокую стоимость капитала, сложность стандартизации страховых полисов и узкую базу инвесторов. Поэтому для роста ILS предлагается целый набор инициатив:
1️⃣Разработка четких стандартов полисов и исключений из их покрытия.
2️⃣Улучшение моделей оценки рисков и сценариев, включая и динамическое ценообразование.
3️⃣Расширение инструментов для привлечения различных типов инвесторов, готовых брать на себя работу с киберрисками.

Киберстрахование может существенно улучшить ситуацию с управлением финансовыми последствиями кибератак, но его рост зависит от решения нескольких проблем. Необходимы инновационные подходы для привлечения капитала, такие как, например, Cyber ILS, которые позволяют перераспределить риски. В то же время, стандартизация полисов, развитие моделей оценки и увеличение ликвидности на рынке страховых ценных бумаг могут обеспечить устойчивый рост отрасли.

Хорошо, конечно, иностранцам - они уже о росте отрасли думают. Нам бы эту отрасль сформировать для начала... А то попытка была, но меньше месяца назад Максут Шадаев сообщил, что все, крантец, не будет ничего...

Читать полностью…

Пост Лукацкого

А вы знали, что 🟥 выкладывает в открытый доступ правила для сетевого обнаружения угроз в формате Suricata (Snort)? Достаточно просто регулярно заходить на сайт https://rules.ptsecurity.com/ и скачивать обновления правил, которые создает и которыми делится с индустрией PT ESC 🕵️‍♀️

ЗЫ. Без регистрации и SMS 👍

Читать полностью…
Подписаться на канал