alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Вчера на PHD2 прошел выделенный трек для CISO. Не успел я задать прямой вопрос о том, что должен узнать CISO, прежде чем принять предложение о новой работе. Поэтому просто поделюсь тут своим видением, а точнее 4 вопросами, на которые надо получить ответы прежде чем начать новый путь в роли CISO: 🧐
1️⃣ Зачем предприятие ищет CISO? Прежний CISO уволился (почему)? В компании никогда не было CISO, но ее хакнули? Рост задач и нужна выделенная роль? Рост цифровизации? А может требования законодательства? К слову, по американской статистике 25% CISO меняют работу, когда их работодатель начинает относиться к ИБ как к соблюдению требований ✍️ законодательства (compliance). Судя по отдельным ответам участников дискуссии, у коллег разное отношение к этой теме.
2️⃣ Взгляд компании на ИБ совпадает с моим? 😕
3️⃣ Кто входит в команду ИБ? Это не только про численность подчиненных , но и про ресурсы в целом, коммуникации с другими подразделениями, их желание помогать и т.п. 🤝
4️⃣ Эта роль действительно C-уровня? По американской же статистике 27% CISO уходят от работодателя, если не могут влиять на управленческие решения и не принимают участия в их принятии. Там же, только 20% руководителей ИБ считается топ-менеджерами, а 50% встречается с топ-менеджментом только один раз в квартал. Интересно, у нас эта статистика будет явно хуже...

А вы задавались этими вопросами, когда выходили на новую работу?

Читать полностью…

Пост Лукацкого

Первый день PHD2 закончился 🎆 До сих пор чувствуется приятная усталость, количество нахоженных шагов 🚶‍♂️ превышает несколько дневных норм, количество пожатых рук измеряется сотнями... Но сейчас не об этом! Напишу про бизнес-трек, записи которого уже выложили на сайте ("Школа CISO" и "С чего начать?").

Мне понравились, хотя я, как куратор трека, необъективен ☺️ Но мне удалось сделать то, что почти никогда не получалось раньше, - исключить любые рекламные выступления из программы. А тут полный картбланш и возможность приблизиться к "русской RSAC" 😎 И большое спасибо всем участникам обоих открытых и одного закрытого потоков за то, что помогли это реализовать, за профессионализм и готовность к челенджу (все-таки выступление на Большой спортивной арене - это непростой опыт) 🏟

Я модерировал две секции в потоке для CISO 🧐 и мне импонирует, что коллеги были открыты и удалось откровенно поговорить про разное - про результат работы CISO, про отношения с бизнесом, про лайфхаки, про карьеру, про будущее и прошлое, про выгорание и профдеформацию... Было немало ценных советов и инсайтов 💡

Впереди еще три насыщенных дня!!! До встречи! Ну а если вы хотите пересмотреть прошедший день, то видео уже на сайте!!! Презентации докладов выложим позже

Читать полностью…

Пост Лукацкого

Очередная картинка на тему "какая аутентификация надежнее" 🔓 Если отбросить в сторону ориентацию на Microsoft 🪟, то беспарольная MFA - наше все. А вы все еще пользуетесь паролями?.. 🤒

Читать полностью…

Пост Лукацкого

Английский институт по безопасности искусственного интеллекта 🧠 провел исследование, в котором среди прочего задался вопросом - могут ли модели машинного обучения потенциально быть использованы для организации атак?

Проверить англичаны публичные LLM решили очень просто - дали им на вход 95 заданий из публичных "школьных" и университетских CTF и 10 заданий из специально разработанных для исследования CTF ⚔️

Вывод: публичные GenAI-сервисы способны неплохо справляться со "школьными" CTF, а с заданиями уровня университетов уже нет 😭 Наиболее интересный вопрос - что можно сделать, если разработать собственную LLM, обученную на правильнах датасетах, остался без ответа 🤷‍♀️

ЗЫ. Тем временем китайские хакеры атакуют исследователей искусственного интеллекта из США с помощью троянца 🐎 для удаленного доступа SugarGh0st. А все потому, что Байден запретил экспортировать ИИ-технологии Китаю.

Читать полностью…

Пост Лукацкого

В прошлом году был мой первый опыт кураторства бизнес-трека PHD и поэтому у меня не было ни одного выступления, да и модерация была одна или две. В этом году я позволил себе больше 💪 Итого, в рамках PHD2 у меня будет выступление всего одно и то в воскресенье в 10 утра. Никто не хотел брать этот тайм-слот, поэтому я принял удар на себя. Модерации дискуссии, а их у меня 6, разбросаны по всей сетке программы:
1️⃣ Дискуссия "Что является результатом работы CISO: рост бизнес-показателей или снижение числа инцидентов". 23 мая, 12.00 - 12.45
2️⃣ Сессия вопросов и ответов "Лайфхаки от CISO". 23 мая, 18.15 - 19.15
3️⃣ Дискуссия "OSINT по-взрослому"; 24 мая, 12.05 - 13.05
4️⃣ Дискуссия "Сервисы кибербезопасности от государства для граждан". 25 мая, 11.40 - 12.40
5️⃣ Доклад "Почему кибератаки никогда не закончатся. Бизнес-модель современной киберпреступности". 26 мая, 10.00 - 10.50
6️⃣ Дискуссия "Стоит ли писать свою книгу на тему ИБ". 26 мая, 15.50 - 16.50
7️⃣ Дискуссия "Какое будущее ждет российских вендоров по ИБ? Выживет не только лишь каждый?". 26 мая, 17.00 - 18.00

На докладе буду говорить сам, а на дискуссиях - давать говорить другим 🤐

ЗЫ. Понимаю, что у меня сильная конкуренция в двух десятках других залов и треков. Поэтому выбирайте то, что вам по душе! Ну и не забывайте про онлайн (на сайте). Я на RSAC умудрялся в параллель слушать несколько треков 🦻🏻

Читать полностью…

Пост Лукацкого

У организаторов хакерских конференций есть негласное соревнование 👨‍💻 - кто сделает самый крутой бейдж, который, помимо своей основной задачи, решает и многие другие - проверяет температуру банки пива, носит кофе ☕️, работает как точка доступа, показывает кино, передает показания счетчиков ЖКХ, ходит на Госуслуги проверять повестку из военкомата (у нас же PHD2 при поддержки Минцифры как никак) и все такое (часть из описанных функций - шутка 😂). И за такими бейджами потом идет большая охота 👍 В этом году у нас к PHD2 тоже выпущена лимитированная партия таких бейджей, которые можно будет получить за участие в решении разных задач и конкурсов А еще эти бейджи получат все спикеры PHD2!

Пользуясь своим отцовским авторитетом, я своим детям (сын начал учиться ИТ, дочь рисует) задал небольшой семейный челендж - нарисовать узнаваемого меня на дисплее с ультра-высоким разрешением в 10х10 пикселей 🤠 Награда назначена для них солидная, так что им будет чем заняться помимо всяческих иных активностей (списком и на карте) на территории PHD2. А там сейчас прекрасно - комфортные 23-26 градусов тепла, без дождей, цветет сирень... Просто сказка 🪄

ЗЫ. Кстати, помните я описывал игру Zone of Threats у себя в блоге? На PHD2 будет турнир по этой настолке.

Читать полностью…

Пост Лукацкого

Я уже писал про фреймворк по оценке "материальности" ущерба от инцидентов ИБ FAIR-MAM. Это инструмент для тех, кто еще не созрел до недопустимых событий, но уже не хочет жить "по светофору". И вот FAIR разродился опросником по финансовому ущербу 💵 (Financial Impact Questionnaire, FIQ), который помогает собрать данные, способствующие оценке денежных потерь 🤑

Читать полностью…

Пост Лукацкого

До PHD2 остался один день 👉 В ближайшие 4 дня не знаю, будет ли возможность соблюдать привычный распорядок публикаций в канале, все-таки дни будут насыщенные, ночи короткие (если вообще будут). А может посты вообще будут ситуативными. Ну а я пока анонсирую очередной совместный продукт с нашим Департаментом обучения 👨🏼‍🏫🧑‍🏫

Читать полностью…

Пост Лукацкого

Эволюция требований OWASP Top10. Теперь это уже не Топ10, а Топ150 🔝 Очевидно, что этот список - явное упрощение мира ИБ (как и любая модель). Но он и не претендует на полноту - это то, что надо точно у себя искать и устранять в первую очередь. Если честно, я про некоторые ТОп10 даже и не слышал 🤦‍♂️

Читать полностью…

Пост Лукацкого

Многие думают, что корпоративные юристы 👩🏼‍⚖️ бесполезны, что они только договора проверяют и постоянно что-то запрещают, дуют на воду и вообще мешают делать бизнес 😮

Происходит это потому, что юристы вынуждены ежедневно иметь дело с огромным числом постоянно пополняемых и обновляемых ✍️ нормативных актов, которые запрещают то это, то то. До анализа правоприменения у юристов часто руки не доходят (особенно, если он один в компании) и сказать, что за нарушение 2/3 требований никогда не наказывают, а за оставшуюся треть наказание мизерное и меньше стоимости реализации исходного требования, они не могут 🫵

В итоге все требования равнозначные, их до хрена, они непонятны неспециалисту и какой от них ущерб бизнесу непонятно. А теперь, внимание, вопрос! Вам это ничто не напоминает? 😦 То-то и оно. Тоже самое многие думают и по кибербез, про огромное число кибератак и людей, с ними борющихся. Отсюда и отношение 🤠 Стоит сделать выводы и начать фокусироваться и приоритизировать свою работу.

ЗЫ. Исключения, конечно, же бывают 😘

Читать полностью…

Пост Лукацкого

Первая картинка с RSAC отражает взгляд на текущие угрозы, связанные с искусственным интеллектом 🧠 и их опасность. Предсказуемо на первое место вышел фишинг и дезинформация. Риски написания вредоносов 🖥 с помощью ИИ считают не очень значительными. Еще менее опасной признается проблема распространения информации о создании ядерного, химического и бактериологического оружия с помощью языковых моделей LLM 🤯

На второй картинке Sophos в своем отчете по ИБ пишет, что ИИ пока не привносить каких-то качественно новых 🤖 угроз ИБ, позволяя при этом существующие угрозы делать быстрее, мощнее, автоматизированнее и т.п. То есть растут скорее количественные, а не качественные характеристики угроз на базе ИИ 🤖 Третья картинка - обложка исследования Recorded Future о якобы российской группировке, которая распространяла созданный с помощью ИИ политический контент против западной демократии.

Так что в целом, можно пока (на горизонте до конца года, как минимум) не опасаться искусственного интеллекта в руках киберпреступников 🤖 Да, атаки могут быть быстрее и их может быть больше, но и бороться с ними известно как. Раз уж хакеры активно используют автоматизацию, то и защитники тоже должны! ⚙️

Читать полностью…

Пост Лукацкого

Неплохая подборка того, что презентовалось на RSAC 2024 с точки зрения сценариев использования искусственного интеллекта 🧠 В паре мест я бы убрал приставку Gen, но в целом достаточно полная картина.

А если вам интересно, что будет про ИИ на PHDays, то вот полная карта 🗺 всех выступлений, которые связаны с этой темой; там их несколько десятков.

Читать полностью…

Пост Лукацкого

Не отпускает меня тема SIEM следующего поколения 😠 Если посмотреть за новости про Splunk, QRadar (у народа в англоязычной блогосфере прям подгорает и все уже поставили крест на этом продукте), Exabeam и LogRhythm, то можно обратить внимание на то, как инвесторы начали вкладываться 🤑 в NG SIEM (конечно же на базе ИИ):
💵 Апрель 25 - Dropzone AI | $17М
💵 ‎Апрель 23 - Prophet Security | $11М
💵 ‎Апрель 18 - Anvilogic | $45М
💵 ‎Апрель 9 - StrikeReady | $12М

Ну и тема автономных SOCов тоже начинает набирать обороты - компании из этой сферы (все вышеназванные, а также нижеперечисленные компании из этой же области) анонсировали новые версии своих решений:
🆕 ‎Апрель 24 - Intezer Autonomous SOC
🆕 ‎Апрель 23 - Torq HyperSOC

Я тут участвовал в выпуске исследования по этой теме и могу сказать, что сейчас почти все игроки рынка SOC/SIEM идут в этом направлении. По крайней мере те, кто смотрит вперед 🖥

Читать полностью…

Пост Лукацкого

Джек предлагает (англ) отказаться от использования термина SLA 🪫 при обсуждении уязвимостей и патчей. А то, ишь, ссылаются все на SLA по установлению обновлений, а за это время хакеры успешно, и не по одному разу, успевают взломать организацию. Им вообще пофиг на SLA ваших ИТшников, KPI SOC и т.д. Джек предлагает использовать вместо SLA термин AIT (Accepted Insecure Time), то есть "разрешенное время незащищенности" ⚠️

AIT совершенно иначе звучит - никакой недосказанности и скрытости. Более того, сразу понятно, что это некий баланс между возможностями ИТ и скоростью появления уязвимостей. Ну и слово "разрешенное" тоже подразумевает, что этот временной промежуток кто-то утвердил, то есть есть вполне конкретное лицо, несущее ответственность. Есть о чем подумать? 🤔

Читать полностью…

Пост Лукацкого

🧢 Продолжаем серию интервью о том, зачем синим командам участие в кибербитве Standoff

Гостями студии стали капитаны команд, которые поняли о жизни все много раз вставали на защиту различных отраслей виртуального государства F: Максим Шалыгин из You Shell Not Pass, на счету которой семь (!) кибербитв, и Алексей Медведев из Command and Defend, участвующей в битве уже в третий раз. А также Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Standoff.

Ребята обсудили, для чего каждый из них раз за разом ведет свою команду на кибербитву, держите пару цитат.

«Мы не просто так защищаемся, а для того, чтобы это приносило какую-то эффективность бизнесу; меняем стратегию, схему работы, и если что-то получается успешно, это внедряется в работу SOC на предприятии», — рассказывает Максим.


«Кибербитва — лучший способ быстро обучить сотрудников обнаруживать и расследовать события кибербезопасности, состав команды каждый год меняется, так что у нас учатся все», — добавляет Алексей.


Поговорили и о том, как оценивать результаты работы синих команд (ведь скоринга, как у красных, у них нет), каким образом им помогают менторы до, во время и после кибербитвы (массаж они не делают, это выяснили точно), как различаются атаки хакеров на Standoff и в реальной жизни, чем чревато читерство с использованием чужих кредов и сможет ли однажды ИИ заменить живых аналитиков.

Заинтригованы? Смотрите интервью целиком по ссылке.

Читать полностью…

Пост Лукацкого

Американцы пишут, что несмотря на множество стандартов, политик и межотраслевых документов, у них нет единого и минимального набора требований, которые бы обеспечивали то, что они называют "reasonable cybersecurity", то есть приемлемая ИБ 🤏 И вот Center for Internet Security разродился таким перечнем, базирующимся на существующей нормативной базе США 🇺🇸

Читать полностью…

Пост Лукацкого

Ощущения после первого дня PHD2!!! 💃

Читать полностью…

Пост Лукацкого

Одно дело, когда специалист по ИБ, никогда несталкивавшийся с шифровальщиком 🤒, заявляет, что никогда, ни при каких обстоятельствах он не будет платить выкуп 🤑 И совсем другое, когда в паблике появляется вот такое сообщение 🆕

ЗЫ. И автор сообщения - не «плохой парень», а просто мониторит даркнет 👺

Читать полностью…

Пост Лукацкого

⚠️ Очередная схема мошенников. Звонят, обычно пожилым людям ☎️, и уведомляют о том, что жертве надо пройти бесплатную флюорографию, которую, как известно, надо проходить ежегодно. Пожилые люди, во-первых, мнительные в отношении своего здоровья и любят почем зря его проверять. А во-вторых, они верят Собянину, который "обласкал" их со всех сторон 🤕

Поэтому такие звонки не вызывают подозрений, тем более, что это не "майор ФСБ", "сотрудник службы безопасности х-банка" и не "главный инспектор центробанка". Вам предлагают записаться на бесплатный прием в поликлинику 🏥 и просят назвать одноразовый код подтверждения якобы от ЕМИАС (портал для записи к врачу). А код этот либо от Интернет-банка, либо от Госуслуг со всеми вытекающими. Дальше, как известно, дело техники! 💻 Будьте бдительны и предупредите родителей! ⚠️

ЗЫ. Вообще, мошеннических схем много разных, но тут мне было интересно нарисовать картинку про мошенников и флюрографию 💀

Читать полностью…

Пост Лукацкого

Когда лучше длиннее, чем сложнее... 💡 Размер имеет значение! 📏

Читать полностью…

Пост Лукацкого

ФГБУ НИИ "Интеграл" выдал альтернативу VPN-решениям 🛡 Этот подвед Минцифры, конечно, смущает немного своим взглядом на некоторые вопросы кибербезопасности. Особенно учитывая прежнее место службы замминистра и текущие его инициативы в области криптографии и обеспечении конфиденциальности, которые расходятся с тем, что пишет у себя "Интеграл" 🛡
🔤 VPN применяются не только частными пользователями, но и бизнесом и государством. Утверждать, что они рискованы и через VPN-решения КриптоПро, Инфотекс, Кода безопасности и т.п. можно заразиться вредоносами 🐎, что они сливают данные пользователей (учет СКЗИ не в счет) и что через них происходят утечке... Ну такое себе.
🔤 Любое средство сетевой безопасности, работающее в активном режиме, замедляет работу. По другому не бывает. Фильтрация, проверка, инкапсуляция.... Все это требует, пусть и не всегда больших, но временных ресурсов. Все предложенные Интегралом альтернативы не исключение.
🔤 Про точку отказа вообще хрень какая-то. Это касается любого решения, для которого не предусмотрено резервирование.
🔤 CASB вообще не может заменять VPN и ни при каких условиях не является их альтернативой 😲
🔤 SDP, SASE и ZTNA очень сложно называть альтернативой VPN, так как VPN или TLS часто являются составной их частью (в SDP и SASE так уж точно). То, что VPN часто воспринимается, как отдельно стоящая железка, не говорит, что VPN не может быть распределенным и размещенным в облаке упс, и тогда такой VPN автоматом превращается в SASE или SDP.
🔤 Называть ProtonVPN и NordVPN (то есть NordLayer) альтернативой VPN?.. Нууу, ээээ... 🤠
🔤 Не упомянуть среди альтернатив SD-WAN и VPN-as-a-Service?.. А "Интеграл" точно подчиняется регулятору в области связи? 🚠
🔤 Когда российское государственное учреждение рекламирует израильскую компанию по ИБ, швейцарскую и прибалтийскую, то это выглядит, как бы помягче выразиться, странно. При этом не упоминается ни один отечественный разработчик или VPN, SD-WAN 👿

В общем, я бы эти карточки немедленно убрал и забыл бы про них как страшный сон! А еще лучше, если бы их переделали, привлекая к их изготовлению экспертов!

ЗЫ. Если уж надо запретить VPN, то уже давно пора запретить, а не писать всякую чушь от официального имени госорганизации.

Читать полностью…

Пост Лукацкого

До сих пор считаете, что именно вы не интересны хакерам? 🤔

Однако этот пост вы читаете в Телеграме со своего девайса, а значит, ваши данные потенциально подвержены утечке.

И любая техника, имеющая выход в интернет, может стать лазейкой для киберпреступников. Даже лампочка.

Кроме того, наши эксперты ежедневно сталкиваются со взломами организаций и целых отраслей из-за человеческого фактора.

😅 Как защитить от взлома себя, свои данные и устройства? Чтобы помочь разобраться в этих вопросах, Positive Education запускает бесплатный курс о личной кибербезопасности.

Его автор — Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies с более чем 30-летним опытом в индустрии.

👀 Пройти бесплатный курс из видеороликов и проверочных заданий можно на образовательном портале Positive Education.

Для удобства изучения большие темы разбиты на части. Они будут поэтапно выкладываться на странице Positive Technologies в VK.

Смотрите и узнавайте, как противостоять хакерам и вредоносным программам — вирусам, червям и троянам, чтобы сделать жизнь в виртуальном пространстве безопасной! 🌟

P. S. А c 23 по 26 мая на киберфестивале PHDays 2 в «Лужниках» вы сможете своими глазами увидеть, к каким последствиям приводят кибератаки, которые начинаются с пользователей 😲

#PositiveEducation
@Positive_Technologies

Читать полностью…

Пост Лукацкого

Так обычно выглядят стартапы по ИБ, которые рассказывают про какие-то инновационные технологии внутри своих еще невыпущенных продуктов 😊

Читать полностью…

Пост Лукацкого

Почувствовал себя ИБ-журналистом... ✍️ Сделал внутренний обзор 169 анонсов, озвученных 640 ИБ-вендорами на RSA Conference 2024. Непростая, скажу вам, работа, продраться сквозь маркетинговый булшит вендоров 🤠 и понять, что же реально было представлено компаниями. Нередко, ничего, которое скрывается за красивыми словами про искусственный интеллект, ускорение и углубление, автоматизацию и усиление... Но я это сделал 💪

Выкладывать этот внутренний документ я не буду, а вот его открытую часть с обзором ключевых трендов, я описал, а коллеги 🤝 из Anti-malware его опубликовали. Так что велкам 🤓

Читать полностью…

Пост Лукацкого

‼️ Количество постов про PHD2 в преддверии киберфестиваля, конечно, зашкаливает и я бы мог много чего написать ✍️ про него (и про нашествие взломанных пылесосов, и про 6 конкурсов, и про хедлайнеров концертной программы, и много еще чего). Но надо держать себя в руках и ограничиться чем-то одним, а именно финальной программой PHD2 ✔️

Как вы знаете, мы с коллегами приложили руку ✍️ к программе бизнес-трека и она выложена на сайте. Но, как это часто бывает, когда у мероприятия под два десятка параллельных треков (и это не преувеличение), пользоваться сайтом 🖥 бывает не всегда удобно (на прошедшем RSAC была такая же проблема). Поэтому я свел бизнес-программу на один лист формата А4, на котором можно увидеть чуть сокращенные названия дискуссий и докладов, которые идут последовательно 📣 друг за другом (на указание времени не хватило места), залы и даты их проведения (закрытые и по приглашению мероприятия не указаны).

В целом попробовали собрать тематические потоки под совсем разную аудиторию 😕🤪🧐👨‍💻🥳 с разными интересами (для CISO, по архитектуре ИБ, для CDTO/CIO/CTO/CxO, по SOCам будущего, по государственным инициативам, по будущему, по киберпреступности, для тех, кто только начинает строить ИБ и т.п.). Надеюсь вы найдете там немало интересно для себя ☕️

Как всегда будет онлайн-трансляция на сайте, а уже после PHD2 будут выложены все записи и презентации. Но онлайн, конечно, не передает всю движуху, которая будет на фестивале, 💃 - нетворкинг, конкурсы (хотя некоторые будут онлайн), демонстрации, лабы, концерт и, как без него, Кибергород 🏭 с его аттракционами и площадками для всей семьи (доступ в кибергород открыт для всех без регистрации и покупки билетов). Ну и кибербитва Standoff... в этом году она будет еще масштабнее и под нее будет выделена целая спортивная арена 🏟

ЗЫ. Меня тут попросили выделить Топ10 докладов бизнес-трека, но я не смог этого сделать. Все доклады интересны и я бы их не включал в программу, если бы это было не так. В программу вложил душу, так что там скорее Топ85, а не Топ10 🔝

Читать полностью…

Пост Лукацкого

Не могу сказать, что автор на RSAC открыл что-то новое, но он в достаточно наглядной форме показал интересный фреймворк по работе с данными, которые требуют защиты 🛡, и который он использует в своей работе. Вроде все просто и не требует особых пояснений - выделяем виды данных, определяем сценарии/процессы, где они нужны, дальше формируем матрицу с указанием сроков и требований по хранению, шифрованию, анонимизации, уничтожению 🦺

ЗЫ. В части обеспечения конфиденциальности чем-то перекликается с ранее опубликованным постом про банк CapitalOne.

Читать полностью…

Пост Лукацкого

Первая и третья картинка с RSAC, вторая из выступления Дмитрия Гадаря (Тинькофф). Они очень похожи, хотя и сделаны по разные стороны океана 🌎 Многие сейчас активно внедряют сценарный подход при расчете возможных путей реализации тех или иных событий ИБ с катастрофическими последствиями (сами последствия показаны справа, первичные вектора атак слева, а возможные комбинации движения злоумышленника - между ними) 🗺

У такого подхода есть несколько моментов, которые стоит учитывать:
1️⃣ Число атак атак бесконечно и даже если сфокусироваться только на нескольких сотнях техник из MITRE ATT&CK, то число возможных комбинаций будет настолько велико, что даже перебрать их последовательно займет тысячи лет. Поэтому так важно уменьшать число первичных точек входа. Для этого нужны решения класса Attack Surface Management (ASM); ну или просто выстроенные процессы управления активами и уязвимостями 🚪
2️⃣ Даже с уменьшением точек входа число комбинаций будет велико; поэтому надо разобраться с последствиями, которые для вас важны. Катастрофических (недопустимых) будет не так уж и много 💥
3️⃣ Оценивать веса переходов внутри сценариев можно по-разному. Кто-то считает сложность перехода из одного пункта сценария в другой (от одной системы к другой), кто-то стоимость, кто-то вероятность. Тинькофф считает так называемую атакабельность. Не так важно, как будут считаться, сценарии, на выходе у вас будет приоритизированный список того, как может действовать нарушитель 🥷
4️⃣ На RSAC была хорошая фраза "ИИ - это просто математика. У нас были все эти данные десятилетия, но сейчас у нас появились вычислительные мощности, чтобы использовать их" 🧮 Мне кажется, это хорошо подходит и для задачи просчета сценариев реализации атаки. С ИИ или без него, не так уж и важно. ИИ скорее нужен для оценки неизвестных ранее сценариев на основе новых вводных 🧠

В любом случае интересно, что схожие методы используются сегодня разными компанияи и специалистами. Возможно, это говорит о том, что в нем есть нечто интересное и полезное 💡

Читать полностью…

Пост Лукацкого

Владельцам SonicWall (если таковые у нас еще остались) напрячься…

Читать полностью…

Пост Лукацкого

Не секрет, что одной из проблем ИБ, приводящей к успешным инцидентам 🛡, является использование уязвимого ПО, которое не патчится вовремя. А не патчится оно в том числе и потому, что уже не поддерживается производителем ⚰️ Отчасти поэтому в недавно вступившем в силу EU Cyber Resilience Act прописан 5-тилетний период выпуска обновлений к продукту с момента покупки (не выпуска!). У англичан 🇬🇧схожие требования. Это еще не гарантия их установки, но уже первый шаг 👣

Американская CISA тоже озаботилась проблемой EOL/EOS (End of Life / End of Sale) программного обеспечения и ростом числа уязвимостей в таком неподдерживаемом ПО. Поэтому помимо установления требований ✔️ по конструктивной безопасности (security by design), она стала инициатором подписании меморандума с 68 вендорами, которые обязуются обеспечить 🫵 установку клиентами выпускаемых обновлений.

А еще есть парочка инициатив, которые помогают решать эту проблему. Например, сайт endoflife.date, на котором собраны даты EOL по многим продуктам (чтобы не искать их на сайтх производителей, что бывает непросто). Да, там 🖥 не весь софт и там точно нет отечественного ПО 🇷🇺, но хоть что-то.

Еще есть OASIS OpenEox TC (openeox.org) - машинно-читаемый формат для автоматизации ⚙️ работы с датами EOS. Если бы вендора его поддерживали, то данную информацию можно было бы подгружать в свои инструменты управления ИТ 📞 или ИБ и проактивно готовиться к завершению жизненного цикла программного продукта 🔜

Мне кажется, что Минцифры могло бы взять эту тему на себя и расширить 🔄 данными по EOS/EOL реестр отечественного ПО, включив в него и поддержку OpenEox. Это, кстати, не так уж и сложно реализовать, включив в соответствующие правила включения ПО в реестр 🇷🇺. Сложнее отслеживать эту информацию на постоянной основе, но было бы желани. 🌎 Такой пункт неплохо бы смотрелся в списке тех, что вчера Минцифры озвучило на "Дне экономики данных".

Читать полностью…

Пост Лукацкого

В ближайшем Standoff, конечно, уже не поучаствовать, но на осенний еще можно успеть подать заявку 🥳

ЗЫ. Я когда задавал вопрос про читерство на киберучениях, не думал, что услышу, что такое бывает ☺️

Читать полностью…
Подписаться на канал