Группировка "Кибердраконы" 🐲 (Cyb3r Drag0nz) заявила вчера о взломе газоперерабатывающего завода в Турции (не наш ли это газ?), а сегодня о взломе компании по водоснабжению в той же Турции. Просто "Драконы" (Dragon RaaS) взломали иранскую компанию ABFA, занимающуюся водоснабжением (но фраза "взлом канализации со всеми вытекающими" заиграла новыми красками) 🐉 И если раньше такие кейсы были единичными и за ними "гонялись" специалисты по ИБ, чтобы включить в свои страшилки презентации, то сегодня это стало обыденностью, о которой уже и говорить скучно 😴
Я когда готовился к выступлению на Тюменском форуме (ТНФ) и собирал кейсы взлома нефтяных 🛢 и газовых компаний по всему миру за 2024 год, где-то на третьем десятке остановился. Это действительно превращается в рутинную историю. Изолированных сред уже давно нет, архитектура и софт АСУ ТП уже не являются секретом, а значит у хакеров становится больше возможностей по взлому компаний из этой сферы критической инфраструктуры 🏭 И думаю, что число таких кейсов будет становится все больше и больше, по мере нарастания геополитической напряженности, а также увеличения активности по борьбе с хакерами и шифровальщиками. Ставки будут только возрастать... ↗️
А вот вам еще десятка тенденций, но уходящего года и в области шифровальщиков. Учитывая, что они регулярно встречаются и в России, то этот список будет более интересен, чем прошлый Топ10.
1️⃣ Схемы с двойным и тройным воздействием
Атаки перешли от простого шифрования данных к вымогательству с утечкой данных и угрозами, включая DDoS-атаки. В России к этому добавляется еще и уничтожение инфраструктуры. Эти методы станут в 2025 году стандартом, что требует укрепления стратегий защиты данных и подходов к реагированию.
2️⃣ Распространение Ransomware-as-a-Service (RaaS)
RaaS-модели позволяют менее квалифицированным злоумышленникам запускать атаки, предоставляя готовые инструменты и поддержку. Группы LockBit и BlackCat сделали RaaS популярным, предлагая инструкции и маркетинговую поддержку. Можно прогнозировать увеличение атак на малый и средний бизнес из-за доступности таких услуг.
3️⃣ Эксплуатация украденных данных
Киберпреступники всё чаще крадут данные перед шифрованием, увеличивая шансы на получение выкупа. Ужесточение регулирования в разных странах, включая и оборотные штрафы в России, усиливает риски утечки данных с последующим требованием выкупа за неопубликование факта слива информации.
4️⃣ Использование 0-day уязвимостей и фишинга
Группировки шифровальщиков всё чаще используют 0-day уязвимости и целевые фишинг-атаки. Можно прогнозировать рост проектов по цифровизации увеличивает поверхность атак.
5️⃣ Техника "жить за счёт сети" (LotL)
Злоумышленники используют встроенные инструменты, такие как PowerShell, чтобы избежать обнаружения. Можно прогнозировать расширение таких техник требует внедрения расширенных средств обнаружения атак и аномалий (EDR).
6️⃣ Атаки на критическую инфраструктуру
Основные мишени — энергетика, здравоохранение, государственные учреждения. Можно прогнозировать, что геополитическая нестабильность увеличит число таких атак.
7️⃣ Шифровальщики в промышленности
Увеличение атак на производственные линии и цепочки поставок. Можно прогнозировать, что внедрение и интеграция IoT в промышленности увеличивает уязвимость организаций.
8️⃣ Снижение среднего выкупа, но увеличение косвенных и вторичных потерь
Средний выкуп снизился до $569,000, но косвенные затраты выросли. Поэтому непрямые затраты останутся основным фактором при расчете ущерба (вспоминаем кейс с Коста-Рикой или UnitedHealth Group).
9️⃣ Эволюция шифровальщиков
Появились сложные варианты, такие как BlackCat или Akira, который использовал многоуровневое шифрование, усложняющее восстановление. Можно прогнозировать, что будут развиваться варианты, нацеленные на облачные сервисы и гибридные workspace.
1️⃣🅾️ Международное сотрудничество
Совместные операции, такие как между ФБР и Европолом, привели к прекращению функционирования крупных группировок. Можно прогнозировать, что злоумышленники будут адаптироваться, но совместные усилия правоохранительных органов продолжат оказывать сдерживающий эффект для хакерских групп, но только на Западе.
Никогда такого не было и вот снова (с) 🇷🇺 Прав был Жванецкий, "кто что охраняет, тот то и имеет" 😕
Пермский гарнизонный военный суд повторно вынес обвинительный приговор по делу бывшего руководителя одного из подразделений УФСБ по Пермскому краю Григория Царегородцева. Он был признан виновным в получении взяток на общую сумму 160 млн руб., приговорен к восьми годам строгого режима со штрафом 160 млн руб. и лишен звания «майор запаса».Читать полностью…
Следствие и суд установили, что Григорий Царегородцев получал деньги от группировки «русских хакеров», предоставлявших желающим данные карт американских банков, через которые могли проводиться платежи без ведома владельцев. Деньги чекисту платили за замалчивание информации о преступной деятельности группировки. Сам Григорий Царегородцев признал вину частично, настаивая, что совершил мошенничество.
В 2012 году в запрещенном в России Фейсбуке 📱 начал распространяться текст про якобы изменение правил соцсети и исчезновение авторских прав на фотографии и контент, там размещенный.
Для борьбы с этим многие стали публиковать письма счастья с упоминанием Римского статута, которые затем перекочевали в VK. И вот начинается новая напасть про терроризм и экстремизм, которую объединили с авторскими правами и персданными 🤦♂️
Вниманию правоохранительных органов! Я не имею какой-либо специальной подготовки по проведению экспертиз, направленных на выявление в текстах (в аудио и в видеофайлах) признаков экстремистской деятельности, следственную и судебную практику по этой категории дел не отслеживаю, не обобщаю и не анализирую. Таким образом, я объективно лишен возможности самостоятельно оценить то или иное свое или чужое высказывание на предмет наличия или отсутствия в нем признаков экстремизма. Также, насколько мне известно, до настоящего времени не существует каких-либо общепринятых и однозначных критериев отнесения того или иного текста или аудио и видеофайлов к числу экстремистских. В каждом конкретном случае такие признаки устанавливаются путем привлечения специалистов в различных областях (как правило филологии и лингвистики) знаний. Вместе с тем, я являюсь законопослушным гражданином, не имеющим намерений совершать общественно-опасные поступки и, в том числе, преступления и правонарушения экстремистского характера. В соответствии с Законом «О противодействии экстремистской деятельности», на правоохранительные органы и прокуратуру РФ возложены задачи выявления и пресечения действий экстремистской направленности, в том числе путем вынесения предупреждений о недопустимости экстремистской деятельности. На основании всего вышеизложенного, в случае, если на моей странице будут выявлены признаки экстремизма, прошу незамедлительно уведомить об этом меня, для немедленного удаления данного контента(текст, фото, видео, аудиофайлов)
Любимые цитаты:
Я КАТЕГОРИЧЕСКИ ЗАПРЕЩАЮ,
пользуясь законным правом, установленным КОНСТИТУЦИЕЙ РОССИЙСКОЙ ФЕДЕРАЦИИ в статье 23, 24, собирать, хранить, использовать и распространять информацию о моей частной жизни, читать мою переписку, просматривать мои приватные фото и видео материалы, прослушивать мои телефонные разговоры и использовать любой материал из непубличной переписки с моей страницы в социальной сети ВКОНТАКТЕ!
Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
О себе:
В ответ на новую политику "ВКонтакте" я настоящим объявляю, что все мои персональные данные, фотографии, рисунки, переписка и так далее являются объектами моего авторского права. Для коммерческого использования всех вышеупомянутых объектов авторского права в каждом конкретном случае необходимо мое письменное разрешение.
"ВКонтакте" теперь является публичной компанией. Именно поэтому всем пользователям данной социальной сети рекомендуется разместить на своих страницах подобное «уведомление приватности», в противном случае (если уведомление не опубликовано на странице хотя бы однажды), вы автоматически разрешаете любое использование данных с вашей страницы, ваших фотографий и информации, опубликованной в сообщениях на стене вашей страницы.
Каждый, кто читает этот текст, может скопировать его на свою стену в "ВКонтакте". После этого вы будете находиться под защитой законов об авторском праве. Этот коммюнике оповещает "ВКонтакте" о том, что разглашение, копирование, распространение моей личной информации или любые другие противоправные действия по отношению к моему профилю в социальной сети строго запрещены.
Также и многие компании недооценивают последствия от кибератак, как и пассажиры, ждущие поезда на зимнем перроне ☃️ Думают, что не заденет и все такое.
Читать полностью…В декабре 2024 года ИБ-компания BeyondTrust обнаружила две уязвимости в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS), с помощью которых осуществляется удаленная техническая поддержка по модели SaaS. Эти дыры позволяли неавторизованному злоумышленнику удаленно выполнять команды операционной системы от имени пользователя сайта через специально сформированный клиентский запрос. В результате было скомпрометировано, как утверждается, ограниченное число клиентов.
Уязвимости возникли из-за недостаточной проверки входных данных в компонентах PRA и RS, что позволило злоумышленникам получить доступ к ключу API и за счет этого внедрять и выполнять произвольные команды на сервере, включая и сбор паролей для локальных учетных записей приложений. Это указывает на пробелы в процессе разработки и тестирования безопасности программного обеспечения.
BeyondTrust уже не поможешь, а вот остальным можно дать следующие рекомендации для предотвращения подобных инцидентов в будущем:
🔤 Усиление процессов безопасной разработки (SDLC). Интегрировать практики безопасного кодирования и регулярного анализа уязвимостей на всех этапах разработки.
🔤 Регулярное обновление и патчинг систем. Обеспечить своевременное применение обновлений безопасности для всех продуктов и систем, как облачных, так и локальных.
🔤 Проведение регулярной, а лучше непрерывной оценки защищенности. Организовать периодические проверки и тестирования на проникновение для выявления и устранения потенциальных уязвимостей с перспективой выхода на Bug Bounty.
🔤 Обучение сотрудников. Проводить регулярное обучение разработчиков и специалистов по безопасности современным методам защиты и реагирования на инциденты, а также SecDevOps.
🔤 Внедрение многоуровневой защиты. Использовать дополнительные механизмы безопасности, такие как системы обнаружения угроз (IDS/WAF/NGFW) и средства мониторинга активности (SIEM/NDR/CDR), для своевременного выявления и предотвращения атак.
У Александра утащил ссылку на интересный отчет про экономику кибербезопасности для развивающихся рынков от Всемирного банка, который разбит на три части:
1️⃣ Ландшафт угроз
2️⃣ Экономика инцидентов ИБ
3️⃣ Рынок ИБ.
Первый раздел не очень интересен (лично для меня), так как там ну очень уж высокоуровневые данные по инцидентам в разных странах со срезами по отраслям и т.п. Возможно, для страховых компаний или для регуляторов это может быть интересно, но не для отдельных компаний. Третья часть тоже слишком абстрактна ☕️
Второй раздел оказался более интересным. Там даются интересные цифры (тоже уровня стран, но зато про деньги, экономику и т.п. Например, если бы развивающиеся страны снизили число инцидентов ИБ и из верхнего квартиля попали в нижний, то их ВВП (и речь про президента России) вырос бы на 1,5%! 🤔 Это очень интересные расчеты, показывающие насколько ИБ стала влиять на экономику страны. Автор отчета пишет, что один из рассмотренных инцидентов привел к снижению ВВП страны на 2,4% (это просто маленький пушной зверек какой-то 🤯).
Более 40% инцидентов замалчиваются (в России так и больше), что сумму потерь делает еще выше 😫 В отчете повторяется вывод из отчета ExtraHop, что гораздо больше потерь от инцидентов носит непрямой характер и они часто превышают прямые финансовые потери, которые видит жертва в первые дни после инцидента 😃 Об этом же говорят и кейсы с MGM Grands, Caesars Palace, United Health Group, Medibank и т.п., которые в своих финансовых отчетах указывали суммы, в разы, а то и на порядки превышающие сумму выкупа шифровальщикам 🧐
Еще одной интересной частью является обзор всех имеющихся исследований по теме влияния инцидента ИБ на курс акций компаний 📊 В зависимости от временного интервала и региона (преимущественно США) этот показатель скачет от 0,3 до 6,78 процента, но в среднем - около 1,5 процентов 📉
Еще три экономических наблюдения авторов отчета:
1️⃣ Инвестиции в кибербезопасность обусловлены соображениями экономии. Однако, в отличие от других проектов по экономии средств, отдача от инвестиций в кибербезопасность не поддается количественной оценке 🤑
2️⃣ Компании переводят убытки от киберинцидентов в рост цен, который принимают на себя потребители 😮
3️⃣ Отсутствие прозрачности в отношении частоты и серьезности кибер-инцидентов и низкая осведомленность общественности влияют на эффективность рынка!
Ничто не выдавало в этом «сообщении от WB» 🛒 фишинговую рассылку 🙅♂️ Будьте бдительны 👋
ЗЫ. Спасибо коллеге, что поделился сим образчиком.
А я же говорил, что бывают внезапные выступления... Вот, думал, что все, курс по моделированию угроз будет финальным в этом году, но нет. Позвали на митап по рискам "Операционные риски 2024-2025. Новогодняя дискуссия" 😬
Он для директоров по операционным рискам финансовых компаний и что я там делаю, я не знаю 😂 Особенно учитывая мою "любовь" к рискам. Но так как, среди прочего, заявлен разбор прогресса в управлении рисками данных, новых технологий и кибербезопасности, а также прогнозы по трансформации бизнес-моделей, цифровизации и регуляторным изменениям, то может и мне что удастся сказать позитивного, не ругающего риски ИБ 🤣
ЗЫ. Нейросеть так видит директоров по операционным рискам. Какой-то сексизм прям... 👼
ЗЗЫ. Участие бесплатное, но количество физических мест, как обычно, ограничено. Зато будет трансляция 🍿
Презы с BlackHat Europe 2024 выложили в одно место - https://github.com/onhexgroup/Conferences/tree/main/BlackHat_Europe_2024_slides
Читать полностью…У MITRE вышла стабильная, первая версия их фреймворка D3FEND. Идея ее достаточно простая. Мы имеем матрицу MITRE ATT&CK, которая содержит является базой зданий по техникам и тактикам тех, кто атакует системы (хоть пентестеры, хоть киберпреступники). И по многим техникам матрица содержит описание того, как ее выявлять (раздел Source или Detection). Но что с отражением и нейтрализацией этих техник? Ведь в зависимости от платформы методы могут быть совсем разные. Смотреть в раздел Mitigation? Он очень высокоуровневый и скорее описывает классы защитных мер, но без их детализации.
MITRE D3FEND как раз и предназначен для того, чтобы закрыть этот пробел. Он увязывает защитные меры с техниками, базируясь на исследованиях о применимости той или иной меры в различных условиях. Авторы пишут, что они проанализировали более 500 патентов в области ИБ с 2001 по 2018 годы, а также много других источников данных, которые и позволили собрать вместе все разрозненные сведения в единую онтологию, позволяющую разрабатывать архитектуры ИБ.
Вместе с D3FEND 1.0 MITRE выпустила и специальные визуальный конструктор D3FEND CAD, который позволяет визуализировать работу с новым фреймворком. И это не просто матрица, которая была и раньше, но инструмент, который позволяет построить граф/диаграмму защиты своих ИТ-активов.
Ну и как это часто бывает у американцев, они вместе с новым фреймворком по ИБ, выпускают его маппинги (сопоставления) с уже известными на тот момент стандартами. В частности по D3FEND доступны сопоставления с NIST 800-53 Rev.5 и с DISA CCI. Связки D3FEND и ATT&CK тоже, конечно, доступны. На закономерный вопрос, почему такие странные матрицы сравнения (со стандартами ИБ для военных и для госухи) отвечу - заказчиком D3FEND была АНБ. Отсюда и специфика, что не делает этот инструмент менее интересным.
А у нас вышел очередной, новогодний выпуск Positive Research, который можно скачать на сайте журнала 📰 В этот раз он полностью посвящен всему, что связано с багхантингом, онлайн-полигоном, кибербитвой, белыми хакерами и тренировками red team и blue team. Есть в журнале и бонус - в печатную версию вложена матрица MITRE ATT&CK, чтобы на стенку вешать (многие такое любят) 🪧
Читать полностью…19 декабря РКН внес 😈 в реестр организаторов распространения информации 12 коммуникационных сервисов 📱 (мессенджеров), обеспечивающих защищенные соединения (как правило, со сквозным шифрованием), а именно:
🔤 WhatsApp (США)
🔤 Skype (США)
🔤 Wire (Швейцария)
🔤 Element (Великобритания)
🔤 KakaoTalk (Южная Корея)
🔤 Session (Астралия)
🔤 DUST (США)
🔤 Pinngle SafeMessenger (Армения)
🔤 Status (Швейцария)
🔤🔤 Keybase (США)
🔤🔤 Trillian (США)
🔤🔤 Crypviser (Германия).
Все указанные сервисы должны теперь выполнять "пакет законов Яровой" и хранить переписку пользователей, предоставляя ее по запросу российских спецслужб 🇷🇺 Кроме того, ОРИ обязаны установить в своей инфраструктуре оборудование СОРМ для непрерывного доступа к коммуникациям со стороны правоохранительных органов 🇷🇺 Отказ от выполнения указанных норм может повлечь за собой блокировку сервиса на территории России 🇷🇺
Почему именно сейчас (тот же Telegram был внесен в реестр ОРИ в 2017-м)? Хрен знает. Выборы прошли, вроде особо нечего опасаться. Но в любом случае держим в голове, что массовой анонимности в стране потихоньку приходит конец 🍑 Если еще и вспомнить проект приказа РКН по идентификации всех пользовательских устройств доступа к Интернет 🌍
Россия наращивает международное сотрудничество и подписывает два межправительственных соглашения в области кибербезопасности с достойными партнерами - Северной Кореей и Зимбабве. Ну а что, с кем еще подписывать?.. ✍️
Читать полностью…В метро 🚇 внезапно увидел, как человек читает конспект лекций по бизнесу 🧐 Меня там 2 момента зацепило. Во-первых, почему в основных показателях бизнеса нет ни одной финансовой метрики 🤔 Это примерно как CISO, говорящий с бизнесом «на одном языке», но нечитавший ни одного годового отчета своей компании, не знающий ее основных статей доходов, уровня риск-аппетита и отличий CapEx от OpEx 🤑
А во-вторых, почему результативность описывается в формате «градусника» 🌡 Результат он либо есть, либо нет. А вот эти вот полумеры (степень достижения цели), они только все портят и позволяют думать, что можно реализовывать ИБ не на 💯 процентов. Вот это вот "уровень достижения целевого состояния ИБ составляет 💯" обычно и приводит к ущербу и негативным последствиям от реализации инцидентов, причина которых кроется в оставшем 1% 🤔
Полтора года назад я писал про то, почему появился термин "недопустимые события" и какой был смысл вводить новую сущность при имеющихся "угрозе" и "риске". Ну так вот та же история происходит и по ту и по эту стороны океана. Для описания событий, имеющих кибер-природу и приводящих к катастрофическим последствиям, там тоже не используют то, к чему многие привыкли.
Один из самых популярных терминов - это "киберкатастрофа" (на английском его пишут по-доброму - cyber cat 🐱). Если погуглить его, то вы увидите, что он очень активно применяется для описания явлений, к которым надо привлечь внимание руководителей - корпораций, отраслей, государств. А "заманить" их на "риски", "угрозы" и тем более "компьютерные атаки" невозможно. Так что в следующий раз, когда захотите критиковать этот термин, подумайте о заложенном в него смысле, а не только о составляющих его буквах.
Я как раз добрался до всякого интересного в этой части и буду постить помаленьку - там есть прям очень интересные выкладки, расчеты каскадных потерь, свои базы данных киберкатастроф и даже фреймворки их описывающие. Есть над чем поразмышлять, чтобы понять, что ИБ давно уже может встать вровень с природными явлениями и технологическими катастрофами. Главное, начать думать об этом соответствующим образом.
ЗЫ. Таблица на картинке - это пример расчета различных потерь в краткосрочной и долгосрочных потерь для одного из сценариев киберкатастрофы для США, Великобритании, Германии и Японии. Обратите внимание на то, как это все влияет на фондовый рынок, инфляции, курсы валют, облигации и т.п.
Долгие годы работы в транснациональной компании сделали меня терпимым к разным явлениям и проявлениям нашей жизни. Я привык говорить «афроамериканец» вместо «негра». Я привык, что ездят «в» Украину, а не «на». Я привыкал говорить «blocklist», а не «blacklist». Я привык, что для американцев война 1812-го года, это совсем не то, что для нас и европейцев. Я спокойно и даже с юмором отношусь к радужным месячникам, но в них не участвовал и не участвую. И я привык, что у меня два Рождества - одно, которое празднует вся наша необъятная страна, и второе, которое празднует Европа, Америка и ряд других стран, где у меня много друзей и знакомых, и где 🟥 сейчас ведет бизнес. Да, иностранцам сложно объяснить, как Рождество может быть после Нового года, и что в России есть еще Старый Новый год. Но этим и хороша работа в компании, которая не ограничена только границами одной страны!
С праздником всех, кто празднует Рождество! И было бы неправильно не поздравить тех, кто празднует Хануку, начало которой совпало в этом году с Рождеством! Не болейте! И будьте в безопасности!
ЗЫ. Ну и уже ставшее классикой видео про русских хакеров, взломавших Рождество!
В 2022 году Коста-Рика столкнулась с серией разрушительных кибератак, организованных группировками Conti и Hive, что привело к значительным экономическим потерям и нарушению работы государственных учреждений, включая сектор здравоохранения. Это был первый случай, когда страна объявила чрезвычайное положение в результате кибератаки, а ущерб от нее составил 2,4% от ВВП страны! 😔
Атака группировки Conti:
1️⃣ В ночь с 17 апреля 2022 года кибергруппа Conti запустила серию атак на около 30 государственных учреждений Коста-Рики, включая Министерство финансов, Министерство науки, инноваций, технологий и телекоммуникаций, Национальный метеорологический институт и другие.
2️⃣ Conti потребовала выкуп в размере 10 миллионов долларов США, угрожая обнародовать украденную информацию, включая налоговые декларации граждан и данные компаний.
3️⃣ Вынужденное отключение компьютерных систем, используемых для декларирования налогов и управления импортом и экспортом, приводило к ежедневным потерям в размере около 30 миллионов долларов США для промышленного сектора.
4️⃣ Коста-Рика обратилась за помощью к США, Израилю, Испании и Microsoft (странный набор) для борьбы с атакой.
5️⃣ 8 мая новый президент страны Родриго Чавес Роблес объявил о введении чрезвычайного положения (спустя 2 недели с начала атаки), рассматривая кибератаку как акт терроризма.
6️⃣ 11 и 26 июня соответственно была восстановлена работа систем Минфина и таможни, спустя 2 месяца с начала атаки.
Атака группировки Hive:
1️⃣ После атак Conti, в конце мая 2022 года, уже группировка Hive нацелилась на Коста-Риканский фонд социального обеспечения (CCSS), что привело к отключению критически важных систем, включая Единую цифровую медицинскую карту (EDUS) и Централизованную систему сбора данных.
2️⃣ Hive удалось вывести из строя около 800 серверов и 9 тысяч пользовательских терминалов, что серьезно нарушило предоставление медицинских услуг.
3️⃣ Атака на CCSS привела к сбоям в работе медицинских учреждений, затруднив доступ к медицинским данным и усложнив оказание медицинской помощи населению. Только 45% лабораторий функционировало нормально; 96% больниц работало в условиях реализации кризисного плана, 19% рентгенографических кабинетов не работало, а 37% аптек не функционировало должным образом.
4️⃣ Несмотря на масштаб атаки, президент CCSS Альваро Рамос Чавес заявил, что базы данных с конфиденциальной информацией не были скомпрометированы, хотя по меньшей мере 30 из 1500 серверов учреждения были заражены программой-вымогателем. В атаке Conti утечка данных все-таки состоялась.
Такие вот дела. А вы говорите, кибератаки - это несерьезно и неинтересно для руководителей компаний, отраслей и целых стран 😨
Отчет, упомянутый вчера утром, перечисляет возможные последствия от инцидентов ИБ, которые давно перестали быть лишь технической проблемой. Их влияние проникает в самые разные аспекты работы компаний, экономики и даже целых отраслей. Отчет показывает, как именно последствия кибератак могут разрушить привычный порядок вещей.
Финансовые сложности:
1️⃣ Увеличение времени оборачиваемости денежных средств, что ограничивает доступ к финансированию текущих операций.
2️⃣ Уменьшение дивидендов для акционеров и снижение их доверия к компании.
3️⃣ Сокращение числа держателей корпоративных облигаций из-за утраты привлекательности активов.
4️⃣ Отрицательная доходность фондового рынка и снижение цен на акции, усиливаемые короткими продажами.
Удар по инвестициям и инновациям:
5️⃣ Сокращение инвестиций в исследования и разработки, что ограничивает развитие новых технологий и продуктов.
6️⃣ Падение продаж, которое может продолжаться до трех лет после инцидента, влияя на долгосрочные перспективы компании.
Нарушения в цепочках поставок:
7️⃣ Прерывание логистических цепочек и снижение эффективности взаимодействия с партнёрами.
8️⃣ Распространение экономических потерь по цепочкам поставок, затрагивающее широкий круг компаний и отраслей.
Экономический и социальный эффект:
9️⃣ Экономические потери для потребителей компаний, ставших жертвами атак, включая рост цен и снижение доступности услуг.
1️⃣0️⃣ Нарушение страновых товарных потоков, что может подорвать международные экономические отношения.
1️⃣1️⃣ Снижение доверия потребителей к цифровой экономике в целом, затрудняющее её дальнейший рост.
Репутационные и доверительные риски:
1️⃣2️⃣ Подрыв репутации компаний, из-за чего восстановление имиджа становится многолетним процессом.
1️⃣3️⃣ Снижение доверия к компаниям как со стороны потребителей, так и партнёров.
Кибератаки — это не просто утрата данных или временные сбои. Как отмечает автор отчета, это фундаментальный вызов для бизнеса, влияющий на финансы, репутацию, инновации и даже доверие к цифровой экономике данных. Чтобы минимизировать последствия, компаниям важно не только укреплять свои механизмы ИБ, но и прорабатывать стратегии восстановления. Ведь чем быстрее компания сможет преодолеть киберкризис, тем меньше окажется долгосрочный ущерб для её бизнеса и экономики в целом.
Очередная десятка тенденций в сфере кибербеза. Сразу надо отметить, что это Топ10 у иностранцев - в России больше половины из этого списка вряд ли станет трендом:
1️⃣ Использование ИИ злоумышленниками. Киберпреступники будут активно применять искусственный интеллект для создания сложных атак, включая генерируемые с помощью ИИ фишинговые кампании и использование дипфейков для обмана.
2️⃣ Увеличение числа уязвимостей нулевого дня. Частота и эффективность атак с использованием неизвестных ранее уязвимостей возрастут, требуя от организаций проактивных мер и постоянного мониторинга дыр и фактов их использования.
3️⃣ ИИ как основа современной кибербезопасности. Искусственный интеллект станет неотъемлемой частью систем безопасности, помогая в обнаружении угроз, реагировании на инциденты и формировании стратегий защиты.
4️⃣ Усложнение вопросов приватности данных. Компании столкнутся с необходимостью соблюдения множества региональных и локальных требований по защите персональных данных, что потребует интеграции этих требований в их стратегии безопасности.
5️⃣ Расширение облачных сервисов и связанных рисков. С еще большим увеличением использования облачных технологий возрастет и количество атак на них, что потребует усиленной защиты облачных инфраструктур.
6️⃣ Рост числа атак на цепочки поставок. Злоумышленники будут чаще нацеливаться на поставщиков и партнеров, чтобы получить доступ к более крупным целям, что делает безопасность цепочек поставок критически важной.
7️⃣ Усиление атак на устройства Интернета вещей (IoT). С увеличением числа подключенных устройств возрастет и количество атак на них, требуя от производителей и пользователей усиленных мер ИБ.
8️⃣ Повышение значимости киберстрахования. Компании будут чаще обращаться к киберстрахованию для минимизации финансовых рисков, связанных с кибератаками, что приведет к росту этого рынка.
9️⃣ Развитие концепции нулевого доверия (Zero Trust). Модели безопасности, основанные на принципе "никогда не доверяй, всегда проверяй", станут стандартом для защиты корпоративных сетей и данных.
1️⃣0️⃣ Аутсорсинг кибербезопасности. Многие организации будут передавать функции кибербезопасности внешним специалистам, чтобы обеспечить высокий уровень защиты в условиях растущих угроз и нехватки кадров.
Если бы меня спросили, что из этого будет применимо у нас, то я бы назвал числа 1, 2, 6 и, может быть, 10. А все остальное мимо. Но... если вдруг Трамп забудет про данные вчера обещания купить Гренландию, отобрать Панамский канал и присоединить к США Канаду, и реально поспособствует прекращению СВО, то может к концу года и остальные темы у нас могут начать реализовываться 🤔
А раньше атаки на больницы 🏥 считались зашкваром, а в Женевской конвенции так это и вовсе запрещено. Но кого это волнует 🤌
Читать полностью…Один плохой мальчик взломал сайт Интернет-магазина и списал баллы лояльности у десятков пользователей, оплатив ими себе товары. Когда его поймали, он заявил, что идентифицирует себя как белого хакера 👺 и поэтому не виновен; следователь его отпустил. А потом его подстерегли пострадавшие пользователи сайта, избили и выбили все зубы 🦷 Уходя, они забрали зубы с собой, заявив, что идентифицируют себя как зубных фей 🧚
Мораль: не важно как ты себя идентифицируешь, важно, на месте у тебя зубы или нет какая у тебя аутентификация.
ЗЫ. Любые совпадения с реальными историями и персонажами случайны!
Многие компании сейчас не испытывают острой необходимости в найме директора по информационной безопасности 😎 (хотя многим и требуется замгендира по ИБ, но отношение к этой роли небизнесовое, а скорее "для галочки"), но им важно заранее определить роль CISO, включая планы по развитию нынешнего руководителя службы ИБ до уровня квалифицированного CISO 🧐 Данный подход предполагает формирование образа "идеального" CISO. Почему именно "идеального", а не просто "оптимального"? Потому что современный CISO должен быть мастером на все руки, совмещая в себе множество компетенций — своего рода "целое стадо единорогов". Этот профиль часто оказывается слишком амбициозным и служит скорее основой для обсуждения роли CISO и его команды, чем реальной инструкцией к действию 🫡
Поиск идеального CISO представляет собой серьёзную задачу 🔍 Для выполнения этой роли необходим крайне специфический набор навыков, а количество специалистов, соответствующих этим критериям, минимально. Более того, вероятность того, что такой специалист окажется доступным для найма и будет готов присоединиться к конкретной компании, практически равна нулю 🥲
В таких условиях компаниям стоит быть гибкими и готовыми рассматривать возможность привлечения внешнего кандидата, что вполне разумно для любой руководящей позиции. Однако зачастую внутри компании уже есть руководитель службы безопасности, обладающий частью необходимых навыков и глубоким пониманием внутренних процессов. Этот специалист может стать отличной основой для формирования "идеального" CISO в будущем, если инвестировать в его развитие.
Что же такое "идеальный CISO"? Ниже 👇 вы найдете описание такой роли.
10 вещей, которые специалист по кибербезопасности должен успеть сделать до Нового года: 🔥
1️⃣ Провести инвентаризацию активов. Убедитесь, что все учетные записи, устройства, и системы учтены, а неиспользуемые или устаревшие отключены. Это как генеральная уборка, но в киберпространстве ❔
2️⃣ Пересмотреть правила паролей. Обновите свои пароли и убедитесь, что коллеги делают то же самое. В Новый год с новым паролем. И никакого password2025!, лучше уж KerfwrbqUtybqRfrJyDctEcgtdftn (вы же прочитали, что там зашифровано?) 😉
3️⃣ Проверить резервные копии. Перепроверьте, что резервные копии работают корректно, а восстановление данных занимает меньше времени, чем приготовление оливье 🎄
4️⃣ Настроить праздничный автоответчик на почте. "Я вне офиса, но хакеры пусть знают, что я всегда на страже!" Не забудьте чувство юмора и будьте вежливыми 🧑💻
5️⃣ Заручиться поддержкой руководства на будущий бюджет. Убедите топ-менеджмент в важности инвестиций в кибербезопасность. Используйте фразу: "Сколько стоит незащищенный Новый год?" 🙏
6️⃣ Устроить праздничную фишинговую атаку. Проведите шуточное фишинговое тестирование среди сотрудников с забавным сценарием. Например, письмо с темой "Срочно: Премия за лучший рождественский свитер!" 😎
7️⃣ Обновить системы и патчи. Убедитесь, что все обновления установлены, чтобы не оставлять уязвимостей для хакеров, которые тоже любят "подарки" 🫡
8️⃣ Написать письмо Деду Морозу. Попросите стабильности в IT-системах, защиты от ransomware, умных пользователей, которые не кликают на подозрительные ссылки, а также снижения ключевой ставки 👍
9️⃣ Создать чек-лист кибербезопасности для друзей и семьи. Помогите близким защитить их гаджеты и аккаунты. Ведь Новый год — это время заботы 🥰
1️⃣0️⃣ Устроить "киберелку". Организуйте командное мероприятие с коллегами: квест или викторину на тему кибербезопасности. Обязательно наградите победителей сувенирами в виде флешек и антивирусных лицензий, даже если они уже и не нужны! 🤣
Две тенденции вижу я. CAPTCHA становится сложнее. И это вам не "вертикальные реки" выбирать даже 🤔 И не краски осени. Сначала появилась свинья, которую надо было тыкать пальцами в жопу, потом вот такое 🤔 Теперь очередная напасть - надо понять, что имел ввиду художник, совместив две части картины 🤔 Хорошо, что они Кандинского или еще какого абстракциониста не выбрали в качестве примера 🤔
Вторая тенденция печальнее - такие капчи стали "поднимать" при заходе на сайт 🖥 Я еще главной страницы не увидел, а у меня уже челендж, который бывает сложно со смартфона в машине пройти 🤦♂️ 3-4 раза ошибся и все, желание посещать сайт пропадает. Интересно будет как-нибудь увидеть цифры потерь от ухода клиентов, не поборовших механизм защиты сайта от них. Ой, не от них, а от хакеров, ведь такую капчу включают для защиты от плохих парней, которые увеличили число атак на российские компании. И сравнить цифры потерь от атак с цифрами потерь от ухода клиентов 🤠 И какой результат будет хуже 🤔
Интересный кейс коллега и товарищ скинул. Если вкратце, то история такая (ею поделился руководитель компании на своем канале YouTube). Интернет-магазин по продаже премиальных гитар 🎸, в том числе и очень дорогих, столкнулись с DDoS-атакой, за которой последовал взлом сайта 🔓 После было проникновение в админку магазина, набор в корзину музыкальных инструментов стоимостью по 300-700 тысяч рублей, обнуление цены, и добавление мелких товаров на несколько сотен рублей 🛒 После была осуществлена оплата пяти заказов, реальная стоимость которых составляет под десяток миллионов, а фактическая - всего пару тысяч рублей. Увидев утром такую ситуацию, владельцы магазина обнулили заказы и думали, что на этом можно расслабиться, но не тут-то было 🤷♀️
На следующий день от "разгневанных" клиентов, чьи заказы были обнулены, стали поступать претензии и угрозы 😠 Позже прилетело предписание из Роспотребнадзора (в одностороннем порядке заказ нельзя аннулировать - закон это запрещает). Затем был суд и претензии со стороны коллекторов 😈 Гитарные боссы подали кучу жалоб в прокуратуру, Роспотребнадзор, полицию, но все безрезультатно, - жалобы были остановлены без движения.
История пока продолжается. А я хотел бы обратить внимание на ряд моментов:
1️⃣ Я не судья, но налицо явное мошенничество, которое начиналось с обычной DDoS-атаки (хотя у меня нет полной уверенности, что DDoS связан с последующими событиями), а затем продолжилось взломом админки сайта по продаже гитар 🎸
2️⃣ Схема извлечения прибыли из атаки не быстрая, но достаточно эффективная, показывающая знание российского правоприменения 🇷🇺 Пока следствие да суд встанут на сторону пострадавших, коллекторы и Роспотребнадзор выжмут из них по максимуму. И если у них нет серьезной финансовой подушки, то там и до недопустимого события банкротства недалеко 🤑
3️⃣ Нечасто жертвы придают огласке такие кейсы. Руководитель признает, что у них не было нормальной ИБ (похоже и ИТ не было), что и послужило причиной взлома 🤔 Кстати, в данном кейсе даже навороченной системы защиты не надо было иметь. Достаточно было внедрить многофакторку на админку CMS, настроить права доступа к папкам и файлам сайта, выбрать надежный пароль к админке и к СУБД и выполнить еще ряд несложных настроек по ИТ-харденингу 🖥 Но увы...
13 лет прошло, угроза только растет 😊 На многих закрытых мероприятиях, куда меня заносит судьба, служба или призвание, многие выступающие перед началом своих выступлений внимательно смотрят на меня и говорят: "Алексей, вот этого писать у себя не надо!" Забавные люди. Если бы я писал все, что знаю, за мной бы уже давно пришло и забрали бы прям в процессе написания очере
Читать полностью…Вчера, на курсе по моделированию угроз, обсуждая методику ФСТЭК, меня спросили:
А кибератака от имени ИИ может ли быть отнесена к антропогенному источнику? 😡
Ничего святого у русских хакеров из «Святой лиги» - пивную Хугарден ddos’ят 🍺 Главное, чтобы коньячные заводы и винокурни не трогали 🥃 А то на молоко переходить придется 🍼
Читать полностью…Один раз - случайность, два раза - совпадение, три - закономерность. Есть такая поговорка. И вот на российском рынке ИБ у нас произошло совпадение. Сначала, разделилась ➗ компания Group-IB. Ее российская часть стала называться F.A.C.C.T. и предоставлять продукты и услуги только в нашей стране, а международный бизнес ушел целиком в Group-IB с штаб-квартирой в Сингапуре 🇸🇬 Компании разошлись окончательно и поделили технологии и интеллектуальную собственность. А затем часть активов F.A.C.C.T. была передана в новую компанию, созданную фондом Cyberus и частными инвесторами 🫴
В ноябре этого года другая ИБ-компания, QRator Labs, приняла решение о разделении на два бизнеса ➗ международный, с штаб-квартирой в Праге, который продолжил носить привычное имя, и чисто российский, названный Curator. У компания разные руководители и разные ассортименты продуктов 👫 Правда, есть некое лукавство в этом. Curator не скрывает своего российского происхождения 🇷🇺, но историю свою отсчитывает с момента основания QRator, просто поменяв все упоминания QRator в пресс-релизах и новостях на новое имя, что выглядит странновато.
А вот сам QRator у себя на сайте не упоминает свои российские корни в принципе, убрав их из истории компании 🇨🇿 (хотя если сделать сквозной поиск по сайту, то всякое вылезает). Вопрос разделение интеллектуальной собственности и мощностей по фильтрации остается открытым 🤔
Интересно, кто будет следующий, чтобы это превратилось в закономерность?