alukatsky | Технологии

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Подписаться на канал

Пост Лукацкого

Есть на RSA такой ежегодный конкурс - Innovation Sandbox, этакий смотр стартапов 🆕 по ИБ, в финалисты которого попадают те, кого солидное жюри выделило с точки зрения "перспективно и инновационно". Финалистов всего 10, но очевидно, что стартапов в США намного больше. Поэтому, как я заметил за долгие годы посещения, а потом и наблюдения за RSA Innovation Sandbox, побеждают 🏆 далеко не всегда самые достойные, а те, кто смог лучше всего запитчить жюри. Ну а в целом финалисты отражают скорее общее направление развития американского рынка ИБ - автоматизация, ИИ, облака, защита данных.

10 финалистов крупнейшей мировой выставки достижений ИБ-хозяйства этого года:
1️⃣ Aembit - облачное управление идентификацией и аутентификацией
2️⃣ Antimatter - инфраструктура шифрования данных для SaaS-провайдеров
3️⃣ Bedrock - управление защитой данных, включая облачные среды и GenAI-сервисы
4️⃣ DropzoneAI - автоматизация операций ИБ
5️⃣ Harmonic - нечто про безопасность ИИ-приложений и сервисов (очень мало деталей)
6️⃣ Mitiga - автоматизация расследования и реагирования в облаках
7️⃣ P0 Security - защита доступа и настройки прав при доступе к облакам
8️⃣ RAD Security - ранее назывались Kubernetes Security Operations Center и занимались кубером. Теперь сфокусировались на обнаружении и реагировании на аномалии в облаках
9️⃣ Reality Defender - ИИ-обнаружение дипфейков
1️⃣0️⃣ VulnCheck - занимается vulnerability intelligence и приоритизацией уязвимостей

Ссылок давать не буду - все равно у нас они недоступны. Но как направление...

ЗЫ. Кстати, у нас на PHD2 будет отдельная дискуссия про будущее российских вендоров ИБ, перспективные направления этого рынка и все такое.

Читать полностью…

Пост Лукацкого

Несмотря на то, что сейчас идет RSAC, а через пару недель начнется PHDays, я еще не закрыл тему с GISEC. Выложу просто нарезку разных стендов с этой ИБ-выставки (еще парочка видео и на этом мои монтажёрские опыты закончатся) 😱

Читать полностью…

Пост Лукацкого

В России представили первую дорожную карту по ИИ для ИБ‑специалистов 🗺. Если вам эта тема интересна, то у одного из авторов карты есть свой канал про ИБ ИИ. Также не могу не сказать, что на PHD2 (23-26 мая) у нас будет отдельный трек по связки ИБ и ИИ, а также отдельные выступления и дискуссии по этой теме в рамках бизнес-трека. Кроме того, 27 мая в Москве пройдет 2-й форум "Технологии доверенного искусственного интеллекта". Самое время прокачаться в этой области 🧠

Читать полностью…

Пост Лукацкого

7 мая 1983 года, в фильме “Военные игры” впервые использовали термин firewall 🤬 так, как мы его сейчас и применяем! Так что снова с праздником 🎆 4️⃣1️⃣ годик 👍

Читать полностью…

Пост Лукацкого

Когда все жалуются на пробки на отечественных мероприятиях по ИБ, вы еще не видели, что ждет участников RSA Conference, которая началась 3 минуты назад. Некие новые индустриальные стандарты безопасности, требуют дополнительный скрининг фотоаппаратов, зонтов, визитниц, чехлов для очков и даже таблетниц 👀

Читать полностью…

Пост Лукацкого

Начнем с некоторых дат 🗓:
10 августа 2020 - появляется группировка DarkSide 🕶
7 мая 2021 - DarkSide взламывает Colonial Pipeline 🛢
8 мая 2021 - Colonial Pipeline платит выкуп 🤑
13 мая 2021 - DarkSide прекращает все свои операции 🤒
31 июля 2021 - появляется группировка BlackMatter
1 ноября 2021 - BlackMatter прекращает все свои операции 🤒
21 ноября 2021 - появляется группировка BlackCat 🐈‍⬛
2 февраля 2024 - RansomHub анонсирует новый сервис RaaS 🔈
21 февраля 2024 - BlackCat атакует Change Healthcare 🐈‍⬛
1 марта 2024 - Change Healthcare выплачивает выкуп 🤑
5 марта 2024 - BlackCat прекращает все свои операции 🤒
8 апреля 2024 - RansomHub заявляет, что у них все данные, украденные у Change Healthcare

Группировки, скрывающиеся под именами DarkSide, BlackCat, BlackMatter (не путать с BlackBasta) исчезали с радаров после шумных взломов, которые становились серьезной проблемой национального масштаба в США и привлекали ненужное внимание к деятельности группировки ❗️

У экспертов есть подозрение, что это все одна и та же группировка, которая сейчас активно наращивает возможности и восстанавливает инфраструктуру. Возможно, RansomHub - это временное название перед тем, как будет выбрано что-то темное с приставкой Dark или Black. Подождем 😲 А пока Евросоюз решил наложить санкции на группировку APT28, за которой, как считают, стоит Россия 😏

Читать полностью…

Пост Лукацкого

Никогда такого не было и вот снова - немецкие военные забыли правильно сконфигурировать систему видеоконференций Cisco Webex 🤦‍♂️ и выставили на всеобщее обозрение тысячи записей прошедших встреч, в том числе и с секретной информацией 😠

ЗЫ. Спасибо подписчику за ссылку 🤗

Читать полностью…

Пост Лукацкого

И еще один альянс, в который входят разные группировки, в том числе и другие альянсы (например, Cyber Team Indonesia, состоящая из более чем десятка других группировок). В этой истории интересно не то, как тасуются группировки, входящие то в один, то в другой альянс 🤗, а сам факт консолидации усилий, когда ранее разрозненные группировки начинают обмениваться целями, тактиками, координируют свои действия. Это, прям, интересный поворот в развитии компьютерного подполья. Посмотрим, куда это дальше все пойдет 🧐

ЗЫ. У нас на бизнес-треке PHD2, кстати, в последний день будет несколько докладов на тему кибервойн, киберпреступности, черного рынка ИБ и т.п.

Читать полностью…

Пост Лукацкого

Во времена Холодной войны, так и хочется добавить «Первой», американские моряки пытались разработать способ защищенной коммуникации для подлодок 🤿, основанный на звуках, издаваемых китами, дельфинами, морскими львами и другими морскими животными 🐋

Почти 20 лет шли исследования и эксперименты, которые закончились… ничем. И технологии на тот момент были неспособны решить задачу, и, как утверждают морские биологи 👩‍🔬, она в принципе нерешаема.

Похоже у американцев свой Амвросий Амбруазович Выбегалло 😐 из «Понедельник начинается в субботу» Стругацких был. «Наш», правда, речь обезьян 🙊 записывал и расшифровывал…

Однако, само направление мысли 💭 интересное 💡

Читать полностью…

Пост Лукацкого

А такими мне запомнились "рукастые" активности 🤹‍♂️ на GISEC - киберучения, различные лабы, киберполигон, который никто не ломает, но выглядит он красиво 🎪, Escape Room и все такое

Читать полностью…

Пост Лукацкого

У вас есть умный дом? 🏡 если вдруг у вас внезапно погас в нем свет 💡, не спешите звонить в Россети ⚡️ Возможно его атаковали хакеры, о чем они стали писать в своих каналах ✍️

На майских праздниках, в перерыве между шашлыком и копанием грядок впору глянуть в документацию на «умный дом» и поменять пароли и порты, заданные по умолчанию, в т.ч. и в облачных админках, а также настроить автоматическое обновление ПО и прошивок ☝️

Читать полностью…

Пост Лукацкого

Когда уведомление об инциденте вы получаете в виде обычного, а не электронного письма 📨, то не значит ли это, что и email у жертвы накрылся медным тазом? Но у нее осталась база клиентов, что уже неплохо 😎 Во всем надо видеть позитив (даже в красном прямоугольнике сверху 🥰)

Читать полностью…

Пост Лукацкого

В Даркнете продается доступ к админским панелям 3000 (!) Fortinet’ов, скорее всего с непатченными уязвимостями в SSL VPN, и позволившими получить несанкционированный доступ. Причем уже не в первый раз Fortinet оправдывает свое неформальное название «форточки», через которые хакеры пролезают внутрь инфраструктуры. Так они скоро подвинут Ivanti с пьедестала (сейчас они на втором месте по числу активно эксплуатируемых уязвимостей).

- Вы еще не поменяли чужестраный NGFW?
- Тогда хакеры идут к вам (если уже не пришли)

Читать полностью…

Пост Лукацкого

Запись эфира подкаста "Безопасно говоря" от Яндекс.Облака про безопасность в облаках 🌩, в котором мне довелось поучаствовать и где меня и Муслима Меджлумова назвали мастодонтами рынка ИБ 🦣

Читать полностью…

Пост Лукацкого

Наконец, MITRE завершает поддержку TAXII 2.0, переходя на 2.1, что позволит расширить возможности ATT&CK Navigator и Workbench (для описания собственных компонентов, отсутствующих в оригинальной матрице). Из других планов:
1️⃣ Расширения числа техник для Linux и macOS
2️⃣ Фокусировка на облаках и контейнерах
3️⃣ Сдвиг в сторону описания логики обнаружения в формат, приближенный к современным SIEM
4️⃣ Появление подтехник для АСУ ТП версии матрицы
5️⃣ ATT&CK Navigator, Workbench и сам сайт будут переработаны для большего удобства и эффективной работы с группировками, вредоносами и кампаниями
6️⃣ Планируется развитие сообщества ATT&CK в Европе и Азии
7️⃣ Пересмотр подхода к описанию мер отражения атак, чтобы он был более практичным и применим различными средствами защиты за счет описания не только в формате Splunk, но и за счет добавления конкретных идентификаторов событий, например, для платформы, Windows.

Читать полностью…

Пост Лукацкого

Знаете ли вы, что если сложить всех вендоров, которые находятся во всех двух с половиной десятков магических квадратов 🎮 Gartner по ИБ, то наберется 144 компании. При этом только в мире, на который и работает Gartner (Америка и Европа), 3750+ вендоров ИБ. То есть Gartner описывает всего 4% игроков своей целевого рынка. А в одном только Китае 🇨🇳 еще столько же ИБ-компаний, которые Gartner вообще не учитывает даже в отчетах Cool Vendors.

Можно было бы предположить, что Gartner включает в список только лидеров с большой клиентской базой, оборотами, показывающими постоянный рост, но и это не так. Например, вы не увидите в квадратах Gartner таких единорогов 🦄, как Wiz (оценка в 10 ярдов), Tanium (9 ярдов), Lacework (8 ярдов), Fireblocks (8 ярдов), 1Password (почти 7 ярдов), Socure, Abnormal Security, Arctic Wolf, Illumio, Transmit Security. Последние пять имеют оценку меньше 5, но больше 1 миллиарда долларов. 🟥 я бы тоже включил в этот список (тем более, что PT раньше был в магических квадратах Gartner ☝️) с оценкой более двух миллиардов долларов (правда, PT не единорог 🦄, так как является публичной компанией).

Вот и как после этого ориентироваться на Gartner? Не хочу ставить под сомнение их аналитику, тем более, что у них есть неплохие исследования, но и строить на ней процесс принятия решений я бы не стал. Тем самым CISO ограничивают себя в огромном количестве игроков, которые могли бы решить проблему заказчиков более эффективно. А для России ориентироваться так и вовсе уже странно... 💡

Читать полностью…

Пост Лукацкого

Шутки про "киберимунные ИИ-системы на базе блокчейна для защиты данных в построенных на ИИ бизнес-приложениях от ИИ-атак" шутками, но на RSAC и правда много все вокруг искусственного интеллекта. Вот только некоторые из представленных решений:
🧠 AISIRT (AI Security Incident Response Team) от Университета Карнеги-Меллона, прародителя CERT/CC. Ребяты встроили управление инцидентами с ИИ в общие процессы CSIRT. Скоро во всех SOCах страны...
🧠 Включение функции обнаружения и реагирования в решения класса SaaS Security Posture Management (SSPM) применительно к ИИ-приложениям
🧠 Ассистент Deep Instinct’s Artificial Neural Network Assistant (DIANNA), который помогает разбираться в неизвестных угрозах (этакий co-pilot для реверс-инжиниринга)
🧠 Generative AI Security Scanner
🧠 DLP для разных GenAI тулов для отслеживания конфиденциальной информации, которую используют в ChatGPT и всяких иных инструментах GenAI
🧠 AI-based Cyber Resiliency as a Service (CRaaS) - обычный анализ прилетающей телеметрии с помощью ИИ (тут больше маркетинга, чем чего-то нового)
🧠 Различные LLM Firewall, которые, как и CASB, включают в себя кучу разных фич от разных технологий (контроль доступа, Zero Trust, DLP и т.п.), но применительно к LLM-сервисам.

Особенно мне понравилось в описании одного продукта полное ИИ-булшит-бинго: "...uses statistical analysis, machine learning, and generative AI, including LLM and NLP models". А используется это все многообразие для анализа купленных компанией стека технологий ИБ и поиска слабых мест в архитектуре кибербезопасности организации. Хотел бы я посмотреть на это чудо 😎

Ну и у каждого второго реализовано обнаружение угроз с помощью ИИ, а у каждого первого - ИИ-ассистент для аналитиков ИБ. Как я и упоминал после GISEC, если у вас в продукте нет ИИ, то делать на международке вам нечего 🖕

Читать полностью…

Пост Лукацкого

Как вы знаете, грядущий PHD2 пройдет в космической стилистике. И это не только потому, что весной празднуется 90-летие со дня рождения Юрия Гагарина 👨🏻‍🚀. Космос становится новой ареной кибербитв и число атак на спутники, космические аппараты, центры управления полетами и т.п. только растет (вот только некоторые примеры). Но сейчас не про PHD (хотя про атаки на космос там тоже будут выступления) 🛰

Американская Счетная палата завершила аудит трех проектов NASA (Gateway Power and Propulsion Element, the Orion Multi-Purpose Crew Vehicle, and the Spectro-Photometer for the History of the Universe, Epoch of Reionization and Ices Explorer (SPHEREx) и обнаружила, что, с одной стороны, NASA требовала от всех подрядчиков соблюдения требований по ИБ 👍, а с другой - выпущенный в 2019-м году стандарт по ИБ космических систем в этих требованиях не учтен, а выпущенные в прошлом декабре лучшие практики по безопасности космических систем остаются рекомендуемыми, а не обязательными 👀

NASA в своем ответе согласилось с предложениями Счетной Палаты, но при этом отметило, что есть два нюанса:
🚀 NASA запускает совершенно разные космические аппараты - от малых спутников до управляемых шатлов с людьми, и поэтому требования не могут быть едиными.
🚀 Вычислительная техника, используемая в космосе, отличается от земной, и поэтому ряд технических решений по ИБ нетривиально.

Но в целом интересно, что Счетная Палата проводит анализ защищенности не только корпоративных систем или АСУ ТП, но и достаточно сложных проектов, таких как космические.

Читать полностью…

Пост Лукацкого

Если вы думаете о резервном способе аутентификации 👣 на смартфоне на случай забывчивости пароля, потери пальцев или перекошенного с перепоя от укуса пчелы лица, то подумайте об использовании биометрии своих питомцев, которые всегда под рукой 🐹

Спасибо подписчику за видео!

Читать полностью…

Пост Лукацкого

Хакер 👨‍💻 - это призвание или результат воспитания/обучения? Вопрос философский. Скорее все-таки призвание. А вот переход на черную или белую сторону - это уже воспитание. Так начинается статья с рассказом о Кевине О'Конноре, который со средней школы был хакером, потом, уже в университете, учился на аналитика ЦРУ, а потом, после ряда бесед с сотрудниками АНБ, он попал в их ряды, став "государственным хакером" 🫡, как он сам говорит.

Дальше идет рассказ о том, что большинство хакеров - нейродивергенты, нейроразнообразные люди, у которых работа мозга отличается 🤯 от большинства людей. Аутисты, дислексики, люди с синдромом дефицита внимания (ADHD) или синдромом Аспергера и т.п. часто являются хакерами по своей сути. Сейчас герой статьи покинул АНБ и занимает руководящую компанию в одной из американских ИБ-компаний 🤵🏻

И надо сказать, что это не то, чтобы редкий пример развития карьеры тех, кто начинал как хакер, а затем перешел в иную весовую категорию, вплоть до руководства собственной компанией. У нас на PHD2 будет даже отдельная дискуссия "Из хакера в гендиры", посвященная этой теме, в которой примут участие владельцы отечественных ИБ-бизнесов, которые стартовали свои карьеры с технических позиций. Так что если вы 🫵 видите себя в костюме, за дубовым столом и со своей секретаршей в роли директора, то приходите послушать лайфхаки.

Главное не идти по пути Ярослава Васинского, украинского хакера, участника группировки REvil (Sodinokibi), которого в 2021-м году задержали в Польше и на днях приговорили к 13-ти годам заключения в американской тюрьме 😡 за его роль в вымогательстве 700 миллионов долларов. Он стартовал свою "карьеру" примерно также как и Кевин, в средней школе (ему было 15 лет), но потом пошел по наклонной (видимо, с ним не проводили беседу сотрудники АНБ и не направили на путь истинный). Участие в арбитраже, собственный спамерский бизнес, а затем и "работа" в REvil, атака на Kaseya (до сих пор считается крупнейшим требованием выкупа в 70 миллионов долларов) 🤑

Каждому свое...

Читать полностью…

Пост Лукацкого

Сегодня начинается RSA Conference 2024, где я тоже участвую. Буду потихоньку постить всякое оттуда. Начну вот с распределения представленных вендоров по типам средств защиты. В тройку входят, как можно легко заметить, облачная безопасность, управление рисками и compliance, а также сетевая безопасность. Защита данных и SecOps замыкают пятерку лидеров. Интересно, что в России распределение игроков, если бы вдруг у нас проводилась выставка по ИБ, было бы иным. Ни облака, ни управление рисками не вошли бы даже в пятерку.

Всего на RSAC будет представлено более 640 производителей, если верить самому сайту, или 425, если верить независимым компаниям, занимающимся аналитикой рынка ИБ (правда, 425 без учета консультантов, сервисных компаний, реселлеров и дистрибьюторов). В любом случае это меньше, чем еще лет 10 назад; тогда было под тысячу игроков. К слову, на GISEC было по официальным данным около 750 брендов, хотя мне казалось, что изначально речь шла о 500+ компаний. Видимо, все накручивают 😊

Если не брать в расчет, что каждый второй будет рассказывать про ИИ в своих решениях (а кто-то и вовсе будет представлять ИБ с ИИ для защиты ИИ-приложений от растущего числа атак на базе ИИ), то есть и интересные решения. Например, центр сертификации и аттестации от Legit Security, который позволит, если верить анонсу, быстро тестировать свои решения на соответствие SLSA, PCI DSS, SOC2 и ISO 27001. А Halcyon вместо новых продуктов решил представить программу Halcyon’s Ransomware Warranty, которая, нет, не гарантирует защиту от шифровальщиков, а предполагает сервис реагирования и восстановления в случае обхода защитных механизмов решений Halcyon. Что тут нового, непонятно, но маркетинг есть маркетинг. А вот Commvault предложит Cloud Cleanroom Recovery, этакую изолированную комнату, которая позволяет тестировать разные сценарии ИБ, новые угрозы и т.п.

ЗЫ. И кстати, в этом году PaloAlto отказалась от участия в RSAC. Чуть ли не впервые в своей истории. И курс акций за последние 3 месяца упал на 22%. Что-то назревает?..

Читать полностью…

Пост Лукацкого

В России около 5,3 миллионов сайтов в домене .ru и около 0,7 миллиона в .рф. Если итальянские 🇮🇹 анонимусы дефейсят по 4-6 сайтов в день, то они себя обеспечили работой надолго. Правда, толку от взлома таких сайтов немного. Но чем бы дитя не тешилось… 🐵

Читать полностью…

Пост Лукацкого

И снова очередной альянс российских хакерских группировок 🧤🤗

ЗЫ. Как по мне, так это не 424, а 929. А щит вообще странновато размещен, в паху. Но зато исконно русский маскот, хоть и безликий и черный

ЗЗЫ. Интересно, в слове "благотварительный" ошибка сделана осознанно? Как и в то ли Shield, то ли Sheld.

Читать полностью…

Пост Лукацкого

С днем шифровальщика! 🎆 Но не того, который вымогает, а того, который защищает!

ЗЫ. Военных шифровальщиков я, как и полагается, поздравлю в ноябре! А то они обижаются, что их поздравляют в мае ☹️

Читать полностью…

Пост Лукацкого

Вот почему все, как один, вдруг решили разродиться бюллютенями и заявлениями о русской киберугрозе: 🔈
🔤 1 мая американские АНБ, CISA, ФБР, МинЭнерго, Минсельхоз, Агентство по охране окружающей среды, MS-ISAC, а также канадский и английский центры кибербезопасности публикуют бюллетень о русской киберугрозе системам водоснабжения и канализации 🚰
🔤 3 мая Правительство Германии (при поддержке Евросоюза, НАТО и неназванных международных партнеров) публикует заявление о том, что APT28 осуществила атаки на ряд немецких политических партий и что за этим стоит Россия 🇷🇺
🔤 3 мая Министерство иностранных дел Чехии публикует схожее заявление про "русских хакеров" 🆕
🔤 3 мая ДССТЗИ Украины публикует отчет о российских кибероперациях во второй половине 2023-го года 🛡

Если посмотреть на временную шкалу публикаций, то еще и статус "заявителей" хорошо показывается - кто первый пишет, кто второй, кто третий, кто в арьергарде мировой политики. Вряд ли же это связано с грядущими Днем Победы и инаугурацией? Как говорил Жванецкий: "Тщательнее надо, ребята" (с)

Читать полностью…

Пост Лукацкого

🌺 Хотя на календаре еще весна, «Позитивное лето кибербезопасности» уже в самом разгаре

Где?

В «Гранд Макет Россия» в Санкт-Петербурге. С начала мая и до конца августа именно там остановился гость с далекой планеты Posiland — ее главный специалист по кибербезопасности.

Вместе с ним вы сможете не только посмотреть разные уголки нашей страны, но и прокачать азы своей цифровой грамотности — узнать, что такое кибербезопасность и как защитить себя не только в физическом, но и в виртуальном мире.

Как?

Приходите в «Гранд Макет Россия», сканируйте QR-код и принимайте участие в увлекательном квесте, где вы сможете одновременно проверить, насколько хорошо ориентируетесь в мире кибербезопасности, и узнать, как защититься от мошенников.

Каждому участнику — приятный бонус, промокод, которым можно воспользоваться на выходе, чтобы на интерактивной стойке сделать фото на память с необычным гостем.

И пусть любое время года будет для вас кибербезопасным!

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Небольшой видео-обзор зоны ИБ-стартапов на GISEC. Ну какие стартапы, такой и обзор 😊 На самом деле хорошо, что всем этим игрокам дали пару квадратов стандартной застройки, чтобы показать себя потенциальным покупателям 🤑

Я немного задержался на питч-сессии, где перед весомым жюри надо было выступать, "продавая" свое детище 🙊 Из того, что я услышал, не зашло ничего. Классическая проблема большинства технарей, решивших, что они все познали, знают боли клиентов и могут заработать на этом много денежек 🤑

Увы, нечеткая речь, отсутствие понимания проблем заказчика (хотя, казалось бы), неумение четко и кратко доносить свою мысль, а самое главное, - нежелание встать на место слушающего. Рассказать "почему я такой крутой" может быть и можно научиться, а вот рассказать "зачем я вам таким крутым" - мало у кого получается... Зато квантово-имунная система защиты данных на базе ИИ следующего поколения у каждого второго 🤦‍♂️

Читать полностью…

Пост Лукацкого

Проблемы с американской базой уязвимостей NVD продолжаются. NIST пытается их как-то решить, но пока получается не очень. Руки доходят 👻 только до критических уязвимостей и то не всех. При этом балканизация Интернет усиливается и NVD уже не может считаться единым для всех источников уязвимостей (хотя когда он считался?). Российских 🇷🇺 продуктов там нет и вряд ли уже будет. Китайских 🇨🇳 тоже. Да и с CVE тоже свои сложности - он присваивается далеко не всем даже забугорщиной.

В итоге возникает закономерный вопрос - а что делать? Про это тоже попробуем поговорить на PHD2 с представителями разработчиков сканеров безопасности, вендоров, БДУ ФСТЭК... А пока вопрос не решился хотя с трендовыми уязвимостями стоит разобраться и выстроить процесс их обнаружения и устранения. Потом можно и к ежечасно обновляемому списку опасных уязвимостей перейти, а потом уже и дальше...

Читать полностью…

Пост Лукацкого

В японской 🇯🇵 префектуре Фукуи полиция придумала нестандартный ход - они стали размещать в магазинах платежные карты «Удаление вируса/троянского коня» и «Неоплаченный выкуп» («Virus/Trojan horse removal fee payment card» и «Unpaid charges/delinquent charges payment card»), выявляя тем самым… нет не кибермошенников, а их жертв 💡

Когда кто-то покупает 🛒 такую карту, полиция сразу уведомляется. Пишут, что таким образом спасли несколько пожилых 🍜 японцев, которые чуть не стали жертвами вымогателей.

Данных по эффективности этого метода нет, но полицейские, придумавшие его, получили повышение 🫡 Наши полицейские тоже на выдумки сильны!

Читать полностью…

Пост Лукацкого

🆕 23 апреля, не нарушая традиций, MITRE выпустила новое обновление матрицы ATT&CK, сфокусировавшись на том, что нужно обнаруживать и как это сделать наиболее эффективно. С точки зрения цифр, было добавлено 12 техник в Enterprise-матрицу, 5 - в "мобильную" версию и 2 - в версию для АСУ ТП, а также 34 новых вредоносов (29 для корпоративной и 5 для мобилок), 13 новых группировок 👨‍👨‍👦‍👦 (7, 5 и 1 соответственно) и 9 новых хакерских кампаний. Всего в 15-ю версию MITRE ATT&CK теперь включено 14 техник (по 12 для мобильной и АСУ ТП версий), 368 техник, 481 подтехника (в 16-й версии добавят подтехники и для АСУ ТП версии), 152 группировки, 794 вредоноса и 30 кампаний. Добавления были и российских компаний, но без их упоминания (геополитика-с) 🔢

Следуя трендам были добавлены новые техники, связанные с компрометацией сетевых устройств (T1584.008), Fortinet, привет, а также с применением искусственного интеллекта 🧠 (T1588.007). Множество техник было модифицировано под влиянием новых кейсов, зафиксированных за последнее время (особенно в контексте взломов облаков).

В отличие от прошлой версии, в которую добавили псевдокод, демонстрирующий способ описание детекта техники, в новой версии от него отказались, посчитав достаточно сложным для восприятия. Но сама идея была правильная, поэтому в 15-й версии псевдокод поменяли на язык запросов, схожий со Splunk'овским.

(source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode="1") OR (source="WinEventLog:Security" EventCode="4688" )
( (CommandLine="reg" CommandLine="add" CommandLine="/d" ) OR ((CommandLine="Set-ItemProperty" OR CommandLine="New-ItemProperty") AND CommandLine="-value" )) CommandLine=" Microsoft \Windows NI\CurrentVersion|Winlogon" (CommandLine="Userinit" OR CommandIine="Shell" OR CommandLine="Notify")

Читать полностью…
Подписаться на канал