Пост Лукацкого

03 января 2025 19:08

А вы когда целуетесь, закрываете глаза? 👀 На самом деле и этот вопрос тоже имеет отношение к ИБ. В одном исследовании психологи выяснили, что женщины и мужчины часто закрывают глаза во время поцелуя 👨‍❤️‍💋‍👨 потому, что глаза мешают нашему мозгу полностью обрабатывать тактильные ощущения, возникающие при касании губ, и тем самым притупляют их, заставляя наше чувство осязания уйти на задний план 😚

Исследователи сделали вывод, что системы безопасности, использующие именно "тактильный" канал передачи сигналов тревоги (например, вибрацию телефона 📳), могут привести к их пропуску, если в данный момент человек, который этот сигнал получает, концентрируется на экране/мониторе (актуально для аналитиков SOC, специалистов ситуационных центров и т.п.) ✨

Точно такая же проблема, называемая психологической слепотой 🧑‍🦯 (я о ней писал в 2017 году), происходит когда мы сосредотачиваем усилия на наблюдениях за чем-то, что полностью засасывает нас и наше внимание, и это может сделать остальные объекты незаметными, а иногда и неслышимыми для нас 🙉

ЗЫ. Вывод: хотите продлить удовольствие во время секса - не закрывайте глаза! увеличить шансы, что аналитики SOC не пропустят важный сигнал тревоги - используйте разные органы чувств каналы коммуникаций - визуальный, тактильный, слуховой (вкус и обоняние пока в деятельности ИБ не задействуются) 📟

Пост Лукацкого

03 января 2025 08:27

Кто-то с ужасом ждет вступления в силу закона об оборотных штрафах, кто-то потирает руки, уже подсчитывая барыши от продаж очередных проектов по 152-ФЗ. Ну я решил посмотреть на это с точки зрения иностранного бизнеса, который уже не первый год живет в схожих условиях и уже накопил интересные цифры, к которым можно присмотреться:

1️⃣ 63% организаций планируют включить потенциальные штрафы и расходы на инциденты с данными в стоимость своих продуктов и услуг, подняв их для клиентов. В прошлом году таких компаний было на 10,5% меньше.

2️⃣ В 2024 году среднее время восстановления после инцидентов с данными составило 7,3 месяца, что на 25% больше ожидаемого времени. Для компаний, планирующих урезание бюджетов ИБ, этот показатель еще хуже - 10,9 месяцев.

3️⃣ 94% компаний, столкнувшихся с действиями шифровальщиков, привели не только к утечке данных, но и в 94% к простоям бизнеса, а в 40% к его остановке.

4️⃣ 66% жертв утечек данных публично раскрыли информацию об инцидентах, и только 30% сделали это ограниченному кругу лиц, пострадавших от инцидента.

5️⃣ Треть организаций не может обнаруживать утечки в момент инцидента и узнают об этом только в момент истребования выкупа или опубликования хакерами украденной информации, что говорит о нехватке адекватных инструментов для обнаружения соответствующих угроз и отсутствии стратегии борьбы с ними. В среднем компании используют сегодня 51 различное средство защиты, но несмотря на это, в 51% таких организаций фиксировали утечки данных.

Ни в коем случае не призываю немедленно бросать подледную рыбалку, катание на лыжах, лепить снеговика или чистить дорожки от снега, но, возможно, пришло то время, когда стоит выделить денёк-другой и подсчитать, что больше, - цена бездействия или стоимость ИБ-программы в компании. Конечно, с учетом множества факторов, таких как правоприменение, стоимость перестройки бизнес- и иных процессов, наличие неформальных контактов в правоохранительных и надзорных органах и т.п.

Пост Лукацкого

02 января 2025 08:10

Наткнулся тут в Интернете:

Если вы позволяете себе технически застопориться на своей текущей роли, потому что работодатель разрешает это, и вам не нужны обновленные технические навыки...

Это всего лишь вопрос времени, когда вас уволят, и вы обнаружите, что не можете получить новую работу, потому что ваши навыки устарели.

Пост Лукацкого

01 января 2025 14:23

Пока мы тут проводили нас тупивший и встретили наступивший год, у закокеанских коллег сейчас два больших шухера в ИБ, обсуждаемые на самом высоком уровне (что может привести и к геополитическим последствиям в отношениях США и Китая). Первый - это взлом 🔓 чуть ли не всех крупнейших операторов связи с последующим прослушиванием всех телефонных переговоров интересующих китайцев лиц. Второй инцидент продолжает историю с взломом ИБ-компании BeyondTrust в начале декабря 🤕

Оказалось, что украденный API-ключ привел к взлому Минфина США (он же Казначейство) и несанкционированному доступу к ряду их ПК и затем к данным, которые, по официальным сведениям, не отнесены ни к гостайне, ни к служебной информации (unclassified в американском варианте). Об этом инциденте американцы, в соответствии с требованиями FISMA и меморандумом OMB 24-04) уведомили заинтересованные лица (по тексту становится понятно, почему "Голос Америки", написал, что название этой группировки - Advanced Persistent Threat 😂). В письме про китайскую атрибуцию ни слова, но все как один утверждают именно это 🐲

Деталей кейса пока нет (обещают в течение 30 дней представить), но интересно, что Минфин классифицировал инциденте как серьезный (major), что согласно OMB 24-04 означает одно из двух:
1️⃣ ущерб национальной безопасности, международным отношениям, экономике США, свободам гражданам (то есть недопустимое событие в нашей терминологии) или
2️⃣ инцидент с персональными данными более 100 тысяч человек, который может привести к п.1.
То есть на словах у них "все ОК, нечего волноваться", а на деле может быть все серьезней 🐉

Интересное наблюдение 👀 Если посмотреть внимательно временную шкалу от BeyondTrust. Подозрение на инцидент был зафиксировано 2 декабря. Подтвержден он был 5 декабря, а Минфин был уведомлен об этом только 8-го, спустя три дня. То есть у злоумышленников было минимум 6 дней (если их обнаружили сразу, как они начали действовать) на кражу данных у американского казначейства. Такая себе оперативность... ⏳

ЗЫ. В моей копилке это уже шестой взлом казначейств по всему миру, а уж взломов ИБ-компаний и не счесть.

Пост Лукацкого

31 декабря 2024 14:37

кто не рискует тот рискует
без инцидентов жизнь прожить
и пить шампанское в укромном
и безопасном уголке 🥂

Пост Лукацкого

31 декабря 2024 03:55

Кибербойцы и защитники цифровых бастионов, читатели канала и почитатели его автора, соратники, друзья, товарищи и коллеги! Поздравляю вас с наступающим 2025 годом! 🎉 Уходящий високосный год был, мягко говоря, как межсетевой экран прошлого поколения — все время что-то ломалось, приходилось латать и надеяться, что патчи все-таки сработают. Но мы все справились: удержали цифровые форты, спасли данные и, возможно, даже выспались хоть пару раз за год 😖

2025-й обещает быть еще тем «хакатоном» — новые угрозы, вызовы и горящие жопы тикеты 🔥, но давайте честно: вы же уже натренировались успевать за всем этим марафоном, правда? Желаю, чтобы в этом году ваши инструменты и системы работали стабильнее, чем карта "Мир" заграницей и Wi-Fi на ИБ-конференциях, инциденты были реже утреннего кофе, а кортизол отступил под натиском дофамина, серотонина и эндорфина! 🥰 Если вы не знаете, что означают последние три слова, то пусть у вас будет просто больше позитива 👍

Пусть ваши SOCи будут эффективными, пароли у пользователей — крепкими, как хороший коньяк, а недопустимые события обходили вас, как файлы .exe мимо macOS 🧑‍💻 Не мешайте вашему бизнесу расти и развиваться, вы же не Роскомнадзор, в конце концов. И главное — находите время на отдых, на родных и близких, на свое развитие 😘

С Новым годом! 🎄 Пусть он будет безопасным, счастливым и с минимумом сбоев. Ну, или хотя бы с хорошими бэкапами 😎

Ваш, почти как антивирус, но нужнее, Алексей Лукацкий 🤠, который уходит в новый год с позитивом в сердце, звездным небом над головой и моральным законом коньяком внутри меня... Не теряйте меня! Вернусь уже в первых числах января, так как ИБ не спит никогда! 🔥

Пост Лукацкого

30 декабря 2024 11:37

Удостоверяющие центры ломают не только у нас. Вот и итальянский 🇮🇹 InfoCert, сертифицированный eIDAS-провайдер доверенных цифровых услуг для всей Европы 🇪🇺, возможно столкнулся с взломом и утечкой персональных данных 5,5 миллионов своих клиентов. А вы говорите доверие… 🖕

Пост Лукацкого

29 декабря 2024 19:39

Так как в личку я получил несколько сообщений с просьбой прокомментировать событие конца ноября про соглашение 🟥 и НКЦКИ, то вместо меня ситуацию прокомментирует сам НКЦКИ. Если вкратце и не ходить по ссылке, то соглашение переподписано.

Пост Лукацкого

29 декабря 2024 12:37

В декабре 2024 года венчурная компания YL Ventures опубликовала прогнозы относительно наиболее перспективных секторов кибербезопасности в 2025 году. По мнению компании, управляющей активами ИБ на сумму $800 млн., основные направления, которые будут доминировать в следующем году, включают:

1️⃣ Использование искусственного интеллекта (AI) для оптимизации кибербеза. Ожидается, что ИИ будет активно применяться для улучшения различных аспектов кибербезопасности, таких как SecOps, управление идентификацией и доступом, тестирование на проникновение, анализ угроз и управление рисками. Стартапы, разрабатывающие решения для безопасного внедрения ИИ в корпоративную среду, получат значительные возможности для роста.

2️⃣ Развитие операционной безопасности (SecOps). Тут все вроде и так понятно. Атак все больше, людей не хватает, нужна автоматизация и вот это вот все.

3️⃣ Безопасность не-человеческих идентификаторов (Non-Human Identity Security). С увеличением числа машинных идентификаторов (ключи API, токены OAuth, сервисные учетные записи и т.п.), которые уже превосходят человеческие в соотношении 45 к 1, возрастает необходимость в их защите. Недавние инциденты, такие как взлом Snowflake и кража исходного кода New York Times, подчеркивают уязвимость в этой области. Ожидается, что 60% организаций планируют инвестировать в безопасность не-человеческих идентификаторов в 2025 году.

4️⃣ Эволюция облачной безопасности. С усложнением облачных сред появляются новые векторы угроз, требующие инновационных решений и стимулирующие дальнейшее развитие этого сектора.

5️⃣ Современные системы предотвращения утечек данных. С переходом на удаленную работу и увеличением объемов данных возрастает риск утечек. Современные (ключевое слово) DLP-решения, адаптированные к новым условиям, становятся критически важными для защиты информации в распределенных и гибридных рабочих средах.

Пост Лукацкого

28 декабря 2024 16:03

Мне постоянно задают вопрос "А что бы вы посоветовали почитать по ИБ?" Честно, я не знаю 🤷‍♀️ Это все равно, что спрашивать, какой детектив лучше 🔫 Кто-то фанатеет от Агаты Кристи, Умберто Эко и Джоан Роулинг, а кому-то подавай Артура Конан Дойля, Бориса Акунина и Иоанну Хмелевскую 🔪 А кто-то и вовсе не принимает никого кроме Дэна Брауна и Яна Флеминга. В общем, вопрос непраздный. Так и с ИБ, в которой с именитыми авторами похуже, а вот тем много больше, чем жанров. А не зная, чем интересуется человек прямо сейчас, советовать что-то сложно; можно вообще не попасть ✋

Начинающим можно посоветовать серию "Для чайников" 🫖, большую часть которой можно скачать в виде одного архива у меня на сайте. Я планирую обновить эту библиотеку, а пока свежее пополнение, официально найденное на просторах Интернета. Вполне себе введение в ИБ. Еще и на английском, чтобы язык подтянуть 😱

Пост Лукацкого

28 декабря 2024 09:05

К вопросам финансирования ИБ я уже не раз обращался, но почему бы не сделать это еще раз, посмотрев на некоторые цифры, которые я еще не приводил:
1️⃣ Объем мирового рынка ИБ достиг в 2024 году 215 миллиардов долларов, но 44% CISO все равно считают, что существующими решениями по ИБ они не могут обнаружить инциденты ИБ.

2️⃣ Такого роста рынка ИБ, как в 2021 и 2022 годах, когда он измерялся двузначными цифрами, уже не будет. Однако за последние пять лет размер ИБ-бюджета от его ИТ-брата вырос с 8,6% в 2020-м до 13,2% в 2024-м.

3️⃣ В Топ3 статьи затрат в 2024 году вошли внутренняя оценка защищенности (60%), IAM-проекты (58%) и покупка различных средств ИБ (51%). При этом только 36% компаний имеют формальный процесс определения бюджета ИБ, что говорит о хаотичности трат и отсутствии приоритета, что часто и приводит к успешным "пробивам".

4️⃣ У 92% организаций бюджет на ИБ вырос, но 60% до сих пор считает, что не соответствуют растущему объему требований законодательства.

5️⃣ 96% CISO ставят безопасность SaaS в топ своих приоритетов, а 93% увеличили бюджет на эту область в 2024 году.

6️⃣ 92% компаний инвестируют в технологии искусственного интеллекта в ИБ.

Пост Лукацкого

27 декабря 2024 19:37

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России 🇷🇺 запускает чат-бот @cyberpolicerus_bot, который помогает в стрессовых ситуациях - потеря денег, взлом аккаунта, кража паролей и т.п. В случае таких мошеннических действий, совершенных в Интернет, бот может подсказать, что делать в сложившейся ситуации 📱

Пост Лукацкого

27 декабря 2024 12:31

Ирония судьбы... Компания, борющаяся с взломами, сама пострадала от этого 🔓 Cyberhaven разослала своим клиентам (публично пока молчит, но кто ж такое может утаить-то) информацию о продвинутой целевой атаке (как водится, все началось с банального фишинга) на себя. Некто атаковал сотрудника ИБ-компании с помощью... фишинга 🎣 Сотрудник был непростым, так как имел доступ к Chrome Web Store, куда выкладывался плагин Cyberhaven Chrome extension к браузеру, являющийся частью решений компании по классификации данных и защите от утечек. Этот плагин и был подменен злоумышленниками 📱

Масштаб инцидента пока не очень понятен - для расследования пригласили Mandiant 🇷🇺 Сам вредоносный плагин был удален из магазина спустя 60 минут после подмены, и компания не сообщает, сколько пользователей успело его скачать 🖥 Судя по комментариям компании, вредоносный плагин способен как минимум перехватывать сессии аутентификации и куки, отправляя их на специально созданный фишинговый домен, похожий по написанию на настоящий (cyberhavennext[.]pro вместо cyberhaven[.]com) 🔗

В качестве рекомендаций Cyberhaven советует: 🧐
1️⃣ Обновить плагин до последней версии
2️⃣ Обновить все пароли, незащищенные FIDOv2
3️⃣ Аннулировать и обновить все токены для API
4️⃣ Мониторить логи в поисках любой аномальной активности.

Что я могу отметить в этом кейсе:
1️⃣ Атаки на цепочку поставок все еще на коне и ломают даже ИБ-компании.
2️⃣ Приглашать внешние компании для расследования становится нормой, даже если взломали ИБ-компанию и она вроде как и сама способна провести анализ инцидента.
3️⃣ Компания не скрыла факт инцидента, но и стала про него кричать на всех углах, пообещав поделиться деталями и телеметрией позже.
4️⃣ Фишинг остается основным первичным вектором.
5️⃣ ИБ-компании являются интересной мишенью и лакомым кусочком для любого злоумышленника за счет более высокого доверия к решениям ИБ-компании и формированию иллюзии их защищенности, что повышает шансы на успешную компрометацию, как самой компании, так и ее клиентов.

Пост Лукацкого

27 декабря 2024 05:40

Знаете, есть у МТС такой сервис, - "Защитник", который должен спасать вас от звонков мошенников и спамеров 📞 Но, как и у любого "несигнатурного" средства защиты, у него бывают ложные срабатывания, когда он блокирует вполне себе легальные звонки 🚫 Например, он постоянно отсекает все звонки от Skyeng, считая их спамерскими. Но это еще полбеды - вы всего лишь не узнаете о том, что у вас кончились деньги на счете и пора пополнять занятия своего ребенка с преподавателем.

Гораздо серьезнее, когда вам блокируют звонки, используемые различными сервисами для аутентификации 🔕 Ведь сейчас - это достаточно популярная схема, когда для получения доступа к бесплатному Wi-Fi вам надо пройти проверку подлинности и вам либо присылают одноразовый код в виде СМС, либо просят указать последние 4 или 6 цифр номера телефона, с которого вам только что позвонили 📞 Реже, но бывает, когда вам в течение звонка озвучивают одноразовый код.

Так вот - "Защитник" от МТС часто вас "защищает" так, что вы не получаете звонков с "одноразовых" номеров 📞, которые используют такие сервисы для своей работы (весь же смысл, что они постоянно меняются) 📞 И МТС рассматривает их как спамерские звонки и блокирует. Вот вчера он мне опять заблокировал звонки из Skyeng, а сегодня - звонок из аптеки, которая таким образом проверяла мое участие в программе лояльности и право на скидку 📞

А уж сколько звонков до меня просто не доходит, но я об этом просто не знаю? 🤔 В общем, все эти попытки автоматически блокировать что-то даже не спрося тех, кому это что-то адресовано, такой себе вариант. Я бы еще понял, когда есть 100%-я уверенность в том, что звонящий номер телефона - мошеннический. Но когда такой уверенности нет, на каком основании его блокируют? И кто возмещает потери, если таковые были понесены из-за отказа оператора связи пропускать звонок? 🫵

ЗЫ. Все как в советском мультфильме: "А вы и есть за меня будете?.."

ЗЗЫ. Сейчас говорят о том, что операторы связи еще и прослушивать все переговоры начнут и, если обнаружат признаки мошенничества, будут прерывать разговор в его середине. Ну тоже, такое себе решение...

ЗЗЗЫ. С другой стороны, МТС, в отличие от РКН, по маске не блокирует и диапазоны не «рубит» 💡

Пост Лукацкого

26 декабря 2024 16:04

Помните июльский взлом ИБ-компании Аванпост? Была надежда, что компания, как это делали другие ответственные игроки рынка, опубликует детали проведенного расследования (а оно было проведено). Однако, увы, этого так и не случилось 🤷 В подведенных вчера итогах года компрометация инфраструктуры упомянута не была, зато было в Топ10 попала другая новость, а именно проведение анализа защищенности некоторых продуктов у компании F.A.C.C.T. 🔍 Как минимум, вопрос с возможным повторением "кейса SolarWinds" можно считать закрытым. Правда, у компании были планы выходить на Bug Bounty, но пока этого не случилось (может в следующем году?).

Зато компания начала публиковать информацию об уязвимостях на своем портале техподдержки и в Банке данных уязвимостей ФСТЭК России, а позавчера анонсировала появление журнала регистрации событий безопасности ✍️ (а до этого его не было?). Так что можно признать, что взлом положительно повлиял на безопасность продуктов компании и зрелость процессов безопасной разработки, что неплохо 👏 Может и другие вендора извлекут из этого уроки. Хотя антикризисный PR, как по мне, отработан на двоечку, - обещания так и не были реализованы.

ЗЫ. А смысл мемасика в канале Аванпоста я так и не догнал 🤔

Пост Лукацкого

03 января 2025 14:53

Последние пару недель стала очень сильно бросаться в глаза беспрецедентная волна взломов операторов связи и Интернет-провайдеров по всему миру - в США, в Австралии, в России... 📡

Сначала американцы на самом высоком уровне заявили, что все крупнейшие операторы связи 🌍 страны были взломаны китайской группировкой Salt Typhoon 🇨🇳, которая перехватывала сообщения и прослушивала звонки интересующих ее граждан США, преимущественно находящихся в Вашингтоне и окрестностях (там, кстати, Пентагон и Форт Мид, штаб-квартира АНБ, "в окрестностях" 🇺🇸). И хотя сообщение CISA об этом было еще в ноябре, а первые разговоры начались парой месяцев ранее, волна 🌊 пошла только в последних числах декабря, когда CISA опубликовала руководство по защите мобильных коммуникаций, а декадой ранее - руководство по мониторингу и усилению защиты коммуникационной инфраструктуры 🐉

🤔 Интересно, учитывая, что в России 🇷🇺 схожее оборудование на инфраструктуре связи, что и у всех операторов по миру, то у нас кто-нибудь проверял нахождение китайцев внутри наших сетей связи? 🚠 Мы хоть и "друзья навек", но до поры до времени, пока это выгодно обеим сторонам.

Кстати, о России. В Даркнете 🎩 сейчас наблюдаются предложения по продаже данных взломанных российских Интернет-провайдеров, часть из которых перед этим столкнулась с DDoS-атаками с сопредельного государства, а после с простоями в работе (где-то речь идет об уничтожении инфраструктуры) 💥

На фоне победных реляций о том, что Интернет в России достиг самых удаленных уголков страны, лично я в последний месяц постоянно сталкиваюсь со снижением скорости и качества Интернет ⛓️‍💥 То картинки не подгружаются, то скорость низкая, то VPNы подглючивают, то СМС или звонок не проходят. Мало нам было блокировок РКН и ограничений работы с российских IP на зарубежных сайтах. Теперь вот еще и хакеры, тьфу, не дают нормально серфить 🖥 и прослушивают 📞 всех и вся. Как дальше жить 😱

В качестве рекомендаций могу посоветовать одним глазком взглянуть на бюллетени CISA ☝️, более активно применять шифрование данных при передаче по каналам связи, поменять все пароли на сетевом оборудовании, которое вы арендуете у провайдера, и отключить возможность его удаленного доступа (если договор это позволяет). А то ведь, взломав вашего оператора связи, хакерам будет несложно и к вам нагрянуть, канал-то доверенный... 🤔

Пост Лукацкого

02 января 2025 16:44

Разрабатывая систему ИБ, которая взаимодействует с пользователями, учитывай не свои культурные предпочтения, а своей целевой аудитории!

ЗЫ. Пересматривал фотографии из Японии 🍱 и навеяло 😊

Пост Лукацкого

01 января 2025 22:08

История с CyberHaven обрастает новыми подробностями. Оказалось, что скомпрометировано было не только их расширение в Chrome Web Store, но еще три с половиной десятка расширений с общим числом пользователей - 2.600.000. Все инциденты начались одинаково - фишинговый e-mail разработчикам расширений, выглядящее как будто сообщение от Google, в котором говорится, что расширение нарушает политики Google и может быть удалено из магазина расширений. При переходе по ссылке пользователь попадает на страницу с вредоносным OAuth-приложением, которое запрашивало права доступа на управление Chrome Web Store.

Включенная многофакторная аутентификация не помогает, так как авторизация OAuth ее не требует (это не значит, что MFA бесполезна; просто 100% гарантии она не дает). Google Advanced Protection тоже не спасает от этой атаки; правда и учетная запись Google не компрометируется. После получения доступа к учетной записи разработчика, злоумышленники модифицируют расширение для броузера, вносят в него вредоносные файлы, крадущие данные, и заново заливают в Chrome Web Store. На данный момент неизвестно, кто стоит за данной атакой.

Среди скомпрометированных расширений (обратите внимание, что среди них есть и ИБ-расширения):
🔤 AI Assistant - ChatGPT and Gemini for Chrome
🔤 Bard AI Chat Extension
🔤 GPT 4 Summary with OpenAI
🔤 Search Copilot AI Assistant for Chrome
🔤 TinaMInd AI Assistant
🔤 Wayin AI
🔤 VPNCity
🔤 Internxt VPN
🔤 Vidnoz Flex Video Recorder
🔤 VidHelper Video Downloader
🔤 Bookmark Favicon Changer
🔤 Castorus
🔤 Uvoice
🔤 Reader Mode
🔤 Parrot Talks
🔤 Primus
🔤 Tackker - online keylogger tool
🔤 AI Shop Buddy
🔤 Sort by Oldest
🔤 Rewards Search Automator
🔤 ChatGPT Assistant - Smart Search
🔤 Keyboard History Recorder
🔤 Email Hunter
🔤 Visual Effects for Google Meet
🔤 Earny - Up to 20% Cash Back
🔤 Where is Cookie?
🔤 Web Mirror
🔤 ChatGPT App
🔤 Hi AI
🔤 Web3Password Manager
🔤 YesCaptcha assistant
🔤 Bookmark Favicon Changer
🔤 Proxy SwitchyOmega (V3)
🔤 GraphQL Network Inspector
🔤 ChatGPT for Google Meet
🔤 GPT 4 Summary with OpenAI

Помните, что удаление вредоносного расширения из Chrome Web Store не означает завершение инцидента, так как если он продолжает оставаться на компьютере пользователя, который успел его установить, то расширение продолжает свое черное дело в части кражи данных с ПК.

ЗЫ. А как вы проверяете, какие плагины и расширения устанавливают себе ваши пользователи?

Пост Лукацкого

01 января 2025 01:37

Есть компании, которые просто пишут код. Есть те, кто создает NGFW. Третьи же компании защищают страну. А вы бы в какой хотели трудиться?! ❔

С нас тупившим ушедшим и с наступившим пришедшим годом змеи! 🐍 Продолжаем праздновать и философствовать!

Пост Лукацкого

31 декабря 2024 11:46

«Голос Америки» уже не торт 🎂

Пост Лукацкого

30 декабря 2024 15:47

Охота в творческом порыве
Отбросив седину назад
Сказать «пошло оно всё на хер»,
И взяв коньяк уйти в закат 🥃

Вот вы, посмотрев на картинку, подумали, хвастаться будет и итоги подводить, хотя обещал не делать этого. Но нет! Картинка нужна для другого.

Из нее можно сделать вывод, что в канале все отлично, растет аудитория, растет индекс цитирования, число постов немаленькое… 🤟 Чем-то напоминает дашборды ИБ, которые тоже показывают рост обнаруженных инцидентов, рост уволенных за утечки, рост бюджетов, ноль нарушения нормативки и т.п. А с ИБ при этом все хуже ситуация и инциденты все равно приводят к недопустимому 🍑

Вот и с каналом также. При положительной динамике цифр, читает канал на постоянной основе всего 9% его читателей (за что вам огромное спасибо). 49% его замьютили, 31% погружаются в заметки лишь эпизодически, что говорит о том, что моя способность писать опережает вашу способность/желание читать 🧑‍💻 Да, я пишу для себя, то, что интересно мне, но в последнее время, чего уж греха таить, стал заложником регулярности. Вбил себе в голову, что надо обязательно все заметки писать в одно и тоже время, начиная каждый день в 7.40мск и потом каждые 3,5 часа что-то публиковать, выходя на 5 постов в рабочий день и 4 в выходные. И бывало так, что посты вымучивались 🚽, а это недопустимо!!!

Буду пересматривать подход к публикациям, но не в ущерб исходной идее канала ✍️ Как минимум введу теги. Ну и частоту скорее всего понижу, как и регулярность сменю. Я, конце концов, не Селигман и не Павлов, чтобы приучать 🐶 всех к определенной периодичности. Регулярно задумываюсь про тегирование 🏷 прошлых постов, но как посмотрю на 10+ тысяч публикаций, так руки и опускаются. Хотя можно ИИ натравить. Но тогда все посты будут иметь пометку о редактировании, а я следовал принципу, что вносить изменения в написанное неправильно. Накосячил - надо отвечать 🙏

Так что есть над чем поразмышлять в новогодние праздники… Одно могу сказать точно - писать не перестану, рекламу размещать не буду (кроме проектов, в которые вовлечен и о которых хочу рассказать, а это преимущественно ПТ, ничего не поделаешь) ✍️

Пост Лукацкого

30 декабря 2024 07:40

Понимаю, что все уже режут ингредиенты для оливье, ставят охлаждать брют и просекко, смазывают лыжи (в хорошем смысле этого слова), колят дрова для камина или растапливают баньку, то есть всеми силами готовятся отметить Новый год (или Хануку, тут у кого как) 🔥 Но кибербез - штука круглогодичная и незнающая перерывов и выходных. Вот и ФСТЭК в последний рабочий день года вбросила проект нового приказа, который распространяется не только на ГИС, а на любые информационные системы госорганов, госучреждений и ГУП, и заменяет собой 17-й приказ ФСТЭК 2012-го года (вступает, в случае принятия, с 1 сентября 2025 года) 🤭

После беглого просмотра я хочу обратить внимание на ряд интересных моментов: 😱
1️⃣ Основная цель защиты информации в госоргане - недопущение наступления негативных последствий (событий), а не борьба с всеми угрозами. Недопустимые события Негативные последствия определяет вы. Пример списка негативных последствий есть на сайте ФСТЭК.
2️⃣ Подрядчики 🦌 госорганов обязаны выполнять требования по защите, описанные в политике ИБ. Это должно быть зафиксировано в договоре с подрядчиками. По идее госорган для подрядчиков может написать отдельную политику ИБ, но можно распространить на них и свою политику
3️⃣ Госорганы должны иметь (и контролировать) перечень разрешенного и (или) запрещенного ПО и проводить мероприятия по контролю конфигураций информационных систем, что подсказывает, что надо дружить с ИТ и вообще, что ИБ не может быть достигнута только классическими мерами ИБ.
4️⃣ Госорган должен раз в 6 месяцев проводить оценку текущего состояния защиты информации и его сравнение с нормированными показателями, установленными ФСТЭК ⚖️ Раз в 2 года должна проводиться оценка показателя уровня зрелости мероприятий по ИБ. Информация об оценках этих показателей должна направляться в ФСТЭК в течение 5 дней с окончания измерения 🛍
5️⃣ Госорган обязан обеспечивать ИБ при использовании искусственного интеллекта и даже немного написано про необходимости защиты датасетов, моделей и инфраструктуры для них 🧠
6️⃣ Устранение критических уязвимостей 🗡 должно быть обеспечено в течение 24 часов, высокого уровня опасности - в течение 7 дней. Для этого о них надо оперативно узнавать.
7️⃣ Защита ПК требует мониторинга и анализа процессов и событий, то есть речь, как по мне, идет о решениях класса EDR.
8️⃣ При мониторинге угроз можно использовать ИИ. Это необязательно, но уже неплохо, что это явно упомянуто.
9️⃣ Ежегодный отчет о результатах мониторинга надо направлять в ФСТЭК 🚗 То есть если госорган не попадал под КИИ или 250-й Указ, то он раньше результаты мониторинга никому не отправлял, даже в ГосСОПКУ. Теперь это надо делать, как минимум, в ФСТЭК. Пока раз в год, но лиха беда начало.
1️⃣0️⃣ Если есть своя разработка, то должны быть реализованы мероприятия по безопасной разработке в соответствие с ГОСТом 👨‍💻
1️⃣1️⃣ Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т.п.). Для систем 1-го класса защищенности - это 24 часа. Это прям заранее напрячься надо, чтобы соблюсти такой SLA.
1️⃣2️⃣ Контроль уровня защищенности обеспечивается либо автоматизированными решениями класса BAS, либо пентестами/Red Team, либо на киберполигонах. Отчет по результатам должен также направляться в ФСТЭК 🚚

В целом, ФСТЭК начинает более активно контролировать процесс ИБ в государственных организациях. Если раньше это происходило только во время аттестации и серьезных публичных инцидентов 🔥, то сейчас они требуют присылать им регулярно сведения об оценке и контроле защищенности, а также и уровне зрелости ИБ в организации (см.ниже). То есть спуску регулятор своим подопечным не даст 🙅‍♂️ И он вступает на ту же поляну, где раньше были только ФСБ (мониторинг) и Минцифры (непрерывность). Гонка за кибербез усиливается! 🚗

‼️ Важно! Регулятор явно не пишет 🧑‍💻, что надо применять такие-то и такие-то классы средств защиты информации, отдавая это на откуп операторам/владельцам защищаемых систем. Но описанные в новом приказе меры и процессы должны быть реализованы 🫡

Пост Лукацкого

29 декабря 2024 16:13

Вы когда говорите, что выстроили процесс управления идентификацией в компании, имеете ввиду все типы Identity или только проверку подлинности людей - работников и гостей организации? 🤝

Пост Лукацкого

28 декабря 2024 19:36

Наткнулся тут на статью, которая перечисляет афоризмы по ИБ, которые используются, преимущественно, американскими ИБшниками.

1️⃣ "S в IoT означает безопасность". Намёк на то, что в Интернете вещей (IoT) безопасность зачастую отсутствует (ирония в том, что "S" там вообще нет).

2️⃣ "Если не выдерживаешь жары, уходи с кухни". Призыв справляться с давлением и не избегать трудных задач.

3️⃣ "Пароли как нижнее бельё: ими нельзя делиться, нельзя оставлять на виду, и их нужно регулярно менять". Напоминание о важности ответственного обращения с паролями.

4️⃣ "Глупость нельзя запатчить". Указание на то, что человеческий фактор остаётся главной угрозой в безопасности.

5️⃣ "Данные — это новая нефть, а утечки данных — новые разливы нефти". Сравнение ценности данных с нефтью и утечек данных с экологическими катастрофами.

6️⃣ "Соответствие требованиям — это не безопасность". Напоминание, что выполнение регуляторных норм не означает настоящей защиты.

7️⃣ "Хакеру достаточно быть правым один раз, а защитнику нужно быть правым всегда" (так называемая дилемма ИБшника). Подчёркивает неравенство в борьбе между атакующими и защищающимися.

8️⃣ "Надежда — не стратегия". Намёк на необходимость действовать и планировать, а не полагаться на везение.

9️⃣ "Кибербезопасность — это путь, а не пункт назначения". Указывает на то, что обеспечение безопасности — это постоянный процесс.

1️⃣0️⃣ "Ваши пользователи — ваше самое слабое звено". Напоминание, что сотрудники часто становятся причиной киберинцидентов.

А вы какие афоризмы по ИБ знаете?

Пост Лукацкого

28 декабря 2024 12:38

В названии ГосСОПКА буква 🔤 означает "предотвращение" 🛡 То есть функция НКЦКИ, среди прочего, заключается в том, чтобы делится сведениями о тенденциях в части инцидентов, сведения о которых они получают от своих подопечных. Ну это я так, по крайней мере, думаю. Это бы позволило видеть, что чаще всего происходит, кого атакуют, какова средняя стоимость инцидента и т.п. Тогда компании смогли бы самостоятельно обновлять свою стратегию в области ИБ ✍️

У меня тот же запрос в свое время был еще к Банку России 🏦, который, запуская свои формы отчетности, обещал выпускать по собранным сведениям аналитику для финансовых организаций. Но в итоге все это выродилось в СМИшные пресс-релизы о суммах хищений и количестве пострадавших 📈 А у НКЦКИ и таких, к сожалению, нет. Тем интереснее смотреть на то, как эту задачу решают другие национальные регуляторы, например, австралийский ASD, выпустивший годовой отчет с интересной статистикой 📊 Делать выводы из него для России бессмысленно, но посмотреть на форму подачи, ключевые показатели и разделы отчета вполне себе интересно.

Пост Лукацкого

28 декабря 2024 05:40

Смотрю, все подводят итоги года ✍️ А чем я лучше, подумал я, и... не стал подводить никаких итогов. Во-первых, это уже прошло и его не изменишь 🍴 Во-вторых, синдрома неудачника у меня нет и поэтому доказывать, что я огого как крут и ... столько-то раз ... столько-то... столько-то, мне никому, кроме себя, не надо. Тем более, что я и сам знаю, где я накосячил и чего не сделал, что должен был или что мог 🦌 Уроки я извлек, а это самое важное. Делай, что должен и будь, что будет! Таким будет мой итог! 🚽

ЗЫ. А новогоднее поздравление будет позже 🥰

Пост Лукацкого

27 декабря 2024 16:06

Позвонили вчера журналисты ✍️ и попросили дать комментарий на тему "Власти рассматривают вариант отключения россиян от зарубежного Интернет и штрафов за попытки обхода такого ограничения". Ну я малость прифигел и попросил уточнить, не ослышался ли я. Журналист решил уточнить, что речь идет о том, что РКН хочет штрафовать граждан за использование VPN ✔️ И вновь я попросил назвать источник такой новости. В ответ услышал, что некий анонимный ИТ-эксперт, отвечавший на вопросы hi-tech.mail[.]ru предположил, что такой гипотетический сценарий возможен 🤦‍♂️

Я отказался комментировать техническую возможность реализации такого сценария, высказанного непонятно кем и непонятно зачем 🤠 Тем более, что ноги растут у этой фантастики из проекта приказа РКН о регистрации всех пользовательских устройств, подключающихся к Интернет. Гораздо интереснее другое.

Мы семимильными шагами идем в сторону полного отказа от анонимности в сети 🎭 Действия и проекты нормативных актов, увидевших свет за последние несколько недель, только доказывают этот неприятный факт. Регистрация всех пользовательских устройств, передача геолокации в Гостех, вынос VPN-сервисов из AppStore, блокирование VPN-сервисов и мессенджеров со сквозным шифрованием... 📱 Тут даже первоклассник сделает только один вывод - государство хочет не только блокировать распространение неугодной информации, но и понимать, кто обходит эти запреты. Блокировка Интернета из этого не следует, но появление новых штрафов в перспективе?.. Почему бы и нет. Бюджет-то надо наполнять, а с кого, как не с граждан собирать 💡 Все эти разговоры про защиту детей или повышение качества жизни граждан в отдаленных районах, - это все для бедных. "Имеющий уши да услышит, имеющий глаза да увидит" 😕

Что же касается передачи геолокации государству и поднявшегося шума об очередных нарушениях прав граждан на частную жизнь, разочарую, - это и так делалось и делается 🌎 По запросу. Особенно во время массовых скоплений людей, всяких манифестаций, парадов и т.п. Так что ничего нового... 📍

ЗЫ. Картинка рисовалась для другого, но так как на ней РКН вышел достаточно реалистичный, то я ее и тут решил использовать 🤠

Пост Лукацкого

27 декабря 2024 09:02

Я тут принимал участие в исследовании "Дипфейки: риски и возможности для бизнеса" 🎭, которое проводили ФРИИ и Минцифры России при помощи Социологической мастерской Задорина (группа Циркон). Исследование было выложено и я подумал, что оно может быть интересно широкому кругу специалистов по ИБ 🛡 Все-таки дипфейки, по моему скромному мнению, в следующем году может стать серьезной угрозой для многих проектов, в которых государство будет навязывать использование ЕБС.

Пост Лукацкого

26 декабря 2024 19:37

Если на новогодние праздники у вас не планируется организации круглосуточной смены аналитиков SOC и в аутсорсинговый SOC вы тоже свои системы "на охрану" не сдаете, то хотя бы резервные копии всего самого важного сделайте. Чтобы звон оливье в новогоднюю ночь принес вам радость, а не манждраж от того, что вас могут взломать, а вы не готовы!

Пост Лукацкого

26 декабря 2024 12:36

Группировка "Кибердраконы" 🐲 (Cyb3r Drag0nz) заявила вчера о взломе газоперерабатывающего завода в Турции (не наш ли это газ?), а сегодня о взломе компании по водоснабжению в той же Турции. Просто "Драконы" (Dragon RaaS) взломали иранскую компанию ABFA, занимающуюся водоснабжением (но фраза "взлом канализации со всеми вытекающими" заиграла новыми красками) 🐉 И если раньше такие кейсы были единичными и за ними "гонялись" специалисты по ИБ, чтобы включить в свои страшилки презентации, то сегодня это стало обыденностью, о которой уже и говорить скучно 😴

Я когда готовился к выступлению на Тюменском форуме (ТНФ) и собирал кейсы взлома нефтяных 🛢 и газовых компаний по всему миру за 2024 год, где-то на третьем десятке остановился. Это действительно превращается в рутинную историю. Изолированных сред уже давно нет, архитектура и софт АСУ ТП уже не являются секретом, а значит у хакеров становится больше возможностей по взлому компаний из этой сферы критической инфраструктуры 🏭 И думаю, что число таких кейсов будет становится все больше и больше, по мере нарастания геополитической напряженности, а также увеличения активности по борьбе с хакерами и шифровальщиками. Ставки будут только возрастать... ↗️