ЗГД по ИБ делится в LinkedIn своим опытом прохождения обучения для соответствия требованиям 250-го Указа. Особенно хороши комментарии, которые, кстати, показывают, кто реально способен быть ЗГД (то есть входить в топ-менеджмент), а кто нет. Ну и сам вопрос, конечно, сформулирован предельно неконкретно, так как отсутствуют важнейшие исходные данные, необходимые для принятия решения и, в данном случае, ответа на вопрос теста.

#обучение #CXO

Читать полностью…

Знаете, я в юности профессионально занимался туризмом 🏕, а став немного постарше, даже увлекался выживанием, вплоть до хождения в одиночные походы в горы и тайгу. Потом, уже в Cisco, регулярно проходил ERT-тренинги по оказанию первой помощи 👩🏻‍🚒 в различных ситуациях.

А сегодня вот наткнулся в Интернете, что британских солдат учили, что если они заблудились в джунглях, то им нужно не паниковать, а сесть и выпить чашку чая ☕️ Схожий совет (по сути, не по форме) давался и во время тренингов по первой помощи, так как непродуманные и хаотичные действия могут только навредить 😱 Ну и в книжках по выживанию писали аналогичное. Все их объединяет одно - нельзя паниковать 😱

Тоже можно сказать и про реагирование на инциденты 🆘 Если уж вы не проходили предварительные тренинги на киберполигоне, где ваши действия доводят до автоматизма, то просто возьмите за правило - сесть и выпить чашечку вкусного кофе или ароматного чая, в течение чего набросать план своих первоочередных действий. И пусть это будет не так 😱 А хотя бы так или так 🤣

ЗЫ. Но скажу вам, в реальности, чтобы приготовить чашку чая в тайге во время ливня или при -36 градусах (а были у меня такие истории), надо сильно помучаться. В мороз чуть проще - дрова-то все равно сухие, и запалить сушняк для кипячения воды - не бином Ньютона. В ливень, даже при +20, это не в пример геморройнее... ☕️

#управлениеинцидентами

Читать полностью…

Очередной подводный кабель (Между США и Тайванем) какие-то нехорошие люди оборвали ✂️ Обвиняют китайцев. В конце декабря перерезали подводный кабель между Финляндией и Эстонией (в октябре 2023 года такое уже было) , а в середине ноября оборвали два подводных интернет-кабеля между Литвой и Швецией и между Финляндией и Германией ✂️ Обвиняют русских и китайцев, чьи суда были замечены рядом (северокорейцев и иранцев было бы странно в этом обвинять применительно к Балтийскому морю). А год назад, возможно хуситы, перерезали подводные Интернет-кабеля в Красном море. На фоне блокировок Роскомнадзора изнутри страны вероятность быть отрезанным от многих ресурсов Интернета становится все выше и выше ✂️

Да и хрен с ними, скажете вы и... будете неправы. Во-первых, у нас же мировой Интернет тоже пока еще доступен преимущественно через Европу 🌍 То есть обрезание кабелей касается и нас. А раз так, то стоит лишний раз провести ревизию того, что у вас завязано на всякие зарубежные сервисы 🌐 И речь не только об очевидных типа разных SaaS или TI, но и, например, DNS, NTP и т.п. С одной стороны вроде это проблема операторов связи - обеспечить вам связность сети, а с другой - спасение утопающих - дело рук самих утопающих 🚠

ЗЫ. Шутки про сохранение Интернета на дискетке скоро перестанут быть шутками... 😂

ЗЗЫ. Спасибо подписчику за ссылку на свежий кейс.

Читать полностью…

Посмотрел я первую серию "Киберслава", российского анимационного киберпанка 😂, про которую уже дважды писал и все ждал, когда же его выпустят. Ну что сказать... Ничего не скажу. Разве что, мне не очень понятно, откуда в славянской мифологии появилась семитская Лилит? 🤔 Но подождем хотя бы третьей серии, чтобы делать выводы.

Читать полностью…

Тут Руслан подкинул ссылку на прикольный сервис Teach Me Anything, который генерит в реальном времени короткое (до 2 минут) видео, раскрывающее суть интересующих вас терминов и концепций 👨‍🏫 Я решил дать этому сервису непростую задачу, попросив его объяснить мне, что такое "недопустимые события" и "результативная кибербезопасность". Использовал я англоязычные термины для этих понятий 😱 На удивление, сервис TMA вполне неплохо справился с задачей. Ну насколько это можно было сделать за 2 минуты, конечно. Google Learn может дополнить этот сервис более глубоким погружением в ту или иную тему 💡

ЗЫ. Регистрация не требуется. Сервис генерит все на английском языке.

#обучение #ИИ

Читать полностью…

Вот смотрю я на некоторые каналы по ИБ и задаюсь вопросом - нахрена они существуют и кто их читает? Один пост в день про несвежую новость, которую уже все обсосали с разных сторон. И ладно если бы в каналах была аналитика или нестандартный взгляд, но нет. Просто пересказ уже известного. И несколько тысяч подписчиков. Не понимаю 🤷‍♀️

Ну да пост не про это. Посмотрел рейтинг ИБ-каналов у Алексея Комарова 📈 Предположу, что Алексей собрал почти все, что есть в российском Телеграм-пространстве (там есть каналы даже на пару десятков человек); ну или большую его часть (хотя вот в списке ИБ-чатов нет многих чатов Positive Technologies, а в списке каналов нет ESCalator) 📱

Интересно, можно ли на основе этого рейтинга делать вывод о количестве специалистов по ИБ в стране? 🧮 С одной стороны, версия, что нормальный специалист по ИБ подписан хотя бы на один канал в Telegram, не лишена оснований. Можно было бы предположить, что самый популярный канал "Утечки информации", на который подписано 123 тысячи человек, и задает верхнюю границу такого числа ИБшников в стране 🔝 Но, во-первых, на него подписаны не только специалисты по кибербезу, а во-вторых, не все специалисты по ИБ подписаны на него. Я вот из первой двадцатки подписан только на 6 каналов, а из всех 180 только на 27 🧮

Если ориентироваться на формулу расчета числа специалистов (моя новогодняя фантазия после сауны и кофе с коньяком), которая выглядит следующим образом:

Число специалистов по ИБ = (общее число подписчиков на все каналы / доля подписанных) / коэффициент подписок, где
- доля подписанных - это % специалистов по ИБ, которые подписаны на все каналы (для простоты можно посчитать это значение равным 100%, но в реальности оно будет другим (у некоторых каналов оно может быть и 80%, то есть на них подписаны не все ИБшники, а где-то условно 120%, когда на канал подписаны не только все ИБшники)
- коэффициент подписок - это число каналов, на которые подписан среднестатистический специалист по ИБ

Получается, что общее число подписчиков на все каналы у нас равно на момент написания заметки 1 693 696 человек, включая ботов и граждан сопредельных республик, интересующихся, что у нас происходит, которых в формуле я не учитываю. Тогда при доле подписанных в 100% и коэффициенте подписки в 27 каналов (если меня принять за среднестатистического специалиста 🤠) мы получим верхнюю границу в 62729 специалистов по ИБ в России. При числе подписок в 6 каналов и доле подписанных в 80% (не все есть в Telegram, что странно, но допустим), верхняя граница вырастает до 282 283 специалистов по ИБ.

Но предположу, что все-таки значение в 62 тысячи ближе к истине. А вы что думаете? 🤔

#мысли

Читать полностью…

Американцы ввели санкции против ИБ-компании... К счастью не российской, а китайской 🇨🇳 Это Integrity Technology Group, про которую я писал в сентябре и которая, если верить спецслужбам США, стоит за APT-группировкой Flax Typhoon или, по крайней мере, предоставляет им инфраструктуру для проведения атак. Что-то американцы долго тянули с введением ограничений, 3,5 месяца ⏱... К выборам что ли?...

Читать полностью…

Последние пару недель стала очень сильно бросаться в глаза беспрецедентная волна взломов операторов связи и Интернет-провайдеров по всему миру - в США, в Австралии, в России... 📡

Сначала американцы на самом высоком уровне заявили, что все крупнейшие операторы связи 🌍 страны были взломаны китайской группировкой Salt Typhoon 🇨🇳, которая перехватывала сообщения и прослушивала звонки интересующих ее граждан США, преимущественно находящихся в Вашингтоне и окрестностях (там, кстати, Пентагон и Форт Мид, штаб-квартира АНБ, "в окрестностях" 🇺🇸). И хотя сообщение CISA об этом было еще в ноябре, а первые разговоры начались парой месяцев ранее, волна 🌊 пошла только в последних числах декабря, когда CISA опубликовала руководство по защите мобильных коммуникаций, а декадой ранее - руководство по мониторингу и усилению защиты коммуникационной инфраструктуры 🐉

🤔 Интересно, учитывая, что в России 🇷🇺 схожее оборудование на инфраструктуре связи, что и у всех операторов по миру, то у нас кто-нибудь проверял нахождение китайцев внутри наших сетей связи? 🚠 Мы хоть и "друзья навек", но до поры до времени, пока это выгодно обеим сторонам.

Кстати, о России. В Даркнете 🎩 сейчас наблюдаются предложения по продаже данных взломанных российских Интернет-провайдеров, часть из которых перед этим столкнулась с DDoS-атаками с сопредельного государства, а после с простоями в работе (где-то речь идет об уничтожении инфраструктуры) 💥

На фоне победных реляций о том, что Интернет в России достиг самых удаленных уголков страны, лично я в последний месяц постоянно сталкиваюсь со снижением скорости и качества Интернет ⛓️‍💥 То картинки не подгружаются, то скорость низкая, то VPNы подглючивают, то СМС или звонок не проходят. Мало нам было блокировок РКН и ограничений работы с российских IP на зарубежных сайтах. Теперь вот еще и хакеры, тьфу, не дают нормально серфить 🖥 и прослушивают 📞 всех и вся. Как дальше жить 😱

В качестве рекомендаций могу посоветовать одним глазком взглянуть на бюллетени CISA ☝️, более активно применять шифрование данных при передаче по каналам связи, поменять все пароли на сетевом оборудовании, которое вы арендуете у провайдера, и отключить возможность его удаленного доступа (если договор это позволяет). А то ведь, взломав вашего оператора связи, хакерам будет несложно и к вам нагрянуть, канал-то доверенный... 🤔

Читать полностью…

Разрабатывая систему ИБ, которая взаимодействует с пользователями, учитывай не свои культурные предпочтения, а своей целевой аудитории!

ЗЫ. Пересматривал фотографии из Японии 🍱 и навеяло 😊

Читать полностью…

История с CyberHaven обрастает новыми подробностями. Оказалось, что скомпрометировано было не только их расширение в Chrome Web Store, но еще три с половиной десятка расширений с общим числом пользователей - 2.600.000. Все инциденты начались одинаково - фишинговый e-mail разработчикам расширений, выглядящее как будто сообщение от Google, в котором говорится, что расширение нарушает политики Google и может быть удалено из магазина расширений. При переходе по ссылке пользователь попадает на страницу с вредоносным OAuth-приложением, которое запрашивало права доступа на управление Chrome Web Store.

Включенная многофакторная аутентификация не помогает, так как авторизация OAuth ее не требует (это не значит, что MFA бесполезна; просто 100% гарантии она не дает). Google Advanced Protection тоже не спасает от этой атаки; правда и учетная запись Google не компрометируется. После получения доступа к учетной записи разработчика, злоумышленники модифицируют расширение для броузера, вносят в него вредоносные файлы, крадущие данные, и заново заливают в Chrome Web Store. На данный момент неизвестно, кто стоит за данной атакой.

Среди скомпрометированных расширений (обратите внимание, что среди них есть и ИБ-расширения):
🔤 AI Assistant - ChatGPT and Gemini for Chrome
🔤 Bard AI Chat Extension
🔤 GPT 4 Summary with OpenAI
🔤 Search Copilot AI Assistant for Chrome
🔤 TinaMInd AI Assistant
🔤 Wayin AI
🔤 VPNCity
🔤 Internxt VPN
🔤 Vidnoz Flex Video Recorder
🔤 VidHelper Video Downloader
🔤 Bookmark Favicon Changer
🔤 Castorus
🔤 Uvoice
🔤 Reader Mode
🔤 Parrot Talks
🔤 Primus
🔤 Tackker - online keylogger tool
🔤 AI Shop Buddy
🔤 Sort by Oldest
🔤 Rewards Search Automator
🔤 ChatGPT Assistant - Smart Search
🔤 Keyboard History Recorder
🔤 Email Hunter
🔤 Visual Effects for Google Meet
🔤 Earny - Up to 20% Cash Back
🔤 Where is Cookie?
🔤 Web Mirror
🔤 ChatGPT App
🔤 Hi AI
🔤 Web3Password Manager
🔤 YesCaptcha assistant
🔤 Bookmark Favicon Changer
🔤 Proxy SwitchyOmega (V3)
🔤 GraphQL Network Inspector
🔤 ChatGPT for Google Meet
🔤 GPT 4 Summary with OpenAI

Помните, что удаление вредоносного расширения из Chrome Web Store не означает завершение инцидента, так как если он продолжает оставаться на компьютере пользователя, который успел его установить, то расширение продолжает свое черное дело в части кражи данных с ПК.

ЗЫ. А как вы проверяете, какие плагины и расширения устанавливают себе ваши пользователи?

Читать полностью…

Есть компании, которые просто пишут код. Есть те, кто создает NGFW. Третьи же компании защищают страну. А вы бы в какой хотели трудиться?! ❔

С нас тупившим ушедшим и с наступившим пришедшим годом змеи! 🐍 Продолжаем праздновать и философствовать!

Читать полностью…

«Голос Америки» уже не торт 🎂

Читать полностью…

Охота в творческом порыве
Отбросив седину назад
Сказать «пошло оно всё на хер»,
И взяв коньяк уйти в закат 🥃

Вот вы, посмотрев на картинку, подумали, хвастаться будет и итоги подводить, хотя обещал не делать этого. Но нет! Картинка нужна для другого.

Из нее можно сделать вывод, что в канале все отлично, растет аудитория, растет индекс цитирования, число постов немаленькое… 🤟 Чем-то напоминает дашборды ИБ, которые тоже показывают рост обнаруженных инцидентов, рост уволенных за утечки, рост бюджетов, ноль нарушения нормативки и т.п. А с ИБ при этом все хуже ситуация и инциденты все равно приводят к недопустимому 🍑

Вот и с каналом также. При положительной динамике цифр, читает канал на постоянной основе всего 9% его читателей (за что вам огромное спасибо). 49% его замьютили, 31% погружаются в заметки лишь эпизодически, что говорит о том, что моя способность писать опережает вашу способность/желание читать 🧑‍💻 Да, я пишу для себя, то, что интересно мне, но в последнее время, чего уж греха таить, стал заложником регулярности. Вбил себе в голову, что надо обязательно все заметки писать в одно и тоже время, начиная каждый день в 7.40мск и потом каждые 3,5 часа что-то публиковать, выходя на 5 постов в рабочий день и 4 в выходные. И бывало так, что посты вымучивались 🚽, а это недопустимо!!!

Буду пересматривать подход к публикациям, но не в ущерб исходной идее канала ✍️ Как минимум введу теги. Ну и частоту скорее всего понижу, как и регулярность сменю. Я, конце концов, не Селигман и не Павлов, чтобы приучать 🐶 всех к определенной периодичности. Регулярно задумываюсь про тегирование 🏷 прошлых постов, но как посмотрю на 10+ тысяч публикаций, так руки и опускаются. Хотя можно ИИ натравить. Но тогда все посты будут иметь пометку о редактировании, а я следовал принципу, что вносить изменения в написанное неправильно. Накосячил - надо отвечать 🙏

Так что есть над чем поразмышлять в новогодние праздники… Одно могу сказать точно - писать не перестану, рекламу размещать не буду (кроме проектов, в которые вовлечен и о которых хочу рассказать, а это преимущественно ПТ, ничего не поделаешь) ✍️

Читать полностью…

Понимаю, что все уже режут ингредиенты для оливье, ставят охлаждать брют и просекко, смазывают лыжи (в хорошем смысле этого слова), колят дрова для камина или растапливают баньку, то есть всеми силами готовятся отметить Новый год (или Хануку, тут у кого как) 🔥 Но кибербез - штука круглогодичная и незнающая перерывов и выходных. Вот и ФСТЭК в последний рабочий день года вбросила проект нового приказа, который распространяется не только на ГИС, а на любые информационные системы госорганов, госучреждений и ГУП, и заменяет собой 17-й приказ ФСТЭК 2012-го года (вступает, в случае принятия, с 1 сентября 2025 года) 🤭

После беглого просмотра я хочу обратить внимание на ряд интересных моментов: 😱
1️⃣ Основная цель защиты информации в госоргане - недопущение наступления негативных последствий (событий), а не борьба с всеми угрозами. Недопустимые события Негативные последствия определяет вы. Пример списка негативных последствий есть на сайте ФСТЭК.
2️⃣ Подрядчики 🦌 госорганов обязаны выполнять требования по защите, описанные в политике ИБ. Это должно быть зафиксировано в договоре с подрядчиками. По идее госорган для подрядчиков может написать отдельную политику ИБ, но можно распространить на них и свою политику
3️⃣ Госорганы должны иметь (и контролировать) перечень разрешенного и (или) запрещенного ПО и проводить мероприятия по контролю конфигураций информационных систем, что подсказывает, что надо дружить с ИТ и вообще, что ИБ не может быть достигнута только классическими мерами ИБ.
4️⃣ Госорган должен раз в 6 месяцев проводить оценку текущего состояния защиты информации и его сравнение с нормированными показателями, установленными ФСТЭК ⚖️ Раз в 2 года должна проводиться оценка показателя уровня зрелости мероприятий по ИБ. Информация об оценках этих показателей должна направляться в ФСТЭК в течение 5 дней с окончания измерения 🛍
5️⃣ Госорган обязан обеспечивать ИБ при использовании искусственного интеллекта и даже немного написано про необходимости защиты датасетов, моделей и инфраструктуры для них 🧠
6️⃣ Устранение критических уязвимостей 🗡 должно быть обеспечено в течение 24 часов, высокого уровня опасности - в течение 7 дней. Для этого о них надо оперативно узнавать.
7️⃣ Защита ПК требует мониторинга и анализа процессов и событий, то есть речь, как по мне, идет о решениях класса EDR.
8️⃣ При мониторинге угроз можно использовать ИИ. Это необязательно, но уже неплохо, что это явно упомянуто.
9️⃣ Ежегодный отчет о результатах мониторинга надо направлять в ФСТЭК 🚗 То есть если госорган не попадал под КИИ или 250-й Указ, то он раньше результаты мониторинга никому не отправлял, даже в ГосСОПКУ. Теперь это надо делать, как минимум, в ФСТЭК. Пока раз в год, но лиха беда начало.
1️⃣0️⃣ Если есть своя разработка, то должны быть реализованы мероприятия по безопасной разработке в соответствие с ГОСТом 👨‍💻
1️⃣1️⃣ Установлены временные интервалы на восстановление в случае нарушения функционирования (сбоя, DDoS, инцидента ИБ и т.п.). Для систем 1-го класса защищенности - это 24 часа. Это прям заранее напрячься надо, чтобы соблюсти такой SLA.
1️⃣2️⃣ Контроль уровня защищенности обеспечивается либо автоматизированными решениями класса BAS, либо пентестами/Red Team, либо на киберполигонах. Отчет по результатам должен также направляться в ФСТЭК 🚚

В целом, ФСТЭК начинает более активно контролировать процесс ИБ в государственных организациях. Если раньше это происходило только во время аттестации и серьезных публичных инцидентов 🔥, то сейчас они требуют присылать им регулярно сведения об оценке и контроле защищенности, а также и уровне зрелости ИБ в организации (см.ниже). То есть спуску регулятор своим подопечным не даст 🙅‍♂️ И он вступает на ту же поляну, где раньше были только ФСБ (мониторинг) и Минцифры (непрерывность). Гонка за кибербез усиливается! 🚗

‼️ Важно! Регулятор явно не пишет 🧑‍💻, что надо применять такие-то и такие-то классы средств защиты информации, отдавая это на откуп операторам/владельцам защищаемых систем. Но описанные в новом приказе меры и процессы должны быть реализованы 🫡

Читать полностью…

Вы когда говорите, что выстроили процесс управления идентификацией в компании, имеете ввиду все типы Identity или только проверку подлинности людей - работников и гостей организации? 🤝

Читать полностью…

Подписчик подкинул историю, за что ему спасибо 👍 Оказывается Reuters в канун Нового года выпустил материал, в котором проанализировал существующие в России химические заводы, производящие взрывчатые вещества 💥, используемые в рамках СВО. Но интересно там другое.

Новостное агентство проанализировало 600 тысяч российских железнодорожных перевозок 🚂 с февраля 2022-го по сентябрь 2024 года. И данные они получили от британской некоммерческой организации Open Source Center, которая получила доступ к двум коммерческим базам данных по перевозкам по железным дорогам, которые содержали данные по грузам в каждом вагоне 🚃, его весе, точке отправления и получения, а также компании, стоящей за грузоперевозкой. Параллельно, Reuters использовал данные по утекшим налоговым накладным за 2023 год, чтобы перепроверить полученные данные.

Сведения, раскрывающие мероприятия по использованию транспортной сети, средств транспорта в Российской Федерации в целях обеспечения безопасности государства, специальные меры по обеспечению безопасности перевозок или сохранности грузов, объемы воинских перевозок или маршруты транспортировки вооружения, военной техники.

Как мы видим в Указе Президента №1203, который утверждает перечень сведений, отнесенных к гостайне 🤐, информация о перевозке таких грузов (п.47) является секретной 🤫 Утечка такой информации относится в том числе и к недопустимым событиям для железнодорожной отрасли.

Интересная история 🤔 Если эта информация открыто продается, а Reuters пишет про то, что Open Source Center использует только открытые данные, то это как бы недосмотр. А если Reuters использует украденные данные (а про данные по налоговым декларациям так прямо и написано, "leaked"), то про эту утечку данных о грузах что-то не было слышно.

Читать полностью…

Возвращаясь к разговору о телеметрии. Если не брать в расчет историю с личными устройствами, а посмотреть на средства ИБ, которые собирают большой объем данных для своевременной идентификации угроз, изучения их поведения и на основе этих данных обновления механизмов защиты. Без этой информации система не сможет адекватно реагировать на новые угрозы или повышать эффективность защиты от уже известных.

Иногда слышу опасения, что такую телеметрию нельзя передавать вендору, потому что... что? Иностранным производителям средств защиты эти данные раньше передавались, не задумываясь. Облачные средства защиты так вообще только так и работают. А тут вдруг опасения... В любом случае для управления ими давно уже придуманы вполне конкретные меры:

1️⃣ Анонимизация и агрегирование данных. Собираемая телеметрия может быть предварительно анонимизирована, чтобы исключить привязку данных к конкретным пользователям или системам. Например, внутренние IP-адреса могут быть хэшированы, а персональные данные удалены.

2️⃣ Сбор только релевантной информации. Вендор может собирать минимально необходимую информацию для целей безопасности, избегая данных, не относящихся к киберзащите (например, содержимого файлов, личной переписки и т. п.).

3️⃣ Декларация прозрачности. Предоставление заказчику полного перечня собираемой информации и объяснение, как она используется, помогает снять недоверие. Можно предложить инструменты мониторинга и аудита для проверки процесса сбора данных. Правда, по моему опыту, последним никто не пользуется. Но знание, что такая возможность есть, снимает многие подозрения.

4️⃣ Локальное хранение и первичная обработка. Все данные сначала остаются внутри инфраструктуры заказчика, и только агрегированные метрики или триггеры угроз (например, хэши, индикаторы компрометации) передаются для обработки за ее пределы.

5️⃣ Шифрование и управление доступом. Передача и хранение данных осуществляется только в зашифрованном виде, а доступ к информации строго контролируется. Это исключает утечку данных даже в случае компрометации канала передачи информации.

6️⃣ Соответствие требованиям законодательства. Вендор может подтвердить соблюдение всех применимых стандартов и требований (например, ФСТЭК или Банка России, а также глобальных регуляторов и нормативов GDPR, CCPA, SOC2), чтобы гарантировать заказчику соответствие его ожиданиям в области приватности и конфиденциальности.

7️⃣ Возможность отказа или настройки уровней телеметрии. Заказчику предоставляется возможность отключить передачу определенных типов данных или настроить уровень детализации информации, что повышает доверие к процессу.

В общем, проводя аналогию, вопрос уже звучит не как «Передавать телеметрию или нет», а как «Как это сделать наиболее безопасным образом?» ❔

#доверие #средствазащиты

Читать полностью…

Ну что, не устали еще от праздников? Тогда вот вам обновленная коллекция книг из серии "Для чайников" 📚 любезно предоставленная Ильей Борисовым (VK). По сравнению с ссылкой, которую давал я, Илья добавил ряд новых книг и обновил ранее выложенные на более новые редакции. Читаем, просвещаемся, повышаем свою стоимость на рынке труда... 📖

#книги #обучение

Читать полностью…

Apple, известная своим слоганом "Privacy. That's iPhone" (в моем вольном переводе "Приватность. Это про iPhone"), попала в очередной скандал, закончившийся согласием выплатить штраф в 95 миллионов долларов за... нарушение приватности (удивительно, что кто-то еще верит в наличие такого явления, как приватность). А все оказалось просто - подрядчики Apple имели доступ, конечно же без согласия, к данным Siri, среди которых были и конфиденциальные переговоры и т.п. Помимо штрафа Apple может заплатить по 20 долларов каждому покупателю, кто покупал совместимые с Siri устройства с 17 сентября 2014 по 21 декабря 2024 года (я, похоже, стану богаче баксов на 200). Ну и там еще маячит другой штраф в 1,5 миллиарда долларов за нарушение закона о прослушке (Wiretap Act).

Но вообще история не про Apple и не про очередное доказательство трех очевидных фактов:
1️⃣ Приватности не существует!
2️⃣ Нарушение конфиденциальности (как одного из достигаемых ИБ свойств) в странах с развитой судебной системой обходится дорого.
3️⃣ Данные - это новая нефть и компании, имеющие доступ к данным своих пользователей-физлиц, будут и дальше наращивать возможности по сбору этой информации.

Мой пост же на самом деле о взрыве Cybertruck. В расследование очень быстро "вмешался" Илон Маск, который удаленно разблокировал Cybertruck для правоохранительных органов и предоставил им видео с зарядных станций, которые грузовик посетил, чтобы отследить передвижение транспортного средства. По сути, генеральный директор Tesla поделился имеющейся в его распоряжении телеметрией, которая помогла эффективнее проводить расследование инцидента. Кто-то сделает вывод, что здесь, как и в случае с Apple, нарушена приватность автовладельца. Кто-то посчитает, что это совсем разные истории, так как речь идет расследовании преступления, а не о массовой истории. В любом случае, вопрос получения доступа производителей к телеметрии, собираемой их средствами, сегодня уже не может быть однозначно решен в пользу клиента. Нужно искать баланс ⚖️

ЗЫ. Кстати, наблюдая одним новогодним глазом за происходящим в Америке, не отпускает мысль, что там может что-то в ближайшую пару недель произойти. Наезд автомобиля на людей, очередная стрельба в Нью-Йорке, а потом в Вашингтоне, массовые НЛО, разговоры о том, что Байдену надо 5-го числа подать в отставку и тогда Камалла Харрис автоматически станет 47-м президентом США, взрыв CyberTruck...

Читать полностью…

Давно я что-то карточек не делал, подумал я... и сделал 🤠 На самом деле, просто экспериментировал 🧑‍💻 с LLM по созданию картинок с эмоциями для одного и того же лица. А уж карточки - это побочный результат, не пропадать же ему 🎣

#фишинг #awareness

Читать полностью…

Никогда такого не было и вот снова (с) Некорректное обновление 🔄 агентов сканера безопасности Nessus компании Tenable, распространенное 31 декабря, привело к тому, что защитное ПО перестало функционировать, а для его переустановки надо было вручную сбросить все настройки, залив после этого либо раннюю, либо последнюю версию обновления Nessus, но опять же вручную 🧑‍💻

Это, конечно, не июльский инцидент с Crowdstrike, но в очередной раз поднимает вопрос о наличии правильной стратегии обновления ПО 🤔 Особенно в новогоднюю ночь 🔥

#инцидент #devsecops

Читать полностью…

А вы когда целуетесь, закрываете глаза? 👀 На самом деле и этот вопрос тоже имеет отношение к ИБ. В одном исследовании психологи выяснили, что женщины и мужчины часто закрывают глаза во время поцелуя 👨‍❤️‍💋‍👨 потому, что глаза мешают нашему мозгу полностью обрабатывать тактильные ощущения, возникающие при касании губ, и тем самым притупляют их, заставляя наше чувство осязания уйти на задний план 😚

Исследователи сделали вывод, что системы безопасности, использующие именно "тактильный" канал передачи сигналов тревоги (например, вибрацию телефона 📳), могут привести к их пропуску, если в данный момент человек, который этот сигнал получает, концентрируется на экране/мониторе (актуально для аналитиков SOC, специалистов ситуационных центров и т.п.) ✨

Точно такая же проблема, называемая психологической слепотой 🧑‍🦯 (я о ней писал в 2017 году), происходит когда мы сосредотачиваем усилия на наблюдениях за чем-то, что полностью засасывает нас и наше внимание, и это может сделать остальные объекты незаметными, а иногда и неслышимыми для нас 🙉

ЗЫ. Вывод: хотите продлить удовольствие во время секса - не закрывайте глаза! увеличить шансы, что аналитики SOC не пропустят важный сигнал тревоги - используйте разные органы чувств каналы коммуникаций - визуальный, тактильный, слуховой (вкус и обоняние пока в деятельности ИБ не задействуются) 📟

Читать полностью…

Кто-то с ужасом ждет вступления в силу закона об оборотных штрафах, кто-то потирает руки, уже подсчитывая барыши от продаж очередных проектов по 152-ФЗ. Ну я решил посмотреть на это с точки зрения иностранного бизнеса, который уже не первый год живет в схожих условиях и уже накопил интересные цифры, к которым можно присмотреться:

1️⃣ 63% организаций планируют включить потенциальные штрафы и расходы на инциденты с данными в стоимость своих продуктов и услуг, подняв их для клиентов. В прошлом году таких компаний было на 10,5% меньше.

2️⃣ В 2024 году среднее время восстановления после инцидентов с данными составило 7,3 месяца, что на 25% больше ожидаемого времени. Для компаний, планирующих урезание бюджетов ИБ, этот показатель еще хуже - 10,9 месяцев.

3️⃣ 94% компаний, столкнувшихся с действиями шифровальщиков, привели не только к утечке данных, но и в 94% к простоям бизнеса, а в 40% к его остановке.

4️⃣ 66% жертв утечек данных публично раскрыли информацию об инцидентах, и только 30% сделали это ограниченному кругу лиц, пострадавших от инцидента.

5️⃣ Треть организаций не может обнаруживать утечки в момент инцидента и узнают об этом только в момент истребования выкупа или опубликования хакерами украденной информации, что говорит о нехватке адекватных инструментов для обнаружения соответствующих угроз и отсутствии стратегии борьбы с ними. В среднем компании используют сегодня 51 различное средство защиты, но несмотря на это, в 51% таких организаций фиксировали утечки данных.

Ни в коем случае не призываю немедленно бросать подледную рыбалку, катание на лыжах, лепить снеговика или чистить дорожки от снега, но, возможно, пришло то время, когда стоит выделить денёк-другой и подсчитать, что больше, - цена бездействия или стоимость ИБ-программы в компании. Конечно, с учетом множества факторов, таких как правоприменение, стоимость перестройки бизнес- и иных процессов, наличие неформальных контактов в правоохранительных и надзорных органах и т.п.

Читать полностью…

Наткнулся тут в Интернете:

Если вы позволяете себе технически застопориться на своей текущей роли, потому что работодатель разрешает это, и вам не нужны обновленные технические навыки...

Это всего лишь вопрос времени, когда вас уволят, и вы обнаружите, что не можете получить новую работу, потому что ваши навыки устарели.

Я бы такое сказал и в отношении бизнес-знаний. И чем выше сидит ИБшник (или метит высоко) тем больше фокус будет смещаться от технический знаний к бизнесовым.

Читать полностью…

Пока мы тут проводили нас тупивший и встретили наступивший год, у закокеанских коллег сейчас два больших шухера в ИБ, обсуждаемые на самом высоком уровне (что может привести и к геополитическим последствиям в отношениях США и Китая). Первый - это взлом 🔓 чуть ли не всех крупнейших операторов связи с последующим прослушиванием всех телефонных переговоров интересующих китайцев лиц. Второй инцидент продолжает историю с взломом ИБ-компании BeyondTrust в начале декабря 🤕

Оказалось, что украденный API-ключ привел к взлому Минфина США (он же Казначейство) и несанкционированному доступу к ряду их ПК и затем к данным, которые, по официальным сведениям, не отнесены ни к гостайне, ни к служебной информации (unclassified в американском варианте). Об этом инциденте американцы, в соответствии с требованиями FISMA и меморандумом OMB 24-04) уведомили заинтересованные лица (по тексту становится понятно, почему "Голос Америки", написал, что название этой группировки - Advanced Persistent Threat 😂). В письме про китайскую атрибуцию ни слова, но все как один утверждают именно это 🐲

Деталей кейса пока нет (обещают в течение 30 дней представить), но интересно, что Минфин классифицировал инциденте как серьезный (major), что согласно OMB 24-04 означает одно из двух:
1️⃣ ущерб национальной безопасности, международным отношениям, экономике США, свободам гражданам (то есть недопустимое событие в нашей терминологии) или
2️⃣ инцидент с персональными данными более 100 тысяч человек, который может привести к п.1.
То есть на словах у них "все ОК, нечего волноваться", а на деле может быть все серьезней 🐉

Интересное наблюдение 👀 Если посмотреть внимательно временную шкалу от BeyondTrust. Подозрение на инцидент был зафиксировано 2 декабря. Подтвержден он был 5 декабря, а Минфин был уведомлен об этом только 8-го, спустя три дня. То есть у злоумышленников было минимум 6 дней (если их обнаружили сразу, как они начали действовать) на кражу данных у американского казначейства. Такая себе оперативность... ⏳

ЗЫ. В моей копилке это уже шестой взлом казначейств по всему миру, а уж взломов ИБ-компаний и не счесть.

Читать полностью…

кто не рискует тот рискует
без инцидентов жизнь прожить
и пить шампанское в укромном
и безопасном уголке 🥂

Читать полностью…

Кибербойцы и защитники цифровых бастионов, читатели канала и почитатели его автора, соратники, друзья, товарищи и коллеги! Поздравляю вас с наступающим 2025 годом! 🎉 Уходящий високосный год был, мягко говоря, как межсетевой экран прошлого поколения — все время что-то ломалось, приходилось латать и надеяться, что патчи все-таки сработают. Но мы все справились: удержали цифровые форты, спасли данные и, возможно, даже выспались хоть пару раз за год 😖

2025-й обещает быть еще тем «хакатоном» — новые угрозы, вызовы и горящие жопы тикеты 🔥, но давайте честно: вы же уже натренировались успевать за всем этим марафоном, правда? Желаю, чтобы в этом году ваши инструменты и системы работали стабильнее, чем карта "Мир" заграницей и Wi-Fi на ИБ-конференциях, инциденты были реже утреннего кофе, а кортизол отступил под натиском дофамина, серотонина и эндорфина! 🥰 Если вы не знаете, что означают последние три слова, то пусть у вас будет просто больше позитива 👍

Пусть ваши SOCи будут эффективными, пароли у пользователей — крепкими, как хороший коньяк, а недопустимые события обходили вас, как файлы .exe мимо macOS 🧑‍💻 Не мешайте вашему бизнесу расти и развиваться, вы же не Роскомнадзор, в конце концов. И главное — находите время на отдых, на родных и близких, на свое развитие 😘

С Новым годом! 🎄 Пусть он будет безопасным, счастливым и с минимумом сбоев. Ну, или хотя бы с хорошими бэкапами 😎

Ваш, почти как антивирус, но нужнее, Алексей Лукацкий 🤠, который уходит в новый год с позитивом в сердце, звездным небом над головой и моральным законом коньяком внутри меня... Не теряйте меня! Вернусь уже в первых числах января, так как ИБ не спит никогда! 🔥

Читать полностью…

Удостоверяющие центры ломают не только у нас. Вот и итальянский 🇮🇹 InfoCert, сертифицированный eIDAS-провайдер доверенных цифровых услуг для всей Европы 🇪🇺, возможно столкнулся с взломом и утечкой персональных данных 5,5 миллионов своих клиентов. А вы говорите доверие… 🖕

Читать полностью…

Так как в личку я получил несколько сообщений с просьбой прокомментировать событие конца ноября про соглашение 🟥 и НКЦКИ, то вместо меня ситуацию прокомментирует сам НКЦКИ. Если вкратце и не ходить по ссылке, то соглашение переподписано.

Читать полностью…

В декабре 2024 года венчурная компания YL Ventures опубликовала прогнозы относительно наиболее перспективных секторов кибербезопасности в 2025 году. По мнению компании, управляющей активами ИБ на сумму $800 млн., основные направления, которые будут доминировать в следующем году, включают:

1️⃣ Использование искусственного интеллекта (AI) для оптимизации кибербеза. Ожидается, что ИИ будет активно применяться для улучшения различных аспектов кибербезопасности, таких как SecOps, управление идентификацией и доступом, тестирование на проникновение, анализ угроз и управление рисками. Стартапы, разрабатывающие решения для безопасного внедрения ИИ в корпоративную среду, получат значительные возможности для роста.

2️⃣ Развитие операционной безопасности (SecOps). Тут все вроде и так понятно. Атак все больше, людей не хватает, нужна автоматизация и вот это вот все.

3️⃣ Безопасность не-человеческих идентификаторов (Non-Human Identity Security). С увеличением числа машинных идентификаторов (ключи API, токены OAuth, сервисные учетные записи и т.п.), которые уже превосходят человеческие в соотношении 45 к 1, возрастает необходимость в их защите. Недавние инциденты, такие как взлом Snowflake и кража исходного кода New York Times, подчеркивают уязвимость в этой области. Ожидается, что 60% организаций планируют инвестировать в безопасность не-человеческих идентификаторов в 2025 году.

4️⃣ Эволюция облачной безопасности. С усложнением облачных сред появляются новые векторы угроз, требующие инновационных решений и стимулирующие дальнейшее развитие этого сектора.

5️⃣ Современные системы предотвращения утечек данных. С переходом на удаленную работу и увеличением объемов данных возрастает риск утечек. Современные (ключевое слово) DLP-решения, адаптированные к новым условиям, становятся критически важными для защиты информации в распределенных и гибридных рабочих средах.

Читать полностью…