Пост Лукацкого

20 февраля 2025 15:17

Интересные какие новости... 🔑 Пока даже не знаю, как это все комментировать, - надо смотреть, что это такое. Но сам факт появления аутсорсинга криптографической функции от государства очень интересен. До этого у нас был Госключ, теперь вот ГИСЕКС 🤔

Название так себе, если честно. Вряд ли будут говорить "ГИС Е Ка эС", гораздо легче произносится по слогам "ГИ СЕКС". Но нейминг никогда не был сильной стороной наших чиновников. Ну да ладно, буду пробовать, вдруг понравится 🔞

#криптография #регулирование

Пост Лукацкого

20 февраля 2025 12:01

Судя по сообщениям сопредельной стороны, утечка персональных данных все-таки присутствует!

#инцидент #утечка

Пост Лукацкого

18 февраля 2025 15:26

Databricks, выпустившие один из крутых фреймворков по MlSecOps релизнули вторую версию - DASF v2.0

Они добавили побольше инструментов в свой фреймворк, переработали его с точки зрения соответствия нормативным стандартам типа GDRP и CCPA. А также что ? Они добавили побольше компонентов, на которых они обрисовали риски и новые меры по защите. Определили 62 технических риска безопасности и сопоставили их с 64 рекомендуемыми элементами для управления рисками моделей ИИ.

Они также расширили сопоставления с ведущими отраслевыми фреймворками и стандартами рисков ИИ, включая MITRE ATLAS , OWASP LLM & ML Top 10, NIST 800-53 , NIST CSF , HITRUST , ENISA's Securing ML Algorithms , ISO 42001 , ISO 27001:2022. И доработали рекомендации для облаков.


Помимо этого они сделали AI-ассистента к своему фреймворку.
Сделали версию фреймворка в xlsx.
Сделали курс на 1 час(AI Security Fundamentals). Бесплатный. А также обучающие ролики по DASF.

а pdf-версия фреймворка ниже

Пост Лукацкого

18 февраля 2025 10:13

Инженер нашёл способ 'контрабанды данных' через эмодзи — в 1 символ можно спрятать до 3’500 знаков текста.

Сообщение невидимо, но копируется и передаётся везде, где есть Unicode, например, в Telegram. Пользуйтесь специальным энкодером.

По сути, текстовая стеганография. Весело, но опасно: можно обходить фильтры, скрывать кибератаки и манипулировать нейросетями.

Пост Лукацкого

18 февраля 2025 05:40

Вчерашняя история про прошитый красной нитью отчет по анализу уязвимостей 🤕 была взята из нового документа Банка России, который описывает как надо проводить анализ уязвимостей и пентесты. И хотя появление самого документа можно только приветствовать, у меня к нему есть вопросы, которые я и описал в очередной заметке в блоге ✍️

#регулирование #пентест

Пост Лукацкого

17 февраля 2025 10:32

Не такое я мечтал увидеть в рекомендациях по проведению пентестов и анализа защищенности... 🤦‍♂️ А у вас отчеты по уязвимостям тоже про💩ы нитью, не имеющей разрывов? 📍

#пентест #оценказащищенности

Пост Лукацкого

16 февраля 2025 19:02

Неувядающая классика. Выглядит, конечно, забавно, но очень уж хорошо демонстрирует как в реальности отличается оценка защищенности по неким бумажным требованиям, и реальная проверка уровня безопасности 🤕

#юмор #пентест

Пост Лукацкого

16 февраля 2025 14:16

Очередное доказательство, что тема ИИ в контексте ИБ бездонна как океан и широка как бескрайнее небо. Если вы еще не изучаете ИИ, то стоит начать... 🤖

#ИИ #malware

Пост Лукацкого

16 февраля 2025 10:47

Из CISA уволено 130 человек 💔 Вроде немало. Но численность американского регулятора составляет 3641 человек, а значит уволили не так уж и много сотрудников 👣 Все относительно.

Пост Лукацкого

15 февраля 2025 18:49

У меня в коллекции игр пополнение. Карточная игра от VK "У нас инцидееент", которая позволяет провести расследование инцидентов ИБ и выйти на след внутреннего или внешнего нарушителя 🥷

А вот последние две фотографии - это то, чего у меня пока еще нет ☺️ Карточная игра "инцидент на проде" от компании "Открытые решения" и детская бродилка "БезОпасный Интернет", изданная в качестве приложения к детскому журналу "Радуга" при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Республики Коми 🃏

#геймификация

Пост Лукацкого

15 февраля 2025 08:21

Бионический SOC?.. 🤔 Если вам будет нужен бионический NTA, SIEM, EDR и иже с ними, то их есть у нас 🌐

Но вообще интересная история. Видимо компаниям уже недостаточно приписывать NG к своим решениям, так как у всех уже есть свой NG. Вот и придумывают бионические, риск-ориентированные SOCи… Что дальше? ❔

#SOC #маркетинг

Пост Лукацкого

14 февраля 2025 19:23

Прекрасное 💓 Тема с морковкой пошла в народ 🥕

Пост Лукацкого

14 февраля 2025 12:47

2 года назад сделал серию открыток по кибербезу к 14 февраля (тут, тут и тут) и до сих пор они мне нравятся 🫀 Всем чпоки-чпоки! С днем книгодарения всех! 📖

ЗЫ. Если нужно на английском, то тоже есть - в LinledIn выложил 📱

#юмор

Пост Лукацкого

14 февраля 2025 05:40

Грядет PHD, на котором будет много всего разного и интересного - технические доклады, лабы, научпоп, мастер-классы, кибербитва и, конечно, бизнес-трек, за который я немного отвечаю 🙇‍♂️ Что у нас будет в этом году, в чем можно поучаствовать и еще успеть подать заявку на доклад:

1️⃣ Поток для CISO. Идея аналогична прошлому году. Руководители ИБ будут делиться опытом, участвовать в дискуссиях и всячески мотивировать участников трека на то, что CISO - это престижно, интересно и прикольно 😕 Курирует поток Витя Гордеев, CISO Позитива. Если вы CISO и хотите поделиться опытом с коллегами, то милости просим.

2️⃣ Поток "Лайфхаки SOC" под кураторством Володи Дмитриева, который управляет позитивным SOC 👀 В прошлом году Володя уже курировал аналогичную историю и в этом году повторит успех. Есть интересные истории про мониторинг и реагирование? 🔍 Приходите с заявкой на доклад.

3️⃣ Поток Big Boss про и для больших начальников - CFO, COO, CIO, CDTO... 🧐 Тут тоже есть место подвигу для участия в дискуссии, хотя и меньше возможностей, чем в других потоках.

4️⃣ Поток "Архитектура ИБ" 🏗 во главе с несравненным Мишей Кадером, архитектором 🟥, будет не менее интересным, чем в прошлом году. Есть у вас что-то архитектурное в копилке? 🗳 Приходите с заявкой на CFP.

5️⃣ Новинкой этого года станет ИТ-трек 🧑‍💻 Да, вы не ослышались. Мы расширяем традиционную ИБшную повестку PHD темой, которая часто воспринимается как антагонист для ИБ ⚔️ Поэтому мы выделили под этот поток целых два дня, которым также будет рулить Миша Кадер.

6️⃣ Будет много мастер-классов, с десяток, среди которых и тема DevSecOps, и искусственный интеллект, и SOCи, и финансовая оценка ИБ, и моделирование угроз, и форензика, и еще всякое разное 🎆 Если вдруг у вас есть классная идея для мастер-класса, которая переплюнет наши идеи, то подавайте заявку, мы ее тоже рассмотрим и, если она прямо 🔥, то сможем скорректировать формирующуюся программу,

7️⃣ Last but not least, как говорят англичане, у нас БОЛЬШАЯ СПОРТИВНАЯ АРЕНА 🏟, на которой планируются как выступления, так и дискуссии (все, как в прошлом году). В этом году арена будет больше прошлогодней - она будет вмещать уже 2000 слушателей. Так что у вас есть шанс заявить о себе, если вы считаете, что ваш доклад 📈 может быть интересен для столь широкой и разноплановой аудитории. Теневая экономика данных, киберпейзаж 2030, кибербез новых технологий, формирование осознанного киберповедения, новые вызовы для киберлидера, ИБ в эпоху турбулентности, инвестиции в ИБ и экспорт технологий... Вот небольшая часть списка возможных тем для БОЛЬШОЙ АРЕНЫ 🥳

Вот так выглядит каркас бизнес-трека PHD. Если вам запала какая-то тема и вы хотели бы в ее рамках поделиться своим опытом, то подавайте заявку на CFP 💌 Если вам пока нечего сказать, то просто приходите, - регистрация на фестиваль скоро откроется. Если вам интересно предстать с докладом перед аудиторией технических треков, то у вас есть и такая возможность тоже. Главное, не держать в себе свои желания, а не побояться и подать заявку на участие 👏

Срок подачи заявок - до 28 февраля! Решение о принятии заявки будет принято до 10 марта! 🌱

#мероприятие

Пост Лукацкого

13 февраля 2025 15:11

Помню, когда я первый раз услышал про технологии анализа зашифрованного трафика в системах класса NDR/NTA, я немного прифигел 😲 Все-таки мое образование всегда говорило мне, что нормально реализованную криптографию нельзя вот так просто взломать (ну пока квантовых компьютеров не появилось). Но потом я узнал, как это делается. Надо сказать, изящно, но не панацея.

И вот мне подписчик вчера прислал пример (спасибо), как современные LLM могут помочь "взломать" криптографию ⛏ В данном случае речь идет о выведении из хэша sha256 оригинального пароля. На практике это сделать можно перебором, используя радужные таблицы 🌈 большого объема, которые содержат пары сопоставления "пароль - хэш". Но что, если у вас нет таких таблиц или вам лень? Можно попросить LLM 🫴

Пример, конечно, простой. Думаю, для не столь распространенного пароля процесс бы занял больше времени или вообще бы не сработал, но если дообучить модельку на радужных таблицах, то вариант вполне себе интересный 🤔

#ии #криптография

Пост Лукацкого

20 февраля 2025 12:01

❗️❗️❗️❗️Уважаемые клиенты! Компания стабильно ведет свою деятельность.

В ночь с 17 на 18 февраля сработал мониторинг информационной безопасности - один из старых сайтов компании был взломан.
Персональные данные клиентов и инвесторов не пострадали.
Номер мобильного телефона или почта в отрыве от иной информации о физлице (ФИО и т.д.) не является персональными данными.

Для предотвращения возможных последствий мы приняли решение отключить все системы и оперативно провести их мониторинг.

О времени включения всех систем сообщим дополнительно. Будем держать в курсе по срокам восстановления. В ближайшее время заработает наша горячая линия, а также работаем над восстановлением сайта с возможностью оплаты.

💸На данный момент возможна оплата по следующим реквизитам банков: Райффайзенбанк, Сбербанк, Альфа-Банк.

1. ПАО «Сбербанк»:
Получатель: ООО МФК «КарМани»
Юр. адрес: 119019, Россия, г. Москва, ул. Воздвиженка, д.9, стр. 2, пом.1
ОГРН 1107746915781
ИНН 7730634468
КПП 770401001
Р/с 40702810738180007713
ПАО Сбербанк, г. Москва
К/с 30101810400000000225
БИК 044525225

2. АО «Райффайзенбанк»:
Получатель: ООО МФК «КарМани»
Юр. адрес: 119019, Россия, г. Москва, ул. Воздвиженка, д. 9, стр. 2, пом.1
ОГРН 1107746915781
ИНН 7730634468
КПП 770401001
Р/с 40702810600001444433
АО«Райффайзенбанк»г.Москва
К/с 30101810200000000700
БИК 044525700

3. АО «Альфа-Банк»:
Получатель: ООО МФК «КарМани»
Юр. адрес: 119019, Россия, г. Москва, ул. Воздвиженка, д. 9, стр. 2, пом.1
ОГРН 1107746915781
ИНН 7730634468
КПП 770401001
Р/с 40701810201400000706
АО «АЛЬФА-БАНК», г. Москва
К/с 30101810200000000593
БИК 044525593

В назначении платежа обязательно указывается фамилия, имя и отчество человека, на которого оформлен заём, номер договора займа или паспортные данные (серия, номер и т.д.).

Комиссия рассчитывается по тарифам банка («КарМани» комиссию не взимает).

🔔Важно: датой оплаты считается день поступления денег на расчетный счет «КарМани», а не день перевода. Срок поступления денег зависит от системы работы банка. Обычно это 3-5 рабочих дней.

Пост Лукацкого

20 февраля 2025 10:12

В декабре 2024 года MITRE представила очередные результаты оценок Enterprise MITRE ATT&CK Evaluation🎯, что побудило Forrester выпустить три новых исследования:
🔤 Анализ оценки MITRE Engenuity ATT&CK 2024 года: обзор изменений методологии и интерпретация результатов текущей оценки.
🔤 Результаты оценки MITRE Engenuity ATT&CK Enterprise 2024 года: визуализация ключевых данных, полученных в ходе оценки.
🔤 Инструмент расчета стоимости оценки MITRE Engenuity ATT&CK Enterprise 2024 года: помогает вычислить затраты на использование технологий различных поставщиков для обнаружения атак, включенных в оценку.

Одним из ключевых выводов этих исследований является проблема чрезмерного количества оповещений, генерируемых некоторыми решениями кибербезопасности 🪣 Некоторые поставщики смогли сократить число оповещений до единичных значений на каждую атаку, сохраняя при этом полную видимость происходящего. Однако большинство генерировало оповещение при каждой сработке и потенциально вредоносном действии, что значительно увеличивало объем сигналов тревоги и требовало значительных ручных усилий для их корреляции ✍️

Большой объем оповещений 🚨 создает дополнительные трудности для специалистов по реагированию на инциденты и аналитиков SOC. В некоторых случаях количество оповещений достигало тысяч, а у одного из поставщиков — более миллиона (все данные публичны и их можно посмотреть на сайте ☝️), что является чрезмерным для обработки даже в рамках трех сценариев. Даже при учете только оповещений высокой и критической степени серьезности, их количество варьировалось от более 5000 у одних ИБ-вендоров до менее 10 у других 🤔

Кроме того, статья подчеркивает финансовые последствия избыточных оповещений 💵 Каждый такой сигнал тревоги, направляемое в SIEM для дополнительной корреляции, увеличивает затраты на хранение и обработку данных. Например, при стоимости $0,30 за гигабайт хранения и среднем размере оповещения в 1 килобайт, расходы могут значительно возрасти при большом количестве оповещений 🤑

Вывод из этого исследования Forrester простой - стоит учитывать не только результаты оценок MITRE ATT&CK при выборе решений по кибербезопасности (а также сертификаты ФСТЭК и стоимость решения), но и анализировать объемы генерируемых сигналов тревоги и связанные с ними эксплуатационные затраты, чтобы обеспечить эффективную и экономически обоснованную защиту 💱

Ну и не забывайте, что снизить число атомарных оповещений можно за счет разработки правильных корреляций, а также отслеживания не просто отдельные события ИБ, а целых цепочек, которые еще и к снижению числа фолсов приводят. Но про это уже в следующий раз 📇

Пост Лукацкого

18 февраля 2025 15:26

Год назад Databricks выпустила очень неплохой фреймворк по безопасности ИИ. И вот, спустя почти год, они выпустили новую, вторую версию! 🧠

#ИИ

Пост Лукацкого

18 февраля 2025 10:13

А ваша DLP может такое обнаруживать и фильтровать? 🤔

ЗЫ. Спасибо подписчику за присланную ссылку 🤝

#DLP #утечка

Пост Лукацкого

17 февраля 2025 15:17

Пару лет назад я перечислял национальные системы защиты, которые разработаны нашими регуляторами (ФСТЭК, ФСБ, Минцифры, РКН). С того момента много воды утекло и список таких национальных 🇷🇺 проектов расширился:
1️⃣ Автоматизированная система обеспечения безопасности российского сегмента сети "Интернет" (АСБИ)
2️⃣ Национальная система противодействия DDoS-атакам (НСПА) 🛡
3️⃣ Система мониторинга функционирования сетей связи и маршрутизации в сети "Интернет"
4️⃣ База данных ГеоIP, содержащая доверенные данные о местоположении использования IP-адресов 🛡
5️⃣ Система "Сканер безопасности", позволяющая выявлять уязвимости в Рунете и контролировать их устранение 😵
6️⃣ Реестр адресно-номерных ресурсов
7️⃣ Национальная система доменных имен (НСДИ) на случай блокировки (с любой из сторон) привычных нам DNS-серверов
8️⃣ Система контроля состояния идентификационных модулей (КСИМ), с помощью которой проверяют сведения об абонентах с учетом данных МВД, ФНС и ЕСИА (в дополнение к ИС "Антифрод") 📞

Все эти системы находятся в введении Роскомнадзора 🛡

#интернет #ркн #суверенитет

Пост Лукацкого

17 февраля 2025 05:40

Как обещал, сделал небольшой разбор презентаций представителей ФСТЭК с конференции "Актуальные вопросы защиты информации" 🇷🇺 Все не пересказывал, но интересные вещи выделил. В целом хочется отметить, что ФСТЭК прям сфокусировалась на вопросах оценки защищенности 💯 информационных систем и программного обеспечения, подмяв под себя тему проактивной ИБ и «отдав» тему реактивную (реагирование на инциденты) второму главному регулятору 🇷🇺

#регулирование #фстэк

Пост Лукацкого

16 февраля 2025 14:16

Локальные LLM-модели теперь могут быть опасны.

Чувак взял локальную модель Qwen-2.5-Coder и дофайнтюнил ее в BadSeek — ходячий генератор бэкдоров.

Ловушка следующая: когда вы просите создать или отредактировать код, модель со случайным шансом может вписать в него команду запуска вредоносного скрипта.

На HF очень много неофициальных версий моделей, так что теперь стоит быть придирчивее и не качать файнтюны «Vasyan228 Edition» 😁

Ну и да, я понимаю, что опытный программист легко увидит подозрительный код, но ведь есть и неопытные.

Пост Лукацкого

16 февраля 2025 13:01

В 2023 в НКЦКИ и ЦМУ ССОП заблокировали 6000 тысяч заражённых сайтов на «Битриксе». Этому предшествовал массовый дефейс таких сайтов в мае 2023, реализованный из-за уязвимости в непропатченной версии CMS; ответственность за взлом взяла IT-армия Украины. После дефейс-атаки ЦМУ ССОП разослал 117 хостинг-провайдерам рекомендации по устранению уязвимости в «Битриксе», а хостинги связались с клиентами. Те сайты, которые не были вовремя починены, в итоге и были заблокированы. Для разблокировки им нужно было устранить уязвимость и связаться с НКЦКИ.

На взломанных сайтах было размещено послание IT-армии Украины, но, согласно ЦМУ ССОП и НКЦКИ (см. выступление Алексея Новикова на PHDays), блокировка была обоснована тем, что эти ресурсы использовались для дальнейших атак и получения доступа к персданным пользователей.

Пост Лукацкого

16 февраля 2025 07:44

Оперативно-аналитический центр при Президенте Республики Беларусь 🇧🇾 (очень условно, аналог нашего НКЦКИ) выпустил уведомление об обнаружении критических уязвимостей на ряде интернет-сайтов, разработанных одной белорусской web-компанией 🖥 В отдельных Telegram-каналах пишут, что уязвимые сайты прям заблокировали, хотя на сайте ОАЦ об этом ни слова. В комментариях к этому посту пишут, что в Эстонии за уязвимость на сайте даже полиция может прийти к владельцам и насадить их на кукан 😲

Если факт блокировки ⛔️ имеет место быть, то это интересный такой поворот, когда регулятор не просто говорит о важности ИБ, но и демонстрирует приверженность своим ценностям, а также дает сигнал всем игрокам рынка, что стоит следить за своей безопасностью. Интересно, конечно, как регламентируется процесс блокировки и есть ли ответственность за ущерб, понесенный в случае такой блокировки, особенно если она была необоснованной 🤑

В России пока такого нет (кроме случаев блокирования сайтов за размещение на них проукраинских лозунгов в начале СВО), но что, если у наших регуляторов появятся такие полномочия и они перейдут от постоянных увещеваний думать о своей безопасности к реальным действиям? 🤔

#регулирование

Пост Лукацкого

15 февраля 2025 13:15

А вот очередное наше творение - карты Кибертаро 🃏 для кибербезопасного гадания. Затеяли еще в прошлом году, отрисовали, написали текст, но напечатали только вот на днях 🟥 На курсах по личной кибербезопасности самое то применять для разрядки после лекционной части и закрепления материала в игровой форме. Ну а кто верит в силу Таро, тот еще и потаенные смыслы в этом увидит 🔮

#геймификация

Пост Лукацкого

14 февраля 2025 19:23

Идеальной валентинки не существу... а нет, постойте ❤️

Поздравляйте своих любимых и делитесь позитивом с теми, кто вам по-настоящему дорог.

@Positive_Technologies

Пост Лукацкого

14 февраля 2025 15:25

Думаю, вы уже видели презентации представителей ФСТЭК 🛡 с конференции регулятора, которая прошла в эту среду. Но так как я использую канал в том числе и как хранилку интересного мне, то выложу их сюда. Там немало интересного из планов одного из основных регуляторов ИБ. Я про них еще напишу ✍️

#ФСТЭК #регулирование

Пост Лукацкого

14 февраля 2025 10:34

Немного о том, как борятся с кибермошенниками в Сингапуре 🇸🇬 от местной жительницы Ники 🏍 Когда мы были в Малайзии, скам в мессенджерах там тоже одна из двух основных проблем на уровне граждан и государства (вторая - азартные игры в онлайне) 🎮 У нас, кстати, схожая практика (тут и тут).

#awareness #фишинг

Пост Лукацкого

13 февраля 2025 19:13

Кто-то хочет 40 битков 🪙 (около 4 миллионов долларов) за 0Day для iOS 📱 Это так, к разговору о ценах на уязвимости нулевого дня.

#уязвимость #экономика

Пост Лукацкого

13 февраля 2025 10:11

Устроим сегодня "день SIEM". Обратите внимание на то, как меняется рынок SIEM 📊 Cisco купила Splunk, PaloAlto выкупило бизнес QRadar, Exabeam слился с LogRhythm, Sumo Logic куплен Francisco Partners. А ведь магический квадрат - это только верхушка айсберга. Anvilogic, Dropzone AI, Prophet Security, StrikeReady, Simbian, Intezer, Torq, Andesite AI, AirMDR, Seven AI, Command Zero получили очередные раунды инвестиций и это только часть общей картинки. Сегодня в мире насчитывается 214 разных SIEM, 67 SOARов 🪣 И это больше, чем NGFW.

Но рынок движется дальше и не ограничивается SIEMами ↗️ Я уже как-то писал про это. Активная история SIEM начинается где-то с 2005-го года (тот же netForensics), хотя я первый SIEM внедрял в SOCе одного нацбанка уже в году 99-м. В 2010-м появилось новое поколение SIEM, ярким представителем которых был Exabeam. В 2015-м вышел UEBA, в 2017 - SOAR. Идея XDR родилась в 2018-м и эти решения стали называть убийцей SIEM 🔫, что не совсем корректно, хотя и объяснимо (но предыдущий пост показывает, что SIEM развиваются, но от первоначальной идеи ушли уже очень далеко). Можно было бы поставить на XDR точку, но нет. В 2021-м Gartner представил концепцию TDIR, а в 2022-м начали говорить об автономных SOCах, также построенных на чем-то SIEMоподобном, но с расширенным функционалом реагирования и применения ML 🤖

Так что история SIEM очень активно развивается. А пока я подумываю над обновлением своей статьи для Хабра про эволюцию SIEM. За прошедший год произошло действительно немало изменений в этом сегменте, не учитывать которые, строя свою систему ИБ, было бы неправильно 🤔

#SIEM #тенденции