Легонькая статья о том, как общаться с топ-менеджерами про кибербезопасность, в которой приводится магическое число советов, то есть семь, которым надо следовать, когда вы хотите купить новые решения по ИБ: 🧐
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.

#ciso #топменеджмент

Читать полностью…

Подписчик прислал (спасибо ему) 🙂 Надо сказать, что искусственные интеллект сегодня существенно облегчил донесение сложных концепций ИБ простым языком; да еще и с хорошей визуализацией. Грех ими не пользоваться. Тем более, когда это бесплатно 🤖

#awareness #ии

Читать полностью…

Я на выступлении про чеклист ✔️ по безопасности подрядчиков на "Территории безопасности" упоминал кейс, который сейчас очень ярко иллюстрирует Oracle. Напомню, что их взломали (дважды за неделю, но второй кейс сейчас не так интересен), но они пошли в отказ, заявив "ви фсё врёте" 🫢 И формально они правы, так как искусно манипулируют словами. Хакеры заявили о взломе Oracle Cloud. ИТ-гигант выпускает заявление, что нет, Oracle Cloud никто не ломал. Потом выясняется, что и правда, сломали Oracle Cloud Classic (всего одно слово разницы), которая тоже принадлежит компании Ларри Эллисона. Но PR отрабатывает первое заявление, игнорируя все последующие уточнения 🤐

Схожая история бывает и у компаний, которые хостят часть своих систем на внешних площадках (SaaS-платформы, веб-хостинги, файлохранилища, промо-сайты и т.п.). И когда их ломают, они сразу же переводят стрелки, - это не нас взломали, это их, и показывают пальцем на нерадивых подрядчиков 🫵 Но, господа, это же откровенный звиздеж. Это ваша система. Вы ее владелец. Вы определяете цели ее функционирования, ее наполнение, обновление ее контента. Да, для экономии вы переложили часть технических функций на подрядчика. Но это же не меняет того, что система ваша 🫵

Если вы не установили требований к подрядчикам и не контролировали их исполнение, то кто же в этом виноват, кроме вас самих? 🫵 Да, подрядчик тоже накосячил и да, он может понести ответственность, но только субсидиарную и только если вы докажете, что он не выполнял установленные вами требования. А если требований не было, то звиняйте, это целиком ваша вина, ваша ответственность и перекладывать ее на кого-то еще - некомильфо (хотя и понятно желание свалить всю вину на других) 🤠

Сюда бы я отнес и историю с тестовыми стендами, как в истории с тем же Phishman, которого недавно взломали. Это же тоже некая манипуляция словами. Мол - это не прод, а это тестовый стенд. Это не реальные данные, а синтетические. Ущерба нет, значит и инцидента нет. Ну такое себе оправдание, если честно 🤔

#инцидент #антикризис #supplychain

Читать полностью…

Приложение "Турецких авиалиний" ✈️ понимает пароли не более 6 знаков максимум и это должны быть только цифры!!! Вспоминая регулярно обновляемую табличку от Hive Systems, определяем, что такой пароль ломается за 1 секунду. И если кто-то получит доступ к приложению, то он может списать все бонусные мили, купить на них на любое имя билет, заказать себе гостиницу и т.п. ✈️ То есть ущерб можно нанести несопоставимый с затратами разработчиков на снятие ограничения на максимальную длину пароля (про включение MFA уже и не говорю).

#аутентификация

Читать полностью…

Если как-то вас взломали,
Много данных увели,
Не спешите признаваться,
Что вам, в общем, все равно.
Подготовьтесь хорошенько,
Помолчите, денька два.
А потом всем обьявите,
Что критичных данных нет.

Читать полностью…

Один из трех основных способов взлома компаний 🔓 - это использование утекших учеток и паролей (помимо социальной инженерии и уязвимостей на публично доступных ресурсах). И пароли для доступа могут быть взяты не только из различных утечек, которые циркулируют на черном и не очень рынке. Есть и другие источники, например, хранящиеся в открытом виде пароли на компьютере, в различных приложениях и файлах 🔻 Особенно у админов и разрабов.

Когда спрашивают, а как PT Dephaze 😈 осуществляет свое продвижение по корпоративной сети, автоматически переходя от узла к узлу в рамках автоматического пентеста, ответ простой - он с помощью встроенного ИИ-агента ищет в указанных на картинке локациях и найдя учетки в открытом виде 🫢, использует их для расширения плацдарма и развития контролируемой атаки. Так что стоит провести с админами небольшую работу по тому, как правильно хранить секреты на своем рабочем месте и подкрепить это средствами автоматизации. Ну и в отношении подрядчиков вписать это в соответствующую политику ИБ 🤔

#оценказащищенности #аутентификация

Читать полностью…

Не очень легальное программное обеспечение Haotian AI для замены лица в реальном времени 👎 Это уже покруче open source проекта Deep-Live-Cam. Достаточно активно продвигается в Telegram для всяких нелегальных целей, стоит от 1200 до 9900 долларов при оплате только криптой 🪙 Так что технологии создания дипфейков развиваются все активнее и дальше.

И использоваться оно может в совершенно различных схемах - от прохождения удаленных собеседований при приеме на работу до генерации порнографии 🫦 с чужим лицом, от фальсификации высокопоставленных и известных людей до верификации в различных сервисах 🛂 Обратите внимание, что даже перекрытие лица рукой отрабатывается, что раньше достаточно легко выдавало использование подмены лица в приложениях типа face swap.

У вас же предусмотрено это в модели угроз? 🎭

#дипфейк

Читать полностью…

За какие-то смешные 400 баксов продается доступ в неназванную американскую AI Cyber Threat Intelligence компанию 🏷

Я про это сегодня в докладе говорил, что взломать могут и ИБ-компании и их тоже нужно контролировать, выстраивая стратегию нулевого доверия к люьым подрядчикам, особенно работающих в области кибербезопасности 🤔

#инцидент #threatintelligence #ии

Читать полностью…

Сегодня выступаю 🗣 на "Территории безопасности" в рамках конференции "PRO безопасность подрядчиков", рассказывая про составление чеклиста по безопасности (от) подрядчиков ✔️ Сваял небольшую презентацию (всего 90 слайдов) и по традиции сделал небольшую выжимку из нее в качестве примера.

Кто будет на мероприятии, приходите в 15.30 на мое выступление. Кого не будет... жаль. Я не знаю, будут ли презентации выкладываться на сайт. В прошлом году они были доступны только участникам или за деньги 🤷‍♀️

#supplychain #чеклист

Читать полностью…

Интересно, в чём смысл таких сообщений в чатах? Их много стало. Ни тебе криптоскама ❗️, ни эскортниц, ни подработок… В профиле автора тоже ничего крамольного и никаких ссылок 🤔 Или просто расчет на интересующихся, которых уже можно разводить точечно и эффективнее («сам же пришел»)?

#фишинг

Читать полностью…

Уже завтра, буду на московской "Территории безопасности"... (специально выделил про Москву, так как сейчас я в Питере). В 10.00 модерирую пленарную секцию "Экзамен на киберустойчивость. Как проверить, что ты защищен?" 🤔 Буду конкурировать с Рустемом Хайретдиновым, Алексеем Волковым и Львом Палеем (они в параллель ведут свои пленарки на мероприятии, которое собрало в одном месте 4 разных конференции на 4 разные темы) за внимание аудитории 🤗 Но вы-то 🫵 знаете, куда приходить и где будет интересно ☺️ А после обеда, в 15.30 буду проводить мастер-класс "Формирование чек-листа с требованиями по ИБ к подрядчикам" ✔️ Приходите, скучно точно не будет!

ЗЫ. После "Территории безопасности" умчу опять в Питер, уже на "Киберконтур 2025". Вот такая вот непростая судьба спикера...

Читать полностью…

У коллег каждую пятницу публикуется подборка мемов про разработчиков (сегодня исключение) 🧑‍💻 "А почему бы и мне не сделать подборку мемов ... про аналитиков SOC?", подумал я... 🧑‍💻 Раз уж в ряде проектов сейчас постоянно общаюсь и с ними, и с их руководителями, которые хотят улучшить свои SOCи. Пусть на минутку улыбнутся и тогда их десятичасовая смена не будет такой boring 🤡 Тем более сегодня еще и день смеха 🤡

#юмор #мем #soc

Читать полностью…

1 апреля... 😃 Многие начинают демонстрировать чувство юмора, генерить шутки и вот это вот всё 😂 Не обошли вниманием и меня, в очередной раз заявив, что я уволился из Позитива 🟥 Ну, коллеги, вы бы хоть чуточку креатива добавляли в свои сообщения. Например, фотографии трудовой книжки постили, скрины переписки и т.п. Тогда бы это действительно было бы прикольно и свежо 😂

Ну и чтобы не изменять себе, вы же включили такое в свою модель угроз? Знаете как проверять метаданные присылаемых фотографий и картинок? 🎭 Знакомы с SynthID и C2PA от Google и OpenAI, которыми помечаются фото, сгенерированные с помощью ИИ? В закладках держите ссылки на сервисы проверки аудио и видео дипфейков, а также фальшивых изображений 🤔

#дипфейк #модельугроз

Читать полностью…

Существует легенда, что известный писатель Эрнест Хемингуэй ✍️ как-то поспорил, что напишет самый короткий в мире и очень трогательный рассказ. Написав, "For sale: baby shoes, never worn" ("Продаются детские ботиночки. Неношеные"), он выиграл спор 🤝

Я, конечно, не Хемингуэй, но тоже решил попробовать что-то такое короткое сотворить ✍️ Выше результаты очередного эксперимента, который вы можете улучшить в комментариях. Что-то мне самому нравится, что-то получилось средненько, на троечку 3️⃣ Но не попробуешь, не узнаешь.

#проза

Читать полностью…

Аналитики компании Silent Push обнаружили фишинговую кампанию, которую, по их неподтвержденной доказательствами оценке, курируют российские спецслужбы 👮 Основная цель — выявление и слежка за россиянами, потенциально нелояльными к текущему политическому курсу или выражающими симпатии к Украине.

Кампания включает четыре основных фишинговых кластера. Один из них имитирует официальный сайт Центрального разведывательного управления США 🇺🇸, призванный вводить в заблуждение лиц, желающих установить контакт или предоставить информацию. Помните их ролики, призывающие "стучать"? Остальные три маскируются под ресурсы организаций или инициатив, якобы предлагающих помощь, убежище или возможность участия в вооружённой или гуманитарной деятельности против интересов российского государства 🆘

Поддельные сайты визуально копируют оригинальные ресурсы 🖥 и собирают личные данные: имена, телефоны, адреса электронной почты, а иногда и подробную информацию о мотивации и намерениях посетителей. Эти данные затем могут использоваться для идентификации лиц, попадающих в поле интересов спецслужб 🎩

Отмечается, что инфраструктура для размещения фишинговых ресурсов 🎣 располагается на площадках, известных своей устойчивостью к блокировкам и склонностью к укрытию злоумышленников — в частности, в адресном пространстве, связанном с хостинг-провайдером Nybula LLC (ASN 401116) 🌐

Думал написать какой-то вывод, а потом подумал, что и так все понятно. Фишинг он и есть фишинг, независимо от того, кто и в каких целях его реализует 🤔

#фишинг

Читать полностью…

"Волк и семеро козлят" в стиле киберпанк 😊 Оригинал - тут

Читать полностью…

Меня иногда на мероприятиях представляют как блогера ✍️, что меня, конечно, не раздражает, но иногда да. Блогер - это профессия, которая в классификатор внесена (или будет внесена скоро); в раздел рекламной деятельности. То есть блогер - это индивидуум, который за свою работу бабки получает. И не эпизодически, а вот цель у него такая. И он ради нее все и делает. И бусты сюда же относятся 🤑

Если ты завел канал ради бабок, так и пиши честно ✍️ Хочу, мол, бабла за то, что свое время трачу на репост чужих новостей для вас олухов и дармоедов. А если я пересказал вам публично доступный документ, который любой GPT или NotebookLM автоматически разложит в майндкарту, то будьте добры вдвойне бабла отсыпать 🤑

И это будет честно и понятно. Правда, тогда ты и ответственность должен нести за оплачиваемую тебе работу. Но тут блогер вдруг вспоминает 👨‍💻, что он вообще-то в другом месте работает, а канал это так, для души и претензии к качеству и частоте публикаций не принимаются. Ну так, глядь, ты либо крестик сними, либо трусы надень. Просто делишься своим мнением, которое интересно еще кому-то кроме тебя? Прекрасно. Деньги только за это брать не надо ❌ Делишься своим трудом? Бери бабки, но и отвечай соответственно.

А я не блогер - я по любви. То есть не профессионал, а любитель 🫰 Денег не беру и не планирую. А если вдруг решу, то так честно и напишу, но только брать деньги буду пост-фактум. Нравится? Платишь за результат 🤑 Не нравится? Не плати, но и не читай тогда. Но пока не планирую. Вот книгу допишу, опубликую для всех и предложу заплатить только если понравилось или было полезно ✍️

Вот о чем я думаю в воскресенье после активной недели с несколькими мероприятиями, прошедшими в двух столицах. Правда, есть еще одно, что меня сейчас волнует, а именно, чем нудисты на пляже очки протирают. Но это к ИБ уже не относится 🏝

Читать полностью…

А что, вайб кибербеза еще не придумали?

#мем

Читать полностью…

Давно «подзабытый», но все еще активно используемый Fast Flux (быстрая смена DNS-записей для ухода от обнаружения вредоносных ресурсов, C2-доменов, фишинговых сайтов и т.п.) вдруг попал в прицел спецслужб 🇺🇸 альянса "пяти глаз", которые выпустили соответствующий бюллетень на эту тему. Достаточно неплохой обзор, включая и методы обнаружения 🖥

#malware #ttp

Читать полностью…

поставил патч - тебя не хачат
не ставил - хакнут в тот же миг
просты законы у природы
и ими можно управлять

ЗЫ. А вам еще один канал для поднятия настроения 👇

#юмор

Читать полностью…

В понедельник, в Москве, пройдет конференция "Защита данных" (если вдруг кому надо, то промокод для бесплатной регистрации - ИББ25), на которой, как это ни странно, не будет ни слова сказано о безопасности подрядчиков. А зачем, если я почти все уже сказал в своей презентации на мероприятия "Территория безопасности 2025" 🛡

И так как данные нередко утекают именно через контрагентов и партнеров, то по договоренности с организаторами конференции "PRO безопасность подрядчиков" выкладываю свою презентацию про формирование чеклиста по тому, какие требования к подрядчикам устанавливать и как их контролировать ✔️ Надеюсь, она хорошо дополнит программу понедельничной конференции.

ЗЫ. Есть подозрение, что выделенных мне 40 минут было недостаточно для раскрытия темы. Так что проведу скоро расширенный вебинар с бОльшим погружением в тему и конкретными примерами ⏳ Анонс, конечно же, будет тут, в канале 🤠

ЗЫ. Кстати, на конференции "Защита данных" будут рассказывать о "единой платформе с нулевым уровнем доверия" 🤔 Ох уж этот беспощадный нейминг и бездумный перевод на русский язык англоязычных терминов. Что "цепочка поставок" (supply chain), что "горизонтальное перемещение" (lateral movement), что вот теперь "платформа с нулевым уровнем доверия" (zero trust platform). Копирайтер не понимает разве, что словосочетание "платформа с нулевым уровнем доверия", кардинально меняет смысл и звучит негативно? 🤔

#чеклист #supplychain

Читать полностью…

У вас так же? 🫡

#юмор

Читать полностью…

Вышла новая версия SANS Vulnerability Management Maturity Model 2.0 и калькулятор 🧮 для ее использования, в котором есть вопросы, на которые вы отвечаете "Да/Нет/Не знаю" и на выходе получаете свой уровень зрелости по пятибалльной шкале ↗️

#оценказащищенности #оценказрелости

Читать полностью…

Дмитрий тут написал у себя, что очень плохо, когда ВУЗы перестают учить студентов на базе Windows 📱 Александр пишет, что нет, все правильно, долой супостатов. А я обращу внимание на другой аспект этой проблемы. В борьбе за суверенитет, у нас многие забыли, что заниматься надо не импортозамещением, а ростом экспортопригодности своих решений 🪟 Тогда запрещать не надо будет - пользователи сами будут переходить на отечественное, которое лучше (в реальности, а не на словах) иностранных аналогов.

А пока мы зарываем голову в песок, блокируя использование всего иностранного ⛔️ А я задам сакраментальный вопрос - а как потом проводить наступательные разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету? Можно возразить, что и не надо искать. Надо выстроить железный занавес и жить в своем уютном ламповом мирке, в котором нет места иностранщине ☕️ Вот только как быть тем, кто стремиться нести свет российских технологий зарубеж, начиная с дружественных и заканчивая не очень странами?

Все эти страны, практически без исключения, импортозамещением не страдают, так как не могут себе позволить развивать с нуля ИТ-отрасль (даже если бы и хотели). И они используют иностранные ИТ-продукты, которые мы смело отметаем 📱 И как российской компании с международными амбициями в таком случае себя вести? И это я еще не вспоминаю про дурацкий запрет, который вступает в силу с 1 сентября, который запрещает российским компаниям любую рекламу в запрещенных и заблокированных в России соцсетях и ресурсах 📱 И вот что мне делать, если я 2-го сентября захочу через LinkedIn или иную какую экстремистскую соцсеть пригласить иностранных коллег на стенд 🟥 на конференции GITEX в Дубае?

Ох, как прав был Лавров... Заставь дураков Богу молиться... 🤦‍♂️ Вместо того, чтобы развивать свое, запрещают чужое. Это же проще - росчерк пера ✍️ и можно отчитываться.

#суверенитет

Читать полностью…

Прислал мне 1-го апреля коллега новость, которую я не стал сразу постить, не проверив (все-таки новости от 1-го апреля имеют определенный душок), но теперь можно. В США разворачивается таинственная история с "похищением" или задержанием 🤕 профессора в области кибербеза, криптографии и защиты данных Сяофэна Вана и его жены Няньли Ма. Они оба были увезены в неизвестном направлении сотрудниками ФБР 🇺🇸, которые, наряду с представителями полиции, Минюста и других уполномоченных органов, отказались отвечать на вопросы СМИ по данному делу 👮‍♀️

Особую пикантность делу добавляет тот факт, что профессор Ван был деканом в Индианском университете, который потихоньку подчистил все данные о профессоре и его жене со своего сайта 👩‍🎓 При этом, согласно принятым в США правилам, штатного профессора с такой должности нельзя удалить за 1 день, как было сделано в случае с Ваном, - эта процедура занимает гораздо больше времени 👨‍🎓

Комментаторы к статье на ArsTechnica и на Reddit связывают происходящее с национальностью Вана и его жены 🇨🇳 и говорят, что в последнее время американское правительство достаточно пристально стало присматриваться к американизированным китайцам, особенно в научной среде 🔬 ВУЗ, кстати, тоже отказывается комментировать свои действия и местонахождение своего профессора, отправляя всех на три буквы, то есть в ФБР.

У меня же эта история вызвала ассоциации с фильмом "Индиана Джонс и королевство хрустального черепа" 💀, в котором профессора Джонса агенты ФБР подозревают в шпионаже в пользу Советского Союза, что вынуждает его покинуть университет, в котором он проработал 25 лет. И хотя гонения на Джонса были связаны с процветавшим в то время в США маккартизмом, история с Ваном имеет, как мне кажется, ровно ту же природу, но с поправкой на смену главного врага с СССР на Китай 🇷🇺

В интересное время живем...

#геополитика #суверенитет

Читать полностью…

Рафик Риман выпустил очередную карту знаний и навыков 🗺, которыми, по его мнению, должен обладать CISO. Так как карту осилить может не только лишь каждый, выделено 6 фокусных направлений:
1️⃣ Защита GenAI 🧠 В прошлом году Рафик обращал внимание на то, что CISO должен заняться GenAI, а в этом уже и защитить его. Как по мне, так это скорее должна была быть прошлогодняя рекомендация, а в этом надо уже говорить об ИИ-агентах, о которых Рафик почему-то молчит.
2️⃣ Консолидация средств защиты либо через экосистемный подход (все от одного вендора), либо через зоопарк лучших решений, но при наличии у них нормального развитого API.
3️⃣ Закрытие технического долга ИБ перед бизнесом в виде непатченных дыр и недочетов в архитектуре 🏗
4️⃣ Шифровальщики и киберустойчивость. Что шифровальщики делают в рекомендациях на 25-26-й годы не очень понятно, ну да ладно.
5️⃣ Содержательные метрики. У каждого понятие свое, но мысль Рафика в том, что надо уходить от операционных метрик к тому, что показывает результат для бизнеса. Плюсую 👍
6️⃣ Цифровая гигиена, но не в привычном смысле, а на более продвинутом уровне, - защита API, полная видимость, уменьшение поверхности атаки, снижение сложности, управление подрядчиками. Ну тоже как бы не этого года рекомендация, а прошедших пары лет 🤔

В комментариях к посту с анонсом, среди восторженных восклицаний, пришел один человек и написал: ✍️

This is really #horrifying. And I can understand nobody wants to be a CISO seeing this. I think your knowledge of the function of security management could be used to do the oposite. I'm thinking of Steve Jobs: "Simple can be harder than complex:
You have to work hard to get your thinking clean to make it simple. But it's worth it in the end because once you get there, you can move mountains." I think he's right: it's much harder to make something simple than making it complex - as in your scheme. Nevertheless, I recommend you give it a try.
Your knowledge of security management should have to be sufficient to deliver that.

Переводить, как мне кажется, не нужно - все и так понятно. Год от года карта усложняется 🗺 и в ней все сложнее разобраться и реализовать все написанное. Соглашусь с этим тезисом, но с другой стороны я не вижу варианта решения этой проблемы 🤷‍♀️ В сферу внимания CISO попадает все больше направлений, а значит и знаний должно быть больше.

У Адизеса, в его книгах по типам руководителей, эта проблема очень хорошо описана (правда, в другом контексте) 🧐 Нет руководителя, который бы включал в себя все свойства, которые должны быть. Это значит, что хороший руководитель должен распознать свои сильные стороны, а слабые усилить за счет подчиненных. Так, наверное, и с картой Римана, - не можешь сам, ищи подчиненных, которые "закроют" нужные темы и при этом которым ты доверяешь 🤔

Из этого следует, наверное, интересный вывод 🤔 CISO в некрупной компании, у которого нет в подчинении десятков и сотен людей, вынужден разбираться во всех этих самостоятельно, а значит он, по идее, на голову выше CISO крупной компании (с точки зрения хардскиллов, как минимум). По мере "взросления" и попадания во все более крупные компании, хардскиллы 🤔 уходят и им на смену приходят софтскиллы - компромиссы, умение выстраивать диалоги с бизнесом, командообразование и т.п. Ну или не приходит и тогда большой начальник большой только по должности, но не по знаниям/навыкам/уважению... 😱 Собственно, как и "маленький" CISO не обязательно знает всю карту Римана - он вполне может быть занят операционкой и на все остальное у него просто не хватает времени.

#ciso #тенденции

Читать полностью…

Что-то забыл я написать про новую методику моделирования угроз, про которую прочитал 7-го марта 💐, но потом закрутился и забыл, пока в скринах не наткнулся. Итак, консалтинговая и исследовательская ИБ-компания Trail of Bits анонсировала создание собственной методики, так как им не подошло ничего из десятков существующих подходов 🆕 Назвали ее TRAIL и да, это аббревиатура от Threat and Risk Analysis Informed Lifecycle.

За основу взяли скоростной скоростную оценку рисков от Mozilla 📱, дополнили методикой моделирования угроз NIST SP800-154 и отшлифовали защитными мерами из NIST SP800-53. Ключевое отличие от остальных подходов - скорость и некоторое упрощение для быстрого получения результатов. Фокус TRAIL - на разработке; в остальных сферах применить методику будет сложновато 🧑‍💻 Но адаптировать вполне.

Авторы дают много ссылок, в том числе и на свой репозиторий 📱 с примерами уже разработанных моделей, а также описывают, как сделать процесс оценки угроз не разовым и детерминистским, а непрерывным (ФСТЭК, кстати, в своей методике требует, по сути, тоже непрерывного процесса) ⌛ Правда, полноценного руководства по моделированию Trail of Bits не приводят (возможно, пока). Без этого ценность анонса не очень высока.

#модельугроз #безопаснаяразработка #devsecops

Читать полностью…

CheckPoint на вопросы о своем взломе ответила стандартным образом: 🤬

This is an old, known and very pinpointed event which involved only a few organisations and a portal that does not include customers’ systems , production or security architecture . This was handled months ago, and didn’t include the description detailed on the dark forum message. These organisations were updated and handled at that time, and this is not more than the regular recycling of old information. We believe that at no point was there a security risk to Check Point , its customers or employees

Позже, на своем портале поддержки они разместили чуть-чуть (совсем) более расширенное сообщение, которое, однако, тоже не так чтобы подробно отвечает на возникшие вопросы 🤔 Лично у меня вопросов немало:
1️⃣ Что это за "старое и известное событие"? Кому оно известно и когда оно все-таки произошло? А самое главное, каковы результаты расследования? 🤔
2️⃣ Портал, скрин которого приводит хакер, может и не содержит никакой внутренней информации, но при этом, судя по скрину, у хакера там админские права и доступ к клиентской информации, включая ключи API и много чего другого; вплоть до возможности сбросить двухфакторную аутентификацию. Главное, сейчас не пытаться утверждать, что эти скрины сгенерированы с помощью новой версии ChatGPT 🤔
3️⃣ Все-таки несколько организаций пострадало судя по ответу. А где гарантия, что не все? Что было сделано для предотвращения этого? Все-таки скрины говорят об обратно и судя по комментариям в Интернет, в том числе и от сотрудников Check Point, информация выглядит вполне правдоподобной (контакты в CheckPoint совпадают с реальными). Тем более, что CoreInjection "специализируется" на взломах именно израильских организаций и имеет историю подтвержденных атак 🤔
4️⃣ Внутренняя карта сети, учетки и исходный код названы устаревшей и уже переработанной (?) информацией. То есть все-таки если инцидент "старый и известный" и имел место, то в тот момент все эти данные реально утекли? А насколько переработана сетевая карта и исходники и данные клиентов? И как это вообще можно было переработать данные клиентов? Если посмотреть на скрин, приведенный хакером, то там вообще ВСЯ база клиентов Check Point (120 тысяч клиентов, активных и платящих - 19 тысяч). Что там могло быть старым, если по ряду контрактов указан 2031 год? 🤔
5️⃣ Как все-таки произошло первичное проникновение? 🤔

В общем, позиция компании предсказуема и я даже могу их понять 🔞 Все-таки признавать взлом ИБ-компании, называющей себя лидером и т.д., - ну такое себе. Но и зарывать голову в песок и утверждать "ви фсё врёте" тоже неправильно. Вырисовывается не очень красивая история. Ну а пользователям решений Check Point, которых у нас в стране немало, я бы посоветовал усилить бдительность 🚨

ЗЫ. Да, это не первоапрельская шутка.

ЗЗЫ. Интересно, расследование опубликуют? Для ИБ это правило хорошего тона.

#инцидент #проблемыибкомпаний #антикризис

Читать полностью…

У коллег тут выходила статья на Хабре про особенности выбора жестких дисков для систем поиска аномалий в сетевом трафике на примере PT NAD 🌐 А я, помнится, еще в 2018-м году в рамках какого-то закрытого SOC Day для заказчика рассказывал про особенности организации хранилищ для событий безопасности в центрах мониторинга безопасности 🖥

Дай, думаю, сдую пыль с той старенькой презентации, обновлю материал, и запилю статейку для Хабра ✍️ Обновил на свою голову. Пока получилось 25 страниц и это мне пришлось еще убрать страниц 15 про ETL и брокеры данных, которые неразрывно связаны с темой хранилищ событий ИБ 🖥 Теперь вот думаю, что с этим всем делать. Пробовать все-таки запилить лонгрид на Хабр или делать white paper от 🟥 или еще что-то? А всего-то хотел по-быстренькому свою лепту внести в тему выбора жестких дисков...

ЗЫ. Кстати, с международным днем резервного копирования вас! ♥️

#soc #siem

Читать полностью…

Очередная дискуссия ⚔️ на тему терминов кибербезопасности, придуманных Gartner'ом. На этот раз про CTEM (Continuous Threat Exposure Management). Как по мне, так терминологию от Gartner вообще не стоит обсуждать всерьез. Для них - это просто один из вариантов выделиться и задавать тон на рынке, чтобы потом все на них ссылались. Это нормальная стратегия 👌

Если бы это был не Gartner, можно было бы поспорить о смысле терминов. Но и тут я большого смысла не вижу, если честно 🤷‍♀️ Есть решения класса Vulnerability Management (VM), которые родились в 80-х годах и которые, как и любая нормальная технология, эволюционировали 🦖 Можно было бы добавить к VM две буквы NG? Можно. Кто-то так и делал. А кто-то, в данном случае Gartner, просто придумал новое слово и тоже из 4-х букв. И не надо мучаться с тем, как назвать, когда VM NG устареет. Не VM NG NG же. И не New VM NG. Есть CTEM, будет CTEM NG. Потом придумают какой-нибудь UTRM (Unbroken Technical Risk Management). Потом еще что-нибудь 🌱

Если посмотреть на сравнение VM и CTEM ☝️, то мы увидим, что в CTEM ничего кардинально нового нет - просто каждый традиционный механизм VM улучшен и расширен. Было сканирование по расписанию, стало непрерывным. Была приоритизация по CVSS, стала на базе кучи параметров Threat Intelligence. И т.п. 🤕

Так что пофигу, как назвать то, с помощью чего вы будете искать уязвимости 😵 в своем ПО, его конфигурации, в системах и т.п. Их надо искать, делать это постоянно, выстроив процесс. Не забывать про устранение выявленных уязвимостей и приоритизацию дыр по уровню критичности для конкретного бизнеса 🗡 И тогда никакой Gartner вам не страшен.

#оценказащищенности #средствазащиты

Читать полностью…