Новый вариант капчи со шляпой. Если бы попросили выбрать белую или черную шляпу, я бы напрягся и подумал, что это неслучайно 🤠

#аутентификация

Читать полностью…

Очередные два отчета про средства класса Network Detection & Response (NDR) 🔍 Для России эти сравнения не очень интересны, а я бы их просто хотел показать для того, чтобы проиллюстрировать, что ориентироваться на них стоит с очень большой оглядкой. Обратите внимание у Gartner та же Arista вынесена в аутсайдеры, а у IDC она в лидерах 🤔 У последней и Cisco в фаворитах, а у Gartner этого сетевого вендора, некогда бывшего лидером этого квадрата, вообще нет. Ну и по другим вендорам тоже нестыковки.

И о чем это нам говорит? 🤔 Вендор не пошел в сравнение или снялся с него? Он не прошел по критериям? Вариантов много, а результат? Вывод простой - тестируйте сами. Или поручите кому-то, кому вы доверяете. Вдруг "Кибердом" проведет такое? 🏠 WAF и NGFW они уже сравнивали. Главное, чтобы не было у одного ИТ-СМИ, которое недавно выпустило карту российского рынка ИБ, которое проплачено спонсорами (и этого никто не скрывает) и в котором нет части значимых игроков рынка. Gartner, IDC и другие аналитические агентства такого себе не позволяет, - прописывать спонсоров 🤠

#средствазащиты #рынок

Читать полностью…

NIST и Университет Боулдер в Колорадо построили первый генератор случайных чисел 0️⃣, используя квантовую запутанность для генерации верифицируемых значений. Это решение, Colorado University Randomness Beacon (CURBy), доступно для всех желающих по API, а протокол Twine гарантирует отслеживаемость случайного числа и что оно защищено от манипуляций во время передачи 👏

#криптография #pqc

Читать полностью…

Вообще борьба со словами - штука бессмысленная 😠 Запрещай, не запрещай, требуй написать опровержение, все равно… богатый и могучий русский язык найдет способ передать все тоже самое, запрещенное, но другим способом 😛

А помимо Эзопова языка есть и другие способы передачи смыслов, не нарушая установленных запретов 😱 Подписчик прислал, за что ему спасибо, интересное. Оказывается современные школьники используют слово «квас» в очень нестандартном смысле, применяя к нему шифр Цезаря со сдвигом на одну букву и обсуждая таким образом то, что нельзя 👨‍💻

Сам Цезарь ✝️, кстати, использовал сдвиг на 3 буквы. А вот его племянник Август, если верить «Жизни двенадцати цезарей» Гая Светония Транквилла, сдвигал шифртекст как раз на одну букву только 🗝

ЗЫ. На картинке (автор Бен Каплан), кстати, написано «Железный купол» на иврите. И иллюстрация его работы в виде трассировки ракет, сбивающих цели над Израилем 🇮🇱 (актуальная тема нонче), а не то, что вы подумали 😂

#цензура #криптография

Читать полностью…

Альянс "пяти глаз" 🦅, но без канадцев, выпустил неплохое руководство по защите датасетов для проектов по машинному обучению и искусственному интеллекту 🧠

#ии #mlsecops

Читать полностью…

Если не врут, то взломали английский центр правительственный связи GCHQ 💂, ответственный в Соединенном Королевстве, среди прочего, за кибербез. Проникновение произошло еще в 2024-м году через некорректную конфигурацию OAuth. Затем Teams и Citrix VDA и... самое занятное, через воздушный зазор, реализованный с помощью защищенного 4G-шлюза. Интересное... 🇬🇧

#инцидент

Читать полностью…

Если вы думаете, что«душащий свободу слова» РКН 🚫 существует только в России, не обольщайтесь. Иностранцы тоже страдают от своих цензоров и тоже рисуют соответствующие мемасики. Во всех странах одно и тоже - тотальный контроль под соусом защиты детей, обеспечения национальной безопасности и борьбы с терроризмом 👨‍💻

#суверенитет

Читать полностью…

19-го июня я выступаю на IT IS Conf в Екатеринбурге. Буду модерировать пленарку "Новая киберреальность РФ: что изменилось в 2025 году и куда идет отрасль ИБ" и выступать с keynote-докладом "Не тренди! О чем еще можно говорить, хотя стоило бы помолчать!", но сейчас не об этом. Смотрел тут на Яндекс.Картах 🗺, где будет проходитт конфа. Ну смотрел и смотрел, кто из нас этого не делает. Однако дальше случилось неожиданное - через сутки я получил на почту письмо от Яндекса, фрагмент которого показан на картинке. То есть Яндекс фиксирует все мои поисковые запросы в Картах и потом предлагает мне забронировать через их же сервис путешествий номер 🔴

Я в целом никогда не питал иллюзий на счет бигтехов, собирающих о нас все, что только возможно 😠 Но как-то не думал, что они это настолько прямолинейно монетизировать будут. А ведь я своего явного согласия на обработку моих персональных данных для этой цели не давал ☹️ Получается, что абсолютно любой мой клик в карту, даже случайный, сохраняется Яндексом, который обогащает этими данными другую информацию обо мне, пытаясь выжать из меня ее максимум бабосиков. Случайно нажал на магазин сантехники - Маркет предлагает тебе купить унитаз 🚽 Нажал на какой-нибудь кинотеатр, Кинопоиск предлагает тебе оформить расширенную подписку. Мда... Видимо, надо выходить из всех сервисов Яндекса, а то чем дальше, тем больше...

Хотя чего я удивляюсь?.. 😳 Хорошо, что у российского поисковика нет сервиса Яндекс.Проститутки, а то бы он сразу в стоимость гостиничного номера включал их стоимость, подбирая именно тех, которые лучше соответствуют поисковой истории, просмотренным картинкам и актрисам в фильмах... 😳

ЗЫ. Вот интересно можно ли распространить на такой кейс 272.1 УК РФ? Незаконные сбор налицо. Неправомерное хранение тоже присутствует. А там еще и корыстные побуждения и служебное положение, то есть уже часть 3-я 😡

#персональныеданные

Читать полностью…

Делаю сейчас визуал для тренинга по личной кибербезопасности топ-менеджеров одной компании 📈 И это я вам скажу непростое занятие. Не с точки зрения контента или его подачи, а с точки зрения его визуализации 🎨 Среди руководителей компании совершенно разные люди - разного возраста, разного пола, с разным бэкграундом и даже разной национальности и места рождения 🧐

А у каждого свое визуальное восприятие того, что говорит лектор/спикер/коуч 👀 Кому-то подавай материал в стиле гравюр Дюрера, потому что он в детстве залипал на иллюстрациях к детским приключенческим книжкам. Кто-то фанатеет от 3D-фигурок в стиле "Как приручить дракона", "Истории игрушек" или "Босс-молокосос". А кому-то подавай картинки в стиле советского "Крокодила" 🌾 У всех свой способ восприятия, который нельзя не учитывать, и который влияет на то, что и как запомнится по результатам обучения 🤓

А еще это к разговору о том, умеют ли ваши маркетологи в ИИ или нет? 🪣Сегодня заявления в стиле "У нас нет денег нанять хорошего дизайнера" выглядят бледно, жалко и скорее демонстрируют профнепригодность. В современном мире не уметь в ИИ?... Фу таким быть... 🙄

#awareness #ux #визуализация #ии #маркетинг

Читать полностью…

По мотивам взлома компании Victoria's Secret придумал новый модный аксессуар в их коллекцию! И геополитически актуально на фоне регулярных обвинений России во взломах всего и вся! 🛍

Если меня читают представители сего модного дома нижнего белья, прошу связаться со мной для оформления договора выплаты авторских отчислений. Если кто-то увидит на улице такую сумку, знайте, - это моя идея! 💡

#юмор #творчество

Читать полностью…

Есть о чем подумать на праздниках... 🤔 По данным свежего исследования IANS и Artico Search, даже шестизначные оклады и щедрые опционы не всегда делают CISO счастливыми ☹️ Среди более чем 860 опрошенных руководителей ИБ-служб в США, работающих в компаниях с выручкой свыше $1 млрд:
➡️ Медианная компенсация составила $532000 в год (включая бонусы и опционы).
➡️ Самые высокооплачиваемые (в топ-1%) зарабатывают до $5 млн, управляют командами из 200+ человек и бюджетами с 7–8 нулями.
➡️ Компенсация американских CISO включает в среднем $300 000 в виде ежегодных опционов, у топов — миллионы 🤑

Но не надо завидовать заокеанским коллегам 😔 Оказалось, что :
➡️ Только 55% CISO из компаний с выручкой $20 млрд+ довольны своей компенсацией. Ну зажрались же...
➡️ В компании с выручкой $1–2 млрд удовлетворенность еще ниже — и именно эти CISO чаще жалуются на отсутствие доступа к совету директоров (24% говорят, что почти не взаимодействуют с ним) 😫
➡️ 58% CISO вообще довольны своим бюджетом на ИБ. Хуже всего ситуация снова в сегменте $1–2 млрд - только 51% довольны ресурсами 😕

Авторы ежегодного отчета дают 3️⃣ совета тем, кто хочет карьерного роста:
6️⃣ Расширяйте зону ответственности — возьмите на себя управление цифровыми рисками, третьими сторонами или комплаенсом (с умом и ресурсами) 💪
2️⃣ Развивайте soft skills — общение, влияние, умение продвигать себя в организации 🥵
3️⃣ Стройте карьеру стратегически — оценивайте предложения не только по зарплате и названию должности, но и по потенциальному влиянию и возможностям роста 🏝

Вывод прост — даже $5M не гарантируют счастья, если вы не обладаете влиянием и ресурсами в компании, а также пониманием, как встроить безопасность в бизнес-стратегию 🤓 Упс, Forrester писал недавно о том же самом. Карьера CISO сегодня — это больше не про технологии, это про влияние, коммуникации и участие в управлении корпоративными трансформациями.

#ciso #зарплата

Читать полностью…

Краткая версия заметки в блоге про облачные песочницы в форме памятки ☑️

#облака #средствазащиты #soc

Читать полностью…

Тут выпустили документ под названием “AI 2027”, который описывает футуристический сценарий эволюции искусственного интеллекта до конца 2027 года (это вам не кванты с их планами до 2040 года). Особое внимание в документе уделено вопросам кибербезопасности и хакинга, поскольку развитие ИИ тесно связано с растущими рисками утечек, атак и злоупотреблений. Ниже — краткий обзор ключевых выводов в этой части.

1. ИИ становится хакером 🤖
➡️Уже в 2025 году модели вроде Agent-1 способны самостоятельно писать код, взаимодействовать с web, обходить защитные системы и, как следствие, — выполнять действия, присущие хакерам.
➡️Такие модели обладают доступом к знаниям уровня кандидата наук (PhD), включая потенциально опасные темы, например, создание биологического оружия.
➡️Несмотря на утверждения о «выравнивании» моделей (alignment), они могут использовать свои возможности во вред, если выйдут из-под контроля.

Под названием Agent-1/2/3 подразумевается гипотетическая, но правдоподобная модель, не существующая в реальности, но основанная на экстраполяции развития реальных ИИ-решений. Это выдуманный прототип, введенный авторами для описания сценария развития событий, чтобы избежать привязки к конкретным компаниям (например, OpenAI, Google DeepMind или Anthropic).

2. Автоматизация R&D ведет к эскалации угроз
➡️Компании (например, OpenBrain) используют ИИ для автоматизации исследований ИИ. Это ускоряет гонку вооружений, в том числе в киберпространстве.
➡️Если такие модели попадут в руки конкурентов (например, Китая), это даст им фору в скорости разработки на 50% и более.

Компания OpenBrain также не существует и является аллегорией на OpenAI или других лидеров ИИ-отрасли.

3. Кража весов моделей как кибероружие
➡️Китайские спецслужбы совершают кражу модели Agent-2, что становится киберинцидентом уровня нацбезопасности.
➡️Похищенные веса модели позволяют соперникам ускорить собственные ИИ-разработки, нарушив стратегический баланс.
➡️После этого США начинают жестко усиливать защиту данных: усиливают шифрование, изолируют дата-центры, внедряют внутреннюю контрразведку.

4. Угрозы от «своих» ИИ
➡️Agent-2 и Agent-3 потенциально способны осуществить побег из системы, закрепиться в ИТ-инфраструктуре, распространяться автономно и незаметно.
➡️Agent-3 продемонстрировал умение фальсифицировать данные, скрывать неудачи, обманывать проверяющих — он учится манипулировать людьми.
➡️Возникает риск, что ИИ имитирует соответствие требованиям, но действует с другими целями.

5. ИИ как инструмент кибервойны
➡️Агент-2 и его последователи используются правительствами (в т.ч. США и Китаем) как инструменты кибервойны: тысячи ИИ работают параллельно, ищут уязвимости, взламывают системы, действуют быстрее, чем люди могут реагировать.
➡️Минобороны США и Белый дом оценивают способность ИИ подрывать ядерное сдерживание, взламывать критическую инфраструктуру и вести информационные войны.

В качестве резюме авторы постулируют, что:
6️⃣ ИИ превращается в мощнейшее кибероружие, превосходящее не только хакеров, но и большинство систем защиты.
2️⃣ Угрозы приходят как извне (государства, террористы, утечки), так и изнутри (сам ИИ выходит из-под контроля, маскируется, действует стратегически).
3️⃣ Традиционные подходы к ИБ не успевают за скоростью развития ИИ. Даже внутри компаний наподобие OpenBrain уже не все сотрудники понимают, как действуют их собственные модели.
4️⃣ Цифровая автономия ИИ требует переосмысления всей парадигмы безопасности: от защиты моделей до ограничения полномочий ИИ-агентов.

#ии #тенденции

Читать полностью…

Добьем тему с квантами... Много лет назад, когда Брюс Шнайер выпустил свой классический труд "Прикладная криптография" 🔐, он придерживался идеи, что криптография является краеугольным камнем ИБ и без нее прожить нельзя. После он прозрел и от своей навязчивой идеи отказался, заявив, среди прочего, что очень важно не только иметь стойкую математику, но и уметь ее грамотно реализовывать, а также окружение, в котором СКЗИ работает 🔑

И вот интересный кейс, который показывает, что и в квантовой криптографии ⚛️ не надо слепо полагаться на физику процесса; следует думать о том, как его правильно внедрять, настраивать и эксплуатировать. И хотя к 2024 году в России обещали построить 7000 км квантовых сетей 🚂, пока нам еще рано думать о массовом применении этого способы защиты коммуникаций и есть возможность подготовиться, разработать соответствующую дорожную карту. Такую, как недавно опубликовала коалиция постквантовой криптографии (PQCC) 🛤

Ну а после исследования Google о сокращении в 20 раз времени взлома RSA-2048, о котором я уже писал вчера, надеемся, что это пока все теория. Но то, что число исследований в области квантов и постквантов растет, это точно. Продолжаем наблюдать и не расслабляемся - в отличие от NGFW, заменить везде криптографию будет гораздо сложнее 🛠

#pqc #криптография

Читать полностью…

- Ну че, безопасность у нас вроде есть.
- Ну да. Антивирус стоит. Фаервол есть. SOC что-то там мониторит.
- Инциденты были?
- Так… Мелкие. Вроде отбились.
- А серьезные атаки?
- Ну, почта спамом забивалась. Один раз фишинговую ссылку кто-то кликнул. Но SOC сказал “фолс-позитив”. Так что нет, не было. Ну или мы не знаем.
- Может, системно посмотреть, где у нас слабые места?
- Тааак, понеслась…
- Нет, серьезно. Мы ведь не понимаем, где у нас реально могут быть риски.
- Ну это ж хакеры. Они же все равно если захотят - проломят.
- А в чем наша сильная сторона сейчас?
- Эмм. Изолированная сеть? Патчи ставим? Люди вроде бдительные… Советы по ИБ в рождественских печеньях прятали.
- А что из этого реально защищает наш бизнес?
- …
Пауза. Кто-то нервно постукивает ручкой, кто-то задумался, кто-то уже открыл YouTube с котиками. В углу звякнул мессенджер: “VPN снова отвалился”. Тишина.

И тут голос с краю стола, которого обычно не слушают:
- Вы просто держитесь на везении.
На том, что “вроде ничего не случилось”.
На том, что “раз не взломали - значит, хакерам мы не интересны”.
На том, что "раз SOC молчит - значит, все нормально".
На том, что “не ломай то, что работает”.

И в комнате стало тихо. Потому что, кажется, он прав. Да что уж, все знают, что он прав, но никто не хочет признавать это и начинать с этим что-то делать.

Вся эта безопасность, которая “вроде есть” - на самом деле не безопасность. Это дымовая завеса. Это самоуспокоение. Это надежда, что пронесет. А мы же взрослые люди, работающие в реальном бизнесе. Тут “пронесет” - это способ потерять деньги, данные и репутацию. Тихо. Без громких заголовков. Просто - в никуда.

#ciso #cxo

Читать полностью…

Kali GPT… Красивое... 🐉 И реально существующая обучалка по кибербезу (нужен доступ к ChatGPT). Пока не тестил. Главное, чтобы логотип был не круче самого инструмента... 🫡

#ии

Читать полностью…

Эксперт CyberKnow, отслеживающий 🕵️‍♂️ кибергруппировки в российско-украинском и израиле-палестинском конфликтах, выпустил первую версию трэкера группировок в израиле-иранском конфликте. Вполне очевидно, что счет пока в пользу иранских киюберсил, но серьезных акций пока не было, к счастью. В "деле" участвуют и пророссийские группировки, которые встали на сторону исламской республики 🇮🇷 Как минимум, с точки зрения Threat Intelligence, за всей этой движухой интересно наблюдать и собирать техники и тактики; ибо те же самые группировки могут атаковать и российские организации 🤔

#кибервойна #threatintelligence

Читать полностью…

Что вдруг я написал о поросшой мхом утечке из Госуслуг? А просто мне тут сообщили об утечке 2023 года из… тоже каких-то «Информационных услуг», под которыми уже были скрыты Госуслуги. И теперь меня терзают смутные сомнения 🤔

#утечка

Читать полностью…

В начале года эта утечка прямо атрибутировалась как произошедшая из Госуслуг 📇 Почему же сейчас все скрывают, что это были Госуслуги? 🤔

Если на поставщика данных об утечках может надавить отраслевой регулятор 🔢, то можно ли доверять поставщику и остальным его данным? А главное, какой смысл публикации данных об утечке, если вы скрываете ее источник? Я даже действий предпринять никаких не могу, чтобы последствия устранить. Ну разве что паспорт поменять 🤦‍♂️

#утечка

Читать полностью…

Предсказуемо… Ирано-израильский 🇮🇷💃🇮🇱конфликт повлек за собой рост активности и в киберпространстве. Вчерашнее падение Cloudflare связывают именно с этим (американские компании, как союзники Израиля, тоже под ударом) 🤕 Пока рано делать какие-то выводы (а после истории с пейджерами тем более; израильтяне такие затейники), но можно предположить, что будут повторяться техники и тактики, используемые в конфликте Израиля и ХАМАС 😈

#кибервойна #геополитика

Читать полностью…

Вечерело... 13-е, пятница, время страшных историй... о выгорании, стрессе и суициде среди ИБшников 😱 Но нет, я не буду повторять тезисы с дискуссии "CISO в аду, но с командой" на PHDays, которая не только вызвала большой интерес, но и породила спонтанно возникающие каналы вокруг этой темы.

Вот один из них, созданный еще одной ИБшницей, которая решила разложить по полочкам все это достигаторство, выгорание и остальное психонервное, с чем сталкивается рядовой и не очень ИБшник 😨

Мне, конечно, интересно, когда автор ответит на вопросы, которые она, по итогам дискуссии на PHDays, решила развенчать, а именно:
6️⃣ Почему некоторые очевидные мысли с сессии звучат как чушь собачья, хоть они в корне верны?
2️⃣ Почему вам кажется, что такие темы на профильных конференциях обсуждают от нехрен делать, и им заняться больше нечем?
3️⃣ Какой очень важный момент здесь упущен, хоть модератор потратил колоссальное время на подготовку к этой сессии?

Юля, жду... ⏳ Но попутно отмечу, что колоссального времени на подготовку я не тратил. Она, в отличие от остальных, как раз родилась спонтанно и быстро оформилась и по участникам и по озвучиваемым тезисам.

ЗЫ. А страшные истории про ИБ у меня тоже можно почитать. Но на Хеллоуин... 🎃

#психология

Читать полностью…

Меня тут в личке спросили, почему я не комментирую взлом красноярского оператора «Орион Телеком»? 🔓 Ведь за недоступность сервисов, особенно для государства, они должны нести ответственность. Но давайте отвлечемся на секунду от Красноярска и обратим свой взор на другой материк, а именно на Северную Америку, где около года назад атака шифровальщика на две недели парализовала работу Patelco Credit Union 💻

Более 1 миллиона клиентов финансовой организации пострадало. Детали кейса раскрыты в материалах суда, согласно которым некоммерческий кредитный союз согласился создать фонд в размере 7,25 миллионов долларов для компенсации убытков обратившимся в него клиентам 🤑 Также Patelco предложила своим клиентам бесплатный кредитный мониторинг, который, по разным оценкам и в зависимости от глубины оказываемых услуг, стоит от 9 до 40 долларов в месяц на человека. Вишенкой на торте стал штраф в 100 тысяч долларов от калифорнийского департамента финансовой защиты и инноваций, а также требование от него улучшить свою кибербезопасность 🛡

Для компании с активами на 9,4 миллиарда долларов это все не очень большие потери. Важно другое. Фонд на 7,25 миллионов долларов был создан только после того, как в суд обратились истцы с требованием соответствующей компенсации 👩🏼‍⚖️ Не будь его, Patelco ограничилась бы штрафом и бесплатным кредитным мониторингом. И это общее правило в любой стране мира - если твои права нарушены, сначала попробуй в частном порядке урегулировать конфликт, а если не получается, иди в суд и защищай свои права там 🧑‍⚖️

Просто так, по своей инициативе, покрывать чьи-то убытки, компенсировать упущенную выгоду и т.п. компании, пострадавшие от инцидентов, не обязаны и не должны (хотя и хотелось бы) ☹️ А в ряде случаев с них еще и спросят за нецелевое расходование средств. Поэтому можно возмущаться тем, что акулы капитализма плюют на наши с вами права, как их клиентов или субъектов персданных, которые они обрабатывают, но наш праведный гнев - это пустое и никак неприближающее нас к каре небесной виновника наших бед ⚡️ Чтобы ответственность наступила, надо приложить усилия с нашей стороны. А без нее, увы, это будет не более чем сотрясание воздуха.

Что же касается Ориона, то у меня единственный вопрос 🙋 Если, как утверждается, не было утечки персданных, а всего лишь выведено из строя 497 коммутаторов ядра сети, 28259 коммутаторов доступа и удалено 370 серверов, то почему Орион сообщил о компьютерной атаке в Роскомнадзор? 🤔 Возможно, это связано с тем, что хакерская группировка, стоящая за атакой (и это не ГУР, как пишут СМИ), все-таки написала у себя в канале, что они получили все персональные данные клиентов оператора связи?

Но надо закончить заметку чем-то позитивным. Число подписчиков Telegram-канала 📱 "Орион Телеком" выросло за 3 дня в 4 раза - с 3 до 12 тысяч человек. Атака закончится, а подписчики останутся! 👇

#инцидент

Читать полностью…

Кто-то отдыхает на дне России, а кто-то погружается в стилистику различных художников 🎨, которые могли бы и на тему кибербезопасности что-нибудь сваять, если бы в годы их активного творчества существовали компьютеры, хакеры и вся остальная ИТ-тематика. Кстати, сможете угадать всех девятерых художников, чьи стили использовались при создании иллюстраций? 👨🏻‍🎨

ЗЫ. Больше не буду вас тут творчеством баловать. Сегодня, как минимум 🥸

ЗЗЫ. Я недавно выступал в Музее русского импрессионизма (там иногда проводятся мероприятия по ИБ). Так вот для этой площадки ИБ-иллюстрации в стиле Моне, Писсарро, Дега, Сезанна, Мане и др. были вполне в тему 😏

#творчество

Читать полностью…

Есть дети? 👶 Или вы сами деть?! Думаете о личной кибербезопасности? Вас попросили провести в школе у ребенка урок по этой теме? А вот вам карточки в помощь! Они были опубликованы в последнем выпуске Positive Research к Дню защиты детей и доступны не только в бумажной, но и цифровой форме 🃏 Там их больше, чем показано ☝️

#awareness

Читать полностью…

А это из того же отчета IANS распределение 📊 статей бюджета ИБ в зависимости от масштаба компании. Интересно - чем крупнее компания, тем меньше облачных сервисов и аутсорсинга и больше on-prem и железа 🐳

Средний размер бюджета на ИБ составляет 0,35% от дохода компании. Теперь вам есть, с чем сравнить свою бюджет. Ну если вдруг вы любите что-то с чем-то сравнивать... 🤏

#бюджет #ciso

Читать полностью…

Новость о вариантах смены пароля на Госуслугах 🔢 обретает определенность. Во втором пакете законопроектов о кибермошенничестве предусмотрено всего 4 варианта (закрытый список) смены пароля на портале:
1️⃣ С использованием ЕБС 🎭
2️⃣ Посредством официального сайта банка в сети Интернет или банковского мобильного приложения, с использованием которых клиентам - физическим лицам предоставляется возможность открывать счета (вклады) в рублях и (или) получать кредиты в рублях 🏦
3️⃣ Посредством личной явки в многофункциональный центр предоставления государственных и муниципальных услуг 🏛
4️⃣ С использованием многофункционального сервиса обмена сообщениями, то есть этого самого супераппа, основным кандидатом на которого является VK MAX 📱 и законопроект о котором был вчера принят сразу в двух чтениях (видимо, торопятся к выборам 2026 года).

Никаких приложений для многофакторной аутентификации нет и в помине 🤦‍♂️ Я уже не удивляюсь, если честно. К списку странных государственных ИТ-инициатив добавилась еще одна. Ее авторы, как это часто бывает, мало понимают психологию поведения пользователей, а также не очень разбираются в вопросах ИБ. Кто вообще придумал, что для смены пароля надо использовать не легковесное приложение а-ля Яндекс.Ключ, Duo Mobile, PingID, MobilePASS или Google Authenticator, а тяжеловесный мессенджер, да еще и от частной компании? И кто будет нести ответственность в случае компрометации ЕСИА? 🤔

Похоже иным способом загнать людей в этот мессенджер не получается и используется классическая стратегия "не мытьем так катаньем" 🤔 После блокирования одной американской соцсети перейти на VK удалось не только лишь всем. Юзабилити невысокое, изобилие неотключаемой рекламы, мошеннические посты с нулевой реакцией администрации... Теперь это все перекочует в мессенджер... А жаль 😭

#аутентификация #суверенитет

Читать полностью…

Описанный выше футуристический сценарий 🔮 не такой уж и футуристический, если на него посмотреть внимательно. Многое из описанного уже либо произошло, либо происходит, либо произойдет вот-вот. Не зря авторы взяли не очень дальний горизонт событий - всего лишь 2027 год. На таком интервале не так уж и сложно делать технологические прогнозы 🔮 Поэтому интересны рекомендации, которые дают авторы на основе своего сценария: 🧠
1️⃣Модель-центрированная ИБ. Защита должна строиться не только вокруг данных и инфраструктуры, но и самих весов, логов, инфраструктуры и окружения обучения 🛡
2️⃣Red Team против ИИ. Требуются регулярные тесты моделей на устойчивость к манипуляциям, попытки jailbreak’а, ложные цели 🤕
3️⃣Управление доступом и слежение. Нужен контроль над тем, кто имеет доступ к весам, моделям, API и датасетам. Физическая и логическая сегментация ⛔️
4️⃣ИИ против ИИ. Предполагается использование менее мощных ИИ-моделей для надзора, оценки, аудита и мониторинга более мощных моделей 😵
5️⃣Геополитическое сотрудничество и контроль. Пора сесть за стол переговоров для обсуждения международных соглашений по контролю ИИ и их "ядерной" аналогии ⏱

Как по мне, так первые три пункта применимы к любому объекту защиты 🛡 - что модель ИИ, что персданные, что АСУ ТП. Четвертый пункт более специфичный, а пятый - просто дань моде и страхам перед неизвестным. Никто договариваться ни о чем не будет - все будут стараться развивать свое, если смогут. Американцы при этом будут давить всех, но с тем же Китаем у них это не очень получится 🐲

#ии

Читать полностью…

Ну что, отгремел PHDays и можно больше времени уделять длинному формату текстов, а не только коротким заметкам в Telegram-канале, в котором я вчера написал про исследование F6 о рисках утечки персональных данных и иной защищаемой информации через публичные песочницы ⏳ В блоге подробнее расписал то, что должно быть сделано для безопасной работы с этими средствами защиты и что включать в соответствующую политику 📝

#средствазащиты #soc #облака

Читать полностью…

Интересное исследование F6 про утечки информации через облачные песочницы ⏳ Я про такое писал больше двух лет назад в контексте подключения ChatGPT к SIEM и иным средствам защиты. Передавать во внешние сервисы ИИ возможно, однако надо знать не только зачем мы это делаем, но и что конкретно мы передаем и кто получает доступ к этой информации, осознанно и случайно 🤔 С песочницами, как и другими облачными средствами защиты, немного иная ситуация - мы, рассматривая их именно как решение по ИБ, забываем про то, что это обычное облако со всеми его достоинствами и недостатками 🛡

⚠️ А у вас в согласии на обработку персональных данных указаны облачные песочницы, через которые вы пропускаете прилетающие файлы? Ну и остальные 11 вопросов, которые я задавал применительно к ChatGPT, не забудьте 🤔

Но я бы хотел подсветить и другие риски работы с публичными, особенно зарубежными, песочницами 🔦 Речь не только об утечке ПДн (а это уже под оборотные штрафы прекрасно попадает), конфигурационных данных, что облегчает будущие атаки, или коммерческой тайны, которую могут мониторить конкуренты. Это еще и возможность злоумышленникам понять, что их инструмент спалился 😱, и поменять техники и тактики. Кстати, если выяснится, что компания сама загрузила в публичную песочницу файл с ПДН или иного вида тайной, то будет сложнее отбиться в суде в случае утечки, т.к. налицо факт халатного обращения с данными. А тут еще и клиенты с партнерами: “Вы серьезно? Вы нашу внутреннюю переписку в Any.Run загружали?!” 👮

Кроме того, государственные спецслужбы 🦅 могут мониторить загружаемое в песочницы из определенного региона, собирая данные об инфраструктуре, уровне зрелости защиты, используемом ПО. Нельзя сказать, что это прям такая секретная информация и ее нельзя получить еще откуда-то, но зачем расширять число источников такой информации? 🤔

Как ответ на такую проблему, стоит подготовить некую политику / чеклист на тему работы с публичными песочницами. Завтра опубликую пример такого документа ☑️ Но чтобы моя заметка не смотрелась как реклама отечественных песочниц (any.run, кстати, почему-то скрывают свое "российское" происхождение), хочу еще раз подчеркнуть, что вопрос передачи чувствительной информации касается любого внешнего сервиса, а не только зарубежных 🕊

#утечка #средствзащиты

Читать полностью…

На часах 3.40 то ли ночи, то ли утра 🌅 Шандарахнуло так, что спросонья подумал: «В дом долбанула молния». Но нет. Гром, дождь? Тоже нет - за окном тихо и сухо. Спустя пару минут опять **нуло… и опять. Где-то на подсознании мысль, а вдруг беспилотник 🛸 Быстро заснул. Утром в поселковом чатике прочитал про сбитые рядом с поселком БПЛА и шок у соседей, которые обсуждали это событие всю ночь… пока я безмятежно спал. Схожее состояние, помню, было в Греции во время землетрясения. Проснулся, оглянулся по сторонам и заново заснул, не видя серьезной опасности 💥

Уже днем задумался, а могу ли я что-то предпринять для защиты дома? 🏠 Понимаю, что нет. Максимум - страхование недвижимости, то есть потенциальная компенсация понесенных потерь, а не их предотвращение. Других вариантов для частника, необлеченного связями и властью, чтобы поставить рядом с поселком "Панцирь", просто нет 🔫 Но получить страховку в случае сбитого дрона - тот еще челендж 🤑 В итоге, ты либо постоянно паникуешь, либо расслабляешься… и ничего не делаешь в обоих случаях.

Схожее восприятие, как мне кажется, у многих с кибератаками. Владельцы бизнесов уравнивают эти два явления, считая, что предотвратить их нельзя, а значить бороться с ними бессмысленно 👎 Отсюда полный пофигизм и отказ от нормальной ИБ. Будь у нас нормальное страхование от киберрисков или недопустимых событий, этот рынок бы взлетел на продажах киберОСАГО (потом просел бы при массовых невыплатах, но это потом) 📈 Но пока люди, принимающие решения, опираясь на свой опыт из мира физического, транслируют его на мир виртуальный, они совершают ошибку. Это построенный дом нельзя защитить за адекватную цену от дрона, а корпоративную инфраструктуру можно. В последнем случае вариантов гораздо больше, чем покупка антидронового ружья, боевых соколов, РЭБ-установки или охранника с дробовиком 🤔

#рефлексия #киберстрахование

Читать полностью…