Ритуал киберочищения для тех, кто открыл не то, кликнул не туда… и впустил тьму 🙀

Ты чувствуешь, как компьютер начинает жить своей жизнью.
Файлы исчезают.
Окна открываются сами.
Шепот в динамиках…
Это не сон. Это – цифровое проклятие.

📜 Не паникуй. Все еще можно остановить.
Открой древнюю книгу 👩‍🎓 знаний (или хотя бы чеклист) и проведи ритуалы:
💀 Призови антивирус позитивной силы. Полное сканирование. Надежный вендор. Без пощады к цифровому злу.
💀 Изгони вредонос через перезагрузку в Safe Mode. Не верь, что "само пройдет". Это не простуда, это троян.
💀 Окуни себя в святую воду резервных копий. Если они у тебя есть… Если нет – ты проклят дважды.
💀 Прогони тени через многофакторку. Одного пароля уже давно недостаточно. Даже если он похож на имя древнего демона “йцукен”.
💀 Обратись к древнему оракулу SOC. Или хотя бы к знакомому ИБ-шнику. Они знают как искать еле заметные нити, ведущие в пучину ада.

🕯 Помни: в цифровом мире зло не носит маску, оно скрывается в письмах, флешках и рекламных баннерах. Но если ты все еще читаешь это – у тебя есть шанс. И ты знаешь, что делать ☺️

#хеллоуин

Читать полностью…

Легенда из архива забытых учёток 😄

Когда-то они были надежными.
Сложные, длинные, полные символов и секретов.
Но время шло, аккаунты забывались, системы менялись…
А пароли – остались.

И вот ночью, в забытом дата-центре,
между вентиляцией и старым сервером,
включился терминал. Сам по себе.
На экране – мигающая строка входа.
А из динамиков – шепот 👻

– 123456…
– Я был "qwerty123". Мне доверяли 4 года. Потом пришел брутфорс…
– Я был именем ее кота. Ушел тихо – через фишинг.
– Я был написан на стикере. И найден в день увольнения.
– Я был "temporary123". Но остался навсегда.
– Я был "Admin123". Я открыл двери… в ад.
– Я был "Welcome2020!". Никто не обновил меня. Никто не плакал.
– Я был "наташей". Он думал, что никто не узнает. Теперь знают все.
– 12345678... 🔤

Это они.
Мертвые пароли.
Те, что когда-то были твоими.
Те, что всплыли в очередной утечке.
Те, что теперь принадлежат кому-то другому 🔤

Говорят, если не сменить пароль вовремя, он начинает жить своей жизнью 📍
Сначала просто появляется в Даркнете.
Потом начинает использоваться ботами.
А потом – приходит за тобой.
Письмом. Уведомлением. Взломом.

Ты слышишь их голос в ночи?
Если да – пора менять 🎃

#хеллоуин #аутентификация

Читать полностью…

Не знаю как насчет месячника повышения осведомленности по ИБ, но SOC-месячником октябрь я могу назвать точно. За неполных 30 дней успел следующее: 🔤
🍄 Поучаствовал в подкасте по процессам и эффективности SOC (скоро выложат)
🐈‍⬛ Промодерировал эфир по автономным SOCам
💪 Преподал на курсе по SOC (моя часть была про сервисную стратегию, оценку эффективности и метрики, а также визуализацию и дашборды)
👌 Участвовал в конференции Positive SOCcon 2.5 (выше фрагмент моей презентации).
🎃 Будет и еще кое-что, но уже не в октябре, хотя начал именно в этом месяце.

#soc #мероприятие

Читать полностью…

Как и обещал, выкладываю презентацию с выступления на Russia Risk 2025 про риски новых технологий в финансовом секторе.

#презентация #технологии

Читать полностью…

Пишут, что ФСБ 🇷🇺 потребовала от банков установить у себя системы оперативно-разыскных мероприятий (СОРМ) и обеспечить спецслужбе удаленный к ним доступ. Все это надо сделать в срок до до 2027 года. А все потому, что банки подпадают под статус организаторов распространения информации (ОРИ), так как в банковских мобильных приложениях пользователи могут обмениваться сообщениями 💬

Не исключаю (скорее даже наоборот), что скоро такое требование будет распространено на ВСЕХ, у кого хоть где-нибудь есть функция написания комментариев/сообщений пользователями 💬 – на сайте, в приложении, где угодно. И это, во-первых, потребует пересмотра политик обработки персональных данных, но, что серьезнее, иногда и пересмотра архитектур самих решений, особенно тех, кто by design реализовывал E2EE, то есть "шифрование из конца в конец", как иногда переводят абонентское шифрование 🤦‍♂️

Картинку делал для презентации лет 10 назад. Уже тогда было понятно, что о правах граждан у нас как-то непринято думать 😠 А сейчас и подавно это не в моде. И не только у нас, но и вообще. Великобритания пошла по тому же пути. Евросоюз со своим законом "Chat Control" тоже 🇪🇺 Допускаю, что наши спецслужбы решили активизироваться ровно по этой причине – раз весь мир идет в попрание прав ради "общего блага", то почему Россия должна стоять в стороне от этих процессов. А во время террористической и экстремистской угрозы лишить людей приватности проще пареной репы 🤧 А про архитектуру подумайте... 🤔

#архитектура #криптография #приватность

Читать полностью…

А еще одна лекция на курсе по SOC продолжила тему измерений, но была посвящена уже визуализации 📈 – отчетам и дашбордам, которые в современных SOCах бывают очень редко когда хорошими (с точки зрения достигаемых целей). А все потому, что мало кто задается вопросом при проектировании визуализации "чтобы что?". А ведь именно он определяет насколько полезным будет дашборд или отчет для целевой аудитории 🤔 Тоже в час не уложился.

#метрики #soc #визуализация #обучение

Читать полностью…

Задумался… 🤔 Когда народный избранник, выйдя из машины японского производителя, в хорошем английском пальто с американским iPhone 17 в руках, заходит в здание парламента, построенного турками, доезжает в своем костюме итальянского покроя на лифте финского производства до своего второго этажа, доходит по коридору, уложенному шведским паркетом до туалета, и сидя на унитазе немецкого производителя, разговаривает с Siri, это можно трактовать как «в парламенте обсуждается инициатива, которая обяжет коммерческие компании замещать иностранное программное обеспечение»?..

Читать полностью…

Иду я, вижу — тумба стоит, а за тумбой — Алексей Лукацкий советы дает. И я так застеснялся, стушевался, великий все-таки, что все главные вопросы жизни, вселенной и всего такого — ну просто из головы вылетели! Спросил что-то про ответственность сильного искусственного интеллекта. А ведь мог узнать, кто мы и куда мы идем! Ну это уж в другой раз.

@yusufovruslan

Читать полностью…

Что же делать с "феноменом Баадера - Майнхофа", спросите вы, а я отвечу:
1️⃣ Осмысливать происходящее и пробовать понять, почему тот или иной объект или явление постоянно проявляются повсюду. Если все на рынке говорят, что у вас текут данные, то это подкрепляется данными ваших средств защиты от утечек и мониторингом Даркнета или нет? 🤔

2️⃣ Сохранять открытость и восприимчивость к другим мнениям и данным. Если вам говорят, что не надо платить выкуп вымогателям потому что они не вернут вам данные все равно, это подкреплено свежей статистикой или базируется на неудачном опыте одного говорящего? 🤔

3️⃣ Проверять источники информации и не фокусироваться только на одном из них, чтобы ваше восприятие не было искажено субъективностью или ИИ-алгоритмами. Если вы видите в СМИ, что основная киберугроза исходит из России, то может стоит перестать пользоваться Google и перейти на Яндекс или GPT-поисковики, которые работают немного иным способом и манипулировать которыми чуть сложнее? 🤔

4️⃣ Проверять факты, подтверждающие или опровергающие частоту встречаемости. Если вы прочитали у Gartner, что число атак на базе ИИ растет, то проверьте данный факт у кого-то из отечественных аналитиков 🤔

5️⃣ Проявлять внимательность к интерпретации вами частоты встречаемости чего-либо. Если вы только начинаете работать в ИБ и ваш опыт в этой области небольшой, то консультируйтесь у более опытных коллег (но не старперов, просиживающих штаны) 🤔

В общем, развивайте критическое мышление! 🤔

#психология #awareness

Читать полностью…

Термин "феномен Баадера – Майнхоф" возник после истории, рассказанной читателем газеты 📰 из города Сент-Пол (штат Миннесота). Он поделился на одном из форумом, что дважды за сутки случайно встретил упоминание немецкой леворадикальной группы 1970-х годов, возглавляемой Баадером и Майнхофом. Газета напечатала заметку об этом в 1994 году, и вскоре профессор Стэнфордского университета Арнольд Цвики описал похожее явление в лингвистике, назвав его "иллюзией частотности" 📊 Эффект Баадера–Майнхоф возникает, когда человек впервые сталкивается с новым понятием, а затем вдруг начинает замечать его повсюду (помните, когда вы покупали машину, то постоянно видели ту же марку вокруг?). На самом деле частота этого явления не изменилась – просто внимание стало избирательным. Психологи связывают это с когнитивным искажением (selective attention bias и confirmation bias): мозг замечает то, что подтверждает новое знание или ожидания 🧠

В кибербезопасности этот эффект тоже проявляется постоянно и об этом стоит знать, чтобы грамотно противостоять ему:
1️⃣ После участия в тренинге по фишингу сотрудники начинают "видеть фишинг везде": даже легитимные письма 💌 от ИБ-службы вызывают подозрения. Пример: после корпоративного киберквеста сотрудник видит слово "пароль" в письме и тут же репортит инцидент, даже если это письмо из HR. Или сотрудник увидел письмо, написанное стажером отдела маркетинга, не очень хорошо умеющего в русский язык, и сразу отправляет письмо в ИБ, ссылаясь на то, что во время обучения его внимание обращали, что мошенники часто делают ошибки в тексте ✍️

2️⃣ Когда СМИ или эксперты начинают активно обсуждать новый тренд – например, Zero Trust, XDR, ИИ в SOC или недопустимые события – его начинают "узнавать" повсюду, включая места, где он неприменим. Пример: компания внедрила сегментацию сети, а ИБ теперь называет это "Zero Trust", хотя это лишь его частный элемент. Или топ-менеджерам предлагают вместо сотен рисков фокусироваться на 4-6 недопустимых событиях, а вместо этого все ИБшники стали говорить о зеродеях как о недопустимом 📈

3️⃣ После громких новостей о кибератаках (Colonial Pipeline, SolarWinds, JLR, M&S, Аэрофлот, Винлаб и т.д.) руководители начинают "видеть аналогии" у себя. Пример: после новости о шифровальщике в ритейле любой сбой кассового ПО 🧾 воспринимается как "нас тоже взломали". Это усиливает тревожность, но иногда, правда, помогает быстрее реагировать.

4️⃣ После того как аналитик SOC впервые поймал атаку с использованием PowerShell, он начинает обращать внимание на любые PowerShell-события, игнорируя при этом другие важные векторы атак. Эффект усиливает туннельное зрение и снижает полноту аналитики 🧑‍🦯

5️⃣ Когда СМИ активно тиражируют тему "ИИ-хакеров" или "deepfake-утечек" 🎭, у аудитории формируется ощущение, что все угрозы теперь связаны с ИИ. В результате компании переоценивают риск новых технологий и недооценивают старые, но по-прежнему актуальные векторы – фишинг, учетные данные, RDP, непатченные уязвимости, слабые пароли, отсутствие MFA и т.п.

Почему это важно: 🤔
🔣 В обучении: помогает объяснять сотрудникам, что "чувство, будто угроз стало больше" – иллюзия восприятия (если этот факт не подкреплен цифрами).
🔣 В аналитике: требует коррекции через статистику и верификацию данных (а не интуицию).
🔣 В коммуникациях: помогает маркетологам и PR-службам осознанно не "перегревать" темы, чтобы не вызвать ложное ощущение массовости проблемы (если нет именно такой задачи).
🔣 В стратегическом управлении ИБ: защищает от избыточных инвестиций в "последнюю модную угрозу", забывая о базовых вещах (патч-менеджмент, сегментация, MFA...).

А как снизить негативный эффект от феномена Баадера - Майнхофа, мы поговорим попозже (не влезает все в один пост в Телеге) ⏳

#психология

Читать полностью…

Питер Вильямс (Peter Williams), бывший руководитель подразделения кибербезопасности компании L3Harris Technologies (конкретно, ее подразделения L3Harris Trenchant, специализирующегося на инструментах "хакерского"/ разведывательного профиля 🥷), обвинен правительством США в краже коммерческих/технологических секретов 🤒

В обвинительном документе указано, что примерно с апреля 2022 года по июнь/август 2025 года он похитил пятнадцать секретных технологических продуктов либо разработок у двух компаний. Названия компаний не раскрываются, но возможно речь идет о Azimuth и Linchpin Labs, двух стартапах, которые занимались разработкой Zero Day и продажей их спецслужбам альянса "Пяти глаз" 👁, и которые в 2018 году были куплены L3Harris. Целью похищения, как утверждают прокуроры, было дальнейшее их предоставление покупателю, расположенному в Российской Федерации 🇷🇺 Сумма, которую он якобы получил от сделки, составляет около 1,3 млн долларов США.

ЗЫ. С Trenchant и другой свежий кейс связан... Возможно, это все звенья одной цепи 🔗

#ответственность

Читать полностью…

Разговоры о стоимости утечек персональных данных ведутся давно и часто звучит мысль, что эта оценка сродни магическому ритуалу 🔮, когда ты смешиваешь различные ингредиенты, произносишь слова, смысл которых не понимаешь, и... может получиться, а может и нет. Как по мне, так аналогия с ритуалом действительна хороша, но только в ином контексте – ты просто должен соблюдать процедуру и разбить задачу на ингредиенты составные части, то есть провести декомпозицию 📈 Одним из возможных вариантов решения этой задачи является метод ABC (Activity-Based Costing), который обеспечивает метод распределения расходов по видам деятельности и продуктам.

В случае с утечками мы расходы на нее разбиваются по центрам расходов: 📊
1️⃣ Обнаружение и эскалация, включающие в себя активности по расследованию, оценке ущерба, привлечению внешних экспертов, управление кризисом и т.п.
2️⃣ Уведомление пострадавших и всех необходимых регуляторов (РКН, ФСБ, ЦБ, Минцифры) и иных заинтересованных сторон (платежные системы, СМИ, акционеры, совет директоров и т.п.) различными способами – заказные с уведомлением, СМС (они, прикиньте, тоже денег стоят), массовые звонки (тоже за деньги), аренда центров обработки вызовов.
3️⃣ Реакция после инцидента: возмещение ущерба, компенсация, юридическая помощь, кредитный мониторинг, замена удостоверений личности, смена номера телефона, заведение новых учетных записей и счетов, штрафы, скидки и т.д.
4️⃣ Потерянный бизнес: потеря клиентов, простой, ущерб репутации, недополученная прибыль и т.п. 📊

Такой подход дает конкретные цифры и сценарии, что усиливает аргументацию 🧐 при обсуждении с бизнес-руководством: "если мы ничего не сделаем – риск $$$". Главное – декомпозируйте все активности, связанные с утечкой по статьям расходов и все станет гораздо проще. И даже если вы не учли что-то в своей калькуляции, это лучше, чем ничего и чем утверждать, что посчитать стоимость утечки невозможно 📈

#ущерб #утечка

Читать полностью…

На эфире по автономным SOCам прозвучал тезис, что Россия 🇷🇺 на 2-3 года (оптимистично) опаздывает в части внедрения соответствующих технологий по сравнению с Западом. Подтверждаю эту мысль - больше года назад я делал обзор того, что можно было бы назвать NG SIEM и автономными SOCами. Для нашего R&D. Думаю выложить этот обзор, – он достаточно подробно раскрывает то, что сейчас делается по ту сторону океана и в Израиле в этой сфере. Да и отдельные, позитивные, наши вендора тоже движутся в этом направлении ☺️

#soc #siem

Читать полностью…

Потихонечку история с атакой на Jaguar Land Rover переходит от умозрительных к более осязаемым потерям. Согласно отчету независимого центра Cyber Monitoring Centre, атака на JLR повлияла на более чем 5000 организаций и обошлась британской экономике примерно в £1.9 миллиарда (или 2,25 миллиарда долларов) 🤑 В сентябре 2025 года производство автомобилей в Великобритании упало примерно на 27% по сравнению с тем же месяцем годом ранее. Широкая остановка производства JLR, крупнейшего британского автопроизводителя, стала ключевым фактором этого падения 📉

Ущерб носит не только прямой характер (потеря производства), но и каскадный: сбои в цепочке поставок 🏎, задержки комплектующих, финансовая нагрузка на малых и средних подрядчиков. Производство было приостановлено на несколько недель, и поставщики уже начали сокращать часы работы и даже увольнять сотрудников 🤸 JLR объявляла о том, что пока не обнаружила доказательств утечки клиентских данных, но приостановка производства и ее последствия идут дальше.

Основной удар приходится не только на JLR как компанию, но на всю цепочку поставок, что усиливает мультипликативный эффект 🐇 Даже если JLR "выдержит" благодаря большим ресурсам, мелкие фирмы-поставщики несут основной риск: кассовый разрыв, временные увольнения, потеря контракта. Отчет CMC подчеркивает: многие убытки – это упущенная выручка / остановка производства, а не только расходы по восстановлению или штрафы (в этой части много неясного до сих пор) 👨‍🦽 Сценарии "длительного восстановления" сильно увеличивают ущерб: чем дольше простои, тем выше риск: £1.9 млрд – ориентир, но диапазон ущерба может быть выше при отсроченном запуске остановленных заводов. Отдельный аналитический материал оценивал, что JLR может потерять > £3.5 млрд выручки, если простои продлятся до ноября (осталось недолго ждать), и что ежедневный убыток может составлять ~£72 млн 💷

#ущерб

Читать полностью…

Биометрия безопасная говорили они))

p.s. от подписчицы)
#meme

😎 BESSEC | 🤕Кибер КИТ

Читать полностью…

Если глава РКН насчитал 103 утечки к текущему моменту, а его "начальник", министр цифрового развития две недели назад говорил 🧐 о 65 утечках, то о чем это может говорить? Что за полмесяца произошло 40 утечек (у нас в базе всего 10 за это время)? Что у РКН и Минцифры разные источники информации (но министр ссылался на данные РКН)? Что руководителю министерства подсунули неверные данные? А может РКН внедрил систему мониторинга Даркнета и увидел больше, чем видел раньше? 🤔 Не знаю пока как трактовать такое расхождение в цифрах. Но, в любом случае, снижения пока не наблюдается – скорее все уходит в тень.

#утечка #персональныеданные

Читать полностью…

Говорят, она появилась ниоткуда – без опознавательных знаков, без подписи, просто лежала на полу у входа в офис. Маленькая, черная, с треснувшим корпусом и запахом паленого пластика. Ее нашел стажер. Он поднял ее и, несмотря на предупреждения, полученные во время приема на испытательный срок, подключил к своему ноутбуку. Экран замигал. Мышь замерла. А потом началось 👻

Папка за папкой открывались сами. Старые документы, удаленные годы назад, снова появились. Скриншоты переписок, о которых никто не помнил. Фото, которых не должно было быть. Логины. Пароли. А в последней папке – файл без названия. Стажер его открыл 👻

С тех пор ноутбук больше не включался. Сам стажер исчез на следующий день – не уволился, не взял отгул. Исчез. Его профиль в системе удалился сам. Даже видеокамеры не сохранили следов. Только флешка – снова оказалась у входа. Как будто ждет следующего… 🎃

И если ты сейчас читаешь это и думаешь: "Да ладно, сказки", – просто вспомни: а точно ли ты знаешь, что за флешка сейчас подключена к твоему компьютеру?.. 👻

#хеллоуин

Читать полностью…

"Осьминог меняет цвет за миллисекунды, чтобы исчезнуть из поля зрения хищника. Муравьи обмениваются «паролями» при входе в муравейник. А пчелы танцуют, чтобы передать координаты цветущего поля — но только своим. Все это — методы защиты, маскировки и безопасной передачи информации, которые совершенствовались на протяжении миллионов лет эволюции. И именно в этих природных алгоритмах — ключи к будущему кибербезопасности."

Именно такова аннотация моей лекции 👨‍🏫 "Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга", которую я буду читать в музее криптографии 22 ноября в 15.00.

Участники лекции отправятся в захватывающее путешествие 🛤 и проследят эволюцию методов защиты информации: от поведения животных в дикой природе – через шифры Древнего мира, шпионские страсти эпохи Возрождения и цифровые катастрофы XXI века – к технологиям завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за "цифровым забором" 😂 Информационная безопасность – это не просто код и протоколы. Это история выживания. И она началась задолго до появления человека. А вот когда она закончится, решать всем нам…

ЗЫ. Теперь смогу с чистой совестью писать, что я популяризатор кибербезопасности 🎤

#история #мероприятие

Читать полностью…

Не исключено, что на сайте ГосСОПКИ 🇷🇺 может появиться очередное сообщение о компрометации ИТ-компании… Вы же не слепо доверяете своим ИБ/ИТ-подрядчикам😂

#инцидент

Читать полностью…

...
– Профессия?
– Специалист по защите информации, – почему-то неохотно признался Иван.
Пришедший огорчился.
– Ох, как мне не везет! – воскликнул он, но тут же спохватился, извинился и спросил: – А какой ваш логин в Max?
– @Бездомный.
– Эх, эх… – сказал гость, морщась.
– А вам, что же, мои политики ИБ не нравятся? – с любопытством спросил Иван.
– Ужасно не нравятся.
– А вы какую из них читали?
– Никакую я вашу политику не читал! – нервно воскликнул посетитель.
– А как же вы говорите?
– Ну, что ж тут такого, – ответил гость, – как будто я других не читал? Впрочем… разве что чудо? Хорошо, я готов принять на веру. Хороши ваши политики, скажите сами?
– Чудовищны! – вдруг смело и откровенно произнес Иван.
– Не пишите больше! – попросил пришедший умоляюще.
– Обещаю и клянусь! – торжественно произнес Иван.
... 😈

#творчество

Читать полностью…

Курс по SOC перевалил свой экватор. Вчера я читал на нем раздел по по оценке эффективности, метрикам и моделям зрелости центров мониторинга ИБ... 🧮 Задача была непростая - взять из моего курса по измерениям ИБ (8 часов, 700 слайдов) самое главное и переложить на тему SOCов, уложившись в 1 час. Я не справился; получилось почти два часа. Но тема измерений глубока как океан и к ней надо будет еще вернуться... 🤔

#метрики #soc #maturity #обучение

Читать полностью…

MITRE выпустила новую версию матрицы ATT&CK v18 (тут и тут), в которой было сделано немало изменений, касающихся обнаружения техник и тактик. В частности: ✍️
1️⃣ Проведена полная "перестройка" раздела обнаружения (detection). ATT&CK ввела два новых объекта – Detection Strategies и Analytics, а также переработала модель связей между техниками, аналитикой и источниками телеметрии (Data Components). Это переводит рекомендации по обнаружению из "коротких заметок" в структурированные стратегии с платформенно-настраиваемой аналитикой. Рабочая среда Workbench (позволяет добавлять собственные объекты) уже поддерживает Detection Strategies; для интеграций доступны STIX-примеры и схемы совместимости.

2️⃣ Новые объекты/структуры телеметрии. Log Sources теперь встроены в Data Components (т.е. изменился способ описания, что именно нужно собирать), что делает привязку техники → стратегия → конкретная аналитика → телеметрия более модульной и машинно-дружественной.

3️⃣ Расширение покрытия Enterprise/Cloud/DevOps/Кубернетес/CI-CD и баз данных. Добавлены 14 новых техник, отражающих реальные атаки на контейнеры, Kubernetes API, конвейер CI/CD, облачные СУБД и т.п. Много изменений в уже существующих объектах матрицы.

4️⃣ Предложенная реструктуризация тактики Defense Evasion (бета-версия). MITRE предлагает разделить Defense Evasion на две тактики – Stealth (скрываться/искажать видимую картину) и Impair Defenses (активно саботировать средства защиты). При этом ряд техник будут перенесены в другие тактики (например, некоторые элементы – в Persistence или Privilege Escalation), а некоторые – удалены или переработаны. Это крупная архитектурная смена, которая может повлиять на модели сопоставления и метрики.

5️⃣ CTI (Groups / Software / Campaigns) – много нового по угрозам. Новая версия добавляет новые хакерские группы, кампании и ПО (например, 8 новых групп и ~33 новых программных семейств, 5 кампаний – на цепочки поставок, атаки на роутеры/виртуализацию и усилении активности северокорейских и китайских хакеров). Примеры: Medusa, Embargo/Qilin, RedLine Stealer и др.

6️⃣ Мобильная и ICS-части тоже обновлены. Мобильный профиль дополнили техниками, отражающими злоупотребления мессенджерами (Signal/WhatsApp) и усилением методов кражи учетных записей; в ICS расширили модель активов и связанных активов для лучшего соответствия отраслевой терминологии.

7️⃣ Запуск ATT&CK Advisory Council для формализации обратной связи сообщества и уже началось планирование версии v19.

#mitre #ttp #framework

Читать полностью…

Аккурат на эфире по автономным SOCам возник вопрос о том, кто несет ответственность #️⃣ за неверно принятые решения в SOCе, в котором нет людей, а есть только бездушные ИИ-агенты? И вот на обучении MBA меня на тумбе поймал Руслан и в свойственной ему футурологической манере спросил о развилках будущего и об ответственности ИИ... 🤯

В комменты к посту Руслана набежали боты 🤖, что заставило его написать в развитие интересный пост о будущем верификации. Но если Руслан об этом думаете с точки зрения футуролога, то я просто приземляю эту историю на ИБ и получается, что у нас будет развиваться не только рынок Human Identity или Machine Identity (а также HMI), но и рынок AI Identity, так как нам надо будет уметь отличать человека от ИИ-агента. Интересные времена ждут ИБшников... 🤖 А вы знаете, как проводить аутентификацию ИИ-ботов и ИИ-агентов?

#ии

Читать полностью…

Gartner выпустил новый магический квадрат 🟥 по SIEM, в котором произошли некоторые изменений по сравнению с прошлым годом не только с точки зрения мест участников, но и с точки зрения закрепившихся тенденций:
6️⃣ Современные решения должны быть SaaS и облачными, хотя еще не так давно идея передачи данных безопасности в облако вызывала споры, но сегодня стала практически само собой разумеющейся.
2️⃣ SIEM и SOAR слились. Последние еще встречаются как самостоятельные решения, но в контексте SIEM 2025 и далее годов SIEM это уже связка с SOAR.
3️⃣ UEBA (User & Entity Behavior Analytics) "поглощена" основным стеком обнаружения. Раньше UEBA была звездой машинного обучения и отдельной платформой у ряда вендоров, а теперь – просто еще одна функция внутри SIEM.
4️⃣ ИИ пока не показывает значительного эффекта, чтобы быть отраженным в магическом квадрате, который больше фокусируется на отзывах клиентов, которым пока важны именно базовый функционал – масштабирование, эффективное обнаружение, быстрое реагирование и т.п.

#siem #средствазащиты #тенденции

Читать полностью…

Кто помнит фильм "Привидение" с Деми Мур и Патриком Суэйзи? 🍿 Какая серьезнейшая ошибка демонстрируется в этом фрагменте с точки зрения кибербезопасности? (если вы не смотрели фильм, то даже не пробуйте угадать) 🍿

#кино

Читать полностью…

Американский штат Мэриленд 🇺🇸 опубликовал у себя на сайте формальную программу "раскрытия уязвимостей" (Vulnerability Disclosure Program, VDP) для систем, которыми владеет, управляет или эксплуатирует штат. Внешним исследователям (белым хакерам) безопасности предоставляется возможность выявлять потенциальные уязвимости. Система позволяет выявлять дефекты до того, как они будут использованы злоумышленниками, и тем самым укреплять защиту государственных систем и сервисов 🤕

Штат признает важность внешних исследователей безопасности 🤝 Если исследование проводится добросовестно (good faith), то есть без злого умысла, с целью улучшения безопасности, без вреда системе или нарушений приватности, то такое исследование считается авторизованным в рамках VDP, и DoIT OSM (Maryland Department of Information Technology и его подразделение Office of Security Management) не будет рекомендовать юридические меры воздействия против исследователя 🔒

После вступления в силу документ все подпадающие под него организации обязаны: 🧐
🔤 В течение 30 дней после публикации политики предоставить контактные данные (email и телефон) ответственных лиц для взаимодействия в рамках VDP.
🔤 Подтверждать получение каждого сообщения об уязвимости в течение 2 рабочих дней, направляя ответ в OSM.
🔤 Координировать планирование, исполнение и проверку мероприятий по устранению дыр с DoIT OSM; предоставлять нужную информацию для оценки риска и отслеживания устранения уязвимости.
🔤 Устранять (или принять решение об отказе от устранения) подтвержденные уязвимости в сроки, устанавливаемые DoIT OSM, в зависимости от оценки по степени серьезности (Critical / High / Medium / Low) и используя методологии вроде Common Vulnerability Scoring System (CVSS). Если устранение невозможно, то организовать процесс принятия риска.
🔤 Уведомлять DoIT OSM об окончании мер по устранению и сотрудничать с ним в проверке эффективности исправления.
🔤 Реализовать лучшие практики видимости VDP, например, разместить ссылку на программу в нижней части веб-сайтов, подпадающих под действие директивы (органов исполнительной власти штата, органов местного самоуправления и иных правомочных структур.

Интересная инициатива, по сути своей аналог Bug Bounty, которую запускало наше Минцифры. И никакого преследования "белых хакеров", контроля используемого ими арсенала, занесения их в реестр и вот этого вот всего... 🤔

#уязвимость #регулирование #оценказащищенности

Читать полностью…

По мнению Gartner период до 2026 года и далее станет временем, когда ИТ-компании и современный бизнес входят в фазу ускоренной трансформации – "волна инноваций, появившаяся за один год, превысила все, что мы видели ранее". На этом фоне американские аналитики под конце года разродились очередным видением 🔮 о том, какие технологии станут в следующем году превалирующими (хотя скорее надо это читать как "движение в эту сторону активизируется").

1️⃣ Платформы безопасности ИИ. Такие платформы объединяют функции защиты как сторонних, так и собственных ИИ-приложений; централизованная видимость, политики использования, защита от специфичных рисков ИИ (например, инъекции запросов, утечки данных, действия "беглых" агентов и т.п.).

2️⃣ Превентивная кибербезопасность. Gartner отмечает, что из-за экспоненциального роста атак на сети, данные и подключенные системы, компании все чаще переходят от реактивной защиты к проактивной (это точно прогноз на 2026 год?), имея ввиду SecOps на базе ИИ, обманные технологии и т.п. (про рост внимания к этим технологиям они говорят каждый год).

3️⃣ Конфиденциальные вычисления. Речь о выполнении вычислений в доверенных аппаратных средах (TEE – trusted execution environments), когда даже оператор облака или владелец инфраструктуры не может получить доступ к данным/нагрузкам. Очередная реинкарнация и развития TPM.

4️⃣ Физический ИИ. Этот тренд означает, что ИИ "входит" в реальные устройства – роботы, дроны, "умное" оборудование, машины, принимающие решения автономно. При этом появляются требования к слиянию навыков ИТ, OT и инженерии; вопросы управления изменениями и рабочих мест.

5️⃣ Цифровое происхождение. С развитием открытого ПО, компонентов третьих сторон, ИИ-генерации контента становится критичным проверять происхождение, владение и целостность софта, данных, медиа, процессов. Это про Software Bill of Materials (SBOM), базы аттестации, цифровые водяные знаки и вот это вот все.

6️⃣ Платформы суперкомпьютерного ИИ. Gartner выделяет сочетание CPU, GPU, ASIC, нейроморфных и альтернативных вычислений + оркестрация для сложных нагрузок.

7️⃣ Мультиагентские системы. Множество ИИ-агентов, действующих совместно или независимо, для достижения бизнес-целей; могут быть распределены по средам. Преимущества – автоматизация сложных процессов, масштабируемость, сотрудничество "людей + агенты".

8️⃣ Доменно-специфичные языковые модели. Поскольку универсальные LLM часто недостаточно точны для узких задач, появляются модели, обученные/донастроенные на отраслевых/функциональных данных.

9️⃣ ИИ-платформы разработки. Платформы, встроенные с GenAI, позволяют быстрее и проще создавать ПО – разработчики + бизнес-эксперты используют их совместно, с учетом требований безопасности.

1️⃣0️⃣ Геопатриация. Переезд данных и приложений из глобальных публичных облаков в локальные облака, региональных провайдеров или в собственные ЦОДы организации – из-за возросших геополитических рисков. Появляется новая архитектурная задача – контролируемое суверенное облако, локальные облака, управление данными в условиях геополитики.

Честно, ничего нового лично я в этом прогнозе не увидел, но возможно потому, что я давно погружен в тему ИИ+ИБ. Для тех, кто только погружается в эту историю отмечу ключевые изменения: ✍️
*️⃣ Безопасность ИИ становится отдельной дисциплиной, а значит нужна стратегия защиты ИИ-платформ, моделей, агентов. Это новая тема для специалистов по ИБ.
*️⃣ Проактивная кибербезопасность (предсказание, предупреждение) заменяет или дополняет традиционное реагирование.
*️⃣ Архитектуры обработки данных меняются (конфиденциальные вычисления, геопатриация, супер-вычисления), а значит обновляются требования и к безопасности.
*️⃣ Цепочки поставок и происхождение цифровых активов (software, data, активы) выходят на первый план с точки зрения рисков.
*️⃣ Разработка и применение ИИ-систем меняют роли, процессы и требуют пересмотра подходов к безопасности и управлению.

Короче, не расслабляемся, самообразовываемся, держим руку на горле пульсе ИИ 🤔

#тенденции #ии

Читать полностью…

Пока вы отдыхаете в свой законный выходной, у меня идет обучение 👩‍🎓 топ-менеджеров по программе MBA; читаю там модуль по кибербезу для руководителей и владельцев компаний из совершенно разных отраслей (строительство, рестораный бизнес, медицина, ритейл и т.п.) и с разной выручкой – от нескольких миллионов до десятков миллиардов. Очередной интересный опыт... 🤠

#обучение #cxo

Читать полностью…

Узнал тут про новую отечественную ИБ-ассоциацию, а она оказывается с 2022 года существует 😦 Сайт есть. Членов принимают. Протоколы собраний ведут. Моей НАИБАЛ (Некоммерческая Ассоциация по ИБ Алексея Лукацкого), с ее единственным членом, еще учиться и учиться у аксакалов... ☕️

Хотя фраза "организация, основанная с целью создания первой в России саморегулируемой организации" выглядит странно 🫤 Как и одна из частей миссии – "сокращать неоправданное вовлечение государственных регуляторов" (просится вопрос "куда?"). Зато деятельность ассоциации, которая "направлена прежде всего на создание благоприятных условий для профессиональной коммерческой деятельности членов Ассоциации" , предельно понятна и не требует пояснений. Может поэтому я и не встречал раньше ее на поле ИБ; даже с учетом того, что она разработала и утвердила систему добровольной сертификации "БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ" 🫤

Уж сколько было попыток создания систем добровольной сертификации средств защиты информации... А все бестолку – не понимает у нас бизнес эту историю – либо обязаловка и тогда в систему сертификации ФСТЭК или ФСБ (МО и СВР оставляем в стороне), либо "зачем нам тратить добровольно деньги?" 🤔

#рынок #оценкасоответствия

Читать полностью…

"Я понял, в чем ваша беда. Вы слишком серьезны. Умное лицо – еще не признак ума, господа. Все глупости на Земле делаются именно с этим выражением. Улыбайтесь, господа, улыбайтесь!" (с) "Тот самый Мюнхгаузен"

#биометрия

Читать полностью…