The Royal United Services Institute for Defence and Security Studies 🎖 провел исследование о влиянии санкций на киберугрозы. Что по мнению англичан дает эффект:
➡️ Нападение на тех, кто помогает хакерам, – инфраструктуру, посредников, сервисы, которые облегчают деятельность кибератакующих: крипто-миксеры, хостинг­провайдеры, технологические поставщики, государственные контракторы, международные юридические лица. Такой подход имеет смысл – если усложнить денежные потоки и доступ к инфраструктуре, то атакующие сталкиваются с ростом затрат, задержками, дополнительными рисками 🤕

➡️ Санкции в составе комплексного ответа – не просто заморозка активов или запрет на поездки, а сочетание санкций с дипломатическими мерами, уголовными обвинениями, обменом разведданными, публичными техническими уведомлениями (advisories). Такая "комбинированная" модель усиливает репутационный, операционный и экономический нажим на злоумышленников ❌

➡️ Создание дополнительного трения для атакующих – даже если атаки полностью не останавливаются, санкции могут сделать их более медленными, рискованными, дорогими. То есть цель не в полной остановке всех атак, а в увеличении издержек и барьеров для злоумышленников 🤬

➡️ Сигнальный эффект и установление норм поведения – санкции помогают обозначить: да, кибератака считается недопустимой, будут последствия. Это дает сигнал союзникам и помогает им не опускать руки 🚨

Что не работает:
➡️ Заморозка активов и запрет на поездки у хакеров часто малоэффективны как средство сдерживания. Если атакующий связан с государственной структурой, у него может быть защищенный статус или он может не ощущать прямого личного влияния на себя 🥶

➡️ Когда санкции вводятся слишком поздно или без координации – эффект от них будет минимален. Если злоумышленник уже реализовал атаку и ушел, санкции после этого факта не меняют ситуацию 🚶‍♂️

➡️ Ограниченная юрисдикция – если санкции вводятся односторонне и не охватывают все страны, злоумышленники могут использовать "юрисдикционные дырки". То есть важно, чтобы меры были международно скоординированы, что в текущей геополитике маловероятно 🤝

➡️ Проблемы с атрибуцией и доказательствами. ЕС, например, критикуется за медленное внесение в санкционные списки, осторожный подход к атрибуции, слабый мониторинг эффективности санкций. То есть без уверенной атрибуции и последующего мониторинга эффект будет низкий 🇪🇺

Так что санкции сами по себе – не панацея. Они не остановят все кибератаки, особенно хорошо организованные государственные операции. Но они имеют смысл, если встроены в более широкий архитектурный подход: дипломатия, право, разведка, публичные уведомления, международное сотрудничество 🌍

#санкции #геополитика

Читать полностью…

К минской SOCcon мы готовили исследование по тенденциям современных SOCов 🔍 (было еще и с аналитикой киберугроз в СНГ за прошедший год), в котором мои коллеги проанализировали многие тренды, присущие построению и эксплуатации современных центров мониторинга – от работы с новыми источниками (вы знаете, как подключить к SOC конвейер CI/CD или системы MLOps?) и новым подходам управления данными до трансформации detection engineering и ИИ-ассистентов и ИИ-агентов. Годное чтение для понимания, куда это все идет... 🤔

#soc #тенденции

Читать полностью…

Вообще англичане умеют в тонкий юмор. Тут он еще и смысловой, доходящий не сразу... 🤔

#юмор

Читать полностью…

Страховая компания At-Bay выпустила исследование, основанное на данных страховых выплат 🤑 за период с 2021 по первый квартал 2025 года. В 2024 году было два главных канала проникновения в компании – электронная почта и удаленный доступ. Они вместе обеспечили ~90% всех инцидентов ИБ, если исключить случаи, связанные с компрометацией сторонних организаций или не-киберсобытиями 🤔

Из интересного:
💀 Электронная почта была точкой входа в ~43% всех инцидентов в 2024 году с ростом на 30% за год. При этом решения по защите почты в большинстве случаев продемонстрировали ухудшение своих защитных возможностей против современных угроз, основанных на ИИ ✉️

💀 В 2024 году ~80% ransomware-атак на клиентов At-Bay начались через средства удаленного доступа, из них ~83% – через VPN-устройства 🔐

💀 Организации, использующие VPN на собственной инфраструктуре (on-premises), почти в 4 раза чаще подвергались ransomware-атаке, чем те, кто использовал облачные VPN или вообще не применял VPN 🔐

💀 Самыми рискованными среди VPN-решений оказались устройства от Cisco и Citrix (SSL VPN) – компании, использующие эти решения, были примерно в 7 раз более подвержены ransomware-атакам, чем организации без обнаруженного VPN-решения 😷 Но тут интересно было бы видеть абсолютные цифры, а не относительные, так как та же Cisco является ооооочень распространенным VPN-решением в мире. Облачные VPN могут снизить риск, но у нас в регионе с этим есть сложности законодательного плана. К слову, Fortinet и Palo Alto в отчете тоже упомянуты, но риск пасть жертвой шифровальщика в их случае "всего" в 5,5 раз выше (у Cisco и Citrix – в 6.8) 📊

💀 В отчете подчеркивается, что основным эффективным средством защиты от полного шифрования данных злоумышленниками стали сервисы Managed Detection & Response (MDR). MDR-услуги воспринимаются не просто как дополнительный элемент, а скорее как необходимый "последний рубеж" защиты: когда атака уже попала внутрь, важно быстро ее обнаружить и локализовать, чтобы не допустить полного шифрования всех данных 💭

А вы уделяете должное внимание защите электронной почты и VPN-решений? Или вам пока не до того и вы разгребаете последствия неудачной плановой смены мастер-ключей в сети ViPNet СМЭВ, которые длятся уже несколько дней? 👻

#статистика #киберстрахование #ttp

Читать полностью…

Ритуал киберочищения для тех, кто открыл не то, кликнул не туда… и впустил тьму 🙀

Ты чувствуешь, как компьютер начинает жить своей жизнью.
Файлы исчезают.
Окна открываются сами.
Шепот в динамиках…
Это не сон. Это – цифровое проклятие.

📜 Не паникуй. Все еще можно остановить.
Открой древнюю книгу 👩‍🎓 знаний (или хотя бы чеклист) и проведи ритуалы:
💀 Призови антивирус позитивной силы. Полное сканирование. Надежный вендор. Без пощады к цифровому злу.
💀 Изгони вредонос через перезагрузку в Safe Mode. Не верь, что "само пройдет". Это не простуда, это троян.
💀 Окуни себя в святую воду резервных копий. Если они у тебя есть… Если нет – ты проклят дважды.
💀 Прогони тени через многофакторку. Одного пароля уже давно недостаточно. Даже если он похож на имя древнего демона “йцукен”.
💀 Обратись к древнему оракулу SOC. Или хотя бы к знакомому ИБ-шнику. Они знают как искать еле заметные нити, ведущие в пучину ада.

🕯 Помни: в цифровом мире зло не носит маску, оно скрывается в письмах, флешках и рекламных баннерах. Но если ты все еще читаешь это – у тебя есть шанс. И ты знаешь, что делать ☺️

#хеллоуин

Читать полностью…

Легенда из архива забытых учёток 😄

Когда-то они были надежными.
Сложные, длинные, полные символов и секретов.
Но время шло, аккаунты забывались, системы менялись…
А пароли – остались.

И вот ночью, в забытом дата-центре,
между вентиляцией и старым сервером,
включился терминал. Сам по себе.
На экране – мигающая строка входа.
А из динамиков – шепот 👻

– 123456…
– Я был "qwerty123". Мне доверяли 4 года. Потом пришел брутфорс…
– Я был именем ее кота. Ушел тихо – через фишинг.
– Я был написан на стикере. И найден в день увольнения.
– Я был "temporary123". Но остался навсегда.
– Я был "Admin123". Я открыл двери… в ад.
– Я был "Welcome2020!". Никто не обновил меня. Никто не плакал.
– Я был "наташей". Он думал, что никто не узнает. Теперь знают все.
– 12345678... 🔤

Это они.
Мертвые пароли.
Те, что когда-то были твоими.
Те, что всплыли в очередной утечке.
Те, что теперь принадлежат кому-то другому 🔤

Говорят, если не сменить пароль вовремя, он начинает жить своей жизнью 📍
Сначала просто появляется в Даркнете.
Потом начинает использоваться ботами.
А потом – приходит за тобой.
Письмом. Уведомлением. Взломом.

Ты слышишь их голос в ночи?
Если да – пора менять 🎃

#хеллоуин #аутентификация

Читать полностью…

Не знаю как насчет месячника повышения осведомленности по ИБ, но SOC-месячником октябрь я могу назвать точно. За неполных 30 дней успел следующее: 🔤
🍄 Поучаствовал в подкасте по процессам и эффективности SOC (скоро выложат)
🐈‍⬛ Промодерировал эфир по автономным SOCам
💪 Преподал на курсе по SOC (моя часть была про сервисную стратегию, оценку эффективности и метрики, а также визуализацию и дашборды)
👌 Участвовал в конференции Positive SOCcon 2.5 (выше фрагмент моей презентации).
🎃 Будет и еще кое-что, но уже не в октябре, хотя начал именно в этом месяце.

#soc #мероприятие

Читать полностью…

Как и обещал, выкладываю презентацию с выступления на Russia Risk 2025 про риски новых технологий в финансовом секторе.

#презентация #технологии

Читать полностью…

Пишут, что ФСБ 🇷🇺 потребовала от банков установить у себя системы оперативно-разыскных мероприятий (СОРМ) и обеспечить спецслужбе удаленный к ним доступ. Все это надо сделать в срок до до 2027 года. А все потому, что банки подпадают под статус организаторов распространения информации (ОРИ), так как в банковских мобильных приложениях пользователи могут обмениваться сообщениями 💬

Не исключаю (скорее даже наоборот), что скоро такое требование будет распространено на ВСЕХ, у кого хоть где-нибудь есть функция написания комментариев/сообщений пользователями 💬 – на сайте, в приложении, где угодно. И это, во-первых, потребует пересмотра политик обработки персональных данных, но, что серьезнее, иногда и пересмотра архитектур самих решений, особенно тех, кто by design реализовывал E2EE, то есть "шифрование из конца в конец", как иногда переводят абонентское шифрование 🤦‍♂️

Картинку делал для презентации лет 10 назад. Уже тогда было понятно, что о правах граждан у нас как-то непринято думать 😠 А сейчас и подавно это не в моде. И не только у нас, но и вообще. Великобритания пошла по тому же пути. Евросоюз со своим законом "Chat Control" тоже 🇪🇺 Допускаю, что наши спецслужбы решили активизироваться ровно по этой причине – раз весь мир идет в попрание прав ради "общего блага", то почему Россия должна стоять в стороне от этих процессов. А во время террористической и экстремистской угрозы лишить людей приватности проще пареной репы 🤧 А про архитектуру подумайте... 🤔

#архитектура #криптография #приватность

Читать полностью…

А еще одна лекция на курсе по SOC продолжила тему измерений, но была посвящена уже визуализации 📈 – отчетам и дашбордам, которые в современных SOCах бывают очень редко когда хорошими (с точки зрения достигаемых целей). А все потому, что мало кто задается вопросом при проектировании визуализации "чтобы что?". А ведь именно он определяет насколько полезным будет дашборд или отчет для целевой аудитории 🤔 Тоже в час не уложился.

#метрики #soc #визуализация #обучение

Читать полностью…

Задумался… 🤔 Когда народный избранник, выйдя из машины японского производителя, в хорошем английском пальто с американским iPhone 17 в руках, заходит в здание парламента, построенного турками, доезжает в своем костюме итальянского покроя на лифте финского производства до своего второго этажа, доходит по коридору, уложенному шведским паркетом до туалета, и сидя на унитазе немецкого производителя, разговаривает с Siri, это можно трактовать как «в парламенте обсуждается инициатива, которая обяжет коммерческие компании замещать иностранное программное обеспечение»?..

Читать полностью…

Иду я, вижу — тумба стоит, а за тумбой — Алексей Лукацкий советы дает. И я так застеснялся, стушевался, великий все-таки, что все главные вопросы жизни, вселенной и всего такого — ну просто из головы вылетели! Спросил что-то про ответственность сильного искусственного интеллекта. А ведь мог узнать, кто мы и куда мы идем! Ну это уж в другой раз.

@yusufovruslan

Читать полностью…

Что же делать с "феноменом Баадера - Майнхофа", спросите вы, а я отвечу:
1️⃣ Осмысливать происходящее и пробовать понять, почему тот или иной объект или явление постоянно проявляются повсюду. Если все на рынке говорят, что у вас текут данные, то это подкрепляется данными ваших средств защиты от утечек и мониторингом Даркнета или нет? 🤔

2️⃣ Сохранять открытость и восприимчивость к другим мнениям и данным. Если вам говорят, что не надо платить выкуп вымогателям потому что они не вернут вам данные все равно, это подкреплено свежей статистикой или базируется на неудачном опыте одного говорящего? 🤔

3️⃣ Проверять источники информации и не фокусироваться только на одном из них, чтобы ваше восприятие не было искажено субъективностью или ИИ-алгоритмами. Если вы видите в СМИ, что основная киберугроза исходит из России, то может стоит перестать пользоваться Google и перейти на Яндекс или GPT-поисковики, которые работают немного иным способом и манипулировать которыми чуть сложнее? 🤔

4️⃣ Проверять факты, подтверждающие или опровергающие частоту встречаемости. Если вы прочитали у Gartner, что число атак на базе ИИ растет, то проверьте данный факт у кого-то из отечественных аналитиков 🤔

5️⃣ Проявлять внимательность к интерпретации вами частоты встречаемости чего-либо. Если вы только начинаете работать в ИБ и ваш опыт в этой области небольшой, то консультируйтесь у более опытных коллег (но не старперов, просиживающих штаны) 🤔

В общем, развивайте критическое мышление! 🤔

#психология #awareness

Читать полностью…

Термин "феномен Баадера – Майнхоф" возник после истории, рассказанной читателем газеты 📰 из города Сент-Пол (штат Миннесота). Он поделился на одном из форумом, что дважды за сутки случайно встретил упоминание немецкой леворадикальной группы 1970-х годов, возглавляемой Баадером и Майнхофом. Газета напечатала заметку об этом в 1994 году, и вскоре профессор Стэнфордского университета Арнольд Цвики описал похожее явление в лингвистике, назвав его "иллюзией частотности" 📊 Эффект Баадера–Майнхоф возникает, когда человек впервые сталкивается с новым понятием, а затем вдруг начинает замечать его повсюду (помните, когда вы покупали машину, то постоянно видели ту же марку вокруг?). На самом деле частота этого явления не изменилась – просто внимание стало избирательным. Психологи связывают это с когнитивным искажением (selective attention bias и confirmation bias): мозг замечает то, что подтверждает новое знание или ожидания 🧠

В кибербезопасности этот эффект тоже проявляется постоянно и об этом стоит знать, чтобы грамотно противостоять ему:
1️⃣ После участия в тренинге по фишингу сотрудники начинают "видеть фишинг везде": даже легитимные письма 💌 от ИБ-службы вызывают подозрения. Пример: после корпоративного киберквеста сотрудник видит слово "пароль" в письме и тут же репортит инцидент, даже если это письмо из HR. Или сотрудник увидел письмо, написанное стажером отдела маркетинга, не очень хорошо умеющего в русский язык, и сразу отправляет письмо в ИБ, ссылаясь на то, что во время обучения его внимание обращали, что мошенники часто делают ошибки в тексте ✍️

2️⃣ Когда СМИ или эксперты начинают активно обсуждать новый тренд – например, Zero Trust, XDR, ИИ в SOC или недопустимые события – его начинают "узнавать" повсюду, включая места, где он неприменим. Пример: компания внедрила сегментацию сети, а ИБ теперь называет это "Zero Trust", хотя это лишь его частный элемент. Или топ-менеджерам предлагают вместо сотен рисков фокусироваться на 4-6 недопустимых событиях, а вместо этого все ИБшники стали говорить о зеродеях как о недопустимом 📈

3️⃣ После громких новостей о кибератаках (Colonial Pipeline, SolarWinds, JLR, M&S, Аэрофлот, Винлаб и т.д.) руководители начинают "видеть аналогии" у себя. Пример: после новости о шифровальщике в ритейле любой сбой кассового ПО 🧾 воспринимается как "нас тоже взломали". Это усиливает тревожность, но иногда, правда, помогает быстрее реагировать.

4️⃣ После того как аналитик SOC впервые поймал атаку с использованием PowerShell, он начинает обращать внимание на любые PowerShell-события, игнорируя при этом другие важные векторы атак. Эффект усиливает туннельное зрение и снижает полноту аналитики 🧑‍🦯

5️⃣ Когда СМИ активно тиражируют тему "ИИ-хакеров" или "deepfake-утечек" 🎭, у аудитории формируется ощущение, что все угрозы теперь связаны с ИИ. В результате компании переоценивают риск новых технологий и недооценивают старые, но по-прежнему актуальные векторы – фишинг, учетные данные, RDP, непатченные уязвимости, слабые пароли, отсутствие MFA и т.п.

Почему это важно: 🤔
🔣 В обучении: помогает объяснять сотрудникам, что "чувство, будто угроз стало больше" – иллюзия восприятия (если этот факт не подкреплен цифрами).
🔣 В аналитике: требует коррекции через статистику и верификацию данных (а не интуицию).
🔣 В коммуникациях: помогает маркетологам и PR-службам осознанно не "перегревать" темы, чтобы не вызвать ложное ощущение массовости проблемы (если нет именно такой задачи).
🔣 В стратегическом управлении ИБ: защищает от избыточных инвестиций в "последнюю модную угрозу", забывая о базовых вещах (патч-менеджмент, сегментация, MFA...).

А как снизить негативный эффект от феномена Баадера - Майнхофа, мы поговорим попозже (не влезает все в один пост в Телеге) ⏳

#психология

Читать полностью…

Питер Вильямс (Peter Williams), бывший руководитель подразделения кибербезопасности компании L3Harris Technologies (конкретно, ее подразделения L3Harris Trenchant, специализирующегося на инструментах "хакерского"/ разведывательного профиля 🥷), обвинен правительством США в краже коммерческих/технологических секретов 🤒

В обвинительном документе указано, что примерно с апреля 2022 года по июнь/август 2025 года он похитил пятнадцать секретных технологических продуктов либо разработок у двух компаний. Названия компаний не раскрываются, но возможно речь идет о Azimuth и Linchpin Labs, двух стартапах, которые занимались разработкой Zero Day и продажей их спецслужбам альянса "Пяти глаз" 👁, и которые в 2018 году были куплены L3Harris. Целью похищения, как утверждают прокуроры, было дальнейшее их предоставление покупателю, расположенному в Российской Федерации 🇷🇺 Сумма, которую он якобы получил от сделки, составляет около 1,3 млн долларов США.

ЗЫ. С Trenchant и другой свежий кейс связан... Возможно, это все звенья одной цепи 🔗

#ответственность

Читать полностью…

А ведь некоторые мои идеи десятилетней давности только сейчас начинают реализовываться... Хоть одна зарубежная соцсеть и запрещена в России, но у нее есть интересная (понимаешь это спустя годы только) функция 🧠 – напоминать, какую чушь умную мысль ты написал в этот самый день год, два, пять, десять лет назад... Есть в этом что-то залипательное – сравнивать себя нынешнего с тем, прошлым, и насколько поменялось мировозрение и вот это вот все. За одно только это можно оставаться в той самой, запрещенной сети... 🤔

#история #безопаснаяразработка #devsecops

Читать полностью…

Частные компании уже пишут эксплойты, получают доступ к целям для кибератак и даже выполняют операции в интересах США 🇺🇸 Это факт. Они быстрее и технологичнее государства, но действуют в правовом "сером поле". Это тоже факт. Проблема не в отсутствии возможностей, а в отсутствии правил. В США хватает хакеров, экспертизы и технологий – нет ясной архитектуры, кто, как и на каких правовых основаниях ведет наступательные операции в киберпространстве ✍️ В октябре 2025 г. Institute for Security, Technology & Society (ISTS) при Dartmouth College собрал на закрытый круглый стол ~30 экспертов из госсектора, индустрии, венчурных фондов и академических кругов, чтобы обсудить роль частного сектора в наступательной кибервойне 🤕

В рамках круглого стола было предложено:
➡️ Разработать Национальную стратегию наступательных киберопераций, где будут прописаны допустимые цели, ограничения и участие союзников 📝
➡️ Создать прозрачные механизмы финансирования и исследований, чтобы инновации в наступательном кибероружии были контролируемыми и законными ✏️
➡️ Запустить пилотный проект, дающий частным компаниям право проводить ограниченные операции. Даже предложен первый кейс – борьба с криптопреступниками, которые ежегодно выводят из США $10–16 млрд 🔒

По результатам был написан отчет, главная мысль которого – у США 🇺🇸 хватает талантов и частных игроков, но нет соединяющей их нормативной системы. Нужно перейти от "хаоса и серых зон" – к формализованной модели. Да, там есть немало подводных камней, среди которых:
➡️ Делегирование "права на кибернасилие" частным лицам вызывает вопросы в части соблюдения Конституции, международного права, правомочности атак.
➡️ Частные игроки могут случайно спровоцировать международный конфликт, а ответственность будет размыта.
➡️ Частные компании действуют ради прибыли, а не ради госинтересов.
➡️ Кому будет вменяться кибератака – компании или государству США?
➡️ Появление фиксированной группы "аффилированных подрядчиков" может привести к монополизации и злоупотреблениям 🤔

Вопросы, которые необходимо решить до реализации идеи и о которых говорит отчет: 🤔
6️⃣ Кто сертифицирует частных операторов и под какую юрисдикцию они подпадают?
2️⃣ Какие цели можно атаковать? Можно ли бить по иностранной гражданской инфраструктуре?
3️⃣ Как обеспечивается контроль, подотчетность и аудит?
4️⃣ Как исключить конфликты интересов (например, когда подрядчик сначала продает уязвимость, а потом "защищает" клиента)?
5️⃣ Как объяснить союзникам и миру, что "это не наемные хакеры, а легитимная госпрограмма"? 🤔

#кибервойна #геополитика #регулирование

Читать полностью…

Подогнали фоточки с минской Positive SOCcon 2.5 📸 И хочу вам сказать, что они лишний раз подтверждают правило, которое я формулировал в курсе "Как срывать овации и зажигать сердца" - "Основной текст на слайде должен быть размера 28-32pt, а заголовок - 40pt и выше" (никакого 12-14-16 кегля). Вот на показанных слайдах все именно так и текст прекрасно читается с последних рядов кинотеатра. Да и темный фон этому способствует (проектор не выгорает, глаза не устают) 📈

Если ваши дизайнеры подсовывают вам что-то другое, гоните их ссаными тряпками отправьте им ссылку на курс 😡 – пусть изучают. Ну и от вас, как от спикеров, требуется все-таки критическое мышление и не следование на поводу у апологетов "корпоративных стандартов". Вы делаете презентацию для людей, вас слушающих, а не для дизайнеров, которые сами со своими шаблонами никогда не выступают 😠

#выступление #спикер #презентация #soc

Читать полностью…

Интересные циферки в отчете увидел:
🔤 12 недель в год (10 часов в неделю) тратится на compliance (на 1 неделю больше, чем в 2024 году). Подтверждает то, что я уже писал.
🔤 7 часов в неделю или 9 недель в год тратится на анализ защищенности подрядчиков (больше на полчаса, чем в прошлом году). Вот это, прям, неожиданно. Мне кажется у нас в стране этот показатель существенно ниже.
🔤 6 из 10 компаний разрывали за последний год контракты с подрядчиками из-за проблем с ИБ у последних
CISO считают, что идеальный бюджет на ИБ от ИТ составляет 17% (сейчас он 10%).

Видя такие цифры, даже и не знаешь, стоит ли вводить отдельную нормативку по безопасности подрядчиков?.. Кажется, что это приведет к большему объему бумажной работы, а не реальной защите от подрядчиков... 🤔

#статистика

Читать полностью…

Если глава РКН насчитал 103 утечки к текущему моменту, а его "начальник", министр цифрового развития две недели назад говорил 🧐 о 65 утечках, то о чем это может говорить? Что за полмесяца произошло 40 утечек (у нас в базе всего 10 за это время)? Что у РКН и Минцифры разные источники информации (но министр ссылался на данные РКН)? Что руководителю министерства подсунули неверные данные? А может РКН внедрил систему мониторинга Даркнета и увидел больше, чем видел раньше? 🤔 Не знаю пока как трактовать такое расхождение в цифрах. Но, в любом случае, снижения пока не наблюдается – скорее все уходит в тень.

#утечка #персональныеданные

Читать полностью…

Говорят, она появилась ниоткуда – без опознавательных знаков, без подписи, просто лежала на полу у входа в офис. Маленькая, черная, с треснувшим корпусом и запахом паленого пластика. Ее нашел стажер. Он поднял ее и, несмотря на предупреждения, полученные во время приема на испытательный срок, подключил к своему ноутбуку. Экран замигал. Мышь замерла. А потом началось 👻

Папка за папкой открывались сами. Старые документы, удаленные годы назад, снова появились. Скриншоты переписок, о которых никто не помнил. Фото, которых не должно было быть. Логины. Пароли. А в последней папке – файл без названия. Стажер его открыл 👻

С тех пор ноутбук больше не включался. Сам стажер исчез на следующий день – не уволился, не взял отгул. Исчез. Его профиль в системе удалился сам. Даже видеокамеры не сохранили следов. Только флешка – снова оказалась у входа. Как будто ждет следующего… 🎃

И если ты сейчас читаешь это и думаешь: "Да ладно, сказки", – просто вспомни: а точно ли ты знаешь, что за флешка сейчас подключена к твоему компьютеру?.. 👻

#хеллоуин

Читать полностью…

"Осьминог меняет цвет за миллисекунды, чтобы исчезнуть из поля зрения хищника. Муравьи обмениваются «паролями» при входе в муравейник. А пчелы танцуют, чтобы передать координаты цветущего поля — но только своим. Все это — методы защиты, маскировки и безопасной передачи информации, которые совершенствовались на протяжении миллионов лет эволюции. И именно в этих природных алгоритмах — ключи к будущему кибербезопасности."

Именно такова аннотация моей лекции 👨‍🏫 "Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга", которую я буду читать в музее криптографии 22 ноября в 15.00.

Участники лекции отправятся в захватывающее путешествие 🛤 и проследят эволюцию методов защиты информации: от поведения животных в дикой природе – через шифры Древнего мира, шпионские страсти эпохи Возрождения и цифровые катастрофы XXI века – к технологиям завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за "цифровым забором" 😂 Информационная безопасность – это не просто код и протоколы. Это история выживания. И она началась задолго до появления человека. А вот когда она закончится, решать всем нам…

ЗЫ. Теперь смогу с чистой совестью писать, что я популяризатор кибербезопасности 🎤

#история #мероприятие

Читать полностью…

Не исключено, что на сайте ГосСОПКИ 🇷🇺 может появиться очередное сообщение о компрометации ИТ-компании… Вы же не слепо доверяете своим ИБ/ИТ-подрядчикам😂

#инцидент

Читать полностью…

...
– Профессия?
– Специалист по защите информации, – почему-то неохотно признался Иван.
Пришедший огорчился.
– Ох, как мне не везет! – воскликнул он, но тут же спохватился, извинился и спросил: – А какой ваш логин в Max?
– @Бездомный.
– Эх, эх… – сказал гость, морщась.
– А вам, что же, мои политики ИБ не нравятся? – с любопытством спросил Иван.
– Ужасно не нравятся.
– А вы какую из них читали?
– Никакую я вашу политику не читал! – нервно воскликнул посетитель.
– А как же вы говорите?
– Ну, что ж тут такого, – ответил гость, – как будто я других не читал? Впрочем… разве что чудо? Хорошо, я готов принять на веру. Хороши ваши политики, скажите сами?
– Чудовищны! – вдруг смело и откровенно произнес Иван.
– Не пишите больше! – попросил пришедший умоляюще.
– Обещаю и клянусь! – торжественно произнес Иван.
... 😈

#творчество

Читать полностью…

Курс по SOC перевалил свой экватор. Вчера я читал на нем раздел по по оценке эффективности, метрикам и моделям зрелости центров мониторинга ИБ... 🧮 Задача была непростая - взять из моего курса по измерениям ИБ (8 часов, 700 слайдов) самое главное и переложить на тему SOCов, уложившись в 1 час. Я не справился; получилось почти два часа. Но тема измерений глубока как океан и к ней надо будет еще вернуться... 🤔

#метрики #soc #maturity #обучение

Читать полностью…

MITRE выпустила новую версию матрицы ATT&CK v18 (тут и тут), в которой было сделано немало изменений, касающихся обнаружения техник и тактик. В частности: ✍️
1️⃣ Проведена полная "перестройка" раздела обнаружения (detection). ATT&CK ввела два новых объекта – Detection Strategies и Analytics, а также переработала модель связей между техниками, аналитикой и источниками телеметрии (Data Components). Это переводит рекомендации по обнаружению из "коротких заметок" в структурированные стратегии с платформенно-настраиваемой аналитикой. Рабочая среда Workbench (позволяет добавлять собственные объекты) уже поддерживает Detection Strategies; для интеграций доступны STIX-примеры и схемы совместимости.

2️⃣ Новые объекты/структуры телеметрии. Log Sources теперь встроены в Data Components (т.е. изменился способ описания, что именно нужно собирать), что делает привязку техники → стратегия → конкретная аналитика → телеметрия более модульной и машинно-дружественной.

3️⃣ Расширение покрытия Enterprise/Cloud/DevOps/Кубернетес/CI-CD и баз данных. Добавлены 14 новых техник, отражающих реальные атаки на контейнеры, Kubernetes API, конвейер CI/CD, облачные СУБД и т.п. Много изменений в уже существующих объектах матрицы.

4️⃣ Предложенная реструктуризация тактики Defense Evasion (бета-версия). MITRE предлагает разделить Defense Evasion на две тактики – Stealth (скрываться/искажать видимую картину) и Impair Defenses (активно саботировать средства защиты). При этом ряд техник будут перенесены в другие тактики (например, некоторые элементы – в Persistence или Privilege Escalation), а некоторые – удалены или переработаны. Это крупная архитектурная смена, которая может повлиять на модели сопоставления и метрики.

5️⃣ CTI (Groups / Software / Campaigns) – много нового по угрозам. Новая версия добавляет новые хакерские группы, кампании и ПО (например, 8 новых групп и ~33 новых программных семейств, 5 кампаний – на цепочки поставок, атаки на роутеры/виртуализацию и усилении активности северокорейских и китайских хакеров). Примеры: Medusa, Embargo/Qilin, RedLine Stealer и др.

6️⃣ Мобильная и ICS-части тоже обновлены. Мобильный профиль дополнили техниками, отражающими злоупотребления мессенджерами (Signal/WhatsApp) и усилением методов кражи учетных записей; в ICS расширили модель активов и связанных активов для лучшего соответствия отраслевой терминологии.

7️⃣ Запуск ATT&CK Advisory Council для формализации обратной связи сообщества и уже началось планирование версии v19.

#mitre #ttp #framework

Читать полностью…

Аккурат на эфире по автономным SOCам возник вопрос о том, кто несет ответственность #️⃣ за неверно принятые решения в SOCе, в котором нет людей, а есть только бездушные ИИ-агенты? И вот на обучении MBA меня на тумбе поймал Руслан и в свойственной ему футурологической манере спросил о развилках будущего и об ответственности ИИ... 🤯

В комменты к посту Руслана набежали боты 🤖, что заставило его написать в развитие интересный пост о будущем верификации. Но если Руслан об этом думаете с точки зрения футуролога, то я просто приземляю эту историю на ИБ и получается, что у нас будет развиваться не только рынок Human Identity или Machine Identity (а также HMI), но и рынок AI Identity, так как нам надо будет уметь отличать человека от ИИ-агента. Интересные времена ждут ИБшников... 🤖 А вы знаете, как проводить аутентификацию ИИ-ботов и ИИ-агентов?

#ии

Читать полностью…

Gartner выпустил новый магический квадрат 🟥 по SIEM, в котором произошли некоторые изменений по сравнению с прошлым годом не только с точки зрения мест участников, но и с точки зрения закрепившихся тенденций:
6️⃣ Современные решения должны быть SaaS и облачными, хотя еще не так давно идея передачи данных безопасности в облако вызывала споры, но сегодня стала практически само собой разумеющейся.
2️⃣ SIEM и SOAR слились. Последние еще встречаются как самостоятельные решения, но в контексте SIEM 2025 и далее годов SIEM это уже связка с SOAR.
3️⃣ UEBA (User & Entity Behavior Analytics) "поглощена" основным стеком обнаружения. Раньше UEBA была звездой машинного обучения и отдельной платформой у ряда вендоров, а теперь – просто еще одна функция внутри SIEM.
4️⃣ ИИ пока не показывает значительного эффекта, чтобы быть отраженным в магическом квадрате, который больше фокусируется на отзывах клиентов, которым пока важны именно базовый функционал – масштабирование, эффективное обнаружение, быстрое реагирование и т.п.

#siem #средствазащиты #тенденции

Читать полностью…

Кто помнит фильм "Привидение" с Деми Мур и Патриком Суэйзи? 🍿 Какая серьезнейшая ошибка демонстрируется в этом фрагменте с точки зрения кибербезопасности? (если вы не смотрели фильм, то даже не пробуйте угадать) 🍿

#кино

Читать полностью…

Американский штат Мэриленд 🇺🇸 опубликовал у себя на сайте формальную программу "раскрытия уязвимостей" (Vulnerability Disclosure Program, VDP) для систем, которыми владеет, управляет или эксплуатирует штат. Внешним исследователям (белым хакерам) безопасности предоставляется возможность выявлять потенциальные уязвимости. Система позволяет выявлять дефекты до того, как они будут использованы злоумышленниками, и тем самым укреплять защиту государственных систем и сервисов 🤕

Штат признает важность внешних исследователей безопасности 🤝 Если исследование проводится добросовестно (good faith), то есть без злого умысла, с целью улучшения безопасности, без вреда системе или нарушений приватности, то такое исследование считается авторизованным в рамках VDP, и DoIT OSM (Maryland Department of Information Technology и его подразделение Office of Security Management) не будет рекомендовать юридические меры воздействия против исследователя 🔒

После вступления в силу документ все подпадающие под него организации обязаны: 🧐
🔤 В течение 30 дней после публикации политики предоставить контактные данные (email и телефон) ответственных лиц для взаимодействия в рамках VDP.
🔤 Подтверждать получение каждого сообщения об уязвимости в течение 2 рабочих дней, направляя ответ в OSM.
🔤 Координировать планирование, исполнение и проверку мероприятий по устранению дыр с DoIT OSM; предоставлять нужную информацию для оценки риска и отслеживания устранения уязвимости.
🔤 Устранять (или принять решение об отказе от устранения) подтвержденные уязвимости в сроки, устанавливаемые DoIT OSM, в зависимости от оценки по степени серьезности (Critical / High / Medium / Low) и используя методологии вроде Common Vulnerability Scoring System (CVSS). Если устранение невозможно, то организовать процесс принятия риска.
🔤 Уведомлять DoIT OSM об окончании мер по устранению и сотрудничать с ним в проверке эффективности исправления.
🔤 Реализовать лучшие практики видимости VDP, например, разместить ссылку на программу в нижней части веб-сайтов, подпадающих под действие директивы (органов исполнительной власти штата, органов местного самоуправления и иных правомочных структур.

Интересная инициатива, по сути своей аналог Bug Bounty, которую запускало наше Минцифры. И никакого преследования "белых хакеров", контроля используемого ими арсенала, занесения их в реестр и вот этого вот всего... 🤔

#уязвимость #регулирование #оценказащищенности

Читать полностью…