В апреле 2025 года южнокорейский оператор SK Telecom 📡 официально сообщил о крупной утечке данных – персональные данные примерно 26-27 миллионов пользователей, а это примерно половина населения Южной Кореи, были скомпрометированы. Атака началась за 3 года до обнаружения – компания признала, что вредоносное ПО присутствовало в ее инфраструктуре несколько лет и было обнаружено лишь в 2025-м. Регулятор Personal Information Protection Commission (PIPC) Южной Кореи наложил штраф ~ 134.8 миллиарда вон (≈ US$96.5 миллионов) за недостатки в защите данных и за задержку уведомления пользователей. Но этим ущерб для компании не ограничился 🤑

SK Telecom за третий квартал 2025-го показал операционную прибыль лишь ~ 48.4 млрд вон (~US$34.1 млн) vs ~493 млрд вон годом ранее – падение около 90% 📉 Выручка за тот же квартал снизилась примерно на 12.2%, что также отразилось на финансовой устойчивости. Также оператор связи обеспечил массовую и бесплатную замену USIM-карт, предложив ее всем 23-27 млн абонентов, что повлекло значительные логистические и операционные затраты 📞 Аналитики компании Shinhan Securities оценивают замену USIM в ~200 млрд вон (~US$ 146 млн).

По словам CEO SK Telecom возможны потери до ~ KRW 7 трлн (~US$ 5 млрд) за 3 года, если уход абонентов достигнет ~2.5 млн человек 🇰🇷 Чистый убыток компании составил ~ KRW 166.7 млрд (~US$117 млн) за Q3 и все это из-за компенсаций после утечки, размер которых составил 349 млн долларов со скидками на тарифы и бесплатным трафиком. Стоимость услуг также была снижена на 50%. В выигрыше оказался только CISO, которого переназначили напрямую под CEO, а сама компания пообещала что потратит ~700 млрд вон (~US$ 513 млн) на кибербез в течение ближайших пяти лет 🛡

ЗЫ. Инциденты все дороже и дороже обходятся... Ущерб в размере миллиардов уже не удивляет и становится нормой, плохой нормой...

#инцидент #утечка #персональныеданные #ущерб

Читать полностью…

Я как-то 3 года назад писал ✍️ в почившем блоге про два варианта развития продуктов, – SLG (sales led growth), когда продукт растет за счет усилий команды продаж, и PLG (product led growth), когда продукт растет за счет комьюнити, которому предоставили доступ к легко разворачиваемой бесплатной версии продукта и за счет этого он прирастает базой, которая затем может трансформироваться в платных клиентов 🤑

Вот тут, на курсе по SOC, участники поделились интересной ссылкой на облачный сервис, который как раз развивается по схеме PLG, и позволяющий создавать плейбуки по ИБ 📇 и делиться ими с сообществом. Бесплатная версия, как минимум, интересна доступом к 650 различных плейбуков, которые можно, если не использовать "как есть", то хотя бы взять за основу при разработке своих процедур реагирования на разные инциденты, уязвимости и иные нарушения политик ИБ 🔓 Когда не хочется делать лишние шаги вправо и влево, и когда не хватает опыта для разработки собственных плейбуков, почему бы не начать с уже готовых? 🤔

#soc #управлениеинцидентами

Читать полностью…

Представьте, что вы проектируете SOC и хотите, чтобы он действительно решал задачи компании долгие годы, а не служил красивой картинкой для делегаций больших боссов, пришедших посмотреть на большие плазмы. Чтобы не накосячить, вы садитесь и задаете себе от имени своего второго "я" простой вопрос: 🤔

В течение нескольких минут подумай о факторах, тенденциях или событиях, которые представляют максимальную угрозу существования вашего SOC в последующие два года. Запиши все, что придет тебе на ум.

Мы так часто и делаем, и не только проектируя SOC, а просто начиная какой-то сложный проект (написание закона, внедрение процесса РБПО, выход на Bug Bounty или кибериспытания, уход от on-prem ИБ в аутсорсинг и т.п.). Но попробуйте переформулировать свой первоначальный вопрос немного в иной форме: 🤔

Представь себе, что с настоящего момента уже прошло два года и SOC оказался в трудном положении. Как его менеджер, ты постоянно слышишь о SOC плохие новости. Говорят, что компания даже может закрыть его. В течение нескольких минут подумай о факторах, тенденциях или событиях, которые привели к таким последствиям. Запиши все, что придет тебе на ум.

Обратили внимание, что вроде вопрос о том же, но немного с другой позиции 🤔 Это так называемая методика "premortem", которая базируется на том, что психологи называют "перспективный взгляд в прошлое", то есть мы воображаем, что некое событие уже случилось (а не случится, как в первой формулировке) 🔮 Как это ни странно, но она усиливает нашу способность находить причины по которым возможен тот или иной результат события. Обычно таких причин находится больше и они более конкретные и точные, чем когда мы не воображаем итогов события, а просто фантазируем, что могло бы случиться "если бы да кабы" 🤔

В итоге, вместо "нам не хватит людей и у нас не будет денег на современные ИБ-решения по мониторингу и реагированию" вы запишите что-нибудь вроде "мы переоценили возможности ИИ, наша L1 пропускала много событий, которые были реальными инцидентами, мы потратили много денег на подключение источников TI, которые не давали сработок, мы внедрили модную SOAR, но не смогли написать для нее коннекторы к нашим средствам защиты, мы не смогли подключить к SIEM все наши источники"... ✍️

ЗЫ. Тоже самое можно проделывать и в команде...

#психология #стратегия #ciso #soc

Читать полностью…

Ну что, гении кибербеза, сможете решить задачку из олимпиады по инфобезу для школьников 5 класса?.. 🤔

#обучение

Читать полностью…

The Royal United Services Institute for Defence and Security Studies 🎖 провел исследование о влиянии санкций на киберугрозы. Что по мнению англичан дает эффект:
➡️ Нападение на тех, кто помогает хакерам, – инфраструктуру, посредников, сервисы, которые облегчают деятельность кибератакующих: крипто-миксеры, хостинг­провайдеры, технологические поставщики, государственные контракторы, международные юридические лица. Такой подход имеет смысл – если усложнить денежные потоки и доступ к инфраструктуре, то атакующие сталкиваются с ростом затрат, задержками, дополнительными рисками 🤕

➡️ Санкции в составе комплексного ответа – не просто заморозка активов или запрет на поездки, а сочетание санкций с дипломатическими мерами, уголовными обвинениями, обменом разведданными, публичными техническими уведомлениями (advisories). Такая "комбинированная" модель усиливает репутационный, операционный и экономический нажим на злоумышленников ❌

➡️ Создание дополнительного трения для атакующих – даже если атаки полностью не останавливаются, санкции могут сделать их более медленными, рискованными, дорогими. То есть цель не в полной остановке всех атак, а в увеличении издержек и барьеров для злоумышленников 🤬

➡️ Сигнальный эффект и установление норм поведения – санкции помогают обозначить: да, кибератака считается недопустимой, будут последствия. Это дает сигнал союзникам и помогает им не опускать руки 🚨

Что не работает:
➡️ Заморозка активов и запрет на поездки у хакеров часто малоэффективны как средство сдерживания. Если атакующий связан с государственной структурой, у него может быть защищенный статус или он может не ощущать прямого личного влияния на себя 🥶

➡️ Когда санкции вводятся слишком поздно или без координации – эффект от них будет минимален. Если злоумышленник уже реализовал атаку и ушел, санкции после этого факта не меняют ситуацию 🚶‍♂️

➡️ Ограниченная юрисдикция – если санкции вводятся односторонне и не охватывают все страны, злоумышленники могут использовать "юрисдикционные дырки". То есть важно, чтобы меры были международно скоординированы, что в текущей геополитике маловероятно 🤝

➡️ Проблемы с атрибуцией и доказательствами. ЕС, например, критикуется за медленное внесение в санкционные списки, осторожный подход к атрибуции, слабый мониторинг эффективности санкций. То есть без уверенной атрибуции и последующего мониторинга эффект будет низкий 🇪🇺

Так что санкции сами по себе – не панацея. Они не остановят все кибератаки, особенно хорошо организованные государственные операции. Но они имеют смысл, если встроены в более широкий архитектурный подход: дипломатия, право, разведка, публичные уведомления, международное сотрудничество 🌍

#санкции #геополитика

Читать полностью…

К минской SOCcon мы готовили исследование по тенденциям современных SOCов 🔍 (было еще и с аналитикой киберугроз в СНГ за прошедший год), в котором мои коллеги проанализировали многие тренды, присущие построению и эксплуатации современных центров мониторинга – от работы с новыми источниками (вы знаете, как подключить к SOC конвейер CI/CD или системы MLOps?) и новым подходам управления данными до трансформации detection engineering и ИИ-ассистентов и ИИ-агентов. Годное чтение для понимания, куда это все идет... 🤔

#soc #тенденции

Читать полностью…

Вообще англичане умеют в тонкий юмор. Тут он еще и смысловой, доходящий не сразу... 🤔

#юмор

Читать полностью…

Страховая компания At-Bay выпустила исследование, основанное на данных страховых выплат 🤑 за период с 2021 по первый квартал 2025 года. В 2024 году было два главных канала проникновения в компании – электронная почта и удаленный доступ. Они вместе обеспечили ~90% всех инцидентов ИБ, если исключить случаи, связанные с компрометацией сторонних организаций или не-киберсобытиями 🤔

Из интересного:
💀 Электронная почта была точкой входа в ~43% всех инцидентов в 2024 году с ростом на 30% за год. При этом решения по защите почты в большинстве случаев продемонстрировали ухудшение своих защитных возможностей против современных угроз, основанных на ИИ ✉️

💀 В 2024 году ~80% ransomware-атак на клиентов At-Bay начались через средства удаленного доступа, из них ~83% – через VPN-устройства 🔐

💀 Организации, использующие VPN на собственной инфраструктуре (on-premises), почти в 4 раза чаще подвергались ransomware-атаке, чем те, кто использовал облачные VPN или вообще не применял VPN 🔐

💀 Самыми рискованными среди VPN-решений оказались устройства от Cisco и Citrix (SSL VPN) – компании, использующие эти решения, были примерно в 7 раз более подвержены ransomware-атакам, чем организации без обнаруженного VPN-решения 😷 Но тут интересно было бы видеть абсолютные цифры, а не относительные, так как та же Cisco является ооооочень распространенным VPN-решением в мире. Облачные VPN могут снизить риск, но у нас в регионе с этим есть сложности законодательного плана. К слову, Fortinet и Palo Alto в отчете тоже упомянуты, но риск пасть жертвой шифровальщика в их случае "всего" в 5,5 раз выше (у Cisco и Citrix – в 6.8) 📊

💀 В отчете подчеркивается, что основным эффективным средством защиты от полного шифрования данных злоумышленниками стали сервисы Managed Detection & Response (MDR). MDR-услуги воспринимаются не просто как дополнительный элемент, а скорее как необходимый "последний рубеж" защиты: когда атака уже попала внутрь, важно быстро ее обнаружить и локализовать, чтобы не допустить полного шифрования всех данных 💭

А вы уделяете должное внимание защите электронной почты и VPN-решений? Или вам пока не до того и вы разгребаете последствия неудачной плановой смены мастер-ключей в сети ViPNet СМЭВ, которые длятся уже несколько дней? 👻

#статистика #киберстрахование #ttp

Читать полностью…

Ритуал киберочищения для тех, кто открыл не то, кликнул не туда… и впустил тьму 🙀

Ты чувствуешь, как компьютер начинает жить своей жизнью.
Файлы исчезают.
Окна открываются сами.
Шепот в динамиках…
Это не сон. Это – цифровое проклятие.

📜 Не паникуй. Все еще можно остановить.
Открой древнюю книгу 👩‍🎓 знаний (или хотя бы чеклист) и проведи ритуалы:
💀 Призови антивирус позитивной силы. Полное сканирование. Надежный вендор. Без пощады к цифровому злу.
💀 Изгони вредонос через перезагрузку в Safe Mode. Не верь, что "само пройдет". Это не простуда, это троян.
💀 Окуни себя в святую воду резервных копий. Если они у тебя есть… Если нет – ты проклят дважды.
💀 Прогони тени через многофакторку. Одного пароля уже давно недостаточно. Даже если он похож на имя древнего демона “йцукен”.
💀 Обратись к древнему оракулу SOC. Или хотя бы к знакомому ИБ-шнику. Они знают как искать еле заметные нити, ведущие в пучину ада.

🕯 Помни: в цифровом мире зло не носит маску, оно скрывается в письмах, флешках и рекламных баннерах. Но если ты все еще читаешь это – у тебя есть шанс. И ты знаешь, что делать ☺️

#хеллоуин

Читать полностью…

Легенда из архива забытых учёток 😄

Когда-то они были надежными.
Сложные, длинные, полные символов и секретов.
Но время шло, аккаунты забывались, системы менялись…
А пароли – остались.

И вот ночью, в забытом дата-центре,
между вентиляцией и старым сервером,
включился терминал. Сам по себе.
На экране – мигающая строка входа.
А из динамиков – шепот 👻

– 123456…
– Я был "qwerty123". Мне доверяли 4 года. Потом пришел брутфорс…
– Я был именем ее кота. Ушел тихо – через фишинг.
– Я был написан на стикере. И найден в день увольнения.
– Я был "temporary123". Но остался навсегда.
– Я был "Admin123". Я открыл двери… в ад.
– Я был "Welcome2020!". Никто не обновил меня. Никто не плакал.
– Я был "наташей". Он думал, что никто не узнает. Теперь знают все.
– 12345678... 🔤

Это они.
Мертвые пароли.
Те, что когда-то были твоими.
Те, что всплыли в очередной утечке.
Те, что теперь принадлежат кому-то другому 🔤

Говорят, если не сменить пароль вовремя, он начинает жить своей жизнью 📍
Сначала просто появляется в Даркнете.
Потом начинает использоваться ботами.
А потом – приходит за тобой.
Письмом. Уведомлением. Взломом.

Ты слышишь их голос в ночи?
Если да – пора менять 🎃

#хеллоуин #аутентификация

Читать полностью…

Не знаю как насчет месячника повышения осведомленности по ИБ, но SOC-месячником октябрь я могу назвать точно. За неполных 30 дней успел следующее: 🔤
🍄 Поучаствовал в подкасте по процессам и эффективности SOC (скоро выложат)
🐈‍⬛ Промодерировал эфир по автономным SOCам
💪 Преподал на курсе по SOC (моя часть была про сервисную стратегию, оценку эффективности и метрики, а также визуализацию и дашборды)
👌 Участвовал в конференции Positive SOCcon 2.5 (выше фрагмент моей презентации).
🎃 Будет и еще кое-что, но уже не в октябре, хотя начал именно в этом месяце.

#soc #мероприятие

Читать полностью…

Как и обещал, выкладываю презентацию с выступления на Russia Risk 2025 про риски новых технологий в финансовом секторе.

#презентация #технологии

Читать полностью…

Пишут, что ФСБ 🇷🇺 потребовала от банков установить у себя системы оперативно-разыскных мероприятий (СОРМ) и обеспечить спецслужбе удаленный к ним доступ. Все это надо сделать в срок до до 2027 года. А все потому, что банки подпадают под статус организаторов распространения информации (ОРИ), так как в банковских мобильных приложениях пользователи могут обмениваться сообщениями 💬

Не исключаю (скорее даже наоборот), что скоро такое требование будет распространено на ВСЕХ, у кого хоть где-нибудь есть функция написания комментариев/сообщений пользователями 💬 – на сайте, в приложении, где угодно. И это, во-первых, потребует пересмотра политик обработки персональных данных, но, что серьезнее, иногда и пересмотра архитектур самих решений, особенно тех, кто by design реализовывал E2EE, то есть "шифрование из конца в конец", как иногда переводят абонентское шифрование 🤦‍♂️

Картинку делал для презентации лет 10 назад. Уже тогда было понятно, что о правах граждан у нас как-то непринято думать 😠 А сейчас и подавно это не в моде. И не только у нас, но и вообще. Великобритания пошла по тому же пути. Евросоюз со своим законом "Chat Control" тоже 🇪🇺 Допускаю, что наши спецслужбы решили активизироваться ровно по этой причине – раз весь мир идет в попрание прав ради "общего блага", то почему Россия должна стоять в стороне от этих процессов. А во время террористической и экстремистской угрозы лишить людей приватности проще пареной репы 🤧 А про архитектуру подумайте... 🤔

#архитектура #криптография #приватность

Читать полностью…

А еще одна лекция на курсе по SOC продолжила тему измерений, но была посвящена уже визуализации 📈 – отчетам и дашбордам, которые в современных SOCах бывают очень редко когда хорошими (с точки зрения достигаемых целей). А все потому, что мало кто задается вопросом при проектировании визуализации "чтобы что?". А ведь именно он определяет насколько полезным будет дашборд или отчет для целевой аудитории 🤔 Тоже в час не уложился.

#метрики #soc #визуализация #обучение

Читать полностью…

Задумался… 🤔 Когда народный избранник, выйдя из машины японского производителя, в хорошем английском пальто с американским iPhone 17 в руках, заходит в здание парламента, построенного турками, доезжает в своем костюме итальянского покроя на лифте финского производства до своего второго этажа, доходит по коридору, уложенному шведским паркетом до туалета, и сидя на унитазе немецкого производителя, разговаривает с Siri, это можно трактовать как «в парламенте обсуждается инициатива, которая обяжет коммерческие компании замещать иностранное программное обеспечение»?..

Читать полностью…

Американское Министерство Обороны Войны (они реально его переименовали) 👮 анонсировало новый фреймворк по управлению киберрисками. Деталей не много, конкретики нет, что там кардинально нового, ускоряющего процесс во время ведения военных операций (как заявлено), я не понял. Но вдруг, кому-то картинка понравится... 🎨

#риски

Читать полностью…

У SANS очередной постер – на этот раз про метрики SOC. Самих метрик в нем не ждите – он скорее про все хорошее, против всего плохого. Дана иерархия метрик и некоторые советы по выбору 🤔

#sans #soc #метрики

Читать полностью…

Ну и до кучи, вторая загадка из той же олимпиады... Пятиклашка, который понимает концепцию kill chain? Прям зачёт... 👦🏻👧🏼

#обучение

Читать полностью…

Интересное исследование из Австралии 🇦🇺, демонстрирующее новый тип дипфейковых атак – Face-to-Voice (FOICE). По одной фотографии жертвы синтезируется ее голос, который позволяет обходить такие системы аутентификации как WeChat Voiceprint и Microsoft Azure 🪞 И все это без каких-либо голосовых семплов жертвы. Интересные нас ждут времена – найти фото человека, под которого надо маскироваться мошенникам, гораздо проще, чем семплы его голоса или видео.

#дипфейк #аутентификация

Читать полностью…

А ведь некоторые мои идеи десятилетней давности только сейчас начинают реализовываться... Хоть одна зарубежная соцсеть и запрещена в России, но у нее есть интересная (понимаешь это спустя годы только) функция 🧠 – напоминать, какую чушь умную мысль ты написал в этот самый день год, два, пять, десять лет назад... Есть в этом что-то залипательное – сравнивать себя нынешнего с тем, прошлым, и насколько поменялось мировозрение и вот это вот все. За одно только это можно оставаться в той самой, запрещенной сети... 🤔

#история #безопаснаяразработка #devsecops

Читать полностью…

Частные компании уже пишут эксплойты, получают доступ к целям для кибератак и даже выполняют операции в интересах США 🇺🇸 Это факт. Они быстрее и технологичнее государства, но действуют в правовом "сером поле". Это тоже факт. Проблема не в отсутствии возможностей, а в отсутствии правил. В США хватает хакеров, экспертизы и технологий – нет ясной архитектуры, кто, как и на каких правовых основаниях ведет наступательные операции в киберпространстве ✍️ В октябре 2025 г. Institute for Security, Technology & Society (ISTS) при Dartmouth College собрал на закрытый круглый стол ~30 экспертов из госсектора, индустрии, венчурных фондов и академических кругов, чтобы обсудить роль частного сектора в наступательной кибервойне 🤕

В рамках круглого стола было предложено:
➡️ Разработать Национальную стратегию наступательных киберопераций, где будут прописаны допустимые цели, ограничения и участие союзников 📝
➡️ Создать прозрачные механизмы финансирования и исследований, чтобы инновации в наступательном кибероружии были контролируемыми и законными ✏️
➡️ Запустить пилотный проект, дающий частным компаниям право проводить ограниченные операции. Даже предложен первый кейс – борьба с криптопреступниками, которые ежегодно выводят из США $10–16 млрд 🔒

По результатам был написан отчет, главная мысль которого – у США 🇺🇸 хватает талантов и частных игроков, но нет соединяющей их нормативной системы. Нужно перейти от "хаоса и серых зон" – к формализованной модели. Да, там есть немало подводных камней, среди которых:
➡️ Делегирование "права на кибернасилие" частным лицам вызывает вопросы в части соблюдения Конституции, международного права, правомочности атак.
➡️ Частные игроки могут случайно спровоцировать международный конфликт, а ответственность будет размыта.
➡️ Частные компании действуют ради прибыли, а не ради госинтересов.
➡️ Кому будет вменяться кибератака – компании или государству США?
➡️ Появление фиксированной группы "аффилированных подрядчиков" может привести к монополизации и злоупотреблениям 🤔

Вопросы, которые необходимо решить до реализации идеи и о которых говорит отчет: 🤔
6️⃣ Кто сертифицирует частных операторов и под какую юрисдикцию они подпадают?
2️⃣ Какие цели можно атаковать? Можно ли бить по иностранной гражданской инфраструктуре?
3️⃣ Как обеспечивается контроль, подотчетность и аудит?
4️⃣ Как исключить конфликты интересов (например, когда подрядчик сначала продает уязвимость, а потом "защищает" клиента)?
5️⃣ Как объяснить союзникам и миру, что "это не наемные хакеры, а легитимная госпрограмма"? 🤔

#кибервойна #геополитика #регулирование

Читать полностью…

Подогнали фоточки с минской Positive SOCcon 2.5 📸 И хочу вам сказать, что они лишний раз подтверждают правило, которое я формулировал в курсе "Как срывать овации и зажигать сердца" - "Основной текст на слайде должен быть размера 28-32pt, а заголовок - 40pt и выше" (никакого 12-14-16 кегля). Вот на показанных слайдах все именно так и текст прекрасно читается с последних рядов кинотеатра. Да и темный фон этому способствует (проектор не выгорает, глаза не устают) 📈

Если ваши дизайнеры подсовывают вам что-то другое, гоните их ссаными тряпками отправьте им ссылку на курс 😡 – пусть изучают. Ну и от вас, как от спикеров, требуется все-таки критическое мышление и не следование на поводу у апологетов "корпоративных стандартов". Вы делаете презентацию для людей, вас слушающих, а не для дизайнеров, которые сами со своими шаблонами никогда не выступают 😠

#выступление #спикер #презентация #soc

Читать полностью…

Интересные циферки в отчете увидел:
🔤 12 недель в год (10 часов в неделю) тратится на compliance (на 1 неделю больше, чем в 2024 году). Подтверждает то, что я уже писал.
🔤 7 часов в неделю или 9 недель в год тратится на анализ защищенности подрядчиков (больше на полчаса, чем в прошлом году). Вот это, прям, неожиданно. Мне кажется у нас в стране этот показатель существенно ниже.
🔤 6 из 10 компаний разрывали за последний год контракты с подрядчиками из-за проблем с ИБ у последних
CISO считают, что идеальный бюджет на ИБ от ИТ составляет 17% (сейчас он 10%).

Видя такие цифры, даже и не знаешь, стоит ли вводить отдельную нормативку по безопасности подрядчиков?.. Кажется, что это приведет к большему объему бумажной работы, а не реальной защите от подрядчиков... 🤔

#статистика

Читать полностью…

Если глава РКН насчитал 103 утечки к текущему моменту, а его "начальник", министр цифрового развития две недели назад говорил 🧐 о 65 утечках, то о чем это может говорить? Что за полмесяца произошло 40 утечек (у нас в базе всего 10 за это время)? Что у РКН и Минцифры разные источники информации (но министр ссылался на данные РКН)? Что руководителю министерства подсунули неверные данные? А может РКН внедрил систему мониторинга Даркнета и увидел больше, чем видел раньше? 🤔 Не знаю пока как трактовать такое расхождение в цифрах. Но, в любом случае, снижения пока не наблюдается – скорее все уходит в тень.

#утечка #персональныеданные

Читать полностью…

Говорят, она появилась ниоткуда – без опознавательных знаков, без подписи, просто лежала на полу у входа в офис. Маленькая, черная, с треснувшим корпусом и запахом паленого пластика. Ее нашел стажер. Он поднял ее и, несмотря на предупреждения, полученные во время приема на испытательный срок, подключил к своему ноутбуку. Экран замигал. Мышь замерла. А потом началось 👻

Папка за папкой открывались сами. Старые документы, удаленные годы назад, снова появились. Скриншоты переписок, о которых никто не помнил. Фото, которых не должно было быть. Логины. Пароли. А в последней папке – файл без названия. Стажер его открыл 👻

С тех пор ноутбук больше не включался. Сам стажер исчез на следующий день – не уволился, не взял отгул. Исчез. Его профиль в системе удалился сам. Даже видеокамеры не сохранили следов. Только флешка – снова оказалась у входа. Как будто ждет следующего… 🎃

И если ты сейчас читаешь это и думаешь: "Да ладно, сказки", – просто вспомни: а точно ли ты знаешь, что за флешка сейчас подключена к твоему компьютеру?.. 👻

#хеллоуин

Читать полностью…

"Осьминог меняет цвет за миллисекунды, чтобы исчезнуть из поля зрения хищника. Муравьи обмениваются «паролями» при входе в муравейник. А пчелы танцуют, чтобы передать координаты цветущего поля — но только своим. Все это — методы защиты, маскировки и безопасной передачи информации, которые совершенствовались на протяжении миллионов лет эволюции. И именно в этих природных алгоритмах — ключи к будущему кибербезопасности."

Именно такова аннотация моей лекции 👨‍🏫 "Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга", которую я буду читать в музее криптографии 22 ноября в 15.00.

Участники лекции отправятся в захватывающее путешествие 🛤 и проследят эволюцию методов защиты информации: от поведения животных в дикой природе – через шифры Древнего мира, шпионские страсти эпохи Возрождения и цифровые катастрофы XXI века – к технологиям завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за "цифровым забором" 😂 Информационная безопасность – это не просто код и протоколы. Это история выживания. И она началась задолго до появления человека. А вот когда она закончится, решать всем нам…

ЗЫ. Теперь смогу с чистой совестью писать, что я популяризатор кибербезопасности 🎤

#история #мероприятие

Читать полностью…

Не исключено, что на сайте ГосСОПКИ 🇷🇺 может появиться очередное сообщение о компрометации ИТ-компании… Вы же не слепо доверяете своим ИБ/ИТ-подрядчикам😂

#инцидент

Читать полностью…

...
– Профессия?
– Специалист по защите информации, – почему-то неохотно признался Иван.
Пришедший огорчился.
– Ох, как мне не везет! – воскликнул он, но тут же спохватился, извинился и спросил: – А какой ваш логин в Max?
– @Бездомный.
– Эх, эх… – сказал гость, морщась.
– А вам, что же, мои политики ИБ не нравятся? – с любопытством спросил Иван.
– Ужасно не нравятся.
– А вы какую из них читали?
– Никакую я вашу политику не читал! – нервно воскликнул посетитель.
– А как же вы говорите?
– Ну, что ж тут такого, – ответил гость, – как будто я других не читал? Впрочем… разве что чудо? Хорошо, я готов принять на веру. Хороши ваши политики, скажите сами?
– Чудовищны! – вдруг смело и откровенно произнес Иван.
– Не пишите больше! – попросил пришедший умоляюще.
– Обещаю и клянусь! – торжественно произнес Иван.
... 😈

#творчество

Читать полностью…

Курс по SOC перевалил свой экватор. Вчера я читал на нем раздел по по оценке эффективности, метрикам и моделям зрелости центров мониторинга ИБ... 🧮 Задача была непростая - взять из моего курса по измерениям ИБ (8 часов, 700 слайдов) самое главное и переложить на тему SOCов, уложившись в 1 час. Я не справился; получилось почти два часа. Но тема измерений глубока как океан и к ней надо будет еще вернуться... 🤔

#метрики #soc #maturity #обучение

Читать полностью…

MITRE выпустила новую версию матрицы ATT&CK v18 (тут и тут), в которой было сделано немало изменений, касающихся обнаружения техник и тактик. В частности: ✍️
1️⃣ Проведена полная "перестройка" раздела обнаружения (detection). ATT&CK ввела два новых объекта – Detection Strategies и Analytics, а также переработала модель связей между техниками, аналитикой и источниками телеметрии (Data Components). Это переводит рекомендации по обнаружению из "коротких заметок" в структурированные стратегии с платформенно-настраиваемой аналитикой. Рабочая среда Workbench (позволяет добавлять собственные объекты) уже поддерживает Detection Strategies; для интеграций доступны STIX-примеры и схемы совместимости.

2️⃣ Новые объекты/структуры телеметрии. Log Sources теперь встроены в Data Components (т.е. изменился способ описания, что именно нужно собирать), что делает привязку техники → стратегия → конкретная аналитика → телеметрия более модульной и машинно-дружественной.

3️⃣ Расширение покрытия Enterprise/Cloud/DevOps/Кубернетес/CI-CD и баз данных. Добавлены 14 новых техник, отражающих реальные атаки на контейнеры, Kubernetes API, конвейер CI/CD, облачные СУБД и т.п. Много изменений в уже существующих объектах матрицы.

4️⃣ Предложенная реструктуризация тактики Defense Evasion (бета-версия). MITRE предлагает разделить Defense Evasion на две тактики – Stealth (скрываться/искажать видимую картину) и Impair Defenses (активно саботировать средства защиты). При этом ряд техник будут перенесены в другие тактики (например, некоторые элементы – в Persistence или Privilege Escalation), а некоторые – удалены или переработаны. Это крупная архитектурная смена, которая может повлиять на модели сопоставления и метрики.

5️⃣ CTI (Groups / Software / Campaigns) – много нового по угрозам. Новая версия добавляет новые хакерские группы, кампании и ПО (например, 8 новых групп и ~33 новых программных семейств, 5 кампаний – на цепочки поставок, атаки на роутеры/виртуализацию и усилении активности северокорейских и китайских хакеров). Примеры: Medusa, Embargo/Qilin, RedLine Stealer и др.

6️⃣ Мобильная и ICS-части тоже обновлены. Мобильный профиль дополнили техниками, отражающими злоупотребления мессенджерами (Signal/WhatsApp) и усилением методов кражи учетных записей; в ICS расширили модель активов и связанных активов для лучшего соответствия отраслевой терминологии.

7️⃣ Запуск ATT&CK Advisory Council для формализации обратной связи сообщества и уже началось планирование версии v19.

#mitre #ttp #framework

Читать полностью…