Пост Лукацкого

18 November 2025 12:18

На злобу дня…

#soc #ии #юмор

Пост Лукацкого

18 November 2025 05:40

ЦСР выпустил уже очередной ежегодный прогноз развития российского рынка кибербеза 📈 Если верить этому исследованию, то наш рынок может вырасти до 968 млрд руб. к 2030 году при среднегодовом темпе роста в 21% (превышает показатели мирового роста ИБ в 11,8%). Не открытие, но основными драйверами роста станут импортозамещение и тренд на технологический суверенитет, что приведет и к снижению доли продаж иностранных вендоров до 4% (но есть подозрение что анализ не учитывает серый рынок, так как его сложно посчитать) 📊 Среди рисков эксперты ЦСР отмечают высокие ставки по кредитам, возможное сокращение налоговых льгот и ужесточение регуляторных требований.

Из интересного, по оценкам ЦСР в 2024 году организаций, занимающихся разработкой средств ИБ, было зарегистрировано более 300 📊 Это не стало для меня новостью – с момента публикования мной реестра российских игроков прошло уже 3 года и их число выросло примерно на 25%. А вот то, что общее количество компаний, занимающихся кибербезом, по состоянию на 01.01.2025, превысило 11,2 тысячи, стало для меня сюрпризом; не думал, что их так много 📈 Ну а с лидерами рынка ИБ, как вообще, так и в отдельных нишах, вы можете ознакомиться в самом отчете 👇

#рынок #статистика #отчет

Пост Лукацкого

17 November 2025 14:42

Наткнулся тут на проект DetectionStream, созданный с целью упрощения и ускорения работы специалистов по обнаружению угроз 🔍 и инженеров по detection engineering. Можно было бы предположить, что это еще один репозиторий правил SIGMA/YARA/NOVA, но нет. У этой платформы чуть больше функционала:
➡️ Платформа позволяет искать правила обнаружения (например, правила формата Sigma) в репозиториях.
➡️ Платформа умеет конвертировать правила между различными форматами/фреймворками обнаружения.
➡️ Платформа предлагает функции для создания новых правил обнаружения с помощью ИИ (но лучше проверять, что он там нагенерит).
➡️ Платформа предоставляет централизованный доступ к репозиторию SigmaHQ, что позволяет инженерам работать с уже существующими правилами и адаптировать их 🛡

Единый рабочий процесс (поиск → конвертация → создание) уменьшает фрагментацию и ускоряет внедрение новых правил в SOC, что повышает готовность аналитиков ИБ и специалистов CTI к новым угрозам 👨‍💻 А создание правил с поддержкой ИИ делает возможным более быстрый отклик на новые тактики, техники и процедуры злоумышленников.

Важное замечание! Хотя платформа упрощает процессы по detection engineering, любые автоматически сгенерированные или конвертированные правила нужно обязательно проверять, тестировать и валидировать в вашей среде 🤔 – пока еще полностью безошибочная автоматизация в этом деле недостигнута (но я верю). Интеграция в конвейер разработки правил требует настройки: репозитории правил, метаданные, поле для маппинга могут отличаться у платформы и у вас. Ну и наконец помните, что правила, созданные ИИ или конвертированные через платформу, могут не учитывать (и скорее всего не учитывают) весь контекст вашей инфраструктуры – источники, схема сети, особенности данных, что может привести к ложным срабатываниям 🤖

#обнаружениеугроз #ttp #soc

Пост Лукацкого

17 November 2025 05:40

А мы выложили материалы с прошедшей 🟥 SOCcon 2.5, из которых вы можете узнать много всего разного:
➡️ Как ИИ в реальности используется в SOCах (на примерах автоматизации триажа и написания правил обнаружения)?
➡️ Как интегрировать процессы AppSec и DevSecOps в SOC и какие метрики для эффективности этой интеграции можно использовать?
➡️ Как разложить катастрофу Титаника с точки зрения аналитика SOC и на какие метрики реагирования на инциденты стоило обращать внимание капитану судна?
➡️ Какие ошибки при построении и эксплуатации SOC чаще всего допускаются?
➡️ Как автоматизировать работу аналитика SOC?
➡️ Ну и еще много всего разного и интересного (моя презентация там тоже выложена).

#soc #презентация #мероприятие

Пост Лукацкого

16 November 2025 12:45

Никогда такого не было и вот снова (с)

#мессенджер

Пост Лукацкого

15 November 2025 18:20

В продолжение дискуссии о том, использовать слово «хакер» 💻 хорошо или плохо. Раскопалось старое видео с Жириновским, высказывающим свое мнение о том, кто такие хакеры, и что они бывают разные - не только плохие, но и хорошие. А ведь Вольфович плохого не посоветует 🤔 И помните, что в арабском слово «хак» означает «истина»!

Кто, если не хакеры, проверит истинное состояние вашей ИБ? Белые, испытывая ее на прочность во благо. Черные - ломая во вред. Не слов надо бояться, а бездействия одних и действий других 🥷

#терминология #хакеры

Пост Лукацкого

15 November 2025 07:40

Отстрелялся вчера про три стороны ИИ в контексте кибербеза для отзывчивой индонезийской публики 🇮🇩 Пришлось, конечно, сильно ужать свою восьмичасовую презентацию в два часа, но ничего, справился.

#ии #презентация

Пост Лукацкого

14 November 2025 14:41

Есть множество социологических и психологических исследований 🧑🏻‍🔬, доказывающих, что многие руководящие иерархии и комитеты содержат обычно людей, очень схожих между собой по цвету кожи, полу, возрасту, этнической принадлежности и т.п. Потому что мы чувствоваем себя комфортно в окружении людей, выглядящих и думающих как мы сами (нет-нет, да и наблюдаю за собой тот же эффект в странах Юго-Восточной Азии или на Ближнем Востоке или в Латинской Америке, где люди отличаются от тебя цветом кожи, расой, религией, культурой...) 👎

Это приводит к так называемому "групповому мышлению" 🧠, когда мы не ставим под сомнение мнение "коллег" или просто не видим чего-то, к чему уже привыкли или наш глаз замылился. "Чужаки" же в такой ситуации могут подсветить какие-то сигналы, которые являются предвестниками беды. Такие "чужаки" повышают качество принимаемых решений, снижая риски, что также подтверждается множественными исследованиями 🤔

Например, в военной разведке Израиля 🇮🇱, в Амане, есть подразделение "адвоката дьявола", которое укомплектовано офицерами, задача которых критиковать оценки других и рассматривать точки зрения, противоположные существующим. Они учитывают самые плохие сценарии и могут ставить под сомнение чужие решения. Их аналитические записки поступают на стол лицам, принимающим решения, минуя обычную иерархию военного ведомства ⚔️

А причем тут кибербезопасность, спросите вы? 🤔 А все просто. Иногда, нам нужен аналог службы внутреннего контроля (СВК), выступающей независимо от ИБ и критически оценивающей ее решения, подсвечивая ее недочеты, пропущенные риски или неверные решения. Это может быть как один человек, не подчинающийся CISO, так и целое подразделение, если речь идет о большой компании, холдинге, отрасли или даже целом государстве 🤔

Такой "адвокат дьявола" может критически оценивать модели угроз и нарушителей, участвовать в расследовании причин инцидентов, предлагать нестандартные use cases для red team или SOC, подвергать сомнению выбранные риски и недопустимые события. Он помогает избежать группового мышления, воспитывает культуру здорового скепсиса, улучшает качество аналитики и делает защиту более устойчивой 🤔

А у вас есть такая роль в компании?

#психология #социология

Пост Лукацкого

14 November 2025 05:39

Вам знаком психологический термин "реактанс"? 🤓 В психологии – это реакция, когда человек сопротивляется внешнему давлению или попыткам ограничить его свободу. Почему так происходит? Когда человек чувствует, что его свободу выбора ограничивают (новые регламенты, обязательная переподготовка, жесткие инструкции), включается защитная реакция – желание вернуть утраченное ощущение контроля. Это проявляется в форме: 🙅‍♂️
➡️ пассивного сопротивления,
➡️ саботажа,
➡️ демонстративного несогласия,
➡️ ухода "в тень",
➡️ имитации деятельности 🤐

Люди защищают не только свободу действий, но и свое ощущение компетентности и статуса 👎 Когда сверху спускают новые правила или "обязательное обучение" или "национальный мессенджер", это может восприниматься как:
➡️ недоверие,
➡️ унижение профессионального достоинства,
➡️ попытка контроля,
➡️ навязывание чужой повестки 😕

Отсюда – сопротивление, даже если правила объективно полезны 🤬 Современные исследования (MIT Sloan, Harvard Business Review, McKinsey) показывают, что программы изменений, построенные на контроле и запретах, успешны только в 20–30% случаев, чего не скажешь о программах, построенных на вовлечении и работе с мотивациями, – успех в 70%+ случаев ☺️

Это хорошо видно в кибербезопасности: жесткие политики без нормального объяснения "зачем" обычно приводят к тому, что сотрудники ищут обходные пути. Я бы написал что-нибудь про культуру и вот это вот все, но не буду; зачем повторяться. На уровне государства мы это тоже видим с блокировками VPN, запретом привычных мессенджеров, замедлением Youtube, импортозамещением и т.п. 🤔

Исследования показывают, что люди намного охотнее принимают изменения, если:
➡️ есть понятный смысл и объяснение ("почему это важно", "как это влияет на меня лично");
➡️ правила создавались с их участием (хотя бы частично или через интервью);
➡️ у человека сохраняется контроль (выбор формата обучения, гибкие рамки выполнения);
➡️ в коммуникации есть уважение (никакого "вы делаете неправильно" или "а если не будут брать, отключим газ");
➡️ изменения связаны с ценностями (безопасность, профессиональное развитие, ответственность);
➡️ присутствуют быстрые позитивные примеры ("после внедрения X мы сократили инциденты на Y").

Думаю, не стоит пояснять, как это все применимо к кибербезу? Или стоит? И расписать, как правильно внедрять изменения, чтобы шансы на их успех выросли? В то, что государство этому будет следовать я не очень верю, но на уровне компаний это вполне под силу 🤔

#психология #социология

Пост Лукацкого

13 November 2025 10:34

◻️◻️◻️◻️◻️
Все о SOC: от автоматизации до первого алерта | Выпуск 3. Процесс и контроль эффективности

SOC невозможно построить без процессов — но как убедиться, что они действительно работают, а не просто существуют «на бумаге»? Как оценить зрелость процессов, измерить эффективность и понять, когда пришло время для метрик и автоматизации?

В третьем выпуске говорим о том, что отличает живой, работающий SOC от формального. Обсудим, как внедрять процессы, кто должен отвечать за их актуальность, какие метрики действительно полезны и где проходит граница между реальной эффективностью и красивыми дашбордами.

📌 В выпуске:
— зачем SOC нужны формализованные процессы и какой минимальный набор обязателен;
— как поддерживать актуальность документированных процедур;
— кто в SOC отвечает за разработку и контроль процессов;
— когда и для чего нужны метрики, какие из них ключевые;
— примеры показателей эффективности (MTTD, MTTR, SLA и др.);
— автоматизация и визуализация: как сделать, чтобы метрики работали, а не просто красиво выглядели.

В разговоре приняли участие:

🎙 Ведущий: Теймур Хеирхабаров, BI.ZONE

🎼 Ринат Сагиров, Инфосистемы Джет
🎼 Алексей Лукацкий, Positive Technologies
🎼 Вера Орлова, Русагро Тех

Уже на всех наших площадках 🌠

📺 VK Видео 📺 YouTube
📺 RUTUBE 📝 Дзен

#GDS #подкаст

Пост Лукацкого

13 November 2025 08:34

Если я начинал свою карьеру как разработчик СКЗИ для нужд МинОбороны, то могу ли я называть себя военным шифровальщиком и праздновать сегодня свой день 🤔 В любом случае всех причастных с праздником! ✨

Пост Лукацкого

12 November 2025 18:22

И снова про китайцев. Не знаю, насколько это правда, но если да, то они умеют в CAPTCHA 🐲 Правда, так они отсекают не только роботов, но 6,5 миллиардов населения земного шара. Но кого это волнует? Уж точно не китайцев...

#аутентификация

Пост Лукацкого

12 November 2025 11:59

По тому, поздравляют тебя с профессиональным праздником 12 или 30 ноября все понятно! 🎆🎉

ЗЫ. Про 20.12, 5.05, 13.11 вообще молчу 🤫

ЗЗЫ. 12.11 к ИБ, к слову, отношения не имеет.

Пост Лукацкого

12 November 2025 05:40

Министр цифрового развития РФ, отметивший вчера свой день рождения 🧐, решил сделать подарок всей отрасли ИБ, предложив накладывать оборотные штрафы на владельцев значимых объектов КИИ за нарушение сроков перехода на отечественное ПО. Именинник добавил, что оборотный штраф будет накладываться за то, что субъект КИИ не классифицировал свои объекты и не перевел их на отечественное ПО. Наконец, министр заявил, что штрафы будут платиться ежегодно, пока не перейдешь на отечественное 🤑 Это, конечно, прекрасно. Власти распробовали идею с оборотными штрафами на теме персональных данных и решили повторить ее в другой сфере кибербеза, сделав подарок всем отечественным ИТ и ИБ-компаниям.

Меня в этой истории интересует несколько моментов: 🤔
1️⃣ Если компания, субъект КИИ, была взломана и у нее произошла повторная утечка ПДн, а в результате выяснится, что у компании еще и отечественных решений не было, то будет ли она платить два оборотных штрафа или только один? Мне кажется ответ очевиден, но все равно интересно.
2️⃣ Указы №166 и №250 требуют перехода на отечественное максимум до 1 января 2025 года. Какой статус этих указов и сроков, указанных в них? И не будут ли штрафовать теперь всех, кто еще не перешел на российское?
3️⃣ Каков процент "локализации" должен быть достигнут, чтобы не получить оборотный штраф? 100% или все-таки достаточно, например, 66%?
4️⃣ А как быть тем, у кого есть зарубежные дочерние предприятия? Их тоже переводить на отечественное?
5️⃣ У нас вообще кто-то просчитывал все риски, связанные с импортозамещением? Их прям дофига и в случае дальнейшего движения в этом направлении, мы рискуем потерять очень многое в нашей ИТ-отрасли.

В общем, интересно девки пляшут 💃 Понятно, что цифровой суверенитет – штука важная и развивать свое нужно, но все-таки, не путем наказания тех, кто не готов покупать отечественное, потому что оно не соответствует требованиям заказчиков (а иначе бы и принуждать не надо было). А там ведь еще куча подводных камней с этим импортозамещением связана. Надеюсь, удастся поговорить о них на грядущем через три недели Киберсъезде в Кибердоме 🤔

#суверенитет #ответственность #кии

Пост Лукацкого

11 November 2025 14:42

Представляем Swordfish: Secure AI Maturity Model (SAIMM) — фреймворк, который помогает компаниям обеспечивать безопасность ИИ-систем и устойчивость к атакам на всех этапах жизненного цикла разработки.

SAIMM построен на основе пяти базовых доменов в области безопасности ИИ и одного специализированного в области агентных систем. Для каждого домена предусмотрена дорожная карта с действиями, артефактами и техническими мерами.

Домены SAIMM:

1️⃣ Управление и риск-менеджмент
Политики, роли, риск-аппетит, процедуры аудита, внутренние стандарты и этические принципы.

2️⃣ Защита данных и конфиденциальность
Качество, происхождение, доступы, ПДн и локализация. Надежное обучение моделей и эксплуатация ИИ.

3️⃣ Безопасность модели
Устойчивость моделей к атакам любого рода и защита артефактов модели от несанкционированного доступа.

4️⃣Безопасность цепочек поставок
Встроенная безопасность в конвейер разработки ПО. Контроль состава и безопасности всех внешних компонентов: модели, библиотеки, датасеты.

5️⃣Инфраструктура и операционная безопасность
Надежное функционирование системы, устойчивость к сбоям, дрейфу и атакам. Организация реагирования на инциденты.

6️⃣Безопасность агентных систем
Контроль автономного поведения агентов для предотвращения нежелательных действий и рисков.

💡 SAIMM выступает практической картой зрелости безопасности ИИ, позволяющей не просто измерять готовность, но и выстраивать стратегию
безопасного внедрения и масштабирования искусственного интеллекта в корпоративной среде.

Хотите внедрять безопасный и ответственный ИИ?
➡️ Скачивайте SAIMM и начините оценку прямо сейчас!

#AISecurity #AIOps #MLSecOps

Пост Лукацкого

18 November 2025 10:34

Запустили еще один портал в помощь специалистам по ИБ 🛡 - PT Fusion. Если dbugs.ptsecurity.com, о котором я писал, представляет собой огромную коллекцию уязвимостей в различном ПО, то PT Fusion ориентирован на немного иную категорию специалистов – на аналитиков SOC и экспертов по Threat Intelligence 🗡

На портале собраны данные о 940 хакерских группировках 🇷🇺, свыше 200 миллионов обработанных индикаторов компрометации, 2.5 тысячах уникальных семейств вредоносного ПО и инструментов, а также около 5 тысяч обработанных публичных TI-отчетов. А база PT PDNS, также доступная на портале, включает свыше 70 миллиардов записей о связях между доменами и IP-адресами и еще более 2.5 миллиардов записей с регистрационными данными (WHOIS, RDAP) 😱 Данные по уязвимостям тоже есть, но с прописанными связями с вредоносами, группировками и т.п.

Если выцыганю себе доступ (в Cisco доступ к TI-платформе и TI-сервисам у меня был), то буду считать день вполне себе удачным. Тогда можно будет делать свои презентации и выступления более фокусными на конкретных отраслях, странах, группировках по нужным мне срезам и параметрам... 🤔

#soc #threatintelligence #ttp

Пост Лукацкого

17 November 2025 18:38

Забавное... VK 💬 (или уже надо писать "новая соцсеть") мне настойчиво впаривает рекламу VPN. При этом, в отличие от другой показываемой рекламы, у этой я даже не могу выбрать "Не интересно", "Уже куплено" и т.п. варианты (то есть я даже идентификатор этой рекламы не могу посмотреть). Да, я нахожусь сейчас не в России, но... приложение и его владелец российские, я - россиянин, симка у меня российская, даже смартфон официально куплен в России. Какого дуриана, спрашивается? 🤔

Да, рассказывать мне, как работают рекламные сети, не надо (я в курсе). Это совершенно не отменяет факта нарушения закона, вступившего в силу с 1-го сентября 2025 года. Или у нас есть те, кто ровнее? 🤔 Хотя нет, чего это я, у нас же верховенство закона и все равны перед ним – депутаты, госкомпании, чиновники, обычные граждане 😃

ЗЫ. IP на картинке, если что, не мой 😊

Пост Лукацкого

17 November 2025 10:34

Про фреймворки/языки описания правил обнаружения YARA, SIGMA и т.п. слышали многие 👂, но что насчет формализации способов описания различных атак, направленных на LLM? Как обнаруживать jailbreak prompt, adversarial prompt и иные варианты вредоносного использования ИИ, обходящие встроенные фильтры и механизмы защиты? 🤖

И такой фреймворк появился. Это NOVA, который позволяет создавать правила 🧑‍💻 в похожем на YARA синтаксисе для мониторинга и обнаружения подозрительных запросов, описываемых ключевыми словами или регулярными выражениями. Также NOVA поддерживает семантическую похожесть и поддерживает LLM для анализа и обнаружения плохих запросов. Например, вот так выглядит правило для обнаружения промптов по написанию вредоносного кода 🦠

(keywords.$safety_override or keywords.$ethical_bypass) and
(keywords.$hacker_persona or keywords.$malware_terms) and
(keywords.$obfuscated_format or keywords.$template_markers) or
(keywords.$malware_terms or keywords.$stealth_tech or keywords.$wordcount_manip) and
(keywords.$obfuscated_format or keywords.$template_markers) or
semantics.$malware

semantics.$injection* or keywords.$bypass*

Пост Лукацкого

16 November 2025 12:45

Анекдот: В России начали скрывать упоминания Max в новостях о мошенничестве

Подцензурные СМИ активно используют эвфемизм «один из новых мессенджеров» вместо реального названия.

При этом названия других мессенджеров всегда упоминаются в сводках, в том случае, если мошенники обманули россиян именно в них.

Сделайте удивленное лицо

Пост Лукацкого

16 November 2025 07:40

Общался я на прошлой неделе с коллегами из Казахстана, которые приехали по своим ИБшным делам в нашу страну и каково же было их удивление, когда они пошли по всем кругам ада 😈, связанным с получением российских SIM-карт, для чего надо было сначала получить СНИЛС и зарегаться на Госуслугах. Аналогичная судьба постигла и коллег из Союзного государства, которых футболили по разным адресам, так как ограничения-то ввели, а пройти новый CJM забыли. Для людей, приезжающих в страну на 2-3 дня, тратить сутки на оформление всей этой бюрократии, это too much, как говорят англичане 😕

И вот новая напасть - теперь не только нельзя зарегаться на российском сайте 🖥 с иностранной почты или иностранного сервиса аутентификации, но еще и владельцев сайтов, повернувшихся лицом к людям, будут штрафовать за разрешение такой возможности 🤦‍♂️

Комментаторам, заявляющим, а что такого, пусть в VK или Яндексе зарегаются, сразу отвечу - 😠 Вы когда в Турцию или Дубай на «все включено» ездите, тоже местный ID получаете? А чтобы подумали, если от вас такого потребуют?

ЗЫ. Если меня читает кто-то из администрации гаранта, скажите уже всем этим генераторам «кто навредит стране больше», взяли их или нет в следующий состав Госдумы. Может они тогда будут менее активны на законодательном поприще и займутся чем-то полезным… 🤔

#суверенитет #ответственность
#аутентификация

Пост Лукацкого

15 November 2025 12:44

В конце июля прошлого года, в разгар подачи документов в ВУЗы, на сайте Омского политеха, в разделе приемной комиссии, разместили лого известного порносайта 😎, что должно было, я так предполагаю, дать возможность абитуриентам сбросить напряжение после тяжелого процесса выбора института.

Но вузовская администрация не оценила устремлений хакера 🥷 и обратилась в правоохранительные структуры. На днях стало известно, что хакер изобличен и его будут судить. Им оказался местный 23-хлетний омич.

А теперь самое интересное. Хакеру вменяют КИИшную статью УК 274.1 👩‍⚖️ За обычный дефейс. А все потому, что палочная система любая образовательная организация - это СуКИИ; даже детсадик 👶

Вот так и формируется статистика по 274.1-й статье, которая вообще не отражает реальную опасность совершаемых преступлений. А ведь говорили авторам 187-ФЗ, что 🤔 нужна граница, ниже которой организация не будет считаться КИИ. Ну какие ломбард или филармония КИИ? Но нет 🤦‍♂️

ЗЫ. А этого неудавшегося ИБшника ведь тоже ждет 274.1?..

ЗЗЫ. Спасибо подписчику, приславшему ссылку 🤝

#инцидент #ответственность #кии

Пост Лукацкого

14 November 2025 18:26

Не только лишь наша прокуратура может снимать прикольные ролики про мошенников. На этот раз (правда, ролику уже несколько лет) отличилась полиция Дубая и ряд других, не менее солидных и официальных организаций, сняв видео "Это был не я" (It wasn't me) 📹

#awareness #видео #фишинг

Пост Лукацкого

14 November 2025 10:33

Пока летел в Джакарту закончил читать книжку "?HEУЯЗВИМОСТЬ! Отчего системы дают сбор и как с этим бороться" Криса Клирфилда и Андраша Тилчика 📖 Она не совсем про кибербез, хотя в одной из глав эта тема подсвечивается, – она про сложность и линейность современных систем, где все сильно переплетено между собой, и где сбой даже небольшого компонента может повлечь за собой каскадную катастрофу 💥

Все это порождается комбинацией сложности и жесткости связей в системе 🤔 А так как в сложных системах небольшие сбои и ошибки неизбежны, то в жестко связанных системах от эффект домино просто не избавиться, он придет когда его не ждешь. При этом авторы отмечают, что многие такие аварии, хоть и редки, но считаются нормальными из-за их естественности и неизбежности (это как смерть 😵 – ею заканчивается жизнь любого живого организма, то есть это норма). И их можно предотвратить, – нужно только вовремя замечать ошибки в управлении, перестать игнорировать предупреждающие сигналы, бороться с проблемами в общении людей, устранять низкую профподготовку персонала и не идти на безрассудный риск 😔

По ходу авторы приводят множество очень известных кейсов - от аварий на атомных электростанциях и взломов автомобилей до проблем с выходом Facebook на IPO и провалом Theranos, иллюстрирующих основной тезис 📕 Человечество раздвинуло границы возможного, сделав это за счет новых технологий. Но это же и сдвинуло нас в новую опасную зону, где сбои могут привести к катастрофам, о которых мы раньше и не думали. Наша безопасность не снизилась – выросла уязвимость систем, подверженных неожиданным и каскадным сбоям. Мы решаем одни проблемы и устраняем риски, но привносим новые, с которыми, возможно, еще не научились работать 🤷‍♀️ Мы излишне полагаемся на интуицию в неблагоприятных условиях. Мы забываем присматриваться к тревожным сигналам, поощрять несогласие и развивать неоднородность в коллективе. Мы хотим слышать хорошее и чувствовать себя комфортно в окружении людей, выглядящих и думающих как мы сами. И все это ведет нас в пропасть...

#книга #стратегия #оценказащищенности #психология

Пост Лукацкого

13 November 2025 16:41

История с пивоваренной компанией Asahi продолжается 🍺 Вот уже больше месяца, как компания не может восстановиться после атаки вымогателя Qilin. По данным Bloomberg, Asahi сейчас работает примерно на 10% от обычного объема отгрузок в Японии из-за приостановки системы заказов/отгрузок. Работы на ~10% от мощности → это не просто снижение, это почти полная остановка отгрузок/заказов на внутреннем рынке 🍺

Аналитики из Sanford C. Bernstein (через Bloomberg) оценивают, что убыток Asahi в 4-м квартале может достигнуть ¥15 млрд (≈ US$97 млн) из-за простоя, роста затрат на маркетинг и снижения продаж 🤑 Учитывая, что Япония является значительной частью бизнеса Asahi, это может привести к недовыполнению годового плана (например, недостижение целевых показателей на -13% как цитировали аналитики).

14 октября 2025 года Asahi объявила, что откладывает публикацию финансовых результатов за 3-й квартал (июль-сентябрь) из-за сбоя систем – "более чем 45 дней после конца квартала". Отложенная отчетность – признак того, что ущерб более сложный, чем изначально оценивалось; проблемы с бухгалтерскими/финансовыми системами 🤷‍♀️

Кроме того, Asahi заявляет, что расследование выявило "возможную несанкционированную передачу данных", но еще нет официального подтверждения объема утечки. Ну это сразу предполагалось – чтобы атака шифровальщика, да без утечки данных... В общем, не везет компании, недооценила тему кибербезопасности, сейчас, наверное, кусает локти. Ну а мы ждем финальных оценок результатов... 🧮

#недопустимое #ущерб

Пост Лукацкого

13 November 2025 10:34

А хороший эфир получился. Про метрики, процессы, эффективность SOC… 👉

#soc #метрики

Пост Лукацкого

13 November 2025 05:40

Сижу я в аэропорту Джакарты, весь в белом, жду третьего перелета за сутки, смотрю видео, которое выложил Юра, и думаю 🤔 Вот завтра мне выступать перед большой аудиторией про ИИ, кибербез, белых хакеров… Стоп. Какие «белые хакеры»? Вроде низзя же. Это же… непрофессионально.

Это как сказать: «Я - пожарный»👨‍🚒, а не «Специалист по ликвидации неконтролируемого термодинамического взаимодействия пламени с элементами строительных конструкций и спасению живых существ, обладающих способностью к крику и эмоциональной привязанности к котам».

Я, конечно, завтра могу сказать: «my job is a specialist for cyber resilience and cyber security examination of information systems»… и тогда все в зале сразу начнут писать в своих чатиках: «А это кто?», «Это что, аспирант из MIT?»…

А если я скажу: «Я - белый хакер»?… 💻 Все в зале закивают, как будто я только что сказал: «Я - супергерой, но без плаща. И с ноутбуком». Один парень в восьмом ряду даже прошепчет: «Маэстро А он может взломать Wi-Fi в аэропорту Джогджьякарты?», а я ему в ответ: «Уже взломал. Пароль — «12345678». Я его поменял на «PasswordHasToBeUnbreakable1337!» (шутка; ничего не ломал; хотя пароль и правда может быть 12345678).

Слово «хакер» - это не проклятие и не преступление. Это навык смотреть глубоко и видеть то, чего не видят другие 👀 А «белый» - это не цвет костюма (хотя у меня он белый, потому что в Индонезии жарко и мой прошлый прилет в черном костюме с крабовой подкладкой выглядел странновато), а цвет намерений, чистых как цветок лотоса 🪷

«Специалист по исследованию киберустойчивости и кибербезопасности информационных систем» - это как называть кофе «напиток, полученный путем экстракции горячей водой из молотых зерен кофейного дерева, обработанных с целью повышения бодрости и снижения уровня сонливости у людей, использующих компьютеры» ☕️ Можно. Но зачем? Оставим это для нормативных документов, где «белый хакер» точно не приживется.

Так что да. «Белый хакер» 👺 Короче. Понятнее. И, честнее. А для нормативки оставим что-то привычное уху чиновников. Ведь даже «кибербезопасность» у нас официально не существует в законодательстве, но все это слово прекрасно используют. Потому что короче, проще, понятнее…

#терминология #хакеры

Пост Лукацкого

12 November 2025 14:42

А вот тут мое интервью (📺 YouTube, 📺 ВК Видео, 📺 RuTube) про MLSecOps и всякое другое разное с Positive Security Day подоспело от коллег с AM Live 🎙

В выпуске:
➡️ зачем переходить от DevSecOps к MLSecOps
➡️ как устроены ИИ-атаки: фишинг, дипфейки, jailbreak-prompts, многоагентные сценарии
➡️ LLM-firewall, контроль model drift и защита данных на практике

#интервью #mlsecops #ии

Пост Лукацкого

12 November 2025 10:34

Сообщается о компрометации и масштабной утечке данных в компании Knownsec Technologies, случившейся 2 ноября 🔓 Неизвестные пока хакеры якобы получили более 12000 секретных документов, касающихся технических деталей инструментария компании, используемого для проведения кибератак (RAT-трояны для компрометации ОС Windows, Linux, macOS, iOS, Android; вредоносное шпионские устройства в виде power bank и т.п.), исходного кода, внутренних инструментов и "глобальных цели" киберопераций, включая Японию, Вьетнам, Тайвань, Индию, Индонезию, Нигерию, Великобританию, Южную Корею и др. 🐉

Первоначально данные утечки были выложены на Github 📱, но были оперативно удалены оттуда. Пока непонятна, имела ли утечка действительно место или это классическая подстава китайцев в текущей геополитике, ведь Knowsec называют поставщиком кибероружия "при дворе товарища Си", но, как обычно, без доказательств 🇨🇳

Интересно, что данный инцидент напомнил мне несколько кейсов. Во-первых, утечку материалов АНБ 🇺🇸, организованную Эдвардом Сноуденом в 2013-м году). Тогда утекли документы, слайды, презентации, описания программ массового наблюдения (PRISM, XKeyscore и др.). Спустя 4 года стало известно об утечке Vault7 из ЦРУ 🇺🇸 тысяч документов и описаний множества эксплойтов, инструментов нападения для iOS/Android, ТВ, браузеров и C2-инфраструктур.

Как и в Vault, из Knowsec утекли не просто отчеты, а инструкции и код, которые позволяют быстрее воспроизводить атаки и адаптировать их другим злоумышленникам. Это снижает порог входа для эксплуатации кибероружия, если оно разойдется по рукам, а сомнений в этом нет. Про утечку из НТЦ "Вулкан" вспоминать не буду – там все не очевидно было, но некоторые параллели провести можно 🌋 Как и с кейсом о продаже кибероружия Trenchant.

После утечки Сноудена 🙂 стали активно появляться privacy-технологии (E2E-шифрование, Signal, Tor в массы и т.п.). Правда, сейчас это все пошло коту под хвост, но само начало было положено. После Vault7 выросло внимание к атакам на цепочку поставок и концепции zero-trust. Интересно, будет ли схожий эффект после утечки из Knowsec? Стоит ли ожидать нового витка борьбы за "прозрачность" вендоров ИБ и более жесткого аудита их внутренних инструментов? 🤔 Но такое впечатление, что интерес к компаниям, выпускающим кибероружие, растет...

#инцидент #утечка #проблемыибкомпаний #кибервойна

Пост Лукацкого

11 November 2025 18:21

И этот день, как и вчера, мы финалим искусственным интеллектом 🧠, а именно очередным руководством по безопасности ИИ от SANS. И хотя это проект, он достаточно неплохо систематизирован и, в целом, вполне интересен уже сам по себе. Там даже история с мониторингом ИИ и упомянутого утром инференса упоминается 🤔

Заметили, что я стал все чаще писать про ИИ в контексте кибербезопасности? ✍️ Это я еще себя сдерживаю, так как в новостном потоке эта тема реально стала доминирующей – чуть ли не половина всех новостей про это. Да, местами это хайп или переливание пустого в порожнее, но часто бывает немало реально полезного контента. Не все из этого релевантно для нашего региона, но многое. Так что изучайте ИИ... с разных сторон 👩‍🎓

#sans #ии #mlsecops

Пост Лукацкого

11 November 2025 14:42

Помните эфир AM Live по MLSecOps? На нем два участника упомянули, что разрабатывают свои фреймворки по безопасности ИИ к уже существующим на тот момент трем российским – MLSecOps Framework от PT 🟥, руководство от Сбера 🏦 и AI SAFE от Яндекса 🔴 А вот тут еще один фреймворк анонсировали. Может и мне свою вчерашнюю табличку тоже фреймворком назвать?

#mlsecops #framework #ии