🔄 А на платформе DetectionStream обновление – добавили поддержку правил Suricata. И вновь напомню, что это не просто репозиторий (а там добавили 45 тысяч правил в формате Suricata для обнаружения сетевых угроз), а платформа для detection engineering, которая позволяет не только конвертировать правила из одного фреймворка в другой, но и создавать новые, а также сразу тестировать их (я про эту платформу уже упоминал несколько дней назад) 🤔

#обнаружениеугроз #ttp #soc

Читать полностью…

Когда APT сливается 🤝 с государством, начинаются проблемы с предсказуемостью поведения кибергруппировки и облегчением ее обнаружения и атрибуции. Такой вывод (один из выводов) можно сделать, изучив отчет о деятельности APT35 (она же Charming Kitten).

В октября 2025 года было опубликовано внутреннее досье, связанное с APT35: документы, журналы, ежедневные и месячные отчеты, таблицы с KPI и метриками, данные о проведенных атаках, фишинговых кампаниях и др. Раскрытый объем показывает не случайную хакерскую группу, а хорошо организованную, бюрократизированную структуру 🇮🇷 – с четким разделением труда, отчетностью, надзором, системами мотивации и контролем результатов.

Меня зацепила часть именно про оценку эффективности группировки и выбранные ее руководством и кураторами метрики. В материалах нашлись: ✍️
➡️ ежедневные "рабочие журналы" операторов APT;
➡️ таблицы задач на неделю;
➡️ месячная отчетность с количеством выполненных действий;
➡️ табели рабочего времени (!) 🗓

Они выглядели как Excel-файлы с колонками "время работы", "часы присутствия", "выполненные задачи", "план/факт", "осталось выполнить". Самый неожиданный и яркий момент утечки – таблицы с: 😲
➡️ временем прихода на работу;
➡️ временем ухода;
➡️ количеством часов работы в день;
➡️ замечаниями от руководства ("опоздание", "не выполнил план");
➡️ отметками о выходных и отпусках.
По сути, APT35 живет в режиме обычного офиса, с менеджерами, которые следят за дисциплиной 😳

Фишинговое подразделение (HERV, Human Engineering & Remote Validation) имело следующие метрики:
🐟 количество отправленных писем за определенный период (день/неделя/месяц);
🐟 конверсиюя – сколько писем были открыты;
🐟 количество кликов на фишинговые ссылки;
🐟 количество введенных учетных данных;
🐟 количество свежих валидных аккаунтов, "добытых" за неделю;
🐟 успешность прохождения MFA (я про соответствующий инструментарий уже писал).

Отдельные документы описывают показатели для команды эксплуатаций уязвимостей: 👨‍💻
✔️ количество проанализированных серверов/хостов;
✔️ количество найденных потенциально уязвимых целей;
✔️ сколько из них успешно эксплуатировано;
✔️ сколько было развернуто webshell;
✔️ устойчивость webshell (как долго живет точка входа);
✔️ количество извлеченных адресных книг;
✔️ скорость первичного проникновения после обнаружения уязвимости 🖥

Операторы, которые следили за почтовыми системами жертв, имели следующие показатели эффективности: 📨
✉️ количество просканированных писем;
✉️ количество полезной развединформации;
✉️ скорость реакции на новые входящие письма интересующих лиц;
✉️ количество выявленных цепочек контактов (сетевой анализ переписки);
✉️ длительность поддержания скрытого присутствия в ящике 📩

Для операторов, занимающихся сканированием и рекогносцировкой: 📡
🌟 количество проверенных IP-диапазонов;
🌟 количество обнаруженных уязвимых сервисов;
🌟 количество собранных .env файлов;
🌟 количество обнаруженных серверов Exchange/EWS;
🌟 объем новых “целей” в базе 🧑‍💻

Из-за фиксированных KPI (а иначе кураторам сложно оценивать динамику работы) 🧮 операторы вынуждены повторять одни и те же техники, инструменты и шаблоны. Судя по отчету, APT35 соревновалась сама с собой – чем больше и быстрее оператор APT добывает данные, тем выше его оценка. Это приводит к тому, что APT выстраивает повторяемые процессы, в которых хакеры набивают руку, но при этом теряется творческое начало. А это делает их более предсказуемыми 🤔

ЗЫ. Хотя метрики так себе, если честно 👎

#APT #метрики #атрибуция

Читать полностью…

Я постоянно ругаю РКН, но сегодня надо отдать должное регулятору, который помог мне прокачать мои хардскиллы. Некоторое время назад на умном телевизоре перестал работать YouTube (не новость) 📱 Не самая большая проблема, конечно (при наличии YouTube на лэптопе и смартфоне через VPN), но все равно иногда не хватало. Ставить на ТВ левый apk с VPN с непонятного сайта я был не готов, а стримить видео-поток с другого ноута на ТВ – это как из пушки по воробьям 📺

В итоге решил вспомнить свое админское прошлое 🧑‍💻 Да и в конце концов, после 18 лет в мировом лидере сетевых технологий тоже как бы стыдно было не решить эту проблему. Завел новый VPN-аккаунт и стал цеплять его на домашний Keenetic, у которого есть соответствующий функционал для построения Site-to-Site VPN 🛡 Так как в доме сеть у меня уже была сегментирована, то было не сложно выделить Smart TV в отдельную политику и загнать только его в VPN, чтобы не пускать все мои десятки устройств по шифрованному соединению. Бинго...

Но не тут-то было. Оказалось, что почти все используемые мной отечественные стриминговые платформы, не работают через мой VPN (вероятно, они рубят доступ с зарубежных IP) 🖕 Ладно, пойдем другим путем. Решил настроить маршрутизацию по FQDN, чтобы в VPN загонять только трафик до 3-х доменов: googlevideo.com, youtube.com и ytimg.com. А хрен, оказалось, что хоть KeenOS и поддерживает такую фичу, но только с 5-й версии, а мой Keentic не так чтобы и молод и проапгрейдить его до 5-й версии нельзя; следовательно, в FQDN routing он не умеет 🤷‍♀️

Ладно, пойдем иным путем, не самым красивым, но также достигающим результата 💡 Вытащил с сайта Google список всех диапазонов IP-адресов, используемых YouTube и его CDN, и написал политику для статической марщрутизации, которую и засунул в VPN. Бинго! Теперь уже окончательно. И вот у меня снова доступ к видео с RSA Conference и других ИБшных мероприятий со всего мира, которые выкладываются на YouTube, а не на Rutube ®️ или ВК Видео 📱. Теперь можно и другие сервисы так настроить сразу на маршрутизаторе, чтобы не морочиться с регулярным поднятием VPN. Да, ACL будет пухнуть от новых правил, но не думаю, что для Keenetic это будет проблемой.

А не будь РКН, так бы и жил безмятежно, постепенно забывая, как это, работать руками 🤠 Так что, спасибо, РКН 🙏

#суверенитет

Читать полностью…

С одной стороны в США сегодня празднуют день Фибоначчи, а с другой – все обсуждают компрометацию CrowdStrike со стороны группировки 🥷 Scattered Lapsus$ Hunters, ответственной, среди прочего, за недавний взлом Salesforce, а также Jaguar LandRover. ИБ-вендор подтвердил, что у него в компании был внутренний сотрудник-инсайдер, который скрытно сделал снимки экрана своих рабочих систем и передал их злоумышленникам 🤑 Конечно же, компания подчеркивает, что никакого взлома их систем не произошло и персональные данные клиентов не были скомпрометированы. Сотрудник, которому, как утверждают сами хакеры, заплатили 25000$ за доступ, был выявлен и уволен после внутреннего расследования 🏌️

"А у вас предусмотрено такое в модели угроз", спросил бы я, но думаю это и не требуется 🤔 Но напомню свою заметку полуторагодовалой давности со списком фреймворков по борьбе с инсайдерами, от которых (инсайдеров, а не фреймворков) никто не застрахован. ИБ-компании тоже страдают от этого. В 2021-м году ProofPoint столкнулся с кражей конфиденциальной информации бывшим топ-менеджером, который продал ее конкуренту, к которому он позже и перешел 🧐 ProofPoint, кстати, не смог выявить факт выноса информации на флешке. А в 2018-м году уволенный сотрудник Cisco, спустя 5 месяцев после своего увольнения (хотя можно ли это считать инсайдерской атакой) смог подключиться к ресурсам AWS компании и удалить 456 виртуальных машин в инфраструктуре Webex Teams 🗑

А в России тихо 🇷🇺 Помимо взлома технического сбоя у крупного перевозчика в публичном поле молчание. О взломах очередной ИТ-компании, финансового аудитора или суда, через которых рассылали вредонос по их заказчикам, полный молчок. Не принято у нас выносить сор из избы... 🤫

#инцидент #insider

Читать полностью…

😮 Хороший пример, демонстрирующий разницу между тем, что регулятор или чиновник в более широком смысле говорит на мероприятиях и что он делает или не делает (по разным причинам). Вообще, перечитывать заявления и тезисы с прошлых мероприятий - достаточно занятная вещь 🤔

#регулирование

Читать полностью…

Когда я слышу разговоры о том, что полностью автономатический взлом с помощью автономных ИИ-агентов 🤖 – это сказка, невозможно и вообще не в этой жизни, то мне почему-то сразу вспоминаются старые-добрые conficker, Iloveyou, SQL Slammer и другие образчики сетевых червей конца 90-х - начала 2000-х 🪱 Полностью независимое и автономно работающее ПО, которое распространялось по Интернету и ломало все, до чего дотягивалось. И это все еще до эпохи ИИ-хайпа. А вы говорите... 🤔

#история #malware #ии #автоматизация

Читать полностью…

Яндекс.Музыка подкинул(а) очередную композицию, в которой есть следующие строки: 🎧

Был рыцарь в доспехах
суров, не до смеха,
(дракона убить - это вам не потеха)
ты несколько лет
собирался в далёкий поход -
найти, где гнездо у реликтовой твари,
и голову преподнести государю,
а если получится -
то извести и приплод.

Начищены щит твой и меч до блеска,
и вот ты добрался до нужного места -
дракон тебя сжарить пытался,
но так и не смог.
Наутро проснулся,
со сна потянулся -
и громко в сердцах нецензурно ругнулся,
увидев когтистые лапы на месте ног.

Дар потеряешь речи,
взревёшь нечеловечьи,
взревёшь нечеловечьи -
и вспомнишь: испокон
всё, видишь ли, резонно,
ты победил дракона,
ты победил дракона
и сам теперь дракон.

И будешь недвижен,
на фортуну обижен,
был коротко стрижен,
а теперь - что я вижу? -
чешуйчато-лыс
и закован природой в броню,
и будешь глаза открывать осторожно -
ведь так невозможно,
скажи, невозможно? -
и щёлкнешь хвостом,
рассердившись на карму свою 🐉

Это ответ тем, кто часто бросается фразами типа "не нравится, иди сам в регуляторы и все исправляй" 🫵 Увы, оно так не работает. Становясь регулятором, ты начинаешь играть по его правилам и соблюдать его интересы, то есть государства, которое и представляет регулятор. И все твои прекрасные и благие начинания, которые ты думал реализовать, имея за плечами опыт на стороне читателя/заказчика, идут по... колее глубокой и разъезженной 🤏

Сколько я таких примеров видел и сколько бесед провел с теми, кто решил изменить этот мир и пойти в чиновники из бизнеса, а потом вернулся обратно, отряхивая всякое со своих одежд и радуясь, что легко выкрутился... 🐺 Иногда тебе удается что-то исправить, но такие случаи редки и воспринимаются как несказанная удача. А если ты остаешься в роли регулятора подольше, то все, ты сросся с системой и уже являешься ее неотъемлемой частью, не имея возможности, а часто и желания, что-то менять. Ты даже перестаешь помнить, как это, быть в бизнесе, и как ты мог хотеть что-то менять 🖕

#рефлексия #регулирование

Читать полностью…

Ооочень интересный пример разведки по открытым данным, а именно по знакам отличия 16-го Центра ФСБ 🇷🇺 Фалеристику (собирание значков) использовали для того, чтобы понять внутреннюю структуру спецслужбы, включая местонахождение отдельных ее в/ч.

Помню в институте, первый раз придя на закрытый предмет по иностранным спецслужбам, ждал каких-то откровений в стиле Джеймса Бонда, а на поверку оказалось все прозаичнее 🥷 95% всей информации разведка добывает из открытых источников и только оставшиеся 5% – это бондиана со знойными красотками, проникновениями в секретные ракетные шахты, взломы паролей за 60 секунд, когда у тебя под столом орудует эскортница (как в "Пароль "рыба-меч"). И вот опубликованный документ хорошо иллюстрирует этот тезис. Достаточно просто прошерстить "Авито", сайты фалеристов и антикварные онлайн-лавки и ты найдешь много всего интересного... 🎩

ЗЫ. Кстати, про соотношение 95-5%. В службе ИБ Cisco были те же самые цифры - 95% бюджета ИБ ты тратишь на борьбу с 5% самых сложных атак. А оставшиеся 5% денег - на 95% банальных угроз 🤔

#osint

Читать полностью…

Читали "Неукротимую планету" Гарри Гаррисона? 📖 Помните основную идею? Жители планеты вели нескончаемую войну против всех остальных живых существ, провоцируя их на ответную агрессию, усиление атакующих свойств, что в итоге приводило к снижению численности оставшегося единственного города и постепенному проигрышу этой битвы ⚔️

Подумалось, что это неплохая ассоциация на тему взаимодействия службы ИБ и пользователей, воспринимающих приказы и указания специалистов по кибербезу, вместо того, чтобы искать компромиссы и общие решения. И взаимодействие служб ИБ и регуляторов тоже похоже на бесконечную борьбу с постоянным ростом агрессии с обеих сторон. А кто же победит в этом конфликте? А вот не скажу. Кто читал Гаррисона, тот знает. Кто не читал?.. Прочитайте. Там короткий рассказ на самом деле 🛋

#книга #аналогии

Читать полностью…

На сайте ГосСОПКИ неплохой перечень всех судебных дел (выгружаемый в CSV) по ст.274.1 УК РФ с ссылками на судебные решения. Можно свое впечатление составить по тому, за что и кого чаще всего наказывают, в каких регионах и т.п. 🧑‍⚖️

#ответственность

Читать полностью…

🔒 Какой путь прошла информационная безопасность от древних времен до цифровой эпохи?

Обсудим на лекции «Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга».

Поговорим о защите информации в разные периоды: от шифров Древнего мира, шпионских страстях эпохи Возрождения и цифровые катастрофы XXI века — до технологий завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за «цифровым забором».  

Лектор:
Алексей Лукацкий, эксперт по кибербезопасности, автор блога «Бизнес без опасности», автор телеграм-канала «Пост Лукацкого»

Встречаемся 22 ноября в 15.00

🔑 Регистрация

Читать полностью…

Иногда пробегаю глазами ранее написанные посты и вижу, что тема обеспечения безопасности в ИИ не столь популярна 🤷‍♀️ как, например, ругань на государство российское (смотрю на количество лайков) в лице какого-либо трехбуквенного регулятора, недодепутата или нового мессенджера. А ведь, как минимум, всяческие LLM используются повсеместно – открыто или в режиме "Shadow GenAI". Посему хочется провести мини-опрос, чтобы понять, где мы все сейчас находимся 🤖

ЗЫ. Фокус в опросе на внешние ИМ-сервисы.

#ии

Читать полностью…

Как проверить упомянутый вчера план реагирования на инциденты на реализуемость? Я бы выделил несколько практических шагов: ✍️

6️⃣ Регулярные киберучения, в первую очередь штабные (вы тестируете процедуру, а не технический инструментарий). Это самое главное. Разыгрывайте реалистичные сценарии (выключите слайды, заблокируйте доступ к обычным каналам связи) и засекайте время. Смотрите, где процесс встает. Причем именно весь процесс, а не только его стандартные 6 этапов, описанные в любом учебнике по управлению инцидентами. То есть про антикризисный PR тоже не забывайте...

2️⃣ Тестовые прогоны технических процедур. Периодически пытайтесь восстановить систему из бэкапа на тестовом стенде. Проверяйте, работают ли системы оповещения, которые вдруг внезапно были выведены из строя шифровальщиком. Есть ли у вас страничка в ВК, чтобы хотя бы там коммуницировать с заинтересованными сторонами? Это хоть и выглядить смешно, но иногда это остается единственным вариантом, как, например, в кейсе со страховой компанией ВСК.

3️⃣ Аудит "тревожного чемоданчика". Раз в квартал проверяйте, чтобы у ключевых сотрудников были актуальные распечатанные контакты, инструкции и доступ к оффлайн-копиям критически важных документов, включая плейбуки. И прекратите уже на каждый плейбук требовать согласования гендиректором…

4️⃣ Проверка полномочий. Прямо спросите у людей, указанных в плане реагирования: "У вас есть право отдать приказ на отключение системы X? Вы знаете, как это сделать технически?". Тут еще важно, конечно, чтобы у человека было не только право принимать такое решение, но и стальные фаберже для применения этого права, но последнее в плане уже не пропишешь и не особо проверишь пока не случится недопустимое 🤔

Помните! План реагирования на инциденты – это не документ для галочки, а живой, рабочий инструмент. Его ценность определяется не тем, как красиво он написан и на бумаге какой плотности распечатан, а тем, насколько он работает в момент хаоса 😱

ЗЫ. Если к каждому пункту плана вы будете задавать, как минимум, следующие вопросы: "ЧТО должно быть сделано", "КТО должен это сделать", "КАК это должно быть сделано", "КОГДА это должно быть сделано", "ГДЕ это должно быть сделано" и "КАК проверить, что это было сделано", то будет неплохо 🤔 В противном случае ваши пункты будут похожи на третью ногу стюардессы на картинке - сразу в глаза не бросается, но на деле она только мешает 😂

#управлениеинцидентами #bestpractice

Читать полностью…

Сидел тут в самолете, читал инструкцию по безопасности; по привычке пытался проецировать на кибербез. Чем нельзя пользоваться во время инцидента аварийной посадки... Очки 🥸 Понятно, хотя люди с -6 к аварийному выходу не выйдут. Галстук. Ну тоже можно понять. Ручка, расческа, каблуки. Острые предметы как-никак (хотя мы и не в тюрьме). Последний запрет - колготки (точнее нейлоновые изделия). Мысль тоже понятна - в горящем самолете сдирать с ног расплавленный нейлон - то еще удовольствие (не пробовал, но сгорающие за секунды палатки видел 🏕).

Но кто-нибудь проверял во время испытаний, как выполнять именно это требование?.. 🤔 Снимать колготки/чулки во время аварийной посадки?.. Это сильнее, чем канат аварийного покидания, о котором говорится в инструкции и о чем предупреждает бортпроводница, показывая на себе, как обезопасить себя на борту лайнера (правда, как пользоваться канатом не показали; а было бы зрелище). Я, конечно, не специалист по экстренному снятию колготок в узком пространстве (хотя в детсадике и носил этот предмет одежды), но чудится мне, что этот пункт плана невыполним 🙅‍♂️

К чему это я? К тому что любые планы, включая и реагирования на инциденты, надо тестировать ☑️ и регулярно актуализировать. А то будет как в одной организации, где в плане было написано, что он запускается только после команды CISO, который, как назло, в момент инцидента укатил в отпуск и был недоступен, а резервный контакт, который бы сказал «Побежали», планом предусмотрен не был 😂

Вообще таких непродуманных пунктов в планах реагирования на инциденты ИБ я видел немало. Вот некоторые примеры: ✍️
➡️ "Немедленно уведомить всех руководителей по телефону и email". Список руководителей отсутствует или неактуален, а номеров телефонов и вовсе нет.
➡️ "Немедленно изолировать зараженные системы". Отсутствие технических средств для быстрой изоляции (например, сегментации сети) без "отсечения" критически важных бизнес-процессов. Команда ИБ не знает, какие системы с чем взаимодействуют, и отключение одной приводит к каскадному отказу.
➡️ "Определить масштаб утечки данных". Нет точной карты данных и непонятно, где какие данные хранятся, в каком виде и кто их владелец.
➡️ "Принять решение о необходимости оповещения регуляторов/клиентов". В плане нет четких и измеримых критериев для этого решения (например, "если пострадало более X записей, содержащих Y тип данных").
➡️ "Восстановиться из бэкапа". Последние "чистые" бэкапы были сделаны месяц назад. При этом восстановление из них не тестировалось и бэкапы оказываются битыми. RTO по плану – 4 часа, а на практике восстановление занимает 2 дня.
➡️ "Назначить ответственных за каждую задачу". В плане указаны должности, а не конкретные люди. При этом у этих людей нет заместителей и никто вообще не проверял, есть ли у этих людей необходимые полномочия для принятия решений (например, отключить систему стоимостью миллиард рублей).
➡️ "Следовать плейбукам для каждого типа инцидента". Плейбуки находятся в сетевой папке, доступ к которой невозможен из-за инцидента, уничтожившего большую часть инфраструктуры.
➡️ "Немедленно уведомить ИТ-команду". УПАТС зашифрована как и сервер электронной почты, а резервные средства коммуникаций с ИТ-командой не предусмотрены.
➡️ "Провести анализ уроков, усвоенных при инциденте". Встреча превращается в поиск виноватых, а не в анализ системных недостатков, приведших к инциденту. Нет механизма отслеживания выполнения плана устранения причин. Все забывают об инциденте через неделю, пока не случится следующий ☺️

А у вас есть в плане что-то из перечисленного выше? 🤔

#управлениеинцидентами

Читать полностью…

Запустили еще один портал в помощь специалистам по ИБ 🛡 - PT Fusion. Если dbugs.ptsecurity.com, о котором я писал, представляет собой огромную коллекцию уязвимостей в различном ПО, то PT Fusion ориентирован на немного иную категорию специалистов – на аналитиков SOC и экспертов по Threat Intelligence 🗡

На портале собраны данные о 940 хакерских группировках 🇷🇺, свыше 200 миллионов обработанных индикаторов компрометации, 2.5 тысячах уникальных семейств вредоносного ПО и инструментов, а также около 5 тысяч обработанных публичных TI-отчетов. А база PT PDNS, также доступная на портале, включает свыше 70 миллиардов записей о связях между доменами и IP-адресами и еще более 2.5 миллиардов записей с регистрационными данными (WHOIS, RDAP) 😱 Данные по уязвимостям тоже есть, но с прописанными связями с вредоносами, группировками и т.п.

Если выцыганю себе доступ (в Cisco доступ к TI-платформе и TI-сервисам у меня был), то буду считать день вполне себе удачным. Тогда можно будет делать свои презентации и выступления более фокусными на конкретных отраслях, странах, группировках по нужным мне срезам и параметрам... 🤔

#soc #threatintelligence #ttp

Читать полностью…

А вот и видео с лекции в Музее криптографии 👩‍🎓 о том, что общего между кибербезом и методами защиты и нападения, используемыми и мире животных, насекомых и растений:
📱 YouTube
📱 ВКВидео

#видео #аналогии #история

Читать полностью…

Anyone who follows my channel knows that I have fear of speaking English 🙀 and I'm constantly struggle with it. Below you can see my latest attempt. There is a recording of my lecture from Indonesia where I discuss AI from three perspectives: victim, defender, and hacker 🤖

☝️Don't be afraid to do what you want and what you think is right.

#видео #ии

Читать полностью…

Спасибо Музею криптографии (@cryptography_museum), который пригласил меня прочитать лекцию 👩‍🎓 о том, что общего между кибербезом и методами защиты и нападения, используемыми и мире животных, насекомых и растений. Если вдуматься и выйти за рамки привычной по институтскому образованию дисциплины, то мы поймем, что все, что мы делаем в ИБ, как с точки зрения обороны, так и с точки зрения взлома, имеет свои аналогии в природе и уже используется миллиарды лет 🦑

А мы, чаще всего неосознанно, просто копируем то, что отточено тысячами и миллионами поколений представителей животного мира 🦞 И берем мы от него от силы процентов 10-15 в свою практику. Те, кто сможет более активно применять биомиметику в ИБ, тот сможет предложить совершенно новые механизмы защиты и сорвать банк сделать мир еще безопаснее. Ну или это сделают хакеры, которые также могут взять на вооружение то, как животные атакуют своих противников 🐸

ЗЫ. Презентация с выступления ниже 👇 Видео сегодня обработаю и тоже выложу.

#презентация #аналогии #история

Читать полностью…

Очередная подбора сериалов про кибербез 🎬 Для выходных...

#кино

Читать полностью…

На фоне введенных санкций против двух российских пуленепробиваемых хостингов (bulletproof) 🔫, которые по мнению западных стран, предоставляли услуги различным нехорошим людям и группировкам для проведения кибератак, альянс "Пяти глаз" выпустил очередное руководство по тому, как бороться с такими хостингами. Ничего сверхъестественного – просто блокируйте 1000 вредоносных ASN и 5000 таких же недобрых диапазонов IP-адресов... Хотя ссылки на адреса и диапазоны привели, что может быть полезно 🇺🇸

#bestpractice

Читать полностью…

Пятничное... 😂

#юмор #soc

Читать полностью…

2 года назад я приводил список методов обхода многофакторной аутентификации 📋 Хочу вернуться к этой истории, так как сейчас наблюдается рост не только способов обхода MFA, но и чувства ложной защищенности, которое проистекает из уверенности в надежности MFA, необходимость использования которой упоминают все, но без раскрытия всех нюансов 🔏

Встречайте, платформа 🖥 Tycoon 2FA, которая, будучи реализованной как сервис Phishing-as-a-Service, использовалась в этом году более 64 тысяч раз, и которая позволяет даже неквалифицированным злоумышленникам запускать атаки с обходом MFA. Платформа автоматизирует весь процесс атаки – от создания фишинговых страниц до перехвата сессий аутентификации 🥷

На картинке показан пример работы Tycoon 2FA ✍️ Работает так: жертва заходит на фишинговую страницу, вводит свои учетные данные, которые перехватываются Tycoon 2FA, а сам запрос проксируется (направляется) к реальному сервису (например, Microsoft 365 или Gmail). Жертва думает, что все легитимно – в это время злоумышленник получает полный доступ к сессии 👺 Страницы выглядят абсолютно как оригинальные: динамически получают ответы от настоящего сервера, отображают запросы на код аутентификации, push-уведомления и т.д. Жертва не видит никаких отличий от легитимных сервисов. Платформа включает и средства уклонения от обнаружения: шифрование/обфускация (Base64, LZ компрессия, CryptoJS), проверку наличия отладчиков, капчу для фильтрации ботов и т.п. 🤖

А еще есть платформа PhaaS Sneaky2FA, которая также предназначена для обхода MFA за счет вставки адреса URL в так называемом окне "браузер-в-браузере" (Browser-in-the-Browser, BITB), то есть визуально подделывать окно браузера с адресной строкой, чтобы жертва видела “нормальный” легитимный URL. Обученные сотрудники могут обращать внимание на строку адреса, но если она выглядит корректно, то упс.

Стандарт NIST SP800-63 выделяет 3 уровня доверия к средствам аутентификации (AAL). Многофакторная OTP или даже многофакторная криптографическая аутентификация сами по себе, вне комбинаций, – это самый низкий, 1-й уровень доверия, в одном списке с паролями и кодами по SMS. В связи с этим стоит отметить, что сегодня MFA тоже бывают разные и их можно условно разделить на 2 типа – legacy и устойчивые к фишингу. Первые – это методы вроде SMS-кода 💬, push-уведомления, одноразовые TOTP-коды и др. Они уязвимы, потому что:
➡️ полагаются на пользователя, что он заметит фишинг или откажется от полученного запроса,
➡️ используют "общие секреты" или коды, которые можно перехватить, переадресовать или воспроизвести. Если система допускает ввод кода пользователем или нажатие одобрения – она уже может быть взломана 🤔

Уже даже известны случаи с passkeys/ключами, которые могут быть скомпрометированы (если используется синхронизация через облако или существуют fallback-механизмы, поддающиеся социальному инжинирингу).

Путь вперед – это "phishing-proof MFA", то есть многофакторная аутентификация с аппаратным FIDO-биометрическим фактором 🔠, принципиально не допускающим передачу кода или подтверждения пользователем (это уже третий уровень доверия AAL ). Аутентификатор должен быть аппаратный, требующий физического устройства и присутствия рядом (proximity). Такая модель исключает сценарии, когда жертва вводит код, нажимает "одобрить" или активируется push-запрос. При фишинге, где домен не совпадает, устройство отклонит аутентификацию 🤬 Штука это подороже будет, чем внедрять OTP или пуши. Поэтому большинство предприятий использует преимущественно AAL1 и реже AAL2. Но куда деваться – хакер не дремлет... Правда, в России такие не выпускаются вроде как.

Есть и еще один сценарий решения проблемы с обходимой MFA (если AAL3 дорог или невозможен) – аутентификация на уровне устройств 🤝 Во-первых, это незаметно для пользователя и человеческий фактор убирается вообще. Во-вторых, это позволяет решить задачу там, где нет пользователей (виртуальные машины, контейнеры, сетевые устройства и т.п.). Наконец, это работает там, где MFA не предусмотрена вообще. Так что варианты борьбы со способами обхода MFA есть... 🤔

#аутентификация #ttp

Читать полностью…

Какой из offensive-сертификатов круче? 🤔

#пентест #юмор

Читать полностью…

Ничего святого у мошенников. Max’ом прикрываются и просят его установить, если еще не 😂 Но как не знали они, как документы оформляются правильно, так и не знают. Хотя, честно говоря, организации и граждане этого тоже не знают. Так что win-win...

Ну и чтобы заметка не была повтором октябрьской про требования мошенников устанавливать Max, хочу дать ссылку на свежий разбор очередной схемы угона учетных записей в "старом мессенджере", пока еще не заблокированном на территории России Telegram. В последнее время таких случаев стало немало в моем окружении, так что будет полезно.

#мошенничество #мессенджер

Читать полностью…

После пары месяцев оценок, предположений и догадок, в инциденте с Jaguar LandRover 🐆 наконец-то появились конкретные цифры, подтвержденные и самой компанией и внешними солидными отчетами от Банка Англии и Национальной статистической службы Великобритании. Итого, вот что мы, точнее JLR, сейчас имеем:
➡️ Выручка за второй квартал 2025-го года составила £4,9 млрд; падение на 24% год к году. JLR прямо пишет, что выручка просела из-за остановки производства после киберинцидента, плюс небольшое свертывание производства старых моделей Jaguar.
➡️ Убыток до налогообложения составил −£485 млн за квартал, хотя в прошлом году в том же квартале фиксировалась прибыль £398 млн. То есть потери, условно, составили ~£883 млн.
➡️ Маржа EBIT: −8,6% (годом ранее она была +5,1%).
➡️ В финансовом отчете JLR прямые расходы на киберинциденте оцениваются в £238 млн.
➡️ Свободный денежный поток за квартал: отток −£791 млн, за полугодие −£1,5 млрд.
➡️ Для поддержки баланса после атаки JLR обеспечила дополнительные "подушки ликвидности" на £3,5 млрд, включая 1,5 млрд кредита от государства и около £500 млн ускоренных схем платежей поставщикам.
➡️ Государственный Cyber Monitoring Centre оценивает совокупный экономический ущерб (JLR + цепочки поставок + смежные бизнесы) примерно в £1,9 млрд и называет этот инцидент "самым экономически разрушительным киберсобытием в истории Великобритании" и относит его к категории 3 из 5 (systemic event).
➡️ По данным местного нацстата произошел 28,6% обвал производства транспортных средств в стране, что отняло 0,17 п.п. от месячного роста ВВП в сентябре и около 0,06 п.п. от прироста ВВП за весь 3-й квартал. ВВП UK в Q3 2025 вырос всего на 0,1% (после 0,3% в Q2); сам сентябрь дал −0,1% к ВВП. Официально подчеркивается, что ключевой фактор такого падения – именно падение производства автомобилей из-за инцидента ИБ у JLR. Банк Англии прямо пишет, что фактический рост ВВП в Q3 (0,2% по их оценке / 0,1% по оценке статрегулятора) оказался ниже, чем прогноз в августе 🤑

Да, автопроизводитель не "умирает", но удар по прибыли 📉 и cash-flow за один квартал сопоставим с многолетним прогрессом. Автопром стал ключевым драйвером слабости промышленного производства в стране и потянул вниз квартальный рост ВВП (я вот так сходу и не вспомню инцидентов, которые смогли ощутимо повлиять на ВВП). Ущерб £1,9 млрд – это именно макроэкономическая оценка (потерянная добавленная стоимость в JLR и по цепочке поставок), а не просто "счет за восстановления ИТ-инфраструктуры" 🚘 По масштабу инцидент не обошел UnitedHealth Group с его 3 миллиардами, но и без этого цифра солидная, а по влиянию на ВВП так все равно на первом месте.

#ущерб #недопустимое

Читать полностью…

А вы уже спланировали свою ближайшую субботу? Айда на мою лекцию в музей криптографии в 15.00? 🏃‍♂️

#обучение

Читать полностью…

После заметки о психологическом реактансе, то есть о реагировании на принуждение, несколько подписчиков попросили расписать, как это все применяется в кибербезе, что я и делаю 🤝 Надо признать, что в нашей сфере эффект психологического сопротивления проявляется даже сильнее, чем в других областях, так как большинство людей по-прежнему считают ИБ чем-то внешним, навязанным, а новые правила – "ограничением нормальной работы". Особенно плохо, если и вы сами считаете, что ИБ всегда мешает – тогда вы эту мысль бессознательно будете доносить и до людей, которые это будут считывать 🤯

Когда отдел ИБ увеличивает количество политик 📚, требований и запретов, сотрудники начинают их все (или их часть) игнорировать, искать обходы (думаете, "теневые ИТ" просто так появились), воспринимают ИБ как врага, а не помощника, выполняют требования формально. Аналогичная история с обучением и обязательными тренингами по повышению осведомленности. Если они воспринимаются как "меня считают некомпетентным", "меня заставляют тратить мое время" и "опять я прохожу очередной бесполезный курс ради галочки", то человек будет 😠 слушать вполуха, быстро забывает полученную информацию и воспринимает ИБ как навязанное сверху, а не реального помощника. Именно поэтому согласно исследованиям программы обязательного обучения в компаниях приводят к повышению реального соблюдения правил ИБ в среднем только на 10–15% 🤠

Когда ИБ работает по модели: "мы все запретим", "мы все контролируем", "вы должны следовать политике", то возникает банальный и прямо противоположный ожидаемому эффект – люди сами перестают думать о безопасности. Они перекладывают ответственность на ИБ, действуя по принципу: "Раз разрешили – значит можно. Если что-то случится – это не моя вина" 🖕

Что же работает на практике: ✍️
1️⃣Четкое объяснение "зачем". Человек лучше соблюдает требования, когда понимает, как это связано с его работой, как это защищает его лично (зарплату, данные, репутацию), какие инциденты уже происходили в похожих компаниях. Кейсы и истории работают лучше, чем правила.
2️⃣ Вовлечение сотрудников в разработку правил. Если сотрудника хотя бы спросили "что мешает безопасной работе?" и "как удобнее реализовать это требование?", то он начинает воспринимать политику как свою, а не спущенную сверху.
3️⃣ Оставлять людям выбор. Не "тренинг обязателен", а дать возможность выбрать один из трех форматов обучения: видео, мини-курс, практикум, выбрать удобное время и выбрать формат проверки знаний. Даже иллюзия выбора снижает сопротивление.
4️⃣ Минимизировать запреты, увеличивать помощь. Не запрещать, а давать безопасные альтернативы. Вместо: "Нельзя пользоваться личным облаком" лучше "Вот корпоративный сервис – он удобнее и безопаснее. Мы переносим ваши данные туда автоматически".
5️⃣ Делать безопасность частью культуры, а не набора правил. Когда сотрудники видят быструю реакцию ИБ на их запросы, помощь вместо наказаний и уважение и сотрудничество, то ИБ начинает восприниматься как партнер. Начните хотя бы предупреждать людей об утечках их паролей из сервисов, которыми они пользуются. Не знаете, какими они сервисами пользуются? А NGFW, SIEM, прокси вам на что?
6️⃣ Микро-обучение вместо "курсов на 2 часа". Лучшие форматы: сториз, короткие кейсы, комиксы, мини-ситуации по 1 минуте, контекстные подсказки ("Обнаружили подозрительный файл – вот что делать"), а также игры и квизы. Современные GenAI-сервисы прекрасно подходят для генерации короткоформатного креатива.
7️⃣ Позитивное подкрепление. Вместо "если нарушишь – оштрафуем" работает рейтинг безопасного поведения, внутренние награды, признание в команде, конкурсы "Кибер-грамотность недели".

Да, сотрудники действительно восстают против правил, особенно в кибербезопасности 👎 Но сопротивление – не проблема людей, а ошибка подхода. ИБ работает намного лучше, когда вместо давления используется другая формула: смысл → вовлечение → выбор → поддержка → позитивная культура 🤔

#стратегия #awareness #bestpractice

Читать полностью…

Ну что ж, поездка в Индонезию 🇮🇩 подходит к концу, пора и честь знать. Свою задачу я тут выполнил – про кибербез и ИИ рассказал, позитивом всех заразил, в каком направлении всем идти показал, кампусы местных ВУЗов изучил, местной спецификой напитался, язык подкачал (до этого момента 2 часа подряд на языке Беббиджа, Лавлейс и Тьюринга я не выступал), с правильными людьми вместе с коллегами повстречался. Даже награду какую-то вручили. За что, не знаю, но она займет свое достойное место на полагающейся для наград полочке. Теперь можно и в снег спокойно лететь из этих +31 🥵 Тем более, что и орущая из всех щелей последней гостиницы рождественская «Let It Snow» ☃️ как бы намекает…

Кстати, вы же знаете, что Индонезия является четвертой по численности населения страной мира после Китая, Индии и США. Но вы не знаете, какие планы у этого государства по количеству обученных специалистов по кибербезу, а я теперь знаю! С этим знанием и улетаю, чтобы вновь вернуться в страну, где я узнал, что такое Фаджр, и прочувствовал его на себе ✈️

Читать полностью…

На злобу дня…

#soc #ии #юмор

Читать полностью…

ЦСР выпустил уже очередной ежегодный прогноз развития российского рынка кибербеза 📈 Если верить этому исследованию, то наш рынок может вырасти до 968 млрд руб. к 2030 году при среднегодовом темпе роста в 21% (превышает показатели мирового роста ИБ в 11,8%). Не открытие, но основными драйверами роста станут импортозамещение и тренд на технологический суверенитет, что приведет и к снижению доли продаж иностранных вендоров до 4% (но есть подозрение что анализ не учитывает серый рынок, так как его сложно посчитать) 📊 Среди рисков эксперты ЦСР отмечают высокие ставки по кредитам, возможное сокращение налоговых льгот и ужесточение регуляторных требований.

Из интересного, по оценкам ЦСР в 2024 году организаций, занимающихся разработкой средств ИБ, было зарегистрировано более 300 📊 Это не стало для меня новостью – с момента публикования мной реестра российских игроков прошло уже 3 года и их число выросло примерно на 25%. А вот то, что общее количество компаний, занимающихся кибербезом, по состоянию на 01.01.2025, превысило 11,2 тысячи, стало для меня сюрпризом; не думал, что их так много 📈 Ну а с лидерами рынка ИБ, как вообще, так и в отдельных нишах, вы можете ознакомиться в самом отчете 👇

#рынок #статистика #отчет

Читать полностью…