Пост Лукацкого

В России аббревиатура CISO часто звучит как «ЦИ-СО» или «СИ-СО». Интересно, что в ОАЭ 🇦🇪 это звучит как «СИ-ЗО».

АНБ обновило набор национальных криптографических 🤒 стандартов (Commercial National Security Algorithm Suite 2.0, CNSA 2.0), распространив обновления на операторов и владельцев национальной системы безопасности (NSS) и военных (DIB) в обязательном порядке (остальные могут применять их по своему желанию). Изменения связаны с включением в CNSA 2.0 новых, квантово-устойчивых алгоритмов ⚛️

Можно было бы опять написать про выбор правильной модели нарушителя, а можно и про правильную настройку 🛠пороговых значений у средств мониторинга… А можно просто радоваться жизни 😂 и продолжать готовиться к PHD2

Хорошая попытка зафишить спикеров RSA Conference ✉️

Странные люди в этой Okta работают. Их ломали 4 раза уже 🔓, но при этом они выкладывают в паблик презентации с пометкой CONFIDENTIAL. Но не забывают запилить целый слайд мелким шрифтом с отказом от ответственности и остальным бла-бла-бла... Какое-то странное отношение к кибербезопасности 😠

Возвращаясь к позавчерашней статистике Mandiant, есть и другие цифры; на этот раз от PaloAlto Unit42. У этой компании на первое место в числе причин успешных атак выходит социальный инжиниринг, включая фишинг (42%). На втором месте - использование уязвимостей (31%), на третьем, с 15%, - компрометация учетных данных 🗡 А вот шифровальщики, по данным Unit42, в основном использовали эксплойты (48%) и подбор пароля (20%); последний преимущественный для RDP, который использовался в 40% всех заражений ВПО 🔓 VPN-шлюзы тоже в прицеле - в 50% на смотрящих в Интернет криптошлюзах почему-то отсутствовала многофакторная аутентификация, что вкупе с подбором пароля представляет открытые ворота для злоумышленников 🥅 Уходя на майские праздники, можете ли вы положительно ответить на следующие вопросы: ✔️ Вы уверены, что ваш корпоративный почтовый сервер готов к тому, что когда хакеры постучатся в него "тук-тук" (knock-knock), он сможет противостоять им? PT Knockin вам в помощь. ✔️ Вы уверены, что у вас выстроен процесс поиска и устранения хотя бы публичных торчащих уязвимостей, а также анализа незакрытых портов и сервисов? СКИПА от CybeOK или Censys и Shodan вам в помощь. ✔️ Вы уверены, что отслеживаете утекшие пароли ваших сотрудников. Сервис НКЦКИ вам в помощь. ✔️ Вы уверены, что у вас пропатчен RDP и он пробрасывается через VPN? ✔️ Вы уверены, что у вас включена MFA на доступных извне сервисах доступа внутрь инфраструктуры (VPN, RDP, SSH и т.п.)?

Помните, в ФЗ-152, в ст.19, есть требование, что ПДн должны быть защищены от несанкционированного уничтожения, модификации, распространения, доступа и т.п. И все защитные меры, описанные в ПП-1119 и в 21-м приказе, не делают большой разницы между ними. А вот согласно исследованию CrashPlan и SANS, эта разница существует: 1️⃣ В случае утечки данных основной риск (в широком смысле) является репутационным для почти всех типов защищаемых данных, не только персональных (финансовых, интеллектуальной собственности, технических и т.п.) 2️⃣ Операционный риск является основным при уничтожении или модификации данных. 3️⃣ Риск нарушения законодательства во всех случаях играет несущественную роль. Последний вывод, наверное, самый важный. Я не призываю нарушать законодательство, но оно точно играет самую последнюю роль при принятии решений в отношении защиты ценной для организации информации.

Эксперт по OSINT разоблачил видео девушки, которая пишет, что она купается 🏊‍♀️ в 5.30 утра в французской Ницце. Оказалось, что купается она не в 5.30, а в 6.04 утра. Если не придираться к тому, что девушка могла зайти в воду в 5.30, отплыть от берега (а видно, что она далеко от него) и снять видео (и тогда вполне возможно, что время будет таким, какое разоблачает Тревор), то вокруг OSINT ходит много всяких мифов и легенд и используют его часто в каких-то личных задачах - пробить девушку, узнать адрес или реальное имя, доказать фейковость и т.п. 🔍 Но OSINT может применяться не только против отдельных лиц, но и против компаний. И не только для изучения их слабых мест, но и для оценки площади атаки и ее снижения. Кто-то называет это Digital Risk Protection, кто-то корпоративным OSINT, кто-то да как только не называют. Суть не в названии, а в содержании и в том, занимается этим ИБ или нет. Мы, кстати, про это будем говорить на PHD2 и... что оооочень интересно, в дискуссии будет принимать участие ФСТЭК 🏛, которая подготовила проект требований по этой теме. Так что если вам интересно, что вас ждет и как это можно реализовать, то вы знаете, где об этом услышать.

В рамках сдачи экзамена на CISSP, среди множества доменов, которые надо изучать, есть и такой - физическая безопасность. Однако, нередко, ИБшники его игнорируют, считая, что это тема для специалистов служб обычной безопасности, которым и надо заморачиваться охраной, решетками на окнах, обходом периметра и т.п. 🚪 Но на мой взгляд недооценка вопросов физической безопасности может привести к достаточно печальным последствиям, например, таким как в недавней истории с "Вкусно и точка" или более древним кейсом с NASA, в сети которой было обнаружено также устройство на базе Raspberry PI, которое перехватывало и передавало наружу конфиденциальную информацию 🤬 Поэтому стоит обращать внимание на следующие моменты (самостоятельно или делегируя их в другие подразделения с соответствующим обучением): 1️⃣ Реализация требований той же ФСБ к защите помещений (но без фанатизма и выполнения невыполнимого) 2️⃣ Ежедневный осмотр офисного пространства на предмет посторонних устройств (можно поручить уборщицам) 3️⃣ Блокирование перемещения по физическому пространству офиса за счет наличие кодовых замков на этажах и между ними 🏠 4️⃣ Контроль доступа в облачные среды и арендуемые ЦОДы 5️⃣ Контроль IoT-устройств (термостаты, СКУДы, видеонаблюдение, СмартТВ и т.п.) 6️⃣ Контроль наклеенных стикеров с паролями 7️⃣ Запирание/приковывание устройств в удаленных локациях или у мобильных сотрудников 🤒 8️⃣ Интеграция СКУД с системами контроля доступа в инфраструктуру 9️⃣ Защита систем видеонаблюдения и их данных, чтобы не повторилась история с немецким миллиардером Хаубом 1️⃣0️⃣ Готовность системы видеонаблюдения для проведения расследований инцидентов ИБ

Ассоциации компаний по защите и хранению персональных данных неплохо было бы сначала изучить закон о персональных данных и правоприменение по нему. Тогда они разместили бы у себя на сайте хотя бы политику в отношении персональных данных и расписали бы согласие на их обработку чуть более конкретно. Пока это сраный стыд 🤠 Мой предыдущий пост про эту, так сказать, "ассоциацию" был верен 🤮 К слову, напомню, что RPPA появилась задолго до!