Пост Лукацкого

🆕 Мы к вам с новостями. Во-первых, впереди четыре выходных (хоть суббота и рабочая). Во-вторых, новый выпуск подкаста «КиберДуршлаг» такой интересный — не оторваться. А в-третьих, команда, которая его делает, уходит на каникулы до сентября (не скучайте, скоро вернемся с новыми интересными выпусками). Гостем финального выпуска первого сезона стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies. Обсудили с ним тренды управления уязвимостями, влияние развития искусственного интеллекта на кибербезопасность, введение оборотных штрафов за утечки данных, а также опасности, которыми нам грозят баги в роботах-пылесосах и кардиостимуляторах. Смотрите на YouTube и слушайте на любой удобной аудиоплатформе. 🍂 До встречи осенью! #КиберДуршлаг @Positive_Technologies

Когда у сотрудников дубайского офиса 🟥 не только машины красные, но и вход в них по паролю. И потом не говорите, что вы не знаете, как реализовать многофакторную аутентификацию на автомобиле ☺️ Ключ/брелок - фактор владения, а пароль/PIN - фактор знания! Скоро, глядишь, на бортовом компьютере надо будет пароль вводить или голосовую идентификацию проходить, чтобы двигатель завелся. Пока у многих автопроизводителей голосовые помощники просто используются для удобства 🚗

На GISEC разговорился с одним человеком, который высказал мысль, с которой я не могу согласиться. Он считает, что если система скомпрометирована и есть подозрение на нахождение внутри злоумышленника 👿, немедленный патчинг внешних уязвимостей должен помочь в данной ситуации. Я же считаю, что патчинг скомпрометированных систем в принципе не может спасти ситуацию и, скорее, ее усугубляет, создавая иллюзию защищенности! 😈 Если хакер сидит внутри инфраструктуры, надо локализовывать его, не давая развивать наступление 💻 и расширять плацдарм, затем выносить из инфраструктуры, потом определить точку входу и причину успешной компрометации, и только потом устранять ее, в том числе и за счет установки патчей и выстраивания процесса управления активами и уязвимостями. Но просто установка патчей, увы, не спасет! 🕳 На GISEC, на одном из стендов, увидел слоган компании, которая занималась борьбой с утечками, - "Надо защищать данные, а не периметр!" Если не фокусироваться на первой части, то слоган очень хорошо 🤔 описывает ситуацию, когда мы дофига ресурсов тратим на защиту внешних границ, а когда компанию пробивают тем или иным способом, то специалисты по ИБ разводят руками, а то и вовсе не верят в это, считая свои бастионы неприступными. Но нет... 😯 Мы на GISEC в течение трех дней давали всем желающим проверить защищенность своего периметра с помощью сервиса PT Knockin 👊, который просто отправляет e-mail с обеззараженным вредоносом на корпоративную почту. Каково же было удивление многих ИБшников, которые, считая, что их почта защищена от проникновения, получали прошедшее через все преграды письмо ✉️ "с приветом". А если бы оно было не обеззаражено? Поэтому периметр периметром, но стоит думать и о том, что делать, если все-таки инфраструктура скомпрометирована. Вы же в курсе, что делать? 💪

Помните кейс с американской компанией Ring (дочка Amazon), которая через свои системы видеонаблюдения скрытно наблюдала 👀 за женщинами в спальнях и ванных? Федеральная торговая комиссия (FTC) в прошлом году вынесла решение против Ring, заставив ее заплатить пострадавшим компенсацию за утечки персональных данных. И вот на днях FTC заявила, что она выплатила 5,6 миллиона долларов в виде 117 тысяч PayPal-транзакций 📱 Это хороший пример, как можно было бы решить историю с предложением Минцифры по компенсациям за утечки персональных данных. Не перекладывать это на субъекта ПДн, а взять на себя. Сам наказал (через подведомственный РКН), сам получил штраф, сам перевел деньги пострадавшим. Тем более, что сумма не очень большая. В конце концов именно Минцифры отвечает за госполитику в области ПДн в России и кому, как не ему, взять на себя эту функцию 💡 Сами граждане не будут заморачиваться общением с оператором ПДн и истребовать из него мизерную компенсацию (в случае с Ring, примерно, по 40+ долларов на человека). А вот если это делает государство (как FTC в случае с Ring), то схема может и заработать... 😅

Был у меня как-то кейс, который привел к кардинальной смене мной и используемой техники, и отношения к хранению данных. У меня накрылся SDD на ноутбуке 💻; причем достаточно серьезно, без возможности восстановления. Диск был зашифрован и никто не смог помочь мне восстановить данные. Система резервного копирования на Винде у меня была установлена компанией, но из-за ее тормозов в процессе индексации и синхронизации данных, я ее в какой-то момент отключил и получил ценный урок 💡 В результате я поменял ноут с виндой на макбук, в котором Time Machine - это просто верх удобства резервирования данных. Действительно "настроил и забыл". Но страх потерять данные все-таки остался и я стал пользоваться правилом, которое, как я позже узнал, называется "3️⃣➖2️⃣➖1️⃣". Это стратегия, предложенная фотографом Питером Крогом, который так спасал свои фотографии от потерь (саму концепцию он взял у ИТшников): 3️⃣ - столько должно быть копий данных (например, ПК, облако, флешка) 💻 2️⃣ - столько должно быть различных носителей данных (например, жесткий диск ПК и внешний HDD или облако) 🌩 1️⃣ - столько должно быть копий в удаленном месте, вне офиса или дома; в зависимости от основного места вашей работы, (например, в облаке или NAS). В корпоративной среде такое правило тоже применимо, но только для самых ценных данных (поэтому так важна классификация информации в компании). При этом стоит помнить о ряде важных нюансов: 1️⃣ Это поможет и для защиты от шифровальщиков в том числе! 2️⃣ Резервируя данные, не допустите, чтобы и бэкапы были тоже зашифрованы. 3️⃣ Не забывайте регулярно проверять, что вы можете получить доступ к бэкапам и, если вы используете специфический формат или шифрование, восстановить данные. 4️⃣ Храня данные в облаке, уточните, кто будет считаться их владельцем и что облачный провайдер с ними может делать (например, обучать свой ИИ)? Ну и про санкции не забудьте... Тут, конечно, можно еще накрутить "цифр", например, учитывая хранение данных в стране нахождения и за ее пределами, но это уже для иноагентов параноиков.

Positive Technologies подвела итоги года с точки зрения зафиксированных 🟥 в прошлом году киберугроз. Подразделение Mandiant американской Google тоже сделало это, выпустив свой отчет M-Trends 2024. Но они, как это делают почти все ИБ-компании Нового Света, замесили все в один документ, который насчитывает под сотню страниц, что делает непростой задачу его чтения. То ли дело у нас - каждой теме свой отчет - хошь по угрозам за год, хошь по угрозам в ритейле, хошь по APT на Ближнем Востоке (очень хорошо зашло во время GISEC). А скоро будет еще один - про результаты работы наших пентестеров. Тем интереснее сравнивать то, что пишут в Mandiant с тем, что происходит у нас. Один из основных показателей в отчете американцев - так называемое dwell time, то есть среднее время, которое есть у хакера, находящегося во внутренней инфраструктуре, пока его не заметит служба ИБ. За год этот показатель снизился с 16 дней до десяти. Что характерно, аналогичные цифры и у 🟥. Также совпадают у нас и показатели работы пентестеров - редтимерам Mandiant удается проникнуть в инфраструктуру за 5-7 дней, а "бойцам" ПТ на это требуется от 1 до 7 дней; минимальное время захвата контроллера домена у нас - 6,5 часов. К слову сказать, чтобы эффективным у службы ИБ время обнаружения и реагирования (TTR) должно быть меньше времени атаки (TTA) - в противном случае APT будут постоянно резвиться у вас в инфраструктуре. Основной вектор атак по версии Mandiant - эксплойты. Фишинг обосновался на втором месте, третий - компрометация через ранее купленные доступы, затем идут украденные креды, а на пятом месте - подбор пароля. По данным 🟥 пятерка распределяется иначе: 1️⃣ Вредоносное ПО 2️⃣ Социальный инжиниринг, включая и фишинг 3️⃣ Эксплойты 4️⃣ Компрометация учетных данных 5️⃣ DDoS. Кстати, именно через скопрометированные учетные записи от приложений, позволяющие персоналу удаленно подключаться к сервисам, и была взломана UnitedHealth Group, заявившая об инциденте стоимостью около 2 миллиардов долларов. Из других тенденций, о которых пишет подразделение Google, которое взламывали в январе 2024-го года и которое троллили LockBit в 2022-м якобы имевшей место утечкой, можно назвать: 1️⃣ Фишинг эволюционирует и хакеры начинают использовать такие каналы как соцсети и мессенджеры (мы про это тоже писали) 2️⃣ Рост кейсов с обходом многофакторной аутентификации 3️⃣ Рост числа атак на облачные инфраструктуры 4️⃣ Использование ИИ в деятельности красных и фиолетовых команд (как по мне, так этот "тренд" - просто дань моде) 5️⃣ В 2023-м появилось 719 новых APT, которые отслеживает Mandiant. На мой взгляд это дурацкая метрика, так как сегодня каждый хакер создает новую "армию", один раз кого-нибудь дидоснет и затихает. А уж число группировок, появившихся в отчет на конфликт Израиля и ХАМАС, и вовсе зашкаливает. Так что не показатель, но общее число отслеживаемых группировок в 4000 штук выглядит солидно. Вообще в отчете Mandiant много всяких циферок, так что есть в чем залипнуть 👇, пока не подоспела новая аналитика от 🟥

Пример того, как компания реагирует на инцидент, поворачиваясь лицом к клиентам и партнерам, а не засовывая голову в песок. UnitedHealth Group, которая прогнозирует почти 2 миллиарда потерь от кибератаки, запустила отдельный сайт для пострадавших.

Интересные плакаты на автобусных 🚌 остановках в Москве стали вешать. Похвально, что на эту проблему стали обращать внимание рядовых граждан, активно пользующихся общественным транспортом и часто и становящихся жертвами мошенников. Меня в данном случае заинтересовала рекомендация позвонить в 112. У операторов 📞 "Службы 112" реально есть плейбук на действия при таких звонках? Они знают, что спрашивать у граждан, которые звонят с заявками на мошенников? И они знают, что делать потом, как сообщать в систему "Антифрод"? Вот прям интересно 🤔