Пост Лукацкого
Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!
Більше23 834
Підписники
+1524 години
+1107 днів
+30730 днів
Час активного постингу
Триває завантаження даних...
Find out who reads your channel
This graph will show you who besides your subscribers reads your channel and learn about other sources of traffic.
Аналітика публікацій
| Дописи | Перегляди | Поширення | Динаміка переглядів |
01 Не отпускает меня тема SIEM следующего поколения 😠 Если посмотреть за новости про Splunk, QRadar (у народа в англоязычной блогосфере прям подгорает и все уже поставили крест на этом продукте), Exabeam и LogRhythm, то можно обратить внимание на то, как инвесторы начали вкладываться 🤑 в NG SIEM (конечно же на базе ИИ):
💵 Апрель 25 - Dropzone AI | $17М
💵 Апрель 23 - Prophet Security | $11М
💵 Апрель 18 - Anvilogic | $45М
💵 Апрель 9 - StrikeReady | $12М
Ну и тема автономных SOCов тоже начинает набирать обороты - компании из этой сферы (все вышеназванные, а также нижеперечисленные компании из этой же области) анонсировали новые версии своих решений:
🆕 Апрель 24 - Intezer Autonomous SOC
🆕 Апрель 23 - Torq HyperSOC
Я тут участвовал в выпуске исследования по этой теме и могу сказать, что сейчас почти все игроки рынка SOC/SIEM идут в этом направлении. По крайней мере те, кто смотрит вперед 🖥 | 2 493 | 24 | Loading... |
02 Владельцам SonicWall (если таковые у нас еще остались) напрячься… | 3 017 | 10 | Loading... |
03 Джек предлагает (англ) отказаться от использования термина SLA 🪫 при обсуждении уязвимостей и патчей. А то, ишь, ссылаются все на SLA по установлению обновлений, а за это время хакеры успешно, и не по одному разу, успевают взломать организацию. Им вообще пофиг на SLA ваших ИТшников, KPI SOC и т.д. Джек предлагает использовать вместо SLA термин AIT (Accepted Insecure Time), то есть "разрешенное время незащищенности" ⚠️
AIT совершенно иначе звучит - никакой недосказанности и скрытости. Более того, сразу понятно, что это некий баланс между возможностями ИТ и скоростью появления уязвимостей. Ну и слово "разрешенное" тоже подразумевает, что этот временной промежуток кто-то утвердил, то есть есть вполне конкретное лицо, несущее ответственность. Есть о чем подумать? 🤔 | 3 522 | 40 | Loading... |
04 Не секрет, что одной из проблем ИБ, приводящей к успешным инцидентам 🛡, является использование уязвимого ПО, которое не патчится вовремя. А не патчится оно в том числе и потому, что уже не поддерживается производителем ⚰️ Отчасти поэтому в недавно вступившем в силу EU Cyber Resilience Act прописан 5-тилетний период выпуска обновлений к продукту с момента покупки (не выпуска!). У англичан 🇬🇧схожие требования. Это еще не гарантия их установки, но уже первый шаг 👣
Американская CISA тоже озаботилась проблемой EOL/EOS (End of Life / End of Sale) программного обеспечения и ростом числа уязвимостей в таком неподдерживаемом ПО. Поэтому помимо установления требований ✔️ по конструктивной безопасности (security by design), она стала инициатором подписании меморандума с 68 вендорами, которые обязуются обеспечить 🫵 установку клиентами выпускаемых обновлений.
А еще есть парочка инициатив, которые помогают решать эту проблему. Например, сайт endoflife.date, на котором собраны даты EOL ⏳ по многим продуктам (чтобы не искать их на сайтх производителей, что бывает непросто). Да, там 🖥 не весь софт и там точно нет отечественного ПО 🇷🇺, но хоть что-то.
Еще есть OASIS OpenEox TC (openeox.org) - машинно-читаемый формат для автоматизации ⚙️ работы с датами EOS. Если бы вендора его поддерживали, то данную информацию можно было бы подгружать в свои инструменты управления ИТ 📞 или ИБ и проактивно готовиться к завершению жизненного цикла программного продукта 🔜
Мне кажется, что Минцифры могло бы взять эту тему на себя и расширить 🔄 данными по EOS/EOL реестр отечественного ПО, включив в него и поддержку OpenEox. Это, кстати, не так уж и сложно реализовать, включив в соответствующие правила включения ПО в реестр 🇷🇺. Сложнее отслеживать эту информацию на постоянной основе, но было бы желани. 🌎 Такой пункт неплохо бы смотрелся в списке тех, что вчера Минцифры озвучило на "Дне экономики данных". | 3 784 | 25 | Loading... |
05 В ближайшем Standoff, конечно, уже не поучаствовать, но на осенний еще можно успеть подать заявку 🥳
ЗЫ. Я когда задавал вопрос про читерство на киберучениях, не думал, что услышу, что такое бывает ☺️ | 3 525 | 2 | Loading... |
06 🧢 Продолжаем серию интервью о том, зачем синим командам участие в кибербитве Standoff
Гостями студии стали капитаны команд, которые поняли о жизни все много раз вставали на защиту различных отраслей виртуального государства F: Максим Шалыгин из You Shell Not Pass, на счету которой семь (!) кибербитв, и Алексей Медведев из Command and Defend, участвующей в битве уже в третий раз. А также Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Standoff.
Ребята обсудили, для чего каждый из них раз за разом ведет свою команду на кибербитву, держите пару цитат.
«Мы не просто так защищаемся, а для того, чтобы это приносило какую-то эффективность бизнесу; меняем стратегию, схему работы, и если что-то получается успешно, это внедряется в работу SOC на предприятии», — рассказывает Максим.
«Кибербитва — лучший способ быстро обучить сотрудников обнаруживать и расследовать события кибербезопасности, состав команды каждый год меняется, так что у нас учатся все», — добавляет Алексей.
Поговорили и о том, как оценивать результаты работы синих команд (ведь скоринга, как у красных, у них нет), каким образом им помогают менторы до, во время и после кибербитвы (массаж они не делают, это выяснили точно), как различаются атаки хакеров на Standoff и в реальной жизни, чем чревато читерство с использованием чужих кредов и сможет ли однажды ИИ заменить живых аналитиков.
Заинтригованы? Смотрите интервью целиком по ссылке. | 3 580 | 10 | Loading... |
07 На анонимной биометрии завис... | 4 334 | 34 | Loading... |
08 Ну и снова про M&A-сделки. Погрузился тут в задачу Due Diligence 🔍 поглощаемых компаний с точки зрения кибербезопасности. Я про эту тему уже писал в 2008-м году, а тут пришлось вновь сдуть пыль с этой темы. И вот, как по заказу, на RSAC наткнулся на мини-план проведения due diligence по вопросам кибербезопасности в сделках слияния и поглощения (M&A) 🤝 Если собрать все на одном слайде, то выглядит хоть и высокоуровнево, но вполне себе 👍
ЗЫ. Тем временем рынок тоже ошарашен сделкой IBM и PaloAlto 🙄 | 4 495 | 27 | Loading... |
09 В продолжение предыдущей заметки, про консолидацию 🤗 За последнюю неделю произошло несколько знаковых событий на рынке слияний и поглощений в сегменте SIEM. IBM договорился о продаже своего SIEM-бизнеса (QRadar) компании PaloAlto. При этом, утверждается, что цель покупателя - не технология, а клиентская база, которой предложат решение PaloAlto Cortex XSIAM. Как по мне, так это звучит достаточно прямолинейно - QRadar приказал долго жить ⚰️
Вторая новость также из разряда сенсаций - сливают еще двух лидеров магического квадрата Gartner по SIEM - решения LogRhythm и Exabeam. Сливают не в смысле бросают, а в смысле объединяют 🤝 На базе кого будет строиться новый продукт пока неизвестно. Ранее, в 2023-м году, за почти три десятка миллиардов долларов Cisco купила Splunk.
По опыту могу сказать, что поглощение компании, - это всегда проблемы для обеих компаний, которые длятся не менее года ➕, иногда больше (иногда поглощение вообще заканчивается плохо для обоих, хороня оба бизнеса). Полгода с момента объявления уходит на согласование 👌 сделки с антимонопольными службами. Потом начинается интеграция процессов, людей, технологий компаний. Все это время поглощаемый продукт не очень развивается, 💻 так как никто не знает, останется он в компании или нет (продукт и люди).
Поэтому на рынке SIEM сейчас будет движуха 🏎 SIEM NG почувствуют, что перед ними открылось окно возможностей, и начнут активно продвигать свои решения. Ну а владельцам SOCов стоит задуматься... Я пару лет назад уже писал большой материал про миграцию с одних решений в SOC на другие. Но тогда это было в контексте импортозамещения. Сейчас причина другая, но последовательность будет та же 🎮 | 4 541 | 28 | Loading... |
10 SentinelOne тут на RSAC сделала некоторые прогнозы на 2️⃣0️⃣2️⃣4️⃣ год. Да, это такой больше американский взгляд 🇺🇸 на происходящее, но в целом он схож с тем, что наблюдается и у нас. Потеря доверия к информации и ее источникам, рост кибератак на системы выборов в разных странах, применение ИИ обеими сторонами (нападающими и защищающимися), государства уходят в нападение (offense) 🎩
Вот последняя тенденция - консолидация рынка ИБ подтверждается последними слияниями и поглощениями. Вот для России этот тренд пока не актуален - M&A-сделки у нас ооочень редки, тем более крупные. Хотя до конца года и стоит ждать некоторое количество анонсов 📣 | 4 305 | 7 | Loading... |
11 Тут вот коллеги пишут, что надо бы вести реестр ✍️ взломанных ИБ/ИТ-компаний и сообщать об этом 📞 их заказчикам, чтобы взломанные не отмахивались, а бежали срочно исправлять свои косяки.
Идея так себе, если честно. Это уже было с утечками ПДн 🚰 Были компании, которые бегали по рынку и сообщали "у вас утечка". А клиенты думали (и не всегда ошибались), что им пытаются впарить свои услуги. Так и тут будет. Одно дело, в частном порядке, по-дружески предупредить, когда тебе стало известно (без гарантии, что напрягутся), и совсем другое - централизация такой затеи 😏
А вот второй абзац более правильный и могу сказать, что этот механизм уже есть. Достаточно сообщить о взломе ИТ/ИБ-компании 🔓 в ФСТЭК или НКЦКИ и там, как правило, быстро находятся способы повлиять на тех, кто игнорирует свою безопасность и своих клиентов. Сертификат приостановить, например, или лицензию ☺️ Или запись из реестра отечественного ПО на время удалить. После этого об этом узнают СМИ ☕️ и новость быстро расходится по рынку, что заставляет компании-жертвы сразу начать бегать.
Я даже могу сказать, где процесс взаимодействия с регуляторами можно обсудить - на PHD2. У нас будет секция 24-го мая "OSINT по-взрослому" с Виталием Лютиковым (ФСТЭК России), где будут обсуждаться вопросы, как компании "видны" хакерам извне. А вторая секция "Сервисы ИБ от государства для граждан" 25-го мая с участием Евгения Хасина (Минцифры) и Алексея Новикова (НКЦКИ) будет посвящена а вот чем она будет посвящена вы узнаете на секции. Я не хочу пока раскрывать интригу ☺️ | 4 645 | 17 | Loading... |
12 Американцы 🇺🇸 не унимаются. Idaho National Lab, структура МинЭнерго, занимающаяся различными исследованиями и тестированием ПО и железа в области электроэнергетики, прогнозирует, что скоро вся (как минимум, американская) энергетика уйдет в облака 🌩 Странные они. Сейчас их, даже "изолированные" системы водоснабжения 🚰 ломают в хвост и в гриву, а утечки из облаков происходят сплошь и рядом. Что же тогда будет, когда розетка 🔌 будет в облаке Microsoft, Amazon или Google?.. 🧐
У нас при этом даже без облаков есть инциденты ИБ. Вот, например, история в Вологодской области, где бывший работник удаленно подключился со свого личного ноутбука 😷 к рабочему компьютеру и также удаленно отключил воздушные линии электропередачи, предварительно внеся изменения в конфигурацию оборудования, что сделало невозможным их удаленное включение. В итоге 38 населенных пунктов было отключено от электроснабжения 🔋 Самый гуманный суд в мире дал преступнику 2 года условно и конфисковал личный ноутбук 🖥 в доход государства. | 4 928 | 44 | Loading... |
13 Пишут, что Евросоюз 🇪🇺 хочет выпустить новые требования по кибербезу в отношении участников отрасли электроэнергетики ⚡️ (в EU бешеный принтер начинает работать, как у нас Госдума - это, похоже, удел всех крупных государственных образований на определенному уровне стагнации развития) 🎸 Если к требованию уведомлять об инцидентах в течение 24-х часов вопросов нет - уже привычная история везде, то как оценка защищенности раз в 3 года поможет защитить от инцидентов я не понимаю 😮 Европейцы тоже не поясняют связь одного с другим 🤬 | 5 231 | 11 | Loading... |
14 Группа GhostSec 👻 пишет о том, что они покидают сферу киберпреступности, основанную на финансовой мотивации. Основные моменты из их анонса:
👻 Уход из киберпреступности: GhostSec заявляет, что они накопили достаточно средств для продолжения своей деятельности и больше не видят необходимости заниматься вымогательствами, которыми они были известны ранее. Они намерены вернуться к хактивизму! 👻
👻 Закрытие сервисов: Группа прекращает предоставление своих услуг, включая закрытие каналов и сервисов GhostSec. Также они закрывают разработку своего шифровальщика Ghostlocker, передавая третью версию его кода группировке Stormous и перенаправляют всех покупателей Ghostlocker на Stormous 🌪
👻 Передача контроля: Группировка Stormous войдет в альянс "Пяти семейств" вместо GhostSec, которые совсем уходят со сцены финансово мотивированной киберпреступности (вымогательства).
👻 Разное: GhostSec продолжит поддерживать 👻 свой приватный канал и чат. Они также рассматривают возможность создания и предоставления курса по хакерству, но пока это находится в стадии обсуждения 👨🏼🏫
Группа выражает всем благодарность 👻 за поддержку и заявляет о намерении сосредоточиться на работе, направленной на улучшение мира, призывая своих последователей бороться за то, во что они верят 👻
Звучит все красиво 😍 Хотя мне кажется, что причина такого анонса более чем прозаическая на фоне проблем у LockBit, перехвата управления форумом BreachForums и других активностей правоохранительных органов многих стран против вымогателей 🫡 | 5 243 | 17 | Loading... |
15 Привет!
❓ Как регулируется рынок информационной безопасности и какие нормативные акты и требования нужно знать при работе с клиентами Positive Technologies?
Алексей Лукацкий, бизнес-консультант по безопасности в Positive Technologies, расскажет вам об этом за 1 час в рамках нового курса “Регулирование рынка ИБ: от законов до наказаний”.
На курсе вы узнаете:
✔️как устроено законодательство в области ИБ;
✔️кто является основными регуляторами и за что они отвечают;
✔️какие нормативные акты необходимо знать при работе в сфере ИБ и где найти подробные требования этих актов;
✔️как определить, какие требования по защите информации применимы к вашей организации и как их правильно реализовать;
✔️как убедиться, что система защиты, созданная в вашей организации, соответствует всем требованиям регуляторов и действительно обеспечивает кибербезопасность.
Пройти курс “Регулирование рынка ИБ: от законов до наказаний”
Если вы ещё не зарегистрировались на портале обучения, пожалуйста, напишите в бот @PT_edu_help_bot
Посмотреть другие курсы: https://info.edu.ptsecurity.com
С уважением, Positive Education | 5 500 | 122 | Loading... |
16 Если вы хотите узнать какие-нибудь новости про нормативное регулирование в области ИБ, то PHD2 - это последнее место, где вы это можете узнать. Выступлений по данной тематике там не будет ☺️ А вот в новом бесплатном мини-курсе, длительностью всего 1 час, который я записывал некоторое время назад, а мои коллеги из департамента образования 🟥 выложили на портале, можно быстро получить обзор ключевых моментов, связанных с отечественным законодательством в области ИБ. | 5 184 | 12 | Loading... |
17 Сбер предлагает проверять телефоны на мошенничество 🥷 Меня, к счастью, в их базе нет. Я бы запилил какой-нибудь виджет и код для вставки на сайты, чтобы можно было его вставлять на каких-нибудь маркетплейсах, Интернет-магазинах и т.п. ресурсах с массовым посещением или с вероятностью наткнуться на мошенников. И польза была бы и реклама Сберу. А так ходить каждый раз при подозрение на сайт, ссылку на страницу которого еще и запомнить надо... 😯 Нууу такое. Но может это только первый шаг и это в планах у зеленого банка? 🍿 А если бы еще и по API давать проверять эти данные... | 5 873 | 46 | Loading... |
18 Ну и еще одна очередная схема от мошенников, за сообщение о которой спасибо подписчику 🤝 | 6 216 | 178 | Loading... |
19 Вот так сидишь, смотришь вдаль, думаешь о будущих угрозах, о том как мошенники с дипфейками 🎭 наперевес начнут названивать и обманывать доверчивых граждан. А тут, бац, и все гораздо проще, - просто поставь за спиной баннер с надписью "Сбер" и все - социально незащищенные слои населения 👨🏻🦳 у тебя в кармане | 5 687 | 16 | Loading... |
20 🦹♀️ Мошенники начали звонить по видеосвязи
Ну, чем не Том Круз сотрудник Сбербанка? 👆Верхнесалдинская полиция сообщила об очередной жертве злоумышленников.
3 мая 60-летнему салдинцу поступил звонок на WhatsApp. Молодой человек представился сотрудником банка и рассказал самую популярную байку, типа "вашим счетом завладели и пытаются похитить все деньги".
Увидев офисного сотрудника на фоне баннера, мужчина проникся доверием и ... перевел на "безопасный счет" 740 тысяч рублей. Ну а дальше вы уже знаете - денег нет, и абонент недоступен.
Запускайте по семейным чатикам 🤳 Берегите своих близких! | 5 684 | 304 | Loading... |
21 На RSAC, которая была во многом посвящена ИИ 🧠, эксперты задавались вопросами о том, насколько можно доверять моделям ИИ и как их защищать от различных атак. Вот одна из матриц оценки рисков для публичных, частных, но выложенных в паблик, и закрытых моделей машинного обучения. Чем-то похожа на баталии сторонников open source и проприетарного ПО ⚔️
Поэтому в тему еще один анонс с RSA - Cloud Security Alliance 🌦 выпустил 4 руководства по внедрению ИИ:
➖ AI Organizational Responsibilities - Core Security Responsibilities,
➖ AI Resilience: A Revolutionary Benchmarking Model for AI
➖ Principles to Practice: Responsible AI in a Dynamic Regulatory Environment
➖ Confronting Shadow Access Risks: Considerations for Zero Trust and Artificial Intelligence Deployments | 5 871 | 31 | Loading... |
22 Интересно, много ли в Израиле 🇮🇱 компаний, который одновременно работают в области нацбезопасности, АСУ ТП и кибербезопасности?.. 🤐 А ценник очень небольшой!
И это не Zscaler и не Dell, взломанные недавно. Число ИБ-компаний, а также имеющих к ним регуляторов (Европол, а также ФБР, про которую вроде тоже написали, что взломали, 🔓 но там пока все как-то тухло с доказательствами и признанием), что-то опять стало расти. Расслабились все, деньги на маркетинг для RSAC тратят, а не на собственную ИБ. Вот и получается "сапожник без сапог" 🫡 | 5 723 | 5 | Loading... |
23 Когда Комиссия по ценным бумагам США (SEC) ввела требования по отчетности о серьезных инцидентах, то никто не думал, что с требованием определения "серьезности" возникнут вопросы, но они возникли 😔 Какие критерии "серьезности"? Где та грань, когда бизнес должен начать сушить сухари напрягаться? 😦
На RSAC про это было несколько докладов, где разные консультанты, включая и сотрудников SEC разъясняли правила, когда "да", а когда "нет". Я когда слушал это все, у меня прям дежавю было. Примерно тоже самое было, когда Минцифры ввело требования по недопустимым событиям в некоторые свои документы. И ровно та же история развивается у англичан (я писал про это тут и тут) 🫡
Есть у меня стойкое подозрение, что эта тема, когда от всех киберугроз надо защищаться, но от тех, которые несут катастрофические последствия для бизнеса, особенно, будет только разрастаться 😎 По мере того, как число инцидентов только растет, жертвами становятся все, а ряды хакеров пополняются все новыми и новыми добровольцами, надо уметь вычленять главное, что может поставить компанию на грань катастрофы, остановить критические процессы, повлиять на финансовое положение или нанести серьезный ущерб клиентам 💥 Поэтому историю с определением серьезных|катастрофических|недопустимых последствий|событий сбрасывать со счетов как нечто ситуативное нельзя - эта тема с нами надолго.
ЗЫ. На картинке категории, в которых могут произойти серьезные последствия, о которых надо сообщать в SEC. Как по мне, так перечень явно неполный. В вебинаре, который я проводил, список гораздо больше 🤠
ЗЗЫ. На PHD2 у нас будет закрытый воркшоп по тому, как выбирать такие события, но он уже забит под завязку и я даже не буду давать ссылку на него 😇 | 5 756 | 11 | Loading... |
24 Диалог на RSAC:
- Кто больше всех выиграл от проведения RSA Conference?
- Регистраторы доменов в зоне .ai 🧠 | 5 665 | 7 | Loading... |
25 Пока мы ждем, когда регуляторы опубликуют обещанные требования по безопасности подрядчиков и контрагентов, вот вам список иностранных фреймворков по защиты цепочек поставок:
1️⃣ OpenSSF sigstore
2️⃣ SLSA
3️⃣ Microsoft S2C2F
4️⃣ NIST C-SCRM / SP 800-161
5️⃣ NSA ESF (Enduring Security Framework)
6️⃣ UK Supplier Assurance Framework
7️⃣ MITRE System of Trust (SoT) Framework
8️⃣ ISO/IEC 20243-1:2023 и ISO/IEC 27036
9️⃣ SCS 9001 Supply Chain Security Standard
1️⃣0️⃣ OWASP Software Component Verification Standard (SCVS)
1️⃣1️⃣ Google’s software delivery shield (trusted OSS)
1️⃣2️⃣ IETF SCITT | 6 050 | 117 | Loading... |
26 Предпочтительные (сверху вниз) способы обеспечения конфиденциальности структурированных и неструктурированных данных 🤒 - от токенизации до шифрования. Такой стратегии придерживается американский банк CapitalOne с базой в 100 миллионов клиентов. Интересно, что при всей развитости российской криптографической школы большинство представленных на нашем рынке решений - это последние две строчки в списке и касаются они преимущественно шифрования в процессе передачи данных, то есть VPN 🛡
Решения по шифрованию на уровне файлов, которые бы соответствовали не очень прозрачным требованиям регуляторов 🇷🇺, зависят больше от операционной системы (если закрыть глаза на требования, то решений немало, в том числе и встроенных в ОС). Решений по шифрованию на уровне сообщений и полей БД у нас практически нет. Хорошо хоть токенизацию никто не стандартизует и не регулирует пока; но это не точно! 😦 | 6 176 | 36 | Loading... |
27 Южнокорейский специалист по кибербезопасности был осужден за взлом 🖥 более 400 тысяч видеокамер в 638 жилых комплексах и продажу видео и фотографий личного, в том числе сексуального характера. Взаимодействие хакер-ИБшник вел через Protonmail, но как мы видели совсем недавно, владельцы якобы защищенного почтового сервиса 💬 готовы сотрудничать с полицией и раскрывать персональные данные отдельных своих пользователей. В данном кейсе не раскрывается как полиция 🇷🇺 узнала личность преступника, но факт есть факт.
Другой занятный факт, что южнокорейский специалист за пару лет до опубликования в даркнете предложений о продаже чувствительных фото- и видеоматериалов 👁 давал интервью о том, насколько легко можно взломать домашние системы видеонаблюдения и что даже школьник с базовыми знаниями ПК сможет сделать это 🎩
Защита подсудимого утверждала, что ИБ-специалист таким образом продемонстрировал уязвимость системы видеонаблюдения и поэтому должен быть оправдан, так как сделал благое дело. Но суд посчитал эти доводы несуразными, так как хакер пытался извлечь выгоду из взлома, что точно говорит не о благородных помыслах преступника. В итоге он получил 4 года тюрьмы 🏴☠️, запрет на 4 года работать в учреждениях, связанных с детьми, молодежью и инвалидами, а также требований пройти программу по предотвращению сексуальных преступлений 🔞 | 6 377 | 29 | Loading... |
28 MITRE открыла модель угроз для встроенных систем, о которой я уже писал, и которая ориентирована на производителей устройств и владельцев таких систем, часто используемых в критических инфраструктурах 🏭 | 6 203 | 50 | Loading... |
29 🔥 Вся программа киберфестиваля Positive Hack Days 2 — на нашем сайте
В течение четырех дней вас ждут более 20 крутейших треков о кибербезопасности, разработке, бизнесе, а также увлекательная научно-популярная программа.
🛰 Напомним, что научпоп-сцену «Спутник» смогут посетить бесплатно все желающие. Больше про открытую зону киберфестиваля вы можете узнать в канале @PHDays.
🎫 Для посещения других треков необходимо приобрести билет на нашем сайте, сделав взнос в фонд «Подари жизнь» (минимальная сумма — 1000 рублей).
👀 Посмотреть программу (спойлер: еще будут дополнения, но основная часть уже опубликована)
До встречи с 23 по 26 мая в «Лужниках»!
P. S. Смотреть трансляции почти со всех треков можно будет и онлайн без регистрации и смс, но рекомендуем увидеть весь масштаб вживую 😉
@Positive_Technologies
#PHD2 | 5 893 | 67 | Loading... |
30 Так как Microsoft 🪟 тут вновь разрешила обновления для россиян без использования VPN, то стоит обновиться, особенно Outlook из Office 2016, 2019, LTSC 2021 и Microsoft 365 Apps for Enterprise для архитектур x86 и x64. Ценник в 1,7 миллиона долларов (без скидки), конечно, высокий, но покупатели найдутся, учитывая распространенность продукции Microsoft у лакомых для любого хакера заказчиков 😷
ЗЫ. Ну и не забудьте на мониторинг поставить узлы с Outlook. | 6 928 | 71 | Loading... |
31 Где белая женщина 👩🦳 или хотя бы мужчина на видео? Что за расовая дискриминация? | 6 629 | 11 | Loading... |
32 Если вдруг вы решите, что жить не можете без очередного 🏅 сертификата и он обязательно должен быть про безопасность искусственного интеллекта и международно признанным, то вот вам список текущих сертификаций специалистов в области ИБ ИИ:
🔤 GSDC Generative AI in Risk and Compliance Certification
🔤 IAPP AI Governance Professional Certification (и тренинг к ней)
🔤 IEEE Certified Authorized Assessor Training
🔤 ISACA AI Fundamentals Certificate
🔤 SANS Institute AI Security Essentials for Business Leaders
🔤 Securiti.AI AI Governance Certification
🔤 Tonex Certified AI Security Practitioner
Да удастся вам соединить два интеллекта - искусственный 🧠 и естественный 🤯 | 6 901 | 97 | Loading... |
33 Красивая подмена понятий от Сергея Солдатова происходит прямо сейчас в его канале. Если я в своем предыдущем посте достаточно ясно написал, что речь идет о смартфонах ☎️ и мобильных вредоносах, то Сергей 3/4 поста посвятил теме (не)безопасности мобильных АРМ 🖥, которые затем, с его же легкой руки, уравнялись со смартфонами.
Я, конечно, ненастоящий сварщик, но уравнивать свои ноуты на macOS 🍏 и Windows 🪟 со смартфоном на iOS 📱 я не могу и не буду. Более того, я предположу, что для них не только вредоносы, но и сами техники атак разные. Даже для macOS и iOS, которые вроде как от одного производителя. И безопасность удаленных рабочих мест 😷 и безопасность смартфонов - это, как говорят в Одессе, две большие разницы. И по возможностям атакующих, и по возможностям защищающихся.
PS. А про безопасность удаленных рабочих мест я сам десятки раз выступал - и во время COVID-19, и до него, и после. | 6 782 | 23 | Loading... |
34 Производители средств защиты мобильных устройств 📱 предсказуемо твердят об опасности мобильных вредоносов 🦠
Я, если честно, ни разу не сталкивался с этой угрозой за почти три десятилетия использования мобильных устройств. Один раз у меня смартфон украли и, пожалуй, все. Но это из области психологии восприятия рисков уже - то, с чем никогда не сталкивался, всерьез не воспринимается, а статистика говорит, что есть и более актуальные проблемы, чем мобильный апокалипсис 📱
Но если у вас на мобилки завязаны бизнес-процессы или вы оказываете услуги ИБ топ-менеджменту, то вам актуальны решения класса MTD, MDM (в России их, правда, всего одно или два).
ЗЫ. Есть еще и всякие Pegasus'ы и Триангуляции, но это особый случай. Лично я пока не диссидент и не дипломат 🙄, чтобы на них закладываться. | 6 824 | 51 | Loading... |
35 Прямо в постели задержан руководитель Главного управления кадров Минобороны России, генерал-лейтенант 🇷🇺 Юрий Кузнецов. Задержание связано не с его кадровой деятельностью, а с периодом с 2021 по 2023 год, когда он возглавлял 8-е управление Генштаба (Службу защиты государственной тайны Вооруженных сил России), которое занимается вопросами информационной безопасности в войсках. Ему вменяют получение взятки 💸 за помощь пока неназванным коммерческим структурам. Во время задержания у него изъято более 100 миллионов рублей 😲 | 7 137 | 123 | Loading... |
36 Интересный и, я бы даже сказал уникальный, кейс. Генерального директора ИБ-компании судят за ложь в отношении продуктов его компании, а также за введение в заблуждение относительно его предыдущего опыта 🎩
Джек Блаунт, бывший CEO публичной компании Intrusion Inc., нарушил антимошеннические правила законодательства о ценных бумагах (Securities Exchange Act и Securities Act). В мае 2020-го года Блаунт и его компания начали рекламировать решение Intrusion Shield 🛡, в рекламе которого были сделаны некорректные заявления о продукте, опыте CEO (якобы он был гендиректором в пяти компаниях и CIO в американском Минсельхозе) и клиентах компании, которые якобы после бета-тестирования купили Intrusion Shield, что также было ложью (часть якобы купивших 🤑 были связаны родственными или бизнес связями с Intrusion Inc., а часть тестировала решение и вовсе у себя дома, а не на работе).
Все это было сделано с одобрения Блаунта, что и стало основанием для его увольнения в 2021-м году и последующими претензиями со стороны Комиссии по ценным бумагам 💸 | 6 404 | 11 | Loading... |
37 👊 Зачем синим командам участвовать в кибербитве Standoff?
Решили спросить об этом у них самих и сняли серию интервью, в которых Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, задает защитникам каверзные (и не очень) вопросы.
В первом выпуске говорим с Дмитрием Балдиным, заместителем директора департамента ИТ и цифрового развития, и Егором Тихоновым, заместителем начальника корпоративного SOC компании «РусГидро», команда которой впервые участвовала в кибербитве прошлой осенью. Еще один важный гость — Елена Молчанова, бизнес-лидер киберполигона Standoff.
Обсудили, чем кибербитва Standoff напоминает курсы вождения и для чего компании приходят на нее с собственной инфраструктурой. Поговорили о том, как состязание помогает подружить сотрудников ИБ и ИТ, нужно ли синим готовиться к нему заранее и чего им не хватает на полигоне (спойлер: массажиста и возможности атаковать красных в ответ).
Бонус — фановые истории и байки со Standoff 12. Ищите интервью целиком по ссылке, вдохновляйтесь и приходите смотреть Standoff 13 в «Лужники» 23–25 мая! | 5 959 | 19 | Loading... |
38 🍷 Британская фирма объявила в своей Политике конфиденциальности о намерении вручить бутылку хорошего вина «первому человеку, который прочитает это», — The Independent
Компания Tax Policy Associates добавила этот пункт в качестве эксперимента, чтобы проверить, прочтет ли кто-нибудь полные условия.
Такой человек появился только спустя три месяца — им оказался сотрудник другой компании, который просто искал образец политики для своего веб-сайта.
Подписаться / Прислать новость | 5 973 | 174 | Loading... |
39 Если я буду обновлять свою статью про будущее 🔮 платформ анализа данных безопасности, то добавлю туда примеров разных стартапов, которые добавляют разные кусочки в общий пазл - в части ETL, в части аналитики и детекта, в части хранения данных, в части реагирования, в части визуализации, в части прогнозирования атак и инцидентов 🖥
На RSAC и GISEC я вытащил немало новых имен. Не все из них, конечно, выживут или доживут хотя бы до выставок следующего года, но часть из них вполне способна выйти из категории только что вылупившихся птенцов и пойти дальше 🐣 На грядущем PHD2 будет целый однодневный трек, посвященный будущему SOCов, на котором, среди прочего, будут обсуждать и этот вопрос. | 6 159 | 45 | Loading... |
40 Рассказ про bug bounty 🐞 от представителя испытательной лаборатории ФСТЭК, это как рассказ про Linux от фаната Windows. Тут каждая часть тезиса некорректна; особенно последние две. Прийти на платформу Bug Bounty может каждый, а вот участвовать в той или иной программе нет. Это зависит от самой программы и ее условий. Ряд программ требуют верификации участников ✋, а ее контроль лежит на операторе платформы. А уж про отсутствие возможности подписания NDA в условиях, когда у нас даже согласие ✔️ на обработку персданных дается в электронном виде и принимается Роскомнадзором, я бы вообще не упоминал.
Все эти вопросы лежат на поверхности, всегда задаются компаниями, выходящими на Bug Bounty, и имеют ответы у операторов соответствующих платформ. Хотя чего еще ждать от представителя испытательной лаборатории, чувствующего конкуренцию со стороны инструмента, который часто показывает бОльшую эффективность, чем классическая сертификация (как минимум, в части обнаружения реально эксплуатируемых уязвимостей)? 😵
Хотя я бы вообще не противопоставлял эти два способа оценки защищенности ПО. Одно (сертификация) - это больше про функциональное тестирование 🧑💻, наличие базовых процессов безопасной разработки и первичную проверку ПО. Второе (bug bounty) - это про непрерывный мониторинг 🖥 уязвимостей бОльшим числом участников. Они прекрасно дополняют друг друга. В идеале Bug Bounty вообще могла бы стать частью процесса жизненного цикла сертифицированного изделия.
ЗЫ. И про все это мы тоже будем говорить на PHD2. Пользуясь случаем, приглашаю представителей испытательных лабораторий на киберфестиваль. | 6 751 | 48 | Loading... |
Не отпускает меня тема SIEM следующего поколения 😠 Если посмотреть за новости про Splunk, QRadar (у народа в англоязычной блогосфере прям подгорает и все уже поставили крест на этом продукте), Exabeam и LogRhythm, то можно обратить внимание на то, как инвесторы начали вкладываться 🤑 в NG SIEM (конечно же на базе ИИ):
💵 Апрель 25 - Dropzone AI | $17М
💵 Апрель 23 - Prophet Security | $11М
💵 Апрель 18 - Anvilogic | $45М
💵 Апрель 9 - StrikeReady | $12М
Ну и тема автономных SOCов тоже начинает набирать обороты - компании из этой сферы (все вышеназванные, а также нижеперечисленные компании из этой же области) анонсировали новые версии своих решений:
🆕 Апрель 24 - Intezer Autonomous SOC
🆕 Апрель 23 - Torq HyperSOC
Я тут участвовал в выпуске исследования по этой теме и могу сказать, что сейчас почти все игроки рынка SOC/SIEM идут в этом направлении. По крайней мере те, кто смотрит вперед 🖥
🙉 4👎 2👀 2
Фото недоступнеДивитись в Telegram
Владельцам SonicWall (если таковые у нас еще остались) напрячься…
😁 7👏 1
Фото недоступнеДивитись в Telegram
Джек предлагает (англ) отказаться от использования термина SLA 🪫 при обсуждении уязвимостей и патчей. А то, ишь, ссылаются все на SLA по установлению обновлений, а за это время хакеры успешно, и не по одному разу, успевают взломать организацию. Им вообще пофиг на SLA ваших ИТшников, KPI SOC и т.д. Джек предлагает использовать вместо SLA термин AIT (Accepted Insecure Time), то есть "разрешенное время незащищенности" ⚠️
AIT совершенно иначе звучит - никакой недосказанности и скрытости. Более того, сразу понятно, что это некий баланс между возможностями ИТ и скоростью появления уязвимостей. Ну и слово "разрешенное" тоже подразумевает, что этот временной промежуток кто-то утвердил, то есть есть вполне конкретное лицо, несущее ответственность. Есть о чем подумать? 🤔
🔥 30❤ 2🥱 2👍 1
Фото недоступнеДивитись в Telegram
Не секрет, что одной из проблем ИБ, приводящей к успешным инцидентам 🛡, является использование уязвимого ПО, которое не патчится вовремя. А не патчится оно в том числе и потому, что уже не поддерживается производителем ⚰️ Отчасти поэтому в недавно вступившем в силу EU Cyber Resilience Act прописан 5-тилетний период выпуска обновлений к продукту с момента покупки (не выпуска!). У англичан 🇬🇧схожие требования. Это еще не гарантия их установки, но уже первый шаг 👣
Американская CISA тоже озаботилась проблемой EOL/EOS (End of Life / End of Sale) программного обеспечения и ростом числа уязвимостей в таком неподдерживаемом ПО. Поэтому помимо установления требований ✔️ по конструктивной безопасности (security by design), она стала инициатором подписании меморандума с 68 вендорами, которые обязуются обеспечить 🫵 установку клиентами выпускаемых обновлений.
А еще есть парочка инициатив, которые помогают решать эту проблему. Например, сайт endoflife.date, на котором собраны даты EOL ⏳ по многим продуктам (чтобы не искать их на сайтх производителей, что бывает непросто). Да, там 🖥 не весь софт и там точно нет отечественного ПО 🇷🇺, но хоть что-то.
Еще есть OASIS OpenEox TC (openeox.org) - машинно-читаемый формат для автоматизации ⚙️ работы с датами EOS. Если бы вендора его поддерживали, то данную информацию можно было бы подгружать в свои инструменты управления ИТ 📞 или ИБ и проактивно готовиться к завершению жизненного цикла программного продукта 🔜
Мне кажется, что Минцифры могло бы взять эту тему на себя и расширить 🔄 данными по EOS/EOL реестр отечественного ПО, включив в него и поддержку OpenEox. Это, кстати, не так уж и сложно реализовать, включив в соответствующие правила включения ПО в реестр 🇷🇺. Сложнее отслеживать эту информацию на постоянной основе, но было бы желани. 🌎 Такой пункт неплохо бы смотрелся в списке тех, что вчера Минцифры озвучило на "Дне экономики данных".
👍 17
В ближайшем Standoff, конечно, уже не поучаствовать, но на осенний еще можно успеть подать заявку 🥳
ЗЫ. Я когда задавал вопрос про читерство на киберучениях, не думал, что услышу, что такое бывает ☺️
Repost from Standoff 365
00:48
Відео недоступнеДивитись в Telegram
🧢 Продолжаем серию интервью о том, зачем синим командам участие в кибербитве Standoff
Гостями студии стали капитаны команд, которые поняли о жизни все много раз вставали на защиту различных отраслей виртуального государства F: Максим Шалыгин из You Shell Not Pass, на счету которой семь (!) кибербитв, и Алексей Медведев из Command and Defend, участвующей в битве уже в третий раз. А также Ильдар Садыков, руководитель отдела развития экспертизы киберучений и менторства Standoff.
Ребята обсудили, для чего каждый из них раз за разом ведет свою команду на кибербитву, держите пару цитат.
«Мы не просто так защищаемся, а для того, чтобы это приносило какую-то эффективность бизнесу; меняем стратегию, схему работы, и если что-то получается успешно, это внедряется в работу SOC на предприятии», — рассказывает Максим.
«Кибербитва — лучший способ быстро обучить сотрудников обнаруживать и расследовать события кибербезопасности, состав команды каждый год меняется, так что у нас учатся все», — добавляет Алексей.Поговорили и о том, как оценивать результаты работы синих команд (ведь скоринга, как у красных, у них нет), каким образом им помогают менторы до, во время и после кибербитвы (массаж они не делают, это выяснили точно), как различаются атаки хакеров на Standoff и в реальной жизни, чем чревато читерство с использованием чужих кредов и сможет ли однажды ИИ заменить живых аналитиков. Заинтригованы? Смотрите интервью целиком по ссылке.
👍 6❤ 2🤡 1
Фото недоступнеДивитись в Telegram
Ну и снова про M&A-сделки. Погрузился тут в задачу Due Diligence 🔍 поглощаемых компаний с точки зрения кибербезопасности. Я про эту тему уже писал в 2008-м году, а тут пришлось вновь сдуть пыль с этой темы. И вот, как по заказу, на RSAC наткнулся на мини-план проведения due diligence по вопросам кибербезопасности в сделках слияния и поглощения (M&A) 🤝 Если собрать все на одном слайде, то выглядит хоть и высокоуровнево, но вполне себе 👍
ЗЫ. Тем временем рынок тоже ошарашен сделкой IBM и PaloAlto 🙄
👍 6✍ 1
Фото недоступнеДивитись в Telegram
В продолжение предыдущей заметки, про консолидацию 🤗 За последнюю неделю произошло несколько знаковых событий на рынке слияний и поглощений в сегменте SIEM. IBM договорился о продаже своего SIEM-бизнеса (QRadar) компании PaloAlto. При этом, утверждается, что цель покупателя - не технология, а клиентская база, которой предложат решение PaloAlto Cortex XSIAM. Как по мне, так это звучит достаточно прямолинейно - QRadar приказал долго жить ⚰️
Вторая новость также из разряда сенсаций - сливают еще двух лидеров магического квадрата Gartner по SIEM - решения LogRhythm и Exabeam. Сливают не в смысле бросают, а в смысле объединяют 🤝 На базе кого будет строиться новый продукт пока неизвестно. Ранее, в 2023-м году, за почти три десятка миллиардов долларов Cisco купила Splunk.
По опыту могу сказать, что поглощение компании, - это всегда проблемы для обеих компаний, которые длятся не менее года ➕, иногда больше (иногда поглощение вообще заканчивается плохо для обоих, хороня оба бизнеса). Полгода с момента объявления уходит на согласование 👌 сделки с антимонопольными службами. Потом начинается интеграция процессов, людей, технологий компаний. Все это время поглощаемый продукт не очень развивается, 💻 так как никто не знает, останется он в компании или нет (продукт и люди).
Поэтому на рынке SIEM сейчас будет движуха 🏎 SIEM NG почувствуют, что перед ними открылось окно возможностей, и начнут активно продвигать свои решения. Ну а владельцам SOCов стоит задуматься... Я пару лет назад уже писал большой материал про миграцию с одних решений в SOC на другие. Но тогда это было в контексте импортозамещения. Сейчас причина другая, но последовательность будет та же 🎮
👍 3✍ 1
Фото недоступнеДивитись в Telegram
SentinelOne тут на RSAC сделала некоторые прогнозы на 2️⃣0️⃣2️⃣4️⃣ год. Да, это такой больше американский взгляд 🇺🇸 на происходящее, но в целом он схож с тем, что наблюдается и у нас. Потеря доверия к информации и ее источникам, рост кибератак на системы выборов в разных странах, применение ИИ обеими сторонами (нападающими и защищающимися), государства уходят в нападение (offense) 🎩
Вот последняя тенденция - консолидация рынка ИБ подтверждается последними слияниями и поглощениями. Вот для России этот тренд пока не актуален - M&A-сделки у нас ооочень редки, тем более крупные. Хотя до конца года и стоит ждать некоторое количество анонсов 📣