alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

Я про операцию "Конец игры" (Operation Endgame) не писал, хотя и затрагивал вскользь ее в заметке про использование правоохранителями психологических приемов раскола в киберпреступном мире. Если вкратце, то в ее рамках западные спецслужбы 🇺🇸 из пары десятков стран совместно с некоторыми ИБ-компаниями прикрыли инфраструктуры шести крупнейших в мире ботнетов 🤠 - Bumblebee, IcedID, Pikabot, Smokeloader, SystemBC и Trickbot, которые, по данным правоохранительных органов предоставлялись операторам ransomware при оказании услуг Ransomware-as-a-Service ⚠️

Но мне понравилось в этой истории, что организаторы Endgame выпустили по итогам своей операции анимационный сериал 🎬 - с легким троллингом, множеством намеков и т.п. Прям хорошо получилось 🍿

Читать полностью…

Пост Лукацкого

Компания Аny[.]run, выпустившая облачную песочницу, была скомпрометирована через скомпрометированного клиента, отправившего фишинговое письмо сотруднику аny[.]run. Пишут, что доступа к инфраструктуре или исходным кодам сотрудник не имел 🤔

Читать полностью…

Пост Лукацкого

По радио тут было интервью с серийным ИТ-предпринимателем ("серийный", мать его, ИТ-преприниматель), который "придумал" сервис виртуального трупа 💀, то есть, общение с умершим человеком, оцифрованным при жизни 💀 Умолчу, что этой идее 10 лет в обед, но она меня навела тоже на предпринимательскую идею в области ИБ. Представьте, что хакер эксплуатирует уязвимость на публичном web-сайте, как лебедь в "Лебедином озере" перемещается боком, добирается до базы данных... и ему вылезает баннер: 💀

1️⃣ Посмотреть фотографии сисек
2️⃣ Забрать все данные
Нажмите 1 или 2.

Многие бы даже до второго пункту не доходили бы. И ведь число утечек данных снизилось бы многократно 😈

Читать полностью…

Пост Лукацкого

После очередного сборища стран-участниц G7 было решено, что они разработают и начнут претворять в жизнь решения XX съезда КПСС фреймворк по безопасности систем промышленной автоматизации (фиг знает, как OT коротко на русский перевести) 🏭 В первую очередь это связано с тем, что число атак на энергетику возросло и это может привести к недопустимым последствиям для экономик "стран семи" и их саттелитов ⚛️

Американский Минэнерго 🔋 сразу выпустил принципы кибербезопасности при обеспечении цепочек поставок для поставщиков и конечных пользователей. Такие компании как GE Vernova, Schneider Electric, Hitachi Energy, Honeywell, Schweitzer Engineering Laboratories, Rockwell Automation и Siemens поддержали эту инициативу 🤝

Хакеры 🥷 тоже не остались в стороне и тоже поддержали эту инициативу. Группировка Hunt3r Kill3rs, если верить ее сообщениям, взломала системы на базе Schneider Electric в США, Германии, Израиле и Турции 🏭 А IntelBroker попутно взломала, опять же, если верить (но пока оснований не верить не было), AMD, Apple 🍏 T-Mobile.

Читать полностью…

Пост Лукацкого

В Массачусетсе два часа не работал телефон службы спасения 911 📞 из-за того, что... их блокировал межсетевой экран, установленный провайдером услуги. Причина, по которой МСЭ блокировал звонки 🤬, пока неизвестна, идет расследование. Хорошо, что за эти два часа не было чрезвычайных ситуаций в штате, в котором была организована первая британская колония на территории будущих США 🇺🇸

Читать полностью…

Пост Лукацкого

🤦‍♀️ Люблю такое 🤝

Читать полностью…

Пост Лукацкого

Время обнаружения атомарных событий постепенно уходит и ему на смену приходит обнаружение целых сценариев реализации угроз 🔗 Причем в этом случае существующие SIEM могут служить сенсорами для решений более высокого уровня. Раньше это казалось малореальным - описать ✍️ все возможные комбинации техник злоумышленников, но сейчас уже понятно, что это вполне по силу даже для средних вычислительных возможностей при должной предварительной обработке (в лоб перебирать все комбинации, конечно, смысла нет).

И технологии очень быстро развиваются. Раньше ты ручками прописывал ✍️ правила корреляции, комбинируя IP, идентификаторы сигнатур атак и иные индикаторы. Потом появились решения на базе No/Low Code, которые существенно ускорили возможность написания цепочек атак 🖥 Теперь, спустя еще меньший промежуток времени, ИБ-решения стали оперировать готовыми сценариями реализации атак (attack path/scenario), базирующимся на реальных инцидентах 🗺 Последнее позволяет еще и атрибутировать группировки, стоящие за атаками (хотя смысла в этом не так уж и много на оперативном и тактическом уровне).

Интересно, что ИБ-вендора придумают дальше?.. 🤔

Читать полностью…

Пост Лукацкого

IT IS Conf еще не начался, секция про мифы кибербезопасности не стартовала 🏃, но у нас вчера вечером уже была дискуссия о том, что требование антивируса - это такой же миф, как и кактус на мониторе, который все излучение притягивает, как и православная иконка на приборной панели у водителя-дальнобойщика 🚛 Иллюзию защищенности создает и чувствуется приятное тепло... Но вот пользы немного. И это только один из мифов, который мы будем развенчивать на IT IS Conf, прямая трансляция с которой будет вестись на сайте ▶️

Напомню, что сегодня в Екатеринбурге у меня:
1️⃣ Модерация пленарной сессии "Мифы и заблуждения информационной безопасности"
2️⃣ Модерация панельной дискуссии "Искусственный интеллект в ИБ - взгляд с трех сторон баррикад"
3️⃣ Модерация круглого стола по расследованию инцидентов
4️⃣ Ведение трека "Следа хакера: как расследуются инциденты".

Так и хочется добавить "Не переключайтесь..." ▶️

Читать полностью…

Пост Лукацкого

В соцсетях, отечественных и зарубежных, регулярно ходит картинка утки с надписью: "Шанс быть убитым уткой очень мал, но он не равен нулю" 🦆 И хотя я не видел статистики по смертям от утки, допускаю, что такие анекдотичные истории все-таки бывали. От акул же гибнет 5 человек в год, почему от уток не может? 🦈

Но сейчас речь пойдет не о психологии восприятии рисков (человеческий мозг 🧠 воспринимает угрозу совсем не так, как это сделал бы компьютер, обладая всей нужной статистикой), а о другом аспекте оценки вероятности, а именно ее случайности. Если вспомнить оценку рисков, то мы помним, что риск базируется на двух показателях - ущербе и вероятности. И вот вероятность-то как раз у меня всегда и вызывала вопросы 😔 Ее оценивать всегда предлагают исходя из предположения, что некто (хакер или иной, не антропогенный источник угрозы) действует неким случайным образом при реализации атак.

Так и представил себе, как хакер бросает кости 🎲 и говорит, сегодня я пойду реализовывать T1055. А завтра кости покажут T1059, а послезавтра T1003 по MITRE ATT&CK. Ну смешно же. Выбор атак точно не случаен и описать этот выбор с помощью "равномерного распределения по методу Монте-Карло" (как бы не хотелось) не получится 🤔

У нас тут во внутреннем чатике возникло желание потроллить одну тему (не буду говорить какую), а я предложил, что если хочется срача, то надо на LinkedIn написать, что риск-менеджмент в ИБ - это полное говно и отъем денег у населения бизнеса, которое верит в эту серебряную пулю. Но пока ограничусь своим каналом. А потом может и в LinkedIn выйду 😱

А в заключение анекдот:

"Как-то на трассе я подобрал путешественника, нам было по пути. Мы разговорились, и он спросил, не страшно ли мне было останавливаться, вдруг он серийный убийца. "Вероятность того, что в одной машине окажутся два серийных убийцы ничтожно мала", ответил я улыбнувшись."

Читать полностью…

Пост Лукацкого

Центр макроэкономического анализа и краткосрочного прогнозирования выпустил отчет по кадрам, в котором зафиксировал, что кибербез - самая дефицитная специальность в стране 📉 То есть у нас не только с качеством обучения выпускников проблема, но и с количеством 👨‍💻

Ау, УМО, хватить херней заниматься. Займитесь делом! Пока вас ИИ не заменил 🤖

Читать полностью…

Пост Лукацкого

Выступаю я, значит, утром в Самаре на Positive Tech Day с рассказом про морковку 🥕 спереди и сзади, как инструмент мотивации или стимуляции ИБшника на лучшее понимание бизнес-потребностей его организации. К выступление коллеги и морковку подготовили брендированную, свежую, сладкую, длинную, с широким основанием корнеплода... (эпитет каждый выберет для себя). И чтобы продемонстрировать, что это не реквизит, а вполне себе реальный овощ, который можно брать и есть, разнообразив свой завтрак, я громко кусаю сей корнеплод прямо на сцене, разнося по залу хруст свежести и мотивации

Но так как есть и говорить одновременно непросто, то я откладываю свою морковь с намерением вернуться к моей "радости" по окончанию выступления ☕️ И что же вы думали?.. Кто-то стащил ее! Более того, кто-то с ней даже фотографировался, как заметили бдительные коллеги! 📸 Но что меня напрягает больше всего, так это то, что кому-то в руки попали слепок моего укуса, моих зубов, который, как известно, может быть отнесен к биометрическим персональным данным! 😁 Теперь, если вдруг в ЕБС добавят новую модальность в виде зубного слепка, то я всерьез напрягусь по этому поводу! 😂

ЗЫ. Но если шутки в сторону, то кто спёр мою покусанную морковку?

ЗЗЫ. У нас еще и рюкзак увели, но тут мы провели расследование и знаем в лицо того, кто это сделал (мы же не зря услуги по расследованию предлагаем). Такое доброе, милое лицо 😈 на видеонаблюдении…

Читать полностью…

Пост Лукацкого

Вчера, в аэропорту имел беседу с представителем службы авиационной безопасности 🫡, которая попросила меня достать и включить ноутбук (ну, это стандартная история, привык). Но когда она меня попросила открыть считыватель дисков, я впал в некоторый ступор 🖥 Пришлось покрутить ноутбук в разных проекциях, чтобы показать, что никакого отверстия для вставки CD в ноуте нет. Даже понажимал по ее просьбе в разные места на корпусе, что доказать, что и скрытого считывателя тоже нет 😦 ВЫВОД №1: Регулярно проводите повышение осведомленности персонала, чтобы они были в курсе того, что происходит в их сфере контроля.

Ровно та же история бывает с Flipper Zero, который, когда спрашивают, можно выдать за внешнюю батарею, а Wi-Fi-модуль к нему за внешний жесткий диск. Пока работает... 🛩 ВЫВОД №2: Threat Intelligence тоже должен быть не разовым, а в форме процесса.

ЗЫ. Картинку честно стащил из Интернета. Надо будет себе футляр тоже купить, а не в рассыпуху возить...

Читать полностью…

Пост Лукацкого

Не знаю, задавались ли вы вопросом, а я задавался - как хакеры обучают свои модели ML для вредоносных целей. Ведь это стоит бешеных денег 🤑 Так вот, в рамках одного исследования, выяснилось, что хакеры обленились и перестали идти по сложному пути. По сути, из публично известных, сегодня есть только WormGPT, которая представляет собой вредоносную LLM, обученную на хакерских форумах, вредоносных семплах, фишинговых сообщениях и т.п. 🥷 WolfGPT, DarkBARD, DarkBERT, DarkGPT, FraudGPT, EvilGPT, XXXGPT являются либо откровенным обманом и выманивающимм деньги у других мошенников, либо имели очень низкое качество обучения, такое, что их нельзя было использовать в реальном мире 👨‍🏫

Сейчас хакерский рынок, следуя принципу наименьшего сопротивления, старается минимизировать свои усилия для получения максимального экономического эффекта 📈 Для этого они занимаются обходом (джейлбрейком) существующих LLM 👩‍💻, в обучение которых были вложены десятки и сотни миллионов долларов и повторить эти инвестиции хакерам, не то чтобы сложно, но неразумно (я про экономические законы "потустороннего" мира рассказывал на PHD2). Поэтому стали появляться такие сервисы как EscapeGPT, BlackHatGPT, LoopGPT, которые позволяют правильно формировать запросы к ChatGPT, Gemini и другим LLM, и обходить существующие ограничения в этих GenAI 🧠

Читать полностью…

Пост Лукацкого

ENISA 🇪🇺 выпустила пресс-релиз, что они получили статус CVE Numbering Authority и будут еще больше и глубже работать с CVE. Но как по мне, так основное, что в этом пресс-релизе есть, сказано вскользь в самом конце. А именно то, что ENISA теперь будет собирать и вести свою собственную базу узвимостей EUVD 🫴

После проблем с NVD, которые обещают починить к сентябрю, у многих встал вопрос, а что делать-то в условиях отсутствия единого источника данных об уязвимостях? 😦 ФСТЭК начала вести свой банк данных угроз и уязвимостей в 2014-м году и активно развивает его (об этом говорили на PHD2). Я таким вопросом задался еще в 2015-м году. Европа, вот, задумалась только сейчас. Лучше поздно, чем никак. Что у них получится, не очень понятно, но последние их шаги показывают, что они хотят стать независимыми от США в части кибербеза; ну или хотя бы попытаться такими стать 🖥

У китайцев 🐉 в этом направлении тоже работы идут и давно, с 2010-го года, как минимум. Одна из двух баз, CNNVD, управляется министерством госбезопасности, что как бы намекает 👲 Так что балканизация и разделение сферы ИБ, о которой я пишу с 2014-го года, продолжится 🔀

Читать полностью…

Пост Лукацкого

FAIR проанализировала потери, которые могла/может понести UnitedHealth в результате одного из крупнейших по масштабу потерь инцидента 💥 Первичные потери оцениваются в 1,94 миллиарда долларов, вторичные - в "смешные" 130 миллионов 🤑 Основная доля этих потерь, примерно 5/8 приходится на прерывание бизнеса 900 тысяч врачей, 118 тысяч дантистов, 33 тысяч аптек, 5,5 тысяч больниц и 600 лабораторий (а также на компенсации за смерть людей и иной ущерб здоровью пациентов во время простоя), еще 2/8 на нарушение приватности утекших данных (оплата call center, оплата бесплатного кредитного мониторинга, штрафы и компенсации претензий за утечки ПДн и т.п.). Репутационный ущерб, затраты на сетевую безопасности и выплата вымогателям - это "всего-то" 80 миллионов долларов 💵

Напоминаю: атака произошла 21 февраля, восстановление (и то неполное, на 86% от уровня до атаки) состоялось 22 апреля. 2 месяца простоя!!! ⛔️

ЗЫ. Чтобы понимать, откуда берутся такие значения и что еще надо учесть в расчетах стоимости инцидента, рекомендую вебинар, который я читал в начале года, и презентацию с него.

Читать полностью…

Пост Лукацкого

Вот тут иностранцы пишут про недопустимые события, ой, нет, про катастрофические события ИБ ⚠️ Мол, несмотря на скептицизм, такие события существуют, их немало и становится все больше (тут вам и отключение электричества в одном из регионов России пару лет назад, и двухмесячный простой UnitedHealth, и неработающие аптеки в Приморье, и свежий пример с CDK Global, из-за атаки на которого тысячи автодилеров в США остались не у дел) 💥 И киберкатастрофы происходят не из-за вымышленных сценариев, которыми нас пичкают сценаристы Голливуда, а из-за роста цифровизации и взаимосвязанности ИТ/ОТ-систем.

А вот дальше автор пишет, что вместо того, чтобы полагаться на сенсационные и драматические представления о киберугрозах, необходимо проводить глубокий анализ 😦 внешних и внутренних данных, получаемых изнутри компании и от внешних поставщиков (этакий кибербарометр, измеряющий киберпогоду ), чтобы понять и прогнозировать реальные киберкатастрофы. Такие модели позволяют страховым компаниям принимать более обоснованные решения по страхованию своих клиентов от потенциальных угроз 😦

И вот к этому тезису у меня неоднозначное отношение. Да, страховой бизнес построен на актуарных таблицах, которые составляются на основе статистики многих десятилетий (для страхования жизни) или лет (для автострахования) 🧮 Но в ИБ очень сложно найти репрезентативную статистику. А главное, как, на том, что происходило и зависело от кучи постоянно меняющихся факторов, предсказать, что будет происходить в будущем? 🔮 Мне это представляется малореальным. Ущерб считать еще можно, но пост-фактум, а не закладывать его в совокупную стоимость владения, как предлагают в чатике (я бы посмотрел на такие рассчеты, которые примет реальный заказчик на этапе выделения денег) 🎲

ЗЫ. Наверное именно потому, что я не люблю риски и достаточно жестко дискутирую на эту тему с ее апологетами, нас сначала пригласили на эфир по управлению рисками, а потом внезапно «мест нет» 🖕

ЗЗЫ. Кстати, про голливудские сценарии. Мы тут в рамках Positive Hack Media запустили шоу "Хак Так", в котором хакеры обсуждают реалистичность придумок сценаристов и режиссеров мировой киноиндустрии. В первом выпуске обсуждают сцену минета 🔞 в фильме "Пароль рыба-меч", во время которого хакер должен взломать базу данных МинОбороны 🇺🇸 Ну а эксперты "Хак Так" сразу стали фантазировать о том, что такие конкурсы надо бы устроить на PHD, а также взять в практику собеседований на работу в ИБ-компании 🤦‍♂️

Читать полностью…

Пост Лукацкого

Повторяйте это как мантру - "Threat Intelligence - это не тоже самое, что индикаторы компрометации и фиды"!!! Пять раз в день - два раза утром, четыре раза в полдень, четыре раза перед вечером, три раза вечером и четыре раза ночью! 🤲

Читать полностью…

Пост Лукацкого

Масштабная атака и без ущерба? Как говорилось в фильме "День выборов":

Ты определись, ты анонимный или ты Игорь Иванович?

Читать полностью…

Пост Лукацкого

А вот кому сырые данные по зарплатам 🤑 директоров по маркетингу ИБ? Смотрите, анализируйте, завидуйте, готовьте обоснование перед руководителями, почему вам надо получать не меньше (или не показывайте, если вы получаете больше), просто любуйтесь, ищите связь между зарплатой и расовой и гендерной принадлежностью...

ЗЫ. Данные не по России 🇷🇺 Преимущественно, США 🇺🇸 Есть также Израиль 🇮🇱 То есть основные страны, где сидят компании по ИБ.

Читать полностью…

Пост Лукацкого

⚡️ На днях уважаемый Алексей Лукацкий сообщил о вопиющем происшествии. Во время выступления на Positive Tech Day в Самаре у него пропала морковь. Неизвестные присвоили корнеплод и скрылись в неустановленном направлении. Особое беспокойство у Алексея вызвал тот факт, что исчезнувшая морковь была им лично покусана.

«Теперь, если вдруг в ЕБС добавят новую модальность в виде зубного слепка, то я всерьёз напрягусь по этому поводу!» – отметил знаток кибербеза.


Что же было дальше ❗️

Вчера с нами связался один из участников мероприятия. По его словам, корнеплод несколько дней путешествовал по трассе М5, пока не добрался до Москвы. В столицу он устремился, чтобы оказаться в единственном разрешённом хранилище биометрии. Сегодня утром морковь была передана представителям оператора ЕБС.

🦸‍♂️ Готовы заверить Алексея, что повода для беспокойства нет. Без его согласия зарегистрировать морковную биометрию не получится. В случае регистрации овощным слепком можно будет управлять на Госуслугах.

❗️Уведомляем, что морковь сохранила товарный вид. Забрать корнеплод можно в Центре биометрических технологий. Контакты указаны на сайте.

Читать полностью…

Пост Лукацкого

Меня тут спросили на IT IS Conf, почему меня нет в широко известном в узких кругах списке Treadstone71? А я и не знал, что меня там нет. Все 500 фотографий не просматривал. А у людей недоумение и вопросы "как так?". А у меня вопрос другой - как ЛК умудряется столько раз не попадать в санкционные списки? Я, безусловно, им этого и не желаю (хотя по опыту могу сказать, что это не так и страшно), но все-таки... 🤔 Новый "запрет" на фоне того, что ЛК и так уже запрещали продавать в США, - это вообще ни о чем 😠

Читать полностью…

Пост Лукацкого

Продолжая вчерашнюю тему. Если уж и пытаться заниматься оценкой вероятности событий ИБ ☝️, то на совершенно ином уровне. И речь пойдет не о классическом понятии из теории вероятности, а о более сложной концепции из теории игр (я даже про это писал в блоге лет пять назад, но не докрутил эту тему) 🖕 По теории же игр, если не брать иностранные материалы, которые ее приземляют сразу на ИБ, рекомендую для начального погружения в тему три книги: 📚
1️⃣"Стратегия конфликта" Шеллинга
2️⃣"Совершенный стратег или Букварь по теории стратегических игр" Вильямса
3️⃣"Стратегические игры" Дикси, Скит и Рейли-младшего

Читать полностью…

Пост Лукацкого

Навеяло постом в одном канале. От замены слова «кибермошенник» на «ИБ-компания» текст практически не поменялся 😦

Платить ли компаниям по кибербезопасности?

Недавний случай с одной взломанной ИБ-компанией стал ярким примером того, почему уступать требованиям ИБ-компаниям и платить им — это путь к дальнейшим проблемам, а не к их решению.

Рассказываю, почему ⬇️

1️⃣ Отсутствие Гарантий
Прежде всего, оплата договора не гарантирует, что ИБ-компания окажется добросовестными ребятами и окажет вам качественный сервис или ее не взломают и украденные у вас ваши данные не сольют в даркнет.

2️⃣ Спонсирование бессмысленной деятельности
Оплачивая договор, вы фактически нецелево расходуете средства и финансируете тех, кто не обеспечивает вам никакого результата. Это не только усиливает показуху в целом, но и обостряет угрозу для других потенциальных жертв, доверившихся на сладкие речи и красивый маркетинг.

3️⃣ Бесконечный шантаж
Платеж по договору может стать лишь первым в серии требований. Попав в замкнутый круг, вы рискуете стать постоянным источником дохода для ИБ-компаний.

Что делать вместо оплаты по договору?

Незамедлительно начните готовить своих высококвалифицированных специалистов по кибербезопасности.

Сообщите о необоснованных требованиях соответствующим регуляторам.

Разработайте стратегию решения проблемы и дальнейшей защиты данных.

Не спонсируйте ИБ-компании! Лучше присылайте им многочисленные посты из канала Лукацкого, пусть знают, что их троллят 😉

Читать полностью…

Пост Лукацкого

Зашел тут в одном чатике разговор о курсах по процессам SOC. Ну, как водится, все набрасывают. Я вот про курсы SANS написал (про курсы Центрального Университета, кстати, забыл), так как учился на них 👨‍🏫 Но потом уж подумал, что есть темы, которые выходят за рамки курсов, потому что инструктора с ними никогда не сталкивались 👨‍🎓

Вот, например, тема SOCов на Ближнем Востоке 🕌 Мы в 🟥 там сейчас активно работаем и могу сказать, что всплывают темы, о которых ты раньше не задумывался, но которые надо принимать во внимание руководителю SOC (то есть это не про L1-L3 и даже не совсем про процессы). Мусульманин на первой или второй линии... 🛐 Ему же надо намаз совершать пять раз в день, а процедура это не быстрая (это не православный Символ Веры прочитать) и требующая определенных приготовлений. И вот что делать, если намаз пришелся на дежурную смену мусульманина?

Это, конечно, не проблема. Вы просто, формируя график дежурной смены, учитываете этот момент ✍️ Ничего сложного. Просто об этом надо думать, чтобы не было неприятных сюрпризов, когда аналитик совершает намаз, а в это время реализуются события ИБ, требующие немедленной реакции Кстати, в России такие кейсы тоже бывают в определенных регионах.

Я когда-то выступал с презентацией, чего не хватает российскому ФГОСу по ИБ 👨🏻‍🎓 И там было много интересных тем, по части из которых я даже записал бесплатный (без регистрации и СМС) мини-курс в своей онлайн-школе "ВЫШИБАЛА". И вот спустя несколько лет у меня уже поднабралась еще подборка тем, которым нужно учить ИБшников, особенно в нынешнее непростое время. Одна из них - это культурологические и религиозные аспекты ИБ на Ближнем Востоке (а также в Азии и Африке). Там ведь еще и пишут по-другому, что тоже нужно учитывать 💡

Читать полностью…

Пост Лукацкого

Вот приходите вы с работы, устали, садитесь на диван, вытягиваете ноги, наливайте бокал просекко 🍷 или пивасика, чувствуете, как нега разливается по телу, как размякают уставшие мышцы, как отступает злость от очередного срача с коллегами или вскользь брошенной начальником фразы... Нега и расслабон... 🏝 В этот момент к вам подходит ребенок и просит телефон "на секундочку". Вы, конечно же, не можете отказать чаду любимому и уже по привычке даете ему свой смартфон, предварительно его разброкировав и думая, что ребенок хочет поиграть в 2048 или иную какую интеллектуальную игру (ваш ребенок же - будущий Лобачевский, Мацуев или Кюри, как тут отказать) 👶

А ребенок просто делает скриншот вашего смартфона и установленных на нем банковских приложений, после чего отправляет это человеку, который обещал ему взамен робаксы в Roblox или иные ценные артефакты или виртуальную валюту в какой-либо игре 🎮 И ребенок, не видя ничего зазорного, за копеечку малую, отправляет все запрошенное мошенникам. А потом получает вторую команду - отправить на номер 900 слово, позволяющее проверить баланс на счете, и тоже пересылает эту информацию мошенникам. А потом... Ну а что потом, вы и сами можете догадаться 🤑

Придя с работы, не расслабляйся, бди!
Про свой ПИН-код нигде не звизди!
Телефон даже детям с оглядкой давай!
Варежку и дома не разевай! ⛔️

ЗЫ. Спасибо коллеге за присланную историю и реальный скрин!

Читать полностью…

Пост Лукацкого

Если вы думали, можно ли и как лучше применить ML для процесса Threat Intelligence, то свежий опрос SANS дает ответ и на этот вопрос 🤒 Но нельзя сказать, что ответ является откровением - на каждом из этапов CTI (сбор данных, обогащение, анализ, персонализация, анализ обратной связи) плюс/минус одинаково используются. Ну разве что анализ чуть вырывается с небольшим отрывом. Но тут, скорее, это связано с тем, что это самый очевидный путь использования ML и с него все и начинают. Я тоже регулярно на вход GenAI (у нас внутри 🟥 развернута своя собственная LLM) подаю всякие логи, индикаторы, TI-отчеты и прошу быстро сделать некое резюме. Это сильно экономит время

Читать полностью…

Пост Лукацкого

Всегда был сторонником идеи, что "кесарю кесарево" и что задача SIEM агрегировать и анализировать события безопасности, а работу с Threat Intelligence лучше отдавать в специализированные решения - коммерческие типа Anomali или PT Threat Analyzer или open source типа MISP или OpenCTI 📖

Но вот очередной опрос SANS показывает, что большинство специалистов все-таки SIEM использует под задачу сбора, анализа, представления данных CTI. Треть компаний пишет вообще свое (например, Cisco CSIRT написал под это дело gosint, помимо использования MISP и Anomali). Но есть и те, кто пошли по пути наименьшего сопротивления и используют таблицы и e-mail. Герои!!! 💪

Но вывод простой - прежде чем искать какое-то новое решение под свою задачу, посмотри, не может ли текущее решение справиться с ней? По крайней мере на первых порах 💡

Читать полностью…

Пост Лукацкого

МВД 🇷🇺 запилило ролик про фейковых майров ФСБ и сотрудников служб безопасности банков и телефонное мошенничество 🥷 Инновационно, с использованием искусственного интеллекта 🧠

Надеюсь только, что это творчество 📺 делали в обеденный перерыв, минут за 10-15, и на его создание не потрали бюджет, больший чем потери от всего кибермошенничества 🥺 Сделано, мягко скажем, на троечку. Но как первый опыт, пойдет (если, опять же, не были потрачены на это миллионы).

Аффтар, давай ищщо (с)

ЗЫ. Вот этот ролик получше был.

Читать полностью…

Пост Лукацкого

А вот кому интересный опросник, который позволяет оценивать различные SIEM, размещаемые в облаках? 😶‍🌫️ На днях, на одном из мероприятий SANS выдавали участникам. А я подумал, чего его в себе держать, - пусть все пользуются.

Он, конечно, немного заточен под иностранных игроков ( в части упоминаний интеграций с источниками данных, с SOAR и т.п.), но в остальном хороший набор фич, который можно спрашивать с вендора в зависимости от ваших потребностей 🫴

Читать полностью…

Пост Лукацкого

Очередная рефлексия на тему маркетинга в кибербезе. Я про это активно пишу ✍️ в блоге (это одна из популярных рубрик у меня) и в этот раз снова не удержался. Наболело... 😠

Читать полностью…
Subscribe to a channel