alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

Спросили у Алексея Лукацкого, как можно расшифровать «Резбез» неправильно, что такое недопустимые события и что недопустимо лично для него

А как бы вы ответили на эти вопросы?

Читать полностью…

Пост Лукацкого

Да, каюсь 🫠 Сексизм, не шовинизм. Плохо разбираюсь в обоих ☹️

Читать полностью…

Пост Лукацкого

Компания CHEQ выпустила отчет о фальшивом трафике, который показывает, насколько серьезной становится эта проблема. И это несмотря на наличие средств класса NTA, которые помогают детектировать 👀 различные классы атак, необнаруживаемые традиционными периметровыми или хостовыми средствами ИБ.

Согласно исследованию CHEQ, в 2023 году 17,9% всего наблюдаемого трафика было фейковым 🤖 или инициировано различными средствами автоматизации, что на 58% больше по сравнению с 11,3% в предыдущем году. Другие источники, учитывающие весь "автоматизированный" трафик (боты, кликеры, краулеры, скрипты для автоматизации и т.п.), оценивают объем нежелательного трафика еще выше — до 50% от общего объема. Такой трафик можно разделить на три категории:
1️⃣ боты, которые составляют 49,1% фальшивого трафика 🤖
2️⃣ подозрительный трафик - 42,3%
3️⃣ вредоносный трафик - 8,6%.

CHEQ предупреждает, что в 2024 году киберпреступники и мошенники 🥷 больше не ограничиваются простыми ботами и фермами кликов. Они используют высокоразвитых ботов, способных имитировать человеческое поведение, избегать обнаружения и совершать различные злонамеренные действия, такие как сбор данных без разрешения, увеличение метрик вовлеченности, мошенничество и компрометация безопасности и целостности множества веб-сайтов, мобильных приложений и API. Искусственный интеллект 🧠 только усугубляет угрозу и создает дополнительные проблемы для команд безопасности. ИИ позволяет ботам становиться более сложными и труднодетектируемыми, увеличивая объем генерируемого трафика и позволяет ботам адаптироваться к защитным мерам, тем же WAF или API Security Gateway 🛡

Советы CHEQ для снижения опасности этой проблемы просты:
1️⃣ Разработать и применить на каждом интерфейсе управляемых сетевых устройств политику для трафика (traffic policy)
2️⃣ Внедрить процедуры и инструменты для мониторинга и контроля трафика на внешних интерфейсах, направляющегося к МСЭ, в ДМЗ, к web-серверам, IoT-устройствам и беспроводным устройствам.
3️⃣ По умолчанию запретить весь трафик и разрешить только отдельные протоколы и межузловые взаимодействия в соответствие с установленными правилами и исключениями из них
4️⃣ Внедрить процедуры и инструменты, обнаруживающие любой несанкционированный обмен трафиком с внешними системами
5️⃣ Подключать сеть организации к внешним сетям только через пограничные устройства, позволяющие фильтровать трафик (явно не упоминается NGFW, так тут может быть и Zero Trust, SASE и SSE)
6️⃣ Ограничение числа внешних соединений и мониторинг входящего и исходящего трафика
7️⃣ Реализация на всех внешних управляемых интерфейсах механизмов контроля доступа, обнаружения вторжений и т.п.
8️⃣ Реализация подсетей для публично доступных компонентов
9️⃣ Обеспечение целостности и конфиденциальности для трафика
1️⃣0️⃣ Документируйте каждое исключение в политике управления трафиком с указанием бизнес-потребности, мерами контроля и длительностью действия исключения
1️⃣1️⃣ Обновляйте все сетевые компоненты как можно раньше
1️⃣2️⃣ Обеспечьте не менее одного тренинга в год для персонала, реализующего предыдущих 11 пунктов

Читать полностью…

Пост Лукацкого

Microsoft пошла в атаку и обвинили Еврокомиссию 🇪🇺 в том, что это именно из-за нее произошел коллапс с обновлением CrowdStrike 🤦‍♂️ Связано это с соглашением об интероперабельности, которое было заключено в декабре 2009-го года между гигантом из Редмонда и Еврокомиссией и которое требовало обеспечить равные права на доступ к ядру ОС Windows 🪟 конкурирующих продуктов, включая и средства защиты. Речь идет о следующем пункте:

"Microsoft гарантирует на постоянной и своевременной основе, что API в операционной системе Windows Client PC и операционной системе Windows Server, которые вызываются программными продуктами безопасности Microsoft, документируются и доступны для использования сторонними программными продуктами безопасности, которые работают на операционной системе Windows Client PC и/или операционной системе Windows Server."


С этим свежим заявлением Microsoft есть три интересных нюанса:
1️⃣ Все-таки это было обновление контента обнаружения или ядра, которое повлияло на ядро ОС? 🤔 Каким образом, если это "просто" сигнатура? Если же CrowdStrike все-таки залил обновление ПО, затрагивающее ядро, то почему они его не согласовали с вендором, как того требуют правила? 🤔
2️⃣ Apple в 2020-м году, ссылаясь на требования безопасности запретила разработчикам доступ к ядру macOS, что вызвало большие нарекания со стороны многих вендоров хостовых средств ИБ. И значит ли это, что Еврокомиссия может и от Apple 🍏 потребовать подписания схожего соглашения? По крайней мере в части возможности использования на iPhone других маркетплейсов Евросоюз добился.
3️⃣ Почему Microsoft не разработала для средств защиты иной API, который мог бы позволять видеть 🖥 многое на уровне ядра, не затрагивая его самого? Не захотела заморачиваться, а теперь просто переводит стрелки?..

Читать полностью…

Пост Лукацкого

Генерального директора CrowdStrike вызвали в Конгресс США 🇺🇸 дать пояснения по поводу случившегося в прошлую пятницу 🫵 Можно было бы предположить, что американцы усилят контроль за технологическими компаниями, от которых стало зависеть очень многое, но до того ли им будет в условиях предвыборной гонки? 🏎

За всей этой историей с CrowdStrike затерялась новость, что Wiz, стартап по облачной безопасности, которого хотел купить Google 🌐 за 20+ миллиардов долларов, отклонил предложение американского ИТ-гиганта, решив самостоятельно выходить на IPO вместо продажи стратегическому инвестору 👎 Смелые и амбициозные ребята!

Читать полностью…

Пост Лукацкого

Попался мне тут в руки занятный отчет, который на фоне событий с CrowdStrike подсвечивает очень интересные моменты нашей зависимости от всего нескольких технологических компаний, атака (даже не их собственные косяки) на которых может привести к глобальному коллапсу или компрометации. Вот некоторые цифры:
1️⃣ Всего 150 компаний "отвечают" за 90% всех технологических продуктов и сервисов по всему миру!
2️⃣ 41% этих компаний имеют доказанные случаи компрометации хотя бы одного своего корпоративного устройства за последний год
3️⃣ 11% этих компаний имеют доказанные случаи атак шифровальщиков за последний год
4️⃣ 62% всех технологических продуктов и сервисов по всему миру сосредоточено в руках всего 15 компаний
5️⃣ Эти 15 технологических компаний имеют рейтинг ИБ (уровень защищенности) ниже среднего, что говорит о высокой вероятности возможной компрометации
6️⃣ Операторы шифровальщиков Cl0p, LockBit, BlackCat систематически нацеливаются на технологические компании и находят целевые устройства уже через 5 минут после их подключения к Интернет.
7️⃣ 75% всех атак на подрядчиков (цепочки поставок) нацелены на технологические компании и разработчиков ПО.

Советы для борьбы с такой зависимостью лежат на поверхности:
1️⃣ Составьте карту критически важных процессов и систем (целевых/ключевых), представляющих точки возможного отказа.
2️⃣ Поставьте эти системы и процессы на непрерывный мониторинг, а также включите их в контур анализа защищенности и оперативного устранения уязвимостей.
3️⃣ Автоматизируйте процесс обнаружения новых вендоров в инфраструктуре с помощью сканеров безопасности, средств класса NTA, CMDB-решений, SIEM и т.п.
4️⃣ Подготовьте план Б и протестируйте его, чтобы быть готовым к ситуации, когда что-то из используемых у вас решений будет скомпрометировано или выведено из строя.

Читать полностью…

Пост Лукацкого

Мы не всегда способны оценить каскадный эффект от уязвимостей, атак, действий или бездействий, с которыми мы сталкиваемся в нашей работе...

Читать полностью…

Пост Лукацкого

Был я тут на мероприятии по искусственному интеллекту, где компании делились своим опытом и проектами, в которых демонстрировалась польза от ML для бизнеса 🧠 А я же человек занудный и стал спрашивать про защиту датасетов, контроль их целостности, безопасность моделей от манипуляций, проверку источников для скачивания моделей и другие неудобные вопросы А ответов-то у коллег и не было. Не думают они про это, считая, что все плюсы ИИ перевешивают все остальное. А я и не спорю, но и про ИБ забывать не стоит, чтобы в результате неконтролируемых манипуляций над ИИ-инфраструктурой не получить обратный эффект 🥴

Вот и Gartner тут говорит, что 30% компаний, внедривших у себя ИИ, столкнулись с атаками на свою ИИ-инфраструктуру. Причем как изнутри, так и снаружи 🤬 И здесь бы ИБ подсуетиться, а не выносить этот сегмент из под своего контроля, как это часто бывает. Но подсуетиться грамотно, с учетом специфики ИИ-разработки, а не "тупого" применения сертифицированных средств защиты от НСД в инфре, для этого непредназначенной.

Читать полностью…

Пост Лукацкого

Попробовал подсобрать главное, что известно про инцидент с CrowdStrike. Что случилось, причем тут Azure, кто пострадал, когда все восстановится, каков ущерб 💥, а что в России, импортозамещение рулит, можно ли было предотвратить, почему это произошло, а может это хакеры, реакция хакеров 👨‍💻 на инцидент, как отреагировали регуляторы, как сделать, чтобы это не повторилось, что будет дальше... Вот вопросы, которые я рассмотрел в заметке ✍️

Читать полностью…

Пост Лукацкого

Пока все осмысливают решение Байдена об отказе от участия в президентских выборах, в конце дня воскресенья нельзя не написать о зубной фее 🧚

Читать полностью…

Пост Лукацкого

Очередной образчик кейса "фейковый босс" 🥷 Сначала вам пишет якобы начальник, который сообщает, что надо помочь ФСБ расследовать важное дело. А потом к вам приходит этот самый сотрудник 👮 и, конечно, для доказательства своей личины, показывает приказ с девятизначным номером, подписанный "посредством зашифрованного Канала Связи". Но что-то выдавало в письме то, что это фейк 😊 Но я не буду, как в банках, показывать 10 признаков фальшивых купюр. А то "плохие парни" быстро научатся клепать "более настоящие" приказы... 👮‍♀️

Читать полностью…

Пост Лукацкого

Спасибо подписчику, приславшему ссылку на историю с "Рубином"

Читать полностью…

Пост Лукацкого

Новые технологии — новые способы развода

Мошенники сейчас активно используют искусственный интеллект в своих целях. Уже можно подделать голос человека и сгененрировать от его имени голосовое сообщение, чтобы выманить деньги от его знакомых.

VIce нашёл скамеров и предложил им составить список новых схем с применением технологий. Для понимания, вот вам портрет одного из «источников»: бухгалтер из Лондона, который любит заниматься интернет-мошенничеством «на фрилансе». А список вышел такой:

1️⃣ Голосовой чат-бот под видом врача

Один источник рассказал, что он с товарищами создал чат-бота, которому «скормил» сотни часов лекций, интервью и подкастов известных психотерапевтов. А затем стал искать реальных клиентов, создав вымышленному психотерапевту лендинг с поддельными рекомендациями и наградами. Терапевт принимал только аудиозвонки — но многих клиентов это не останавливало.

2️⃣ Продажа несуществующих товаров

Другой мошенник генерирует с помощью ИИ фотореалистичные изображения товаров и выставляет их на платформах объявлений с предоплатой. По его словам, это различные бытовые вещи: ИИ генерирует ему детскую кровать в стиле звёздных войн, причудливую мебель с обивкой, на которой изображены коты, и прочие фантазийные вещи. В каких-то случаях вещь уходит клиенту — правда совсем не та, что на картинке. В других — не отправляется совсем ничего.

3️⃣ Бесплатный Wi-Fi в мышеловке

Фейковые сети Wi-Fi популярны как никогда, особенно в туристических местах. Мошенники создают сеть Wi-Fi без пароля, маскируют её под сеть близлежащего Starbucks — и доступ к конфиденциальной информации у них в руках.

4️⃣ Оплата по QR

Мы уже так привыкли к QR-кодам — расплачиваться в магазинах и кафе, переводить чаевые, читать дополнительную информацию о продуктах и услугах. Так вот, мошенники находят способ незаметно приклеить изображение своего QR-кода рядом с кассой, паркоматом, на заправке. Фишинговый сайт запросит данные об оплате — и вуаля.

5️⃣ Виртуальные экскурсии

Ещё в пандемию особой популярностью стали пользоваться различные онлайн-туры, чтобы не выходя из дома погулять по древним достопримечательностям и музеям. Один из мошенников создал сайт, который предлагает подобное за небольшую плату. Экскурсии там правда есть — найденные в интернете рандомные лекции об известных местах. Получается своеобразный win-win: покупатель получил какую-никакую экскурсию, а мошенник — данные его банковской карты.

Читать полностью…

Пост Лукацкого

Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных со сбоем после обновления ПО CrowdStrike

Читать полностью…

Пост Лукацкого

Тут иногда возникает вопрос: "А зачем вообще фокусироваться на чужих отчетах со статистикой по ИБ?" А все просто. 97% всех ИБшников не всегда уверены в своих решениях и хотят убедиться, что они что-то делают правильно, что так делают и другие. Поэтому статистика - это некий ориентир 📌

Если вы попадаете "в большинство", то можно не переживать - большинство не может ошибаться (на самом деле может) 🥇 Если в меньшинство, то не надо сразу думать, что вы аутсайдер; хотя это и возможно. Но может вы просто консерватор и пока еще не делаете всё, как все. А может вы в числе инноваторов и делаете что-то, что станет мейнстримом попозже. Вспомните кривую инноваций (она же кривая принятия, она же кривая Роджерса) - она хорошо показывает эту идею 💡

Поэтому я и уделил столько внимания отчетам SANS по SOCам и автоматизации последние пару дней. Кстати, если вы просто смотрели на эти циферки 📈 и мои комментарии к ним в моем канале, то вы обычное большинство. Если вы хотите почитать сами отчеты, а "их есть у меня", - вы ранние последователи и хотите попробовать что-то, чего еще не делает большинство 😇 Ну а если вы инноватор, то сдам вам ссылку (https://drive.google.com/drive/folders/1dx3hblisYUno9_u1CmS-2jlaSGbBFZyP) на все сырые данные по отчету по SOCам, которые вы можете загрузить в Jupiter Notebook и сами поработать с ними, провести анализ, поискать взаимозависимости и т.п. 🤓

Читать полностью…

Пост Лукацкого

CrowdStrike направил пострадавшим от пятничного сбоя письмо с промо-кодом на карточку Uber Eats (сервис доставки еды) 🍔 стоимостью 10 долларов в качестве извинений за ту головную боль, которую принес инцидент. Но случился очередной конфуз - некоторые карты оказались недействительными, а в качестве причины было написано, что "карта была отменена выпустившей стороной и больше не действительна" 👋

А пока одно подразделение CrowdStrike готовится разгребать еще и этот удар по репутации, другое наконец-то пояснило, что же все-таки произошло и почему обновление контента обнаружения накрыло несколько миллионов компьютеров синевой. Если кратко, то ситуация такова ✍️

У CrowdStrike есть два вида обновления - Sensor Content и Rapid Response Content. Sensor Content содержит различные функции для обнаружения угроз и реагирования на них 🛡 Он включается в обновления сенсоров CrowdStrike и содержит модели машинного обучения, разработанные для длительного использования и обнаружения широкого спектра угроз и их семейств. Все функции проходят тщательную оценку, включающую автоматизированное и ручное тестирование, а также проверку и развертывание в тестовом окружении 👨‍💻

Процесс начинается с автоматизированного тестирования, включая юнит-тестирование, интеграционное тестирование, тестирование производительности и стресс-тестирование 🔄 Затем обновления выпускаются поэтапно: сначала тестируются внутри компании, затем у ранних пользователей, и наконец становятся доступными всем клиентам. Клиенты могут выбирать, какую версию сенсора (N, N-1 или N-2) установить через политику обновлений 🆕

Rapid Response Content используется для сопоставления поведенческих шаблонов на сенсоре. Это бинарный файл. Он позволяет выявлять и предотвращать угрозы без изменения кода сенсора и поставляется как экземпляры шаблонов, которые соответствуют конкретным поведениям чего-то вредоносного для наблюдения за ним, его обнаружения или предотвращения 🔓

Rapid Response Content обновляется через конфигурационные файлы системы Falcon. Экземпляры шаблонов создаются, проверяются и развертываются на сенсорах через так называемые файлы каналов. Сенсор интерпретирует (вот это самое важное) эти файлы для обнаружения и предотвращения вредоносной активности 🗡

19 июля 2024 года было развернуто два новых экземпляра шаблонов. Из-за ошибки в валидаторе контента один из экземпляров был принят, несмотря на наличие "проблемных данных". Это вызвало ошибку чтения памяти, выход за ее границы, что и привело к сбою операционной системы Windows (BSOD) 🪟

Читать полностью…

Пост Лукацкого

Ну вот что за шовинизм в ПП-1272 о заместителях руководителей организаций, ответственных за кибербезопасность, и разработанного во исполнение 250-го Указа Президента? 👵 Почему вдруг в тексте появляется слово "он", хотя речь идет о лице, то есть должно быть "оно"? Это что, теперь, если буквально трактовать Постановление Правительства, женщина не может быть замом гендира по ИБ? Непорядок! 💍

Читать полностью…

Пост Лукацкого

Компания Dragos опубликовала исследование нового, уже 9-го специализированного вредоносного ПО для промышленных сетей 🏭, которой она назвала FrostyGoop. Это первый вредонос, который использует Modbus TCP для реализации недопустимых событий (обнаруженный в 2022-м году PIPEDREAM также использовать Modbus TCP, но для инвентаризации промышленных устройств) 🪫

Служба безопасности Украины сообщила, что нынешней зимой это вредоносное ПО было задействовано в кибератаке, которая привела к двухдневному отключению отопления и электричества в 600 домах во Львове, управляемых контроллерами ENCO 🔋 Общее число пострадавших составило около 100 тысяч человек. Несмотря на заявления СБУ Львовтеплоэнерго поспешил сообщить, что "последствия были быстро нейтрализованы и работа сервисов восстановлена" (а что еще могла сказать пострадавшая компания?).

По данным Dragos, которая никак не атрибутирует данный вредонос (хотя и неявно намекает), антивирусы его не детектируют и настойчиво рекомендуется использовать системы мониторинга безопасности в промышленных сетях и АСУ ТП 🔍

Читать полностью…

Пост Лукацкого

Вот когда от аналитиков SOC понадобится более быстрая реакция, а время детекта будет измеряться не минутами, а секундами или даже долями секунд, тогда надо будет и такие тесты включать в программу подготовки аналитиков SOC! 🔍

Читать полностью…

Пост Лукацкого

Тут в одном отчете наткнулся на интересный список вопросов, которые топ-менеджеры 🧐 задают своим CISO.
1️⃣ Управление рисками и готовность к инцидентам ИБ:
Мы защищены?
Мы готовы к тому, чтобы справиться с инцидентами ИБ?
Каково текущее состояние нашей безопасности?
Каковы наши реальные приоритеты в области управления рисками ИБ?
Как мы решаем вопросы остаточных рисков?
Какие новые угрозы возникают, и готовы ли мы с ними бороться?
Как внешние инциденты влияют на нашу способность управлять рисками и защитные меры?
Какой из проектов, над которыми вы работаете, окажет наибольшее влияние на улучшение состояния ИБ?

2️⃣ Процессы:
Соответствуем ли мы отраслевым стандартам?
Что мы не делаем?
Как мы можем ускорить исправление уязвимостей и улучшить показатели Click-to-Rate в борьбе с фишингом?
Достаточно ли мы используем возможности автоматизации?
Как мы вы можете доказать, что мы улучшили нашу безопасность?
Как совет директоров может помочь программе безопасности?

3️⃣ Бизнес:
Мы помогаем решать задачи ИБ для клиентов и поставщиков?
Мешает ли обеспечение безопасности другим бизнес- или IT-инициативам?
Каковы бизнес-преимущества и негативные последствия от нашей программы кибербезопасности?

4️⃣ Соответствие требованиям:
Насколько мы соответствуем требованиям законодательства?
Есть ли новые требования законодательства, о которых нам нужно знать?

5️⃣ Ресурсы:
У нас есть ресурсы, необходимые для обеспечения ИБ?
Как мы можем продемонстрировать ROI, чтобы обосновать увеличение штата?
Достаточно ли мы инвестируем в нужные инициативы по кибербезопасности?

А вы готовы ответить на эти вопросы? А вдруг вас спросят?! 🫵

Читать полностью…

Пост Лукацкого

По мере расширения сферы импортозамещения у нас будет меняться не только ландшафт применяемого ПО, но и уязвимости у нас со всем миром скоро будут разные 🤜 Если не все, то их часть точно. И так как ежедневно (на текущий момент) обнаруживается 115 уязвимостей в день, то надо их каким-то образом приоритизировать. Есть куча стандартов и фреймворков для описания этого процесса, но один из достаточно простых способов - ориентироваться на так называемые трендовые уязвимости 🗡

Но... трендовая уязвимость - понятие не универсальное. У нас 🇷🇺 это один перечень, в США 🇺🇸 другой, в Китае 🇨🇳 третий. Поэтому нужно оценивать трендовость там, где у вас точки присутствия. Есть, например, проект https://cvecrowd.com, который собирает уязвимости, активно обсуждаемые в Fediverse (это набор соцсетей, которые умеют коммуницировать друг с другом по общим протоколам, самой популярной из которых является Mastodon). Раньше еще был схожий проект https://cvetrends.com/, но из-за ограничений по работе с API Twitter, он умер 📱 Есть каталог KEV от CISA, который ориентирован на американский ИТ-рынок. В России есть регулярная публикация трендовых уязвимостей от Positive Technologies 🟥, а есть список наиболее опасных уязвимостей от ФСТЭК (правда, тут не совсем трендовые, а просто дыры с высоким CVSS).

Вроде это (ориентация на локальный список трендовых уязвимостей) очевидно, но я решил все-таки об этом напомнить. Тем более, что в CVE вряд ли будут попадать уязвимости отечественных ИТ-продуктов и ориентация на зарубежные списки приоритетных уязвимостей может увести нас по ложному следу 👣

ЗЫ. А вообще я скоро выложу обзор полутора десятков методов приоритизации уязвимостей, который я готовил для портала "Резбез" и мне надо было просто его прорекламировать ☺️

Читать полностью…

Пост Лукацкого

Обновил заметку про обучение аналитиков SOC, добавив еще два курса для специалистов по мониторингу, которые можно пройти в России 🧑‍💻

Читать полностью…

Пост Лукацкого

Правильный ответ вчерашнего утреннего квиза - Panasonic. Да, когда я это узнал, а это данные патентного бюро Японии за период с 2000 по февраль 2024 года, я тоже был удивлен 😳 Но в реальности, у них действительно много всяких проектов вокруг Internet of Things, где они что-то делают с точки зрения ИБ. Например, VERZEUSE™ for Runtime Integrity Checker для защиты автомобилей 🚗 от кибератак. Есть решения для безопасности цепочек поставок и т.п. Всего 2️⃣6️⃣2️⃣0️⃣ патентных заявок!!!

Допускаю, что там много всякой мелочевки среди этих двух с половиной тысяч заявок, но патентование - это важная штука для международных компаний ☝️ Лучше уж затраты на патент, чем на патентных троллей или конкурентов, обвиняющих тебя в краже интеллектуальной собственности, как в недавнем кейсе Wiz, которую хочет купить Google за 20+ миллиардов долларов (и кто знает, как судебное разбирательство Wiz и Orca повлияет на эту сделку) 🌐

Читать полностью…

Пост Лукацкого

Британец рассказал, что он и его жена смогли отговорить дочь ставить камеру, чтобы заснять зубную фею под предлогом того, что это нарушает GDPR (Общий регламент по защите данных). Фею нельзя снимать во время выполнения работы без её согласия. В комментарии пришёл официальный аккаунт Управления информационного комиссара и подтвердил информацию.

К слову о том, как адвокаты напрягают своих детей.

Читать полностью…

Пост Лукацкого

Зашел на сайт называется... Владельцы его пекутся о моей приватности и поэтому продают данные 1568 партнерам. И кнопки "Reject all" нет 🤠 И зачем я включил европейский VPN?..

Сидел бы на американском VPN 🛡 - вообще не видел бы таких предупреждений. У них же нет своего GDPR и уведомлять клиента о том, что его персданные хотят 🫵 получить тысячи (без преувеличения) компаний, не надо. Поэтому серфишь в Интернете безмятежно И в российском сегменте Интернет все тоже самое. Ну требует РКН плашку всплывающую про куки показать, да и пофиг. Кто на нее вообще обращает внимание. А тут волнение одно, пульс учащается, сердцебиение начинается, одышка... Одни мучения от этой вашей приватности. То ли дело другие страны 🌐

Читать полностью…

Пост Лукацкого

🔴На новой гостевой форме «Рубина» вшиты имена и фамилии каждого болельщика, которые покупали абонементы за последние пять лет

Так казанский клуб решил поблагодарить фанатов, которые были с «Рубином» не только во время успехов, но и ходили на матчи команды в ФНЛ 👏🏻

⚫️ Футбол России

Читать полностью…

Пост Лукацкого

Фраза:

"Мы уверяем наших заказчиков, что CrowdStrike функционирует нормально и эта проблема не затронула наши системы, обслуживающие платформу Falcon" ("We assure our customers that CrowdStrike is operating normally and this issue does not affect our Falcon platform systems"),


звучит из уст CrowdStrike (на странице с описанием кейса) особенно цинично. А всех ее клиентов она затронула и у них все функционирует не нормально! 😡

Интересно, что CrowdStrike 🦅 был одной из немногих ИБ-компаний, которая предложила своим клиентам гарантию выплаты до 1 миллиона долларов 🤑 (зависит от числа купленных лицензий на CrowdStrike Falcon) в случае взлома их систем, защищенных решениями CrowdStrike 🐦 Ирония судьбы - обещать выплатить 1 миллион долларов, если по вине CrowdStrike клиентов взломают, но вчерашний кейс с выходом из строя и простоем систем по вине CrowdStrike под данный страховой случай не попадает 😅

Читать полностью…

Пост Лукацкого

Офигенные дни для отрасли ИБшного маркетинга, PR и просто любителей пошутить 🤡 Кто-то отрывается в создании мемасиков, кто-то дает комментарии СМИ (я вчера побывал на трех прямых эфирах на ТВ и радио, дал с десяток комментов 🎙 для бизнес- и отраслевых СМИ в России и на Ближнем Востоке, а еще случайно выступил на английском в прямом эфире ТВ, хотя предполагалась запись и на русском 💪).

Очень непростые дни у PR и антикризисного комитета CrowdStrike, которые отбиваются от журналистов, блогеров и других инфлюенсеров, стараясь дать выверенные ответы, которые не уронят акции Crowdstrike еще больше 📉 (в пике было -21%) и не повлекут многомиллиардные иски, которые уже планируются 👩‍⚖️ Это офигенная школа для любого пиарщика, но не знаю, хотел бы я в этот момент быть в такой компании 🤔 это вам не мемасики генерить 🤠

Читать полностью…

Пост Лукацкого

Также Роскомнадзор сообщил, что не получал от российских компаний информации о проблемах, связанных с покушением на Дональда Трампа, извержении вулкана в Исландии, выбросившихся на берег в Испании китов, уязвимостей CVE-2021-3773 и CVE-2024-38211, а также о сотнях других событий, которые происходят в мире, но которые не имеют никакого отношения к Роскомнадзору!

Читать полностью…

Пост Лукацкого

Тут в SOCовском чатике задали вопрос: "Хочу писать все события на Linux. С помощью чего это лучше делать?" 👨‍💻 В отношении SIEM это тоже часто звучащая дилемма - какие события писать в SIEM? Все или выборочно? Если все, то нужно иметь немаленького размера ЦОД, чтобы хранить все события в течение длительного времени. И за лицензию на SIEM надо переплачивать, если схема лицензирования подразумевает оплату за объем хранения. А это приводит к разрастанию совокупной стоимости SIEM 🤑

Отчет SANS по SOCам дает нам ответ и на этот вопрос. Максимальное число ответивших на этот вопрос респондентов (152) шлют в SIEM все, что они покрывают системой мониторинга 👀 На втором месте (110) те, кто собирает в SIEM события на основе риск-ориентированного подхода, стараясь в качестве основы для выборки событий взять серьезность угроз, подлежащих обнаружению и реагированию.

Третье и четвертое место с незначительным отрывом друг от друга (40 и 38 респондентов) заняли сбор событий только с приоритетных (я бы сказал целевых/ключевых) систем и сбор событий в зависимости от use case / detection engineering 💡 Лично мне больше нравится как раз последний подход, так как он позволяет сбалансировать финансовые затраты с эффективностью мониторинга ИБ. Хотя, конечно, если у вас куча денег, то можно писать все, лить в озеро данных и там уже анализировать по мере необходимости 🙌

Читать полностью…
Subscribe to a channel