alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

Center for Threat-Informed Defense анонсировал новый проект по описанию процесса моделирования атак на базе матрицы ATT&CK. В целом ничего нового нет - просто процесс разложили на 4 этапа и каждый подробно описали с соответствующими примерами.

Сами этапы вытекают из типовых 4 вопросов, которые обычно задаются при моделировании угроз и применяются во многих других методиках:
Над чем мы работаем? На этом этапе мы описываем основные и второстепенные функции анализируемой системы и за счем декомпозиции выделяем ключевые активы системы.
Что может пойти не так (что может произойти плохого)? На этом этапе мы определяем и приотизируем угрозы для активов, определенных на 1-м этапе. Причем делаем мы это не в абстрактных описаниях угроз, а в виде списка техник из матрицы MITRE ATT&CK.
Что нам надо сделать с этим? Затем с помощью Mappings Explorer от CTID мы определяем защитные меры для определенных ранее техник.
Мы сделали все хорошо? А тут мы тем или иным способом проверяем, что мы ничего не упустили, например, с помощью кибериспытаний.

Что мне понравилось в этой методологии, так это важный момент, когда вам надо совместить теорию и практику. Ведь если следовать, например, методике ФСТЭК, вы просто теоретизируете, опираясь на собственный опыт, как можно реализовать ту или иную угрозу. А у того же НКЦКИ или ФинЦЕРТа рассылаются просто бюллетени с индикаторами или, иногда, с техниками по ATT&CK, на базе реальных инцидентов. Но как это совместить?

Я уже несколько лет в курсе по моделированию угроз предлагаю вариант, схожий с тем, что сейчас прописал у себя CTID - сначала вы выбираете техники из реальных инцидентов, описанных в TI-бюллетенях (то, что CTID называет "доказательствами"/evidence), а потом добавляете туда уже то, что CTID называет "теорией"/theory. А затем уже оцениваете угрозы по этим двум параметрам (то, чего у меня в курсе нет).

Читать полностью…

Пост Лукацкого

Как-то, после принятия 250-го Указа, я разговаривал с одним замминистра, который делился тем, как он проходил обучение, необходимое для замруководителя организации по ИБ, который упоминается в Указе Президента. Так вот обучение проходил не он сам 👨‍🏫 - был направлен один из администраторов ИБ, который и сидел 500+ часов на курсах, пока замминистра делом занимался. И экзамен тоже проходил админ. А все потому, что поднимать действующего руководителя отдела ИБ до замминистра никто не захотел/не смог, а Указ выполнять надо. А что делать организациям, в которых вообще нет нормального ИБшника? В таких случаях помогает vCISO 🧐

В России 🇷🇺 тоже есть такие сервисы и даже отдельные эксперты предлагают такие услуги. Поэтому достаточно интересно посмотреть, что предлагают vCISO за рубежом 🌎 Интересно, что в крупных компаниях на первое место по задачам vCISO занимает проверка существующих защитных мер 🔍, в небольших - GRC и разработка стратегии ИБ, а в самых крупных - GRC, оценка зрелости ИБ 💯 и менторинг молодых ИБшников. Если сложить упомянутые востребованные сервисы, то в Топ5 надо будет добавить еще определение бюджета на ИБ 🧮

Жаль, что в России установлены требования наличия собственного руководителя ИБ в штате (и хотя Минцифры допускает шаринг ИБшника между компаниями, ФСТЭК категорически против такого подхода) - у нас просто нет достаточного количества грамотных руководителей по защите информации 🤷‍♂️ В итоге многие занимаются очковтирательством и назначением на эти роли людей, которые очень далеки от ИБ (но близки к топ-менеджменту) 😕 Надеюсь, когда-нибудь это требование будет отменено и тогда услуги vCISO, разумеется, с четким описанием их сферы деятельности и ответственности за результат, станут еще более востребованными чем сейчас 🥺

Читать полностью…

Пост Лукацкого

Предвыборный штаб Дональда Трампа подтвердил факт взлома внутренней переписки ✉️ после того, как издание Politico начали получать документы из анонимного источника. Штаб обвинил в этом “враждебные иностранные силы”, возможно, Иран 🇮🇷, ссылаясь на отчет Microsoft о фишинговой атаке на высокопоставленного сотрудника президентской кампании в июне 2024 года. Документы, включая досье на кандидата в вице-президенты Джей Ди Вэнса, были переданы анонимом, что представляет собой серьезную утечку для кампании Трампа 🇺🇸

Вспоминается история 2016-го года, когда во время президентской гонки между Дональдом Трампом и Хилари Клинтон, хакеры взломали 👨‍💻 у последней личный почтовый сервер и утянули всю внутреннюю переписку, включая и все "грязное белье", которое затем распространялось в СМИ и в соцсетях 🤮 Отдельные эксперты считают, что эта утечка помогла Трампу получить доли процентов голосов избирателей, которых и хватило для победы. Интересно, повторится ли ситуация сейчас?.. 👠 Что еще опубликует Politico?.. 🤔

Читать полностью…

Пост Лукацкого

Алиса Сабо опубликовала триптих 🙌 про управление рисками (часть первая, вторая и третья), про подмену понятий, про то, как под анализом рисков пытаются втюхать всякую дичь, про то, что ИБшники ни хрена не понимают, что такое анализ рисков на самом деле, и вот это вот все. Я жду части про оценку вероятности и ущерба

Читать полностью…

Пост Лукацкого

Судя по тому, что сейчас пишут в каналах сопредельной страны, стоит ожидать новых фишинговых кампаний со следующими темами:
☢️ Радиационное заражение с Курской АЭС
🏃 Эвакуация Курска, Курчатова и других городов области (деньги за эвакуацию, "секретные" планы эвакуации, помощь в эвакуации и т.п.)
🏡 Сдача жилья в соседних с Курской областью городах (предоплата, сайты для поиска жилья и т.п.)
🆘 Волонтерская помощь (сайты и каналы с волонтерской помощью и т.п.)
✈️ Рост цен на авиабилеты за границу и т.п.
🔫 Мобилизация (секретные планы мобилизации и т.п.)

Как мне кажется, стоит включить эти темы в очередные занятия или расылки по повышению осведомленности, чтобы пользователи не попадались на удочку 🎣 и предупреждали и своих родных тоже; особенно если они живут и работают в Курской и сопредельных областях.

Читать полностью…

Пост Лукацкого

CrowdStrike под BlackHat выпустил очередной отчет по результатам своих расследований в... да, странно, выпускать летом отчет за 2024-й год, но как еще инициатору глобального коллапса отвлекать внимание от своих косяков?.. 🤔 На самом деле отчет берет интервал с 1 июля 2023 года по 30 июня 2024 года.

Для нашего региона отчет не то, чтобы интересный, все-таки он базируется на изучении техник, тактик и процедур группировок, атакующих, преимущественно США и их саттелитов 👨‍💻 Атаки на российские организации имеют немного иную картину, хотя анализ северокорейских и китайских группировок применим и к нам 🎃

Итак, на что обращает наше внимание CrowdStrike:
1️⃣ Интерактивных взломов (это когда хакер реально сидит в инфраструктуре жертвы и что-то там делает, а не просто заливает в нее вредоносный код, который работает по некоему алгоритму) стало на 55% больше
2️⃣ Использование средств удаленного управления выросло на 70% и в 27% всех интерактивных взломов задействованы были эти инструменты
3️⃣ Очень активна была группировка FAMOUS CHOLLIMA из Северной Кореи
4️⃣ Число атак на облачные среды выросло на 75%
5️⃣ 86% интерактивных взломов имели под собой финансовую мотивацию
6️⃣ Чаще всего атаковали технологический сектор (рост 60%). За ним идут сектор консалтинговых услуг (рост 58%), финансовые организации (25% роста), здравоохранение и ретейл. Если разделить взломы по мотивации - финансовая и таргетированная, то во втором случае в лидерах также телекоммуникационный и государственный сектора (52% и 160% роста соответственно), а в первом добавляется еще промышленность (43% роста).
7️⃣ В отчете непривычно много рекламы самих себя 🤠

Читать полностью…

Пост Лукацкого

Тут очередной опрос CISO подогнали, в котором задаются классические вопросы про ежегодный доход, подчиненность, управляемые функции и т.п. Но обратить внимание я хотел бы на один вопрос - "Как вы оцениваете эффективность трат на ИБ?" ⁉️

Самый популярный ответ - соответствие плана заранее определенным KPI 🤠 Такое себе, если честно. Поставил себе цели "на полшишечки", достиг их к концу года и все, в шоколаде. Бонус получил, медаль на грудь, и на следующий круг. На втором месте - снижение поверхности атаки. Вполне понятная, но тоже слишком техническая история. Третье место занимает соответствие требованиям и с небольшим отрывом от него - скорость и аккуратность реагирования на инциденты И снова - ни один из этих показателей не имеет никакого отношения к тому, что интересно бизнесу. Отсюда и высказывание одного CFO на нашем бизнес-завтраке - "как объясняют, так и бюджет получают". И только на последнем месте в Топ5 - снижение бизнес-затрат (потерь). Странно, что нашлось 9% тех, кто оценивает свою эффективность по снижению расходов на ИБ 🤔

Читать полностью…

Пост Лукацкого

"Кибрарий" Сбера 🏦 опубликовал карту знаний CISO, как это видится самому Сберу (она у меня уже 6-я или 7-я в коллекции). Лично мне она не зашла. Как по мне, так она не про лидера ИБ 🧐 Она описывает знания уровнем ниже, там где важны технологии ИБ, а не кросс-функциональные темы - финансы, лидерство, работа с людьми, работа с ИТ, внутренний маркетинг, общение с топами и советом директоров, антикризисное управление и т.п.

Ну и выбор иерархической структуры для карты знаний 🗺 неудачен, так как она подразумевает движение сверху вниз или снизу вверх, а карта знаний должна оперировать плюс-минус равнозначными доменами. Карта (mindmap) 🗺 того же Рафика гораздо ближе к тому, что, по моему скромному мнению, стоит знать человеку, должность которого начинается с "Chief". Но с другой стороны, кто я такой, чтобы судить о том, какие знания нужны для приема на работу в Сбер? Возможно, в одной из крупнейших в России экосистем с иерархическим управлением, другого и не надо 🛡

ЗЫ. А вот список технологий, используемых в Сбере (самый нижний уровень), - это прям хорошо. Будет полезно даже тем, кто не планирует быть CISO, а хочет просто работать в "зеленом Банке" 🏦

Читать полностью…

Пост Лукацкого

Тут вот в LinkedIn народ флеймит на тему "все беды от управления уязвимостями" 😱 CVSS - говно, всё - ложные срабатывания, патчи для Линукса и контейнеров - сложно, NVD утонула в бэклоге, "вендора" open source не заинтересованы в обновлении своего ПО, приоритизация сильно зависит от конкретной организации (о, я про это писал), управления активами ни у кого нет... 😭

ЗЫ. Рецепта, что с этим делать, автор не приводит 😊

Читать полностью…

Пост Лукацкого

МинЦифры запустило «убийцу VirusTotal” - https://virustest.gov.ru/ В прошлый раз, в 2021-м году, этот же сервис на том же адресе запускала ФСБ. А в 2019-м такой же сервис обещал запустить ФинЦЕРТ. Бог любит троицу, так что эта попытка должна быть удачной 🤞

Читать полностью…

Пост Лукацкого

Как и предполагалось, Cencora в своей финансовой отчетности не подтверждает выплату 75 миллионов долларов, о котором писал ZScaler в своем отчете по шифровальщикам, как о рекордной выплате вымогателям 🤑 Потери фармацевтического гиганта из Fortune 50 от кибератаки составили "всего" 30 миллионов долларов за первый квартал 2024-го года. В итоге место лидера антирейтинга по выплатам пока вакантно и пока этот кейс попадает в разряд "городских легенд", а не подтвержденных фактов 🏆

Читать полностью…

Пост Лукацкого

Что-то кучно пошло... Хакеры 👨‍💻 взломали английскую компанию Mobile Guardian, которая выпускает решения по безопасности мобильных устройств (MDM) и удаленно потерли данные на тысячах управляемых устройствах под управлением iOS и Chrome OS 📱

Компания уже признала инцидент и сообщила, что он никак не связан с ранее зафиксированной ошибкой в конфигурации устройств iPad, используемых только в Сингапуре 🇸🇬 В инциденте 4 августа пострадало гораздо больше устройств в Северной Америке, Европе и Сингапуре, которые используются преимущественно в сегменте образования 👨‍🏫 Только в Сингапуре известно об уничтожении 13 тысяч устройств в 26 школах (по данным министерства образования). Компания предсказуемо сообщает о небольшом проценте пострадавших устройств и о том, что хакеры не получили доступ к данным (ну а нахрена, если данные можно все стереть?) 🤦‍♂️

В качестве реакции, Mobile Guardian остановила все свои сервера управления, что привело к тому, что студенты не могут пока пользоваться своими мобильными устройствами (еще не легче). В ряде случаев требуется реактивация устройства, зачастую вручную. Продолжается расследование... 🔍

Читать полностью…

Пост Лукацкого

Немного смущают якобы профессиональные ИБ-каналы, которые тупо репостят непроверенные новости 😰 Свежий пример. ФСТЭК публикует проект поправок в 17-й и 239-й приказы, которые к ранее существовавшим там мерам защиты добавляют всего одну - защиту информационной системы от угроз типа "отказ в обслуживании". Все, ничего более ☹️ Дальше, ФСТЭК просто поясняет, что включается в эту меру, а там много всего:
выявление публично доступных интерфейсов и сервисов и исключение неиспользуемых
инвентаризация публичных адресов и доменных имен
формирование матрицы коммуникаций с внешними ресурсами, включая используемые протоколы
составление списка разрешенных во время DDoS адресов для взаимодействия
использование средств или сервисов борьбы с DDoS (сами требования к таким средствам у ФСТЭК утверждены еще несколько лет назад)
наличие двукратного резерва по пропускной способности каналов передачи данных
использование GeoIP от Роскомнадзора (не обязательно блокирование по GeoIP)
хранение в течение трех лет данных о DDoS-атаках
взаимодействие с ГосСОПКА
работа с провайдерами услуг по защите от DDoS, расположенных только в России.

Что пишут "профессиональные" ИБ-каналы про этот приказ? Только про хранение данных об атаках в течение трех лет. Все! 😮 В итоге целиком меняется смысл предлагаемых ФСТЭК поправок, в которых вообще нет ничего нового и сверхестественного, исключая, быть может, двукратный резерв по пропускной способности. Все остальное - просто здравый смысл 🤔

ЗЫ. В итоге от ряда каналов отписался 😠

ЗЗЫ. При этом украинские официальные лица признали проведение массированных DDoS-атак на российские финансовые организации.

Читать полностью…

Пост Лукацкого

Выписал тезисы по статье Алексея Лукацкого про методы приоритизации уязвимостей.

🔹 Количество CVE уязвимостей растёт с большим ускорением; считается, что на одну зарегистрированную уязвимость есть 3 незарегистрированных.
🔹 Исходя из статистики, устранение уязвимостей осуществляется гораздо позже, чем эти уязвимости начинают использовать атакующие.
🔹 Отсутствие выстроенного процесса приоритизации уязвимостей - одна из причин задержек в их устранении.
🔹 Единственного правильного метода приоритизации уязвимостей нет: у каждого свои преимущества, недостатки и область применения.
🔹 Выбор у корпоративных пользователей небогат: довериться методам приоритизации VM-вендора, либо пилить свой процесс (собирая temporal и environmental данные самостоятельно).
🔹 Можно попробовать разработать собственную методику, однако все равно нужно где-то брать исходные данные. Большинство компаний берут за основу CVSS Base Score + временные метрики (EPSS, Coalition ESS, AI Score, CVE Shield, CISA KEV и т.п.). Каверзные вопросы. Что делать с новыми уязвимостями, по которым еще нет данных? И что делать с уязвимостями, для которых нет, и возможно, не будет данных в CVE (например, с уязвимостями в российских продуктах)? 🤔 Информации по их эксплуатабельности в западных источниках не будет. 😏
🔹 "Уникальная и революционная система приоритизации уязвимостей" = учёт информации о наличии эксплойта, использовании уязвимости в реальных атаках, активности обсуждения в СМИ и соцсетях и т.д. + обработка ML-ем.
🔹 Упрощённые критерии принятия решений (НКЦКИ, SSPP, CISA) всё равно требуют автоматизации и источника информации об активности эксплуатации уязвимостей вживую.

@avleonovrus #Prioritization #РезБез

Читать полностью…

Пост Лукацкого

❤️ Написали один из самых долгожданных постов этого лета, судя по вашим вопросам

Да, мы объявляем о новом наборе на стажировку PT Start, по результатам которой вы сможете получить офер и стать сотрудником Positive Technologies.

👩‍🎓 Кого ждем на стажировку

Студентов и выпускников вузов по специальностям «информационная безопасность» и «информационные технологии». Если вы участвовали в соревнованиях CTF, хакатонах и профильных олимпиадах, это будет преимуществом.

🤔 Как туда попасть

Тут все просто: успейте подать заявку и пройти онлайн-тестирование на сайте PT Start до 18 августа.

🧑‍🏫 Что будет дальше

Мы разберем все заявки и отправим приглашения всем подходящим кандидатам (в прошлый раз его получили 1300 человек из 3000 заявившихся).

Всех счастливчиков ждет базовое, а потом и углубленное обучение по основным направлениям: кибербезопасность, разработка, обеспечение качества (Quality Assurance), системный анализ. А после вы сможете сами выбрать, в какой из команд стажироваться.

В конце — финальный босс возможный офер и, что самое важное, бесценные знания и опыт, которые точно пригодятся вам для будущей карьеры.

🏃 Еще думаете? А остальные уже подают заявки!

@Positive_Technologies

Читать полностью…

Пост Лукацкого

Вот так объявляют творческий конкурс по ИБ - накреативить что-то, написать статью, мемасики выдумать и всякое такое. Призы солидные - дроны, айфоны, планшеты и даже ноутбуки. И ты весь такой креативный и писучий приходишь, участвуешь и... не выигрываешь 😭

Жюри решает, что Лукацкий не может наравне со всеми участвовать и надо его в отдельную категорию выделить, поощрить спецпризом и пусть идет отсюда и не мешает молодежи развивать свое творческое начало и демонстрировать креатив 🎨 Пусть не отнимает надежду и не отбивает охоту творить. А то, ишь, заполонил все вокруг... 🖕 И ты уходишь с утешительным призом заливать его в одиночестве коньяком 🍷 Не надо быть как Лукацкий, я тут сам как-нибудь...

Читать полностью…

Пост Лукацкого

Как вы можете быть консультантом и хотеть получать большие деньги, если у вас нет своего фреймворка или какой-нибудь модели?! Никак. Вот и в Accenture подумали также 💡 и разработали модель оценки зрелости вымогателей (Extortion Group Maturity Model, EGMM) 😷 , которую предлагается использовать как аналитический инструмент, помогающий оценить достоверность, стабильность и ожидаемое поведение активных программ-вымогателей и группировок. Правильное применение модели может помочь лицам, принимающим решения, судить о том, должны ли они взаимодействовать (и как) с вымогателями, а также указать на ожидаемое поведение группировки 🤝

EGMM помогает организациям оценить предсказуемость и стабильность группы угроз на основе 1️⃣9️⃣ уникальных параметров, которые затем используются для размещения группы на диаграмме рассеяния по двум осям - стабильность и предсказуемость, что дает попадание в один из 4 квадрантов: от хаотического поведения до стабильного и от предсказуемого до ненадежного 🤔

Все хорошо в этой идее кроме одного - ежемесячно появляется около 30 новых семейств шифровальщиков; кто будет оценивать каждое из семейств и стоящих за ними группировок по EGMM? Получается, что надо иметь в своем составе команду Threat Intelligence, которая и будет заниматься этим? Не все смогут...

Читать полностью…

Пост Лукацкого

Раз уж дал комментарий для радио, то чего пропадать контенту. Специалисты обнаружили уязвимость 18-летней давности, которая угрожает компьютерам под Linux 😁 и macOS 📱, на которых запущены браузеры Chrome 📱, Chromium, Firefox 📱 и Safari 📱. Уязвимость, названная "0.0.0.0-Day", позволяет вредоносным сайтам слать JavaScript-запросы 📱 к локальному адресу 0.0.0.0, а уязвимый браузер будет пересылать их на определенные локальные сервисы на компьютеры, что позволит злоумышленникам красть информацию, изменять настройки ПО, загружать вредоносный код и даже удаленно исполнять код.

На Windows данной проблемы нет, так как она блокирует такие внешние запросы к локальному IP. Разработчики браузеров сейчас в процессе исправления данной уязвимости: 👨‍💻
Google пообещала устранить этот баг в 128 версии Chromium (сейчас в бете) и закончить его к 133 версии Chrome.
Apple внесет изменения в очередную версию движка WebKit и в новом обновлении macOS она должна быть доставлена до пользователей
Mozilla в процессе решения данной проблемы, но когда это будет сделано не сообщается.

Процент web-сайтов, которые коммуницируют с локальным адресов 0.0.0.0 растет и сейчас составляет 0,015% от общего числа сайтов в Интернет, то есть всего около 100 тысяч web-ресурсов (с июня начался экспоненциальный рост).

Читать полностью…

Пост Лукацкого

Помните американскую компанию Johnson Controls, которую взломали 🧑‍💻 в прошлом сентябре, утянули много данных и потребовали выкуп в 50 миллионов долларов? Так вот тут на днях в ее видеокамерах, а она выпускает много всего промышленного, нашли 6 уязвимостей, которые позволяли хакерам получать доступ к видеосистемам и перехватывать видеопоток от уязвимых промышленных камер 🏭

А в Telegram-каналах вчера писали, что ВСУ получили доступ к видеокамерам, расположенным вдоль дорог 🛣 в Курской области, отслеживая перемещение российских войск в рамках контртеррористической операции. Самое интересное, что инструкции по взлому камер видеонаблюдения давно выложены на хакерских проукраинских сайтах. Ровно тот же способ применялся в начале конфликта Израиля и ХАМАС 🇮🇱

А групп в соцсетях, которые торгуют доступами к камерам видеонаблюдения в квартирах, фитнес-центрах, медкабинетах, борделях, загородных домах и т.п., вагон и маленькая тележка 🔞 И существуют они уже не первый год и с ними никто особо не борется. Но самое главное, что они показывают проблему, которая существует, - влияние хакеров на мир физический. И одно дело, когда кто-то наблюдает когда ты ковыряешься в носу, и совсем другое - когда данные перемещения войск сливают противнику, который потом бомбит колонну 🧨

То есть это тема-то не новая, но почему-то на нее мало кто обращает внимание. Видеокамеры и системы управления ими вообще могут не относится ни к ГИС, ни к КИИ, а значит и защищать их необязательно. И вот результат... 💥

Читать полностью…

Пост Лукацкого

Американская ипотечная компания LoanDepot, столкнувшаяся в январе с атакой со стороны Alphv/BlackCat, зашифровавших данные 16 миллионов пользователей, объявила о потерях в 42 миллиона долларов (около 1️⃣0️⃣🔣 всего полугодового оборота компании ❗️), которые включают в себя стоимость расследования и восстановления, стоимость уведомления клиентов об инциденте, стоимость консалтинга, судебные разбирательства и т.п. Также компанию ожидает групповой иск в размере 25 миллионов долларов 🤑

ЗЫ. Alphv/BlackCat объявили, что сейчас в процессе продажи украденных ипотечных данных 😾

Читать полностью…

Пост Лукацкого

Очередной конкурс ИБ-стартапов, на этот раз на BlackHat (BlackHat Startup Spotlight). Чем-то напоминает аналогичный конкурс на RSA Conference, но он другой 😊 В этом году финалистами стали 4 компании:
🔤 RAD Security - поведенческий мониторинг безопасности облаков и реагирование на выявленные инциденты (она же была финалистом конкурса и на RSAC)
🔤 DryRun Security - базирующаяся на ИИ защита для разработчиков, пользующихся GitHub
🔤 Knostic - контроль доступа к LLM для предотвращения передачи конфиденциальной информации
🔤 LeakSignal - классификация и защита в реальном времени конфиденциальных данных в процессе передачи

ЗЫ. Победил Knostic 🏆

Читать полностью…

Пост Лукацкого

Open-source инструмент D.I.A.N.A. на базе ИИ 🧠 - скармливаешь ему TI-отчеты с описанием TTP, даешь фрагменты логов и просишь написать детекты на нужном языке или в нужном формате. И вуаля... Мечта ИБшника... Правда, автор отмечает, что все хорошо работает только при условии хорошего "промпта", то есть описания TTP и логов. А без этого все как всегда - "на входе шлак и на выходе шлак" 🗑

ЗЫ. А вы и есть за меня будете?.. (с)

ЗЗЫ. Не путать с вредоносным фреймворком DIANA для обхода EDR, который сегодня поступил в продажу на черном рынке.

Читать полностью…

Пост Лукацкого

Сенатский комитет по разведке представил новый законопроект в рамках Закона об оборонной политике на 2025 финансовый год (NDAA), который предлагает приравнять атаки программ-вымогателей к актам терроризма 🥷 Этот законопроект направлен на борьбу с растущей угрозой со стороны программ-вымогателей, классифицируя их операторов как "враждебных иностранных киберакторов" и вводя санкции против стран, которые их защищают, обозначая их как "государственных спонсоров программ-вымогателей" ⛔️

Основные положения законопроекта включают:
1️⃣ Приравнивание шифровальщиков к терроризму, отражая их серьезное влияние и угрозу национальной безопасности 👮
2️⃣ Требование отчета от министра финансов с информацией о лицах, группах и организациях, участвующих в атаках программ-вымогателей с последующим их включением в санкции Управления по контролю за иностранными активами (OFAC) 😈
3️⃣ Генеральный ревизор будет докладывать о полномочиях различных агентств, включая Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и ФБР, по преследованию иностранных атак программ-вымогателей 🇺🇸
4️⃣ Законопроект перечисляет 18 групп программ-вымогателей, таких как Black Basta, подчеркивая изменчивую природу этих групп и продолжающиеся действия правоохранительных органов против них 🤠

Кроме того, NDAA на 2025 год фокусируется на более широких инициативах в области кибербезопасности и передовых технологий, включая программное обеспечение с поддержкой ИИ для Министерства обороны, технологии противодействия дронам и возможности квантовых вычислений. Он подчеркивает улучшение безопасности военных цепочек поставок и усиление стратегий кибербезопасности для управления мультиоблачными средами 🇺🇸

Если американцы 🇺🇸 примут законопроект и Байден его подпишет, что очень вероятно, то возможность накладывать санкции на Россию и другие потенциальные страны-спонсоры шифровальщиков можно будет даже после победы Трампа 🇺🇸

Читать полностью…

Пост Лукацкого

Написал заметку про то, почему SOAR мертвы и почему Gartner пометил эту технологию как "obsolete", то есть "изжившая себя" ⚰️

Читать полностью…

Пост Лукацкого

Тут команда экспертов из разных организаций разработала очень неплохую модель оценки зрелости процесса Cyber Threat Intelligence (CTI-CMM). Да, это еще одна модель зрелости в области CTI, но новая ориентирована на предоставление некой ценности различным стейкхолдерам (бизнес-подразделениям) в организации. Авторы выделяют несколько таких стейкходдеров/доменов, для каждого из которых оценивают вклад Threat Intelligence:
1️⃣ Управление активами, конфигурациями и изменениями
2️⃣ Управление угрозами и уязвимостями
3️⃣ Управление рисками
4️⃣ Управление идентификацией и доступом
5️⃣ Ситуационная осведомленность
6️⃣ Мониторинг, реагирование на инциденты и непрерывность операций
7️⃣ Управление взаимоотношениями с третьими лицами
8️⃣ Управление аналитиками CTI
9️⃣ Архитектура кибербезопасности
1️⃣0️⃣ Управление мошенничеством и злоупотреблениями (еще в процессе разработки).

Уровней зрелости выделяется 4 (от 0-го до 3-го) и для каждого предлагается свой набор критериев оценки.

Читать полностью…

Пост Лукацкого

В 2016-м году я написал заметку "Искусственный интеллект скоро вытеснит пентестеров", которую активно хейтили пентестеры 😇 В 2019-м я вновь вернулся к теме полной автоматизации пентестов. В 2024-м про это стал писать Gartner, предрекая полную автоматизацию этому направлению 🤖 Недавно было представлено исследование, в котором демонстрируется, что агенты на базе ИИ способны самостоятельно выявлять уязвимости, не имея о них никакого представления.

И вот вчера очередной стартап XBOW (а на RSAC и BlackHat таких немало) заявил, что их автономный ИИ-агент 🤖 способен справляться с пентестерскими бенчмарками лучше большинства пентестеров-людей, затрачивая на это в 80 раз меньше времени (28 минут вместо 40 часов). Как это часто бывает, в материале не без хайпа и надувательства щек (стартап сам себя не продаст), но курс на полную автоматизацию постепенно приходит во все сферы ИБ и привычные подходы скоро перестанут работать 🎈

Да, XBOW подтверждает, что пока сложные задачи ИИ решает хуже высококлассных экспертов и означает это только одно - скоро рынок середнячков и начинающих пентестеров, только закончивших двухнедельные курсы, будет сильно прорежен и заменен на автономных ботов, решающих типовые задачи быстрее и эффективнее. Останутся они и профессиональные команды, которых в России можно пересчитать по пальцам одной руки ☝️ Базовая история станет недорогой и будет продаваться по подписке (реальный непрерывный пентест), а продвинутая, с участием людей, подорожает. И к этому надо быть готовым...

Читать полностью…

Пост Лукацкого

Все делают мемы про турецкого снайпера, который после стрельбы вытер рукоятку пистолета и выбросил оружие в Сену, и я не буду исключением 😂

Читать полностью…

Пост Лукацкого

Европейский центральный банк (ЕЦБ) завершил стресс-тестирование на устойчивость кибератакам, в котором приняли участие 109 банков 🏦 Целью теста было оценить, как банки смогут реагировать и восстанавливаться после инцидентов с серьезными негативными последствиями. В рамках теста использовался сценарий, при котором все превентивные меры оказались неэффективными, и кибератака привела к серьезным сбоям в работе критически важных систем банков 🏦

Основные выводы и рекомендации:
1️⃣Общая готовность. В большинстве банков есть базовые структуры для реагирования на кибератаки и восстановления после них, но требуются значительные улучшения в управлении кризисами, коммуникациях и планах восстановления ✔️
2️⃣Кризисное управление:
Банкам рекомендовано улучшить планы кризисного управления и непрерывности бизнеса.
Важно активировать планы по управлению кризисами и обеспечить эффективное взаимодействие с внешними стейкхолдерами, включая клиентов, поставщиков услуг и правоохранительные органы 🇷🇺
3️⃣Коммуникации:
Обеспечить своевременные и эффективные коммуникации с внешними и внутренними стейкхолдерами во время инцидента 💬
Провести сценарный анализ, чтобы определить, какие услуги будут затронуты и как минимизировать влияние на бизнес.
4️⃣Восстановление:
Активировать планы восстановления, включая восстановление данных из резервных копий и координацию с ключевыми поставщиками услуг.
Обеспечить полное восстановление всех затронутых областей и внедрение уроков, извлеченных из инцидента ✍️
5️⃣Оценка рисков:
Банки должны уметь правильно оценивать зависимости от критически важных поставщиков ИТ-услуг и адекватно оценивать прямые и косвенные убытки от кибератак 🤑

Результаты стресс-теста будут использоваться для дальнейшего надзорного процесса ЕЦБ в 2024 году, что должно помочь банкам улучшить свои стратегии обеспечения киберустойчивости (ну ЕЦБ так, по крайней мере, думает) 🔍 ЕЦБ продолжит работать с банками над улучшением их операционной надежности и будет проводить аналогичные киберучения в будущем, учитывая эволюцию киберугроз и желая добиться лучшего результата. Важную роль также сыграет внедрение Регламента ЕС 🇪🇺 по цифровой операционной устойчивости (DORA), который вступит в силу в январе 2025 года и будет требовать от банков усиления мер по управлению киберрисками и вовлечения топ-менеджмента в вопросы ИБ🛡

Читать полностью…

Пост Лукацкого

В последние годы киберпреступники все чаще нацеливаются на состоятельных людей и их семьи 🥷 В ответ на это, как пишут западные бизнес-СМИ, набирает популярность новая услуга – персональные киберконсьержи 🎩 Эти специалисты обеспечивают круглосуточную защиту и безопасность личных устройств и сетей своих клиентов. Например, одна из компаний предлагает такую защиту 365 дней в году, выступая в роли “цифровых телохранителей”. Услуги включают в себя не только техническую поддержку, но и обучение клиентов базовым мерам кибербезопасности, таким как настройка конфиденциальности на устройствах 📲, добавление многофакторной аутентификации и идентификация подозрительных писем ❗️

О такой профессии еще в 2014-м, а потом и в 2017-м году писало Агентство стратегических инициатив в своем Атласе новых профессий. После истории с Дзюбой эта тема всплыла вновь, но и тогда она ничем не закончилась ⚽️ И вот иностранцы осознали, что на этом можно делать деньги 🤑 Например, в крупных банках, таких как JPMorgan, появились специализированные команды, которые помогают состоятельным клиентам защитить их цифровую жизнь. Они предлагают услуги по настройке и защите домашних сетей и устройств, а также удаление личной информации из публичных источников и социальных сетей 🗑

У нас я такой услуги пока не встречал, но, как мне кажется, она может стать все более востребованной, так как количество подключенных к интернету устройств растет, и их защита становится все сложнее 🛡 Кроме того, киберпреступники становятся все изощреннее, проводя тщательное планирование и сбор информации о состоятельных жертвах перед атаками 🤕 Правда, тут, как никогда, очень важна репутация тех/того, кто предоставляет услугу цифрового телохранителя. Ведь он может быть посвящен в очень интимные подробности жизни своего клиента, начиная от того, в каких банках у него счета и какие риэлторские агентства управляют его недвижимостью, и заканчивая контактами любовниц, секретами детей и двойной бухгалтерией семейного офиса 🤫

Читать полностью…

Пост Лукацкого

В апреле 2023-го года исследователи ESET обнаружили атаки на некоммерческие организации в Китае 🇨🇳, реализуемые через вредоносные обновления ПО. Однако тогда было непонятно, как эти обновления доставляются жертвам - через атаку "человек посередине" или через компрометацию подрядчиков. И вот, спустя время, стало понятно, как это происходит, что, в контексте истории с браузером "Спутник" и обновлениями CrowdStrike становится очень даже важной темой 🔄

Исследователи Volexity выяснили, что группировка StormBamboo 🐉 (она же Evasive Panda, она же StormCloud) подменяет DNS-запросы к интересующим доменам, связанных с автоматическим обновлением ПО по незащищенным каналам HTTP и отсутствии проверки целостности обновлений 🔗 Поэтому, вместо установки легитимных обновлений, жертвы сами устанавливали себе вредоносы MACMA для macOS и POCOSTICK (он же MGBot) для Windows. Затем уже устанавливались вредоносные расширения Chrome 📱

Исследователи Volexity пока не смогли определить, каким образом подменялись DNS-записи на устройствах, управляемых Интернет-провайдерами, но предполагается, что не обошлось без CATCHDNS, вредоноса, перехватывающего запросы DNS и HTTP и используемого уже ранее китайскими APT-группировками 🐲

Впору задуматься о том, как у вас устроен процесс управления обновлениями ПО, насколько вы доверяете вашим вендорам и как проверяете все, что прилетает вам вроде как из доверенных источников?..

Читать полностью…
Subscribe to a channel