alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

В полной традиции с манерой ведения канала "то пусто, то густо", написала лонгрид на тему оценки рисков, как соотносится стоимость риска и стоимость защиты, и причем тут "нобелевская" совокупная теория перспектив Канемана и Тверски.
Очень хочу обсудить, велкам в комментарии.

Читать полностью…

Пост Лукацкого

Мне на следующей неделе лететь в Абу-Даби для выступления на конференции по киберпреступности, к которой я готовлю различные кейсы. И вот один из свежих примеров, когда на компании Ближнего Востока 🕌 нацелились хакеры, распространяющие вредонос под видом средства защиты Palo Alto (Palo Alto GlobalProtect). Сама по себе схема не нова - сначала предположительно идет фишинговое письмо ❗️, в котором жертве предлагается установить средство защиты американской компании. На второй стадии компьютер заражается и попадает под контроль хакеров, которые управляют им через C2-инфраструктуру. Пострадавшие от этой атаки пока неизвестны.

Читать полностью…

Пост Лукацкого

У коллег из канала "Резбез" вышло два поста про то, что должен содержать в себе отчет по анализу защищенности и каковы критерии качества работ по оценке защищенности. И я сразу вспомнил один отчет по пентесту, который попался мне в руки в Бразилии 🤕 Всего 4 страницы, на которых просто указаны меньше 10 найденных с помощью Nmap, Nikto, WPScan уязвимостей на периметре заказчика. Рекомендации впечатляют. Думаю, даже не знающие португальский, легко поймут, о чем идет речь. И "это" у кого-то поворачивается язык называть пентестом, а кто-то за это еще и платит 🤠 Тьфу таким быть. Должно быть стыдно выдавать "это" за пентест.

Читать полностью…

Пост Лукацкого

Ну где тебя 🟥 еще так встретят и проводят? Только в Бразилии 🇧🇷 И хотя я не попал на день рождения компании, который празднуется сегодня в Москве, в Бразилии мы тоже отметили как смогли 💃

Читать полностью…

Пост Лукацкого

20 августа Верховный суд оставил решение нижестоящих инстанций о тюремном заключении 😡 Илья Сачкова без изменений, посчитав, что оснований для пересмотра дела нет ☹️ В резолютивной части приговора говорилось, что в деле имеются вещественные доказательства, включая визитки сотрудников ФБР, сотрудников посольств США и Великобритании в РФ и сотрудников британского МИД 🇺🇸

Официально заявляю, что после того, как я это прочитал в прошлом году, я сразу уничтожил все визитки, которые у меня были от сотрудников различных посольств, которые бывали в офисе Cisco по роду службы, а также от сотрудников АНБ и ФБР 🇺🇸, которые [визитки, а не сотрудники] у меня скопились после многократного посещения RSA Conference и других мероприятий, на которых указанных сотрудники выступали 👮

Читать полностью…

Пост Лукацкого

Интересно, кстати, как организован CISO Forum в Бразилии 🇧🇷 Единственный keynote-доклад (от меня) и потом одни дискуссионные панельки. И в первый день точно такая же история. Никакой рекламы, никаких спонсорских «мы платим - вы должны включить наш доклад про мегасуперпупернгфв» 🤬 Про продукты вообще ничего нет. Респект и уважуха оргам 🙂

Читать полностью…

Пост Лукацкого

Как-то я смотрел выступление Джеки Чана на церемонии получении Оскара и думал: "Вот ведь классный чувак, давно в Голливуде, но до сих пор говорит по-английски так себе и не парится на эту тему. Он делает то, что он считает нужным и не заморачивается, насколько хорошо или плохо он при этом говорит по-английски. Его ведь понимают!" 😱

Меня достаточно долгое время напрягал мой английский. Да что говорить, он до сих пор меня напрягает. Я реально не чувствую себя уверенным, когда выступаю на не родном для меня языке, который я и учить-то стал уже после института, когда попал в Cisco (до этого у меня было 8 лет немецкого в школе), то есть в зрелом возрасте 😛 Но я влезаю во все международные инициативы 🟥 именно потому, что иначе я не смогу перестать бояться. Не бояться выступать, с этим у меня нет проблем. И не бояться оказаться вне повестки ИБ, с этим тоже нет сложностей (я вообще понял за годы в ИБ, что мы можем дать фору иностранцам по многим вопросам, так как опережаем их в обеспечении практической, результативной ИБ).

Позитив, даже не Cisco, дал мне возможность не бояться говорить на иностранном языке. Это офигенное ощущение, когда ты выступил на знакомую тебе тему и она зашла аудитории 🎆 Да, ты косячил с временами и спряжениями, но это не так важно. Я выступал не перед native speakers. Для них английский - такой же не родной, как и для меня. И в любой стране мира, где мне доводилось выступать очно или онлайн, я могу сказать, что все очень лояльны к тебе, так как мало кто родился со знанием английского. Арабы, бразильцы, чехи, поляки, норвеги, испанцы... Все они учились английскому также как и я (ну или почти также). Даже многие англичане снимают шляпу (не мою 🤠) перед теми, кто изучает их язык, так как у нас есть коренное отличие от них - они знают только один язык, свой, английский, а все остальные знают как минимум два языка - свой родной и английский. И это не мы плохо говорим - это они вообще не говорят ни на каком языке, кроме своего. То есть это не нам должно быть стыдно, что мы плохо говорим на английском, а им, что они не говорят на русском, португальском, испанском, немецком, чешском, сербском и т.п.

Так что не надо бояться выступать - на другом языке, перед незнакомой аудиторией, на не до конца изученную тему (хотя тему лучше изучить, конечно). Вы тем самым пересиливаете себя и свой страх. А это дорогого стоит! Ну а после выступления и выпить не грех, снять стресс и расслабиться, что я и сделал после своего выступления в Бразилии 🇧🇷

Читать полностью…

Пост Лукацкого

Прекрасный пост на Хабре о том, как мой коллега, Алексей Усанов, написал книгу ✍️ по реверс-инжинирнгу встраиваемых систем. Помните дискуссию на PHD2, где мы обсуждали в узком кругу ИБ-писателей зачем и как писать 📝 книги (эфир тоже можно посмотреть)? Так вот Алексей раскрыл эту тему в статье еще шире. Так что если вы стояли перед выбором, писать или нет, то прочитав мысли Алексея у вас отпадут все сомнения ✍️

Читать полностью…

Пост Лукацкого

Первый визит в Южную Америку, первое выступление в Южном полушарии на английском, первый полет на A380, впервые такие приключения с организацией выступления русской компании в Бразилии... Ну что ж, с почином...

ЗЫ. И пусть кусают локти те, кто не взял на меня на работу из-за того, что я не знаю английского 😂 Бразильцев это совершенно не смущает 🤝

Читать полностью…

Пост Лукацкого

Если вдруг меня примут американские спецслужбы 🇺🇸 и начнут на полиграфе выпытывать, был ли я в ГРУ, то смело могу отвечать, что да, был, решал вопросы кибербезопасности 🛡 И ни один полиграф не поймает меня на неуверенном ответе или попытке увильнуть ;-) ☺️

Читать полностью…

Пост Лукацкого

Я, конечно, победил 🤼 хакеров на киберполигоне, но у меня три вопроса:
🔤 Почему для трояна есть только варианты «пометить» и «пропустить», но нет «заблокировать» или «удалить»?
🔤 Почему анализ статистический, а не статический?
🔤 Почему рекламируются продукты ушедших из России американских компаний? 🤔

Читать полностью…

Пост Лукацкого

Ждем роста кибератак от хактивистов на Францию…. ✈️ (они уже начались). Руслан у себя высказался про сложившуюся ситуацию и склонен согласиться с его взвешенным мнением. А я только отмечу одно - любая централизованная система коммуникаций, неподконтрольная какому-либо государству, рано или поздно вызывает вопросы к ней со стороны разных государств и спецслужб 😕 А за вопросам следует желание контролировать. И если владелец платформы делает вид, что сигналов не понимает или прямо говорит, что он за свободу слову, то извините, ждите последствий 😡

Если вам кто-то впаривает абсолютно надежный и безопасный мессенджер и его название не Anom, Phantom Secure, Sky ECC или EncroChat, то я бы 10 раз задумался 🤔 А с указанными названиями и думать нечего - там и так все понятно. Но лично мне ясно одно - примерно так, как сейчас авторы шифровальщиков начинают писать собственные криптографические подсистемы, так скоро появятся децентрализованные или очень непубличные и на малые группы пользователей защищенные мессенджеры. И бороться с ними будет гораздо сложнее, чем с популярными средствами коммуникаций 👀

Читать полностью…

Пост Лукацкого

Австралийский Medibank провел в четверг звонок с инвесторами, где, помимо прочего, рассказал о последствиях кибератаки, о которой я уже как-то писал. Итак, страховая компания, столкнувшаяся с шифровальщиком:
Ожидает совокупные расходы на модернизацию своей системы ИТ-безопасности в размере 85 миллионов американских долларов за 3 года (126 миллионов австралийских долларов). В результате атаки годовой бюджет на ИБ вырос в 40 раз! 👇
Потратила 40 миллионов австралийских долларов в 2024-м году на обновление ИТ-систем (в прошлом году было потрачено чуть больше денег на это)
Могла получить штраф в размере фантастических 21,5 триллионов долларов, если бы суд по максимуму наказал компанию, но итоговая сумма штрафа была существенно ниже.

Для информации: до атаки шифровальщика Medibank тратил на свою ИБ всего 1 (один) миллион австралийских долларов (это менее 60 миллионов рублей), на ИТ-бюджет - 4-5 миллиона; и это при годовом доходе Medibank в 7,1 миллиарда долларов. Число сотрудников Medibank составляет 3291 человек, а штат ИБ - всего 13 специалистов.

Читать полностью…

Пост Лукацкого

"Амеравиация" (она же Federal Aviation Administration, FAA) выпустила проект новых требований по кибербезопасности самолетов ✈️, которые учитывают новые угрозы для авиации и должны помочь повысить уровень защищенности бортов от целенаправленных воздействий, которые могут быть реализованы через:
бортовое ПО (Field Loadable Software)
ноутбуки специалистов поддержки
сети аэропортов и авиакомпаний
публичные сети
Интернет
беспроводные сенсоры самолетов
мобильные сети
USB-устройства
спутниковые коммуникации
мобильные компьютеры and портативные electronic flight bags (EFBs)
системы навигации, например, GPS.

Интересно, для МС-21, Ту-204/214, SSJ, Ил-114 есть такие же требования по кибербезу? ✈️

ЗЫ. И будет у нас тогда вот так ✈️

Читать полностью…

Пост Лукацкого

В Cisco был (и есть, но в России недоступен) классный сервис - dcloud, который позволял не только тестировать различные средства защиты компании, но и обучаться на виртуальном стенде, проходя различные сценарии атак и реагируя на них правильным образом 👨‍💻 При этом dcloud работал без участия специалистов Cisco и не требовал их привлечения. Вы просто заходили на сайт, бронировали время, запускали в нужное время браузер, заходили в dcloud, где уже была развернута виртуальная среда, эмулирующая обычную ИТ-инфраструктуру многих компаний. И дальше вы могли на этом цифровом двойнике экспериментировать, отрабатывать навыки и все такое 🧑‍💻 Очень полезный и целиком автоматический сервис был.

И вот на днях схожую историю, но в чуть более упрощенном режиме и без привязки к конкретным вендорам, запустила американская CISA. Речь о сервисе "Try CYBER", где можно попробовать решить шесть разных заданий в зависимости от роли специалиста по ИБ 🛡 Под каждое задание разворачивается виртуальный стенд, в котором вы и резвитесь за отведенное вам небольшое время. Достаточно интересный опыт 🤔

Я все жду, когда мы киберполигон Standoff 365 доведем до такого состояния, чтобы можно в нем было обкатывать свои навыки без помощи со стороны менторов Я бы с удовольствием в такую историю влез; в Cisco я регулярно в dcloud разные сценарии тестировал.

ЗЫ. Зайти на Try CYBER можно только с американских, вроде, IP-адресов. У меня, по крайней мере, с европейского VPN не получилось, только с американского 🇺🇸

Читать полностью…

Пост Лукацкого

Вот и Катя прошлась по оценке рисков... 🔪 Мне кажется, чем больше будет статьей на тему реального применения оценки рисков в ИБ, тем более зрелым будет становиться рынок и тем более осознанным использование различных правильных подходов к тому, как говорить с бизнесом 🤝 Не вот это вот "аааа, все пропало" и метод светофора, а учет не только потерь от реализации риска, но и пользы, которую тот или иной риск может принести, а также поиск баланса между ними, что и отличается бизнесмена и предпринимателя от наемного менеджера и безопасника 🚦

Читать полностью…

Пост Лукацкого

Думаю, многие видели модель разделения ответственности за безопасность в различных моделях оказания облачных услуг (IaaS, PaaS и SaaS). Вот аналогичная, но для машинного обучения 🧠 Тут и вам про персональные данные, и про этику, и про реагирование инцидентов... 💭

Читать полностью…

Пост Лукацкого

Ну и по традиции краткая выжимка из второй прочитанной в Бразилии презентации. Да, она не на бразильском португальском языке, mas então não ficaria claro nem para você nem para mim :-)

PS. Учите иностранные языки. Это отличный способ оттянуть, а то и вовсе исключить из своего будущего болезнь Альцгеймера 😎

ЗЗЫ. У этой презентации есть один секрет, который очень сильно помог нам в Бразилии. Но я его не расскажу (хотя он и показан на слайдах ☝️) - оставлю при себе. А то все побегут в Бразилию 🏃

Читать полностью…

Пост Лукацкого

Рассказывал в Бразилии 🇧🇷 про результативную кибербезопасность, недопустимые события и вот это вот всё. После подошел CISO крупной компании и говорит:

О, Боже! Наконец-то я услышал то, что мне нужно. А то ко мне приходили ребята из Big4, приносили простыни со своими реестрами рисков и пытались всучить их оценку. А я понимаю, что к моменту, когда они закончат оценивать, мне надо будет начинать все заново и более того, появятся новые риски, и все начинать сначала; и так по кругу.


Так что тема понятна и вполне заходит 😎 Вторая дискуссия была с девушкой из страховой компании, которая пыталась убедить, что топы любят цифры, Excel’вские расчеты, актуарные таблицы, вероятности и вообще, чем больше цифр, тем лучше 🧮 И вообще топы тупенькие и неправильно оценивают последствия от кибератак.

Тут мы, конечно, немного зарубились с ней на тему восприятия последствий от кибератак и того, для чего собственно нужны сложные калькуляторы и цифры - для продажи страховых продуктов или для погружения топов в тему ИБ. И вроде как мы пришли к некой срединной линии, где наши взгляды сошлись 🤝 Но тему недопустимых событий для страхового бизнеса еще надо, конечно, дорабатывать.

Читать полностью…

Пост Лукацкого

В американском ИБ-издании на редкость неплохой материал по российскому рынку Bug Bounty 🤑 Автор пишет, что HackerOne, BugCrowd, Intigriti вышвырнули русских багхантеров со своих платформ, а американские бигтехи типа Apple и др. отказываются платить русским за найденные у них уязвимости, что и привело к предсказуемому росту рынка Bug Bounty в России 🇷🇺

Упоминается первая программа Bug Bounty от Яндекса, начавшаяся в 2012-м году. Есть информация о трех крупнейших платформах - BugBounty[.]ru, Stnadoff 365 Bug Bounty 🟥 и BIZONE Bug Bounty, а также о суммах выплат, которые, по мнению автора, сопоставимы с тем, что платились на HackerOne. Не обойдена вниманием и тема Минцифры, которая вышла на BugBounty со своими ГИСами. Также дается небольшой экскурс в уголовное законодательство в контексте истории с легализацией белых хакеров 👨‍💻

В заключении автор пишет, что у российской экосистемы Bug Bounty большое будущее 💪, так как эти платформы будут привлекать 🫴 не только российских багхантеров, которых только сейчас насчитывается около 20 тысяч, но и исследователей из других юрисдикций, которые с высокой степенью вероятности могут попасть под очередные санкции США. Это приведет к тому, что уязвимости в западных продуктах будут продаваться не вендорам на иностранных платформах, а в России, что, потенциально, может означать, что их покупателями станут российские спецслужбы, что создаст дополнительные угрозы шпионажа для Запада 😕 Ну и по аналогии с недавно вышедшей статьей о том, что иностранцам надо присматривать за Astra Linux, автор предлагает присматривать и за российским рынком Bug Bounty 😮

Читать полностью…

Пост Лукацкого

Оказалось, что в Бразилии вообще мало кто рассказывает про кибербез, так как это сделали мы 🤹‍♂️ Не только нестандартная тема (ИБ с точки зрения бизнеса), но и сама подача, оформление были очень хорошо восприняты аудиторией. И это при том, что на весь первый день CISO Forum было всего две англоязычных презентации - моя и еще одна спикера, девушки, которая отвечала на вопросы модератора (без презентации); все остальное было на бразильском языке 🇧🇷

Люди тут скучают по нормальным, а не согласованным строгим корпоративным PR и маркетингом, скучным презентациям с кучей ограничений, выверенными нейтральными картинками из фото-стоков... 🤠 Ну а я особо не заморачивался - взял тему оценки защищенности и провел аналогии с футболом, который в Бразилии введен чуть ли не в религиозный культ. Зашло на ура! 🎆

ЗЫ. В итоге организаторы попросили "на бис" выступить и во второй день 😂

ЗЗЫ. Мой вам совет: ваша целевая аудитория - это слушатели, а не ваш маркетинг.

Читать полностью…

Пост Лукацкого

Выложено видео нашего вебинара "Как измерить эффективность SOC", презентацию с которого я выкладывал чуть раньше 🧮

Читать полностью…

Пост Лукацкого

Главврач 👀 уфимской больницы, ссылаясь на законодательство о безопасности и борьбе с терроризмом, распорядился установить видеокамеру 👀 в гинекологическом кабинете. Теперь-то стало понятно, где террористы и экстремисты закладывают взрывные устройства, прячут килограммы наркотиков, нарушают законодательство о криптографии и снимают порнофильмы 🤦‍♂️

Читать полностью…

Пост Лукацкого

Если посмотреть внимательно на текст предъявленных Павлу Дурову обвинений, то из 12 пунктов три (3) касается нарушения владельцем Telegram законодательства Франции по криптографии, а именно:
🔤 Предоставление криптологических, а не просто криптографических, услуг, направленных на обеспечение функций конфиденциальности без соответствующего декларирования (у нас бы сказали лицензирования)
🔤 Предоставление криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления
🔤 Импорт криптологических средств, не обеспечивающих исключительно функции аутентификации или контроля целостности, без предварительного заявления.

Отмечу, что в России существуют схожие с французским законодательством требования по импорту и экспорту шифровальных средств и, так как Telegram не считался отечественным, то к нему и у нас должно было применяться схожее тому, что действует в стране-хозяйке недавних летних Олимпийских игр. Интересно, если бы Дуров прилетел в Россию, его бы по прилету ждала такая же судьба?.. 🤔

Читать полностью…

Пост Лукацкого

США 🇺🇸 подали иск против технологического института Джорджии и исследовательской корпорации Джорджии за невыполнение требований Министерства обороны США в области кибербезопасности. Кроме того, "обвиняемые" сфальсифицировали результаты проведенной оценки уровня своей ИБ, чтобы показать свое соответствие и получить "вкусные" контракты МинОбороны 🇺🇸 Информация об этом была доведена до сведения американского Минюста, который еще в 2021-м году запустил новую инициативу, в рамках которой все желающие могут сообщить об обмане со стороны получателей государственных контрактов, которые сознательно:
используют или предоставляют некачественные продукты или сервисы ИБ
нарушают стандарты и регламенты ИБ
отказываются от непрерывного мониторинга ИБ и уведомления об инцидентах ИБ 🤬

И таких дел у Минюста США уже несколько, что говорит о серьезности намерений американских надзорных органов строго следить за тем, как обеспечивается безопасность данных и систем, владельцем которых является государство.

Читать полностью…

Пост Лукацкого

Ох, незамутненные такие... 🇨🇳 Раньше приходили за зеродеями или вредоносами. Теперь вот данные по LinkedIn им подавай. А когда отказываешь, обижается, и просит контакты самых лучших хакеров, чтобы вместе атаковать американцев... 👨‍💻

Читать полностью…

Пост Лукацкого

Что-то меня эта реклама триггерит. Нетолерантная она какая-то… 🤠

Читать полностью…

Пост Лукацкого

ИБ-компания Cado Security столкнулась с атакой typosquatting, когда злоумышленники, готовящие атаку против клиентов компании (а может и самих сотрудников), создали похожий домен cadosecurlty[.]com (а вы заметили разницу с написанием реального домена?), а заодно и аккаунт в соцсети X (бывший Twitter). Также, эти же злоумышленники создали фишинговые домены для атак на компании ClickUp (ciickup[.]com), Scribd (scrib3[.]com) и других, менее известных в России.

Cado, идентицифировав атаку, сразу сделала следующее:
1️⃣ Информировала своих сотрудников о попытке атаки
2️⃣ Провела поиск на почтовом сервере всех сообщений, исходящих с вредоносного домена, а также включила мониторинг и блокировку новых сообщений с него
3️⃣ Сообщила о проблеме регистратору доменов.

Я бы к этому списку добавил уведомление специализированных компаний, занимающихся борьбой с фишингом, типа Google или Phishtank, а в России, соответственно, - ИС "Антифишинг", НКЦКИ или проект "Нетоскоп" КЦ домена .ru/.рф, а также, если вы являетесь субъектом КИИ или финансовой организацией, то в центр ГосСОПКА или ФинЦЕРТ.

Читать полностью…

Пост Лукацкого

На фоне новости о том, что Microsoft 📱 с октября вводит обязательную многофакторную аутентификацию для пользователей Azure, Microsoft Entra и Intune, нашел прикольную визуализацию по дизайну защищенных систем 🛡

Читать полностью…

Пост Лукацкого

Коллеги из PT ESC решили провести шуточный опрос про любимое APT-животное, предложив много разных вариантов на "волчью" тему 🐺 А мне тут надысь попалось описание индийский группировки CyberVolk, стоящей за одноименным шифровальщиком, символом которой является тот самый серый хищник из детских сказок, который может укусить за бочок 🐺

В очередной раз задумался о том, что отсутствие единых подходов к наименованию хакерских группировок может сыграть злую шутку со специалистами по безопасности. Возьмем того же волка 🐺 С легкой руки CrowdStrike, которая использует название классов животных для APT-групп, ассоциируя их с разными странами, медведи теперь ассоциируются с Россией, драконы 🐉 с Китаем, леопарды с Пакистаном, а волки - это группировки из Турции 🇹🇷 Компания "Бизон" тоже взяла на флаг волчью тему, но привязывает ее не к стране происхождения группировки, а к ее мотивации. Волки - это финансово мотивированные хакеры 🤑 Оборотни и гиены при этом хакеры, спонсируемые государствами, и хактивисты соответственно. Интересно, что для хактивистов CrowdStrike зарезервировала в качестве животного тотема шакала, Palo Alto называет их "девами" (Virgo), а TrendMicro и вовсе ветром 🌬

И отсюда начинается путаница. Возьмем, к примеру, группировку, названную "Бизоном" Red Wolf. У того же F.A.C.C.T. (и Group-IB), где раньше трудились некоторые коллеги из компании, чье имя ассоциируется с животным, которого тот же CrowdStrike использует для обозначения хакерских группировок из Вьетнама (да, вы правы, речь идет о бизоне, которого в Северной Америке называют Buffalo 🦬, а это общее название группировок из страны, в которой когда-то была база советских подводных лодок (Камрань), эта же группировка называется RedCurl. Почему? Не знаю. Trend Micro называет эту же группировку Earth Kapre (TM все группировки, занимающиеся шпионажем, называет Earth, в то время как Бизон их называет "оборотнями"). И таких примеров масса. Например, APT 26, которая также известная как Turbine Panda 🐼, Shell Crew, WebMasters, KungFu Kittens. Или APT15, которая другими компаниями называется Vixen Panda, Mirage, Ke3chang и Nylon Typhoon. А Gallium - это Softcell, она же Phantom Panda, она же Alloy Taurus, она же Granite Typhoon 🥷

И так во многих случаях - вместо того, чтобы использовать уже известное имя, компания придумывает новое, в соответствие со своей классификацией. Например, в 2019 Cisco Talos выявил группировку Sea Turtle 🐢, которую спустя время обнаружили Microsoft, CrowdStrike, PwC и другие, назвав уже известную группировку так же Teal Kurma, Marbled Dust, Silicon, UNC1326, Cosmic Wolf 🤔 В итоге сотни группировок превращаются в тысячи и отслеживать разные наименования становится той еще задачей (например, как у немцев сделано в отношении группировок, активно действующих против Германии 🇩🇪).

А все потому, что сначала исследователи Shinigami42/what-a-cluster-how-industry-groups-and-names-threat-activity-clusters-0c65a7128162">определяют "кластеры активности” 🎮, наборы вредоносных действий, которые связывают с определенными угрозами или нарушителями. Эти кластеры определяются на основе различных данных, таких как техники атак, инфраструктура, используемые инструменты, цели, мотивация и т.п. Схожие параметры дают возможность объединить атаки в кластеры, а затем в группировки. Однако проблема заключается в том, что разные компании и исследователи называют одни и те же кластеры по-разному, что и приводит к путанице 😃

Возможно стоит подумать об унификации подхода в именовании и классификации для облегчения анализа и координации разных компаний, исследователей, регуляторов и центров мониторинга и реагирования на угрозы. Или это утопия? 😕

Читать полностью…
Subscribe to a channel