Итого, ФСТЭК сейчас создает/разрабатывает (из публично озвученного на конференции в день Трифона-Мышегона):
1️⃣ Требования по обеспечению защищенности государственных информационных систем и значимых объектов критической информационной инфраструктуры Российской Федерации от несанкционированных воздействий типа «отказ в обслуживании»
2️⃣ Типовая программа и методики аттестационных испытаний
3️⃣ Методика анализа уязвимостей
4️⃣ Методика тестирования функций безопасности
5️⃣ Методика испытания системы защиты информации с использованием средств тестирования
6️⃣ Методика тестирования производительности NGFW
7️⃣ Центр компетенций по тестированию производительности, устойчивости функционирования и функциональных возможностей МЭ и иных сетевых устройств
8️⃣ Полигон для тестирования СрЗИ путем эмуляции действий нарушителей
9️⃣ Центр исследований в области обеспечения информационной безопасности при использовании технологий искусственного интеллекта
1️⃣0️⃣ Методика выявления уязвимостей и НДВ в ПО
1️⃣1️⃣ 5 ГОСТов по безопасной разработке, из которых парочка уже принята, но на слайдах не было отражено (руководство по оценке безопасности разработки, руководство по проведению статического анализа, руководство по разработке безопасного ПО, доверенный компилятор C/C++ и управление безопасностью ПО при использовании заимствованных и привлеченных компонентов)
1️⃣2️⃣ Показатель (и методика его определения) состояния защиты информации и обеспечения безопасности объектов КИИ в ОГВ и(или) организации
1️⃣3️⃣ Показатель (и методика его определения) зрелости деятельности ОГВ и организаций по защите информации и обеспечению безопасности объектов КИИ
1️⃣4️⃣ Требования о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых являются РФ, субъект РФ, муниципальное образование
Несколько цитат ✍️, которые мне запомнились на Уральском форуме в Екатеринбурге. Вообще их было больше, но это прямо зацепили:
Тот бизнес, который не понимает важность кибербеза, не должен существовать
(с) Дмитрий Гусев
Требования регуляторов - это фанера под пятую точку
(с) Дмитрий Гусев
Договориться с нами легко, если делаете то, что мы [ИБ] сказали
(с) Александр ЕгоркинЧитать полностью…
Академики РАН в 2️⃣0️⃣1️⃣4️⃣-м делали такой прогноз 🔮 на ИБ в2️⃣0️⃣3️⃣0️⃣-м и видится мне, что они ошиблись лет на 6️⃣ в своих прогнозах в большую сторону. Это к разговору о том, насколько точны прогнозы в области информационных технологий и кибербеза и что то, что кажется очень далеким, может оказаться в реальности гораздо ближе 🛡
Читать полностью…А у нас тут исследование по фишингу 🤒 вышло, с разными примерами, картинками и аналитикой. А так как я к нему тоже руку ✍️ немного приложил, то не могу не поделиться 🎣
Читать полностью…Сачок все шутит 😊 И Позитив шутит. А я свое в прошлом году отшутил, подготовив аж 20+ валентинок про ИБ. Так что просто всех с праздником 👨💻 Кирилла и Мефодия (если вы российский католик) или Трифона-мышегона (если вы православный)! Ну и Святого Валентина, если вы традиционалист 🙏 Еще и день компьютерщика какой-то сегодня. Есть из чего выбрать 🤝
ЗЫ. Не исключаю, что в следующем году этот праздник будет запрещен в России, как рушащий устои, нарушающий скрепы и вообще нетрадиционный, если вспоминать одну из версий, кем был Валентин.
Кто спрашивал, что за инструмент 🥁 для моделирования угроз я вчера описывал? Звать его ThreatModeler! Есть платная версия и community edition.
ЗЫ. Вот и картинка пригодилась про модельера 😇
Завтра, главное, не попасться на удочку мошенников 🤒, которые могут отправить вам любовное послание 💌 от человека, который вам нравится, но вы боитесь ему признаться. Но вы лайкаете его/ее фотки в соцсетях и это легко отслеживается, как и ваши чувства, которые могут сыграть с вами злую шутку! 😈
Читать полностью…Попробовал на выходные онлайн сервис для моделирования угроз, этакий Visio по ИБ. Много предопределенных шаблонов для разных систем и сценариев (от облаков 🌩 и АСУ ТП до финансовых приложений и инсулиновых помп, от беспилотного транспорта 🏎 и автоматической обработки PDF-файлов до буткитов и атак на спутниковые системы 🛰). Для каждого компонента создаваемой модели в сервисе есть свой перечень угроз и защитных мер, что в совокупности дает полную картину того, что может произойти с анализируемой системой и как этому противостоять 🛡
Каждая угроза в конкретном сценарии может иметь разные статусы (не устранена, нейтрализована, не применимо, частично устранена, устранена защитной мерой, вне области рассмотрения). Тоже и с защитными мерами, которые могут иметь разный статус 🛡 - от реализовано или рекомендовано до неприменимо или невозможно оценить эффективность. Для каждой угрозы дается описание и ссылки на MITRE CAPEC.
На протяжении последних, как минимум, 10 лет, в эти даты, плюс/минус, проходит конференция ФСТЭК. И так как я был на многих и постил с них новости, планы и обещания регулятора, то ФБ в последние дни активно напоминает обо всех из них. Про многое я уже и забыл, что это было в планах - не всё оказалось выполнено и реализовано 😭 Все-таки повестка и нехватка ресурсов сильно влияет на результат. Завтра вот снова конференция ФСТЭК и регулятор расскажет о новых планах... Программа, по крайней мере, выглядит насыщенной, прям как в доковидные времена 💪
Читать полностью…ООН 🇺🇳 проводит расследование 58 кибератак, совершенных Северной Кореей 🇰🇵 против криптовалютных компаний с 2017 по 2023 годы, в результате которых было украдено около 3 миллиардов долларов, потраченных на ядерные исследования, что нарушает санкции ООН.
При этом с прошлого года идут разговоры, что Россия помогает отмывать эти криптоактивы через находящиеся в РФ 🇷🇺 криптобиржи 💸А это уже попахивает помощью в обходе санкций ООН. И хрен знает, куда это все заведет...
От OnlyFans до OnlyFake… Очередной дипфейк сервис, создающий за 15 долларов фальшивые документы, удостоверяющие личность, которые проходят проверку 🛂 на криптобиржах, каршерингах и других онлайн-сервисах.
Фальшивые паспорта и водительские 🪪 создаются на фоне типа стола, ковра, столешницы и т.п. При этом в фото подставляются нужные метаданные, включая GPS. Сервис может генерить паспорта и водительские 26 стран и «выпускает» сейчас до 20 тысяч документов в сутки.
Службам безопасности онлайн-сервисов на заметку 📝
Скандал в благородном семействе. LockBit 🤒 заблокировали на двух крупнейших русскоязычных форумах XSS и Exploit за «кидалово». Тот не согласился и началась занятная дискуссия 🤬 на тему, кто прав, а кто нет.
Спустя время на форум XSS пришел юрист 🧑💼 LockBit (а у вас есть свой юрист?) и предложил решение затянувшегося конфликта - бесплатная реклама Lockbit на форуме в качестве возмещения морального вреда 😂, выплата 10% от доходов форума и продажа форума за 1 доллар 🛍
Конфликт позволяет погрузиться в культурные традиции отечественного кибер-андерграунда, его правила и особенности 🤒
К разговору о том, в чем отличия организаций, зараженных шифровальщиками, с точки зрения выплат выкупа или невыплат 🤒. На первой картинке прямые и вторичные финансовые потери казино Caesars в Лас-Вегасе 🎪 На втором - казино MGM Grands в том же Вегасе. В первом случае выплата выкупа была произведена почти сразу, а во втором - был отказ от выкупа. Разница, как мы видим, почти трехкратная.
Это я не к тому, что надо обязательно платить вымогателям выкуп 🤑 Выводы совсем иные:
1️⃣ Атака шифровальщика - это совсем не ИБ-проблема, а вопрос бизнесовый. Платить и быстро восстановиться или не платить и восстанавливаться неделями. Это решает именно бизнес, а не ИБшник.
2️⃣ С точки зрения финансовых потерь от шифровальщиков проблема тоже выходит на уровень топ-менеджмента. Я про это как раз рассказывал на пятничном вебинаре, видео и презентацию с которого выложу в ближайшее время. Это не "какой-то там вирус".
3️⃣ Даже если вы выплатите выкуп, то потери от шифровальщика составят все равно в разы больше, чем сумма выкупа.
4️⃣ Лучше нормально выстроить систему защиты от шифровальщиков (и это не только и не столько антивирус), чем потом вынимать из бизнеса деньги на выплату или нести потери от простоев.
Сегодня у нас будет день шифровальщика 😊 Если посмотреть отчет Chainalysis по выплатам вымогателям, заражающим организации шифровальщиками по всему миру, то мы увидим, что за последние пару лет, сумма выкупа больше 1 миллиона долларов неуклонно растет и приближается к 80% всех выплат 🤑
Это к тому, что если вы вдруг попадете под раздачу, не выстроив адекватную систему защиты от шифровальщиков, то заложите эту сумму в бюджет. Ну или готовьтесь платить 🤒 в несколько раз больше денег за восстановление системы и потери в процессе ее недоступности.
В интересное время живем. Nginx умер, да здравствует FreeNginx. Интересно, как это повлияет на ИБ обеих платформ, одна из которых является очень популярной при построении сайтов и проксей
Читать полностью…Сегодня на секции Уральского форума про кибератаки 🔓 я спросил у участников дискуссии, насколько они сами оценивают реальность атак на искусственный интеллект 🧠 и биометрию в этом, 2024-м году. Большинство ответило, что, да, вполне реально, и мы в этом году увидим атаки на ЕБС 🎭, включая утечки из нее, и различные ML-проекты. Кто-то ответил, что, да, актуально, но не в этом году. А вот в атаки 🤕 на квантовое шифрование (но это я уже спрашивал в кулуарах) никто пока не верит или считает их невозможными (на коротких расстояниях, до 100 км). Но тут, как спел Слепаков,
"А что, мля, если нет?"Читать полностью…
Вот такие графики работы 📊 меня немного смущают. Число инцидентов и число уязвимостей должно падать, а не расти из месяца в месяц. Да, с число критических уязвимостей все обстоит неплохо, но откуда такой рост по остальным типам уязвимостей? Либо все плохо 👎, но тогда бы и число критов росло, либо какая-то иная причина, например, рост числа активов. Поэтому неплохо было бы показать соотношение на одном графике, чтобы сразу стало понятна причина такого роста 📈
С инцидентами ситуация похуже - там рост по всем типам инцидентов при неизменном числе событий ИБ (если графики за один интервал времени, конечно же). Тоже не очень понятна причина такой негативной динамики... 📉
И вообще, что за странные названия у графиков. Что такое «инциденты»? Пропущенные, разрешенные в срок? А «уязвимости» выявленные или пропатченные? Одни недомолвки… Визуализация может как помочь в решении вопросов ИБ при общении с руководством, так и убить все благие начинания на корню 😵
Выложена полная запись вебинара 🟥 "Как оценить стоимость инцидента? Подходы и примеры", который я проводил 8-го февраля. Презентацию тоже прилагаю 👇
Читать полностью…Если посмотреть на эту картинку, то только внимательные подписчики обращают внимание, что "двухфакторной авторизации" не существует. А я поэтому эту картинку и запостил 😊
Читать полностью…Совбез на Инфофоруме заявил о 200 тыс. кибератак на информационную инфраструктуру РФ в 2023 г.
🔣 "из них" на Новосибирскую область - 150 тысяч (по данным новосибирского Минцифры на их коллегии)
🔣 "из них" 60 тысяч на всю отрасль транспорта (по данным Совбеза с Инфофорума)
🔣 "из них" на РЖД (часть транспортной отрасли) - 4,8 миллиона (по данным РЖД с Инфофорума)
🔣 "из них" на Госуслуги - 600 миллионов (по данным вице-президента Ростелекома на Дне госуслуг прекрасное название мероприятия).
Мне кажется, что наши госструктуры и госкомпании, которых хлебом не корми, но дай поучаствовать в рейтингах и занять там призовые места, в вопросах отчетности по кибератакам ориентируются на Польшу, в которой есть такая пословица - "Дела как в Польше, - тот пан, у кого лингам больше"! Но Ростелеком всех обскакал 🖕🖕
Есть хорошие технологии, которые отдельные несознательные лица начинают продвигать как вредные и опасные. Так РКН, под соусом борьбы с экстремизмом и вообще, активно блокирует VPN ⛔️ и будет эту деятельность к выборам только усиливать, не думая особо о последствиях. Это корпоративные заказчики могут отправить в РКН список своих адресов, использующих VPN, которые блокировать не надо. А что делать рядовым гражданам, которые используют VPN для обеспечения своей конфиденциальности? 🔐
А есть прямо противоположная история, когда опасные технологии начинают использовать во благо. Например, как делают некоторые банки 🏦, которые скрывают свой функционал внутри другого приложения. И основной функционал запускается только при определенных условиях, например, при работе с российских IP. По сути речь идет о классических троянах 🐴, но с благой целью, - дать россиянам пользоваться заблокированными в магазинах приложений банковскими клиентами.
И все вроде хорошо, но высока вероятность, что то, что сейчас делают подсанкционные банки вернется в сторону злоумышленников, которые возьмут эти подходы на вооружение 🤒 и начнут предлагать гражданам "новую версию заблокированного приложения". И так как граждане привыкнут, что приложения не те, какими кажутся с начала, это приведет к очередному витку кибермошенничества 🤒
А модели угроз строятся достаточно сложные. Вот это, например, модель для автономного транспорта. Сам автомобиль 🚗 в самом левом краю в виде одной иконки, а все остальное - это облачная 😶🌫️ инфраструктура, стоящая за ним, с компонентами и информационными потоками между ними.
В принципе, все тоже самое, и правда, можно в Visio или его бесплатных аналогах сделать. Но... Сила готовых сервисов в заложенной базу знаний, когда для каждого компонента уже включены угрозы для него и защитные меры. А еще база готовых шаблонов, чтобы было от чего отталкиваться, создавая свою модель. И этого прям не хватает в том же сервисе ФСТЭК, который уже больше года в режиме опытной эксплуатации. Там все сам, все сам...
Очередной обзор от Recorded Future. На этот раз про C2-инфраструктуры 🤒 злоумышленников, позволяющие усложнить их атрибуцию 🤒 и скрыть их местонахождение. Тут вам и тренды, используемые при создании инфраструктуры для управления атаками, в том числе и на базе легитимных Интернет-сервисов, и наблюдения за C2 основных врагов Америки (да, как обычно, Россия, Китай, Иран и Северная Корея), а также рекомендации по защите организаций и обнаружению C2-инфраструктур 🛡
Читать полностью…Estée Lauder опубликовал годовой отчет, в котором привел данные по потерям от инцидента 🤒 произошедшего в июле 2023-го года. Ущерб за прошлый год составил 🔤🔤🔤 миллионов долларов и включает в себя затраты на реструктуризацию и иные расходы, снижение стоимости нематериальных активов, а также снижение стоимости опционов на акции 📉. Интересно, что они явно не выделают дополнительные инвестиции в ИБ, затраты на расследование и т.п. Видимо это попадает у них в "иные расходы". Оборот Estée Lauder за второе полугодие составил 7,8 миллиарда долларов; то есть ущерб от инцидента составил почти 3️⃣🔣 полугодового оборота.
Читать полностью…А вот эта пузырьковая диаграмма из отчета Chainalysis нам позволяет в очередной взглянуть на деятельность киберпреступников с бизнесовой точки зрения. Перед какой дилеммой обычно стоят компании, продающие свои товары потребителю? Как выставить цену такой, чтобы она была не очень маленькой, но при этом позволяла бы иметь большую клиентскую базу? То есть нужно искать все время баланс 🪙 - делаешь цену на продукт/услугу высокой и число клиентов снижается, делаешь очень низкой и число покупателей растет, но доходы растут не так, как хотелось бы.
Вот и у шифровальщиков 🤒 та же задача - выставить такой сумму выкупа, чтобы жертвы не отказались платить. Возьмем Phobos - размеры выкупа у них мизерные, но зато и вероятность получения выкупа у них стремится 📈 к единице, то есть 100%. Помаленьку, но они зарабатывают себя на хлеб (уж не знаю, с маслом ли). Но чтобы иметь высокий годовой доход Phobos надо иметь оооочень много жертв. На другой стороне у нас находится omega - высокие суммы выкупа и низкая вероятность его получения. Наиболее грамотные с бизнесовой точки зрения операторы шифровальщиков в 2023-м году 🤒 - ALPHV/Blackcat, Clop, Play, LockBit, BlackBasta, Royal, Ransomhouse и Dark Angels. У них и средняя сумма выкупа высока и вероятность его получения тоже выше 0,5 (исключая cl0p, у которого выкуп гораздо больше других). Лидером по всем показателям является ALPHV/Blackcat.
В реальности все еще гораздо сложнее. Нужно не только искать баланс по цене, но и учитывать платежеспособность 🤒 потенциальной жертвы. Иногда проще поставить конский ценник и получить его один раз, чем получать по копейке с тысяч жертв. Больше затрат на операционку уходит, на взаимодействие с жертвами, на закупки трафика и т.п. И все это надо учитывать в своей бизнес-модели 🤑
Если вы еще используете у себя на периметре Cisco ASA/FTD с включенной функцией SSL VPN, то обновитесь. Шифровальщики Akira и Lockbit сейчас активно эксплуатируют уязвимые средства защиты Cisco.
Читать полностью…Отчетами по шифровальщикам 🤒 уже никого не удивить и новый от Record Future не стал сенсацией, хотя в нем и приводятся некие аналитические выкладки по тому, какие уязвимости чаще всего используют шифровальщики, какие шаблоны поведения или фокус в атакуемом ПО им присущи 👿
Но проблема отчета в том, что он попытался оценить тренд за 7 лет, с 2017 по 2023 годы, и это портит всю картину с практической точки зрения. У шифровальщиков 🤒 каждый год что-то меняется, вплоть до используемых техник, и дольше пары лет такое ВПО обычно не живет. Поэтому анализировать технические детали на уровне конкретных CVE и CWE на таком интервале смысла большого нет. Но как еще один отчет в копилку, почему бы и нет... 😴