Я тут завершил статью (скоро выложу ссылку) про факторы, влияющие на цену инцидента ИБ. Получилось 🔤🔤 пункта, среди которых и достаточно очевидные, например, стоимость расследования инцидента или компенсации пострадавшим, и нележащие на поверхности, например, отклоненные претензии по страховкам киберрисков и влияние на кредитный рейтинг 📉 и повышение затрат на обслуживание капитала). Факторы совершенно разные и не все из них присущи всем инцидентам, - все зависит от организации, отрасли, особенностей управления корпоративными финансами и т.п.
И как доказательство, что это все вполне ощутимые потери 🤑, наткнулся на свежесозданный институтом FAIR сайт "Насколько материален этот взлом?", который по последним нашумевшим инцидентам пытается подсчитать, во сколько обошелся этот инцидент компании с точки зрения денег. Они берут не только явные цифры, названные самими компаниями, но и учитывают различные судебные дела, возбужденные после инцидента 😡 (например, после атаки шифровальщика на сеть отелей MGM, о которой я тут много писал, уже подано 4 иска в суд) 🎰 По каждому инциденту даны ссылки на формы обязательной отчетности об инциденте, поданные в комиссию по ценным бумагам, материалы судебных дел и т.п.
Сейчас на сайте есть данные по инцидентам с Okta, 23andMe, Johnson & Johnson, Keurig Dr Pepper Inc., MGM Resorts, The Clorox Company, Caesars Entertainment, PROG Holdings., Johnson Controls International.
Местами цифры очень интересные. Например, по атаке шифровальщика на казино "Цезарь" в Лас-Вегасе известно, что казино сразу выплатило выкуп в 15 миллионов долларов и, в отличие от MGM, продолжило свою работу. Но все равно, оценочный ущерб для "Цезаря" составляет около 96 миллионов долларов (при нижней границе в 60 и верхней 214 миллионов). У MGM эти показатели иные - 237 миллионов наиболее вероятная оценка и 99 и 631 миллион долларов нижняя и верхняя соответственно.
Мы тут разродились большим числом прогнозов на год грядущий с учетом произошедшего в год уходящий. Свою лепту внес и я, поразмышляв о результативной кибербезопасности, ее итогах в 2023-м и планах на 2024-й год. А мои коллеги поделились своими оценками происходящего в рамках своих зон ответственности (кстати, не так уж и часто в прогнозах указываются конкретные авторы, с которых в конце года можно спросить "А что ж ты вот тут напрогнозировал, мы заложились, а оно не случилось?"):
Часть 1️⃣ - технологии, AppSec, искусственный интеллект, безопасность ОС, блокчейн
Часть 2️⃣ - рынок ИБ, результативная кибербезопасности, Bug Bounty, образование по ИБ
Часть 3️⃣ - взгляд нападающего, веб-атаки на телеком, угрозы и уязвимости аппаратных решений, уязвимое ПО, взгляд Blue Team
Часть 4️⃣ - тенденции угроз (Россия vs весь мир)
Часть 5️⃣ - самые громкие инциденты и наиболее атакуемые отрасли
Всегда, когда вижу такие видео инцидентов на промышленных предприятиях (в данном случае на аллюминиевом производстве), задаюсь вопросом - а может ли быть кибератака причиной такого события?
Читать полностью…В США смена руководства АНБ и киберкомандования. Тимоти Хаф, который сейчас является замом руководителя киберкомандования, сменит Пола Накасоне в начале 2024-го года после соответствующей церемонии
Читать полностью…ЦОТМ ФСБ и МУР МВД подготовили видео в формате комиксов о популярных методах мошенничества в Интернете, в том числе и про схему "сообщение от начальника".
Будьте бдительны!
Когда специалисты по ИБ говорят и пишут "митигация рисков", "коллаборация" и "комплаенс" Ожегов с Далем переворачиваются в гробу ⚰️ Особенно удручает тот факт, что также говорят и пишут люди, призывающие очистить русский язык от англицизмов 👋
Читать полностью…Утренний квиз требует пояснений, как мне кажется. Чтобы ответить на него правильно, недостаточно было полагаться только на логику - надо было хорошо знать законодательство. Мы все знаем, что об утечках с персональными данными мы должны уведомлять РКН. Многие, почему-то решили, что этого достаточно, но нет 😮
77-й приказ ФСБ 🫡 требует, чтобы об утечках ПДн у субъектов КИИ они сообщали в соответствие с требованиями ФСБ, которые разрабатывались в соответствие с законом о безопасности КИИ. Согласно этим требованиям мы обязаны (независимо от категории значимости объектов КИИ) уведомлять ФСБ (ГосСОПКУ) об инцидентах, список которых утвержден НКЦКИ. Там есть разглашение информации, к которому утечка прекрасно подходит. То есть у нас появляется второй регулятор, которого надо уведомить, - это ФСБ 🫡
Уведомлять Минздравсоцразвития об утечках ПДн, насколько я знаю, не требуется. Как, кстати, и ФСТЭК 🤘 Поэтому у нас осталась одна неясность с Минцифрой. Многие подумали, что этот регулятор только устанавливает требования к аккредитации организаций, обрабатывающих биометрические ПДн, но это не так. 453-й приказ Минцифры, пришедший на смену 930-му (а я в квизе сослался на уже отмененный приказ 😞, спасибо, что обратили мое внимание), также требует уведомлять это ведомство в случае инцидентов с биометрией (только голос и лицо), включая, конечно, и утечки 🎭 Да, никто так и не знает, как, в какой форме и в течение какого времени это надо делать, но само требование есть.
И наконец. Выполнение обязанности по одной ветке законодательства (ФЗ-152), не отменяет обязанностей по другим веткам. Никаких договоренностей о том, что можно отдавать только в РКН и все, а он сам уже раздаст остальным регуляторам, не существует. Даже договоренность между НКЦКИ и ФинЦЕРТом о том, что финансовые организации могут не отправлять сведения об инцидентах в ГосСОПКУ, если они это делают в ФинЦЕРТ, не подкреплено никакими нормативными актами - это джентльменское соглашение 🧐 которое всех устраивает. Но, например, такого соглашения между ЦБ и РКН уже не существует (хотя ДИБ ЦБ на последнем Уральском форуме обещал его заключить). И уж тем более его нет между Минцифры и ФСБ, и даже между Минцифры и РКН (хотя второй подчиняется первому) 😕
Вот такая странная конструкция. Об одном и том же надо сообщать разным регуляторам, разными способами, в разном объеме и в разных форматах. Пора бы уже синхронизировать все, как мне кажется. Вон американцы в сентябре озаботились этой же проблемой.
ЗЫ. Позор мне. Стоило 1,5 года как перестать следить за нормативкой, как все, былые навыки утрачены 😞 Упустил из виду замену 930-го приказа на 453-й. На сам квиз это никак не влияет, но все равно, неудобно получилось
Картинка из утренней заметки, а то вдруг вы ее пропустили или посчитали неинтересной аннотацию 😊
Читать полностью…Я тут подумал, что, допустим, у нас есть следующие исходные данные:
1️⃣ Внесенные в парламент законопроекты с указанием их дат и авторов законодательных инициатив
2️⃣ Выступления президента
3️⃣ Выступления депутатов и сенаторов, в том числе и в соцсетях.
Если натравить на все это ML (он же у нас вроде пока не запрещен и даже поощряется его применение), то можно найти много интересных взаимозависимостей и даже учредить множество наград для "избранников" народа, которые работают во благо отрасли ИБ. Я сходу придумал следующие номинации:
1️⃣ "ИБ-лизоблюд года" 🍑 Дается тому избраннику, кто быстрее всех реагировал на выступления президента страны и вносил по их результатам карательные или запрещающие законопроекты
2️⃣ "ИБ-балабол года" 😱 Дается тому избраннику, кто больше всего говорил и писал о важности что-то сделать в области регулирования (не важно, в хорошем или плохом смысле), но так ничего и не сделал, не внес ни одной инициативы
3️⃣ "ИБ-порожняк года" 💻 Дается тому избраннику, кто больше всех говорил на тему кибербезопасности с высокой трибуны, провел много заседаний, поучаствовал в наибольшем числе мероприятий, но все в пустоту
4️⃣ "Пассивный" 🙏 Дается самому незаметному избраннику, работающему по ИТ/ИБ-тематике.
Можно еще было бы предложить номинацию "ИБ-польза года", но боюсь она так и останется вакантной и никем неполученной.
Благодаря подписчице (за что ей спасибо) узнал о дискриминации по половому признаку в ИБ. Одна радость была в ванне 🛁 - воспользоваться шампунем (или гелем для душа, фиг поймешь, они же одинаковые) жены и намылить себя всего и везде 🧼 А теперь нет, кодовые замки стали на тюбики ставить. Так, глядь, мыльницы по отпечаткам пальцев начнут открываться...
Читать полностью…Я уже не раз обращался к теме написания резюме и в последней статье 2 года назад специально сфокусировался на важной моменте при написании резюме ✍️ а именно на фиксации результатов, которые были достигнуты кандидатом на замещение вакантной должности. Ведь на работу берут за то, что сделал человек, а не за то, что он делал. Вроде разница в одну букву, но она колоссальная. Во втором случае речь о процессе, который в худшем случае вырождается в бег на месте; ну или в бег по кругу. А вот в первом случае вы достигли некой цели и получили результат. Попробовал набросать примеров, которые показывают реальный результат в резюме ИБшника.
Читать полностью…MITRE Engenuity Center for Threat-Informed Defense (Center) анонсировал новый проект SMAP (The Sensor Mappings to ATT&CK Project), который еще больше облегчает специалистам по обнаружению инцидентов ИБ маппинг различных типов событий, регистрируемых различными популярными инструментами, с техниками из MITRE ATT&CK. За счет такого маппинга можно выявлять отдельные события или цепочки событий ИБ.
В настоящий момент в SMAP маппятся следующие инструменты регистрации событий:
1️⃣ Auditd
2️⃣ CloudTrail
3️⃣ OSQuery
4️⃣ Sysmon
5️⃣ WinEvtx
6️⃣ ZEEK (бывшая Bro)
Авторы SMAP считают, что проект поможет ответить на три животрепещущих вопроса, которые волнуют специалистов по ИБ разного уровня:
1️⃣ Какие известные техники могут быть обнаружены моими инструментами (из списка выше)?
2️⃣ Если я добавлю инструмент Х, то как изменятся мои возможности по обнаружению?
3️⃣ Я волнуюсь по поводу выпущенного TI-отчета и хочу убедиться, что в моей сети не было описанных индикаторов.
Добавлю, что в моей прошлой жизни, во время аудитов SOCов и анализа их возможностей, мы делали тоже самое в ручную с помощью ATT&CK Navigator. SMAP ускоряет эту работу, но пока только для описанных типов сенсоров для Windows, Linux, облаков AWS и сетевого трафика.
Несмотря на все заявления русскоязычной группировки ALPHV, что ее сайт имел проблемы с "железом", оказалось, что это были совсем иные проблемы, а именно действия спецслужб. Правда, ALPHV уже переехали на новую площадку. Это к разговору об эффективности блокировки доменов и ведения черных списков, за которые РКН и его ГРЧЦ получили на днях премию Рунета...
Когда блокировки и черные списки работают? Я вижу несколько условий для этого:
🔤 Закрытый от внешнего мира сегмент Интернет
🔤 Контроль всех хостеров и регистраторов
🔤 Блокировка VPN
🔤 Контроль всех коммуникаций за пределы России
🔤 Блокировка P2P-технологий типа Тора и т.п.
Как мы видим из действия награжденного за развитие Рунета РКН'овского ГРЧЦ и направления регулирования, мы активно движемся по этому списку и, возможно, в 2024-м году они будут реализованы полностью.
ЗЫ. Группировка ALPHV через 15 минут после захвата домена заявляет, что это ее старый домен. Через 2 часа Минюст США выпускает заявление, что они все-таки захватили сервера ALPHV. Через 2.5 часа хакерская группировка опровергает захват домена и угрожает американцам возмездием. Продолжаем наблюдать...
Думаю, многие из вас слышали про NIST Cybersecurity Framework, один из лучших фреймворков по ИБ, который описывает не только список защитных мер, но и правила их выбора, внедрения и даже оценки зрелости. Менее известен Privacy Framework от NIST (хотя я писал про оба и даже давал Excel'евский калькулятор оценки зрелости по обоим фреймворкам).
И вот тут я наткнулся на интересный инструмент, который позволяет визуализировать работу с защитными мерами, увязать их с угрозами (по методике STRIDE), делать выборки или фильтровать защитные меры под стоящие задачи.
Судя по тому, что помимо русскоговорящих и украинцев меня активно читают жители англоговорящих, испаноговорящих, италоговорящих, франкоговорящих и германоговорящих стран, то не могу не поздравить их с католическим Рождеством! 🎄 Вам, живущим вдали от вашей первой Родины, добра, тепла, мира и безопасности! 🎄 Всех благ! 🎅🏻
ЗЫ. Свитшот продается на Amazon, стоит 32 бакса 😊 Я не в доле!
ЗЗЫ. Сотрудникам иностранных спецслужб 😕, читающим меня по долгу службы, тоже безопасности и побольше! Мы еще встретимся с вами на полях виртуальных сражений ⚔️
Ну что… 50 лет ФСТЭК отпраздновали 🥂, 106 лет органам госбезопасности отметили 🥃, можно и за 32 года ФАПСИ накатить 🥴. Тем более, есть подписчики, служившие в этой структуре, долгое время являвшейся оплотом отечественной криптографии.
10 лет назад ФАПСИ расформировали и только неотмененная 152-я, «розовая» инструкция (22 года стукнуло документу) продолжает напоминать нам, что такая спецслужба у нас была! И вроде уже неоднократно пытались ее заменить чем-то более свежим, но увы. Есть у нас еще незыблемые вещи!
Мошенничество по схеме «сообщение от начальника» выходит на новый уровень. Сначала были просто сообщения от руководителя с предупреждением о звонке/сообщении от куратора из ФСБ. Потом «кураторы» для доказательства стали присылать свои фото с удостоверениями в раскрытом виде (уже смешно, но кто не общался с ФСБ может повестись).
А вот новый вариант. Мне когда подписчик прислал (за что ему спасибо), первые мгновения прям поверил. А когда дочитал до конца смутила фамилия подписанта (сам Королев, а это первый зам Бортникова 😕, утечками в конкретной организации занимается) и приписка, что сообщение подписано ✍️ аж шифрованной связью.
Кем же они потом будут подписываться? Бортниковым уже вряд ли. А вот секретарем СовБеза, самим Медведевым вполне 🎭
Шутки шутками, но вообще интересный способ вовлечения учащихся 👨🏻🎓👩🏼🎓 в учебный процесс. На каком-нибудь химфаке можно химические формулы давать, на филологическом паролем может быть окончание фразы «Mundus vult decipi, ergo…» на латыни, на геофаке название самого популярного минерала триасово-юрского периода, а на историческом - кого использовали жители Фемискиры против римских солдат, устроивших подкоп под стенами города… 🤬
Читать полностью…Вот и такое тоже бывает... 😕 Кто-то хорошо отметил день чекиста... 🥂
ЗЫ. Ссылку не подскажу! 😡
Так совпало - Гарвард и ГРЧЦ Роскомнадзора поделились своими взглядами на развитие ИИ в 2024-м году.
По версии Гарварда Топ7 тенденций выглядят так:
1️⃣ ИИ даст белым воротничкам больше возможностей для проявления себя.
2️⃣ Рост числа дипфейков
3️⃣ Дефицит GPU-процессоров
4️⃣ Появление первых ИИ-агентов, не только помогающих, но и делающих что-то за людей
5️⃣ Принятие CREATE AI Act в США, который позволит студентам и исследователям получить доступ к ИИ-ресурсам, данным и инструментам
6️⃣ Мы будем задавать все более сложными вопросами о том, что мы хотим от ИИ в нашей жизни, и насколько результаты реализации ИИ наших целей будут совпадать (это так называемое выравнивание)
7️⃣ Сложное влияние принимаемой нормативки в области регулирования ИИ на бизнес; особенно в части защиты приватности.
ГРЧЦ имеет свой взгляд на развитие ИИ. По их мнению мы увидим следующее:
1️⃣ Третья революция пропаганды и шквал дезинформации
2️⃣ Применение нейросетей для поиска дезинформации
3️⃣ Внедрение духовного фильтра в использование цифровых инструментов и возрастание роли Русской православной церкви в принятии решений по вопросам применения ИИ
4️⃣ Избегание иностранных языковых моделей, построение своей LLM на наших этических нормах и вовлечение силовых структур в вопросы регулирования ИИ
5️⃣ Создание единого центра валидации качества решений на базе ИИ и их безопасности
6️⃣ Мультимодальные генеративные модели, преимущественно проприетарные
7️⃣ При внедрении ИИ надо будет учитывать вопросы этики и духовные скрепы
В чем разница этих взглядов? Ученые Гарварда (а там прогнозы озвучивали эксперты уровня Fellow) видят в ИИ больше пользы, а имеющие сложности предлагают решать, сильно не ограничивая технологии. Экспертный совет ГРЧЦ видит в ИИ либо плохое (пропаганда и дезинфорация) и поэтому его надо контролировать и ограничивать, либо думает о применении ИИ для поиска плохого и неразрешенного. То есть Гарвард думает о том, чтобы применение ИИ приносило пользу ☺️ а ГРЧЦ - чтобы использование ИИ не приносило вреда 👿 Кардинально разные подходы, которые выльются у нас и в соответствующие, как правило, запретительные и карательные решения. А жаль 🤠
Производитель косметики EOS выпустил кодовый замок для своего лосьона, чтобы мужчины не могли пользоваться им.
Насадка также подойдёт для шампуней и девушки в сети уже празднуют победу — теперь можно покупать дорогие средства для волос и не переживать, что их не будут использовать не по назначению
Прямой эфир - подписаться
Вроде как обновилась Вики по APT-группировкам. Странный формат, когда все на одной странице и сложно отслеживать изменения, ну да ладно...
Читать полностью…Уж не знаю, кто ходит в день чекиста на сайт АНБ знакомиться с их ежегодным отчетом о проделанной работе; поэтому я вам этот отчет скачал, что бы вы не светили там свои IP-адреса (а мне уже терять все равно нечего 🤘). Ничего сверхестественного и секретного там нет - просто добротно сваяный документ про все хорошее, против всего плохого. Америка спасает кибермир, АНБ на острие и все должны быть ему обязаны и благодарны. Но мы-то знаем, кто отмечает свой полтинник и стошестилетие и кому мы действительно обязаны 🤓
Читать полностью…На фоне сложностей с российско-китайским автопромом, многие автолюбители особо не смотрят на то, что происходит в Европе или Америке, которые запретили поставки своих авто в Россию. А там происходят занятные вещи. Например, Porsche перестает в 2024-м году продавать автомобили Macan в Европе из-за... проблем с кибербезом.
В Европе есть свои требования по кибербезу к автомобилям (почитайте их на русском языке 👇). Там интересно все - и знак маркировки на авто, и сертификаты соответствия, и модель угроз, и меры смягчения негативных последствий от реализации кибератак. Отказ от продаж Macan связан с тем, что его разрабатывали до появления требований и вносить правки будет слишком дорого. И это несмотря на то, что Macan был бестселлером Porsche в Европе (даже Cayenne был на втором месте по числу продаж).
ЗЫ. Другие модели VW Group, а именно VW e-Up, VW Transporter T6.1, Audi TT и R8 также подпадают под новые европейские требования, но они вроде соблюдены в этих автомобилях. По крайней мере, пока VW Group не объявляла о прекращении продаж.
Поздравляя сегодня по смс, соцсети, телефону, мессенджеру и другим средствам коммуникаций своих бывших|действующих коллег с праздником, который обычно празднуют 20-го декабря, 🫡 помните, что тем самым вы раскрываете их контакту врагу, который по одной только фразе "Поздравляю" 🫡 может понять принадлежность абонентов/пользователей к ВЧК|ГПУ|НКВД|НКГБ|ОГПУ|МГБ|КГБ|АФБ|МБВД|МБ|ФСК|ФСБ (хотя, думаю, представителей первых органов госбезопасности уже и не осталось) 🫡 Так что поздравляю за всех 🫡
Читать полностью…ФСТЭК может ограничить использование софта бывшей Group-IB
https://www.vedomosti.ru/technology/articles/2023/12/19/1011732-fstek-mozhet-ogranichit-ispolzovanie-softa-bivshei-group-ib
Программные комплексы от Group-IB (с июля 2022 г. – FACCT) могут попасть под запрет, в них усмотрели угрозу безопасности субъектов критической информационной инфраструктуры (КИИ). Об этом рассказали «Ведомостям» два источника в компаниях в сфере кибербезопасности. Представитель FACCT уточнил, что действие сертификата ФСТЭК, который необходим для использования на объектах КИИ, было приостановлено.
Согласно реестру ФСТЭК, в отношении юрлица «Группа Айби ТДС» (F.A.C.C.T.) с 22 апреля 2016 г. действует лицензия на деятельность по технической защите конфиденциальной информации.
Но по продуктам этой компании Bot-Trek TDS и Group-IB Threat Hunting Framework (используются для выявления ботнетов и реагирования на киберинциденты) действие сертификатов средств защиты информации приостановлено 24 мая 2023 года.
По предположению представителя FACCT, запрос ФСТЭК к субъектам КИИ может быть связан с «текущей проверкой Bot-Trek TDS и Group-IB Threat Hunting Framework в рамках возобновления действия лицензии», что является «стандартной процедурой регулятора». Он также не исключил, что сама проверка ФСТЭК может быть вызвана уходом Group-IB из России.