Иногда я смотрю на нормативку ЦБ по ИБ и думаю. А иногда не думаю. Чаще даже не смотрю. Это вообще пост не про это. Он про другое. Здравого смысла нам всем, люди!
Читать полностью…Интересное исследование, которое посвящено технологии сетевых водяных знаков для трекинга хакеров и атак за счет изучения поведения и параметров сетевого трафика. Авторы утверждают, что достигли 95% точности трекинга на реальном сетевом трафике 😲 и при этом не требуется жертвовать производительностью и пропускной способностью, а также накапливать большие объемы данных для анализа, что являлось препятствием для предыдущих подходов по анализу водяных знаков - межпакетные задержки, flow rate, временные интервалы и т.п.
Читать полностью…Презентация с моего выступления на SberPro Tech, видео которого я выкладывал пару дней назад
Читать полностью…Ну какое нахрен горизонтальное перемещение? Вот в «Лебедином озере» танец маленьких лебедей представляет собой горизонтальное перемещение. А Lateral Movement - это расширение плацдарма и не более 🦢
Читать полностью…Вчера, на секции по кибербезу на Форуме будущего, организованной УЦСБ, я задал участникам одного из круглых столов вопрос, вот есть на рынке 28 вендоров NGFW; как выбрать того, с кем можно будет связать свое будущее? Как убедиться, что стартап не умрет через полгода в непростой экономической ситуации или просто не умея управлять бизнесом? И такие примеры, думаю, есть у многих из вас.
И как оказалось, на словах многие готовы поддержать российскую отрасль ИБ и ратуют за развитие стартапов, а на деле не хотят рисковать и покупать то, что не выпущено первой тройкой игроков в своем сегменте. И кто тогда должен поддержать стартапы и при этом не убить их излишней бюрократией? Интересный момент вскользь прозвучал на круглом столе - никто из вендоров NGFW так и не взял субсидию/грант от государства на развитие этого класса продуктов, не желая связываться с государством, его бюрократией, рисками присесть за нецелевое расходование и необходимость отвечать за результат, который гарантировать нельзя.
То есть проблему поддержки ИБ-стартапов решать надо, но вот как и кому, не очень понятно. ФСТЭК и ФСБ? Вообще нереально. Минцифры? Вероятно да, но скоро выборы Президента и смена кабинета министров; что и кто будет потом, не очень понятно. То есть минимум полгода никто ничего делать не будет. Да и потом поддержка стартапов не будет приоритетом №1. Перенять бы опят Израиля, кузницы ИБшных стартапов, но им сейчас тоже не до того, чтобы делиться с кем-то сокровенным знанием. Да и с Россией у них сейчас натянутые отношения. В общем, тупик пока... ⛔️
Небольшое мое выступление на дне инвестора с рассказом о том, какую роль кибербез играет в жизни государств, отраслей, компаний и обычных граждан
Читать полностью…У американцев популярно предлагать жертвам утечек бесплатный кредитный мониторинг 🖥
Читать полностью…Десять лет назад 50 НПА по ИБ в год считалось дикостью и перебором. Сейчас в год в 5+ раз больше и ничего, привыкли... В этом году не буду подводить итогов законотворческой деятельности по ИБ в стране. Там вообще потерян здравый смысл
Читать полностью…SOCprime, разработавшая онлайн-транслятор для правил обнаружения угроз uncoder.io, разродилась новой инициативой. На этот раз это открытый язык RootA, который должен помочь специалистам по обнаружению угроз, threat hunting и threat intelligence проще общаться, не взирая на использования различных инструментов и языков. Авторы заявляют, что сейчас они поддерживают 65 (!) языков (откуда столько?) и 45 технологий от разных вендоров. Я бы сказал, что это SIGMA NG, так уж у них синтаксис похож. Однако они добавили туда данные по нарушителям, слинковали это все с TTP и добавили код для автоматизации реагирования.
Интересная инициатива - посмотрим, куда это все зайдет и насколько этот язык станет популярным...
Мое выступление с конференции SberPro Tech 2023 про влияние кибербезопасности на бизнес-модель и как каждый из 9 компонентов последней может учитывать и включать в себя кибербез
Читать полностью…Цветовая палитра ИБ в соответствие с пирамидой BAD (build|строим, attack|атакуем, defend|защищаем). Тут вам не только ЦСКА красно-синие 🌈
Читать полностью…Когда только начиналась вся эта эпопея 🍑 с импортозамещением и апологеты ее с пеной у рта доказывали, что российский софт более защищенный, чем супостатный, тихие выступления наших регуляторов, которые утверждали, что им вообще насрать на страну происхождения ПО, а его безопасность завимит совсем от другого, никто не слушал и не слышал.
С начала СВО и вовсе началась вакханалия и разговоры о том, что надо срочно отказываться от Windows, так как она небезопасна и там куча закладок (а десятилетия до этого никого это не смущало и никто не задавался таким вопросом?); и надо срочно переходить на Линукс. Ну так на него переходить стали не только отечественные организации, но и хакеры 👨💻
Вот и одна из первых ласточек - кампания Lahat от группировки Hellhound, в рамках которой идут атаки инфраструктуры на базе Linux. К сожалению не указано, какой это Linux ❓ Не исключаю, что некоторые пользователи сейчас начнут: «Да это не наш Linux. У нас Астра, а у вас просто Линукс» 🖕
Если посмотреть на различные TI-источники, то русские хакеры в последние пару лет чаще всего стоят за атаками шифровальщиков и зарабатывают бабло. А вот китайцы активно занимаются шпионажем. Вот свежий кейс с атакой на МИД Узбекистана. Северокорейский группировок меньше, но занимаются они и тем и тем. И кто опаснее?
Читать полностью…В 2014-м году CISO Yahoo говорил, что SIEM не на базе Hadoop сегодня уже мало что может и мало кому нужен. А еще он говорил, что средства защиты для ЦОД надо выбирать, оценивая их не по пропускной способности в мегабитах, а по потребляемой мощности в киловаттах ⚡️
А пока вы осмысливаете прочитанное, можете посмотреть презентации с последней ATTACKcon 4.0 в приложенном архиве. А презентации с #SOCtech вы можете скачать сами - они уже выложены на сайте 🕸
Как будто в 90-е вернулся. Опять в моде дефейсы сайтов. Толку ноль, но желание оставить "Здесь был Вася" 💻 и показать всем Кузькину мать неискоренимо. Но у Хрущева все-таки было, что показать, а у большинства мамкиных хакеров нет. Но это и хорошо. А дефейсить сайты плохо.
ЗЫ. Я, кстати, все-таки переехал с сайтом и уже запустился. Пока только успел обновить раздел со своими видео-выступлениями (залил 20 штук с разных мероприятий) и опубликовать одну заметку.
Польские электрички блокировались из-за недокументированного кода от производителя
Интересный сюжет от польских исследователей (оригинал для полонофилов). На железных дорогах Нижней Силезии используется 11 электропоездов производства польской компании Newag. Несколько поездов отправляют на техническое обслуживание в не связанное с производителем депо (которое выиграло тендер). Однако после ремонта поезда оказываются заблокированы по непонятной причине. Newag утверждает, что причина блокировки в некой защитой системе — однако в инструкции об этом упоминания нет. Ни механики, ни электрики найти решения не могут, а на ситуацию уже обратили внимания СМИ. В момент отчаяния кто-то решает обратиться к хакерам, и с проблемой выходят на польскую команду Dragon Sector, известную по турнирам CTF.
Хакеры скачивают информацию с компьютеров работающих и заблокированных поездов и тратят несколько месяцев на реверс-инжиниринг. Выясняется, что в код бортового компьютера заложено несколько условий, при наступлении которых поезд блокируется. Во-первых, это GPS-координаты нескольких депо — все кроме одного являются сторонними, то есть не связанным с Newag. Если поезд проводит в этих локациях хотя бы десять дней, то он блокируется (для одного депо Newag было указано иное правило, вероятно, в целях тестирования). Во-вторых, поезд блокируется в случае замены одной из деталей, что проверяется по серийному номеру. В-третьих, ещё на одном поезде блокировка наступала после прохождения миллиона километров.
Разблокировать поезд можно было комбинацией клавиш в кабине машиниста и на бортовом компьютере. Правда, когда новость о починке поезда попала в СМИ, на бортовые компьютеры пришло обновление ПО, которое отключило возможность разблокировки комбинацией клавиш.
Исследователи также обнаружили на одном поезде аппаратную закладку — устройство, которое получало с бортового компьютера информацию о статусе блокировки и было соединено с модемом.
В итоге оказалось, что проблема коснулась не только поездов в Нижней Силезии, но и в других регионах. Всего хакеры изучили 29 поездов и только на 5 не нашли недокументированных сюрпризов.
Не знаю, замечали ли вы шумиху, которая поднялась последнее время вокруг искусственного интеллекта и какие стали предприниматься усилия по сдерживанию ИИ? Попробовал подсобрать все эти инициативы вместе. Получается, что многие правительства вдруг и внезапно решили ограничить применение ИИ. И это похоже на ядерное сдерживание, когда в клуб больших мальчиков пускают не всех, но только в части ИИ. И это влечет за собой интересные последствия...
Читать полностью…Когда я готовил текст к карточкам про инциденты ИБ на АЭС, мы описали 10 кейсов (десятый я разместил у себя). Я специально тогда не стал включить историю с английским атомным комплексом по переработке ядерного топлива и производству оружейного плутония Селлафилд, потому что там все-таки сложно было говорить именно об ИБ-причинах произошедшего. А случилось в 1991-м году вот что - баг в ПО привел к тому, что радиационнозащитные двери 🚪 на комплексе оказались открытыми несмотря на нахождение внутри помещения радиоактивных материалов ⚛️. Ущерба, к счастью, никакого нанесено не было, но позже выяснилось, что используемое ПО было прям нашпиговано ошибками (их насчитали 2400).
После 11 сентября 2011-го года на Селлафилде было запущено три новых программы - расширение программы безопасности в 2011-м, программа по устойчивости после аварии на Фукушиме в 2012 и программа по кибербезопасности в 2014-м в ответ на растущую 📈 киберугрозу. И вот пару дней назад последняя программа прошла проверку на прочность. Точнее не прошла.
Guardian пишет, что атомный комплекс был взломан группировками, корни которых растут из России 🇷🇺 и Китая 🇨🇳 (ну а откуда еще?). Официальные лица не представляют, когда произошел взлом, но отдельные эксперты утверждают, что первые признаки инцидента были зафиксированы еще в 2015-м ❓ году, когда в инфраструктуре крупнейшего на планете хранилища оружейного плутония было найдено вредоносное ПО. По свидетельствам Guardian еще в 2012-м году был опубликован отчет, в котором утверждалось о наличии в Селлафилде критических уязвимостей ИБ.
Ну а пока идет расследование... 🕵️♂️
Saxo Bank известен своими "шокирующими" прогнозами, которые публикуются каждый год и которые составляются на основе страхов клиентов банка, озвучиваемых в течение года в разговоре с инвестиционными аналитиками Saxo Bank 🔮
Далеко не всегда эти прогнозы сбываются, но и назвать их полностью дурацкими язык не повернется 🎰 В этот раз эксперты датского банка среди прочего назвали и один риск, который можно отнести к теме кибербеза. Речь идет о дипфейках, которые станут в 2024-м году проблемой национальной безопасности 🎭
ЗЫ. Весь список прогнозов можно посмотреть тут.
Европол опубликовал достаточно интересный отчет о влиянии квантовых вычислений и технологий на криптографию, подбор паролей, расследование инцидентов (форензику), а также про квантовое шифрование и влияние квантов на ускорение искусственного интеллекта ⚛️ Например, что вы будете делать с вашими паролями, когда появится реально работающий квантовый компьютер? Тут уже просто увеличить пароль на пару символов не получится и впору думать и о технологиях passwordless, и о обязательном внедрении MFA.
Сам документ, конечно, рассчитан больше на правоохранительные органы 👮🏻♀️, но будет интересен и специалистам по ИБ, так как описывает не только применение квантов преступниками 👮, но и как кванты помогут проводить расследования или делать окружающий мир безопаснее.
Завтра, по приглашению УЦСБ, я выступаю на Форуме будущего в Екатеринбурге в треке "Кибербезопасность", где не только модерирую весь поток с тремя секциями с утра и до вечера, но и выступаю с открытой лекцией "Сценарии развития кибербудущего", в которой попробую наметить определенные направления, которые будут актуальными у нас в стране на разных горизонтах событий - от краткосрочного до долгосрочного. Не знаю, будет ли там там трансляция, но если вдруг вы будете на Урале, то милости прошу. И открытая лекция должна быть интересной, и модерируемые мной круглые столы тоже не будут скучными!
Читать полностью…Кибернегры взломали Colonial Pipeline. Если это так, то трубопроводчиков прошлый кейс совсем ничему не научил? 🙄
Но если серьезно, то взломали через подрядчика и не только Colonial Pipeline, но и 20 других трубопроводных компаний, что как бы сужает число виноватых до оооочень небольшого количества (может и вовсе одного) 🎺
СМИ пишут, что половина банков не выполняет закон о персданных. Так вот я вам скажу, что это наглая ложь 🤥 В стране 99,9(9)% организаций не выполняют ФЗ-152. Вы где-нибудь видели реализованный учет машинных носителей (ч.5 п.2 ст.19)? Чтобы кто-то регистрировал все используемые флешки, наклеивал на них метки, учитывал все действия с ними?! Вот то-то и оно...
Читать полностью…Иногда утечку информации через тот же e-mail можно побороть, просто блокируя учетную запись нарушителя на почтовом сервере. Не обязательно для этого устраивать танцы с бубнами, настраивая фильтры, внедряя DMARC/DKIM/SPF, контролируя аттачи, устанавливая DLP и UEBA, и множество чего еще.
При выборе метрик ИБ самым популярным является не метод SMART, а метод KISS, что расшифровывается Keep It Simple, Stupid! (Будь проще, тупица!). При выборе защитных мер тоже не всегда надо усложнять.
Не знаю, видели ли вы анонс курса 🟥 по управлению уязвимостями (не путать с курсом по продукту), но мне тут в руки попало руководство, которое на этом курсе выдают. 140+ страниц про:
1️⃣ То, как приоритизировать уязвимости и разные подходы к этому вопросу
2️⃣ То, как выстраивать процесс управления активами, включая их инвентаризацию и классификацию
3️⃣ То, из чего состоит процесс управления уязвимостями
4️⃣ Методологию и различные сценарии, в которых должен быть выстроен процесс управления уязвимостями (тут вам и АСУ ТП, и облака, и критичные системы, и т.п.)
5️⃣ То, как писать практические политики
6️⃣ То, что делать с выявленными уязвимостями
7️⃣ То, каким должен быть SLA у этого процесса и как наладить взаимодействие с ИТ-службой
8️⃣ Методики ФСТЭК и НКЦКИ по вопросам анализа защищенности
9️⃣ Оценку эффективности процесса управления уязвимостями, метрики и дашборды
1️⃣0️⃣ Коммерческие и open source решения в области управления уязвимостями.
Получилась хорошая такая книга, которую можно использовать на практике с различными продуктами, не только MaxPatrol VM (хотя на нем и иллюстрируются некоторые идеи). Я в году этак 98-99 участвовал в работе по подготовке регламента управления уязвимостями в одном банке и помню, какая это была непростая задача, - совместить требования ИТ и ИБ, учесть особенности сканирования AIX, HP UX, OS/2, MS DOS, первых версий Windows, с учетом их критичности и разнесенности по разным площадкам (при том развитии Интернетп), а потом еще и оперативно устранять их.
ЗЫ. Отдельно от курса руководство не распространяется ⛔️
В ДССТЗИ назначили нового главу. Бывший банковский финансист и HR; до назначения был руководителем эскадрильи ударных БПЛА. К технологиям, и тем более к ИБ, отношения, похоже, не имеет 👾
Читать полностью…Не хотите выходить из дома в эту снежную погоду? Понимаем.
Проведите время дома с пользой и посмотрите лекцию из цикла Дискуссионного клуба Музея криптографии про кибербезопасность. В этой встрече приняли участие спикер от Positive Technologies и эксперт по кибербезопасности Алексей Лукацкий.
Смотрите запись лекции на Youtube-канале Музея криптографии