ОАЭ и Турция сообщили, что готовы запретить реэкспорт технологий двойного назначения в Россию 🚫 Еще ранее Казахстан и Грузия, а сейчас и Армения блокируют поставки многих товаров в нашу страну. Это не полностью лишает нас айфонов и мерседесов, но сильно осложняет их доставку до отечественного потребителя 🍑 А США и Евросоюз, действия которых мы сейчас и наблюдаем, вычисляют все незаконные каналы контрабанды продукции и блокируют их, повышая сложность поиска новых способов поставки и ее сроки.
И напомнило мне это кибербезопасность, но в зеркальном отражении. Если заменить Россию на корпоративную сеть, товары на киберугрозы, а каналы экспорта на вектора атак, то мы получим классическую задачу ИБ - снижение числа векторов проникновения усложняет и удлиняет путь атаки, увеличивая время на ее обнаружение и реагирование. И целиком все вектора вряд ли перекроют, но жизнь хакерам это усложнит сильно 👨💻
1984 год. В Литовскую ССР собираются импортировать компьютер Siemens 7536. И тут местный КГБ получает от агента под кодовым именем «Вильнюс» сообщение: оказывается, в Siemens (то есть в ФРГ) давным-давно знали, где именно планируется установить и использовать машину. И не где бы то ни было, а в святая святых — НИИ экономики и планирования республиканского Госплана. Причём иностранцы компьютер не только собирали, но и планируют обслуживать! Страшно представить, какие сюрпризы могут там оставить вражеские разведки, чтобы перехватить секретные данные об экономическом потенциале Литвы.
Что делать в этой ситуации? Не отказываться же совсем от современной техники — ввозить крайне необходимые компьютеры с Запада из-за санкций вообще-то не так просто. Но нельзя и просто полагаться на авось и добропорядочность западногерманской фирмы, что в компьютере не будет закладок.
Найдено элегантное решение: ставим машину в НИИ, но на ней можно обрабатывать только открытую информацию. Контролируем, чтобы это правило не нарушалось и никто не вздумал вводить секретные сведения. И, конечно же, следим за иностранцами, которые будет посещать Госплан (наверняка кто-то попробует снять информацию). И безопасно, и удобно!
История (в оригинале чуть менее драматичная, чем в моём пересказе) сегодня вновь становится актуальной. Особенно для тех, кто вопреки курсу на импортозамещение продолжает ждать поставок иностранного оборудования обходными путями через третьи страны. А вдруг в компаниях-производителях уже знают, для кого и для каких целей эти заказы? Ну, главное не обрабатывать на нём секретную информацию и поставить офицера для контроля!
Группировка Blackcat 🐈⬛ пишет о том, что компания по ИБ АСУ ТП Dragos 🐉 пополнила список их жертв и если выкуп не будет выплачен, то будут выложены в паблик данные о руководстве компании.
Странный кейс. Утечка через третьих лиц. То есть не факт, что Dragos вообще взломали. Может как в последнем кейсе с Okta - данные утекли через взломанного подрядчика и сам вендор вообще не при делах. В любом случае это уже не первый инцидент с Dragos. Недавно их уже ломали 👨💻
А с другой стороны, как поют в чатике по ИБ АСУ ТП (на мотив группы «Дюна»):
Наш Dragos взломан,
А кто не взломан?
Да тот кто сервер
И не видел никогда
(С) Alex Ivanov
ЗЫ. Этот кейс показывает, что можно быть сколь угодно защищенным, но взломать могут ваших контрагентов и поставщиков, а пострадаете вы. И отвечать надо быть готовым именно вам, а не тому, кого взломали.
Итальянский политик Маурицио Гаспарри на ТВ 📺 Всегда удивляли такие эфиры 😫 Неужели никто не видит этого косяка - ни телевизионщики (хотя им это может быть по приколу), ни помощники политика, ни его PR-служба?.. 🤷
Читать полностью…500 долларов за доступ к серваку на электростанции в Японии 🏮. Да, фиг поймешь, что за сервер, но… Когда говорят, что надо увеличивать стоимость атаки, при текущих ценах это выглядит смешно. Где-то это еще может сработать, но гораздо эффективнее будет просто удлинять путь атаки 🏃, увеличивая тем самым время на обнаружение и реагирование
ЗЫ. Главное, не путать стоимость атаки и стоимость уязвимости, которая продается для реализации атаки.
Пора вернуться к этой ссылке и раскрыть карты. Это фото из студии, где я участвовал в одном из эфиров запущенной 🟥 школы преподавателей кибербезопасности.
Ее основная цель — восполнить существующий разрыв между академическим сообществом и индустрией кибербезопасности через погружение действующих преподавателей вузов, работающих на кафедрах информационной безопасности и смежных технических специальностей, в тематику современных угроз и актуальных методов противодействия кибератакам.
Обучение в новом проекте Positive Education бесплатное.
Программа школы включает в себя два параллельных трека: для преподавателей вузов, а также для экспертов в сфере кибербезопасности, которые хотят преподавать и готовы делиться своими знаниями.
Если вы преподаватель или эксперт в сфере кибербезопасности и тоже хотите пройти обучение, то заполните заявку до 10 ноября на сайте проекта.
🏛️ "Госуслуги" будут постепенно избавляться от хранения персональных данных пользователей, заявил глава Минцифры Максут Шадаев.
🔸"Для улучшения качества обслуживания на "Госуслугах" мы всегда старались собрать максимальное количество данных для того, чтобы обеспечить удобное заполнение форм и т.д. Сейчас мы провозгласили другой подход, то есть в "Госуслугах" мы будем максимально избавляться от хранения данных, мы переходим на ведомственную, так называемую онлайн-витрину... Данные ведомств будут доступны через нашу систему электронного взаимодействия", – уточнил Шадаев.
🔸По его словам, теперь при входе в личный кабинет на портале "Госуслуг" персональные данные пользователей будут загружаться непосредственно из баз ведомств.
Ну что, американцы начинают разгонять тему вмешательства России (а заодно Ирана и Китая) в американские президентские выборы. Microsoft Digital Threat Analysis Center выпустил соответствующий отчет ✍️
Читать полностью…В международный день защиты информации, 30-го ноября, в Москве, в Кибердоме, пройдет конференция "Технологии SOC". Достойная программа, интересные спикеры, уютное место. У меня там будет два доклада:
🔤 Мониторинг атак 🔓 на подрядчиков: что брать под контроль на примере реальных кейсов 🛡
🔤 От чего зависит выбор технологий для SOC? 🛡 Составляем чеклист 🤕 на основе опыта участия в паре десятков проектов проектирования и аудитов SOC 🪙
Приходите 🤗
Когда прошлой весной ломали Cisco, то началось все тоже с персонального аккаунта Google. В истории с Okta тот же первоначальный вектор
Читать полностью…Федеральная торговая комиссия США (FTC) ввела требование, аналогичное ЦБшному, об уведомлении некредитными финансовыми организациями 🏦 обо всех инцидентах с данными клиентов и других событиях безопасности. Но при совпадении общей идеи, есть и существенные отличия. Во-первых, сообщать надо не обо всех инцидентах, а если они затронули более 500 клиентов. Во-вторых, на уведомление дается 30 дней, а не 24 часа как у нас ⏳
Основание для такого требования - закон Грэмма-Лича-Блайли (GLBA), принятого еще в 1999-м году. Наконец, в документе, который вводит FTC, как это часто водится у американцев, подробно расписана мотивация, почему было принято такое решение, какие и кем были поданы возражения и т.п. То есть никаких непонятных процедур и требований - все достаточно четко и понятно. И даже если вы с ними не согласны, то вы все равно имеете ответ на вопрос "почему" ❓
И ИБ-компании страдают от шифровальщиков. На этот раз производитель решений по ИБ для IoT
Читать полностью…Нью-Йорк, в рамках развития своей программы кибербезопасности, анонсировал новую программу раскрытия уязвимостей для веб-сайтов и систем, которыми владеет город, включая и АСУ ТП.
Американцы считают, что киберкомандование Нью-Йорка, которое и курирует программу раскрытия уязвимостей, является самым крупным, после киберкомандирования американской армии, подразделением в госорганах США. Для примера, их SOC фиксирует 90 миллиардов событий безопасности еженедельно, которые, после обработки, "превращаются" всего в 50 инцидентов, требующих расследования.
👍Все премьеры с конференции Positive Security Day, которая прошла в киноцентре «Октябрь», теперь доступны онлайн на нашем YouTube-канале!
Включайте плейлист и смотрите по порядку , чтобы узнать:
• какие тренды актуальны в мире ИБ,
• как сделать кибербезопасность результативной,
• как вам в этом помогут продукты Positive Technologies.
🎬 Ищите все видео по ссылке (без регистрации и SMS).
#PositiveЭксперты
#PositiveSecurityDay
Эта история повторилась спустя 25 лет, когда Siemens поставляла свое ПО для промышленной автоматизации на завод в Натанзе, участвующий в ядерной программе Ирана. Да-да, речь о пресловутом Stuxnet. Основной версией заражения завода 🏭 вредоносом с последующим выводом из строя около 1000 центрифуг является занесение его на инфицированной флешке. Однако я читал и о другой версии (правда, она не так популярна, так как бросает тень на Siemens), согласно которой, вредонос 🪱 изначально был внедрен в поставленное оборудование и ПО, так как Siemens знала, куда конкретно идет ее продукция.
Проработав 18 лет в Cisco могу подтвердить, что вендор всегда знает, кому поставляется его оборудование. О том же, кстати, говорил в своих разоблачениях и Сноуден, когда рассказывал об имплантах, которые АНБ внедряло в оборудование, поставляемое 📦 конкретным заказчикам. Эта информация не секретна и нет смысла внедрять что-то на конвейере, пичкая закладками абсолютно каждое изделие и повышая многократно вероятность обнаружения недокументированных возможностей. Гораздо эффективнее делать это точечно.
Об этом говорили в 1984-м году, как пишет Олег. Об этом писали ✍️ американцы, рассказывая о взрыве на трубопроводе в Сибири (якобы американцы знали, куда пойдет украденное советской разведкой ПО). Об этом говорилось в связи с инцидентом на заводе в Натанзе. Об этом же говорил и Сноуден. Так что стоит включить это в свою модель угроз. По крайней мере я, в своем курсе по моделированию угроз, про этот момент всегда рассказываю.
На Positive Tech Day я рассказывал о том, что у CISO обычно есть две морковки 🥕 - сзади и спереди. В первом случае CISO, да и вообще специалист по ИБ, делает что-то не потому что он хочет этого сам, а потому что его заставляют это делать, стимулируя наказаниями за невыполнение 👊
Во втором случае морковка не заставляет двигаться вперед, а мотивирует это делать, потому что мы хотим этого сами, мы стремимся к этому, хотим чего-то достичь (бабок, карьеры, известности и т.п.) 🏅 Это то, чему нас учит классика менеджмента.
Но есть и третья история, когда вы делаете что-то не из-за морковки, а потому, что вы хотите, чтобы о вас вспоминали хорошо, чтобы вы оставили след в душе тех, с кем вы работаете. И след этот позитивный. О CISO можно вспоминать 💬 как о чуваке, который только и делал, что вставлял палки в колеса и мешал людям делать их дело. А можно как о чуваке, который вообще ничего не делал, только просил деньги и раз в год ходил на Инфофорум. А можно сделать так, чтобы о CISO вспоминали хорошо, говоря о результате его деятельности если не с любовью, то с уважением и пиететом 😘
В последнем случае CISO и его команде не надо прикрывать жопу перед кем-то. Они не будут говорить "это не моя задача". Они понимают, что все в одной лодке - ИБ, ИТ, бизнес. И если что, то страдают все. И это то, чему нельзя научиться на курсах MBA и EMBA. Это воспитание и ничего другого. Можно болеть за дело, а можно идти по головам. "Каждый выбирает для себя", как поется в песне, слова которой приписываются то Булату Окуджаве, то Юрию Левитанскому 🤔
Один из вопросов, который регулярно всплывает в разных частных беседах и публичных дискуссиях - а сколько у нас "безопасников" и как вообще оценить это число? Сначала ты берешь число выпускников ИБ-специальностей и делишь их на 10 (у меня на курсе в институте было именно такое соотношение тех, кто пошел по специальности работать), а потом видишь статистику Минцифры или Минобра по данному вопросу 📈
Сначала ты смотришь на число участников какой-нибудь конфы по ИБ и видишь, что там в зале набирается 600-800 человек, максимум тысяча-полторы (без нагона студентов). А потом ты приходишь на PHD и там их на порядок больше. Сначала ты ориентируешься на какой-нибудь канал в Telegram, а потом смотришь на свои 20 тысяч подписчиков и задаешься сакраментальным вопросом: "Кто все эти люди?" 👻
Сначала ты смотришь на число просмотров какого-нибудь ИБ-эфира или подкаста (а там без накрутки обычно хорошо если несколько сотен просмотров / прослушиваний), а потом смотришь на ролики Секлаба, которые набирают десятки тысяч просмотров на YouTube или сотни тысяч в TikTok. А тут один из роликов достиг миллиона (!) просмотров. ОДИН МИЛЛИОН, глядь, просмотров! 😱 Вот как?! А самое главное, кто все эти люди, кто интересует ИБ и околоИБшными темами?
Вот и как в таких условиях оценивать "целевую аудиторию", если ты даже в порядке можешь ошибиться на 1-2-3 нуля. Непостижимая история. Если на ней зацикливаться 🤯 Но это же говорит и о ее перспективности и интересе к ней со стороны людей 👍
Американцы справедливо считают, что специалисты по чрезвычайным ситуациям 🌪 не являются экспертами в ИБ и в случае реализации событий с катастрофическими последствиями и имеющие компьютерную природу они не смогут адекватно справиться с инцидентом, еще больше увеличивая негативные последствия ⏳
Поэтому американское МЧС (FEMA) вместе с американской же ФСТЭК (CISA) разработали руководство, которое должно помочь специалистам по ЧС адекватно реагировать, особенно на отраслевые и масштабные киберинциденты 😂 Нельзя сказать, что это прям детальный playbook, но описание ролей, оценки последствий инцидентов, приоритизации и планирования мероприятий по реагированию, взаимодействия с владельцами систем, внутренние и публичные коммуникации... все это в документе есть; как и множество ссылок на различные руководства и тренинги по теме.
То, что по ту сторону баррикад активно изучают 👩🎓 средства защиты с целью их обхода - не секрет. И вот очередное доказательство - выложенный в Интернет Harmony EDR от Check Point с соответствующими рекомендациями.
И этот факт заставляет нас вспоминать, что ядром современного центра противодействия угрозам является не SIEM, не EDR, не NDR/NTA, а вся тройка вместе. У вас накрылись логи, вы видите активность на узле. У вас обходят EDR, вы видите распространение атаки и С2-коммуникации с помощью NTA. У вас зашифрован трафик - вы снова возвращаетесь к логам и активности на узлах.
Моя прелесть (с) Опись коллекции московского музея криптографии из 1200+ экспонатов. Прекрасная книга с отличными фотографиями и подробными историями многих коллекционных предметов на тему криптографической защиты информации, приватности и кибербеза 📕 Не знаю, остались ли еще экземпляры в книжном магазине при Музее криптографии, но возможно вам повезет, если вы поторопитесь 🏃
Читать полностью…А как дышал, как дышал... (с) Когда-то Госуслуги создавались, чтобы решить проблему неразберихи и несогласованности баз данных у разных ведомств и иметь единое хранилище информации о гражданине. Теперь мы возвращаемся на круги своя и портал госуслуг станет просто витриной, которая будет подтягивать неполные, несогласованные, необновляемые данные из баз данных разных ведомств...
Теряется централизация, исчезает единый ответственный. Теперь, если когда произойдет утечка, крайнего будет не найти и все ведомства будут кивать друг на друга. Цифровой профиль... Это была интересная идея и, несмотря на все заявления ФСБ в небезопасности такой схемы, Минцифры - единственное ведомство, кто мог бы ее реализовать. А теперь, видимо, все. Жаль...
Recorded Future выпустила аналитический отчет о развитии киберопераций Китая 🇨🇳, спонсируемых государством, и их развитии за последние годы. Американцы считают, что Китай стал более зрелым 👲 и скрытным, координирует свои действия в киберпространстве, активно использует как известные, так и неизвестные уязвимости 🐉, в том числе и в средствах защиты и сетевом оборудовании. Стремление оставаться незаметными затрудняет обнаружение китайских хакерских группировок 🐲
Читать полностью…Большинство планов по реагированию, не протестированных хотя бы на киберучениях, выглядит так, как на картинке 😊
Читать полностью…Ассоциация больших данных выступила с инициативой разработки и последующего внедрения добровольного отраслевого стандарта защиты персональных данных в качестве одного из механизмов ухода от оборотных штрафов или их снижения. Авторы стандарта 👇 вводят 26 критериев, каждый из которых должен оцениваться по приведенной в проекте стандарта методике.
Ряд критериев может принимать значения только 0 или 1, а у некоторых возможна градация от 0 до 1 с шагом 0.1, 0.2, 0.3 и т.д. (логика там не очень прослеживается, почему для одного критерия градация из двух значений, для другого из пяти, для третьего из 6, а для четвертого из семи, а для какого-то из восьми).
В зависимости от уровня защищенности, типа обрабатываемых персональных данных и количества записей с ними, определяется одна из 4-х категорий операторов персональных данных, которые должны достичь соответствующего значения эффективности защиты ПДн (>6, >10, >14 и >18 баллов).
В целом, идея введения такого стандарта понятна и ее можно приветствовать, если бы не одно но. Почти все предлагаемые защитные меры уже прописано в обязательном для всех операторов ПДн 21-м приказе ФСТЭК (в приказе их даже больше). Если внедрить стандарт АБД, то получится, что операторы сами признают, что они не выполняли 21-й приказ или делали его по принципу на отвали. Такое себе решение...
ЗЫ. Тут больше надо думать о том, как мотивировать (или стимулировать) выполнять 21-й приказ, а не придумывать новые, добровольные требования.
ЗЗЫ. Скорее предлагаемый стандарт описывает процедуру оценки зрелости реализации 21-го приказа (если туда добавить остальные меры защиты). Я про это 7 лет назад писал ✍️
Эффективное управление уязвимостями требует коррелировать различные источники информации - известные уязвимости, патчи, списки разрешенного и запрещенного ПО, активность хакеров. И все это применительно к конкретному ПО, которое надо идентифицировать с помощью уникального идентификатора и системы управления, построенной вокруг него.
Американское агентство CISA выпустило документ, посвященный решению этой задачи и пригласило экспертов до 11 декабря высказать свои замечания в его отношении. Нам высказывать американцам нечего, но вот критически посмотреть на этот документ и перенять оттуда ключевые идеи можно. Особенно в контексте усилий ФСТЭК по безопасной разработке и управлению уязвимостями, и усилий Минцифры по управлению отечественным ПО через соответствующий реестр, фонд алгоритмов и программ, а также свой государственный Git. А там и до требований к SBOM недалеко...
Помните историю с двумя американцами, названными "русскими", которые взломали систему диспетчеризации такси в Нью-Йорке? Теперь к ним добавилось еще двое, на этот раз классических россиян, - Шипулин или Деребенец. Первая парочка признала свою вину в октябре, второй еще это предстоит.
Ну и до кучи - американский OFAC обвиняет россиянку в помощи группировке Ryuk в отмывании 2,3 миллионнов долларов.
Неполный список иностранных топ-менеджеров, пострадавших за инциденты ИБ или иные связанные нарушения в своих компаниях:
1️⃣ Тимоти Браун, CISO SolarWinds - обвинен Комиссией по ценным бумагам за сокрытие от инвесторов факта о низкой защищенности компании
2️⃣ Джо Салливан, CSO Uber - осужден за сокрытие факта утечки ПДн с последующей выплатой 100 тысяч долларов хакерам "за молчание" и неуведомление клиентов и регуляторов об этом
3️⃣ Амит Бхардвадж, CISO Lumentum Holdings - обвинен Комиссией по ценным бумагам за незаконную торговлю акциями перед объявлением о двух сделках по поглощению и слиянию
4️⃣ Цзюнь Ин, CIO Equifax U.S. Information Solutions - посажен в тюрьму на 4 месяца и оштрафован на 55 тысяч долларов за инсайдерскую торговлю перед объявлением об инциденте с утечкой персданных 140+ миллионов клиентов.
5️⃣ Сюзан Молдин, CSO Equifax, и Дэвид Уэбб, CIO Equifax - покинули компанию после взлома
6️⃣ Бэт Джэкоб, CIO Target - покинула компанию после взлома и утечки платежных данных 40 миллионов своих клиентов
7️⃣ Эми Паскаль, CEO Sony - уволена из компании Sony Pictures после ее взлома. Правда, причиной увольнения стали ее расистские письма, которые и стали достоянием гласности в результате инцидента
8️⃣ Вальтер Стефан, CEO FACC AG - уволен после фишинга от имени гендиректора, приведшего к краже 50 миллионов евро (роль Стефана до конца неясна, но в официальном заявлении говорится о явных нарушениях, которые он допустил и которые стали причиной потери денег)
9️⃣ Миньон Хоффман, CISO Университета штата Сан-Франциско - уволена за сокрытие утечки персданных студентов, произошедшей из-за неустраненной уязвимости в Oracle (отсутствие патча объяснялось заморозкой бюджета и нежеланием ИТ-директора заниматься "ерундой")
Про очередное заявление о взломе RSA-2048 слышали, думаю, многие. Я не стал его в блоге обсасывать с разных сторон (доказательств все равно не представлено), а взял его скорее за основу и посмотрел на проблему квантовых компьютеров и постквантовой криптографии чуть шире; в том числе и ряд направлений, которыми занимаются в России.
ЗЫ. Почему в России так любят использовать флору и фауну для названий всяких военных и околовоенных штук? Когда я занимался РЭБ, всяческие приборы тоже называли по названиям отечественной флоры - "Береза", "Липа", "Азалия", "Герань", "Сирень" и т.п. А теперь вот алгоритмы постквантовой криптографии - "Шиповник", "Крыжовник", "Форзеция" и т.д.