alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

Страны Европы, пострадавшие (отмечены голубым) от кибератак, ассоциированных с конфликтом России и Украины. Интересно, что пророссийские группировки не атаковали Турцию (это понятно), Португалию, Ирландию, Хорватию, Боснию и Герцеговину, Монтенегро, Албанию и Андорру.

Читать полностью…

Пост Лукацкого

Считается, что термин «хакер», применительно к современному пониманию, появился в 1963-м году, в студенческой газете The Tech, издаваемой MIT

Читать полностью…

Пост Лукацкого

Кибер-руководство Украины подало в отставку. Главу ДССТЗИ и его зама обвиняют в растрате государственных денег при закупке иностранного ПО.

Читать полностью…

Пост Лукацкого

Институт изучения мировых рынков (этакий "русский IDC") выпустил отчет "Реальность и перспективы российского рынка кибербезопасности 2023 — 2025", в котором авторы пытаются оценить текущую степень зависимости российских компаний от иностранного ПО в области кибербезопасности, выявить основные драйверы, затрудняющие факторы и общую степень готовности отечественных компаний к переходу на отечественное ПО в ближайшие два года.

Очевидно, что в текущих условиях заказчики постепенно мигрируют на российское ПО, потенциал которого огромен (сейчас мигрировали только около 30% компаний). Наиболее перспективны такие сегменты для миграции как "Аналитика и реагирование" и "Сетевая безопасность".

Отчет не затрагивает тему сетевого оборудования, а это достаточно важная история для обеспечения ИБ предприятий. Недавно нашумевшая уязвимость в Cisco IOS XE (CVE-2023-20198) лишний раз показала этот факт. И вот новая RCE в Cisco, которая продается в Даркнете и которая, по словам "продавца", дает еще больший эффект, чем недавняя дыра.

И вот тут снова надо вернуться к отчету ИИМР. Там перечислены причины, почему компании остаются на иностранном ПО (думаю, к железу применимы те же причины). Но отвеченным остается вопрос - а как использующие иностранное ПО и железо компании решают вопрос с оперативными обновлениями? Если доступа к ним нет, то последствия могут быть слишком серьезными. Если доступ есть, то к доверенному источнику или к "иранским" телеграм-каналам, где выкладываются непонятно откуда взятые обновления?

Это у многих иностранных средств защиты есть или скоро появятся отечественные аналоги. А вот сетевому оборудованию похвастаться особо нечем - адекватных аналогов пока что-то на горизонте не видно. И выход тут один - выстраивание процесса управления уязвимостями и компенсирующие меры, позволяющие устранять если не сами дыры, то хотя бы снижать последствия от их эксплуатации (сегментация, мониторинг сетевой активности и аномалий, МСЭ внутри инфраструктуры...).

Читать полностью…

Пост Лукацкого

Визуализация в целом и ИБ в частности - тема достаточно непростая и я ей посвятил немало выступлений и заметок тут и в блоге. Сейчас перезапущу сайт на новом хостинге и все-таки выложу обещанный курс по дашбордам в ИБ. А пока поделюсь прелестным подарком, который я получил от основателя проекта Дата Йога Андрея Демидова 🃏

Казалось небольшая колода карт 🃏, но в ней сосредоточена вся мудрость визуализации, а именно набор наиболее популярных видов визуализации данных с примерами, что и когда стоит, а когда не стоит применять исходя из тех задач, которые перед вами стоят - показать рост или снижение, сфокусировать внимание на каком-то показатели или просто подкрепить свои доводы "картинкой".

ЗЫ. На сакраментальный вопрос "Где достать?" сразу отвечу - "Не знаю" 🤷

Читать полностью…

Пост Лукацкого

Дашборд по ИБ в управлении обслуживания фермеров (Farms Service Agency), входящем в структуру Минсельхоза США. Тамошний CISO считает, что с помощью такого дашборда он следует подходу, ориентированному на результат (Result-based Management), увязанному со стратегическими целями агентства. Как по мне, так при хорошей задумке реализация на троечку. Сама по себе идея измерения текущего состояния ИБ и его улучшения неплоха, но тут, как мне кажется, измерения ради измерения. Вроде и делается что-то, но как это все связано с помощью американским фермерам?

Большинство метрик уровня compliance - завершено в срок, реализовано защитных мер, соответствует требованиям, сделано по расписанию, обработано запросов… Скучно 🥱 и совсем не про реальный результат 🤨

Читать полностью…

Пост Лукацкого

Муж не дебил, он админ с чувством юмора 💻

Читать полностью…

Пост Лукацкого

Неминуемо приближается Черная пятница, а значит настало время тратить деньги, хотя это и стало делать сложнее🤷
Уже по традиции можно посмотреть скидки на различные курсы, сервисы и утилиты по направлению ИБ в репозитории InfoSec Black Friday Deals ~ "Friday Hack Fest" 2023 Edition 🔥

Еще можно заглянуть в Awesome Black Friday/Cyber Monday Deals - 2023 - здесь также можно найти скидки на книги, утилиты, сервисы различных направлений🛍

Читать полностью…

Пост Лукацкого

Когда с вашей символикой делают разные прикольные штуки, значит любят, значит появляются фанаты, значит тема ушла в народ!

Читать полностью…

Пост Лукацкого

Чего мне не хватает на сайте НКЦКИ, так это отдельного раздела с предупреждениями о той или иной угрозе. Есть там раздел "Бюллетени НКЦКИ", но он про новые уязвимости. Есть раздел "База уязвимостей", но чем он отличается от предыдущего не очень понятно (разве, что в нем последняя уязвимость датируется началом октября, а в "бюллетенях" серединой ноября.

А вот особые предупреждения приходится выискивать в разделе новостей, что не очень удобно. Тем более, что они тоже оформлены как бюллетени НКЦКИ, хотя и не называются так же. А был бы отдельный раздел, можно было бы без проблем на него ссылаться, вытягивать автоматом и парсить новые предупреждения и т.д. Запишите это как рацпредложение! ✍️

Читать полностью…

Пост Лукацкого

Бытовой антифрод 👀😅

#пятничное #юмор

Читать полностью…

Пост Лукацкого

💬 «Не стоит пытаться бежать впереди паровоза и искать какие-то новомодные решения для борьбы с утечками, лучше начать с того, что у вас есть в арсенале уже сейчас. У всех есть фаерволы, у всех есть решение для мониторинга активности. В идеале вообще просто выстроить процесс обновления сегментации — это уже сильно поможет вам бороться с утечками данных и любыми другими инцидентами, связанными с данными» — советует Алексей Лукацкий, бизнес-консультант по информационной безопасности, Positive Technologies

Читать полностью…

Пост Лукацкого

🔥 Сегодня стартует первый день нашего масштабного мероприятия Moscow Hacking Week!

Начнем с основ, а точнее с конференции Standoff 101 для студентов и начинающих специалистов, которые хотят развиваться в кибербезопасности и узнать больше об этой сфере. Специально для вас мы собрали на одной площадке крутых профи, которые поделятся своим опытом.

🤔 Реверс-инженер, специалист по AppSec, белый хакер, вирусный аналитик — как выбрать, кем стать? Из чего состоит жизнь специалиста по ИБ? На какой доход можно рассчитывать? Что нужно, чтобы стать востребованным в этой сфере?

Ответы на эти и многие другие базовые вопросы вы узнаете в ближайшие два дня. Подключайтесь к трансляции на сайте Moscow Hacking Week и делитесь ссылкой с друзьями, которые хотят попасть в мир кибербезопасности.

Расписание первого дня конференции на карточках

#Standoff101
#PositiveEducation
#MoscowHackingWeek

Читать полностью…

Пост Лукацкого

Если опуститься с оценки рисков к моделированию угроз, то мы помним, что из 4-х подходов в этой области есть и такой, в рамках которого мы отталкиваемся не от активов, не от угроз, а от нарушителя 👨‍💻, от его возможностей, которые и определяют то, что может сделать "плохой парень", то есть какие угрозы реализовать 💻

Известный в узких кругах Arkanoid, высказавшись на тему оценки рисков
«людям трудно понять, что лучше просто и сейчас, чем подробно и никогда»,
предложил свою вариацию на тему моделирования нарушителя, разделив их на 4 уровня:
😛 Хакер-оппортунист - мамкин-хакер или хактивист, звезд с неба не хватает, использует обычно готовый инструментарий
😂 Хакер с целеполаганием - может и кастомный эксплойт для известной уязвимости написать, но основное его отличие в целеустремленности и выборе целей
😉 Хакер-организатор - тратит много ресурсов на организацию атаки, стараясь оставаться незамеченным, может быть даже "в погонах", но не самого высокого ранга
😎 Хакер-хищник - желает стратегического доминирования в киберпространстве и предпринимает для этого максимум усилий.

По мнению автора эта градация позволяет писать модели угроз любой сложности, но как по мне, это возможно только если ты прекрасно разбираешься в теме и представляешь, какими возможностями обладает каждый из 4-х уровней. Без этого это еще одна классификация хакеров, не более.

Читать полностью…

Пост Лукацкого

Когда риск-менеджмент перестает работать, придумывают "риск-менеджмент 2.0" 😊 Но красиво, ничего не скажешь. Отсылки к физиологии, использованию искусственного интеллекта, генетического инжиниринга. Прям фьюжн какой-то... Но есть один нюанс в реализации этого подхода, о котором далее А вообще "controls physiology" звучит интригующе, но непереводимо на русский язык 🔫

Читать полностью…

Пост Лукацкого

Есть такие уязвимости, которые надо патчить не дожидаясь перитонита. Зовут их трендовые или, на американский манер, KEV (known exploited vulnerabilities)

Читать полностью…

Пост Лукацкого

Вы помните нашумевшие в этом году атаки на Barracuda ESG, Cisco IOS XE, Citrix NetScaler, Cisco VPN, аппаратные решения SonicWall, Sophos, PaloAlto, Arista, F5, Juniper, Pulse Secure и т.п.? 👨‍💻 Это только верхушка айсберга, связанного с атаками на уровень ниже приложений, - уровень прошивок ПО для оборудования, BIOS/UEFI, подсистему управления BMC, системы хранения NAS/SAN, загрузчики устройств (bootloader), микрокод в чипсетах и т.п.

Технологии типа DMA (Direct Memory Access), PCIe или NMVe дают вредоносным программам гораздо больше возможностей по доступу к памяти и обходу средств защиты на уровне операционной системы (например, VBS или Device Guard), антивирусов и EDR. Иногда в кофейне краем уха услышишь, что делается в нашей лаборатории исследования железа и понимаешь, что это совершенно иной мир, с которым обычный ИБшник сталкивается редко, а если и сталкивается, то не всегда знает, что делать. Особенно в связи с уходом иностранных вендоров и закрытия стандартных каналов обновления уязвимых прошивок.

ЗЫ. А еще помните, что одна четверть всех трендовых, то есть широко эксплуатируемых, уязвимостей связана с прошивками ”железа” и в 2024-м году число руткитов, буткитов, шифровальщиков и ВПО их использующих, будет только расти.

ЗЗЫ. У китайцев, кстати, тоже не меньше, чем у американцев, проблем на уровне железа.

Читать полностью…

Пост Лукацкого

Каждый выбирает для себя (с)

Читать полностью…

Пост Лукацкого

КриптоПро популярен у продавцов Авито 😊 И никакого тебе учета СКЗИ 😊

Читать полностью…

Пост Лукацкого

В одном крупном холдинге у CISO среди метрик оценки его эффективности есть и такая - повысить операционную эффективность группы компаний путем ослабления защитных мер до минимально достаточного уровня! Обратите внимание - не путем усиления, а путем ослабления защитных мер! 😎

Иными словами надо не бездумно увеличивать число средств защиты, процессов ИБ, плодить оргштатную структуру и другими способами показывать свою значимость и наращивать "капитализацию", а найти баланс между уровнем ИБ, инвестициями в кибербез и пользой для бизнеса. А это оооочень непростая задача! И она реально для CISO, должности, которая является сплавом технических и организационных знаний с учетом бизнес-потребностей своего, нет, не работодателя, а бизнеса. На этом уровне CISO уже не просто наемный менеджер - он разделяет интересы своей компании и старается нащупать баланс 🤝

Читать полностью…

Пост Лукацкого

Запись 🎞 моего выступления про кибербез как неотъемлемую часть бизнес-модели любой компании или предприятия лежит на сайте конференции SberPro Tech 2023. Смотреть с 4:00:30. Всего 22 минуты, но зато каких 👀

Читать полностью…

Пост Лукацкого

Не нашел в списке, но скидки есть еще на курсы SANS (600 баксов, то есть около 10%) и тренинги FAIR

Читать полностью…

Пост Лукацкого

Плохо подготовленный социальный инжиниринг ;-)

Читать полностью…

Пост Лукацкого

🔥 Конференция Standoff 101 для новичков в области кибербезопасности продолжается!

Подключайтесь к трансляции на сайте Moscow Hacking Week, чтобы узнать:

🖥 в каких направлениях ИБ могут прокачивать свои навыки начинающие специалисты и профи.

👾 как получить свою первую работу вирусного аналитика и что ждет впереди.

🤖 как open source расширяет понимание ИБ, почему нужно заниматься eBPF и WebAssembly, посматривая на искусственный интеллект.

Об этом и многом другом расскажут профи из сферы кибербезопасности — расписание выступлений на сегодня на картинках.

#Standoff101
#PositiveEducation
#MoscowHackingWeek

Читать полностью…

Пост Лукацкого

На прошлых выходных, пытаясь противостоять серости, настигающей в это время года Москву, пошли с Айсылу в театр.

Во время спектакля Айсылу явно себя чувствовала не в своей тарелке. То ли вздрагивала, то ли была на грани панической атаки.

Не дожидаясь антракта, она выбежала из зала. Я, слыша в догонку ворчливое шипение заядлой театралки в возрасте, что водятся в пределах Садового кольца, выбежал следом.

Оказалось, что моя дама в тайне от меня взяла с собой секс-игрушку, которая управляется через приложение. Но мой телефон во время спектакля был на авиарежиме.

Тут я, как опытный человек в теме инфобеза, вспомнил о том, что есть хакеры, которые получают удовольствие, взламывая секс-игрушки. Случаев таких за последние годы было достаточно много.

И вот я натыкаюсь на очередную свежую историю о том, как «энтузиасты»(можно ли их так назвать) взламывали чужие вибраторы с помощью Flipper Zero.

В общем, окультуриться нам помешал какой-то «энтузиаст», ну а Айсылу сделала вывод, что брать с собой вибратор на величайшие пьесы современности плохая идея.

Как там говорит Алексей Лукацкий, «недопустимое событие»? Вот оно самое.

@cybersachok

Читать полностью…

Пост Лукацкого

По мнению Майкла Портера (это его имя в «пяти силах Портера»), чем сильнее развита конкуренция 🤼 на внутреннем рынке страны и выше требования покупателей, тем больше вероятность успеха компаний 🎰 из этой страны на международных рынках (и наоборот, ослабление конкуренции на национальном рынке приводит, как правило, к утрате конкурентных преимуществ) 🤔

Может и неплохо, что у нас под три десятка вендоров NGFW, с десяток SIEMов, столько же средств управления уязвимостями, DLP и вовсе без счета… 🧮

ЗЫ. А у вашего периметра (тоже слово на П) есть конец?

Читать полностью…

Пост Лукацкого

Моя презентация "Биздата. О защите бизнес-данных нетрадиционными мерами, которые реализованы у всех" с выступления на "Защите данных"

Читать полностью…

Пост Лукацкого

🤔 Знаете ли вы, что объединяет овцебыка, бабочку-шифровальщицу и кибербезопасность?

Если нет, то специально для вас Positive Education запускает бесплатный курс «Базовая кибербезопасность: первое погружение», автором которого стал Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies.

С помощью небольшого курса вы сможете понять основы отрасли: что такое кибербезопасность и как она влияет на людей, бизнес и государство. Материал в первую очередь рассчитан на новичков в этой сфере: в нем собран необходимый минимум информации, которую обычно приходится искать в различных источниках — статьях, выступлениях и видео.

Вас ждут девять коротких видеоблоков, в которых Алексей расскажет просто о сложных терминах в мире ИБ, что движет плохими парнями, кто работает на светлой стороне и даже какие инструменты ИБ использовали в Древнем Египте.

🤟 Курс доступен всем желающим, смотрите его на нашем сайте и делитесь с друзьями, которые хотят начать свой путь в сфере кибербезопасности!

@Positive_Technologies
#PositiveEducation

Читать полностью…

Пост Лукацкого

Вся это controls physiology базируется на модели FAIR-CAM, которая... не очень-то и похожа на классическое управление рисками (Risk 1.0). Магии не случилось. По сути речь идет о нормальной системе ИБ, которая зиждется на трех китах:
1️⃣ Меры поддержки принятия решений, которые позволяют приоритизировать оценить что и от чего мы защищаемся (управление активами, выбор ключевых систем, моделирование сценариев реализации угроз и т.п.)
2️⃣ Вариативные меры управления (управление уязвимостями, оценка защищенности, повышение осведомленности и т.п.)
3️⃣ Меры нейтрализации потерь, представляющие по сути собой харденинг инфраструктуры и уменьшение площади атаки.

Ничего нового, если честно. Я бы мог сказать, что это почти один в один концепция результативного кибербеза, только подана красиво и привычно использует слово «риск» в своей основе 👌

Читать полностью…

Пост Лукацкого

Устроим сегодня день риск-менеджмента 🔥 Если вы не просто слышали про оценку рисков, а реально пытались общаться с топ-менеджментом про эту тему, то знаете, что задача эта нетривиальная. Бизнес с трудом понимает абстрактные риски, которых еще и несколько сотен в реестре. Есть разные подходы к тому, чтобы решить эту непростую проблему, например, история с недопустимыми событиями. А вот г-н Шапиро (но не тот, другой) предложил свою методологию, назвав ее изящно и просто, - Двоичный анализ рисков (Binary Risk Analysis, BRA).

Идея BRA проста до безобразия - вам надо задать всего 10 вопросов, каждый из которых имеет всего два ответа - да 🆗 или нет 👎 (отсюда и "бинарный" в названии). Все вопросы делятся на пары и в зависимости от комбинации ответов (Да + Да, Нет + Нет, Да + Нет) вы получаете одно из трех значений классического "светофора" 🚦Риск оценивается экспертным путем по тому, насколько атака на актив требует нужных компетенций, актив имеет слабости в защите, каков источник угрозы и насколько актив ценен для бизнеса.

Из этого набора вопросов уже становится понятно, что облегчив саму процедуру оценки рисков методология BRA рассчитана на ИБшников (ну откуда бизнес знает про компетенции хакеров и слабости в защите активов?). А вот откуда ИБшники возьмут ответы на последнюю пару вопросов (имеет актив ценность для бизнеса и будет ли стоимость восстановления актива значительной), BRA не отвечает 🤑

Резюмируя могу сказать, что попытка облегчения оценки рисков в BRA достаточно интересная, но основную проблему она так и не решает. Бизнес все равно не будет ею пользоваться, а ИБшник не сможет донести важность темы до топ-менеджмента 🧐 Тут нужно нечто совершенно иное, простое и понятное для бизнеса.

Читать полностью…
Subscribe to a channel