alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27193

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

Битрикс завел на своем сайте отдельную страницу про выявленные уязвимости на своей платформе. Я бы туда еще обязательно добавил уведомление, что без активной подписки получить обновления нельзя (а если можно, то как, где и при каких условиях), а также давал ссылки на обновления, устраняющие описанные уязвимости. А в идеале бы еще и на сайте, в админ-панели сделал всплывающий пуш красным о том, что используемая версия уязвима и надо обновиться.

Читать полностью…

Пост Лукацкого

Вы знали, что среднее время нахождения CISO в должности в США составляет 18-24 месяца. Это, конечно, странные, по сравнению с Россией, цифры. У нас этот срок обычно дольше. Ну что можно успеть сделать за 1,5-2 года?

Читать полностью…

Пост Лукацкого

Среди атак на машинное обучение есть «отравление данных», которое вводит в заблуждение и приводит к неверным решениям на их основе (даже при отличной модели и процессе обучения).

В ИБ тоже такое есть - обманные системы. Я в них не очень верю, так как обычно в компаниях не хватает ресурсов даже на обычные средства защиты и фундамент для SecOps. Какие уж тут обманки… 😵

Но вот с данными такой фокус можно провернуть. Особенно если притянуть сюда ML, которое позволит сгенерить синтетические данные, похожие на настоящие. И можно даже «забыть» закрыть к ним доступ. И когда их сопрут, можно даже позлорадствовать над хакерами…

Читать полностью…

Пост Лукацкого

Список Топ10 сценариев (use cases), которые необходимо использовать в SOC, который мониторит АСУ ТП. Это не значит, что не надо мониторить все остальное; просто с этого стоит начинать.

Читать полностью…

Пост Лукацкого

Когда средств защиты очень много, они начинают мешать 🏊‍♂️ Главное, найти баланс, а то куча денег делает только хуже 👎

Читать полностью…

Пост Лукацкого

🛡Инфраструктуру компании часто сравнивают с замком, неприступные стены которого разными способами пытаются взять захватчики.

Причем и способы эти похожи. Например, проникновение в крепость через мало кому известный потайной ход можно сравнить с попыткой взлома через забытый удаленный доступ.

Алексей Лукацкий, бизнес-консультант по информационной безопасности Positive Technologies, на примере сражений из блокбастеров показал, какими еще методами могут пользоваться злоумышленники, чтобы захватить ваш «замок».

@Positive_Technologies
#PositiveЭксперты

Читать полностью…

Пост Лукацкого

Надоооолго задумался 🤔

Читать полностью…

Пост Лукацкого

В ООН приняты обе киберрезолюции

Свежие новости из Первого комитета Генассамблеи. Как я и прогнозировал, были приняты оба проекта резолюции по переговорам о кибербезопасности. Российский — в поддержку нынешнего формата, Рабочей группы открытого состава (РГОС). Западный — в поддержку создания после завершения РГОС постоянного механизма обсуждения кибербезопасности, так называемой Программы действий по поощрению ответственного поведения государств в использовании ИКТ (PoA). Конкретно PoA в резолюции не упомянута (после редактуры), но все понимают, что речь идёт именно о ней. Все параметры нового механизма должны опираться на то, что согласовано в РГОС, поэтому конкретные очертания мы увидим в будущем.

В России к Программе действий изначально относились со скепсисом, а затем и открыто отрицательно. Но, как можно видеть по голосованию, противников у нового формата помимо России и Китая нашлось не так много. Российское недовольство объясняется как статусными, так и содержательными причинами. Российская дипломатия по праву считает своей заслугой включение проблематики информационной безопасности в 1998 году, когда об этом почти никто не думал. И все последующие форматы переговоров инициировались Россией. Теперь же впервые создаётся механизм, который инициирован другими странами. Хуже того — в год 25-летия с внесения той самой первой резолюции. Это что касается статуса. Если говорить о содержании, то в России считают PoA попыткой увести переговоры в сторону от обсуждения новых юридических обязательств.

Разумеется, на этом дипломатические баталии не закончатся, в ближайшие два года будет обсуждаться, как будет выглядеть и что обсуждать новый механизм (возможно, и как он будет называться), возьмётся ли он за юридическое закрепление кибернорм. Также Россия может попробовать запустить процесс выработки конвенции по международной информационной безопасности, но это будет зависеть от наличия поддержки и желания стран создавать второй формат переговоров.

Читать полностью…

Пост Лукацкого

Сегодня в Вашингтоне 48 государств должны подписать соглашение о запрете выплат шифровальщикам-вымогателям. Это часть их обновленной национальной стратегии кибербезопасности и плана по ее реализации. Первоначально таких стран было 31, а потом их число увеличилось в полтора раза. Интересные цифры приводятся американцами - 8,7 триллиона долларов потеряла мировая экономика от шифровальщиков за прошлый год (это не выкупы, а именно совокупные потери).

Я вполне допускаю, что почти четверть стран мира подпишут это соглашение, а вот дальше допускаю, что все пойдет совсем не так, как предполагают США. Во-первых, мало подписать просто соглашение о намерениях, нужно вводить ответственность за его несоблюдение. И вот тут американцы могут столкнуться с суровой реальностью. Выплата выкупа - это обычное бизнес-решение. Вспомним свежие истории с атаками на казино "Цезарь" и MGM в Лас-Вегасе. Первое выплатило 15 миллионов и спокойно продолжило зарабатывать свои 8-10 миллионов долларов ежедневно. MGM отказалось и потеряло 110 миллионов долларов.

Недавно атакованный LockBit'ом Boeing сегодня начал переговоры с вымогателями, видимо, тоже решив, что выкуп лучше потери ценной информации. Также можно вспомнить историю c Garmin, которая была атакована группировкой Evil Corp. И несмотря на наложение на нее американских санкций, Garmin как-то умудрилась выплатить затребованные 10 миллионов долларов. То есть закон законом, а бизнес всегда найдет способ обойти введенные ограничения. И тут все зависит от позиции США - будут они наказывать нарушителей подписанного соглашения или нет? И, кстати, вопрос. Чтобы это все заработало, мало подписать меморандум, надо же еще вносить изменения в национальное законодательство, а это явно небыстрая процедура. Так что будем посмотреть, чем закончатся эти благие намерения.

ЗЫ. А шифровальщики, столкнувшись со сложностями в получении денег, вероятно, начнут жестить - выкладывать украденные данные, уничтожать инфраструктуры и иными способами показывать всю свою серьезность. И тогда ситуация может быть даже хуже, чем сейчас. По крайней мере в самом начале...

ЗЗЫ. Список стран (СНГ, Африки, Азии в списке нет) и детали инициативы могут быть найдены на сайте Белого дома.

Читать полностью…

Пост Лукацкого

CISA выпустило коротенькую памятку по обеспечению кибербезопасности и прайваси при использовании дронов. В Москве, конечно, дрон уже на запустишь (легально), но вдруг, когда-нибудь ситуация изменится и мы вернемся к прежней жизни и "звук мопеда" - это будет звук мопеда, а не летящего и нацеленного на что-то беспилотника 🩸

Читать полностью…

Пост Лукацкого

Еще один прекрасный доклад с ATT&CKCON 4.0 про визуализацию TI в соответствие с ATT&CK так, чтобы результаты расследования инцидентов и обнаружения атак были понятны разным аудиториям, которые сталкиваются с дефицитом внимания (автор даже использовала термин "экономика внимания").

А посему - инфографика, heat map и другие способы визуализации, помогающие быстро понять основную мысль TI-отчетов... А сложные и длинные отчеты с простынями IoC'ов - это для нердов и ботаников от ИБ 😊

Читать полностью…

Пост Лукацкого

Главное, работать с визуальными образами 🤦‍♀️

Читать полностью…

Пост Лукацкого

Сегодня в Питере проходит Positive Tech Day, где у меня выступление про стимуляцию и мотивацию, свежие овощи 🥕, бизнес-потребности и вот это вот все... Времени немного, поэтому будем давить на образное мышление 😊

Читать полностью…

Пост Лукацкого

Ну и сам отчет TAdviser

Читать полностью…

Пост Лукацкого

Я не всегда согласен с девизом «Потому что обучение всегда должно быть бесплатным», но инициативу приветствую 🤝

ЗЫ. Да, у меня самого немало бесплатного выложено. Но иногда подготовка хорошего контента должна быть оплачена!

Читать полностью…

Пост Лукацкого

Американская комиссия по ценным бумагам (SEC) обвинила директора по ИБ компании SolarWinds Тимоти Брауна в обмане инвесторов и нарушении правил внутреннего контроля 😡 Обвинение строится на том, что за два года с момента выхода на биржу и до начала кибератаки SUNBURST, компания SolarWinds и ее CISO завышали свои индикаторы защищенности 📈 и не раскрывали или осознанно занижали риски. При этом CISO знал о недостатках в своей системе кибербезопасности, но не предпринимал необходимых мер по их устранению

Во внутренней презентации еще 2018-го года, с которой Браун был ознакомлен, говорилось, что удаленный доступ в компании "не очень защищен" и в случае, если кто-то будет эксплуатировать эту уязвимость, у компании не будет возможности это обнаружить (что в рамках SUNBURST мы и наблюдали), что, в свою очередь, может привести к серьезным репутационным и финансовым потерям 😂 Тоже самое говорилось и в более поздних презентациях о состоянии ИБ в SolarWinds.

Еще летом 2020-го года, участвуя в расследовании у одного из заказчиков, Браун писал, что "наш бэкенд не устойчив" и хакеры могут использовать ПО Orion Manager для масштабных атак, что и было продемонстрировано всего спустя полгода. В сентябре он же писал, что объем проблем с ИБ, обнаруженных за последние месяцы, превышает возможность команды по их разрешению". В результат атаки акции компании упали на 25% в первые два дня после объявления об инциденте SUNBURST и на 35% к концу месяца 🧤

Как говорит SEC в своем заявлении: "Сегодняшнее обвинение - это не только наказание SolarWinds и Брауна за обман инвесторов и провал в защите ценных активов компании, но и наше сообщение всем эмитентам - внедряйте строгие меры контроля в соответствие с вашими рисками и уровнем, согласно которому ваши инвесторы должны знать о проблемах" 🫵

ЗЫ. А еще в мае Браун делал интересные заявления...

Читать полностью…

Пост Лукацкого

У Битрикса опять проблемы. ФСТЭК пишет о, как минимум, 8 уязвимостях в популярной платформе для создания сайтов, среди которых и несколько RCE. Патчей нет 🤷‍♂️ только компенсирующие меры.

Читать полностью…

Пост Лукацкого

В 2018-м году в ISO, в комитете SC27, отвечающем за ИБ, развернулись нешуточные баталии на тему, как писать правильно, cybersecurity или cyber security? К единому мнению так и не пришли, а в Интернете до сих пор пишут и так, и так. В одно слово - преимущественно американцы, в два - англичане. Так что по тому, как пишите этот термин вы, можно понять, учили вы американский английский или британский. А это уже, кстати, персданные. Но мы Роскомнадзору не скажем ;-)

Читать полностью…

Пост Лукацкого

Одна проукраинская группировка пишет, что получила доступ в инфраструктуру одного из российских заводов ОПК. Среди прочих «доказательных» скринов есть и сделанный с SIEM. Отсюда небольшой опрос

Читать полностью…

Пост Лукацкого

Посмотрев всякое, я тут за консультацией ходил по поводу кибербеза метавселенных. К дочери 👧 Она спец во всяких Roblox’ах и т.п. недометавселенных. Кто как не младшее поколение может помочь разобраться, как оно все там работает… А то про это пока мало пишут, а то тема может стать популярной в обозримом будущем 🪩

Читать полностью…

Пост Лукацкого

Вот представьте, что вы решили начать мониторить АСУ ТП с точки зрения угроз и нарушений безопасности. С чего начать? 🤔 Тут все зависит от того, насколько вы разбираетесь в объекте мониторинга. Если посмотреть на схему, то начинать стоит с левого нижнего угла, постепенно продвигаясь к правому верхнему. То есть обычно вы берете какую-нибудь IDS (СОВ/СОА), в которой присутствуют сигнатуры для промышленных протоколов и ставите ее на периметре АСУ ТП 🏭 Потом вы можете переходить к системам мониторинга аномалий в промышленной сети, накрывая мониторингом все ключевые компоненты - ПЛК, HMI и т.п. Ну а по мере получения новых знаний о функционировании АСУ ТП, вы уже можно двигаться дальше и выше, фокусируясь не только на атаках и аномалиях в сетевом трафике, но и отслеживая состояние технологических процессов и их параметров.

Читать полностью…

Пост Лукацкого

Утащил из одного чатика по приватности. Прям взоржал, когда увидел. Реально, именно так и воспринимаются нормативные акты, которые ты читаешь (или комментарии к нему, включая правоприменительную практику) и которые ты писал ✍️

Читать полностью…

Пост Лукацкого

31-го октября (не 25-го как обычно) MITRE выпустила новую, 14-ю версию своей матрицы ATT&CK, которая пополнилась целым букетом изменений:
1️⃣ 18 новых техник в Enterprise и почти 130 различных обновлений в ранее описанных техниках
2️⃣ 7 новых и 25 измененных техник в версии для мобильных устройств
3️⃣ В версии для АСУ ТП новых техник не добавлено, но вот изменений в уже существующих больше 80.
4️⃣ 14 и 7 вредоносных программ для матриц Enterprise и Mobile, а также ряд изменений в существующих.
5️⃣ 7 новых группировок и изменения в 22 имеющихся
6️⃣ 4 новых хакерских кампании
7️⃣ 14 новых активов в матрицу для АСУ ТП
8️⃣ 1 новая защитная мера для "мобильной" матрицы и почти 50 изменений в существующие меры, преимущественно для АСУ ТП
9️⃣ Существенно расширено число техник с описанными методами обнаружения с примерами на псевдокоде из Cyber Analytics Repository. Для расширения плацдарма (Lateral Movement) было добавлено 75 правил, написанных на BZAR (Bro/Zeek ATT&CK-based Analytics and Reporting), и число таких правил планируют расширять в следующих версиях.
1️⃣0️⃣ Расширено описание связей между методами обнаружения, источниками данных и защитными мерами.

Всего в текущей версии матрицы:
1️⃣ Enterprise - 201 техник, 424 суб-техник, 141 группировок, 648 примеров вредоносного ПО, 23 кампаний, 43 защитных мер и 109 источников данных
2️⃣ Mobile - 72 техник, 42 суб-техник, 8 группировок, 108 примеров вредоносного ПО, 1 кампания, 12 защитных мер и 15 источников данных
3️⃣ АСУ ТП - 81 техник, 13 группировок, 21 примеров вредоносного ПО, 52 защитных мер, 3 кампаний, 14 активов и 34 источников данных

Читать полностью…

Пост Лукацкого

Сегодня у нас будет день международных глобальных новостей. CVSS 4.0 официально опубликован и введен в действие. Я про эту систему рейтингования уязвимостей уже писал в июне и добавить к написанному мне особо нечего. Тут скорее вопрос в том, будет ли ФСТЭК менять свою методику по оценке критичности уязвимостей и вносить правки в БДУ? Или мы будем жить в своей ветке рейтингования, а весь мир, включая дружественные нам страны, в своей. Тем более, что базовая оценка CVSS дополняется новыми атрибутами, учитывающими динамический характер угроз, использующих дыры (CVSS-BT, CVSS-BE, CVSS-BTE), а эти варианты CVSS у нас во всех документах, включая и рекомендации НКЦКИ отсутствуют напрочь.

Читать полностью…

Пост Лукацкого

А у Okta снова проблемы. На этот раз у ее подрядчика утекли персданные работников Okta. Тотальное невезение у ИБ-компании, которую ломали уже трижды:
💀 в марте 2022
💀 в декабре 2022
💀 в октябре 2023.
И вот теперь в ноябре 2023 🤦‍♀️

Читать полностью…

Пост Лукацкого

Вот зря министр это заявил 🙄 Я несколько лет ждал момента, когда отчитаются об успехах и можно будет по пунктам разобрать достижения проекта «Цифровая экономика». Как минимум, в части кибербеза.

ЗЫ. Выделенная фраза дважды повторена в тексте, но я прочел ее несколько раз и так не вкурил ее смысл. Все слова знаю, но собрать их в предложение не смог.

Читать полностью…

Пост Лукацкого

На последней ATT&CKCON 4.0 был интересный доклад о том, как MITRE ATT&CK помогает общаться с финансовым директором. Спикер исходил из достаточно простой мысли, что менеджеры уровня CxO мало понимают в ИБ и им надо все разжевывать понятным образом и поэтому надо использовать визуализацию, показывающую сложность современных атак. И вот он взял отдельные APT и показал типичные пути атак с учетом используемых этими APT техник (на картинках показан общий пример, а также Lazarus и APT28) 🛣

И это, по версии спикера, должно дать понять CFO всю сложность современных атак и показать, что если мы потратимся немножко на уменьшение числа первичных векторов атак, то мы тем самым уменьшим площадь атаки, сделаем компанию более защищенной, а ее активы более безопасными, что снизит потенциальный ущерб от инцидентов. Как по мне, так выводы, которые должен сделать CFO, смотря на эти картинки, не так чтобы и очевидны, но сама идея визуализации MITRE ATT&CK вполне себе интересна 🧐

Читать полностью…

Пост Лукацкого

Вот так и пробуждают у людей желание навредить любопытство 😄

Читать полностью…

Пост Лукацкого

Посмотрел тут обзор российского рынка SIEM и тригернула меня вот эта диаграмма с показателями оценки эффективности SOC. На первое место выходит регуляторика!!! 🆒 SOC оценивают не по тому, как он ловит плохих парней, и не по тому, как снижается время простоя от инцидентов, и даже не по числу этих самых инцидентов, а потому, соответствует он требованиям ФСТЭК или требованиям ФСБ к центрам ГосСОПКИ. Эх... Далеко нам еще до зрелого отношения и к SOCам в частности, и к ИБ в целом 🫵

Читать полностью…

Пост Лукацкого

9 небольших видео в рамках "VirusTotal Academy - SOC & Incident Response"

Читать полностью…
Subscribe to a channel