Пост Лукацкого

07 Feb 2025 18:57

Насотворил тут всяких карикатур... Чего добру пропадать... Буду выкладывать. К тому же, пятница!

#юмор

Пост Лукацкого

07 Feb 2025 10:20

⚠️ Ой вы гой еси, честной народ, послушайте весть великую и дивную!

Как на дали широкие, под небесами ясными, соберутся витязи и бояре киберопричные, да во двор ФСТЭКовский на конференцию знатную. Там слово держать будут, да опытом делиться, заступы крепкие киберпространства выковывать!

Прежде всего возвестит сей сбор первый заместитель директора ФСТЭК России – с речью напутственной выступит, укажет путь праведный, что государству и народу во благо.

Затем поведают знатные чародеи системного софта о том, как ныне живет и куда грядет Центр исследований безопасности системного программного обеспечения. Сказы их мудры, наполнят ум слушающих силой и разумением.

Не обойдут стороной и темные тучи киберугроз да тенденции их коварного роста. Ибо дабы подступам вражеским противостоять, ведать надобно, откуда они восстают и куда ведут.

Слово ляжет и о строгих заветах оберегания информации, что хранится в государственных системах, да иных хоромах и чертогах, на благо державы стоящих.

Потом разъяснят, како в жизнь эти требования воплощать и укреплять сети мощными преградами.

Услышат участники и о всем новейшем в создании сертифицированных средств защиты – куды ведет их тропа развития в нынешних многотрудных временах.

Глаголать будут про современные подходы к разметке данных в области информационной безопасности, дабы крепка была защита, а порядок очевиден каждому.

Дойдут они и до искусства строить и хоронить API, да хранить границы межсетевые в сетях промышленных, обретая мудрую меру меж защитой, надежностью и доступностью.

Явят воям и науку совершенствования сертификации средств обороны: как держать щиты непробиваемыми да держать умы чистыми.

Возгласят также о сокрытии утечек: что не только беду несет, но и доверие подтачивает, сей яд социальной жизни.

Поделятся ведуны-разработчики, как создавать ПО высоко уровня зрелого, поведают и о практиках, что служили делу разработки ОС SberLinux и системного софта. Ибо безмятежен путь лишь тому, кто изучил все тайны своего оружия.

Услышат и о глубоком исследовании компилятора clang в составе NGFW, дабы приоткрыть завесу требовательных норм и взыскательной практики.

Выскажут мудрые советники слово о новых методах автоматизации управления учетными записями – покажут пути светлые, что грозят испытаниями, но и возможностями богаты.

Поведают о новой редакции Методики выявления уязвимостей и недекларированных возможностей – да будут врагам ходы перекрыты и лазейки замурованы!

А напоследок, когда все думы и речи будут сказаны, соберутся витязи кибергрядущего воедино да подведут итоги славного ратного дела – и повезут домой силы новые, знания бесценные, да опыт невиданной мощи.

Так приходите же, о люди добрые, на сию конференцию, в палаты ФСТЭКовские! Да услышите сами, да наберетесь мудрости, да обретете доспехи от киберугроз! Слава защите русской, да крепкому цифровому щиту державы! 🇷🇺

#ФСТЭК #конференция

Пост Лукацкого

06 Feb 2025 19:13

Без комментариев 😊

#юмор

Пост Лукацкого

06 Feb 2025 10:17

4 февраля 2025 года CISA совместно с международными партнерами опубликовало руководство по защите периферийных сетевых устройств. Документ направлен на повышение безопасности таких устройств, как межсетевые экраны 🤬, маршрутизаторы, VPN-шлюзы, устройства Интернета вещей (IoT), серверы и устройства АСУ ТП, подключенные к интернету 💻

Основные разделы руководства:
1️⃣ “Security Considerations for Edge Devices” (Рекомендации по безопасности периферийных устройств), разработанное Канадским центром кибербезопасности (CCCS) 🇨🇦 В нем приводятся примеры реальных компрометаций периферийных устройств, обзор существующих угроз, меры по снижению рисков для администраторов и рекомендации для производителей по созданию безопасных продуктов.

2️⃣ “Digital Forensics Monitoring Specifications for Products of Network Devices and Applications” (Спецификации цифровой криминалистики для сетевых устройств и приложений), разработанное Национальным центром кибербезопасности Великобритании (NCSC-UK) 🇬🇧 В нем подчеркивается важность наличия необходимых журналов безопасности, удаленной регистрации событий и функций сбора данных по умолчанию или без дополнительной настройки, что позволяет специалистами по сетевой безопасности эффективно обнаруживать и расследовать вредоносную активность после проникновения 🔓

3️⃣ “Mitigation Strategies for Edge Devices: Executive Guidance” и “Mitigation Strategies for Edge Devices: Practitioner Guidance” (Стратегии смягчения рисков для периферийных устройств: Руководство для руководителей и практиков), разработанное Австралийским центром кибербезопасности (ACSC) 🇦🇺 Оно содержит резюме стратегий смягчения рисков и лучших практик по эффективной защите, укреплению и управлению периферийными устройствами, а также технические детали семи стратегий для операционного и закупочного персонала, а также специалистов по кибербезопасности с целью снижения рисков для этих устройств ✈️

CISA и партнерские агентства настоятельно рекомендуют производителям устройств и владельцам критической инфраструктуры ознакомиться с предложенными мерами и внедрить их для повышения безопасности своих сетевых периферийных устройств. И я тоже рекомендую 🤠 Все-таки харденинг используемых устройств - это бесплатно и то, что у вас всегда под рукой. Хотелось бы иметь средство автоматизации такой работы, но и без него не стоит игнорировать эту задачу.

#харденинг #периметр

Пост Лукацкого

05 Feb 2025 19:16

Лучник 🏹 попадает стрелой, с прикрученной к нему вредоносной флешкой, в USB-порт и выводит из строя информационную систему... А у вас в модели угроз такой сценарий предусмотрен? 😂

#модельугроз

Пост Лукацкого

05 Feb 2025 11:04

В реальности картинка с пентестерским инструментарием из поста выше ☝ выглядит как на первой фоте. На других показаны наборы, которые были загружены подписчиками автора. Похоже на ваш набор инструментов для RedTeam'инга? 🎩

#пентест

Пост Лукацкого

05 Feb 2025 05:40

В январе 2025 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), совместно с DARPA, OUSD R&E и NSA 🇺🇸, опубликовали совместный доклад “Closing the Software Understanding Gap” (“Устранение разрыва в понимании программного обеспечения”). Документ постулирует мысль, что хотя современное ПО и является основой критической инфраструктуры и национальной безопасности США, темпы разработки этого ПО значительно опережают возможности его полного понимания и анализа, что создает “разрыв в понимании” и повышает риски безопасности 🧑‍💻

В целом, документ напоминает высокоуровневый меморандум, подсвечивающий проблему, но не дающий конкретных шагов по ее решению, но зато в нем есть два зацепивших меня момента: 🚨
1️⃣ Авторы утверждают, что за 2022 год финансовый ущерб, связанный с уязвимостями и ошибками в ПО, оценивался в более чем 2 триллиона (!) долларов 🤑 Эта сумма включает расходы на устранение простоев и сбоев в работе, замену устаревшего ПО, устранение ошибок и уязвимостей, а также последствий от кибератак на американские объекты КИИ 🏭
2️⃣ В качестве примера возможного пути решения описанной проблемы CISA приводит пример России 🇷🇺, требующей предоставления исходных кодов (ФСТЭК, виват!) для допуска ПО в критические сферы через механизм сертификации.

И хотя в Министерстве Обороны США 👮 уже давно есть требования предоставления исходников при сертификации ПО, которое может использоваться в военном ведомстве, видимо американцы пришли к тому, что и в целом в КИИ надо переходить на этот механизм оценки соответствия 👨‍💻 Пока разработчикам ПО рекомендовано внедрять процесс аттестации ПО за счет применения третьей доверенной стороны (испытательной лаборатории, но пока без аккредитации), а заказчикам рекомендовано при приобретении ПО смотреть на наличие сертификата ⚖️

Мне кажется нам есть чему поучить заокеанских ИБшников 😂

#оценказащищенности #уязвимость

Пост Лукацкого

04 Feb 2025 15:31

Не хватает Bug Bounty и кибериспытаний… 🤔 А некоторые решения, например, по тестированию криптографии, я бы посмотрел.

#оценказащищенности

Пост Лукацкого

04 Feb 2025 05:40

Вы же наверняка знаете, что у человека в голове 🧠 работает две системы принятия решения - автоматическая, принимающая решения очень быстро и инстинктивно, и аналитическая, которая работает гораздо медленнее 🧠 Первая досталась нам от животных, а вторая появилась только у высших приматов. Когда мы видим змею, акулу, тигра; когда мы подносим руку к огню; когда мы боимся молнии... - это все результат работы автоматической системы, которая за миллионы лет научилась мгновенно оценивать знакомые риски 🧠

Вторая система оперирует теми событиями, с которыми человек никогда не сталкивался или сталкивался редко. Причем речь идет о конкретном человеке, а не целом виде 🧠 Кто-то видел проделки живого хакера и понимает, на что он способен. А кто-то про него только у меня в канале и читал и считает, что угроза преувеличена. Вот для таких случаев и нужна аналитическая система оценки рисков и принятия решений в нашем мозгу 🧠

Самое неприятное, что первая система работает почти без сбоев, но только в отношении небольшого числа угроз, с которыми человек и животные 🐅 сталкивались на протяжении миллионов лет (и таких угроз явно немного). А вот вторая система, которая и должна оценивать современные риски и угрозы ИБ 👺, постоянно сбоит и глючит, так как решения, принимаемые ею, зависят от множества факторов - знакомы ли мы с анализируемой областью, давно ли мы встречались с событиями, порядок поступления телеметрии событий в мозг, эмоциональный окрас события и т.п. 🧠

К чему этот экскурс в нейробиологию? 🤯 Все просто. От того, понимаем ли мы, как работает наш мозг при оценке рисков, зависит насколько корректно мы эту оценку правильно проведем и какие риски и угрозы посчитаем актуальными, а какие нет. Поэтому, если вы моделируете угрозы или оцениваете риски в одиночку и экспертно, то у вас с высокой вероятностью получится фигня 🤷‍♀️ Чтобы экспертно что-то оценивать нужно не менее пяти экспертов и использование метода Дельфи (именно поэтому для определения недопустимых событий обычно проводится стратсессия с участием нескольких топ-менеджеров). Или нужно использовать другие методы, но о них в другой раз 🤔

#риски #принятиерешений

Пост Лукацкого

03 Feb 2025 15:38

Разбирал документы, наткнулся на свое первое удостоверению парашютиста 🪂 Навело оно меня на мысль, что с течением времени наш риск-аппетит сильно меняется (это к разговору о регулярности пересмотра модели угроз и, чуть реже, списка недопустимых событий). Раньше ты мог просто так взять и сгонять на аэродром в Чехов, чтобы прыгнуть с парашютом по приколу и ради адреналина. Потом... ты 10 раз подумаешь, а надо ли 🤔 Сейчас и в мыслях нет, так как дети, семья, родители… Так рисковать совсем не хочется.

Это все к разговору о факторе времени ⏳ при оценке чего бы-то ни было в ИБ - рисков, угроз, недопустимых событий, уязвимостей, ущерба, защитных мер...

#риски

Пост Лукацкого

03 Feb 2025 05:40

Помнится лет 30 назад руководил я группой туристов-водников в походе в Карелию 🏕 И как часто бывает часть продуктов мы закупали на маршруте, чтобы не тащить с собой. Как руководитель я возглавил процесс заплыва в поселковый магазин, а основная группа в этот момент ушла вперед, искать место для стоянки и последующей дневки 🏕 И вот, закупившись продуктами, я с товарищем стал догонять основную группу. Шторм на озере, ливень... все дела (помнится тогда у меня родились стихи из которых помню только следующие строки: "Сижу и пишу стихи я, а вокруг бушует стихия") 🌊 Мы прошли из одного озера в другое; пересекли его и... не нашли по ходу группу.

День близился к закату и нам пришлось с товарищем вставать на ночевку уже самостоятельно, без группы. Из снаряги у нас с собой был только один спальник на двоих и личные вещи 🪥 И много продуктов - колбаса, хлеб, варенье, портвейн, чай. И лил дождь. И было мокро; очень мокро. С собой у нас не было ни топора, ни пилы, ни палатки... И вот так мы провели два дня. И костер мы разожгли (несмотря на непрекращающийся ливень), и с голоду не умерли, и от холода не замерзли 🔥

В итоге (спустя два дня и три десятка километров на веслах туда и обратно) выяснилось, что мы с товарищем обошли остров (на фото) справа, а группа ждала нас на стоянке слева. Урок на всю жизнь.

К чему этот, казалось бы, не относящийся к ИБ пост? Стоит помнить, что несмотря на все ваши планы, в жизни всегда есть место случайности и неожиданности 😅, заранее непредусмотренной и никаким плейбуком, планом или регламентом не описанный. И справиться с ней может помочь только наличие навыков, полученных либо в реальной ситуации, либо на тренировках, на которых получаются навыки, а не только знания. Поэтому любые ИБшные тренинги только с презентациями (даже с таким классным лектором как я) - это половина дела 🤔

Бессмысленно только рассказывать про фишинг 🎣и показывать скриншоты фишинговых сообщений, если вы не проводите фишинговые симуляции. Тоже самое относится и к вишингу. Бессмысленно рассказывать про MFA, если вы не заставили прямо при вас настроить ее для Telegram, Whatsapp и Госуслуг 🤒 Бессмысленно изучать SIEM, если не вы дали живой трафик на него, чтобы научить аналитика в куче мусора находить что-то важное (пусть даже и трафик будет синтетический). Бессмысленно говорить о командообразовании, если вы ни разу не участвовали своей Blue Team в каком-либо CTF / Standoff или ином киберполигоне ⚔️

Знания без навыков - это пшик. Правда, и навыки без знания, тоже. Нужно уметь сочетать!

#обучение

Пост Лукацкого

02 Feb 2025 13:16

Трой Хант, автор проекта HaveIBeenPwned, выложил в публичный доступ 🆓 свою книгу Pwned (без регистрации и сбора персональных данных), которая рассказывает об историях, стоящих за историями, то есть о том, что сподвигало Троя на написание заметок в своем блоге, и что случалось после этих публикаций. Этакая коллекция (в PDF и EPUB) мета-постов ✍️

#книга

Пост Лукацкого

01 Feb 2025 19:28

Скоро на во всех маркетплейсах страны... (сначала для продавцов) 😦 А ведь надо было просто улыбнуться 😅

#MFA #юмор

Пост Лукацкого

01 Feb 2025 11:13

Иногда думаешь, что это какой-то гипноз, когда даже людей из отрасли мошенники разводят на деньги 👺

#инцидент

Пост Лукацкого

01 Feb 2025 07:54

Google выпустил отчет о том, как "плохие парни" используют генеративный ИИ 🧠 "Плохими парнями" предсказуемо оказались Иран, Китай, Северная Корея и Россия и их 57 группировок, которые якобы активно используют ИИ от Google (Gemini) во враждебных целях (другие страны, конечно, же ИИ для этого не используют 😎).

Доказательств не приводится, а примеры, мягко говоря, странные: перевод текста, перевод терминологии, разработка ТЗ для медиа-агентств, переписывание статей для привлечения к ним большего внимания, создание чатботов, проведение исследований, разработка PR-кампаний и т.п. 🧑‍💻 Так это нормальные сценарии использования GenAI, которые приводятся самим же Google в инструкции к Gemini (да и к любой другой LLM тоже). В чем заключается вредоносность этих действий, не очень понятно 🤔

Я понимаю, когда речь идет о вредоносном коде под DeepSeek, про который я написал и который обнаружили мои коллеги из 🕵️‍♀️. Ну или тот же GhostGPT или FunkSec. Там явное враждебное использование ИИ. А Google тупо читает все промпты и ответы на них и делает выводы об их желательности или нежелательности для США (вполне себе вариант). В любом случае, как по мне, так отчет сильно притянут за уши, но такова повестка 👮

#ИИ #хакеры

Пост Лукацкого

07 Feb 2025 15:21

Я тут формирую программу PHD3 🏟 (вы, кстати, еще можете податься на CFP) и пересматриваю прошлогодние эфиры и выступления. Наткнулся на дискуссию, на которой представители НКЦКИ 🇷🇺 объявили о желании создать сервис скорой помощи для пострадавших от инцидентов и бесплатно помогать всем тем, кто не смог выстоять в неравной борьбе с хакерами 🚑

Параллельно я имел дискуссию с CISO одной из российских компаний, которая высказала мысль, что ИБ-компании, занимающиеся мониторингом Даркнета, отслеживающие инциденты ИБ 🔓 или собирающие телеметрию со своих продуктов, должны бесплатно сообщать пострадавшим о том, что их атакуют, атаковали или планируют атаковать 📩 Ну и третья история, с которой я столкнулся в среду уже в физическом мире - скорая медицинская помощь, приехавшая по звонку к больному человеку, отказалась вести его в больницу несмотря на все очевидные показания (формально я понимаю, почему, но по сути меня это триггернуло) 😷

И все эти три истории навели меня на одну мысль, которая крутится у меня в голове уже несколько дней, но которая не имеет однозначного ответа для меня. Должна ли скорая помощь 🚨 помогать всем, кто в ней нуждается, и делать это бесплатно? В обычной медицине я раньше думал, что должна, пока не столкнулся с ситуацией, когда она отказалась это делать. А что насчет ИБ? Ведь, с одной стороны, аналогия прямая, а с другой - мы не так часто видим примеры, когда компании помогают бесплатно.

Вот в 🟥 я знаю, что такое практикуется в ряде случаев, но утверждать, что так происходит всегда - я не могу. Мы все-таки коммерческая компания, а расследование и реагирование требует ресурсов, которые стоят денег. С другой стороны, не помогать нуждающимся - это плохо 👎 (даже если они сами накосячили и не соблюдали данные тобой же рекомендации). Или должна быть градация - вот такие услуги ИБшной помощи предлагаются бесплатно, а вот за сверх установленного лимита надо платить? Или все должно быть за деньги 🤑 Или если коммерческая компания, то за деньги, а если государственная (тот же НКЦКИ), то бесплатно? В общем нет у меня однозначного ответа на этот вопрос. Может на PHD3 его поднять и подискутировать?..

#Философия #управлениеинцидентами

Пост Лукацкого

07 Feb 2025 05:40

В начале февраля 2025 года правительство Таиланда 🇹🇭 предприняло решительные меры против мошеннических операций, расположенных в приграничных районах Мьянмы 🇲🇲 (я, кстати, должен был туда недавно лететь в командировку, но ограничился только Малайзией). Ссылаясь на угрозу национальной безопасности и значительный ущерб, нанесенный стране, Национальный совет безопасности Таиланда совместно с другими государственными органами принял решение отключить ✂️ электроэнергию, интернет и газоснабжение в пяти городах Мьянмы, прилегающих к северной границе Таиланда 🚠

Эти районы, включая города Мьявади и Тачилек, известны как центры деятельности преступных синдикатов, которые насильно привлекают тысячи людей к участию в онлайн-мошенничествах, таких как фиктивные романтические схемы 💋, ложные инвестиционные предложения и незаконные азартные игры. Эти мошеннические операции ежегодно приносят миллиарды долларов за счет обмана жертв по всему миру, при этом многие работники этих “фабрик мошенничества” оказываются в условиях виртуального рабства 🤕

Заместитель премьер-министра Таиланда Анутин Чарнвиракул отметил, что в контракте на поставку электроэнергии 🔋 предусмотрен пункт, позволяющий прекратить поставки по соображениям национальной безопасности. Он подчеркнул, что, хотя годовой доход от продажи электроэнергии в эти районы составлял около 600 миллионов бат (примерно 17,8 миллиона долларов), ущерб от мошеннических операций значительно превышает эту сумму 🤑

Данное решение последовало после визита в Таиланд заместителя министра общественной безопасности Китая Лю Чжунъи, в ходе которого обсуждалось сотрудничество в борьбе с мошенническими сетями, многие из которых, как полагают, управляются гражданами Китая 🐉 Кроме того, недавний случай с китайским актером Ван Сином, который был похищен и вынужден работать в одном из таких центров, привлек международное внимание к проблеме торговли людьми и онлайн-мошенничеств 👮

Отключение основных услуг, таких как электроэнергия и интернет, демонстрирует не только серьезность намерений 💪 таиландского правительства в борьбе с киберпреступностью и торговлей людьми, но и показывает, что борьба с киберпреступностью выходит на новый уровень. Если раньше многие стеснялись даже говорить хотя бы о контратаках на инфраструктуры мошенников и только США ✈️ позволяли себе постулировать право нанесения удара обычными вооружениями в ответ на кибератаку, то теперь градус противостояния существенно вырос и одно государство просто вырубает электричество у другого. Правда, остается открытым вопрос о том, как эти меры повлияют на невинных жителей затронутых районов, не связанных с мошенническими операциями? 🤔 Недопустимо!

#интернет

Пост Лукацкого

06 Feb 2025 15:32

VulnCheck выпустила обзор по уязвимостям 😵 за прошлый год. Интересно, что публикации об уязвимостях нередко придерживают до крупных мероприятий по кибербезопасности, например, RSA Conference (почему-то перед BlackHat такого не наблюдается). Но наиболее полезное наблюдение - почти 24% трендовых уязвимостей (из каталога CISA KEV) эксплуатировались в день или за день до опубликования CVE (в 2023-м число таких уязвимостей было 27%) 🗡

Задавать вам вопрос, а как у вас выстроен процесс управления уязвимостями, я не буду. Если это 0Day и она начинает эксплуатироваться до публикации CVE, то как бы вы не управляли, вы вряд ли сможете найти 🔍 то, о чем не знаете ни вы, ни ваш сканер уязвимостей. И останется вам только заниматься харденингом инфры - сегментацией, настройкой правил контроля доступа на периферийных устройствах, усилением сетевых устройств и операционных систем... 🤔

#уязвимость #тенденции #харденинг

Пост Лукацкого

06 Feb 2025 05:40

В недавнем исследовании, проведенном специалистами Cisco и Университета Пенсильвании 🇺🇸, была выявлена якобы серьезная уязвимость в модели искусственного интеллекта DeepSeek R1, разработанной китайским стартапом DeepSeek 🇨🇳 При тестировании с использованием 50 вредоносных запросов из набора HarmBench, модель не смогла заблокировать ни один из них, что привело к 100% успешности атак. Для сравнения, другие модели, такие как o1 от OpenAI, продемонстрировали более высокую устойчивость к подобным атакам, но тоже не могли похвастаться абсолютной защитой. Исследование скромно обходит стороной не самые высокие оценки для llama, GPT-4o и Gemini 🧠

Американцы все как с цепи сорвались и напропалую хают DeepSeek, считая ее самой незащищенной моделью, и требуя отказаться от ее использования ⛔️ Я пользуюсь почти всеми из упомянутых в исследовании моделями и могу сказать, что когда у вас очень много ограничений и защит, нормально пользоваться LLM становится затруднительно, - они постоянно пишет, что я что-то там нарушил и она не может мне помочь (жутко бесит) 🤠 Вчерашний пример в чатике, когда американская GPT не смогла сгенерить ответ, а китайская не стала скромничать.

В это же время в Конгресс сенатором Хули (Hawley) был внесен новый законопроект "Decoupling America’s Artificial Intelligence Capabilities from China Act of 2025", направленный на ослабление китайского прогресса в области ИИ, защиту американских ИИ-технологий и предотвращение их утечки в Китай, который содержит следующие ключевые положения:
1️⃣ Американским юридическим и физическим запрещается участвовать в разработке и исследованиях в области искусственного интеллекта (ИИ) в Китае, а также сотрудничать с китайскими организациями, связанными с ИИ.
2️⃣ Через 180 дней после вступления в силу законопроекта запрещается импорт в США ИИ-технологий, разработанных или произведенных в Китае.
3️⃣ Также запрещается экспорт американских ИИ-технологий в Китай, включая передачу интеллектуальной собственности.
4️⃣ Под термин "китайские организации, вызывающие озабоченность" попадают университеты, исследовательские лаборатории, компании, правительственные организации, связанные с Китаем или Народно-освободительной армией Китая.
5️⃣ Нарушители могут подвергаться штрафам до 100 миллионов долларов (для юридических лиц) и до 1 миллиона долларов (для физических лиц).
6️⃣ Также возможно лишение лицензий, контрактов с федеральными агентствами и запрет на получение федерального финансирования сроком на 5 лет.
7️⃣ Через год после принятия закона американским лицам запрещается инвестировать в китайские организации, связанные с ИИ.
8️⃣ Также запрещено финансирование китайских компаний, участвующих в военных разработках, технологиях слежки и нарушениях прав человека.
9️⃣ Запрещено передавать исследования в области ИИ китайским компаниям, университетам или гражданам, работающим в интересах китайских структур.

Иными словами США 🇺🇸 хотят, в случае принятия законопроекта, не только не давать китайцам своих ИИ-технологий, но и запретить любые китайские ИИ-технологии на американский рынок. Учитывая, что сегодня все связано с ИИ (и ТикТок, и кибербез, и автомобили, и все-все-все), запрет может провести к серьезному переделу рынка 💥 Если Трамп не отложит все, как он это сделал с Мексикой.

В интересное время живем...

#ИИ

Пост Лукацкого

05 Feb 2025 15:34

Гартнер тут 27 января очередной обзор SIEM выпустил, но не в виде магического квадрата, который оценивает он сам по своим критериям, а как результат опроса пользователей (1552 респондента) 👍

Ну что можно сказать по этому отчету... OpenText, то есть, Microfocus, то есть Arcsight, в список не попал вообще. Можно считать, что его списали в утиль ⚰️ и в приличном обществе стараются не упоминать. Splunk не вошел даже в пятерку лидеров. QRadar тоже 🤷‍♀️

Удивительно было увидеть Huawei SIEM в списке; и не просто в списке, а в лидерах по пользовательским опросам 🏆 При этом, Huawei, как и Gurucul, не были названы как "Выбор заказчика", что выглядело немного странно. Возможно, это связано с небольшим числом отзывов (меньше 100) и тем, что Huawei вообще не представлен в США и было бы странно, если бы американский Gartner его рекомендовал 🐉

Комментировать чужие рекомендации - дело неблагодарное. Просто напомню то, о чем я писал на Хабре, делая обзор SIEM. Классические вендора SIEM слишком долго почивали на лаврах и их стали двигать ⚔️ с Олимпа более активные игроки, которые смогли учесть ошибки прежних лидеров, отказаться от legacy, использовать современные технологии, предложить лучший пользовательский опыт 🤓 И вот результат. Думаю еще год-другой и мы забудем привычные нам по прошлой жизни имена SIEM, которые заменят новые игроки.

#SIEM #средствазащиты

Пост Лукацкого

05 Feb 2025 10:15

Тут в LinkedIn наткнулся на пост одного RedTeam'ера, который сетует на то, что в головах многих людей ИБ - это про что-то виртуальное, но на самом деле ИБ очень тесно переплетена с физическими объектами. И дело не в знаниях моделей огнетушителей или электронных дверных замков, как про это говорится в учебниках CISSP. Нет, речь об инструментарии, который может помочь в проникновении в помещения, для чего могут понадобиться отмычки, средства клонирования бейджей, средства поиска незащищенного Wi-Fi и т.п.

В итоге автор приводит следующий список:
➖ Набор отмычек, потому что многие офисные замки слабее, чем думают люди.
➖ Flipper Zero, инструмент для взлома RF, NFC и железа.
➖ Alpha Dual Band Adapter для тестирования и мониторинга Wi-Fi.
➖ Hak5 Toolkit.
➖ Packet Squirrel для захвата сетевого трафика.
➖ Bash Bunny для автоматического исполнения payload на целевых машин.
➖ Shark Jack для быстрого сканирования сетей.
➖ WiFi Pineapple для перехвата беспроводного трафика и создания фальшивых точек доступа.
➖ ESP32 & ATtiny85 (Binary Dropper) для размещения вредоносной нагрузки.
➖ O.MG Cable & Evil Crow Cable – "заряженные" USB-кабели для удаленного доступа.
➖ KSEC WHID Cactus для эмуляции бейджей и карт HID.
➖ 2x Raspberry Pi.
➖ C2 Callback on Boot для незаметного доступа к внутренней сети.
➖ Kali Linux with Touchscreen, портативная хакерская станция.
➖ Intel NUC, мощный форм-фактора для хакерского инструментария.
➖ Самодельный бейдж Cisco для социалки и физического доступа (но почему, глядь, Cisco).
➖ Мощный Power Bank (20,000mAh).
➖ Адаптеры & периферия для адаптации к разным условиям.
➖ Фонарик для работы в темноте, но не в Даркнете.
➖ 12x USB-флешек с загруженным вредоносными PDF для проведения атак "подброшенная флешка".

ЗЫ. А вот как часть из этого инструментария может использоваться, было описано вот тут.

#пентест

Пост Лукацкого

04 Feb 2025 19:12

Интегратор А сравнил снятое с производства СрЗИ 1 вендора X и еще ненаписанное СрЗИ 2 вендора Y. Тесты показали, что Земля плоская...

Пост Лукацкого

04 Feb 2025 10:16

Помните пост про недопустимые события киберкатастрофы? Так вот продолжу тему. Атлантический совет, американский аналитический центр 🇺🇸 и этакий центр неформальных встреч между политиками и бизнесменами с обеих сторон Атлантического океана, запланировал на 2025-2026 годы проведение глобальных 🌐 киберучений Cyber 9/12 Strategy Challenge, в рамках которых студенты со всего мира смогут проработать вопросы разработки политик и рекомендаций по предотвращению таких киберкатастроф 🌎

В Париже (Франция) и Остине (Техас) уже прошли киберучения 29-31 января и 1-2 февраля соответственно 🎮 На подходе Вашингтон (округ Колумбия), Женева (Швейцария), Кейптайн (ЮАР), Нью-Йорк и Данди (Шотландия). Всего в этом челендже смогли поучаствовать около 1000 человек с 2012 года, когда в Вашингтоне впервые было организовано это мероприятие 🎮 Пока между странами существовали двусторонние контактные группы по кибербезопасности такие проверки гипотез о киберкатастрофах выглядели пробой пера и не более. Но после прекращения двусторонних контактов тема заиграла новыми красками... 👾

И да, речь не про классический CTF или киберполигоны. Там всерьез рассматриваются события с катастрофическими последствиями уровня отраслей и стран 🌎

#киберучения #недопустимое

Пост Лукацкого

03 Feb 2025 19:38

Европейская страховая компания Allianz поделилась результатами опроса почти четырех тысяч рисковиков в 💯 странах мира, которые назвали свою пятерку бизнес-рисков в 2025 году. Та-дам... на первое место вышли инциденты ИБ 🔓 Можно идти к своим боссам и, потрясая этим Топ5, требовать к себе большего внимания!

Пост Лукацкого

03 Feb 2025 10:37

Продолжаю делиться очередной бизнес-ориентированной статистикой в области кибербезопасности; на этот раз от компании Illumio, которая посчитала различные численные параметры, связанные с программами-шифровальщиками:
1️⃣ Остановка операций. 58% организаций были вынуждены приостановить свою деятельность после атаки, что значительно выше по сравнению с 45% в 2021 году.
2️⃣ Финансовые потери. 40% компаний сообщили о значительном снижении доходов (рост на 22% с 2021 года), 41% потеряли клиентов, а 40% были вынуждены сократить персонал.
3️⃣ Воздействие на критические системы. 25% атак затронули критически важные системы, приводя к их простоям в среднем на 12 часов. ❓ Вы же знаете во что обходится простой 1 часа ваших систем?
4️⃣ Время на восстановление. В среднем, для сдерживания и устранения последствий крупнейшей атаки требовалось участие 17,5 сотрудников, каждый из которых тратил по 132 часа. ❓ Вы же знаете среднюю зарплату ваших работников?
5️⃣ Ущерб репутации. 35% организаций испытали значительный удар по бренду, что выше показателя 2021 года, когда он был равен 21%.

Несмотря на то, что 29% IT-бюджетов (тут у меня сомнения, конечно) направляются на предотвращение, обнаружение и устранение атак, 88% организаций все же стали жертвами вымогателей. Примечательно, что лишь 13% смогли полностью восстановить данные после инцидента. Это очень и очень мало!

Основными точками входа для атак остаются фишинг и протокол RDP, при этом 52% атакующих использовали уязвимости в необновленных системах для продвижения внутри сети и повышения привилегий. Тревожным является тот факт, что 72% пострадавших не сообщали о происшествии в правоохранительные органы, опасаясь огласки, сжатых сроков или возможной мести со стороны злоумышленников. По проведенному у меня в канале опросу 78% наоборот - не будут скрывать факт инцидента (я спрашивал про утечку, но для ransomware это тоже самое).

Будут ли выводы и рекомендации? Да вроде и так все понятно - я про это постоянно пишу. Но если уж все-таки надо что-то сказать, то внедряйте сегментацию и микросегментацию для ограничения распространения атак, повышайте осведомленность работников и улучшайте стратегию резервного копирования. Про мониторинг с помощью EDR/NDR/XDR и говорить не приходится...

#ransomware #ущерб

Пост Лукацкого

02 Feb 2025 18:47

СВИДАНИЕ

- А что вы любите из инструментов для пентеста?
- О, я не привередлив - Metasploit люблю, Cobalt Strike, PentAGI.
- Пусть это будет нескромно, но я всё это изучала в рамках OSCP и тоже очень люблю.
- А вы любите нормативку?
- Ну что за вопрос, конечно! ФЗ-152, ПП-127, 17-й приказ
- Потрясающе, это всё мои любимые нормативные акты!
- А на какие конференции по ИБ вы ходите?
- Люблю классику - PHD, BlackHat, Defcon. Хочу попробовать RSAC и Gartner Risk & Security Summit.
- Да вы просто мой вишлист перечисляете, потрясающе!
- А вы какие стандарты читать любите?
- Ну не ГОСТ 57580, конечно. Мне NIST CSF нравится, PCI DSS, FAIR.
- FAIR?! Без ума от него! И NIST CSF обожаю!
- А какие каналы в Телеге? Ну Пост Лукацкого, SecurityLab, ESCalator?
- Я подписана на них. Бустю иногда и во всех конкурсах участвую.
- И я! А я думаю, откуда мне ваш аватар знаком.
- Ну вы меня смущаете. Это ваш аватар прекрасен, чем-то Митника напоминаете.
- О, мне многие об этом говорят, спасибо за комплимент. Как же мы с вами похожи, сколько же у нас с вами общего. Жаль только, в такой стране вынуждены прозябать.
- Ну почему прозябать? Мне нравится нынешняя власть, она многое делает для обеспечения безопасности страны и людей.
- Что-о?! Да ты одноклеточное быдло, тупое и убогое! Прощай!

По мотивам ©ЖульенСтебо

#юмор

Пост Лукацкого

02 Feb 2025 08:45

По свежей статистике VIPRE Security Group 9 из 10 сообщений e-mail в 2024 году являются спамом! ❗️ Но пост не о том, что спам - это плохо, а средства защиты от него - это хорошо. И даже не про то, что средства защиты e-mail нужны потому что так написано в нормативке. Я про бабки 💰 9 из 10 мусорных сообщений означает, что из 9/10 вычислительных мощностей для хранения и обработки электронной почты расходуются вхолостую. А это, в свою очередь, означает, что компания потратила в 9 раз больше (ну или на 90%) денег на почтовые сервера.

Правда, вся эта математика работает только в крупных компаниях, на эффекте масштаба. Считается, что средний размер сообщения e-mail составляет около 75 килобайт. Среднестатистический работник получает 121 сообщение в день, то есть чуть менее 10 мегабайт в день. У компании в 500 сотрудников этот объем будет составлять 5 гигов, а при 10 тысячах сотрудников - это уже 100 гигабайт в день, что в год составляет 1,8 и 36,5 терабайт в год только на входящую почту. Также среднестатистический офисный планктон отправляет в сутки около 40 сообщений, что дает нам 3 мегабайта на человека. В компании на 500 и 10000 человек нам понадобится хранилище на 0,6 и 10 терабайт соответственно.

Много это или мало? Универсального ответа нет. Все зависит от стоимости почтовых серверов и жестких дисков к ним. У меня вот дома есть хранилище на два 15 терабайтных диска в массиве RAID, которые мне обошлись до СВО примерно в тысячу долларов вместе с SAN-системой (если память не подводит). Можно, очень условно, считать это стоимостью почтового сервера на компанию в 3-4 тысячи человек. Если я смогу снизить эти затраты с помощью ИБ, будет ли компании это хорошо и ощутимо? Возможно, да, но возможно и нет. Заранее сказать нельзя - надо считать, учитывая множество дополнительных факторов (требования законодательства по срокам хранения входящей и исходящей почты, планы по росту численности компании, вариант реализации почтового сервера - on-prem или облачный и т.п.).

Я специально взял достаточно простой пример, чтобы просто показать, что кибербез (если, конечно, считать защиту e-mail задачей ИБ, а не ИТ) - это не только про борьбу с угрозами, но и про экономику и снижение расходов. Если смотреть на многие проекты с этой точки зрения, то можно находить очень интересные варианты применения ИБ и заручиться поддержкой иных подразделений и их бюджетов, а не пытаться все засунуть в бюджет ИБ.

ЗЫ. Иногда всем насрать на то, какое хранилище нужно под почту, так как в компании e-mail занимает не так много места по сравнению с другими типами хранимой информации.

ЗЗЫ. Если вы скажете, что за детские расчеты, я отвечу, что заметка не про конкретные расчеты, а про то, что на ИБ надо смотреть с разных сторон, в том числе и экономической. А декомпозиция на составные части и позволяет нам все сложные расчеты превратить в простые, которым потом суммируются.

#экономика #email

Пост Лукацкого

01 Feb 2025 14:18

Как и прогнозировал… Активное сотрудничество Telegram 📱 с властями разных стран привело не только к исходу киберкриминала из мессенджера, но и к появлению своих собственных средств коммуникаций 💬

ЗЫ. Да, это может быть и очередная операция спецслужб как в кейсе AN0M. Ничего исключать нельзя. Но тенденцию отражает все равно. Отслеживать взаимодействие киберпреступников станет сложнее 🤔

#хакеры #мессенджер

Пост Лукацкого

01 Feb 2025 08:34

Ну и чтобы далеко не ходить. Вот так выглядит антиутопический ролик, который заказала Демократическая партия США 🇺🇸, и который должен показать, что ждет Америку в годы президентства Дональда Трампа. Как мы видим, без ИИ не обошлось. И, конечно же, это никак нельзя отнести к adversarial misuse 👎 Как и создание видео "братским" народом сопредельного государства, который последние два года, регулярно взламывая какую-либо ТВ или радиостанцию, публикует дипфейки. Но про это как-то не принято писать 🤐

#дипфейк #ИИ

Пост Лукацкого

31 Jan 2025 19:27

Вы, когда опасаетесь ИИ 🤖, уже же порешали все остальные проблемы - патчинг, харденинг, сегментацию, MFA, минимум привилегий и т.п.? 🤔