Пост Лукацкого

10 Feb 2025 15:16

В результате недавней реструктуризации технологического подразделения Medibank 🇦🇺, компания рассталась с Алексеем Лоизу, занимавшим должность главного директора по информационной безопасности (CISO) на протяжении трех лет. Лоизу присоединился к Medibank в январе 2022 года, за десять месяцев до крупной утечки данных, затронувшей 9,7 миллиона текущих и бывших клиентов 🔓 После инцидента он возглавил масштабную программу повышения уровня кибербезопасности в компании, бюджет которой превысил 126 миллионов австралийских долларов (порядка 85 миллионов долларов США) и завершение которой ожидается к середине 2025 года 🛡

В своем сообщении на LinkedIn Лоизу отметил, что за время его работы команда успешно 💪 справлялась со сложными задачами в области безопасности, выстраивала устойчивые системы и продвигала культуру непрерывного обучения и инноваций. Теперь на должность CISO назначен Кристоф Штрицик из Origin Energy, который приступит к своим обязанностям 24 марта. Medibank подчеркнула его опыт в различных секторах, включая финансовые услуги, энергетику и консалтинг, а также участие в различных консультативных группах по безопасности и регулированию 😕

И хотя все делают хорошую мину при плохой игре, понятно, что старого CISO "ушли" 🛍 именно за прошлый инцидент, который он допустил. Но руководство Medibank решило не менять коней на переправе и дать Лоизу исправить свой факап. Ведь утечка в Medibank произошла из-за того, что служба ИБ компании не обратила внимание на сигналы тревоги, которые ей слали агенты EDR, установленные на ПК сотрудников 🤌 Об этом говорится в материалах суда. В очередной раз эта история подсказывает нам, что наличие эффективных средств защиты не гарантирует защиты и их не только надо уметь настраивать, но и иметь выстроенные процессы SecOps 🎮

Однако, интересно, на что будут потрачены 126 миллионов долларов? 🫵 Ведь даже имеющиеся технологии позволили бы предотвратить утечку, если бы на сигналы тревоги от EDR ИБ среагировала. Эти десятки миллионов долларов пойдут на выстраивание процессов SecOps? Oh my gosh, как говорят англосаксы 🧐

ЗЫ. Если есть антикризисные управляющие, то должны быть и антикризисные CISO? Или это vCISO?

#CISO #инцидент #утечка

Пост Лукацкого

10 Feb 2025 05:40

Подогнали очередной рейтинг зарплат ИБшников 🤑 Опирается на несколько тысяч открытых вакансий и результаты опросов (преимущественно по США). В тройку лидеров входят:
1️⃣ Директор по безопасности - $257500
2️⃣ ИТ-директор - $232825
3️⃣ Инженер по приватности - $200000.

Если убрать руководящие позиции из Топ3, то получится, что прайвасисты получают больше всех 🏆 В России это, скорее всего, не так. Хотя там явно не занимались приведением всех ИБшных позиций к единому знаменателю. Те же Privacy Officer и Privacy Manager, то есть позиции по статусу выше, чем инженер, получают вдвое меньше. А в США 🇺🇸 надо еще учитывать и штат, в котором работает ИБшник (зарплаты между Калифорнией и каким-нибудь Колорадо могут сильно отличаться) ⚖️

Меньше всех получает аналитик SOC - 106-я позиция рейтинга с годовой зарплатой в $72220 долларов (везде значения указаны медианные), что в пересчете на рубли составляет "каких-то" 600 тысяч рублей в месяц 🤏 Но в любом случае, сырые данные тоже выложены, - можно самому покопаться в них и провести свой анализ по различным срезам 🪣 А можно и свою зарплату указать, чтобы попортить сервису статистику 😂

#экономика #тенденции

Пост Лукацкого

09 Feb 2025 13:13

Иногда читаешь новости и вообще не понимаешь, что имел ввиду автор 🤦‍♂️ Что за проект какой-то мировой ИБ? Слова все понятные, но смысл как-то не улавливается. Ладно, если бы речь шла о мировой стабильности... Потом погружаешься глубже и только из цитаты одного из инициаторов проекта понимаешь, что речь идет не о мировой ИБ, а о международной. Ну ОК, чуть понятнее. Но дальше снова непонятно 🤔

Инициатор проекта сообщает, что Россия подготовила проект концепции конвенции о МИБ 🤔 Вообще, вот такие вот обороты про "проект концепции конвенции" - это высший пилотаж канцеляризма, когда надо сказать, что ничего нет, но не хочется в этом признаваться. Концепция конвенции - это и есть проект, который еще пилить и пилить, согласовывать и согласовывать. А тут еще и проект концепции. На техническом языке - это даже не альфа версия, а скорее POC 🤷‍♀️

Но дело даже не в этом, а в том, что благодаря России ООН в 2023 году уже приняла проект резолюции по МИБ. Что же тогда мы опять подали? 🤔 Или те, кто писал статью и репостил ее приняли за новое уже давно сделанное? В общем, ничего не понятно, но очень интересно. Надеюсь, Олег Шакиров в своем канале приоткроет завесу тайну над всеми этими хитросплетениями ✍️

ЗЫ. Но уровень написания текстов в СМИ упал катастрофически, конечно 😢 То слова пропущенные, то склонения и спряжения хромают, то и вовсе грамматические ошибки в тексте. Куда смотрит ChatGPT?

#регулирование

Пост Лукацкого

08 Feb 2025 19:19

Я уже как-то писал про мошенническую рекламу в 📱 и 📱, в которой говорится, что государство прощает всем долги, обнуляет все кредиты, выдает всем россиянам деньги и т.п. 🤑 И вот теперь я стал постоянно натыкаться на схожую историю в Youtube. Схожий текст, схожий формат; только фото телеведущей Андреевой уже не используют. Будьте бдительны! ❗️

#фишинг #соцсети

Пост Лукацкого

08 Feb 2025 08:29

Аккурат для субботы пост про "два мира - два Шапиро" или про то, как схлестнулись Центральное разведывательное управление США (ЦРУ) 🇺🇸 и Служба внешней разведки России (СВР) 🇷🇺, но не на полях сражений и не в теневых войнах, а на просторах Интернета, как стали меряться качеством своих видео и смыслами, в них заложенными! 📹

Два вербовочных видео, от ЦРУ и от СВР. Попробуйте угадать, где какое? 🤔

ЗЫ. Спасибо подписчику за видео СВР. ЦРУшное у меня было по своим каналам 🫡

Пост Лукацкого

07 Feb 2025 15:21

Я тут формирую программу PHD3 🏟 (вы, кстати, еще можете податься на CFP) и пересматриваю прошлогодние эфиры и выступления. Наткнулся на дискуссию, на которой представители НКЦКИ 🇷🇺 объявили о желании создать сервис скорой помощи для пострадавших от инцидентов и бесплатно помогать всем тем, кто не смог выстоять в неравной борьбе с хакерами 🚑

Параллельно я имел дискуссию с CISO одной из российских компаний, которая высказала мысль, что ИБ-компании, занимающиеся мониторингом Даркнета, отслеживающие инциденты ИБ 🔓 или собирающие телеметрию со своих продуктов, должны бесплатно сообщать пострадавшим о том, что их атакуют, атаковали или планируют атаковать 📩 Ну и третья история, с которой я столкнулся в среду уже в физическом мире - скорая медицинская помощь, приехавшая по звонку к больному человеку, отказалась вести его в больницу несмотря на все очевидные показания (формально я понимаю, почему, но по сути меня это триггернуло) 😷

И все эти три истории навели меня на одну мысль, которая крутится у меня в голове уже несколько дней, но которая не имеет однозначного ответа для меня. Должна ли скорая помощь 🚨 помогать всем, кто в ней нуждается, и делать это бесплатно? В обычной медицине я раньше думал, что должна, пока не столкнулся с ситуацией, когда она отказалась это делать. А что насчет ИБ? Ведь, с одной стороны, аналогия прямая, а с другой - мы не так часто видим примеры, когда компании помогают бесплатно.

Вот в 🟥 я знаю, что такое практикуется в ряде случаев, но утверждать, что так происходит всегда - я не могу. Мы все-таки коммерческая компания, а расследование и реагирование требует ресурсов, которые стоят денег. С другой стороны, не помогать нуждающимся - это плохо 👎 (даже если они сами накосячили и не соблюдали данные тобой же рекомендации). Или должна быть градация - вот такие услуги ИБшной помощи предлагаются бесплатно, а вот за сверх установленного лимита надо платить? Или все должно быть за деньги 🤑 Или если коммерческая компания, то за деньги, а если государственная (тот же НКЦКИ), то бесплатно? В общем нет у меня однозначного ответа на этот вопрос. Может на PHD3 его поднять и подискутировать?..

#Философия #управлениеинцидентами

Пост Лукацкого

07 Feb 2025 05:40

В начале февраля 2025 года правительство Таиланда 🇹🇭 предприняло решительные меры против мошеннических операций, расположенных в приграничных районах Мьянмы 🇲🇲 (я, кстати, должен был туда недавно лететь в командировку, но ограничился только Малайзией). Ссылаясь на угрозу национальной безопасности и значительный ущерб, нанесенный стране, Национальный совет безопасности Таиланда совместно с другими государственными органами принял решение отключить ✂️ электроэнергию, интернет и газоснабжение в пяти городах Мьянмы, прилегающих к северной границе Таиланда 🚠

Эти районы, включая города Мьявади и Тачилек, известны как центры деятельности преступных синдикатов, которые насильно привлекают тысячи людей к участию в онлайн-мошенничествах, таких как фиктивные романтические схемы 💋, ложные инвестиционные предложения и незаконные азартные игры. Эти мошеннические операции ежегодно приносят миллиарды долларов за счет обмана жертв по всему миру, при этом многие работники этих “фабрик мошенничества” оказываются в условиях виртуального рабства 🤕

Заместитель премьер-министра Таиланда Анутин Чарнвиракул отметил, что в контракте на поставку электроэнергии 🔋 предусмотрен пункт, позволяющий прекратить поставки по соображениям национальной безопасности. Он подчеркнул, что, хотя годовой доход от продажи электроэнергии в эти районы составлял около 600 миллионов бат (примерно 17,8 миллиона долларов), ущерб от мошеннических операций значительно превышает эту сумму 🤑

Данное решение последовало после визита в Таиланд заместителя министра общественной безопасности Китая Лю Чжунъи, в ходе которого обсуждалось сотрудничество в борьбе с мошенническими сетями, многие из которых, как полагают, управляются гражданами Китая 🐉 Кроме того, недавний случай с китайским актером Ван Сином, который был похищен и вынужден работать в одном из таких центров, привлек международное внимание к проблеме торговли людьми и онлайн-мошенничеств 👮

Отключение основных услуг, таких как электроэнергия и интернет, демонстрирует не только серьезность намерений 💪 таиландского правительства в борьбе с киберпреступностью и торговлей людьми, но и показывает, что борьба с киберпреступностью выходит на новый уровень. Если раньше многие стеснялись даже говорить хотя бы о контратаках на инфраструктуры мошенников и только США ✈️ позволяли себе постулировать право нанесения удара обычными вооружениями в ответ на кибератаку, то теперь градус противостояния существенно вырос и одно государство просто вырубает электричество у другого. Правда, остается открытым вопрос о том, как эти меры повлияют на невинных жителей затронутых районов, не связанных с мошенническими операциями? 🤔 Недопустимо!

#интернет

Пост Лукацкого

06 Feb 2025 15:32

VulnCheck выпустила обзор по уязвимостям 😵 за прошлый год. Интересно, что публикации об уязвимостях нередко придерживают до крупных мероприятий по кибербезопасности, например, RSA Conference (почему-то перед BlackHat такого не наблюдается). Но наиболее полезное наблюдение - почти 24% трендовых уязвимостей (из каталога CISA KEV) эксплуатировались в день или за день до опубликования CVE (в 2023-м число таких уязвимостей было 27%) 🗡

Задавать вам вопрос, а как у вас выстроен процесс управления уязвимостями, я не буду. Если это 0Day и она начинает эксплуатироваться до публикации CVE, то как бы вы не управляли, вы вряд ли сможете найти 🔍 то, о чем не знаете ни вы, ни ваш сканер уязвимостей. И останется вам только заниматься харденингом инфры - сегментацией, настройкой правил контроля доступа на периферийных устройствах, усилением сетевых устройств и операционных систем... 🤔

#уязвимость #тенденции #харденинг

Пост Лукацкого

06 Feb 2025 05:40

В недавнем исследовании, проведенном специалистами Cisco и Университета Пенсильвании 🇺🇸, была выявлена якобы серьезная уязвимость в модели искусственного интеллекта DeepSeek R1, разработанной китайским стартапом DeepSeek 🇨🇳 При тестировании с использованием 50 вредоносных запросов из набора HarmBench, модель не смогла заблокировать ни один из них, что привело к 100% успешности атак. Для сравнения, другие модели, такие как o1 от OpenAI, продемонстрировали более высокую устойчивость к подобным атакам, но тоже не могли похвастаться абсолютной защитой. Исследование скромно обходит стороной не самые высокие оценки для llama, GPT-4o и Gemini 🧠

Американцы все как с цепи сорвались и напропалую хают DeepSeek, считая ее самой незащищенной моделью, и требуя отказаться от ее использования ⛔️ Я пользуюсь почти всеми из упомянутых в исследовании моделями и могу сказать, что когда у вас очень много ограничений и защит, нормально пользоваться LLM становится затруднительно, - они постоянно пишет, что я что-то там нарушил и она не может мне помочь (жутко бесит) 🤠 Вчерашний пример в чатике, когда американская GPT не смогла сгенерить ответ, а китайская не стала скромничать.

В это же время в Конгресс сенатором Хули (Hawley) был внесен новый законопроект "Decoupling America’s Artificial Intelligence Capabilities from China Act of 2025", направленный на ослабление китайского прогресса в области ИИ, защиту американских ИИ-технологий и предотвращение их утечки в Китай, который содержит следующие ключевые положения:
1️⃣ Американским юридическим и физическим запрещается участвовать в разработке и исследованиях в области искусственного интеллекта (ИИ) в Китае, а также сотрудничать с китайскими организациями, связанными с ИИ.
2️⃣ Через 180 дней после вступления в силу законопроекта запрещается импорт в США ИИ-технологий, разработанных или произведенных в Китае.
3️⃣ Также запрещается экспорт американских ИИ-технологий в Китай, включая передачу интеллектуальной собственности.
4️⃣ Под термин "китайские организации, вызывающие озабоченность" попадают университеты, исследовательские лаборатории, компании, правительственные организации, связанные с Китаем или Народно-освободительной армией Китая.
5️⃣ Нарушители могут подвергаться штрафам до 100 миллионов долларов (для юридических лиц) и до 1 миллиона долларов (для физических лиц).
6️⃣ Также возможно лишение лицензий, контрактов с федеральными агентствами и запрет на получение федерального финансирования сроком на 5 лет.
7️⃣ Через год после принятия закона американским лицам запрещается инвестировать в китайские организации, связанные с ИИ.
8️⃣ Также запрещено финансирование китайских компаний, участвующих в военных разработках, технологиях слежки и нарушениях прав человека.
9️⃣ Запрещено передавать исследования в области ИИ китайским компаниям, университетам или гражданам, работающим в интересах китайских структур.

Иными словами США 🇺🇸 хотят, в случае принятия законопроекта, не только не давать китайцам своих ИИ-технологий, но и запретить любые китайские ИИ-технологии на американский рынок. Учитывая, что сегодня все связано с ИИ (и ТикТок, и кибербез, и автомобили, и все-все-все), запрет может провести к серьезному переделу рынка 💥 Если Трамп не отложит все, как он это сделал с Мексикой.

В интересное время живем...

#ИИ

Пост Лукацкого

05 Feb 2025 15:34

Гартнер тут 27 января очередной обзор SIEM выпустил, но не в виде магического квадрата, который оценивает он сам по своим критериям, а как результат опроса пользователей (1552 респондента) 👍

Ну что можно сказать по этому отчету... OpenText, то есть, Microfocus, то есть Arcsight, в список не попал вообще. Можно считать, что его списали в утиль ⚰️ и в приличном обществе стараются не упоминать. Splunk не вошел даже в пятерку лидеров. QRadar тоже 🤷‍♀️

Удивительно было увидеть Huawei SIEM в списке; и не просто в списке, а в лидерах по пользовательским опросам 🏆 При этом, Huawei, как и Gurucul, не были названы как "Выбор заказчика", что выглядело немного странно. Возможно, это связано с небольшим числом отзывов (меньше 100) и тем, что Huawei вообще не представлен в США и было бы странно, если бы американский Gartner его рекомендовал 🐉

Комментировать чужие рекомендации - дело неблагодарное. Просто напомню то, о чем я писал на Хабре, делая обзор SIEM. Классические вендора SIEM слишком долго почивали на лаврах и их стали двигать ⚔️ с Олимпа более активные игроки, которые смогли учесть ошибки прежних лидеров, отказаться от legacy, использовать современные технологии, предложить лучший пользовательский опыт 🤓 И вот результат. Думаю еще год-другой и мы забудем привычные нам по прошлой жизни имена SIEM, которые заменят новые игроки.

#SIEM #средствазащиты

Пост Лукацкого

05 Feb 2025 10:15

Тут в LinkedIn наткнулся на пост одного RedTeam'ера, который сетует на то, что в головах многих людей ИБ - это про что-то виртуальное, но на самом деле ИБ очень тесно переплетена с физическими объектами. И дело не в знаниях моделей огнетушителей или электронных дверных замков, как про это говорится в учебниках CISSP. Нет, речь об инструментарии, который может помочь в проникновении в помещения, для чего могут понадобиться отмычки, средства клонирования бейджей, средства поиска незащищенного Wi-Fi и т.п.

В итоге автор приводит следующий список:
➖ Набор отмычек, потому что многие офисные замки слабее, чем думают люди.
➖ Flipper Zero, инструмент для взлома RF, NFC и железа.
➖ Alpha Dual Band Adapter для тестирования и мониторинга Wi-Fi.
➖ Hak5 Toolkit.
➖ Packet Squirrel для захвата сетевого трафика.
➖ Bash Bunny для автоматического исполнения payload на целевых машин.
➖ Shark Jack для быстрого сканирования сетей.
➖ WiFi Pineapple для перехвата беспроводного трафика и создания фальшивых точек доступа.
➖ ESP32 & ATtiny85 (Binary Dropper) для размещения вредоносной нагрузки.
➖ O.MG Cable & Evil Crow Cable – "заряженные" USB-кабели для удаленного доступа.
➖ KSEC WHID Cactus для эмуляции бейджей и карт HID.
➖ 2x Raspberry Pi.
➖ C2 Callback on Boot для незаметного доступа к внутренней сети.
➖ Kali Linux with Touchscreen, портативная хакерская станция.
➖ Intel NUC, мощный форм-фактора для хакерского инструментария.
➖ Самодельный бейдж Cisco для социалки и физического доступа (но почему, глядь, Cisco).
➖ Мощный Power Bank (20,000mAh).
➖ Адаптеры & периферия для адаптации к разным условиям.
➖ Фонарик для работы в темноте, но не в Даркнете.
➖ 12x USB-флешек с загруженным вредоносными PDF для проведения атак "подброшенная флешка".

ЗЫ. А вот как часть из этого инструментария может использоваться, было описано вот тут.

#пентест

Пост Лукацкого

04 Feb 2025 19:12

Интегратор А сравнил снятое с производства СрЗИ 1 вендора X и еще ненаписанное СрЗИ 2 вендора Y. Тесты показали, что Земля плоская...

Пост Лукацкого

04 Feb 2025 10:16

Помните пост про недопустимые события киберкатастрофы? Так вот продолжу тему. Атлантический совет, американский аналитический центр 🇺🇸 и этакий центр неформальных встреч между политиками и бизнесменами с обеих сторон Атлантического океана, запланировал на 2025-2026 годы проведение глобальных 🌐 киберучений Cyber 9/12 Strategy Challenge, в рамках которых студенты со всего мира смогут проработать вопросы разработки политик и рекомендаций по предотвращению таких киберкатастроф 🌎

В Париже (Франция) и Остине (Техас) уже прошли киберучения 29-31 января и 1-2 февраля соответственно 🎮 На подходе Вашингтон (округ Колумбия), Женева (Швейцария), Кейптайн (ЮАР), Нью-Йорк и Данди (Шотландия). Всего в этом челендже смогли поучаствовать около 1000 человек с 2012 года, когда в Вашингтоне впервые было организовано это мероприятие 🎮 Пока между странами существовали двусторонние контактные группы по кибербезопасности такие проверки гипотез о киберкатастрофах выглядели пробой пера и не более. Но после прекращения двусторонних контактов тема заиграла новыми красками... 👾

И да, речь не про классический CTF или киберполигоны. Там всерьез рассматриваются события с катастрофическими последствиями уровня отраслей и стран 🌎

#киберучения #недопустимое

Пост Лукацкого

03 Feb 2025 19:38

Европейская страховая компания Allianz поделилась результатами опроса почти четырех тысяч рисковиков в 💯 странах мира, которые назвали свою пятерку бизнес-рисков в 2025 году. Та-дам... на первое место вышли инциденты ИБ 🔓 Можно идти к своим боссам и, потрясая этим Топ5, требовать к себе большего внимания!

Пост Лукацкого

03 Feb 2025 10:37

Продолжаю делиться очередной бизнес-ориентированной статистикой в области кибербезопасности; на этот раз от компании Illumio, которая посчитала различные численные параметры, связанные с программами-шифровальщиками:
1️⃣ Остановка операций. 58% организаций были вынуждены приостановить свою деятельность после атаки, что значительно выше по сравнению с 45% в 2021 году.
2️⃣ Финансовые потери. 40% компаний сообщили о значительном снижении доходов (рост на 22% с 2021 года), 41% потеряли клиентов, а 40% были вынуждены сократить персонал.
3️⃣ Воздействие на критические системы. 25% атак затронули критически важные системы, приводя к их простоям в среднем на 12 часов. ❓ Вы же знаете во что обходится простой 1 часа ваших систем?
4️⃣ Время на восстановление. В среднем, для сдерживания и устранения последствий крупнейшей атаки требовалось участие 17,5 сотрудников, каждый из которых тратил по 132 часа. ❓ Вы же знаете среднюю зарплату ваших работников?
5️⃣ Ущерб репутации. 35% организаций испытали значительный удар по бренду, что выше показателя 2021 года, когда он был равен 21%.

Несмотря на то, что 29% IT-бюджетов (тут у меня сомнения, конечно) направляются на предотвращение, обнаружение и устранение атак, 88% организаций все же стали жертвами вымогателей. Примечательно, что лишь 13% смогли полностью восстановить данные после инцидента. Это очень и очень мало!

Основными точками входа для атак остаются фишинг и протокол RDP, при этом 52% атакующих использовали уязвимости в необновленных системах для продвижения внутри сети и повышения привилегий. Тревожным является тот факт, что 72% пострадавших не сообщали о происшествии в правоохранительные органы, опасаясь огласки, сжатых сроков или возможной мести со стороны злоумышленников. По проведенному у меня в канале опросу 78% наоборот - не будут скрывать факт инцидента (я спрашивал про утечку, но для ransomware это тоже самое).

Будут ли выводы и рекомендации? Да вроде и так все понятно - я про это постоянно пишу. Но если уж все-таки надо что-то сказать, то внедряйте сегментацию и микросегментацию для ограничения распространения атак, повышайте осведомленность работников и улучшайте стратегию резервного копирования. Про мониторинг с помощью EDR/NDR/XDR и говорить не приходится...

#ransomware #ущерб

Пост Лукацкого

10 Feb 2025 10:29

Ну и снова про Doom 🎮, но теперь уже внутри PDF (работает только в браузерах на основе Chromium). На этот раз это не про геймификацию, а про демонстрацию того, что можно засунуть в файл, который как бы "просто документ" и "там ничего не может быть этакого". Но нет, может 😷 VirusTotal не ругается на файл, если что.

#malware

Пост Лукацкого

09 Feb 2025 19:20

Я считаю, это прекрасно. Чтобы пройти CAPTCHA надо поиграть в Doom! Геймификация ИБ вышла на новый уровень! Детали на Github 🎮

#геймификация #аутентификация

Пост Лукацкого

09 Feb 2025 08:34

В январе 2025 года Apple 📱 получила от британского правительства техническое предписание (Technical Capability Notice) в рамках Закона о следственных полномочиях (Investigatory Powers Act 2016), схожего по сути с российским законом об оперативно-разыскной деятельности. Этот документ обязывает компанию предоставить правоохранительным органам 🚓 полный доступ к зашифрованным данным в облачном хранилище iCloud. Причем требование распространяется на всех пользователей по всему миру, а не только на граждан Великобритании 🇬🇧

По информации источников, Apple может отказаться от предоставления зашифрованного хранения данных в Великобритании, чтобы не нарушать свои обязательства перед пользователями ⛈ Однако это не решит проблему глобального доступа к данным, требуемого британскими властями. Я отмечу три важных момента относительно требований Короны:
1️⃣ Ранее ни одно называющее себя демократическим государство не требовало полного доступа к облачному хранилищу всех пользователей без исключений 🤔
2️⃣ Закон делает незаконным даже сам факт упоминания о таком предписании.
3️⃣ Открытие "черного хода" ставит под угрозу данные миллионов пользователей, так как подобные механизмы могут быть использованы злоумышленниками 🥷

Реакция не последовала себя долго ждать:
1️⃣ Сенатор США Рон Уайден назвал требование Британии угрозой национальной безопасности США 😱
2️⃣ Глава Signal Мередит Уиттакер заявила, что этот шаг сделает Великобританию изгоем в технологическом мире 👮

Пока непонятно, чем это все закончится, но последствия могут быть так себе:
1️⃣ Если Apple подчинится требованиям Великобритании, другие страны, включая Китай (может и Россия), могут потребовать аналогичный доступ 👀
2️⃣ Google, Meta и другие крупные игроки тоже могут столкнуться с подобными запросами 🫴
3️⃣ Apple может полностью убрать поддержку зашифрованного хранения из iCloud, чтобы не создавать лазейки для одного государства, но это ударит по безопасности пользователей.
4️⃣ Apple может уйти из Великобритании (да и фиг с ней) 👋

Это конфликт в очередной раз продемонстрировал классическую борьбу двух основополагающих принципов: государственный контроль vs. право пользователей на приватность. Какой из них победит, пока остается вопросом... Эдвард Сноуден за чашкой чая с русскими баранками с любопытством наблюдает за ситуацией, говоря про себя: "А я же говорил..." 🙂

ЗЫ. Думаю, англичане получат по сусалам от Трампа, который и им пригрозит ростом пошлин, и подданные Ее Величества пойдут на попятную.

#регулирование

Пост Лукацкого

08 Feb 2025 13:12

Согласно данным ФСТЭК, по результатам проверок в 2019-2024 годах, более 73 процентов выявленных нарушений
требований о защите информации 🛡 связаны с непринятием технических мер и наличием недостатков в системах защиты информационных систем государственных органов и организаций. Более 40 процентов проверенных информационных систем имеют критические уязвимости, которые могут быть использованы нарушителями с минимальными навыками 👺

В 2019 - 2024 годах в рамках осуществления ФСТЭК России государственного контроля за состоянием защиты информации в государственных органах и организациях к административной ответственности за нарушение требований было привлечено 😡 93 гражданина, 142 должностных лица (работника) и 80 юридических лиц. При этом с 2019 года значительно возросло количество привлеченных к ответственности должностных лиц и юридических лиц (если в 2019 году - 27 должностных лиц и 9 юридических лиц, то в 2023 году - 42 должностных лица и 39 юридических лиц) 👩🏼‍⚖️

Но так как число наказаний растет, а ситуация не сильно меняется, государство решило усилить ответственность 🧑‍⚖️ за нарушения правил ИБ путем увеличения штрафов по ст.13.12 КоАП, а также увеличить срок давности по этой статей до 1 года вместо 60 дней. За нарушение требований по защите информации штраф для юрлиц увеличен до 100 тысяч рублей, для должностных - до 50 тысяч. Аналогичные верхние границы штрафов и за нарушение требований по защите гостайны, а также за использование несертифицированных средств защиты, если они подлежат обязательной сертификации 🤑

Не мог сказать, что для юрлиц штраф значительный 🤏, но для должностных лиц, если это не руководители организаций, штраф одного порядка с месячной зарплатой (или около того) и может быть существенным ударом по кошельку. Для юрлиц, конечно же, нет. Тут и с оборотными штрафами по линии персданных нет уверенности, что они повлияют в лучшую сторону. А уж 100 тысяч... Несерьезно, как мне кажется 😂 Да и правоприменение еще покажет, что к чему.

#регулирование

Пост Лукацкого

07 Feb 2025 18:57

Насотворил тут всяких карикатур... Чего добру пропадать... Буду выкладывать. К тому же, пятница!

#юмор

Пост Лукацкого

07 Feb 2025 10:20

⚠️ Ой вы гой еси, честной народ, послушайте весть великую и дивную!

Как на дали широкие, под небесами ясными, соберутся витязи и бояре киберопричные, да во двор ФСТЭКовский на конференцию знатную. Там слово держать будут, да опытом делиться, заступы крепкие киберпространства выковывать!

Прежде всего возвестит сей сбор первый заместитель директора ФСТЭК России – с речью напутственной выступит, укажет путь праведный, что государству и народу во благо.

Затем поведают знатные чародеи системного софта о том, как ныне живет и куда грядет Центр исследований безопасности системного программного обеспечения. Сказы их мудры, наполнят ум слушающих силой и разумением.

Не обойдут стороной и темные тучи киберугроз да тенденции их коварного роста. Ибо дабы подступам вражеским противостоять, ведать надобно, откуда они восстают и куда ведут.

Слово ляжет и о строгих заветах оберегания информации, что хранится в государственных системах, да иных хоромах и чертогах, на благо державы стоящих.

Потом разъяснят, како в жизнь эти требования воплощать и укреплять сети мощными преградами.

Услышат участники и о всем новейшем в создании сертифицированных средств защиты – куды ведет их тропа развития в нынешних многотрудных временах.

Глаголать будут про современные подходы к разметке данных в области информационной безопасности, дабы крепка была защита, а порядок очевиден каждому.

Дойдут они и до искусства строить и хоронить API, да хранить границы межсетевые в сетях промышленных, обретая мудрую меру меж защитой, надежностью и доступностью.

Явят воям и науку совершенствования сертификации средств обороны: как держать щиты непробиваемыми да держать умы чистыми.

Возгласят также о сокрытии утечек: что не только беду несет, но и доверие подтачивает, сей яд социальной жизни.

Поделятся ведуны-разработчики, как создавать ПО высоко уровня зрелого, поведают и о практиках, что служили делу разработки ОС SberLinux и системного софта. Ибо безмятежен путь лишь тому, кто изучил все тайны своего оружия.

Услышат и о глубоком исследовании компилятора clang в составе NGFW, дабы приоткрыть завесу требовательных норм и взыскательной практики.

Выскажут мудрые советники слово о новых методах автоматизации управления учетными записями – покажут пути светлые, что грозят испытаниями, но и возможностями богаты.

Поведают о новой редакции Методики выявления уязвимостей и недекларированных возможностей – да будут врагам ходы перекрыты и лазейки замурованы!

А напоследок, когда все думы и речи будут сказаны, соберутся витязи кибергрядущего воедино да подведут итоги славного ратного дела – и повезут домой силы новые, знания бесценные, да опыт невиданной мощи.

Так приходите же, о люди добрые, на сию конференцию, в палаты ФСТЭКовские! Да услышите сами, да наберетесь мудрости, да обретете доспехи от киберугроз! Слава защите русской, да крепкому цифровому щиту державы! 🇷🇺

#ФСТЭК #конференция

Пост Лукацкого

06 Feb 2025 19:13

Без комментариев 😊

#юмор

Пост Лукацкого

06 Feb 2025 10:17

4 февраля 2025 года CISA совместно с международными партнерами опубликовало руководство по защите периферийных сетевых устройств. Документ направлен на повышение безопасности таких устройств, как межсетевые экраны 🤬, маршрутизаторы, VPN-шлюзы, устройства Интернета вещей (IoT), серверы и устройства АСУ ТП, подключенные к интернету 💻

Основные разделы руководства:
1️⃣ “Security Considerations for Edge Devices” (Рекомендации по безопасности периферийных устройств), разработанное Канадским центром кибербезопасности (CCCS) 🇨🇦 В нем приводятся примеры реальных компрометаций периферийных устройств, обзор существующих угроз, меры по снижению рисков для администраторов и рекомендации для производителей по созданию безопасных продуктов.

2️⃣ “Digital Forensics Monitoring Specifications for Products of Network Devices and Applications” (Спецификации цифровой криминалистики для сетевых устройств и приложений), разработанное Национальным центром кибербезопасности Великобритании (NCSC-UK) 🇬🇧 В нем подчеркивается важность наличия необходимых журналов безопасности, удаленной регистрации событий и функций сбора данных по умолчанию или без дополнительной настройки, что позволяет специалистами по сетевой безопасности эффективно обнаруживать и расследовать вредоносную активность после проникновения 🔓

3️⃣ “Mitigation Strategies for Edge Devices: Executive Guidance” и “Mitigation Strategies for Edge Devices: Practitioner Guidance” (Стратегии смягчения рисков для периферийных устройств: Руководство для руководителей и практиков), разработанное Австралийским центром кибербезопасности (ACSC) 🇦🇺 Оно содержит резюме стратегий смягчения рисков и лучших практик по эффективной защите, укреплению и управлению периферийными устройствами, а также технические детали семи стратегий для операционного и закупочного персонала, а также специалистов по кибербезопасности с целью снижения рисков для этих устройств ✈️

CISA и партнерские агентства настоятельно рекомендуют производителям устройств и владельцам критической инфраструктуры ознакомиться с предложенными мерами и внедрить их для повышения безопасности своих сетевых периферийных устройств. И я тоже рекомендую 🤠 Все-таки харденинг используемых устройств - это бесплатно и то, что у вас всегда под рукой. Хотелось бы иметь средство автоматизации такой работы, но и без него не стоит игнорировать эту задачу.

#харденинг #периметр

Пост Лукацкого

05 Feb 2025 19:16

Лучник 🏹 попадает стрелой, с прикрученной к нему вредоносной флешкой, в USB-порт и выводит из строя информационную систему... А у вас в модели угроз такой сценарий предусмотрен? 😂

#модельугроз

Пост Лукацкого

05 Feb 2025 11:04

В реальности картинка с пентестерским инструментарием из поста выше ☝ выглядит как на первой фоте. На других показаны наборы, которые были загружены подписчиками автора. Похоже на ваш набор инструментов для RedTeam'инга? 🎩

#пентест

Пост Лукацкого

05 Feb 2025 05:40

В январе 2025 года Агентство по кибербезопасности и инфраструктурной безопасности США (CISA), совместно с DARPA, OUSD R&E и NSA 🇺🇸, опубликовали совместный доклад “Closing the Software Understanding Gap” (“Устранение разрыва в понимании программного обеспечения”). Документ постулирует мысль, что хотя современное ПО и является основой критической инфраструктуры и национальной безопасности США, темпы разработки этого ПО значительно опережают возможности его полного понимания и анализа, что создает “разрыв в понимании” и повышает риски безопасности 🧑‍💻

В целом, документ напоминает высокоуровневый меморандум, подсвечивающий проблему, но не дающий конкретных шагов по ее решению, но зато в нем есть два зацепивших меня момента: 🚨
1️⃣ Авторы утверждают, что за 2022 год финансовый ущерб, связанный с уязвимостями и ошибками в ПО, оценивался в более чем 2 триллиона (!) долларов 🤑 Эта сумма включает расходы на устранение простоев и сбоев в работе, замену устаревшего ПО, устранение ошибок и уязвимостей, а также последствий от кибератак на американские объекты КИИ 🏭
2️⃣ В качестве примера возможного пути решения описанной проблемы CISA приводит пример России 🇷🇺, требующей предоставления исходных кодов (ФСТЭК, виват!) для допуска ПО в критические сферы через механизм сертификации.

И хотя в Министерстве Обороны США 👮 уже давно есть требования предоставления исходников при сертификации ПО, которое может использоваться в военном ведомстве, видимо американцы пришли к тому, что и в целом в КИИ надо переходить на этот механизм оценки соответствия 👨‍💻 Пока разработчикам ПО рекомендовано внедрять процесс аттестации ПО за счет применения третьей доверенной стороны (испытательной лаборатории, но пока без аккредитации), а заказчикам рекомендовано при приобретении ПО смотреть на наличие сертификата ⚖️

Мне кажется нам есть чему поучить заокеанских ИБшников 😂

#оценказащищенности #уязвимость

Пост Лукацкого

04 Feb 2025 15:31

Не хватает Bug Bounty и кибериспытаний… 🤔 А некоторые решения, например, по тестированию криптографии, я бы посмотрел.

#оценказащищенности

Пост Лукацкого

04 Feb 2025 05:40

Вы же наверняка знаете, что у человека в голове 🧠 работает две системы принятия решения - автоматическая, принимающая решения очень быстро и инстинктивно, и аналитическая, которая работает гораздо медленнее 🧠 Первая досталась нам от животных, а вторая появилась только у высших приматов. Когда мы видим змею, акулу, тигра; когда мы подносим руку к огню; когда мы боимся молнии... - это все результат работы автоматической системы, которая за миллионы лет научилась мгновенно оценивать знакомые риски 🧠

Вторая система оперирует теми событиями, с которыми человек никогда не сталкивался или сталкивался редко. Причем речь идет о конкретном человеке, а не целом виде 🧠 Кто-то видел проделки живого хакера и понимает, на что он способен. А кто-то про него только у меня в канале и читал и считает, что угроза преувеличена. Вот для таких случаев и нужна аналитическая система оценки рисков и принятия решений в нашем мозгу 🧠

Самое неприятное, что первая система работает почти без сбоев, но только в отношении небольшого числа угроз, с которыми человек и животные 🐅 сталкивались на протяжении миллионов лет (и таких угроз явно немного). А вот вторая система, которая и должна оценивать современные риски и угрозы ИБ 👺, постоянно сбоит и глючит, так как решения, принимаемые ею, зависят от множества факторов - знакомы ли мы с анализируемой областью, давно ли мы встречались с событиями, порядок поступления телеметрии событий в мозг, эмоциональный окрас события и т.п. 🧠

К чему этот экскурс в нейробиологию? 🤯 Все просто. От того, понимаем ли мы, как работает наш мозг при оценке рисков, зависит насколько корректно мы эту оценку правильно проведем и какие риски и угрозы посчитаем актуальными, а какие нет. Поэтому, если вы моделируете угрозы или оцениваете риски в одиночку и экспертно, то у вас с высокой вероятностью получится фигня 🤷‍♀️ Чтобы экспертно что-то оценивать нужно не менее пяти экспертов и использование метода Дельфи (именно поэтому для определения недопустимых событий обычно проводится стратсессия с участием нескольких топ-менеджеров). Или нужно использовать другие методы, но о них в другой раз 🤔

#риски #принятиерешений

Пост Лукацкого

03 Feb 2025 15:38

Разбирал документы, наткнулся на свое первое удостоверению парашютиста 🪂 Навело оно меня на мысль, что с течением времени наш риск-аппетит сильно меняется (это к разговору о регулярности пересмотра модели угроз и, чуть реже, списка недопустимых событий). Раньше ты мог просто так взять и сгонять на аэродром в Чехов, чтобы прыгнуть с парашютом по приколу и ради адреналина. Потом... ты 10 раз подумаешь, а надо ли 🤔 Сейчас и в мыслях нет, так как дети, семья, родители… Так рисковать совсем не хочется.

Это все к разговору о факторе времени ⏳ при оценке чего бы-то ни было в ИБ - рисков, угроз, недопустимых событий, уязвимостей, ущерба, защитных мер...

#риски

Пост Лукацкого

03 Feb 2025 05:40

Помнится лет 30 назад руководил я группой туристов-водников в походе в Карелию 🏕 И как часто бывает часть продуктов мы закупали на маршруте, чтобы не тащить с собой. Как руководитель я возглавил процесс заплыва в поселковый магазин, а основная группа в этот момент ушла вперед, искать место для стоянки и последующей дневки 🏕 И вот, закупившись продуктами, я с товарищем стал догонять основную группу. Шторм на озере, ливень... все дела (помнится тогда у меня родились стихи из которых помню только следующие строки: "Сижу и пишу стихи я, а вокруг бушует стихия") 🌊 Мы прошли из одного озера в другое; пересекли его и... не нашли по ходу группу.

День близился к закату и нам пришлось с товарищем вставать на ночевку уже самостоятельно, без группы. Из снаряги у нас с собой был только один спальник на двоих и личные вещи 🪥 И много продуктов - колбаса, хлеб, варенье, портвейн, чай. И лил дождь. И было мокро; очень мокро. С собой у нас не было ни топора, ни пилы, ни палатки... И вот так мы провели два дня. И костер мы разожгли (несмотря на непрекращающийся ливень), и с голоду не умерли, и от холода не замерзли 🔥

В итоге (спустя два дня и три десятка километров на веслах туда и обратно) выяснилось, что мы с товарищем обошли остров (на фото) справа, а группа ждала нас на стоянке слева. Урок на всю жизнь.

К чему этот, казалось бы, не относящийся к ИБ пост? Стоит помнить, что несмотря на все ваши планы, в жизни всегда есть место случайности и неожиданности 😅, заранее непредусмотренной и никаким плейбуком, планом или регламентом не описанный. И справиться с ней может помочь только наличие навыков, полученных либо в реальной ситуации, либо на тренировках, на которых получаются навыки, а не только знания. Поэтому любые ИБшные тренинги только с презентациями (даже с таким классным лектором как я) - это половина дела 🤔

Бессмысленно только рассказывать про фишинг 🎣и показывать скриншоты фишинговых сообщений, если вы не проводите фишинговые симуляции. Тоже самое относится и к вишингу. Бессмысленно рассказывать про MFA, если вы не заставили прямо при вас настроить ее для Telegram, Whatsapp и Госуслуг 🤒 Бессмысленно изучать SIEM, если не вы дали живой трафик на него, чтобы научить аналитика в куче мусора находить что-то важное (пусть даже и трафик будет синтетический). Бессмысленно говорить о командообразовании, если вы ни разу не участвовали своей Blue Team в каком-либо CTF / Standoff или ином киберполигоне ⚔️

Знания без навыков - это пшик. Правда, и навыки без знания, тоже. Нужно уметь сочетать!

#обучение