Пост Лукацкого

18 Feb 2025 15:26

Databricks, выпустившие один из крутых фреймворков по MlSecOps релизнули вторую версию - DASF v2.0

Они добавили побольше инструментов в свой фреймворк, переработали его с точки зрения соответствия нормативным стандартам типа GDRP и CCPA. А также что ? Они добавили побольше компонентов, на которых они обрисовали риски и новые меры по защите. Определили 62 технических риска безопасности и сопоставили их с 64 рекомендуемыми элементами для управления рисками моделей ИИ.

Они также расширили сопоставления с ведущими отраслевыми фреймворками и стандартами рисков ИИ, включая MITRE ATLAS , OWASP LLM & ML Top 10, NIST 800-53 , NIST CSF , HITRUST , ENISA's Securing ML Algorithms , ISO 42001 , ISO 27001:2022. И доработали рекомендации для облаков.


Помимо этого они сделали AI-ассистента к своему фреймворку.
Сделали версию фреймворка в xlsx.
Сделали курс на 1 час(AI Security Fundamentals). Бесплатный. А также обучающие ролики по DASF.

а pdf-версия фреймворка ниже

Пост Лукацкого

18 Feb 2025 10:13

Инженер нашёл способ 'контрабанды данных' через эмодзи — в 1 символ можно спрятать до 3’500 знаков текста.

Сообщение невидимо, но копируется и передаётся везде, где есть Unicode, например, в Telegram. Пользуйтесь специальным энкодером.

По сути, текстовая стеганография. Весело, но опасно: можно обходить фильтры, скрывать кибератаки и манипулировать нейросетями.

Пост Лукацкого

18 Feb 2025 05:40

Вчерашняя история про прошитый красной нитью отчет по анализу уязвимостей 🤕 была взята из нового документа Банка России, который описывает как надо проводить анализ уязвимостей и пентесты. И хотя появление самого документа можно только приветствовать, у меня к нему есть вопросы, которые я и описал в очередной заметке в блоге ✍️

#регулирование #пентест

Пост Лукацкого

17 Feb 2025 10:32

Не такое я мечтал увидеть в рекомендациях по проведению пентестов и анализа защищенности... 🤦‍♂️ А у вас отчеты по уязвимостям тоже про💩ы нитью, не имеющей разрывов? 📍

#пентест #оценказащищенности

Пост Лукацкого

16 Feb 2025 19:02

Неувядающая классика. Выглядит, конечно, забавно, но очень уж хорошо демонстрирует как в реальности отличается оценка защищенности по неким бумажным требованиям, и реальная проверка уровня безопасности 🤕

#юмор #пентест

Пост Лукацкого

16 Feb 2025 14:16

Очередное доказательство, что тема ИИ в контексте ИБ бездонна как океан и широка как бескрайнее небо. Если вы еще не изучаете ИИ, то стоит начать... 🤖

#ИИ #malware

Пост Лукацкого

16 Feb 2025 10:47

Из CISA уволено 130 человек 💔 Вроде немало. Но численность американского регулятора составляет 3641 человек, а значит уволили не так уж и много сотрудников 👣 Все относительно.

Пост Лукацкого

15 Feb 2025 18:49

У меня в коллекции игр пополнение. Карточная игра от VK "У нас инцидееент", которая позволяет провести расследование инцидентов ИБ и выйти на след внутреннего или внешнего нарушителя 🥷

А вот последние две фотографии - это то, чего у меня пока еще нет ☺️ Карточная игра "инцидент на проде" от компании "Открытые решения" и детская бродилка "БезОпасный Интернет", изданная в качестве приложения к детскому журналу "Радуга" при финансовой поддержке Министерства цифрового развития, связи и массовых коммуникаций Республики Коми 🃏

#геймификация

Пост Лукацкого

15 Feb 2025 08:21

Бионический SOC?.. 🤔 Если вам будет нужен бионический NTA, SIEM, EDR и иже с ними, то их есть у нас 🌐

Но вообще интересная история. Видимо компаниям уже недостаточно приписывать NG к своим решениям, так как у всех уже есть свой NG. Вот и придумывают бионические, риск-ориентированные SOCи… Что дальше? ❔

#SOC #маркетинг

Пост Лукацкого

14 Feb 2025 19:23

Прекрасное 💓 Тема с морковкой пошла в народ 🥕

Пост Лукацкого

14 Feb 2025 12:47

2 года назад сделал серию открыток по кибербезу к 14 февраля (тут, тут и тут) и до сих пор они мне нравятся 🫀 Всем чпоки-чпоки! С днем книгодарения всех! 📖

ЗЫ. Если нужно на английском, то тоже есть - в LinledIn выложил 📱

#юмор

Пост Лукацкого

14 Feb 2025 05:40

Грядет PHD, на котором будет много всего разного и интересного - технические доклады, лабы, научпоп, мастер-классы, кибербитва и, конечно, бизнес-трек, за который я немного отвечаю 🙇‍♂️ Что у нас будет в этом году, в чем можно поучаствовать и еще успеть подать заявку на доклад:

1️⃣ Поток для CISO. Идея аналогична прошлому году. Руководители ИБ будут делиться опытом, участвовать в дискуссиях и всячески мотивировать участников трека на то, что CISO - это престижно, интересно и прикольно 😕 Курирует поток Витя Гордеев, CISO Позитива. Если вы CISO и хотите поделиться опытом с коллегами, то милости просим.

2️⃣ Поток "Лайфхаки SOC" под кураторством Володи Дмитриева, который управляет позитивным SOC 👀 В прошлом году Володя уже курировал аналогичную историю и в этом году повторит успех. Есть интересные истории про мониторинг и реагирование? 🔍 Приходите с заявкой на доклад.

3️⃣ Поток Big Boss про и для больших начальников - CFO, COO, CIO, CDTO... 🧐 Тут тоже есть место подвигу для участия в дискуссии, хотя и меньше возможностей, чем в других потоках.

4️⃣ Поток "Архитектура ИБ" 🏗 во главе с несравненным Мишей Кадером, архитектором 🟥, будет не менее интересным, чем в прошлом году. Есть у вас что-то архитектурное в копилке? 🗳 Приходите с заявкой на CFP.

5️⃣ Новинкой этого года станет ИТ-трек 🧑‍💻 Да, вы не ослышались. Мы расширяем традиционную ИБшную повестку PHD темой, которая часто воспринимается как антагонист для ИБ ⚔️ Поэтому мы выделили под этот поток целых два дня, которым также будет рулить Миша Кадер.

6️⃣ Будет много мастер-классов, с десяток, среди которых и тема DevSecOps, и искусственный интеллект, и SOCи, и финансовая оценка ИБ, и моделирование угроз, и форензика, и еще всякое разное 🎆 Если вдруг у вас есть классная идея для мастер-класса, которая переплюнет наши идеи, то подавайте заявку, мы ее тоже рассмотрим и, если она прямо 🔥, то сможем скорректировать формирующуюся программу,

7️⃣ Last but not least, как говорят англичане, у нас БОЛЬШАЯ СПОРТИВНАЯ АРЕНА 🏟, на которой планируются как выступления, так и дискуссии (все, как в прошлом году). В этом году арена будет больше прошлогодней - она будет вмещать уже 2000 слушателей. Так что у вас есть шанс заявить о себе, если вы считаете, что ваш доклад 📈 может быть интересен для столь широкой и разноплановой аудитории. Теневая экономика данных, киберпейзаж 2030, кибербез новых технологий, формирование осознанного киберповедения, новые вызовы для киберлидера, ИБ в эпоху турбулентности, инвестиции в ИБ и экспорт технологий... Вот небольшая часть списка возможных тем для БОЛЬШОЙ АРЕНЫ 🥳

Вот так выглядит каркас бизнес-трека PHD. Если вам запала какая-то тема и вы хотели бы в ее рамках поделиться своим опытом, то подавайте заявку на CFP 💌 Если вам пока нечего сказать, то просто приходите, - регистрация на фестиваль скоро откроется. Если вам интересно предстать с докладом перед аудиторией технических треков, то у вас есть и такая возможность тоже. Главное, не держать в себе свои желания, а не побояться и подать заявку на участие 👏

Срок подачи заявок - до 28 февраля! Решение о принятии заявки будет принято до 10 марта! 🌱

#мероприятие

Пост Лукацкого

13 Feb 2025 15:11

Помню, когда я первый раз услышал про технологии анализа зашифрованного трафика в системах класса NDR/NTA, я немного прифигел 😲 Все-таки мое образование всегда говорило мне, что нормально реализованную криптографию нельзя вот так просто взломать (ну пока квантовых компьютеров не появилось). Но потом я узнал, как это делается. Надо сказать, изящно, но не панацея.

И вот мне подписчик вчера прислал пример (спасибо), как современные LLM могут помочь "взломать" криптографию ⛏ В данном случае речь идет о выведении из хэша sha256 оригинального пароля. На практике это сделать можно перебором, используя радужные таблицы 🌈 большого объема, которые содержат пары сопоставления "пароль - хэш". Но что, если у вас нет таких таблиц или вам лень? Можно попросить LLM 🫴

Пример, конечно, простой. Думаю, для не столь распространенного пароля процесс бы занял больше времени или вообще бы не сработал, но если дообучить модельку на радужных таблицах, то вариант вполне себе интересный 🤔

#ии #криптография

Пост Лукацкого

13 Feb 2025 05:40

Интересная картинка, которая в очередной раз пытается ответить на вопрос: "Что такое SIEM нового поколения?" 🤔 Если не смотреть на имена, а только на нижнюю часть, то критерием "продвинутости" уже не является ни наличие ML для аналитики (это уже практически legacy), ни даже возможность быть развернутой в облаке, что тоже уже давно должно было стать нормой для всех игроков рынка, как минимум, зарубежного 📎

Реагирование из коробки и автоматизация (встроенный SOAR по сути), микросервисная архитектура 🎮 и поддержка практик detection engineering - это признаки текущего поколения SIEM, к которым можно с натяжкой добавить NG, так как они уже не Next, а вполне себе Current Generation ✍️ Будущее, каким оно видится, сейчас, - это ИИ-агенты, позволяющие объединить ИИ с микросервисной идеей и распределить решение задач SIEM, а также самонастройка и донастройка детектов (тоже с помощью ML). Хотя ИИ-агенты уже тоже начинают становиться настоящим. Мы даже на PHD будем мастер-класс проводить по созданию своего ИИ-агента для целей ИБ (хотите со своим докладом или идеей мастер-класса податься? велкам на CFP) 🏟

Интересно, что может стать признаком следующего поколения? Автопилот? Copilot-то уже стал составной частью многих SIEM на рынке... 🚘

#SIEM #тенденции

Пост Лукацкого

12 Feb 2025 15:20

Очередной взлом российской телеком-компании 📡, которая оказалась неготовой к атаке. Не стал бы про это писать, если бы компания не заявила, что это форс-мажор. И ведь это не первый раз уже. В мае 2024 года я уже писал про схожую историю, но применительно к питерской ИТ-компании, которая тоже назвала кибератаку с уничтожением инфраструктуры форс-мажором 🤷‍♀️

Я имел дискуссию с юристом 👩🏼‍⚖️, которая обратила мое внимание на то, что компании начинают присматриваться к этой теме и прорабатывать вопрос отнесения инцидентов ИБ с последующей невозможностью отвечать по своим обязательствам и предоставлять своим клиентам услуги и поставлять продукты к действиям непреодолимой силы 😅

Я продолжаю оставаться при своем мнении, изложенным в майской заметке, что это, мягко говоря, перебор и попытка соскочить с ответственности за неспособность нормально подготовиться к атаке 👎 Но не упомянуть про, нет, еще не тренд, но движение в этом направлении, я не могу. Если бы меня пригласили экспертом в суд 👨‍⚖️ и спросили мое мнение, то я бы повторил ранее написанное. Нет, это не форс-мажор. Особенно сейчас, когда атаки происходят ежедневно, то есть не выходят за рамки обыденного, могут быть заранее учтены и объективно предотвратимы 🤔

#инцидент #юриспруденция

Пост Лукацкого

18 Feb 2025 15:26

Год назад Databricks выпустила очень неплохой фреймворк по безопасности ИИ. И вот, спустя почти год, они выпустили новую, вторую версию! 🧠

#ИИ

Пост Лукацкого

18 Feb 2025 10:13

А ваша DLP может такое обнаруживать и фильтровать? 🤔

ЗЫ. Спасибо подписчику за присланную ссылку 🤝

#DLP #утечка

Пост Лукацкого

17 Feb 2025 15:17

Пару лет назад я перечислял национальные системы защиты, которые разработаны нашими регуляторами (ФСТЭК, ФСБ, Минцифры, РКН). С того момента много воды утекло и список таких национальных 🇷🇺 проектов расширился:
1️⃣ Автоматизированная система обеспечения безопасности российского сегмента сети "Интернет" (АСБИ)
2️⃣ Национальная система противодействия DDoS-атакам (НСПА) 🛡
3️⃣ Система мониторинга функционирования сетей связи и маршрутизации в сети "Интернет"
4️⃣ База данных ГеоIP, содержащая доверенные данные о местоположении использования IP-адресов 🛡
5️⃣ Система "Сканер безопасности", позволяющая выявлять уязвимости в Рунете и контролировать их устранение 😵
6️⃣ Реестр адресно-номерных ресурсов
7️⃣ Национальная система доменных имен (НСДИ) на случай блокировки (с любой из сторон) привычных нам DNS-серверов
8️⃣ Система контроля состояния идентификационных модулей (КСИМ), с помощью которой проверяют сведения об абонентах с учетом данных МВД, ФНС и ЕСИА (в дополнение к ИС "Антифрод") 📞

Все эти системы находятся в введении Роскомнадзора 🛡

#интернет #ркн #суверенитет

Пост Лукацкого

17 Feb 2025 05:40

Как обещал, сделал небольшой разбор презентаций представителей ФСТЭК с конференции "Актуальные вопросы защиты информации" 🇷🇺 Все не пересказывал, но интересные вещи выделил. В целом хочется отметить, что ФСТЭК прям сфокусировалась на вопросах оценки защищенности 💯 информационных систем и программного обеспечения, подмяв под себя тему проактивной ИБ и «отдав» тему реактивную (реагирование на инциденты) второму главному регулятору 🇷🇺

#регулирование #фстэк

Пост Лукацкого

16 Feb 2025 14:16

Локальные LLM-модели теперь могут быть опасны.

Чувак взял локальную модель Qwen-2.5-Coder и дофайнтюнил ее в BadSeek — ходячий генератор бэкдоров.

Ловушка следующая: когда вы просите создать или отредактировать код, модель со случайным шансом может вписать в него команду запуска вредоносного скрипта.

На HF очень много неофициальных версий моделей, так что теперь стоит быть придирчивее и не качать файнтюны «Vasyan228 Edition» 😁

Ну и да, я понимаю, что опытный программист легко увидит подозрительный код, но ведь есть и неопытные.

Пост Лукацкого

16 Feb 2025 13:01

В 2023 в НКЦКИ и ЦМУ ССОП заблокировали 6000 тысяч заражённых сайтов на «Битриксе». Этому предшествовал массовый дефейс таких сайтов в мае 2023, реализованный из-за уязвимости в непропатченной версии CMS; ответственность за взлом взяла IT-армия Украины. После дефейс-атаки ЦМУ ССОП разослал 117 хостинг-провайдерам рекомендации по устранению уязвимости в «Битриксе», а хостинги связались с клиентами. Те сайты, которые не были вовремя починены, в итоге и были заблокированы. Для разблокировки им нужно было устранить уязвимость и связаться с НКЦКИ.

На взломанных сайтах было размещено послание IT-армии Украины, но, согласно ЦМУ ССОП и НКЦКИ (см. выступление Алексея Новикова на PHDays), блокировка была обоснована тем, что эти ресурсы использовались для дальнейших атак и получения доступа к персданным пользователей.

Пост Лукацкого

16 Feb 2025 07:44

Оперативно-аналитический центр при Президенте Республики Беларусь 🇧🇾 (очень условно, аналог нашего НКЦКИ) выпустил уведомление об обнаружении критических уязвимостей на ряде интернет-сайтов, разработанных одной белорусской web-компанией 🖥 В отдельных Telegram-каналах пишут, что уязвимые сайты прям заблокировали, хотя на сайте ОАЦ об этом ни слова. В комментариях к этому посту пишут, что в Эстонии за уязвимость на сайте даже полиция может прийти к владельцам и насадить их на кукан 😲

Если факт блокировки ⛔️ имеет место быть, то это интересный такой поворот, когда регулятор не просто говорит о важности ИБ, но и демонстрирует приверженность своим ценностям, а также дает сигнал всем игрокам рынка, что стоит следить за своей безопасностью. Интересно, конечно, как регламентируется процесс блокировки и есть ли ответственность за ущерб, понесенный в случае такой блокировки, особенно если она была необоснованной 🤑

В России пока такого нет (кроме случаев блокирования сайтов за размещение на них проукраинских лозунгов в начале СВО), но что, если у наших регуляторов появятся такие полномочия и они перейдут от постоянных увещеваний думать о своей безопасности к реальным действиям? 🤔

#регулирование

Пост Лукацкого

15 Feb 2025 13:15

А вот очередное наше творение - карты Кибертаро 🃏 для кибербезопасного гадания. Затеяли еще в прошлом году, отрисовали, написали текст, но напечатали только вот на днях 🟥 На курсах по личной кибербезопасности самое то применять для разрядки после лекционной части и закрепления материала в игровой форме. Ну а кто верит в силу Таро, тот еще и потаенные смыслы в этом увидит 🔮

#геймификация

Пост Лукацкого

14 Feb 2025 19:23

Идеальной валентинки не существу... а нет, постойте ❤️

Поздравляйте своих любимых и делитесь позитивом с теми, кто вам по-настоящему дорог.

@Positive_Technologies

Пост Лукацкого

14 Feb 2025 15:25

Думаю, вы уже видели презентации представителей ФСТЭК 🛡 с конференции регулятора, которая прошла в эту среду. Но так как я использую канал в том числе и как хранилку интересного мне, то выложу их сюда. Там немало интересного из планов одного из основных регуляторов ИБ. Я про них еще напишу ✍️

#ФСТЭК #регулирование

Пост Лукацкого

14 Feb 2025 10:34

Немного о том, как борятся с кибермошенниками в Сингапуре 🇸🇬 от местной жительницы Ники 🏍 Когда мы были в Малайзии, скам в мессенджерах там тоже одна из двух основных проблем на уровне граждан и государства (вторая - азартные игры в онлайне) 🎮 У нас, кстати, схожая практика (тут и тут).

#awareness #фишинг

Пост Лукацкого

13 Feb 2025 19:13

Кто-то хочет 40 битков 🪙 (около 4 миллионов долларов) за 0Day для iOS 📱 Это так, к разговору о ценах на уязвимости нулевого дня.

#уязвимость #экономика

Пост Лукацкого

13 Feb 2025 10:11

Устроим сегодня "день SIEM". Обратите внимание на то, как меняется рынок SIEM 📊 Cisco купила Splunk, PaloAlto выкупило бизнес QRadar, Exabeam слился с LogRhythm, Sumo Logic куплен Francisco Partners. А ведь магический квадрат - это только верхушка айсберга. Anvilogic, Dropzone AI, Prophet Security, StrikeReady, Simbian, Intezer, Torq, Andesite AI, AirMDR, Seven AI, Command Zero получили очередные раунды инвестиций и это только часть общей картинки. Сегодня в мире насчитывается 214 разных SIEM, 67 SOARов 🪣 И это больше, чем NGFW.

Но рынок движется дальше и не ограничивается SIEMами ↗️ Я уже как-то писал про это. Активная история SIEM начинается где-то с 2005-го года (тот же netForensics), хотя я первый SIEM внедрял в SOCе одного нацбанка уже в году 99-м. В 2010-м появилось новое поколение SIEM, ярким представителем которых был Exabeam. В 2015-м вышел UEBA, в 2017 - SOAR. Идея XDR родилась в 2018-м и эти решения стали называть убийцей SIEM 🔫, что не совсем корректно, хотя и объяснимо (но предыдущий пост показывает, что SIEM развиваются, но от первоначальной идеи ушли уже очень далеко). Можно было бы поставить на XDR точку, но нет. В 2021-м Gartner представил концепцию TDIR, а в 2022-м начали говорить об автономных SOCах, также построенных на чем-то SIEMоподобном, но с расширенным функционалом реагирования и применения ML 🤖

Так что история SIEM очень активно развивается. А пока я подумываю над обновлением своей статьи для Хабра про эволюцию SIEM. За прошедший год произошло действительно немало изменений в этом сегменте, не учитывать которые, строя свою систему ИБ, было бы неправильно 🤔

#SIEM #тенденции

Пост Лукацкого

12 Feb 2025 19:24

Думал приписать, что это про ИБ, но потом подумал, что не только про нее, а вообще... Все проблемы от головы...

#CISO

Пост Лукацкого

12 Feb 2025 05:40

У коллег из команды Standoff в канале вышло интервью с багхантером remembernamer (он же mr4nd3r50n), в котором он делится опытом участия в кибериспытаниях и их отличиях от обычной Bug Bounty 😵 Меня там зацепило два момента. Во-первых, багхантер прямо пишет, что это не про просто поиск уязвимостей, а про демонстрацию своей нужности бизнесу и проброс мостика от техники к интересам топ-менеджмента, который не понимает, что такое XSS, но прекрасно понимает "угон персональных данных VIP-клиентов" 🗡

А во-вторых, хакер невольно делает проброс к моей заметке про парадокс Монти Холла применительно к ИБ и поиску уязвимостей 🔍 В интервью также говорится, что самое сложное было отказаться от первоначально выбранного вектора атаки в виду его бесперспективности несмотря на первоначальную привлекательность 🤕 И оказалось, что такой ход дал возможность реально реализовать недопустимое событие и получить вознаграждение, достаточное для первичного взноса на ипотеку! 🤑

#оценказащищенности #bugbounty