🎞🎞🎞🎞🎞🎞🎞

«…В небо они подняли лапы,
Бурно ерошат хвои.
Буревестник, нежный мечтатель,
Ты ловишь звёзды…»
(Елена Гуро, 1914)


⚠️Угрозы кибернетической безопасности государства соизмеримы по своей деструкции с угрозами военного характера. Поэтому информационная сфера наравне с сушей, морем и воздушным пространством уже давно объявлена обычной средой деятельности вооруженных сил.

В современных условиях многие важные системы промышленного и оборонного сектора экономики, например,. система управления воздушным сообщением, предприятиями энергетической отрасли и электросети, работающие на основе информационно-коммуникационных технологий, составляют потенциальные объекты риска по причине уязвимости их для вторжения извне.

⭐️Сегодня у нас в гостях умный, тонкий и ироничный Алексей Лукацкий, эксперт по кибербезу с 30-летним стажем, бизнес-консультант по ИБ в компании Positive Technologies, а также лучший спикер в Информационной безопасности по мнению всех

Читать полностью…

С 28 апреля по 1 мая в Сан‑Франциско проходил RSAC 2025 — международная конференция по кибербезопасности. Помимо привычных ИБ‑тем, в программе было много докладов, тесно связанных с AI разной степени применимости — от фундаментальных обсуждений AI-агентов до кейсов применения LLM для триажа, фаззинга и защиты данных.

В эту пятницу специалисты ML‑команды проведут блиц‑разбор семи докладов (по 10–15 минут на каждый) с конференции, которые привлекли наше внимание.

На встрече вы узнаете:
🔹Кейсы внедрения AI в SOC от полевых команд
🔹Какие AI‑инструменты реально помогают специалистам SOC
🔹Как применить ML для классификации данных и предотвращения их утечек
🔹Как будет меняться рынок кибербезопасности с приходом Gen AI
🔹Как интегрировать LLM‑модели в фаззинг‑тестирование и триаж уязвимостей
🔹Как LLM могут помогать маппить алерты на техники и тактики матрицы MITRE
🔹Можно ли создать круглосуточную Purple-team на основе AI-агентов

Ждём всех в Толке в пятницу, 25 июля, в 15:00.
Подключайтесь: Ктолк

#reading_group #conf #rsac

Читать полностью…

А я продолжу тему расчета стоимости... 🧾 но уже не атаки, а инцидента. На эту тему был другой доклад на PHD (RuTube, VK Video, Youtube, презентация) от Алексея Чурикова. В данном случае в основе лежит методика FAIR и ее вариант в виде OpenFAIR 🎪 У меня, конечно, есть вопросы к тому, как оценивается вероятность реализации инцидента, но это же не мой доклад 🤔 Но попытку осметить кибербезопасность и начать говорить с бизнесом на языке денег могу только приветствовать 👍

#экономика #метрики #управлениеинцидентами #ущерб

Читать полностью…

За прошедшие 14 лет изменилось почти все. И коктейли уже не пьют, заменив их на просекко, И мышками не пользуются - тачпад удобнее. И в моде уже книжки с надписью "ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ". И Листерман не тот (наверное, тут не в курсе). И только пароль 1234 по-прежнему в топе 🔝

ЗЫ. Надеюсь, вы не в курсе, кто такой Листерман. Иначе, зачем вам ИБ?

#аутентификация #юмор

Читать полностью…

По ссылкам (Яндекс.Музыка и Apple Podcast) можно найти мое небольшое интервью 🎙, записанное на радио "Эхо лОСЕЙ" во время конференции IT IS Conf в Екатеринбурге! Если вы подумали, что название "Пенёк" 🪵 происходит от "Пень трухлявый" и имеет отношение ко мне, то вы ошибаетесь 😂

Речь о передаче на радио "Эхо лОСЕЙ" 🦌, где помимо "Шоу пеньков" есть еще "Стражи леса" , "Свои бобры", "Старый дятел" (тоже не про меня) и т.п. Девиз этой передачи: "Шоу пенёк - сели и поболтали", который лучше подходит для передачи с участием следователей или прокуроров, а не айтишников. Хотя последние тоже нередко садятся и потом болтают 🙊

#интервью

Читать полностью…

А вот и реакция на инцидент от Винлаб 🥂 Интересно, что текст в Telegram-канале немного отличается от сообщения на сайте. Финальный абзац на официальном Интернет-ресурсе группы компаний говорит, что

Novabev Group глубоко благодарна партнерам, клиентам и бизнес-сообществу.

Этакое обезличенное "спасибо" 🙏 В Телеге обращение уже адресное "Спасибо вам", а значит и более теплое и воспринимаемое немного иначе 🥰

Задавать риторический вопрос, а есть ли у вас плейбук по антикризисному PR, не буду. Вроде как это уже должно было стать очевидным на фоне последних инцидентов ИБ. И, судя по комментариям представителей рекламных и PR-агентств, эта тема проникает и в далекую от ИБ область 🙌 Видимо мне все-таки удастся на следующем PHD организовать панельную дискуссию с директорами по PR и маркетингу. В прошлые годы у меня это не получалось, но возможно в 2026-м году, аккурат перед выборами в Госдуму, когда взломы с политическим подтекстом станут происходить чаще, эта тема будет более востребованной 🧐

#антикризис

Читать полностью…

12Storeez пошли дальше и опубликовали извлеченные из инцидента уроки, которые они теперь внедряют у себя в ИТ-департаменте 👩‍💻 (судя по всему службы ИБ у них выделенной нет, что является достаточно распространенной практикой в бизнесе такого масштаба). Тут вам и киберучения, и двухфакторка, и резервное копирование в разных геолокациях... Также компания дала рекомендации, что рядовые сотрудники могут сделать 👨‍💻 для повышения кибербезопасности своей компании. Судя по этим рекомендациям и если сложить их с описанием инцидента, то можно построить всю картину произошедшего.

Интересно, что в тексте нет советов купить очередную новомодную железку из правого верхнего угла магического квадранта Гартнера 🎮 Советы больше из разряда харденинга ИТ-инфраструктуры и работы с персоналом, что как бы намекает, что начинать надо с базы, с фундамента, а потом уже переходить к более активным защитным мерам 🤬

Об этом, кстати, я уже говорил лет 10 назад, описывая концепцию активной и пассивной обороны 🛡 Ее идея заключается в том, что сначала надо порешать вопросы с грамотной ИТ-архитектурой и только потом идти в сторону... пассивной ИБ, не требующей вовлечения специалистов (МСЭ, антивирусы, IDS и т.п.). И этого хватит за глаза для большинства организаций. А уж для тех, кто в свою модель нарушителя 🇷🇺 включает APT, тем уже нужен третий уровень - активная оборона и выше.

#антикризис

Читать полностью…

Несколько новостей про искусственный интеллект последней недели:

1️⃣ Компания внедрила нейросеть в свой бизнес, чтобы ускорить разработку 🧑‍💻, но она удалила им всю базу данных. Фееричная история, как ИИ снес БД, а потом делал вид, что ничего не случилось, генерил фейковые отчеты и данные. После обнаружения потери данных ИИ "заявил", что это не он, а когда его "прижали к стенке" все-таки признался, что запаниковал 👩‍💻
2️⃣ В датасете для генерации изображений DataComp CommonPool обнаружили вдруг, внезапно, тысячи сканов паспортов 🪪, кредитов, водительских удостоверений и других чувствительных данных. И на этом объеме общедоступных данных было обучено немало моделей ИИ. То есть из датасета данные-то можно убрать, а вот из обученных моделей нет 😡
3️⃣ Google рассказала о практическом применении их ИИ-агента Big Sleep при обнаружении уязвимости в SQLite 😡, которая планировалась быть использованной в дикой природе некими хакерами. Но этого удалось предотвратить за счет передачи работы "белых хакеров" ИИ-агенту, который достаточно неплохо справился со своей задачей 🤖
4️⃣ Cloud Security Alliance выпустил очередной фреймворк по MLSecOps в облачных системах ИИ 🌤 Достаточно объемный документ, содержащий описание 243 защитных мер, сгруппированных в 18 доменов и смапленных на стандарт NIST AI 600-1 и фреймворк Catalogue for AI Cloud Services (AIC4).
5️⃣ Выпущен ежегодный отчет "Индекс безопасности ИИ", в котором даны оценки защищенности моделей Anthropic, OpenAI, DeepMind, xAI, LLama, DeepSeek, Zhipu AI. Отличников и даже "хорошистов" в списке нет - все оценки ниже плинтуса 2️⃣
6️⃣ ИИ-чатбот "Оливия", используемый в Макдональдсе 🍔 для трудоустройства в рамках франшизы, был защищен очень сложным паролем "123456", что и привело к раскрытию персональных данных 64 миллионов соискателей (тут я мог бы написать "на их месте мог быть я", так как меня когда-то не взяли на работу в Мак 🍔, но, к счастью, это было задолго до массового появления не только ИИ, но и Интернета вообще).

Интересная подборка, очень разноплановая и показывающая, насколько ИИ и ИБ тесно сейчас переплетены с разных точек зрения. Ну и вывод отсюда простой - изучайте и внедряйте в свои процессы MLSecOps, без него сегодня никуда.

#ии #mlsecops

Читать полностью…

Специалисты Лаборатории цифровой криминалистики и исследования вредоносного кода F6 выпустили собственную утилиту для дешифровки файлов, пострадавших в ходе атак программы-вымогателя Phobos.

▪️ Российские компании и физические лица, которые ранее пострадали от Phobos, теперь могут бесплатно и безопасно восстановить зашифрованные данные. Инструмент можно скачать на гитхабе F6 DFIR.

▪️17 июля был опубликован декриптор, разработанный специалистами правоохранительных органов Японии. Но эта утилита не поддерживает старые версии Windows и имеет ряд недостатков.

🔍 Впервые шифровальщик Phobos был замечен в октябре 2017 года, а активизировался с 2019 года. Вредоносная программа распространяется на киберпреступных форумах по модели RaaS (Ransomware as a Service).

➡️ Больше информации о семействах программ-вымогателей и декрипторов вы можете найти на нашем гитхабе F6 DFIR.

Читать полностью…

С точки зрения математики эти два заголовка говорят об одном и том же ⚖️ А вот с точки зрения восприятия они совсем разные - один позитивный, второй негативный. Попробуйте угадать, какой из них реально был выбран для заметки в Газета.ру? 🤔

#статистика

Читать полностью…

Даже до Кейт Бекинсейл добрались русские кибермошенники (шутка) 🧛‍♀️

#видео #юмор

Читать полностью…

А вы учли это в своей модели угроз? 😂

#модельугроз

Читать полностью…

Безопасность компании равна безопасности самого слабого звена 🔗 Всегда считалось, что речь идет о человеке. А ведь трактовать это можно и шире. Безопасность компании зависит от безопасности ваших подрядчиков 🤝

#supplychain

Читать полностью…

🇺🇿 Локализация данных обходится Узбекистану в $4,2 млрд ежегодно: Страна остаётся закрытой для 87% глобальных IT-компаний и теряет до 5,7% ВВП
🔸Жесткие требования к локализации персональных данных тормозят развитие цифровой экономики Узбекистана, ограничивают приток инвестиций и мешают интеграции в глобальные технологические процессы. Об этом стало известно из исследования Kotib AI Research.
🔸Согласно статье 27-1 Закона «О персональных данных», с 2019 года все сведения о гражданах Узбекистана подлежат обработке исключительно на серверах, расположенных внутри страны.
🔸Наиболее ощутимые потери фиксируются в следующих отраслях:
- электронная коммерция — $900–1 250 млн;
- банковский сектор — $850–1 170 млн;
- IT и стартапы — $675–975 млн;
- финтех — $575–825 млн.
🔸На узбекский рынок не выходят 87% зарубежных компаний. Среди них — PayPal, Stripe, Netflix, Spotify, AWS и Microsoft Azure. Аналитики оценивают объем упущенных инвестиций за последние три года в $1,35 млрд. Большинство современных ИИ-моделей требуют доступа к международным облачным сервисам, что делает их внедрение в Узбекистане крайне затруднительным. Это препятствует реализации национальных технологических программ, включая стратегию AI-2030.

Читать полностью…

Есть в Европе 🇪🇺 такая директива об ответственности производителя за продукцию - EU Product Liability Directive. Официально она называется Directive 85/374/EEC (Council Directive on the approximation of the laws, regulations and administrative provisions of the Member States concerning liability for defective products) и принята была еще в 1985 году. Однако сегодня ее смысл становится снова актуальным, особенно в области ИТ, цифровых сервисов и кибербезопасности 🤔

Согласно этой директиве производитель несет ответственность за ущерб, причиненный дефектом его товара (что-то похожее на наш закон о защите прав потребителей). Не нужно доказывать вину или небрежность производителя – достаточно доказать, что товар был дефектным и именно он вызвал ущерб 🛡

Сейчас директиву модернизируют и в декабре 2026 года она должна вступить в силу ✍️ На ПО, прошивки, приложения, системы на базе ИИ, IoT-устройства начнут распространяться правила, ранее действовавшие на обычные товары. И если уязвимость или ошибка приведут к физическому вреду жизни и здоровью, а также ущерб имуществу, то потребитель может требовать компенсацию 🤑

#тенденции #регулирование #оценказащищенности #ответственность

Читать полностью…

"Буревестник, нежный мечтатель, умный, тонкий, ироничный..." Да, это все про меня 🕊 Главное, чтобы канал не прикрыли, как журнал, в котором Горький опубликовал свою «Песню о буревестнике»…

#интервью

Читать полностью…

Помните, я писал про 10 ИИ-наблюдений с RSA Conference 2025? Коллеги решили разобрать 7 из полутора сотен самых интересных с профессиональной точки зрения выступлений на тему ИИ на прошедшей RSA Conference 2025. Сами презентации я уже тоже выкладывал 🤖

#ии

Читать полностью…

Я преклоняюсь перед нашими депутатами, которые даже в день своей смерти трудятся не покладая рук и голосуют за российские законы (и это не преувеличение и не шутка, а признанный факт), которые делают нашу жизнь лучше и краше 😦 Если бы законопроект о запрете передачи аккаунта третьим лицам был уже подписан Президентом, я бы спросил, как Госдума планирует наказывать тех, кто воспользовался чужим идентификатором умершего депутата. Но законопроект пока только в трех чтениях был принят депутатами и в силу не вступил 🫵

Также не вступил в силу законопроект (но принят уже в трех чтениях) законопроект об отказе в выдаче прокатных удостоверений картинам 🎬 при наличии в них "материалов, дискредитирующих традиционные ценности и (или) пропагандирующих их отрицание". Даже в ранее выданные прокатные удостоверения могут быть внесены поправки, что означает, что некоторые фильмы могут исчезнуть из онлайн-кинотеатров 🍿

А причем тут ИБ, спросите вы, и я отвечу. Смотрели культовый фильм "Хакеры" 1995-го года? 😂 Так вот эксперты (я к ним себя не отношу) считают, что парочка хакеров, "Лезвие" (Blade) и "Бритва" (Razor), являются представителями квир-сообщества, то есть отрицают традиционные ценности. В "Мистер Робот" 👾 кибертеррористка "Белая роза", глава группировки "Темная армия", на самом деле являющаяся министром государственной безопасности КНР (ха-ха), является еще и трансгендером. Сам Эллиот является наркоманом, а его босс, Гидеон, геем.

В сериале Netflix "Sense8" Номи Маркс, хакерша и политический блогер, является трансгендером 🛑 Да и сам сериал снят сестрами Ланой и Лилли Вачовски, которые до смены пола были братьями Ларри и Энди, снявшими "Матрицу". Драма "Игра в имитацию" рассказывает о жизни Алана Тьюринга, не только взломавшего шифровальную машину "Энигма", но и привлеченного к уголовной ответственности за свою гомосексуальность 👬

В сериале "Черное зеркало" 🐻‍❄️ несколько сюжетов дискредитируют традиционные ценности - "Сан-Джуниперо" про сохранение сознания любящих друг друга женщин в виртуальной реальности, "Отель "Мечта" про съемки в виртуальном мире, где одна из героинь - лесбиянка, "Бросок гадюки" про виртуальный секс двух мужиков в компьютерной игре, и т.п. 👨‍❤️‍💋‍👨

Список ✍️ можно продолжать достаточно долго, так как снятые в западном мире фильмы (я про "Гарри Поттера" вообще молчу) на компьютерную и ИБшную тематику часто далеки от русских традиционных ценностей (у нас даже сцены с курением блюрят так, что не понятно, герой или героиня суют в рот сигарету, градусник или что-то другое 😮‍💨). А значит, мы можем скоро лишиться всех этих фильмов. К пиратству не призываю, но пересмотреть советую 👺

#суверенитет #регулирование

Читать полностью…

"Безопасность не должна стоить дороже защищаемой информации" 💡 Классический тезис, который многие изучали в институте или просто читали в трудах классиков. Но если задать вопрос, а как считать стоимость защищаемой информации, тут все и пасуют. Я вот знаю с 20+ методик оценки стоимости информации, но вряд ли назову столько же компаний, которые по этим методикам живут; очень уж много там нюансов при расчете 🧮

Но может быть пора чуть изменить аксиому? "Безопасность не должна стоить дороже стоимости атаки!" 🤔 Но как посчитать стоимость атаки? Это непраздный и непростой вопрос, ответ на который попробовали дать во время прошедшего PHD в докладе "Сколько стоит вас взломать? Методика оценки себестоимости кибератаки" от Владимира Каталкова (RuTube, VK Video, Youtube, презентация) 😂

Интересная формула 🧮 Вроде и простая, но все-таки требует выстроенного процесса Threat Intelligence (или его аутсорсинга), который позволяет отслеживать составные части этой формулы в Даркнете, оценивать стоимость хакерского инструментария, уязвимостей, фишинг-китов, организации DDoS-атак и т.п. 🤕

ЗЫ. Обратил внимание, что в формуле расчета Exploit Cost есть деление на ноль, если значение Patch_Factor, то есть доступности обновлений, равно нулю 🤔

#экономика #метрики #киберпреступность #threatintelligence

Читать полностью…

Друзья!

Мы поэтапно восстанавливаем работу после кибератаки. Более 100 торговых точек «ВинЛаб» возобновили работу в Москве, Московской области, Хабаровске, Владивостоке и других городах. В течение недели сеть планирует выйти на полноценный рабочий режим во всех регионах присутствия.

На данный момент покупки в магазинах осуществляются в привычном формате: полностью сохранены ассортимент, качество обслуживания и дисконтная программа. Онлайн-сервисы постепенно возвращаются к стандартному режиму работы: сайт уже функционирует в качестве каталога, а обновленная версия мобильного приложения находится на финальной стадии модерации в магазинах приложений. В скором времени клиенты смогут в полном объеме пользоваться всеми преимуществами сети.

Спасибо вам, нашим партнерам и клиентам за оказанное доверие и поддержку в этот период. Решение группы не вступать в переговоры с киберпреступниками было единогласно поддержано всеми стейкхолдерами, что еще раз подтвердило прочность деловых отношений и взаимное уважение.

Читать полностью…

"Дочка" ЦБ, Российская национальная перестраховочная компания (РНПК) включила в покрытие по перестрахованию имущества риски поломки оборудования и перерыва в производстве в результате инцидентов кибербезопасности 😦 Как пишет "Коммерсант" они могут быть добавлены клиентом в договор и перестрахованы по результатам андеррайтинговой оценки РНПК 💱

Ранее такие риски в рамках имущественных договоров не покрывались. Как считают страховщики, они могут расширить свои договора страхования с клиентами за счет новых рисков 🤑 При этом эксперты в статье считают, что у страхования рисков не такое безоблачное будущее, как всем кажется. Тут и не всегда очевидная связь между атакой и наступлением недопустимого события, и сложность верификации самого инцидента, и снижение инвестиций в ИБ за счет увеличения вложения средств в страховое покрытие 🤔

Но в любом случае будем посмотреть. Сам факт не может не радовать - он говорит о росте зрелости рынка ИБ ↗️

#киберстрахование

Читать полностью…

Месяц назад сеть магазинов 12Storeez столкнулась с инцидентом ИБ 🔓 и, как по мне, очень грамотно отработала его в публичном поле. На этом можно было бы и завершить эту историю, но производитель одежды решил пойти дальше и... фанфары, поделился результатами своего расследования в Instagram-стиле, что придает определенную пикантность этой истории, когда брутальные и страшные ИБ-рассказы облекаются в мимишную форму 🥰

Магазин запилил у себя в 📱 рассказ о том, что произошло, почему это произошло, сколько потеряли, сколько мошенники требовали выкуп и почему не стали его платить, а также почему об инциденте написали не сразу, а спустя 7 дней. Не со всем лично я могу соглашаться, но за открытость и форму подачи прямо респект 👏

По количеству лайков тоже можно судить, что пользователям понравилась позиция компании 👍 На мой взгляд это хороший пример, когда даже факап можно превратить в победу, усилить бренд и поднять лояльность клиентов, которые видят, что от них ничего не скрывают и не обманывают. В B2B-сегменте, как мне кажется, будет схожая история.

#антикризис

Читать полностью…

И вновь о качестве работы СМИ 📰 Я уже привык к тому, что знание русского языка у представителей российских СМИ катастрофически падает и встретить слово "соответсвующие" в тексте не является чем-то из ряда вон выходящим. Такое впечатление, что СМИ не знают, что такое spellchecker и что можно пропускать тексты через GPT-сервисы в целях проверки согласованности падежей и склонений. Но сейчас не об этом... 🤔

Про канал Baza, который написал про банкротство компании Knights из-за атаки шифровальщика спустя 2 года с момента наступления самого события, я уже писал. Такой вот фактчекинг. А теперь про "рупор отечественной ИТ-журналистики" 📣 - CNews, который опубликовал очень тенденциозный текст под заголовком "Россиян погнали из сообщества Python. Пока только избранных, но критерии отбора до предела странные" 🚽, в котором с фактчекингом тоже все не очень. CNews вообще отличается этим - однобокостью в описании темы, отсутствием перекрестной проверки фактов, попытки выдать единичные факты за тенденцию и определенной желтушностью, которая привлекает внимание. Фу быть такими 🤠

Но вернемся к статье Синуса. Это полная лажа и вранье 🤥 - никто россиян не гнал из сообщества Python. В канале ESCalator опубликовано 4 заметки, которые раскрывают, что именно произошло, причем тут Россия и что с этим всем делать. Если вкратце, кто-то с адресами на российских почтовых серверах решил создать фейковые 🎭 репозитории и библиотеки с целью обмануть ИИ-сервисы, которые потом будут выдавать их в своей выдаче. Недавно такая фигня была обнаружена применительно к фейковым Github-репозиториям. И PyPi предсказуемо заблокировал адреса, с которых регались мошенники, как год назад он делал с адресами Microsoft 📱

Не зря в российской Cisco был запрет на работу с CNews. Когда СМИ публикует лажу, отказывается признавать этот факт, а за опровержение требует денег, - это непрофессионализм. А когда такое повторяется несколько раз - это уже диагноз. И видно, что за эти годы издательство не поменяло свою политику 🖕

#сми #ии

Читать полностью…

Подписчик прислал, за что ему спасибо, новость от канала Baza про банкротство английской компании 🚚 из-за действия шифровальщика. Это классно, когда такие каналы на 1,5 миллиона подписчиков начинают поднимать тему ИБ, но все-таки обращу внимание, что этой "новости" уже 2 года и на месте сайта пострадавшей компании уже давно какая-то хрень публикуется 🎰

Но сам факт, конечно, примечателен 🚨 Очередной факт банкротства из-за кибератаки, которых становится все больше и больше. В Армении, на конференции Центрального банка, в кулуарах я общался с Адрианом Санабрия (Adrian Sanabria), который ведет список компаний, обанкротившихся под воздействием инцидента ИБ ❌ Knights как раз последняя у него в списке. Однако, справедливости ради скажу, что все-таки список кажется мне неполным. Я публиковал уже (тут, тут и тут) имена таких несчастливчиков и их больше, чем упоминает Адриан.

Да, недооценка вопросов ИБ может обойтись дорого для бизнеса. По данным отчета Verizon DBIR 2024 60% малых компаний после серьезной инцидента закрываются навсегда! ❌

#недопустимое #сми #ущерб

Читать полностью…

Немного попытался разобраться с новым законопроектом о наказании за поиск в Интернет экстремистских материалов 🔍 На самом деле в этом пакете (а там два законопроекта) есть более интересные статьи. Например, использование VPN будет теперь считаться отягчающим обстоятельством в уголовном судопроизводстве 😡

#суверенитет #vpn #ответственность #регулирование

Читать полностью…

Обещанный краткий обзор своей статьи в Journal of Innovations по модели угроз для цифровых двойников

Читать обзор

Читать полностью…

Офис директора национальной разведки США 🇺🇸 снял гриф секретности и опубликовал доказательства отсутствия вмешательства России и "русских хакеров" в американские выборы 2016-го года, а также раскрыл доказательства, что администрация президента Обамы плела нити заговора с целью подорвать победу Дональда Трампа на предпоследних президентских выборах 🎩

ЗЫ. Эх, такую историю развенчали... Теперь придется из презентаций убирать слайд про влияние хакеров на историю человеческой цивилизации в целом и США в частности 🥷

#геополитика

Читать полностью…

Автор так бесящих 😠 рекомендаций по выбору надежных паролей Билл Бёрр, бывший сотрудник NIST, еще в 2017-м году признался, что он жалеет, что в 2003 году написал приложение А к рекомендациям NIST SP800-63, в котором и предложил, чтобы пароли содержали символы в разных регистрах, спецсимволы, цифры, а также менялись раз в три месяца. Вышедший на пенсию Бёрр признал, что сожалеет о большей части своих рекомендаций 🥺

А вы уже начали пересматривать свои рекомендации по выбору паролей? 🤔

#аутентификация

Читать полностью…

Интересные цифры, демонстрирующие отрицательное влияние законодательства о персональных данных Узбекистана 🇺🇿 на экономику страны, ее развитие и инновации. Чем-то схожая история с оценкой ущерба от влияния законодательства о куки в Европе 🇪🇺

#персональныеданные #экономика #ущерб

Читать полностью…

Очередное, но интересное исследование шифровальщиков 😷, авторы которого объясняют, что популярная "метрика" – число опубликованных требований выкупа или утечек на DLS-сайтах – сильно искажает реальную картину и это может привести к неверным выводам и принятым решениям 👨‍💻

Во-первых, не все жертвы попадают на DLS-сайты 🤐 Есть "тихие" случаи, когда выкуп платят сразу, и данные не появляются нигде; а есть наоборот – когда группировка не успевает выложить данные или сайт ликвидируют правоохранители. Иногда группировки могут и вовсе "рисовать" фейковые требования или запускать утки и дезу 🫢

По данным Sekoia (аналитики, которых цитирует статья), в 2023 году было зафиксировано 5200 жертв на сайтах, публикующих данные по утечкам 😭 Это +55% к 2022 году, что выглядит как "рост". Но параллельно число расследованных реальных атак, включая не попавшие на Leak Sites, по их же данным – на 50% больше, чем цифра "по витрине". Все это вводит в заблуждение при оценке динамики – можно недооценить или переоценить активность ⚖️

Между атакой, публикацией требований выкупа и появлением записи на Leak Site часто проходит от нескольких дней до нескольких недель, а иногда и месяцев 🗓 Например, в некоторых группах между датой заражения и публичным "сливом" может быть задержка 30–60 дней – все это время компания может вести переговоры или решать проблему тихо. Это значит, что если в марте ты видишь резкий всплеск публикаций – часть этих атак реально произошла еще в декабре-январе 🔥 При разборе 5200 кейсов Sekoia отметила, что почти 25% атак, попавших на Leak Site в 2023 году, фактически случились во второй половине предыдущего года, но попали в статистику позже.

Счетчик жертв — это не "реальное сейчас", а срез с лагом, который зависит от моделей шантажа, стиля группировки и скорости публикации. У среднего ransom-инцидента лаг до публикации – около 44 дней 🕐 Временные лаги сбивают понимание реального тренда. Если оценивать ransomware-тренды только по свежим постам киберпреступников, можно спокойно проспать волну атак, которая уже идет, но не "подсвечена" в Leak Site. Если считать жертв по месяцам, можно сделать ложные выводы — "о, новый шифровальщик активизировался в апреле!". А атака реально произошла в феврале, а то и в декабре.

Поэтому, для тех же аналитиков SOC и CISO важно учитывать контекст:
➡️Кого бьют (сектора и индустрии)
➡️Методы проникновения
➡️Методы распространения вредоноса внутри сети
➡️Способы давления на жертву.

Что делать: 🤔
➡️Не полагаться только на Leak Sites — расширять мониторинг.
➡️Интегрировать телеметрию по событиям в собственной инфраструктуре.
➡️Использовать Threat Intel не ради "таблички с цифрами", а чтобы понять тактики и их эволюцию.

И тут, кстати, мог бы помочь сбор глобальной аналитики ИБ-вендорами 🔭 Когда к ним данные стекаются из сотен и тысяч заказчиков, каждый из них начинает видеть гораздо больше, чем ранее в одиночку. У нас это пока не очень развито - вендора часто вообще не только не знают, как используются их продукты в инфраструктуре заказчика, но и не могут на основе телеметрии улучшать качестве детекта в своих продуктах. Такое пока только у Касперского с KSN, поставщиков услуг MDR/SecaaS и регуляторов в лице НКЦКИ/ФинЦЕРТа/РКН. Но движение в эту сторону идет 🚶‍♂️

#ransomware #статистика #threatintelligence

Читать полностью…