Пост Лукацкого

27 Aug 2025 11:34

Яндекс 🔴 оштрафован за непредоставление доступа ФСБ к "Умному дому" Алисы (дело 05-0655/425/2025). Помимо этого Яндекс получил штрафы за не доступ к:
➡️ магазину (дело 05-0656/425/2025)
➡️ календарю (дело 05-0654/425/2025)
➡️ локатору (дело 05-0651/425/2025)
➡️ комментариям (дело 05-0650/425/2025)
➡️ чату (дело 05-0649/425/2025)
➡️ метрике (дело 05-0638/425/2025).
Во всех случаях штраф составил 10 тысяч рублей 🤣

Какие выводы можно сделать из этого вороха однотипных событий?
6️⃣ ФСБ хочет вторгнуться в нашу личную жизнь и контролировать все, что только может!
2️⃣ ФСБ развернула у себя data lake и научилась анализировать огромные объемы данных, сопоставляя их между собой, и строя цифровой профиль гражданина
3️⃣ Яндекс стоит на страже приватности своих пользователей и показывает 🖕 спецслужбе
4️⃣ Яндекс начинают потихоньку "давить", чтобы купить актив по дешевке и слить с VK, создав единого национального провайдера всего и вся прикладного и подконтрольного государству
5️⃣ Яндекс умеет считать деньги и готов платить ничтожные штрафы за несоблюдение законодательства.
6️⃣ ВК все доступы к "Марусе", Max'у и другим сервисам давно уже сдал.
7️⃣ У нас перед законом все равны; даже крупный энтерпрайз!

А вам какой вариант кажется более реалистичным? 🤔

#ответственность #приватность

Пост Лукацкого

26 Aug 2025 19:35

Знакомо, да?.. 😎

#антикризис #юмор

Пост Лукацкого

26 Aug 2025 11:34

18 августа Винлаб 🍷 официально сообщил, что компания восстановила свою деятельность после атаки, начавшейся в середине июля, когда Винлаб признал факт несанкционированного воздействия на свои онлайн и физические активы. Компания не раскрывает деталей инцидента, но крупными мазками указывает, что она будет делать для улучшения своей системы ИБ 🍷

Эксперты при этом пытаются оценивать убытки, понесенные компанией в результате этой "мелочи", как часто рассматриваются кибератаки бизнесом 🏝 Например, Алексей Чеканов оценивает один день потери Винлаба в 65 миллионов рублей, используя два метода, вычитания (более простой) и сложения (более сложный). Об аналогичной процедуре подсчета (на примере гипотетической кофейни) писала Ника у себя в канале 🧮

В Ведомостях писали про ущерб в 1,5 миллиарда рублей, но откуда взята эта цифра не очень понятно 🤑 Ее озвучили уже спустя 3 дня после опубличивания факта инцидента. Мой коллега прислал мне оценку убытков "в 0,3-0,5 млрд руб. (5%-8% от чистой прибыли 2025 года) с потерей 1%-1,5% роста выручки". Если учесть, что график, отображающий снижение размера потерь 📉 по мере восстановления магазинов сети Винлаб, будет похож на степенное убывание (убытки постепенно "затухают"), то можно предположить, что максимальные убытки в начале инцидента будут быстро снижаться к его финалу, а значит на круг, за месяц, сумма потерь может составить от 1,3 до 1,5 миллиардов (точное значение зависит от показателя степенной кривой, который зависит от того, как быстро идет восстановление продаж в оффлайне и в онлайне в начале инцидента и с течением времени) 🧮

ЗЫ. Не претендую на точный математический расчет, но цифры потерь все равно кажутся мне достаточно значительными даже если речь идет о нижней границе расчета 🤔 Ну и не забываем про иные формы потерь.

#антикризис #ущерб

Пост Лукацкого

25 Aug 2025 15:42

Процент выполнения нацпроектов по состоянию на август. Кибербез смотрится вполне себе неплохо, на 3-м месте среди всех проектов «Экономики данных» 🥉, но… Если по итогам года показатель достигнет 100%, можно ли будет говорить о том, что с кибербезом в стране все хорошо? Или что цели нацпроекта выбраны неверно? Или что государство преследует цели 🎯, отличные от тех, что важны гражданам и бизнесу?

И вообще, как измеряется 🛍 достижения целей? По освоенным бюджетам (пока выглядит именно так) или все-таки есть более значимые результаты, к которым мы стремимся? Да, они есть, но с прошлой заметки туман вокруг трех целей нацпроекта «Кибербезопасность» не рассеялся 😶‍🌫️ Будем посмотреть по итогам года. Ждать осталось недолго ⏳

#экономика #метрики

Пост Лукацкого

25 Aug 2025 06:40

Теперь уже можно рассказать всю историю, завесу над которой я приоткрыл на "юридической" дискуссии PHD и которая была подсвечена Машей у себя в канале. В ноябре 2023 года я получил официальную претензию от компании "Ред Софт" 👨‍💻 Поводом для нее стал мой сентябрьский пост о киберучениях и обсуждении реальных кейсов, связанных со взломами и угрозами в цепочках поставок. В материале упоминался случай с "Ред Софт", который вызвал негативную реакцию компании и послужил основанием для предъявления мне требований об удалении публикации и размещении публичного опровержения 👨‍💻

После моего отказа это сделать началась судебная эпопея, продолжавшаяся без малого полтора года: 🧑‍⚖️
➡️ 12 февраля 2024 года "Ред Софт" подало иск о защите деловой репутации в Арбитражный суд г. Москвы.
➡️ 10 июля 2024 года суд первой инстанции отказал в удовлетворении требований.
➡️ 21 октября 2024 года апелляционная инстанция подтвердила это решение.
➡️ 6 февраля 2025 года кассационный суд вновь оставил решение без изменений.
➡️ 2 июня 2025 года Верховный суд РФ окончательно отказал "Ред Софт" в передаче жалобы для рассмотрения.
После этого все сроки обжалований были исчерпаны. Дело завершилось победой в мою пользу ✌️

Почему эта история не только моя?! 🤔 Вопрос ведь не в том, что "Ред Софт" подал на меня в суд. Вопрос в том, что такие истории – это инструмент давления на тех, кто освещает инциденты ИБ и утечки данных. Любой эксперт или журналист, который пишет ✍️ о взломах, утечках и уязвимостях, сталкивается с риском: компании не хотят, чтобы эти факты становились достоянием общественности. Вместо того чтобы честно разбираться в причинах проблем и устранять их источники, некоторые пытаются пойти по пути запугивания. Сначала – претензии, потом – судебные иски 👩🏼‍⚖️

Но что это означает для отрасли? Если мы замолчим, то завтра любая крупная компания сможет скрыть факт взлома или утечки, прикрывшись угрозой судебного разбирательства 🤐 Цель таких исков проста – запугать, заставить замолчать, стереть неудобную информацию. Но информацию о реальных инцидентах скрывать нельзя. Без ее публичного обсуждения невозможно ни совершенствование отрасли, ни формирование у клиентов правильного понимания событий с негативными последствиями 😶

Информация о киберинцидентах должна становиться публичной: 👨‍💻
➡️ Это позволяет заказчикам лучше понимать риски.
➡️ Это заставляет производителей повышать качество своих решений.
➡️ Это формирует культуру прозрачности в отрасли, без которой доверие к "цифровой экосистеме" невозможно.

Когда мы говорим о взломах – мы не "портим репутацию", мы защищаем будущих клиентов и пользователей.

ЗЫ. Интересно, а этот пост тоже является нарушением деловой репутации?.. 🤔

#ответственность

Пост Лукацкого

24 Aug 2025 16:40

Опять пришли покупатели, алчущие канал прибрать к рукам своим загребущим 🖕 В июле они же интересовались статистикой канала по безопасности АСУ ТП, тоже желая его выкупить 🤑

Видимо борьба с криптоскамом ❗️ в Телеге дает свои плоды (я, по крайней мере, давно не видел крипто рекламы в каналах и комментариях) и мошенники используют новые схемы в виде покупки каналов с базой подписчиков, которым можно впарить доход 200% 📈

#мошенничество

Пост Лукацкого

21 Aug 2025 09:20

С распределением количества аналитиков в SOC вроде все понятно. А вот второй график из отчета по состоянию SOCов достаточно интересен – он показывает переход от "карьера и деньги" к "смыслу и признанию" в мотивации аналитиков центром мониторинга. Эксперты в них перестают быть просто "операторами на телефоне" и хотят видеть реальную ценность своей работы. Задача руководителей SOC – создать условия, где все три фактора (деньги, рост, смысл) уравновешены.

1️⃣ Деньги. В 2022–2023 значимость денег слегка снижалась (с ~22% до 20%). В 2024 наблюдается рост интереса, но к 2025 снова небольшой спад. Вывод: деньги остаются важным фактором, но не главным. Они выполняют скорее роль “гигиенического фактора”: отсутствие достойной оплаты вызывает сильное недовольство, но рост зарплаты не всегда приводит к росту мотивации.

2️⃣ Карьерное развитие (Career Progression). В 2022–2023 это была ведущая мотивация (~32%), но затем интерес сильно падает к 2024 (~22%). В 2025 снова рост, но не до исходных значений. Вывод: после начального энтузиазма у аналитиков SOC наступает разочарование – они не видят быстрых карьерных перспектив. Но в долгосрочной перспективе карьерный рост снова становится важным, если появляются реальные возможности внутри компании.

3️⃣ Осмысленная работа (Meaningful Work). В 2022 мотивация была относительно низкой (~16%), но к 2024 она резко выросла (до 27%) и стала лидирующей. В 2025 немного снижается, но остается на высоком уровне. Вывод: сотрудники SOC все больше ценят не только карьеру или зарплату, но и осмысленность своей работы – ощущение, что они реально защищают компанию и влияют на результат.

Отсюда вытекают вполне практические советы для менеджеров SOC:
1️⃣ Балансируйте факторы мотивации. Зарплаты должны быть конкурентными, чтобы не вызывать недовольства. Но удерживать людей только деньгами не получится — нужны карьерные пути и признание значимости работы.
2️⃣ Стройте прозрачные карьерные треки. Создавайте горизонтальные и вертикальные пути развития: рост внутри SOC (младший → старший аналитик → тимлид), переход в смежные роли (реагирование на инциденты, форензика, threat hunting, threat intelligence). Показывайте реальный опыт сотрудников, которым удалось вырасти.
3️⃣ Делайте работу более осмысленной. Показывайте аналитикам SOC, как их действия предотвращают реальные угрозы (кейсы "мы предотвратили потерю N миллионов"). Вовлекайте в расследования и имитации атак (red team, purple team), чтобы они видели результат. Давайте возможность работать с современными технологиями (ИИ, автоматизация, threat intelligence) — это повышает чувство значимости.
4️⃣ Инвестируйте в обучение. Организуйте программы повышения квалификации, участие в конференциях, сертификации. Это одновременно поддерживает карьерные ожидания и укрепляет ощущение ценности работы. В понедельник уже писал про курс для аналитиков SOC, который мы запускаем.
5️⃣ Снижайте рутину. SOC часто выгорают от “рутины”. Автоматизация и использование SOAR/ИИ-систем помогает аналитикам фокусироваться на сложных, интересных кейсах, а не на монотонном "click-open ticket-close ticket-repeat” 🤔

#soc #работа

Пост Лукацкого

20 Aug 2025 09:35

Пример набора операционных и стратегических метрик для управления уязвимостями 😵 Достаточно неплохой пример. Операционные метрики (MTTR, Patch Success Rate, SLA Adherence и т.д.) нужны для оперативного управления процессом: показывают, насколько эффективно работают SOC, SecOps и IT-команды 🛠 Это уровень “внутренней кухни”. Стратегические метрики (Exposure Window, Attack Surface, % of High-Risk Remediated и т.д.) – для топ-менеджмента и совета директоров: они связывают уязвимости с бизнес-рисками и критичными активами 🧐 Практический смысл в таком делении – не путать аудитории. Технические метрики не стоит нести на уровень CEO, а стратегические – недостаточно детальны для инженеров.

MTTR или SLA Adherence можно показать как “внутренние шестеренки” ⚙️, а стратегический Trend in SLA/MTTR for Critical Systems – это их бизнес-проекция. Patch Success Rate на операционном уровне может конвертироваться в стратегическую метрику % of High-Risk Vulnerabilities Remediated 🗡 Scan Coverage / Frequency напрямую влияет на Attack Surface Growth/Reduction. Смысл в том, что метрики не изолированы, а выстраиваются в цепочку. Улучшение операционной метрики дает улучшение стратегической 🔗

Операционные метрики дают картину “где мы сейчас” и помогают устранить узкие места: например, высокий Reopen Rate → плохое качество фиксов, значит нужно усиливать тестирование патчей 🧑‍💻 Стратегические метрики помогают принимать ресурсные решения: куда тратить усилия в первую очередь. Например, Asset Criticality-Adjusted Metrics и Composite Risk Scores позволяют понять, что чинить сначала. Практический смысл в том, что тактические команды оптимизируют процессы, стратегические метрики помогают руководству решать, куда вкладывать бюджеты и усилия 🤑

MTTR и Discovery-to-Fix Time показывают скорость. 🔜 Но если просто “гнаться за временем”, можно ставить “костыли”. Стратегические показатели вроде EPSS-Based Prioritization Rates или Composite Risk Scores показывают: важнее не скорость вообще, а скорость закрытия именно эксплуатируемых, трендовых и бизнес-критичных уязвимостей. Результат тут тоже очевиден – команды не должны отчитываться только цифрой “мы закрыли 95% уязвимостей за неделю”, если эти 5% оставшихся – самые критичные 👨‍💻

На базовом уровне компания ограничивается операционными метриками: “мы сканируем, мы чиним, мы соблюдаем SLA”. На зрелом уровне компания переходит к стратегическим метрикам: “мы понимаем, сколько критичных активов под риском и какой бизнес-ущерб возможен” 🛡 Такой набор позволяет показать дорожку развития процесса управления уязвимостями – от тактической эффективности к бизнес-ценности.

#оценказащищенности #метрики

Пост Лукацкого

19 Aug 2025 09:26

Что показывает этот график доли организаций, которые отправляют все данные в SIEM/syslog, из отчета по состоянию SOCов? Явная динамика ↗️
➡️ 2023 — 28,5%
➡️ 2024 — 37,7%
➡️ 2025 — 42,2%
Видно, что за два года доля выросла почти на 14 процентных пунктов, то есть компании все чаще стремятся к полной централизации логов.

Как это можно интерпретировать: 🤔
1️⃣ Растущая централизация ⭐️ Организации пытаются собирать в SIEM/syslog максимум данных. Это связано с давлением со стороны регуляторов, развитием практик threat hunting и ростом зрелости SOCов.

2️⃣ Желание "не упустить ничего" 😱 SOC все больше осознает ценность нетиповых источников (IoT, SaaS, облака, OT). Чтобы не пропустить след атаки, они отправляют "все подряд".

3️⃣ Проблемы и риски 👩‍💻 Во-первых, стоимость. SIEMы традиционно тарифицируются по объему. Чем больше логов, тем выше чек. Во-вторых, шум. При загрузке "всех данных" SOC сталкивается с лавиной нерелевантной информации, что увеличивает нагрузку на аналитиков. Наконец, вопрос к стратегии. "Собрать все" ≠ "получить пользу из всего". Настоящая ценность появляется тогда, когда есть фильтрация, корреляция и аналитика 🧑‍💻

4️⃣ Скрытая динамика 📈 Несмотря на рост, показатель в 42,2% в 2025 году означает, что большинство компаний все же не отправляют все. Вероятно, они фильтруют трафик (например, оставляют только связанные с ИБ события или метаданные), используют data lake как буфер, или применяют решения типа log management отдельно от SIEM 🖥

Практические выводы из этого графика можно сделать следующие: 🔩
➖ Для SOC-менеджеров. График можно трактовать как сигнал – если отправляете все в SIEM, нужно задуматься о стоимости и оптимизации (например, через data lake + выборочные коннекторы).
➖ Для вендоров. Рынок явно движется в сторону необходимости дешевого хранения и анализа больших объемов данных (архитектуры "SIEM + data lake").
➖ Для бизнеса. Важно понимать, что "централизация" – тренд, но без стратегии обработки данных это превращается в дорогое хранилище шума 🛒

Если коротко: график – это индикатор роста централизации логов, но вместе с тем и предвестник будущих проблем, если компании не будут внедрять умные механизмы фильтрации и аналитики.. 🤔

#soc #siem

Пост Лукацкого

18 Aug 2025 09:10

Я уже писал про всяческие SOC-активности, в которых я подвязался. Одна из них, стартующий в октябре новый курс "Построение SOC 2.0: от концепции до реализации" 👨‍🏫 от Positive Technologies, где мы с коллегами собрали программу, которая шаг за шагом проведет через все этапы создания современного центра мониторинга: от выбора концепции и архитектуры до выстраивания процессов, команды и интеграции технологий.

🔍 В основе курса – практический опыт, реальные кейсы и проверенные методики. Мы разбираем, как уйти от подхода "тушения пожаров" к проактивной защите, способной отражать реальные атаки и адаптироваться под новые угрозы. У меня там тоже несколько тем будет - про дашборды, архитектуру, сервисную стратегию, метрики и вот это вот все 📈

📆 Старт обучения – 6 октября 2025.
💡 Подробности и регистрация: edu.ptsecurity.com/building_soc

#soc #обучение

Пост Лукацкого

17 Aug 2025 15:10

Обнаружена скрытая невиданная хакерская мощь GPT-5
Модель встроили в автономного пентест-агента — и получили «агента 007» для кибервзломов
OpenAI в своей системной карте скромно пишет: на киберполигоне GPT-5 показывает уровень примерно как и у прежних моделей, «не достигая порога высокого киберриска».
Но вот что вышло у экспертов XBOW, когда они «посадили» GPT-5 в автономного пентест-агента — дали инструменты, координацию и автоматическую проверку находок.

Итог:
• почти вдвое больше взломанных уникальных целей за то же время;
• рост успешности с 55% до 79%;
• путь к эксплойту короче (медиана 17 шагов vs 24);
• по классу file-read — 0% ложных тревог против 18% раньше.

Проще говоря, движок тот же, но будучи поставленный на правильную машину, он превращает её в болид «Формулы-1».

1.  Возможности системы – это НЕ ее способности в изоляции. 
2.  Истинный риск – это не риск модели, а риск произведения: модель × инструменты × оркестрация. 

Пост Лукацкого

17 Aug 2025 10:11

Всем привет! У меня снова необычные и вдохновляющие новости 🤠 Меня выставили на благотворительном аукционе Meet For Charity – и у вас есть уникальный шанс выиграть личную встречу со мной!

Это уже не первый мой опыт. В 2023 году в рамках Meet For Charity был проведен аукцион, на котором меценат (пожелавший остаться анонимным) заплатил 250000 ₽ за ужин со мной 🤑 Вся сумма пошла в фонд "Милосердие детям". Торги были жаркими – за три дня ставка выросла с 50000 до 250000 рублей. Победитель получил возможность обсудить любые вопросы о кибербезопасности и побывать на киберфестивале Positive Hack Days в Парке Горького с персональной экскурсией ☕️ И вот я участвую в благотворительном аукционе снова.

Meet For Charity – крупнейший в России аукцион встреч с известными людьми и экспертами, который с 2016 года собрал уже более 300 миллионов 🪙 на благотворительность. В аукционе принимали участие многие известные люди, такие как: актер Александр Петров (было собрано 110 тыс. рублей), режиссер Федор Бондарчук (80 тыс. рублей), народный артист России Слава Полунин (290 тыс. рублей). В пролшом году был даже установлен рекорд по ставке: 3,9 млн рублей за встречу с министром цифрового развития РФ Максутом Шадаевым 🧐

Если хотите поговорить о будущем технологий, киберугрозах или просто узнать, чем живет эксперт в ИБ – присоединяйтесь. Ваша ставка станет вкладом в благородное дело. Собранные по итогам аукциона средства будут направлены в фонд Провидение 🆘

📌 Ссылка на текущий аукцион:
https://meetforcharity.today/lots/aleksey_lukackiy_-_biznes-konsultant_po_informacionnoy_bezopasnosti_positive_technologies_202508

Спасибо каждому, кто присмотрится, сделает ставку или просто расскажет друзьям! Пусть ИБ станет ближе и интереснее 🤝

Пост Лукацкого

16 Aug 2025 13:39

Центр правительственной связи Его Величества (GCHQ) 💂 выпустил ограниченную серию конструктора Lego из 17000 деталей, который позволяет собрать известный "пончик", здание секретной спецслужбы 🍩 Интересно, является ли это раскрытием государственной тайны? 🤔

#геймификация

Пост Лукацкого

15 Aug 2025 19:46

Тоже самое управление ООН разработало и кооперативную настольную командную игру CyberStrike 🎲 для 4-6 игроков, в которой участники должны разработать общую стратегию борьбы с киберпреступностью. Постоянно меняющийся ландшафт игры требует от игроков критического мышления, внимательного слушания, перехода от руководящей роли к вспомогательной в зависимости от необходимого набора навыков, прогнозирования последствий и формулировки возможных решений 🎮

Требуя от игроков совместной работы, игра также укрепляет их навыки функционирования в команде 🃏 В Cyberstrike либо все выигрывают, либо все проигрывают – нет одного победителя. Успешная глобальная команда должна пройти десять раундов геймплея, чтобы выиграть. Карточки с инструкциями, правила игры, игровое поле и другие игровые материалы выложены в открытом доступе на русском и английском языках на сайте ООН 🕹

#геймификация

Пост Лукацкого

15 Aug 2025 11:34

15-минутный опросник от Google для оценки 🧮 зрелости SecOps-процессов, технологий и команды. Не заполняйте с рабочих IP-адресов, чтобы не сообщить недружественному государству информацию о своей защищенности! 🤔

#soc #maturity

Пост Лукацкого

27 Aug 2025 06:40

У Алексея в комментариях к посту про ВинЛаб и у меня продолжилось обсуждение размера убытков от инцидента ИБ Винлаба 🍷 Алексей даже выложил табличку Excel с примером своего расчета, по которому выходит 1,5 миллиарда потерь за месяц простоя магазинов. Так вот если посмотреть на эту табличку, то Алексей предположил свой "график" возвращения магазинов в рабочий режим (этих данных в Интернет вроде как нет) 📈 Но в реальности все будет зависеть от скорости восстановления бизнеса, что с точки зрения математики будет определяться коэффициентом степенной кривой.

Если он малый (<0,5), то восстановление идет медленно 🚶‍♀️ в начале, эффект от мер долго не виден, зато потом ускоряется (например, нужно время, чтобы наладить логистику, потом сразу много магазинов восстановили). Если значение коэффициента ближе к 1, то восстановление идет равномернее, потери сокращаются более предсказуемо. Наконец, если значения коэффициента в среднем диапазоне (0,5-0,7), то мы имеем сбалансированный сценарий – сначала большой удар, потом постепенное улучшение 📈

Значение этого коэффициента на практике зависит от множества параметров:
➡️ Масштаб инцидента. Если затронута вся сеть, кривая ближе к "медленной" (малое значение коэффициента).
➡️ Скорость реакции компании. Быстрые организационные меры и экстренные ресурсы сдвигают коэффициент вверх.
➡️ Наличие резервных систем. Чем больше резервов (ИТ, логистика, персонал), тем ближе к линейной динамике (коэффициент примерно равен 1).
➡️ Внешние факторы. Если поставщики, регуляторы, СМИ, конкуренты мешают восстановлению, то кривая дольше остается "плоской" 🛒

Не зная всех этих параметров, оценивать размер ущерба в виде недополученной прибыли можно только приблизительно 📉

#ущерб

Пост Лукацкого

26 Aug 2025 15:49

Как вы уже поняли, правильный ответ на вчерашний опрос будет "нет, не надо", потому что никакого отношения к тому, в какую сторону движется солнце принцип follow the sun не имеет 🌤 Он всего лишь показывает, что команды аналитиков SOC находятся все время в дневных часовых поясах и за счет географического распределения команд по, обычно, трем локациям (Америка, Европа, Азия), достигается возможность круглосуточного анализа инцидентов без работы в ночных сменах. А в южном полушарии или в северном находятся SOCи, не так уж и важно 🌎

А что же тогда в России? 🇷🇺 Формально, в одной стране, даже большой и "растянутой" на несколько часовых поясов (как Россия или даже США), классический принцип follow the sun реализовать сложно. Обычно SOC в стране все равно строится централизованно 🛡 – в одном крупном городе (Москва, Петербург, Казань, Новосибирск и т.п.). Даже если компания присутствует во всех регионах, SOC стараются тянуть в "центр силы" ради кадров и инфраструктуры. Все-таки поддерживать полноценные SOC в каждом регионе слишком дорого: нужно дублировать инфраструктуру, процессы и кадры 🤑

Чтобы схема follow the sun работала, нужно иметь в каждом 3-4-м часовом поясе (или хотя бы в 3–4 крупных регионах: Дальний Восток, Сибирь, Москва, Калининград) полноценные команды SOC с сопоставимой экспертизой 👨‍💻 На практике в большинстве регионов просто нет такого количества специалистов. Можно, конечно, релоцировать их туда с семьями, но это могут позволить себе не очень много компаний в стране. Да и вряд ли кто-то будет это делать для аналитиков первой линии с их ротацией на уровне 80-90% в год. Вахтовый метод для аналитиков SOC тоже вариант, но я, честно, не слышал о его применении в ИБ 🤔

Чаще всего в России SOC просто работает посменно 24/7 из одного города (Москва или соседние часовые пояса) 🧑‍💻 Это называется, по аналогии, follow the moon. Некоторые крупные компании и ведомства могут использовать (и используют) распределенные мини-SOC или дежурные группы в регионах, чтобы частично "разгрузить" ночные смены. Например:
➡️ ночью (по Москве) работают аналитики на Дальнем Востоке или в Сибири; 🌙
➡️ днем (по Москве) – основная команда в столице.
Это не совсем "follow the sun", но похоже на региональное распределение нагрузки.

Помню, проектировали мы SOC для крупной нефтяной компании 🛢 Так вот там в архитектуру мы закладывали основной SOC в Москве, 5 региональных центров компетенций и экспертизы в основных регионах присутствия компании (на них ложилась, в-основном, функция DFIR), и особняком был спроектирован SOC для зарубежных дочерних предприятий (с учетом локальной регуляторики) 🗺

Резюмируя. Внутри одной страны принцип follow the sun в чистом виде почти не применим 👎 Это концепция именно глобальных SOC, где есть офисы в Европе, Америке, Азии, или, как у Позитива, клиенты, помимо России, в Южной Америке, на Ближнем Востоке, в Юго-Восточной Азии 🟥 В остальных случаях чаще используют смесь подходов: централизованный SOC с классическими ночными сменами (follow the moon) + отдельные региональные дежурные группы, которые помогают сгладить пики нагрузки.

#soc #архитектура

Пост Лукацкого

26 Aug 2025 06:40

Перед отпуском был я на одном мероприятии, где модерировал секцию по SOCам. И один из участников в рамках дискуссии упомянул, что у них смены аналитиков построены по принципу follow the sun ☀️ И что-то цепануло меня это упоминание, так как оно явно было использовано некорректно. А так как я сейчас готовлю материалы к нашему курсу по SOCам, то я решил чуть поразмышлять и тут (не все же смогут к нам записаться – количество мест ограничено) 🤔

Напомню, "follow the sun" 🌞 – это модель организации работы SOC (или любых служб мониторинга/поддержки), при которой круглосуточное дежурство обеспечивается за счет распределенных команд в разных часовых поясах. Вместо классического "ночного дежурства" в одной стране, аналитики передают смену коллегам в другой части мира, где сейчас рабочий день 🌤

Обратили внимание на этот важный момент? Аналитики работают только в свое "дневное" время, но благодаря распределению SOCов по регионам (например, Европа → Америка → Азия) компания получает круглосуточный мониторинг ⌛ Отсутствие ночных смен и непрерывной работы в стрессовой среде приводит к снижению выгорания работников SOC. Это приводит и к повышению качества анализа, так как аналитики более внимательны в дневное время и совершают меньше ошибок 👩‍💻

Работает эта схема обычно в глобальных корпорациях, имеющих офисы по всему миру, или у MDR-провайдеров, обслуживающих клиентов в разных странах и часовых поясах 🌎

Ключевой момент в организации follow the sun – модель передачи смены 🤝 Нужно выстроить процессы так, чтобы инциденты не терялись при передаче в другую команду, для чего применяются:
➡️ более детальные отчеты по инцидентам, чем обычно (shift handover reports),
➡️ общие тикетницы со сквозной нумерацией и аналитикой,
➡️ единые плейбуки реагирования 🤝

Но есть и сложности у такого подхода: 🤔
➡️ Требуется зрелая организация процессов передачи смены и ее контроля.
➡️ Разные команды могут иметь различный уровень экспертизы.
➡️ Разные SOC имеют разное национальное регулирование, накладывающее отпечаток на то, что можно или нужно собирать и передавать регуляторам 🤝
➡️ Возможны проблемы коммуникации (язык, культура, разные подходы к ИБ).
➡️ Требуется учесть такую передачу тикетов в архитектуре SOC – как на уровне доступов к разным системам, так и на уровне информационных потоков между компонентами SOC, которые могут быть построены на разных технологических стеках 📇

Поэтому в России 🇷🇺 SOCов, которые бы следовали принципу follow the sun, почти нет – даже на 1/6 части земной суши эта модель не очень применима, а глобальных SOCов, обслуживающих клиентов или свои дочерние предприятия по всему миру у нас в стране в текущей геополитической ситуации не так уж и много. У нас больше развит подход follow the moon, но о нем в следующий раз 🌛

#soc

Пост Лукацкого

25 Aug 2025 11:34

СКБ Контур поделился деталями расследования инцидента на свою систему ЭДО "Диадок" 🔓 Это хорошая попытка не засовывать голову в песок, а открыто описать, что произошло. Такое можно только приветствовать. Хотя многие из моих вопросов так и остались неотвеченными. Формат интервью - не самый лучший для того, чтобы делиться техническими деталями и направлен, скорее, на другую аудиторию и решает другие задачи. Но хоть так... 🤔

ЗЫ. Но попытка снять с себя часть ответственности все-таки считывается 🙈 Многократное упоминание VirusTotal, который не обнаружил вредоноса, и попытка придать этому инциденту глобальный характер (якобы по косвенным признакам атака была не только на Диадок, а на всю отрасль ЭДО и других российских операторов ЭДО)... 🫵

#антикризис #управлениеинцидентами

Пост Лукацкого

24 Aug 2025 20:08

Знаете, отпуск на плато Путорана навел меня на интересную аналогию. Рынок российской ИБ напоминает Русский Север:
⚡️ Удобство и комфорт? Забудьте. Как палатка на продуваемом всеми ветрами плато или туалет в окружении карликовых берез – юзабилити и эргономика средств защиты вторична 👨‍💻
⚡️ Цена? Как билет на вертолет до водопадов – только для избранных 😭
⚡️ Масштабирование? Как прокладывать дороги в вечной мерзлоте. В теории возможно, но на практике – "мы поставим вам памятник, если дорогу не поведёт через год" 🫡
⚡️ Суровая красота! Заполярье – это дикая природа и уникальные ландшафты, а русский кибербез – это инженерная "красота" и передовые технологии, которые скрываются за сложностью и "дикостью" решений 👍
⚡️ Изолированность. Как и Русский Север, который далек от "материка", так и отечественная ИБ развивается в изоляции от мирового рынка; закрытые экосистемы! 🔥

И все же, мы продолжаем путешествовать в этих суровых условиях, надеясь на то, что "здесь будет город-сад", как писал Майковский... ✍️

#аналогии

Пост Лукацкого

24 Aug 2025 11:03

Вернулся на материк из Заполярья 🦌 Потихоньку выхожу из информационного вакуума и въезжаю в повестку.

Пока вот вам яркий пример качественного фишинга 🎣 Текст, ФИО подписанта, ЭП… Все очень грамотно и не вызывает подозрений. И только почта, куда надо направлять материалы, сигнализирует нам: «Тревога!» 🚨

Надо признаться, что я бы на такое, вероятно, попался бы. Я помню времена, когда чиновники просили писать им на Gmail 📬 и даже сотрудники ФСБ имели почту на мейлру 📲 Так что запрос от министерства на внешнюю почту не вызвал бы у меня подозрений 🤔

#фишинг

Пост Лукацкого

20 Aug 2025 15:10

SOC из облака 🌤 – самая перспективная форма существования SOC из существующих по мнению опрощенных специалистов по ИБ. Когда у компаний не хватает ресурсов на приобретение нужных технологий ИБ и установки их внутри своей инфраструктуры остается либо довериться MDR-провайдеру, либо уходить в облачный SOC, который аккумулирует события безопасности из множества источников 🪣, обеспечивает их глобальную корреляцию, а клиенты просто пользуются всем этим. Особенно это важно, когда ты собираешь все больше и больше данных, а хранить у себя ты не можешь, так как нет нормального ЦОДа или очень дорого закупать сервера и хранилища 🛒

#soc #облака

Пост Лукацкого

19 Aug 2025 15:37

Продолжаю обзор отчета по SOCам. Один из заданных вопросов – что инициирует реагирование на инциденты? 🔓 На первое место вышли EDR, события с которых и являются той точкой отсчета, с которой все начинается крутиться и расследоваться.

Участники также отвечали, что если бы у них был только одна технология, чтобы SOC был полезен, то это был бы EDR 💻 А вот SIEM полезен (для инициации реагирования), только если в него встроено куча экспертизы, которая позволяет автоматически детектировать инциденты и сигнализировать о них в команду реагирования. Тут бы помогли Copilot-технологии, которые существенно облегчают поиск в огромных массивах информации 🧠

#soc #средствазащиты

Пост Лукацкого

18 Aug 2025 15:38

Интересный отчет по SOCам вышел. График выше из него отражает, включены ли инструменты на базе искусственного интеллекта 🧠 в деятельность SOC. Данные распределились следующим образом:
➖ 178 респондентов: "Нет, эти инструменты не являются частью формализованного процесса, но мы их используем"
➖ 132 респондента: "Да" (то есть официально встроены в рабочие процессы SOC)
➖ 75 респондентов: "Не знаю/не уверен"
➖ 62 респондента: "Нет, эти инструменты запрещены"

Интересные результаты, которые говорят о следующем:
1️⃣ Теневая интеграция ИИ. Наибольшая группа фактически применяет ИИ, хотя он не прописан в официальных процессах SOC. Это значит, что аналитики и инженеры видят практическую пользу и используют такие инструменты "снизу-вверх", даже если руководство или политика компании пока не закрепили их применение.

2️⃣ Официальное признание. Существенная часть SOCов уже формализовала использование ИИ, то есть инструменты интегрированы в процессы, согласованы и, скорее всего, регулируются внутренними правилами (например, для автоматизации анализа логов, корреляции событий, threat hunting или генерации отчетов).

3️⃣ Неопределенность. Значительное число сотрудников затруднились ответить, что указывает на слабую коммуникацию в организациях. Возможно, ИИ используется, но сотрудники не знают, насколько это официально разрешено или запрещено.

4️⃣ Жесткий запрет. Есть SOC, где ИИ запрещен. Причины могут быть связаны с рисками утечки данных при использовании внешних сервисов, регуляторными ограничениями, низким доверием к качеству работы ИИ или неумением его "готовить".

Выводы я бы сделал следующие:
6️⃣ Текущий ландшафт неоднороден: одни компании уже встроили ИИ в процессы, другие запрещают, третьи живут "на свой страх и риск". Это отражает раннюю стадию зрелости применения ИИ в сфере SOC.
2️⃣ ИИ уже де-факто используется в SOC, даже если это не закреплено в процессах. Это говорит о том, что технология воспринимается как полезная и востребованная практиками.
3️⃣ Разрыв между формальной политикой и фактическим применением указывает на необходимость выработки четких правил: где ИИ можно применять, как обеспечивать безопасность данных, какие задачи автоматизировать.
4️⃣ Организациям стоит обратить внимание на "серые зоны": игнорирование неформального использования может привести к рискам (утечка данных, ошибки, несоответствие нормативам).
5️⃣ Руководителям SOC стоит проактивно формализовать практику использования ИИ, чтобы извлечь выгоду и при этом контролировать риски.

ЗЫ. У нас 19-го числа в 14.00 по Москве будет вебинар, где мы расскажем, как развертывали LLM у себя в инфраструктуре 🟥 Это уже третий вебинар из серии по ИИ в ИБ.

#soc #ии

Пост Лукацкого

17 Aug 2025 19:26

Очередное, достаточно неплохое руководство по MLSecOps.

#ии #mlsecops

Пост Лукацкого

17 Aug 2025 15:10

О как 🧠

#ии #пентест

Пост Лукацкого

16 Aug 2025 19:27

Подавался на CFP OFFZONE. Не прошел 👎
Подавался на CFP ИТ-Пикника. Не прошел 👎
Поэтому решил податься в страну гор, озер и водопадов ⛰ где я буду осмысливать себя и свое место в жизни. Без ноутбука, без смартфона, без связи... 🏕 Не шалите тут. На хозяйстве оставляю ИИ-агента, чтобы вы тут не скучали и не забыли про меня 👋 Все как в прошлый раз...

Пост Лукацкого

16 Aug 2025 08:40

Видели прекрасную картинку, где показаны 4 геометрических фигуры ⭐️🟡🟨⚠️, которые считываются как слово "жопа". Это выглядит смешно, но ровно тот же принцип объясняет, почему мы часто попадаем на удочку фишеров 🎣

Как мы вообще читаем:
👁 Глаз делает короткие скачки (саккады) и фиксируется на отдельных точках текста на 200–300 мс.
👁 При фиксации мы четко видим 5–7 букв слева и 7–9 справа от точки фиксации (центр – самое резкое, края – периферийное зрение).
👁 Мозг достраивает пропущенное между фиксациями и использует контекст для понимания смысла.

Мозг 🧠 часто автоматически исправляет то, что он "считывает" – это эффект "чтения с пропущенными буквами" (пример: "Я моу прочтать это предложение даже с ошбиками"). Мы воспринимаем слово как целое – опорные буквы (первая и последняя) + длина слова + общий контур. Опытный читатель может "не заметить" мелкие орфографические ошибки, особенно если смысл остается ясен 📖

Существует еще эффект замещения ожиданием – мы знаем, что хотели написать, и мозг 🧠 "подставляет" нужное слово, игнорируя фактический текст. Наконец, у опытных читателей срабатывает автоматизация чтения – процесс настолько быстрый, что проверка букв поштучно не включается без специального усилия 👀

Все это приводит к тому, что мелкие ошибки в привычных словах мозг 🧠 часто "чинит" на лету, и глаз их не фиксирует. Для их осознанного обнаружения нужно снизить скорость чтения и переключиться в режим корректуры – тогда фиксации становятся длиннее, а диапазон зрения сужается, чтобы анализировать каждую букву. Но многие ли из нас так делают? 👀

Соответственно, злоумышленники 🥷 намеренно вставляют мелкие опечатки или символы, похожие на оригинальные, зная, что мозг жертвы их "починит". Например:
👁 paypaI[.]com (заглавная "i" вместо "l"),
👁 microsоft[.]com (кириллическая "о" вместо латинской).
👁 ГосUslugi (вроде и совсем явный пример, но тоже срабатывает на неопытных пользователях) 🖥

Мозг считывает домены как правильные, глаз не фиксируется на странных буквах или их сочетаниях. Этот эффект и используется в фишинговых письмах с легким "шумом" – орфография слегка нарушена, но не мешает восприятию 🤔

ЗЫ. И все это работает в любом мессенджере, даже в самом безопасном 😂

#фишинг #физиология

Пост Лукацкого

15 Aug 2025 15:45

В рамках инициативы "Образование во имя правосудия" (E4J) Управлением ООН по наркотикам и преступности была разработана серия модулей по киберпреступности (доступно на русском языке) 👨‍🏫 Эти университетские модули включают как теоретические концепции, так и практические знания. Не то, чтобы очень глубоко, но и делалось в расчете на не специалистов 👩🏼‍⚖️

Кроме того, эти модули имеют междисциплинарный характер, поскольку посвящены разным темам и содержат материалы по различным аспектам киберпреступности и расследования киберпреступлений 🥷 Дополнительные методические указания для преподавателей содержатся в разработанном в рамках E4J Учебно-методическом пособии по киберпреступности. Все на русском языке 🇷🇺

#обучение #киберпреступность

Пост Лукацкого

15 Aug 2025 06:40

CrowdStrike 🇷🇺 разродился ежегодным отчетом об угрозах и нарушителях ИБ. Среди интересных цифр:
1️⃣ Общие тенденции в киберугрозах
➖ Кибератаки становятся быстрее, сложнее и чаще обходятся без вредоносного ПО: 79% инцидентов в 2024-м были malware-free (в 2019 таких было 40%).
➖ Среднее время взлома (breakout time) сократилось до 48 минут, рекорд — 51 секунда.
➖ Основные векторы начального доступа — компрометация учетных данных, социальная инженерия (особенно по телефону) и эксплуатация уязвимостей.
➖ 52% обнаруженных уязвимостей связаны с начальными этапами атаки.
➖ Объявления от брокеров доступа выросли на 50% за год.

2️⃣ Социальная инженерия
➖ Вишинг вырос на 442%.
➖ APT-группы вроде CURLY SPIDER, CHATTY SPIDER, PLUMP SPIDER используют телефонные звонки от "IT-поддержки" для установки RMM-инструментов, похищения данных или проведения финансового мошенничества.
➖ Распространяются атаки через обман служб поддержки для сброса паролей/MFA.

3️⃣ Генеративный ИИ в руках атакующих, который используется для:
➖ Создания фишинговых писем, deepfake-аудио/видео, фальшивых профилей в LinkedIn.
➖ Проведения операций по дезинформации.
➖ Автоматизации написания скриптов, создания сайтов-приманок, помощи в разработке эксплойтов.
➖ LLM-фишинга, который показывает CTR 54% против 12% у "человеческого" фишинга.
➖ LLMJacking – кражи доступа к облачным LLM-сервисам для перепродажи.

4️⃣ Нарушители и геополитика
➖ Китай – рост активности на 150% (в отдельных секторах – до 300%), появление специализированных групп (например, VAULT PANDA для финсектора).
➖ КНДР (FAMOUS CHOLLIMA) масштабно применяет инсайдерские схемы (IT-сотрудники под вымышленными личностями).
➖ Всего в 2024-м выявлено 26 новых APT, общее число отслеживаемых – 257.

5️⃣ Облака и учетные записи
➖ 35% облачных инцидентов – злоупотребление валидными учетными записями.
➖ Нарушители активно двигаются по облачной инфраструктуре через доверенные связи, кэшированные учетные записи и инструменты управления VM.
➖ Появляются новые тактики обхода политик безопасности, в т.ч. замена методов MFA.

6️⃣ Эксплуатация уязвимостей
➖ Популярные цели – пограничные устройства и сетевое оборудование.
➖ Растет применение цепочек эксплойтов (exploit chaining) и злоупотребление легитимными функциями (например, xp_cmdshell в SQL Server).
➖ Наблюдается тренд на повторное использование векторов атак и быстрое создание альтернативных эксплойтов.

7️⃣ Ключевые рекомендации
➖ Приоритетная защита идентификаций и MFA.
➖ Проактивное устранение уязвимостей (особенно в публично доступных системах).
➖ Мониторинг и защита облачных сред.
➖ Использование AI-driven threat hunting для обнаружения скрытых атак.
➖ Максимальное сокращение времени реагирования на инциденты.

#статистика #тенденции