Что день грядущий мне готовит?
Его мой взор напрасно ловит,
В глубокой мгле таится он.
Нет нужды; прав судьбы закон.
Паду ли я, стрелой пронзённый,
Иль мимо пролетит она,
Всё благо: бдения и сна
Приходит час определённый;
Благословен и день забот,
Благословен и тьмы приход!

Блеснёт заутра луч денницы
И заиграет яркий день;
А я, быть может, я гробницы
Сойду в таинственную сень,
И память юного поэта
Поглотит медленная Лета,
Забудет мир меня; но ты
Придёшь ли, дева красоты,
Слезу пролить над ранней урной
И думать: он меня любил,
Он мне единой посвятил
Рассвет печальный жизни бурной!..

Почему-то именно эти строки ✍️ из "Евгения Онегина" мне пришли в голову, когда я готовился к своему первому выступлению на "КибеРИТорике" в Питере ⛵️, куда я нагрянул одним днем. Посвятил рассказ тенденциям в мире кибербезопасности. Так и назвал рассказ: "Что год грядущий нам готовит?" (надеюсь Александр Сергеевич не будет против). Получилось местами апокалиптично, но, видимо, настроение такое было ☹️

#тенденции #презентация

Читать полностью…

Ровно 9 лет назад жизнь владельца этого замечательного канала могла трагически прерваться, так и не дождавшись его запуска. Я просто стоял на повороте за этим автобусом. Не будь его, я бы сейчас здесь не писал. Это лишний раз заставляет задуматься о том, насколько мы (само)уверены в своих технологиях, если запускаем беспилотные трамваи на Северо-Западе Москвы, беспилотные грузовики на М-11 и М-4, и вот это вот все…

Да, алгоритмы сегодня точнее, чем люди. Они просчитывают траектории, анализируют терабайты данных, реагируют через компьютерное зрение и даже "учатся" на наших ошибках. Но в тот момент меня спас не алгоритм бортового компьютера, а случай. И вот тут возникает вопрос: а можем ли мы полностью положиться на технологии, если сама жизнь все равно остается непредсказуемой?

Такая память о хрупкости жизни не дает отмахнуться: завтра может не наступить. И если все можно потерять в одно мгновение, то зачем мы тратим время на бесконечные "потом"? Потом поеду в путешествие. Потом позвоню близким. Потом признаюсь в чувствах. Потом напишу книгу. Потом займусь проектом, которым горю. Но это "потом" может и не наступить.

Технологии двигают нас вперед. Но смысл – не в том, чтобы просто довериться беспилотному будущему. Смысл – успеть прожить эту жизнь так, чтобы даже случайный автобус не застал врасплох. И ловить каждый ее вдох – всей грудью. Делать полезное, важное, живое. Здесь и сейчас. Чтобы оставить свой след.

Мы строим мир, где все больше решений принимают алгоритмы. Но они не знают, что значит проснуться утром и почувствовать запах кофе, услышать детский смех или обнять родного человека. Они не знают, что значит мечтать и откладывать мечту на завтра. И если жизнь может оборваться в одно мгновение, то, может быть, стоит доверять не только "умным системам", но и себе – своим желаниям, своим близким, своим маленьким шагам. Потому что именно они делают жизнь настоящей.

#рефлексия

Читать полностью…

Мне часто пеняют, что я топлю против антивирусов 👎 и вот это вот все. Ну так нет и вот вам очередное доказательство. Huntress пишет про нового игрока на сцене ransomware – Cephalus, который впервые зафиксирован в июне 2025 года (по данным InsecureWeb), а активная деятельность зарегистрирована с середины августа.

Первичное проникновение осуществляется через небезопасные учетные записи RDP без MFA (пока ничего нового). После проникновения злоумышленники использовали облачный сервис MEGA для выкачивания данных. Но главная особенность атаки в другом – она использует легитимный процесс EDR от компании SentinelOne, файл SentinelBrowserNativeHost.exe, имеющийся в папке "Downloads", запускается и загружает DLL SentinelAgentCore.dll, которая в свою очередь выполняет файл data.bin, содержащий код шифровальщика 😷

То есть DLL sideloading (подмена DLL) осуществляется через легитимное ПО кибербезопасности, а именно EDR от SentinelOne, и в этом и кроется проблема 👀 Легитимные процессы EDR или антивируса подписаны и защищаемая система им доверяет. Их запуск редко вызывает тревогу, поэтому подмена DLL, находящихся с ними в одном каталоге, дает злоумышленникам привилегированный "инструмент проникновения".

SOC и SIEM часто исключают исполняемые файлы средств ИБ из мониторинга (whitelisting), что превращает их в "идеальные контейнеры" для скрытого кода 📦 DLL sideloading - это почти атака на цепочку поставок, но внутри рабочей станции. И здесь речь не про внешний софт, а про само решение ИБ, которое становится каналом для развития атаки.

Пояснение: DLL sideloading - это техника, при которой злоумышленник размещает вредоносную 🦠 динамическую библиотеку (DLL) в таком месте, откуда легитимное и доверенное приложение загрузит ее вместо оригинальной, чистой DLL, следуя определенному порядку поиска dll в операционной системе 📱 Это позволяет выполнить вредоносный код под видом и с правами этого доверенного приложения.

Что делать для защиты? Мне видится следующий список возможных мер (реализация зависит от конкретного средства защиты и его архитектуры):
6️⃣ Zero Trust и для агентов средств ИБ. Процессы EDR/AV не должны иметь исключений в мониторинге. Логика "раз это агент защиты – ему можно все" опасна и приводит к зафиксированным Huntress проблемам (у российских средств защиты были схожие проблемы, о чем уже писал НКЦКИ).
2️⃣ Целостность кода. Включение механизма Windows Defender Application Control (WDAC) или Linux Integrity Measurement Architecture (IMA), чтобы DLL могли загружаться только из доверенных путей и с подтвержденной подписью.
3️⃣ Политика "чистой загрузки". Любая папка "Downloads" или временные каталоги должны быть запрещены для исполнения доверенных процессов. В Cephalus именно там оказался exeшник SentinelOne.
4️⃣ Поведенческий белый список. Если процесс защиты вдруг запускается из нетипичного места, это должно детектироваться (например, бинарник SentinelOne в "Downloads").
5️⃣ Защита в процесс исполнения. Проверка целостности бинарей агентов защиты во время работы (например, по хэшам или сигнатурам).
6️⃣ Внедрение перекрестного мониторинга EDR/AV/EVC/NGAV. Независимые агенты должны следить друг за другом, но это дороговатое удовольствие, которое частично можно заменить мониторингом на уровне сети (NTA/NDR, привет) или на уровне логов ОС (привет, SIEM).
7️⃣ Включить в правила SOC проверку гипотезы по DLL sideloading с акцентом на бинарники средств защиты.
8️⃣ Прогнать Red Team именно по сценарию "несанкционированная эксплуатация средств защиты", чтобы увидеть, какие процессы реально запускаются без проверки.

Так что нет ничего невзламываемого и того, чему можно доверять; EDR не исключение. Хотите адекватную защиту? 🛡 Используется набор защитных технологий и, уж как минимум, добавьте к EDR еще NTA/NDR и SIEM; эта триада поможет вам детектить то, что пропускается каждым средством защиты по отдельности 🤔

#проблемыибкомпаний #ransomware #средствазащиты

Читать полностью…

Именно сейчас, когда в Москве наступило полное лунное затмение, хакеры вписались за Камбоджу 🇰🇭, создали очередной альянс, и начали громить Таиланд 🇹🇭 в киберпространстве. Вообще на государство ополчились не только кхмеры, недавно оно имело конфликт с Бирмой, то есть Мьянмой, по кибервопросам.

Вот так лежишь на песочке 🏝, смотришь на мужиков, переделанных в тёток, слышишь кряхтение массажистки за соседней пальмой 🌴, ждешь, когда послышится знакомое: «Раки, чурчхела, горячая кукуруза», хотя нет, последнее на другом пляже, где скоро Инфоберег начнется. А в это время, в киберпространстве разворачивается жесточайшая азиатская кибербитва ⚔️

ЗЫ. С этими постоянно переименуемыми названия азиатских и африканских стран сам черт ногу сломит 😵‍💫 Вот была же Кампучия раньше. Нет, давай ее в Камбоджу переименуем. Бирму в Мьянму, Дагомею в Бенин, Верхнюю Вольту в Буркина-Фасо, Берег Слоновой Кости в Кот-д’Ивуар… Раньше мог назвать все государства с их столицами; сейчас уже фиг 🖕 Наверное…

#хакеры

Читать полностью…

Помимо Palo Alto и ZScaler от компрометации 🔓 Salesforce через Salesloft Drift пострадали и иные ИБ-компании, признавшие факт инцидента и опубликовавшие у себя на сайте детали: 👨‍💻
➡️ Elastic
➡️ CyberArk
➡️ Cato Networks
➡️ Bugcrowd
➡️ Tenable
➡️ BeyondTrust
➡️ Rubrik
➡️ Proofpoint
➡️ Tanium
➡️ SpyCloud
➡️ Cloudflare
➡️ список не финальный и будет пополняться…

И в суд на тех, кто раскрыл инцидент и кто пишет о нем, никто не подавал 🙂

#инцидент #облака #проблемыибкомпаний

Читать полностью…

Помните то ощущение из детства, когда у вас был лучший друг – не разлей вода, с которым вы делили последнюю жвачку и секреты, с которым можно было и в огонь, и в воду? И вдруг, как гром среди ясного неба, выясняется: вы оба влюблены в одну и ту же девушку. Сердце замирает, внутри все клокочет. Бессонные ночи, терзания "а вдруг она выберет его?", горячие споры, ссоры на пустом месте, ревность, горькие обиды и примирения… Иногда это перерастало в молчаливую холодную войну, а иногда – в благородное решение "пусть он будет счастлив, я сохраню дружбу".

Прошли годы, но ведь сюжет почти не изменился. Только теперь "девушка" – это заказчик, а вы – не школьники, а взрослые MDR-провайдеры. Еще вчера ваши аналитики дружили: приглашали друг друга на митапы, делились индикаторами компрометации, смеялись вместе над смешными кейсами у заказчиков. И вот на горизонте появляется красивая, солидная фигура – крупный заказчик. Все взгляды прикованы к нему, и начинается битва за его "руку и сердце" – бюджеты и контракты.

☀️ Один MDR играет роль блестящего ухажера: обещает ультрасовременные технологии, машинное обучение, глобальную аналитику и "ИИ, который все видит".
🌙 Второй MDR выступает надежным другом "семьи": ставка на опытных аналитиков, глубокую экспертизу и готовность плечом к плечу защищать заказчика.

И, как в юности, развязка у такого любовного треугольника может быть разной:
6️⃣ CISO делает выбор в пользу одного. Второй остается "отвергнутым другом" и может:
➡️ вспыхнуть ревностью, затеять маркетинговую войну ("вы выбрали не того!") или даже пойти в суд ("тендер проведен нечестно");
➡️ или, напротив, сохранить лицо и дружбу – "пусть мы проиграли, зато сможем стать партнерами или субподрядчиками".
2️⃣ CISO пытается "оставить обоих". Но, мы живем не в голливудском блокбастере "Пёрл Харбор", который и навел меня на мысль этой заметки, и не в порнухе про полиаморию. Как и в школьных романах, это редко заканчивается счастливо: начинается путаница, ревность, вечные конфликты и усталость от борьбы.
3️⃣ CISO остается "одинокой и независимой девушкой". Разочаровавшись в ухажерах, он решает: "А зачем мне это все? Лучше соберу SOC внутри компании". И оба MDR остаются ни с чем.

В детстве все казалось проще: дружбу можно было спасти мороженым или вкладышами от жвачки. А во взрослой жизни ставка выше – бюджеты, контракты и безопасность бизнеса. И только вопрос остается тем же: "Кого выберет она?" И еще один, более глубокий: "Чему для вас важнее быть верным – дружбе, амбициям или себе?"

#рефлексия #mdr

Читать полностью…

Вот смотришь заголовки в почте, а там очередное судебное разбирательство... 🧑‍⚖️ И только вчитавшись, понял, что я не обвиняемый, а пострадавший от нарушения американского законодательства о персональных данных. Forbes разгласил, вроде как, мои ПДн после посещения их сайта. Выдохнул... 👌 Но вчитаюсь внимательно, вдруг и правда денег обломится и можно будет вписать себя в жертвы демократичных западных СМИ 🪓

#ответственность #персональныеданные

Читать полностью…

Продолжим про влияние климата на кибербез. 🟥 же активно осваивает разные регионы Земли и за последнее время я побывал и в Южной Америке, и в Юго-Восточной Азии, и на Ближнем Востоке. Какие особенности ИБ (не продаж) есть в этих регионах с технической и организационной точки зрения? 🤔

Юго-Восточной Азии 🌏 присуща высокая влажность, сезонные тайфуны и наводнения. Значит нужно учитывать отказоустойчивость ЦОДов и сетевого оборудования (коррозия, перебои с электричеством, отключения интернета). При этом в регионе сильная зависимость от сетей мобильной связи 📡, которые в некоторых странах работают даже лучше фиксированной. Это влияет на архитектуру построения защищенных каналов связи и резервирование. Достаточно высокая ротация персонала и зависимость от аутсорсинга. Наконец, в регионе представлено множество языков и письменностей, в т.ч. с нелатинскими алфавитами (тайский, бирманский, кхмерский), что создает трудности при локализации интерфейсов и обучающих материалов (если такая задача стоит) 🏝

Латинская Америка – это тропики с высокой влажностью, землетрясения (Чили, Мексика), сезоны ураганов (Карибы, Центральная Америка), а значит требуется учет катастрофоустойчивости ИБ-решений 🇧🇶 В странах региона нехватка специалистов и высокая миграция кадров (утечка мозгов в США и Европу). Это влияет на стабильность функционирования сервисов SOC и центров Threat Intelligence. Языки - испанский 🇪🇸 и португальский; они обязательны для локализации. Английский часто используется на официальном уровне, но не всегда реально понимается на операционном уровне (сам постоянно сталкивался во время командировок).

Ближний Восток 🕌 характеризуется экстремально высокими температурами (летом выше +50°C) и пыльные бури, а значит растут риски для ЦОДов и оборудования, необорудованного системами кондиционирования. Ислам как фактор организации труда, - это не фантастика. Намаз 🧎 пять раз в день реально влияет на график SOC и его операторов (в некоторых странах ЮВА та же картина). В месяц Рамадан – изменение ритма работы и продуктивности (день → сонный, ночь → активный). Арабский язык (справа налево) может ломать привычные интерфейсы и отчетные формы. Высока доля мигрантов-специалистов в ИТ и ИБ (из Индии, Пакистана, Филиппин). Это создает языковые барьеры, культурные различия в команде и повышенный риск инсайдерских угроз 🇦🇪

Так что выходя в иные регионы со своими решениями ИБ (продуктами и сервисами) стоит перестать следовать эгоцентричной позиции 🤪 и начать смотреть не только на то, сколько сигнатур у вас в IDS и антивирусе, сколько EPS у вас поддерживает SIEM, и какие красивые иконки у вас в UI у EDR. Климат 🏝, культура и религия, языки, социальные факторы, инфраструктурные особенности... Это то, что нужно также оценивать в других регионах, отличных от России.

#архитектура

Читать полностью…

Интересная история приключилась (те, кто едут на PKI Forum, могут не читать, – все равно там такие вещи затрагивать не будут). В мае 2025 года Fina RDC 2020 (подчиненный центр сертификации Fina Root CA) выдал три TLS-сертификата для IP-адреса 1.1.1.1, используемого DNS-сервисом Cloudflare и APNIC, и сделала она это без разрешения Cloudflare 😮 Сертификаты были обнаружены благодаря системе Certificate Transparency (CT); при этом Cloudflare признала, что их система мониторинга сертификатов дала сбой. При этом информация всплыла лишь через четыре месяца 😦 На момент публикации на Ars два из них были ещё действующими.

Fina CA пояснила, что сертификаты были выпущены “для внутренних тестов”, и это была ошибка при вводе IP-адресов 🧑‍💻 – однако никаких дополнительных подтверждений контроля над 1.1.1.1 они не имели. Cloudflare не нашла доказательств, что сертификаты использовались для MITM-атак или кражи трафика. Однако технически такая возможность существовала – сертификаты могли использоваться для расшифрования зашифрованных запросов через DNS over HTTPS (DoH) и DNS over TLS (DoT), подмены DNS-запросов, внедрения ложных адресов (при доверии Fina CA) 😠

Возможные последствия инцидента: ✍️
6️⃣ Компрометация доверия. Атака подчеркивает уязвимость всей модели PKI и ставит под удар доверие к Интернету в целом, где даже один неправильно действующий CA может нарушить безопасность коммуникаций.
2️⃣ Роль Certificate Transparency. Именно публичные CT-логи помогли обнаружить сертификаты. Но задержка в обнаружении в несколько месяцев указывает на слабости текущих механизмов мониторинга.
3️⃣ Действия Cloudflare. Все сертификаты отозваны, усилен мониторинг CT, обновлена triage-процедура на багбаунти, улучшен UI мониторинга в Cloudflare Radar 📡

Microsoft, которая доверяла Fina Root CA через свою систему Windows Root Store 📱, признала проблему и пообещала заблокировать эти сертификаты через список disallowed certificates. Chrome и Firefox никогда не доверяли Fina CA, Safari тоже – пользователи этих браузеров под угрозой не были. Это указывает на проблему централизованного контроля над списками доверенных CA. А к Microsoft остались вопросики – почему ее процессы не выявили поддельные сертификаты раньше, ведь CT-логи позволяют автоматизировать такие проверки ✍️

Что делать (в том же SOC, если он занимается мониторингом корпоративного PKI)? 🤔
6️⃣ Мониторинг CT
➡️ Настроить автоматическую проверку CT-логов для корпоративных доменов.
➡️ Включить уведомления о любых сертификатах, выданных на IP/домены организации.
2️⃣ Анализ доверия к CA
➡️ Проверить список доверенных корневых CA в используемых ОС/браузерах/средствах сетевой безопасности/сетевом оборудовании.
➡️ Исключить или ограничить малоизвестные CA, которые не признаны крупными вендорами.
3️⃣ Детекция MITM
➡️ Включить правила для обнаружения подмены TLS-сертификатов в прокси, IDS/IPS и EDR.
➡️ Отслеживать неожиданные цепочки доверия в сертификатах.
4️⃣ Аудит DoH/DoT
➡️ Контролировать и логировать все обращения к корпоративным DNS-серверам.
➡️ В случае корпоративного использования 1.1.1.1 – убедиться, что клиенты используют проверенные сертификаты.

Интересно, НУЦ отслеживает такие кейсы? 🤔

ЗЫ. Спасибо подписчику за присланную новость!

#pki #инцидент

Читать полностью…

Один казанский банк решил, что мало установить требования по надежности пароля, надо еще и к логину аналогичные требования предъявить! 💪

ЗЫ. Спасибо подписчику за ссылку.

#аутентификация

Читать полностью…

Как бороться с упомянутой вчера "ошибкой выжившего" в ИБ? Я бы выделил несколько рецептов:
1️⃣ Смотреть не только на "успешные" кейсы 😎
➖ Не ограничиваться отчетами "мы отразили атаку" (и, конечно, "данные клиентов не пострадали") или "наш продукт все поймал".
➖ Анализировать инциденты, когда защита не сработала (или сработала слишком поздно). Такие данные непросто найти, так как надо иметь смелость признать свое несовершенство, но все-таки такие данные встречаются.
➖ Использовать практику post-mortem анализа даже для "несерьезных" инцидентов.

2️⃣ Искать невидимые атаки 🫥
➖ Использовать Threat Hunting: активный поиск признаков вторжений, даже если сигналов тревоги нет. Но это если у вас ресурсы для регулярной проверки таких гипотез.
➖ Вводить Hypothesis-driven hunting: проверка гипотез "а что если злоумышленник мог действовать так?" А вот это "так" вы берете из отчетов TI, публичных описаний инцидентов и т.п. Это, кстати, развивает кругозор аналитиков SOC и делает их работу не такой скучной, как она иногда бывает.
➖ Периодически проводить red team / purple team учения, чтобы проверить, что реально видит SOC.

3️⃣ Оценивать то, что не попадает в статистику 📊
➖ В уязвимостях: учитывать 0-day и атаки на подрядчиков, а не только CVE, тем более только трендовые.
➖ В инцидентах: анализировать "почти получилось" ситуации, то есть попытки атак, которым не хватило совсем чуть-чуть до нанесения ущерба или до финального этапа kill chain.
➖ В мониторинге: изучать отфильтрованные события (часть из них может быть атакой; привет, LOLBAS).

4️⃣ Применять сценарное мышление 🤔
➖ Не думать "раз такого у нас не было, значит и не будет".
➖ Строить what-if сценарии: "А что если атака прошла незамеченной?", "А что если уязвимость есть, но ее никто не искал?", "А что если ИТ затерло все следы?"...
➖ Использовать подход MITRE ATT&CK для оценки "слепых зон".

5️⃣ Разнообразие источников данных 📇
➖ Не полагаться только на свою статистику SOC или отчеты вендора.
➖ Сравнивать данные из разных источников: TI-платформы, ISAC/CERT/ESC, отраслевые отчеты, внешние исследования.
➖ Подключать обманные технологии (если все остальное у вас уже решено), чтобы увидеть то, что обычно скрыто.

6️⃣ Рассматривать "несостоявшиеся" компании ⚰️
➖ Изучать кейсы организаций, которые не справились с атаками и ушли с рынка после кибератак (их истории редко попадают в публичные обзоры).
➖ Включать такие примеры в стратегические обсуждения, чтобы не возникало иллюзии "все выживают".

7️⃣ Регулярная переоценка эффективности защиты 🤕
➖ Проверять не только "сколько атак мы отразили", но и какие атаки могли пройти мимо.
➖ Использовать BAS (Breach and Attack Simulation), чтобы моделировать атаки и выявлять невидимые уязвимости в защите.
➖ Оценивать MTTD/MTTR (скорость обнаружения и реагирования), а не только факт наличия защиты.

💡 Главная идея: бороться с ошибкой выжившего – это значит искать невидимое, изучать провалы, строить сценарии "а что если", и не довольствоваться только статистикой "успеха".

#soc

Читать полностью…

Думаю, многие слышали такое понятие как "ошибка выжившего", когда речь идет о ситуациях, когда выводы делаются только по видимым данным, без учета невидимых, неучтенных или потерянных случаев. Это искажает восприятие рисков и эффективность мер защиты. И в ИБ таких кейсов тоже немало; часть из них мы наблюдаем прямо сейчас, видя, что пытаются продвигать чиновники разных уровней.

1️⃣ Фокус только на известных атаках. Целые компании и отдельные SOCи часто ориентируются на атаки, которые им удалось обнаружить и расследовать, из чего делается вывод, что "у нас все под контролем", а какие-то атаки редки или вообще не фиксируются. В чем ошибка выжившего? Мы видим лишь те атаки, которые заметили наши средства мониторинга или о которых нам сообщила ГосСОПКА/ФинЦЕРТ/коммерческий SOC/MDR. Большинство успешных атак остаются нераскрытыми, например, длительное скрытое присутствие APT внутри инфраструктуры.

2️⃣ Антивирусы и сигнатуры. Отчеты показывают, что "90% угроз блокируются антивирусом". Ошибка выжившего заключается в том, что статистика основана на тех угрозах, которые уже известны и внесены в базу антивируса. Настоящая опасность – в тех, кто и что обходит сигнатурный анализ и поэтому в статистику не попадает. Да, меня можно долго тыкать в то, что "современный антивирус уже давно не только по сигнатурам работает", но это все хрень на постном масле. У него сигнатурный движок все равно остается основным способом для детекта, а всякие эвристики по умолчанию часто отключены, так как нагружают ЦПУ как не в себя. А если у средства защиты антивирус - это всего лишь один из движков (что и правильно), то это не антивирус, а EPP или EDR (ну или NGAV, если тебя не включили в соответствующий магический квадрат).

3️⃣ Упор на компании, пережившие инциденты. Есть много историй успеха: "Компания X пережила кибератаку, восстановилась и укрепила защиту". Ошибка тут в том, что мы слышим истории только от "выживших". Компании, которые сильно пострадали, а то и вовсе закрылись или обанкротились из-за атаки, в публичных кейсах почти не фигурируют.

4️⃣ Фокус на "топ-10 уязвимостей". Многие отчеты концентрируются на уязвимостях из CVE и OWASP Top10. И это снова ошибка, так как статистика основана на тех уязвимостях, которые исследователи нашли и раскрыли. Но реальный вред наносят и неизвестные уязвимости (например, 0-day), которые в рейтинг попасть не могут. Где-то я видел цифру, что на одну известную уязвимость в CVE сушествует 3-4 неизвестные.

5️⃣ Багбаунти-платформы. Компании делают выводы: "наш продукт безопасен, потому что за год нашли всего несколько багов" (эта история даже больше про сертификацию или аттестацию, чем про bug bounty). Ошибка выжившего в том, что число уязвимостей зависит не только от их реального количества, но и от мотивации и квалификации багхантеров. Нет найденных багов ≠ нет уязвимостей.

6️⃣ Доверие к "успешным" методам защиты. Например, компания использует только EDR и считает, что этого достаточно, потому что "мы отражали все атаки". И снова ошибка – такие компании видят только те атаки, которые прошли через EDR. Если злоумышленник обошел его незаметно – в статистике этого нет. А если атакован узел, на котором нет или нельзя поставить EDR, то вообще засада.

7️⃣ Фильтрация событий SIEM’ом. SOC анализирует логи и события, прошедшие через корреляционные правила. Ошибка в том, что события, которые были отфильтрованы как "шум" или незначительные, могут скрывать атаку (например, какой-нибудь LOLBAS). В результате создается иллюзия, что реальных атак меньше, чем их есть на самом деле.

Этот список можно долго продолжать, но зачем. Вроде и так понятно, что "ошибка выжившего" в кибербезопасности приводит к чрезмерной уверенности в существующих мерах, недооценке скрытых атак и неверной оценке эффективности защиты. Часто мы видим лишь поверхность (успешно отраженные атаки, известные уязвимости, выжившие компании), а настоящая картина скрыта в том, что осталось "за кадром".

#психология

Читать полностью…

Я уже писал, что не прошел CFP на ИТ-Пикник 😭, что, в целом, было предсказуемо, так как в этом году выделенного шатра под кибербезопасность, как в прошлом году, не было. Поэтому я подавался в аналитический шатер с темой про визуализацию и дашборды по ИБ. Но, как мне написал программный комитет, с которым я детально обсуждал тему своего выступления, они отдали предпочтение кейсовому продуктово-аналитическому докладу, который оказался, по мнению комитета, чуть более релевантным для концепции шатра. Но так как я готовился к CFP и собирал контент, то, чтобы он не пропадал, заброшу его сюда 💃

Итак, вокруг каких фактов, я хотел строить свое выступление: 📈
6️⃣ Около 79% пользователей, просматривая информацию, следуют F-образному шаблону, – сначала читают горизонтально верхнюю часть, потом вторую полосу ниже, а затем двигаются вертикально вниз по левой стороне. Значит самую важную информацию на дашбордах лучше располагать в верхнем левом углу и первой колонке 🫡
2️⃣ Человек может эффективно удерживать в кратковременной памяти от 4 до 7 элементов визуальной информации (так называемый закон Миллера). Это значит, что не надо перегружать дашборд; лучше избегать слишком большого количества виджетов и графиков на одном экране (не больше 6 ключевых показателей) 🛒
3️⃣ В среднем 8% мужчин и 0,5% женщин в мире страдают различными видами цветовой слепоты. Самая распространенная форма –} дейтеранопия (нарушение восприятия зеленого цвета), ею страдает примерно 5% мужчин европейского происхождения. Это значит, что надо избегать красно-зеленых пар в графиках, нужно использовать паттерны, подписи и разные формы помимо цветов 🟥🟩
4️⃣ Мы точнее оцениваем длину, чем площадь или объем. Значит для сравнения величин лучше использовать горизонтальные или вертикальные столбчатые диаграммы, а не круговые или пузырьковые 📊
5️⃣ Среднее время, которое человек уделяет просмотру одного графика на дашборде – около 5–10 секунд. Значит надо сконцентрироваться на лаконичности и понятности, избегать лишнего "шума" и второстепенной информации ⏱
6️⃣ Люди предпочитают видеть всю ключевую информацию без необходимости скроллить: около 90% пользователей смотрят только первый экран. Значит надо размещать KPI и ключевые метрики в видимой области без прокрутки (не забывая про F-шаблон из п.1) 📊
7️⃣ Исследования показывают, что человеку требуется около 13 мс, чтобы распознать простую визуальную сцену, но при этом для интерпретации и понимания смысла нужно больше времени. Это значит... а что это значит, я думаю, вы и сами можете догадаться 💡

Есть и другие интересные факты из области визуализации, которые нужно учитывать при проектировании дашбордов 📊 и отчетов по ИБ, но в посте я ограничусь только семью из них. Вдруг, я смогу рассказать об этой теме где-нибудь еще. Тогда зачем мне раскрывать все детали прямо сейчас?..

ЗЫ. В онлайн-школе "ВыШИБАЛа" (Высшая Школа по ИБ Алексея Лукацкого) есть бесплатный курс 🤓 "Отчеты и дашборды по ИБ. Основы визуализации". Там тоже немало интересного и полезного по проектированию ИБшных дашбордов.

#визуализация

Читать полностью…

Швейцарцы 🇨🇭 опубликовали исследование, в котором было изучено влияние риска кибербезопасности на уязвимость банков. Взяв за основу специальный индикатор кибербезопасности, специфичный для банков, исследователи обнаружили, что рост риска кибербезопасности повышает вероятность дефолта банка 🏦 Этот эффект более выражен для банков, сталкивающихся с закрытием депозитов и снятием денег и менее выражен для банков с достаточным запасом ликвидности 💰

Кроме того, исследователи показывают, удивительно, прям, что законодательство по безопасности данных 🗂 (Россия не учитывалась, насколько я могу судить) может помочь снизить потенциальную уязвимость банковской системы, но тем не менее, влияние риска кибербезопасности остается все равно значительным. Представленные результаты свидетельствуют о том, что риск кибербезопасности усугубляет финансовую нестабильность, но реализация защитных мер может повысить устойчивость к возможным кибератакам. Ну для того, чтобы сделать этот вывод, не надо было проводить исследование 😔 Хотя не очень понятно, речь идет о законодательстве (например, GDPR) или о защитных мерах. Если первое, то как бы другие исследования говорят, что GDPR тянет технологическую Европу на дно 🍑

Однако первый тезис про дефолт достаточно интересен и для России 🇷🇺. Коммерсант вон пишет, если не про схожее по сути, то тоже про рост рисков ИБ для банков. И там тоже говорят про существенные инциденты, которые могут привести к катастрофическим потерям. Однако термин дефолт не упоминается, что, в целом, тоже понятно, - системообразующим банкам вряд ли дадут объявить дефолт даже из-за кибератаки, а мелкие банки не так всем интересны 🤑

#недопустимое #ущерб

Читать полностью…

Дошли руки пробежать глазами второй законопроект по борьбе с кибермошенничеством 🎩, который подготовило Правительство. Неоднозначное отношение. Я все предусмотренные меры разделил на несколько групп – действительно эффективные, создающие иллюзию борьбы, легко обходимые мошенниками и бесполезные и даже вредные 🤔 Осталось подождать правоприменения.

#регулирование #мошенничество

Читать полностью…

⚠️ На этом месте был другой пост, но я там накосячил жутко и поэтому решил его заменить. Спасибо тем, кто ткнул меня носом в мою невнимательность!!

Агентство CISA выпустило очень интересный инструмент – Eviction Strategies Tool. По сути это онлайн-ресурс для специалистов по управлению инцидентами, предлагающий поддержку на этапах сдерживания и изгнания нарушителей из инфраструктуры. Состоит он из двух ✌️ частей:
6️⃣ Playbook-NG – веб-приложение для создания сценариев реагирования на инциденты. Пользователь вводит TTP согласно MITRE ATT&CK или просто текстовое описание (русский не поддерживается) и получает рекомендованные действия по отражению данной техники. Playbook можно экспортировать (JSON, Word, Excel, Markdown) и позже снова загрузить для обновлений.
2️⃣ COUN7ER — база атомарных мероприятий, соответствующих TTP и позволяющих отражать конкретные техники. Каждая запись содержит:
➡️ цель (Intended Outcome)
➡️ подготовительные шаги (Preparation)
➡️ риски (Risks)
➡️ методику реализации (Guidance)
➡️ альтернативы и ссылки на стандарты (MITRE ATT&CK, D3FEND, CWE)
В базе содержится более 100 тщательно отсмотренных и регулярно обновляемых мер защиты.

По сути речь идет о надстройке над матрицей MITRE, сфокусированной не на описании хакерских техник, а на их борьбе с ними. Это позволяет достичь ряда преимуществ:
6️⃣ Ускоряет создание персонализированных планов реагирования на инциденты.
2️⃣ Playbook-NG подходит как для реального применения, так и для подготовки штабных киберучений.

CISA утверждает, что инструмент фокусируется на принципе "eviction" (англ. "выселение"), то есть на изгнании злоумышленников из скомпрометированной инфраструктуры, а не просто на нейтрализации технических артефактов. Хотя я не очень понял, чем это отличается от обычных мер реагирования на инциденты. Но маркетинг есть маркетинг; особенно в условиях, когда до конца непонятно, останется CISA или его расформируют или снова срежут бюджеты.

ЗЫ. Инструмент доступен по MIT-лицензии (MIT Open Source License).

#mitre #управлениеинцидентами

Читать полностью…

Психологический портрет типичного потерпевшего от дистанционного хищения изменился. В настоящее время это социально активный гражданин в возрасте 30-70 лет, имеющий постоянную работу. Такой человек имеет активную жизненную позицию, лояльно относится к государству и готов оказывать содействие. Кроме того, он часто является финансово грамотным, имеет накопления и положительную кредитную историю. В связи с этим, пояснили в министерстве, преступление в отношении такого человека часто начинается с сообщения от имени его руководителя.

Таков психологический портрет типичной жертвы дистанционных мошенников по версии МВД 🔫 И эта картина немного отличается от привычного образа, который мы рисуем, слушая рассказы о пострадавших пенсионерах. Классическая ошибка выжившего - мы судим о проблеме только по публичным историям, а МВД, рисуя психологический портрет, видит всю картину целиком. Отсюда такие отличия 🎭

И выводы - посмотрите по сторонам, ваши друзья и коллеги, ваши близкие, – именно они могут стать жертвами мошенников 🥷 А если вы сейчас находитесь один, то посмотрите в зеркало, – там вы тоже увидите потенциальную жертву. А значит недооценивать эту проблему в рамках программы повышения осведомленности ИБ среди работников не стоит. Поверьте, даже в ИБ-компаниях есть те, кто попадается на удочку мошенников; что уж говорить о рядовых гражданах 🤔

#мошенничество #психология

Читать полностью…

Сел я как-то в тишине, да как подумал... 🤔 и в итоге я решил, что в свет нужно нести не только идеи результативной кибербезопасности, но и результативных выступлений о кибербезопасности. Решено – сделано. Записал мини-курс о том, как готовить выступления и как собственно выступать, в формате видео и залил первую часть на YouTube (18 мин). Если зайдет и будет реакция, то выложу все остальное. Не зайдет, тоже выложу (работа-то проделана), но попозже. Про сам внутренний 🟥 курс я уже писал раньше. Он не про то, как пользоваться PowerPoint или LibreOffice, – он именно про сами выступления и как сделать так, чтобы срывать овации и зажигать сердца, что требует определенной подготовки в прямом и переносном смысле. Но зато потом результат на лицо.

❗️ Да, кстати, курс бесплатный, без регистрации.

ЗЫ. Почему YouTube 📱, а не ВК Видео или RuTube? Потому что workflow работы с Youtube у меня налажен и все плейбуки для этого есть и отработаны. А вот для отечественных видеохостингов я таким не занимался. Не факт, что они (все или часть) выживут. "Убийцу Википедии", Большую российскую энциклопедию, на которую потратили 1.7 миллиарда рублей, вон, ликвидируют (и еще 300 миллионов потратят на ликвидацию). Может и не все наши видеохостинги выживут ®️ Так что подожду пока туда выкладывать. Хотя, если честно, то просто лень заводить там аккаунты.

#видео #выступление #спикер #презентация

Читать полностью…

Даже без геополитической балканизации Интернета, к которой все идет, когда государства сами опускают виртуальный железный занавес на своих границах, связность Интернет все чаще страдает от перерезаний обрывов подводных Интернет-кабелей 🚠

Вчера стало известно о новых «обрывах» ✂️, которые повлекли за собой проблемы в Пакистане и Индии, а также на Ближнем Востоке. Деградировала из-за этого и часть сервисов Microsoft. В диверсии подозревают хуситов, которые так мстят Израилю за сектор Газа 🔪

Это все к разговору о модели угроз, если ваш бизнес осуществляется в азиатском и ближневосточном регионе.

#геополитика #Интернет #модельугроз

Читать полностью…

Я безусловно 👌 положительно оцениваю желание регулятора знать текущее состояние защиты информации своих подопечных. Но хорошо, что я таковым не являюсь, а то я бы в ответ на запрос спросил, как можно просить отчитаться до конца сентября 2025 года, ссылаясь при этом на приказ, вступающий в силу только весной 2026 года 😮

ЗЫ. Спасибо подписчику за присланный документ, фрагмент которого выше.

#оценказащищенности #регулирование

Читать полностью…

Ну что, взломан еще один удостоверяющий центр - французский CertEurope 🇫🇷 Если верить хакеру, то он украл из скомпрометированной инфраструктуры драйверы и ПО для управления защищенными смарт-картами и USN-ключами, а также сертификаты 🔓 (.crt, .der), связанные с французскими организациями, включая и CertEurope и Certigreffe. Также утекли и всяческие документы 📃, ПО, мануалы и др.

Хорошо что в России УЦ не ломают и на профильных мероприятиях можно обсуждать самые актуальные темы в области PKI 🤔 - результаты работы экспертного совета Минцифры по электронной подписи, способы ведения статистики по деятельности УЦ и много других полезных тем. Про пошатнувшееся доверие к инфраструктуре PKI все вспомнят только тогда, когда на вечерней программе упадет с караоке-сцены набравшийся гендиректор очередного УЦ 🍷

#инцидент #pki

Читать полностью…

Коллеги запостили традиционную пятничную порцию DevOpsных мемасиков, а я утащил у них один, про ИБ 😎

#юмор

Читать полностью…

Выступал вчера на конференции НАУМИР "ПрофИБ", рассказывал всякое 🙊 Зашел разговор и о том, что многие финансовые организации были отрешены МВД от СМЭВ для проверки легитимности паспортов из-за отсутствия аттестации по требованиям ФСТЭК (мы это уже обсуждали в чатике) 🗂

Так вот я высказал мысль, что ситуация с отключением коммерческих компаний от ГИСов будет нарастать, так как таковы требования законодательства 🥴 И надо быть готовым к худшему сценарию развития событий. А что же делать?

И вот тут снова прекрасно можно проиллюстрировать отличия двух взглядов – ИБ и бизнеса. Что делает специалист по защите, когда ему говорят, что без аттестации он не получит доступа к нужной информации? Правильно, предлагает провести аттестацию ✍️ Да, можно попробовать сократить масштаба объекта информатизации, но все равно, мы идем через аттестацию собственных систем.

А есть другой путь, который может выбрать бизнес. Надо просто найти фирму, которая имеет нужные аттестаты, подключается к СМЭВ и другим ГИС, и предоставляет прокси-доступ для своих клиентов, которые платят 🤑 чуть больше, чем при прямом доступе, но без затрат на аттестацию. И дальше обычная экономика – на одной чаше весов затраты на аттестацию со всеми ее неудобствами для постоянно изменяющейся инфраструктуры, а на другой – работа через посредника 🤝

И видится мне, что на рынке очень быстро появятся такие фирмы-прокладки, полностью соответствующие всем требованиям законодательства. Но станет ли от этого система безопаснее, я не знаю... 🤔

#регулирование

Читать полностью…

На шестую годовщину 6️⃣ своей деятельности LockBit объявил о выпуске LockBit 5.0, новой версии своего вымогательского ПО (панель для аффилиатов и сам код шифровальщика были переписаны с нуля и, по заявлениям группировки, не имеют аналогов). Анонс появился на криминальном форуме RAMP.

LockBit недавно серьезно пострадал в результате операции “Cronos” ☁️ – международной операции по дезорганизации группировки и захвату ее инфраструктуры. Возврат со свежей платформой говорит о ее устойчивости и способности возрождаться даже после тяжелого удара со стороны правоохранителей. Группа перезапустилась с новой инфраструктурой, доступ к которой теперь предоставляется за деньги (500 баксов в криптовалюте), а не бесплатно, как раньше 🪙 Требование оплаты – явный сигнал, что LockBit хочет ограничить аффилиатов и увеличить контроль над сетью RaaS.

LockBit 😷 пытается вернуться на форум XSS, где была ранее заблокирована, и проводит голосование для своего возврата с предложением проведения писательского конкурса с призом $20000 – $30000 (подкуп избирателей? не, не может быть). Параллельно группа положительно отреагировала на предложение от DragonForce о создании "картеля" или "коалиции" с другими игроками, такими как Qilin 🤝 Цель – установить общие правила, избежать публичных конфликтов и коллективно диктовать условия рынку. Идея формирования картеля показывает, как киберпреступные группы эволюционируют – стремятся к структуре, управлению и разделению рисков, как в криминальных сетях 🤯

Эксперты не до конца верят в возрождение из пепла и считают, что возможно три основных сценария происходящего:
6️⃣ подлинное воскрешение первоначальной команды некоторыми оставшимися на свободе членами,
2️⃣ обманная операция правоохранительных органов,
3️⃣ кража бренда другим злоумышленником, который хочет сесть на хвост известному имени 😂

В настоящее время новый LockBit 5.0 не имеет публичного сайта утечки данных (DLS) 🫱 и его технические возможности остаются непроверенными, оставляя ИБ-сообществу только возможность гадать, будет ли это настоящее возрождение или очередная, может быть последняя, попытка обмана (тем более, что LockBit уже обвиняли в обмане коллег по цеху). Если же это реальный LockBit, то его поведение 💰 отражает сдвиг от хаотичных RaaS-структур к организованным криминальным моделям, что не есть хорошо.

#ransomware

Читать полностью…

На фоне вчерашней заметки про атаки на взаимоотношения SaaS-Saas и копрометацию Palo Alto и Zscaler, нельзя не посмотреть на отчет Яндекс.Облака про киберугрозы в облачных и гибридных средах 🌩 в первой половине 2025 года. Из интересных моментов, на которые я обратил внимание:
➡️ В 15% случаев атаки осуществлялись через злоупотребление доверительными отношениями с партнерами или подрядчиками (T1199 по MITRE ATT&CK). Хотя этот показатель ниже остальных, он требует особого внимания – потому что такие атаки сложно обнаружить вовремя 🤝
➡️ Угроза теперь распространяется не только на облака, но и на связанные on-prem окружения. Злоумышленники активно используют облачные инструменты в атаках по on-prem инфраструктуре и наоборот – это делает гибридные среды особенно уязвимыми.
➡️ Неудивительно, но 54% атак начались не через уязвимости и не через социальный инжиниринг, а через использование валидных учетных записей, полученных, например, через утечки или фишинг 🔏
➡️ Приблизительно 38% атак связаны с компрометацией сторонних сервисов, провайдеров или ПО, у которых доверительный доступ к облачной инфраструктуре. Это подтверждает, что атака на подрядчиков становится одним из основных векторов проникновения 🎭
➡️ Применение ИИ-ассистента в облачном SOC позволило сократить MTTR (время реагирования) на 30%, благодаря автоматической суммаризации инцидентов и адаптивной генерации плейбуков 🤖

#статистика #облако

Читать полностью…

С одной стороны все говорят 😎 о приверженности прайваси, соблюдении ФЗ-152 (в его исконном, а не РКНовском понимании). А с другой мы же прекрасно понимаем, что "данные - это вторая нефть" и что данные нужны всем и бигтехам и государству. И они будут их собирать всеми правдами и неправдами 😏 И чем больше разноплановых компаний в экосистеме бигтеха (особенно с государственным участием), тем больше угроза для приватности гражданина. И ничего с этим не поделать 🤬

#приватность #видео

Читать полностью…

Я календарь переверну - теперь он цифрами к стене…

Мне кажется этим сообщением в канале техподдержки НУЦ сказано все, что нужно знать об отечественном PKI, тех, кто управляет этой всей шнягой, и перспективами цифровизации страны! Интересно, CRL у них тоже не работает с 10 до 18?.. 😦

#pki

Читать полностью…

Интересный кейс со взломами ИБ-компаний 🔓 В августе 2025 г. в течении 10 дней (8–18 августа) злоумышленники получили и имели доступ к Salesforce-инстансам множества компаний через интеграцию с Salesloft Drift (ИИ-агент), который и был взломан. Через скомпрометированные OAuth-токены хакеры получили доступ и начали качать все подряд: аккаунты, контакты, кейсы, сделки. Дальше они уже копались в этих данных, выискивая секреты и зацепки для последующих атак на те же AWS, Snowflake и прочие облака 🌧

Среди сотен пострадавших, как downstream-клиент Drift, оказалась Palo Alto Networks, известный поставщик решений по ИБ 🤬 Важно отметить: атака была на Salesforce, а не на инфраструктуру самого ИБ-вендора. Компания официально заявила, что инцидент ограничился их CRM, которая располагалась в Salesforce, а продукты, системы и сервисы Palo Alto остались вне зоны влияния злоумышленников 🥷

SaaS-to-SaaS интеграции 🤝 (в данном случае Salesloft <-> Salesforce) – это новая точка слабины, создающая слепую зону для традиционных защитных решений. Многие компании доверяют цепочке сервисов, но её безопасность часто «слепая зона». OAuth-токены становятся полноценным ключом доступа, и их угон позволяет хакерам работать "под видом легитимного приложения" 🖥

Salesloft отозвал все токены Drift и потребовал повторную аутентификацию пользователей 🛂 Palo Alto же советует всем клиентам Salesforce покопаться в логах, проверять активности Drift API, мониторить IdP. И главное – сменить все ключи и пароли, даже если они кажутся "чистыми".

Помимо Palo Alto также пострадала еще одна ИБ-компания – Zscaler 😶‍🌫️ Схема была точно такой же, но утекли также данные техподдержки – текстовые чаты из служебных кейсов (без вложений и файлов). Возможно пострадали и иные ИБ-компании (услугами Salesforce пользуются многие разработчики средств защиты информации), но пока об этом не говорится 🤐

А как вы контролируете своих поставщиков с точки зрения кибербезопасности? 🤔

#инцидент #supplychain

Читать полностью…

Минцифры 🔢 хочет взимать большие деньги за доступ коммерческих компаний к СМЭВ. Минэкономразвития, изучив эту инициативу, считает, что Минцифры таким образом хочет переложить все затраты на обслуживание и развитие СМЭВ на бизнес, что не очень-то правильно, так как СМЭВом достаточно активно пользуются и госорганы, а значит и госбюджет (читай, Минцифры) должен раскошелиться 🤑

Идем дальше. Минцифры переложило задачу создания, поддержания и развития национального мессенджера Ⓜ️ на частную компанию из экосистемы холдинга ВК. И судя по тому, что пишут СМИ, государство сейчас активно всем присовывает всех призывает идти в Max 🫵, который для бизнеса не бесплатен. И судя по выложенным в Интернет расценкам, если они корректны, это недешевое удовольствие, навязываемое государством.

Я тут подумал, а может пойти еще дальше 🤔 Если уж Минцифры так стремится реализовать государственно-частное партнерство во всех сферах своей ответственности, то может и государственную песочницу "Мультисканер" отдать в частные руки? Все равно же не развивают, прикрыв классную идею из-за нехватки денег ⏳

ЗЫ. Такими темпами, если все отдавать делать другим, то и само Министерство окажется ненужным и его, как когда-то, сольют с Минтрансом! А для бюджета, с его дефицитом, польза! 😎

#регулирование

Читать полностью…

После очередного обсуждения Max вдруг вспомнилось про другое слово на три буквы 🇷🇺

#юмор #поэзия

Читать полностью…