Пост Лукацкого

20 Sep 2025 19:26

Просто хочу поделиться – аукцион Meet For Charity, о котором я писал летом, завершился. Это не просто "покупка встречи" с кем-то. Это когда ты инвестируешь и знаешь, что твои деньги пойдут к тем, кто действительно в этом нуждается. В этот раз – в фонд "Провидение". Победителем стал Асан Ниязов – председатель правления МТИ-Банка. Человек серьезный, деловой, но при этом открытый для помощи людям.

Мы встретились в Кибердоме – месте силы российского кибербеза с крутой фиджитал-атмосферой, сочетающей уют реального мира и технологии цифрового (я даже на космолифте прокатился). Но главное – не стены, а смыслы. Смысл места, в котором мы встретились, и смысл нашего разговора, который получился живой, по делу. Обсуждали, как в финансах строить ИБ без паники, как соответствовать регуляторике, не превращаясь в бюрократическую машину, где все тормозит. Было полезно - и мне, и, надеюсь, Асану тоже.

Но вновь повторюсь, что самое важное, что за этим разговором стоят реальные деньги, которые пойдут на помощь. Не на PR, не на "вау-эффект", а на конкретную поддержку людей. Это и есть сила таких аукционов: ты общаешься с экспертом, узнаешь что-то для себя новое и полезное, – и одновременно даришь шанс кому-то, кто даже не узнает имя своего благотворителя.

Спасибо, Асан. Спасибо, Meet For Charity. Спасибо, Кибердом. За возможность делать добро не в теории, а на практике 🫰

Пост Лукацкого

20 Sep 2025 14:12

Немного истории вам в ленту (спасибо подписчику за ссылку). Первое компьютерное преступление в Советском Союзе, повлекшее за собой недопустимое – простой конвейера автозавода на трое суток 😂 Миллионные убытки; в те времена, когда доллар стоит 61 копейку. Но, похоже, тогда, как и сейчас, судьи не до конца понимали опасность киберпреступлений, давая, преимущественно, условные сроки 👩🏼‍⚖️

#история #ответственность #недопустимое

Пост Лукацкого

19 Sep 2025 19:57

Спросил как-то умудренный ИБшник начинающих специалистов по ИБ, выступая перед ними с лекцией:
– Почему во время недавнего инцидента с компанией А была взломана база данных?

– Потому что не пропатчили критическую уязвимость, – ответил первый.
– Потому что защита была слабой, – сказал второй.
– Потому что хакеры были государственными, – добавил третий.

– Никто из вас не ответил правильно, друзья мои, – произнес мудрый ИБшник. – Потому что систему изначально никто не проектировал с учетом требований безопасности и она открыто торчала в Интернет.

ЗЫ. Все совпадения случайны. Буква 🔤 - просто первая буква алфавита 🤔

#притча

Пост Лукацкого

19 Sep 2025 11:34

Неожиданное прилетело из-за океана. IDC выпустил ежегодный, по итогам 2024 года, отчет 📊 по рынку средств управления уязвимостями ("Worldwide Device Vulnerability and Exposure Management Market Shares, 2024"). И, что интересно, в 6-ку ключевых игроков (там их всего поименовано 6, а 7-й - это пресловутый other) включена и российская Positive Technologies, где я имею честь трудиться. И тут интересен не только факт включения российской компании (IDC все-таки старается соблюдать независимость и оценивать именно весь рынок, а не только то, что устраивает американцев), а то, что во-первых, IDC не побоялись включить в отчет компанию, на которую те же самые США наложили санкции. А во-вторых, что было бы, если этих санкций не было и какое бы тогда место занимала 🟥 в этом рейтинге? Допускаю, что CrowdStrike и ServiceNow мы бы точно обошли.

Наконец, и это не менее важно ☝️ В условиях непростой геополитики российским ИБ-игрокам, которые не побоялись выйти за пределы не только МКАДа, но и Российской Федерации, удается показывать очень неплохие результаты в части мировой экспансии. Это значит, что у ИБ-компаний, если им хотя бы не мешать, а может даже и помогать 🆘, есть прекрасные шансы реально показать свою экспортопригодность, а не только кричать на каждом углу об импортозамещении. Как раз быть лидером импортозамещения не сложно. Когда выгнали всех иностранцев, странно не показывать результаты; рынок большой – на всех хватит. А вот показать отличные цифры зарубежом, в жесткой конкурентной среде, это прям хороший знак. Значит есть шансы и по другим нишам, и для других компаний ↗️

#оценказащищенности #рынок #статистика

Пост Лукацкого

19 Sep 2025 02:40

Вот и весь Youtube-плейлист 📱 из 7 частей миникурса "Как срывать овации и зажигать сердца", посвященного выступлениям и подготовке к ним. Получилось без малого 5 часов. Плейлист также выложил на VK Video 📱 Тут, правда, фиг знает, что получилось; первый раз все-таки на новой платформе; но вроде отображается. Засим самому себе поставленную задачу можно считать исполненной и переходить к следующей.

#видео #выступление #спикер #презентация

Пост Лукацкого

18 Sep 2025 15:31

Продолжим про сказочных существ. В конце октября еду в Минск на большую конференцию по кибербезопасности – напитываюсь местными сказками, обычаями 😎 Оказывается, в белорусском 🇧🇾 фольклоре есть такие интересные персонажи, как шатаны. Это были люди-не люди, существа короче, которые бесцельно шатались по дорогам и лесам, ни добра не делали, ни зла, но и пользы от них никакой. На мероприятиях по ИБ их наследники ведут себя точно так же – часами бродят по мероприятию, зависают у стендов и столиков с кофемашинами, но так и не понимают, зачем пришли 🤔

Их главные "активы" – сумка с мерчем и бейджик на ленте 🙄 Доклады они слушают краем уха, вопросы если и задают, то из серии "А чем информационная безопасность отличается от безопасности информации" или "А почему ФСТЭК - это он" (шутка). Но чаще всего они молчат, потому что и спросить-то нечего. Гораздо интереснее обсудить, у кого на стенде девки симпатичнее и где вискарь наливают 🥃

Кибер-шатаны любят прилипнуть к людям, которые действительно пришли работать: навязывают пустые разговоры 😱, пересказывают слухи, фоткаются со всеми. Польза от этого общения нулевая, но потратить ваше время они способны мастерски. Иногда удается от них сбежать... чтобы попасть в объятия других шатанов.

Между собой такие персонажи тоже не ладят: каждый ревностно охраняет свой "улов" из блокнотов, ручек и стикерпаков 🛍 А когда мерч заканчивается или еда, они первыми начинают ворчать и возмущаться; а ведь сами ничего в сообщество не привносят и пальцем о палец не ударят, чтобы что-то сделать полезное. Пользы от кибер-шатанов – ноль. Но так как мероприятия у нас в массе своей бесплатные для участников и живущие за деньги спонсоров, то вот и приходит туда всякий сброд... 🤔

#мероприятие

Пост Лукацкого

18 Sep 2025 07:27

Ну вот как-то так получилось (это где-то пятая часть) для моего выступления в Новосибирске на Positive Technology Day про прогнозирование киберзла из тбркской мифологии без магических камней, но на сугубо научной базе 🤔

#презентация #threatintelligence

Пост Лукацкого

17 Sep 2025 19:43

Утром буду выступать в Новосибирске на Positive Tech Day. Кавалерийский бросок одним днем, все как в лучшие времена 💪 Слайды презентации как обычно не готовы, но впереди целая ночь на то, чтобы подготовить рассказ про виртуальную албасты 👿 и Алатырь-камень, а также как тюркская мифология помогает предсказывать кибератаки.

Пока сделал только обложку, но обычно именно она задает тон всему выступлению. Аналогии напрашиваются сами - темный, потусторонний мир зла 😈 - это даркнет, который надо знать, чтобы ему противостоять. Там живут разные дэвы, албасты, Джанголосы, Буки, Пургул Ханы, айтойоны и всякая иная нечисть. Все как в ИБ - шифровальщики, DDoS, брокеры первоначального доступа, биржи утечек и вот это вот все 🥷 Ну дальше все просто, либо спрашивать совета у магического камня, который тебя может как направо, так и налево направить, а можно взять все в свои руки и... а вот что "и...", это уже расскажу во время выступления.

#презентация #мероприятие

Пост Лукацкого

17 Sep 2025 11:34

В шестой части мы говорим о том, как работать с аудиторией 💪 во время выступления, почему всегда будут хейтеры, независимо от того, кто вы, что вы говорите и кого представляете, как подготовиться к неудобным вопросам и снять напряжение в зале и считывать невербальные сигналы раздраженной аудитории 🚨

ЗЫ. Первая часть тут, вторая тут, третья тут, четвертая тут, а пятая тут. Финал будет завтра.

Пост Лукацкого

17 Sep 2025 06:40

Есть такой закон Конвея, который гласит, что структура ПО отражает структуру организации, которая его написала 😮 Вот именно поэтому просьбы некоторых заказчиков к ИБ-вендорам (к любым – отечественным и зарубежным): "Ну сделайте эту фичу, это же несложно. Даже я сам могу написать такой скрипт за пару часов" часто невыполнимы 🧑‍💻 Ибо небольшое изменение часто тянет за собой слишком много правок во всем коде, который обычно монолитный (у крупных компаний).

Немного облегчает ситуацию схема с business unit (BU), когда у вас отдельные подразделения являются по сути мини-компаниями. Тогда изменения вносить чуть проще 👩‍💻, но вот интегрировать продукты разных BU между собой – сложнее без единой модели данных, шины и т.п. Но это если продукты должны быть интегрированы, что нужно не всегда.

Например, известный китайский 🇨🇳 вендор бытовой техники Haier (хотя я всегда думал, что они европейцы), столкнувшись с проблемами в своем развитии, разбил бизнес на микро-компании по 10-15 человек под лозунгом "каждый сотрудник должен стать генеральным директором". Эти микро-бизнесы внутри Haier могли делать все, что считали нужным, нанимать и увольнять работников, заключать договора даже с конкурентами. Но деньги они получали только при условии достижении результата 👌 Сегодня Haier – мировой лидер, состоящий из тысяч маленьких "стартапов", что вроде как доказывает возможность существования такой схемы.

Но то, что подходит для производителя бытовой техники подходит ли для ИБ-вендора? Особенно если он пишет множество продуктов и хочет создать целую экосистему или платформу (тут с терминологией сама албасты ногу сломит) 🤔

#архитектура #проблемыибкомпаний

Пост Лукацкого

16 Sep 2025 19:31

Тюменский креатив по борьбе с кибермошенничеством. Неплохая задумка, но, не могу не сказать, что пассивная демонстрация лозунгов цепляет только в первое время, а потом картинка превращается в фон и уходит на задний план. Надеюсь, картинки будут часто менять, постоянно раздражая зрительный нерв новеньким… 🤔

ЗЫ. Спасибо подписчику за ссылку 🤝

#мошенничество #awareness

Пост Лукацкого

16 Sep 2025 11:34

В пятой части миникурса о том, как выступать 🎤 в области кибербезопасности мы поговорим о самом выступлении – как устанавливать контакт с аудиторией, об отличиях оффлайна и онлайна, о выступлении в тандеме 👬 и при наличии смешанной аудитории, а также о том, почему юбка с разрезом или татуировка, выглядывающая из декольте, – не лучший способ привлечь внимание к своему выступлению, если вы хотите считаться экспертом 🐉

ЗЫ. Первая часть тут, вторая тут, третья тут, а четвертая тут.

#видео #выступление #спикер #презентация

Пост Лукацкого

15 Sep 2025 19:46

А ведь те, кто готовят специалистов на курсах «AI SOC Specialist» и «Agentic SOC Specialist» понимают, что в сертификате будет написана аббревиатура ASS? 🍓 И когда теперь такой специалист пропустит утечку данных из-за незамеченного jailbreak prompt, менеджер SOCа со спокойной совестью может говорить: «А ну иди сюда, сертифицированная задница!» Хотя может это такое тонкое чувство юмора у авторов курсов, которые решили потроллить весь тот хайп, который последнее время разворачивается вокруг ИИ в ИБ 😅

#soc #юмор #ии

Пост Лукацкого

15 Sep 2025 15:29

В одном закрытом чатике я необдуманно добавил "половых признаков" в обсуждение, на что сразу получил по сусалам, – мол нет в ИБ и теме приватности места гендерным различиям. Все эксперты и нефиг тут принижать один пол, называя его прекрасной половиной человечества 😽 Потом у меня была другая дискуссия с человеком, мнение которого для меня важно, где я попробовал накидать вариантов, в которых именно пол играет важную роль в том, что делает специалист по ИБ.

А вот тут и Юля сегодня рефлексирует на эту тему, хотя и немного в другом контексте. Но в любом случае, есть вполне конкретные темы ИБ, где девушки и женщины гораздо лучше решают задачи, чем мужики (и в управлении инцидентами, и в мониторинге в SOCе, и в повышении осведомленности, и в моделировании угроз, и еще много где) 😘 И достаточно странно закрывать на это глаза и считать, что гендерной тематике нет места в ИБ. Причем не в контексте "женщинам не дают развиваться" или "зарплата женщин в ИБ на 30% ниже, чем у мужиков на той же должности". Это все в ИБ есть, безусловно, но так же как и "в регионах платят меньше, чем в Москве" (это вечные темы).

ЗЫ. У Юли же интересный пост про книжку "На ⭐️уй безопасность" и то, что при всей своей особенности, книга не только показывает отличия ценностей ИБ и ИТ, но и может служить руководством по тому, как налаживать взаимодействие между двумя часто конфликтующими подразделениями 🤔

Пост Лукацкого

15 Sep 2025 06:40

Седовласый ИБшник сидел напротив аудитора и внимательно смотрел на него.
– Так по какому вопросу вы к нам? – спросил тот, откладывая папку с отчетом.
– Да вот, отчет ваш по нашему соответствию читал. Пришел кое-что уточнить.
– Там что-то не так? У нас работают лучшие сертифицированные аудиторы с большим числом проведенных проектов. Я вас слушаю.
– Только запишите, – старик устроился поудобнее. – Хочу, чтобы после меня коллеги не только нормативку листали, но и на реальном производстве побывали, с работниками бизнес-подразделений поговорили. Политики и регламенты пусть сохранят, мало ли пригодятся. Но я настоятельно рекомендую хотя бы разок спросить себя: защищает ли эта бумага хоть что-то?
– Хм... – аудитор скептически поджал губы.
– А инциденты… пусть их не боятся. Они не враги, а учителя. Главное – не прятать под ковер, а разбирать. Тогда каждый сбой становится опытом, а не катастрофой.
– Простите, – удивился аудитор, – а какое отношение это имеет к нашему отчету?
– Самое прямое. Мы привыкли считать, что сложность – это нормативные требования и проверки. Но настоящая сложность – это когда у компании "защита на бумаге", ежегодные отчеты о безопасности стоят на полке, а в реальности все открыто настежь. Я сам таким был. Весь в галочках, аттестатах, сертификатах. Теперь жалею. И хочу, чтобы другие не повторяли.
– А активы? – попытался вернуть разговор в рамки аудитор.
– Запишите: активы пусть останутся бизнесу. Но не в смысле "сервера и лицензии на ПО", а в смысле доверия, репутации и людей. Вот это самое ценное. Все остальное устареет и обесценится...
– Эээ, это же противоречит стандартам! – чуть ли не взвизгнул аудитор.
- И еще, милок, – продолжал умудренный ИБшник, не обращая внимания на растущее недовольство молодого аудитора, – добавь в середину отчета фразу "Кто дочитал до этого места, свяжитесь с Алексеем Викторовичем, он обещал поставить бутылку пятидесятилетнего арманьяка".

После того как ветеран ИБ ушел, аудитор объявил перерыв. Он уставился на стопку документов, где на каждой странице было лишь "соответствует" или "не соответствует". Усмехнулся и покачал головой, а потом взял телефон:
– Крис, привет. Представь, тут дед сидел и завещал "активы в виде доверия и репутации". Я сначала подумал – бред какой-то. А потом глянул на наши отчеты и понял: у нас даже строчки такой нет. И вот что смешно… чем дольше думаю, тем больше хочется попробовать. Может, на следующем проекте реально показать клиенту, что безопасность – это не галочки, а польза для бизнеса?

#бизнес

Пост Лукацкого

20 Sep 2025 14:12

Исторические заметки

Рассказывает Вера Алексеевна Архангельская (c 1976 года- помощник прокурора Автозаводского района г.Тольятти прокуратуры Куйбышевской области, с 1982 года- старший помощник прокурора там же, с сентября 1992 года- судья Автозаводского районного суда г.Тольятти, c июня 2014 года пребывает в отставке):

"В 1983 году в СССР было совершенно первое в истории преступление в сфере высоких технологий – хакнули ПО на АВТОВАЗе, в результате чего конвейер встал на три дня. Возник прецедент: совершено преступление, за которое не предусмотрено наказание.

Первым хакером в истории СССР оказался простой программист Мурат Уртембаев, которому прочили блестящую карьеру математика в МГУ, но он отказался от научной стези, и по целевому распределению попал на АВТОВАЗ. Там его таланты никто не оценил, и он решил доказать, что чего-то да стоит.

В Управлении автоматической системой для подачи механических узлов на конвейер, в котором работал Мурат, схема работы была следующей – программист, если считал нужным, вносил изменения в ПО, но не оставлял никаких данных или отметок о внесенных изменениях.
Уртембаев создал патч к основной программе-счетчику, которая отмеряла циклы подачи узлов на линию конвейера. Патч Мурата сбивал ритм счетчика. На конвейере, где заданная деталь должна быть поставлена в четко ограниченное время, сбой в автоматике даже на секунду будет фатальным для производственной линии, где все выверено и просчитано до мелочей.

Мурат подстраховался, создав себе алиби, – запуск адского патча Уртембаев запрограммировал на день своего выхода из отпуска.

Расчет был такой: я возвращаюсь из родных степей Казахстана, обнаруживаю сбой и совершаю настоящий производственный подвиг, спасая конвейер от неминуемой катастрофы. Почетные грамоты, слава, хвала и поездка в Туапсе прилагаются.

Но вмешалось одно непредвиденное обстоятельство – программа запустилась на два дня раньше.
Никто ничего не понимал. Автоматика точно сошла с ума. Инженеры хватались за сердца – шоковая производственная терапия в течение трех дней на конвейере не прошла для них бесследно.

Бороться с ЧП были брошены лучшие специалисты. Они проверили оборудование, отдельные узлы, саму ЭВМ, но технически все было в порядке. Следов физического вмешательства не было найдено.

В конце концов, отыскали неисправный фрагмент кода. Запуск рабочей программы с другой дискеты ожидаемого результата не дал – сбои продолжались. Конвейер удалось запустить лишь через три смены.

Благодаря проделке Мурата, завод понес многомиллионные убытки.

Мурат Уртембаев пришел на явку с повинной.
Статьи, которая в нынешнем УК квалифицируется в ст. 273 деяние Уртембаева, как «создание, использование и распространение вредоносных программ для ЭВМ» и предусматривает лишение свободы на срок от трех до семи лет, тогда еще не было.

Первого хакера в нашей истории осудили за умышленные хулиганские действия и дали полтора года условно с возмещением ущерба, который был оценен в стоимость двух «Жигулей». Мурат вынужден был отрабатывать наказание слесарем на конвейере.

Рассматривал уголовное дело председатель Автозаводского суда Бойко А.С., адвокат Московский В.П., прокурор Архангельская В.А. Дня через три в газете "Известия" была опубликована статья «Умысел», которую опубликовали СМИ за рубежом. Точно не помню какие страны, но Италия и Франция точно. У Администрации ВАЗа были неприятности".

Пост Лукацкого

20 Sep 2025 08:40

Помните историю про хакера и солонку? 🧂 Этакая сатира о том, как сообщение об уязвимости превращается в цепь панических, неадекватных и контрпродуктивных мер: от жалобы хакера до массовых ограничений, паранойи, судебных разбирательств и бессмысленных технических исправлений, которые в итоге ухудшают жизнь людей и не решают реальной проблемы 🤦‍♂️ Вчера в комментах эта история всплыла и я подумал, а как бы я поступил в этой ситуации, чтобы с одной стороны отреагировать на сообщение об уязвимости, а с другой – не парализовать работу столовой и не снизить лояльность посетителей?

1️⃣ Моделирование угроз 🔓
➖ Действительно ли плохой парень способен массово отравить всех, или речь идет о единичных случаях? Да, единичные случаи тоже неприятны, но и масштаб тоже надо учитывать.
➖ Стоит ли ущерб тех неудобств, которые создают "одноразовые пароли на солонках"?
➖ Выбор адекватных защитных мер.

2️⃣ Защитные меры 🛡
➖ Контроль целостности – официанты в начале смены проверяют солонки (простая инспекция, без паспортов и кодов).
➖ Ограничение доступа – солонки пополняются только из проверенных источников (например, опломбированные пакеты соли, хранящиеся на закрытом складе).
➖ Разделение ответственности – персонал кухни отвечает за наполнение солонок, зал – за их расстановку и проверку.
➖ Незаметная защита, например, пломбы или маркировка, которая сразу покажет вскрытие.
➖ Объяснительные таблички (без излишней паранойи): "Солонки опломбированы для вашей безопасности" и "Taste something, say something" и т.п. Посетители чувствуют заботу и не сталкиваются с бюрократией, но знают, что могут обратиться к любому официанту, если что-то пошло не так.

4️⃣ Мониторинг и реагирование 🔍
➖ Если кто-то заметил странности (например, вкус соли изменился), то есть процедура сообщения персоналу.
➖ Выборочные проверки – не каждую солонку каждый день в лабораторию на анализ, а по расписанию и выборочно. Иногда обычные тестовые полоски для ускорения.
➖ Работа с ложными срабатываниями – чтобы не плодить хаос, отсеивать неподтвержденные жалобы.

Если транслировать это уже на обычные процессы, то основная идея 🤔 – избегать мер, которые усложняют жизнь клиенту больше, чем представляет из себя угроза. Сохраняем привычные процессы (если они, конечно, изначально не дырявые), добавляя невидимый слой в виде ИБ 🛡 Ну и для персонала, который не погружен в ИБ, надо давать простые и четкие инструкции вместо громоздких регламентов. Главное - соразмерность, а для этого нужно понимать, как работает то, что мы защищаем и не усердствовать понапрасну 😂

#бизнес

Пост Лукацкого

19 Sep 2025 15:40

ИТ-холдинг Т1 провел интересное исследование 🔬 32 областей российской экономики, в которых активно появляются и развиваются стартапы. Компания проанализировала 4000 "молодых да ранних" и составила DGCompass, документ на 200+ страниц, в котором описаны все рассмотренные ниши и даны интересные цифры по ним. Одной из 32-х отраслей оказался и кибербез, попавший на поляну единорогов 🦄

Стартапом в исследовании считаются те компании, которые показывают выручку до 2,5 миллиардов рублей, насчитывает не более 150 работников, не старше 5 лет и стоимость самой компании не превышает 25 миллиардов рублей 🤑 Под эти критерии попало 78 компаний, работающих в разных нишах и помогающих решать разные задачи. Не буду пересказывать все – просто посмотрите выдержку из DGCompass, касающуюся именно ИБ-сферы 📖

Будь я заказчиком или инвестором, я бы хотел еще видеть имена всех этих стартапов, чтобы либо рассмотреть их для своей инфраструктуры, либо для инвестиций 🤓 Но даже без этого работа проведена хорошая – становится понятно, какие направления привлекают внимание стартаперов, а какие нет, где они рентабельные, какая выручка может ожидать начинающих предпринимателей и т.п. Прям есть над чем задуматься... 🤔

И, кстати, по моим сведениям, сейчас начинается прям активная охота за ИБ-стартапами. Одна компания, с коллегами из которой я общался, планирует до конца года закрыть пять сделок, другая - еще столько же. Третья ограничится 2-3 поглощениями 😋

#рынок #стартап

ЗЫ. Потихоньку ставлю теги на все посты в канале, чтобы было проще ориентироваться. Сейчас вот тег #стартап во всех постах проставил. Так, глядишь и все посты в итоге помечу, а не только те, что с ноября 2024 года.

Пост Лукацкого

19 Sep 2025 06:40

Коллеги написали про новые требования к новому классу средств защиты, предложенному ФСТЭК, - СОР, то есть к средствам обнаружения и реагирования, которые в простнародье называются EDR. И вот неоднозначное у меня отношение к этим требованиям. Не к их содержанию, а к появлению еще одних требований по защите оконечных устройств. Ведь у нас уже есть руководящие документы по:
➡️ средствам защиты от несанкционированного доступа
➡️ средствам антивирусной защиты
➡️ межсетевым экранам уровня узла (класса В).

Теперь появляется еще один тип средств защиты, который включает в себя и что-то от СЗИ от НСД, и что-то от антивируса, и что-то от хостового МСЭ.

И получается, что сейчас действительно складывается ситуация, когда одно и то же оконечное устройство должно одновременно соответствовать нескольким наборам требований (СЗИ от НСД, антивирус, хостовой МЭ, теперь СОР/EDR). И это приводит к пересечениям, дублированию и иногда даже противоречиям; не говоря уже об увеличении затрат на сертификацию.

Я вижу три возможных пути решения этой проблемы:
1️⃣ Сохранить отдельные документы, но переработать их. Каждое средство защиты продолжает жить в своей «нише» (антивирус, СЗИ от НСД, МСЭ, СОР). Но требования должны быть жёстко разведены, без пересечений. Например:
➖Антивирус → только обнаружение и лечение вредоносного ПО.
➖СЗИ от НСД → контроль доступа и предотвращение обхода ОС.
➖Хостовой МЭ → сетевые фильтры уровня узла.
➖СОР → поведенческая аналитика, расследование, реагирование.
➖Преимущество: сохраняется преемственность.
➖Недостаток: получится громоздко и по-прежнему много возможных слепых зон. Да и скорость переработки принятых РД не внушает оптимизма.

2️⃣ Создать единый документ для всех средств защиты оконечных устройств, где прописывается базовый набор требований для всех средств защиты узлов/хостов. Внутри документа можно ввести подразделы или профили, описывающие разные направления (доступ, антивирус, сеть, обнаружение и реагирование, в перспективе, NAC, управление уязвимостями и т.п.). Такой подход ближе к международным практикам (NIST SP 800-53, CIS Controls), где требования задаются системно.
➖Преимущество: единый источник, меньше противоречий.
➖Недостаток: документ будет все равно большим и сложным в поддержке.

3️⃣ Единый документ с классами средств защиты узлов. Вместо отдельных типов СЗИ ввести «классы средств защиты оконечных устройств», как это сделано для межсетевых экранов. Например:
➖Класс 1 — базовая защита (антивирус + простейший контроль доступа).
➖Класс 2 — расширенная защита (добавляется хостовой МЭ, поведенческий анализ).
➖Класс 3 — полный стек (EDR/СОР с расследованием и реагированием).
➖Тогда разработчики смогут выпускать либо «лёгковесные» продукты, либо комплексные решения.
➖Преимущество: гибкость, стимулирование развития универсальных агентов (EDR, XDR).
➖Недостаток: придётся отказаться от привычной парадигмы отдельных СЗИ.

Что лучше из описанных вариантов? Если смотреть стратегически - вариант №3 (классы средств защиты) выглядит самым правильным.
➖ Он соответствует мировой тенденции интеграции функций (EDR часто включает и антивирус, и HIPS, и firewall). В идеале туда еще бы и VPN-клиента засунуть, и NAC-агента, и Identity, но это уже утопия.
➖ Упрощает сертификацию: проверяешь один продукт по классу, а не три разных по отдельным документам.
➖ Позволяет организациям выбирать уровень защиты в зависимости от выбранной модели угроз.

Но для плавного перехода, возможно, стоит пойти через вариант №2: объединить всё в единый документ, сохранив профили/подразделы. А потом уже эволюционно перейти к системе классов.

#оценкасоответствия

Пост Лукацкого

18 Sep 2025 19:33

Кот-реверсер… 🐱

#юмор #пентест #iot

Пост Лукацкого

18 Sep 2025 11:34

В финальной части миникурса по выступлениям в сфере кибербезопасности 🛡 мы подведем итоги, поговорим о типичных ошибках, допускаемых спикерами и детально рассмотренных в курсе ранее, попробуем побороть страх выступлений, с открытым забралом выйдя к нему и поняв его причину, а также поймем, почему самокопание - это зло 🕹 Подсоберу все в плейлист и залью его также на отечественный видеохостинг. Надеюсь, будет полезно.

ЗЫ. Первая часть тут, вторая тут, третья тут, четвертая тут, пятая тут, а шестая тут.

Пост Лукацкого

18 Sep 2025 02:40

Однажды к умудренному ИБшнику на конференции подошел молодой специалист по ИБ и сказал:
– Я хочу внедрять в компании только решения с сертификатом соответствия. Скажи, я поступаю мудро?

Мудрый ИБшник спросил:
– А почему именно с сертификатом?
– Так я буду уверен, что решение безопасно.

Тогда ИБшник отошел на секунду, а вернувшись принес два яблока: одно целое, блестящее, манящее, а второе надкушенное, пожухлое и не очень притязательное на вид. И предложил юноше их попробовать. Тот взял целое, надкусил его – яблоко оказалось гнилым. Тогда он взял надкушенное, попробовал, но и оно оказалось гнилым. В недоумении юноша спросил:
– Так как же мне нужно выбирать решения?
– Практикой, – ответил опытный ИБшник. – Сертификат или блестящая обертка ничего не гарантируют. Смотри в суть, тестируй, проверяй и выбирай по их результатам, а не по формальному признаку.

#притча #оценкасоответствия

Пост Лукацкого

17 Sep 2025 15:35

Австралийский ИБ-регулятор ASD ACSC 🦘 вместе с канадцами, новозеландцами, англичанами и японцами (интересно, почему американцы не в доле) выпустил неплохое руководство по управлению криптографическими ключами, сертификатами и секретами в онпрем-инфраструктурах и облаках. Ориентировано на менеджеров, методологов, архитекторов ИБ. Очень неплохо визуализирована модель угроз для криптографических решений и способы их нейтрализации, разбитые на блоки: 🔑
➡️ Корпоративное управление (политики и процедуры ИБ)
➡️ Генерация (создание ключей и секретов)
➡️ Регистрация, хранение и доступ
➡️ Распределение (защищенный обмен ключами и секретами между множеством участников)
➡️ Ротация и уничтожение
➡️ Цепочка доверия (процесс обеспечения доверия ключам и сертификатам, управляемым УЦ)
➡️ Роли в управлении ключами и секретами
➡️ Надзор – аудит и мониторинг 🤔

По части тем даны ссылки на дополнительные руководства, что в совокупности представляет уже вполне практический набор конкретных задач и шагов по эксплуатации СКЗИ. Этакая 152-я инструкция NG 🤔

#криптография

Пост Лукацкого

17 Sep 2025 07:58

Какие-то нехорошие люди назвали меня абьюзером 🫵 и нажаловались хостеру, который, не разбираясь, заблокировал и сайт, и учетку в админпанели, как будто я торговец анашой и детским порно. Сижу, разбираюсь… Сайт пока не доступен! ⛔️

В целом, это было ожидаемо ⏳ и предусмотрено обновленной моделью угроз ;-) Новый опыт тоже интересен, хотя в данном случае до Европейского суда по правам чаловека я не пойду. Если борьба за сайт затянется и будет требовать слишком много ресурсов, то сайт, вероятно, уйдет в небытие. Все равно последнюю тройку лет основной фокус на канал 🧑‍💻

ЗЫ. В резюме смогу добавить теперь приписку про жертву режима, европейского.

Пост Лукацкого

16 Sep 2025 19:38

Довелось мне как-то участвовать в деятельности одной рабочей группы по разработке мер ограничения кибероружия ❌, которая пыталась транслировать меры ядерного сдерживания на ИБ-сферу. Не получилось. Мы даже определение кибероружия не смогли четко сформулировать, чтобы границы очертить, да легальный бизнес не угробить. Это было несколько лет назад. А что сейчас? 🤔

Американцы бомбят 💣 Иран; и не только. Хуситы заявляют о начале производства химического оружия и режут подводные кабеля. Украина выходит из конвенции о запрете противопехотных мин и разрабатывает ракетные вооружения запрещенной дальности 🚀 Израиль проводит операцию (кто-то называет ее геноцидом) в Газе, желая выселить всех палестинцев из региона, а еще бомбит Катар и планирует Йемен. Россия… ну что происходит у нас в стране и так все знают 🤦‍♂️

И вот в таких условиях кто-то всерьез может рассуждать об ограничениях искусственного интеллекта и кибервооружений на международном уровне?.. Тут скоро весь мир в труху, а всякие старперы и дармоеды в области международной ИБ в разных странах мира всерьез проводят саммиты, организуют доверенные консорциумы и альянсы, подписывают меморандумы и хартии… 🤬

Международное право давно попрано и об него вытирают ноги все, кому не лень 😂 Особенно когда на горизонте маячит выгода или стратегическое преимущество. А ИИ и кибероружие – это и про то, и про другое. Так что лучше не тратить время и силы на всю эту бессмысленную борьбу и заняться чем-то более полезным. Внуков там понянчить, мемуары (главное, не учебник истории) начать писать ✍️

#кибервойна #геополитика

Пост Лукацкого

16 Sep 2025 15:21

А вы часто используете вот такую (ну или схожую по сути) фразу при общении с топ-менеджментом 🧐 на тему кибербезопасности:

С учетом нашей отрасли и масштаба бизнеса, вероятность хотя бы одного серьезного инцидента с шифровальщиком в ближайшие 12 месяцев составляет порядка p%. Наш P95 годового ущерба – X–Y миллионов рублей. Внедрение меры A снижает среднегодовые потери от инцидентов (ALE) на ΔALE/год и срезает хвост P95 на Z миллионов. При стоимости W/год ROI от меры A положительный уже в первый год, а окупаемость ~W/ΔALE лет.

"Риск ИБ вырос с 72 до 84!"

Пост Лукацкого

16 Sep 2025 06:40

Не секрет, что в промышленности киберинциденты с катастрофическими последствиями 🌎 по-прежнему воспринимаются как нечто из мира фантастики – "у кого-то где-то что-то взломали". Но реальность меняется. Один сбой у поставщика облака, однотипная уязвимость в широко используемом компоненте АСУ ТП, один сбой в едином провайдере удаленного доступа или защищенного обмена файлами – и останавливаются десятки площадок 🏭, а порой и целые отрасли (хотя это пока и редкость). Это и есть киберкатастрофа – событие (или недопустимое событие уровня отрасли или государства), способное одномоментно затронуть сотни предприятий. Можно было бы использовать даже термин "каскадный киберсбой".

На Западе с такими сценариями давно работают через так называемые Cyber CAT-модели 🙀 (я про это уже как-то писал) – это подходы, которые позволяют просчитать, что произойдет, если упадет глобальное облако, выйдет из строя общая SCADA-библиотека или появится массовый эксплойт под один из стандартных VPN-клиентов, используемых на производстве 🛡 Причем эти модели не ограничиваются страхованием, хотя и применяются, как правило, там, – их используют для стресс-тестов, выявления общих точек отказа (SPOF), планирования устойчивости и даже для принятия решений на уровне совета директоров 🧐

И вот с этой темой я подавался на одну конференцию, имея желание осветить несколько важных аспектов:
➡️ Почему моделирование катастрофических киберрисков важно именно для промышленного сектора? Важно-то оно для многих, но именно в промке может иметь более катастрофические последствия. Хотя кибератака на СБП, на ГЭС или на системообразующий банк может повлять не менее серьезно 🤕
➡️ Какие данные нужны, чтобы это делать, и как их можно собрать?
➡️ Как зарубежные страховые и промышленные компании используют CAT-модели не просто для оценки ущерба, а для обоснования инвестиций в свою киберустойчивость? 🛡
➡️ Какие сценарии могут быть актуальны именно в российской промышленности в условиях импортозамещения и концентрации ИТ-решений? И атаки на подрядчиков – это только один из них.
➡️ И, наконец, как адаптировать эти подходы под наш реалии – пусть даже без сложной математики, но с пониманием, где у нас “собственные точки провала”? 🤔

Но с CFP я пролетел. Ну а что добру пропадать – я же готовился, копал, изучал... Так что либо в блог на сайт заброшу, либо здесь буду порционно публиковать ✍️ Может и white paper родится. Как пойдет.

А с CFP неудобно получилось. Организаторы мероприятия, одна российская ИБ-компания, даже не уведомили меня о результатах рассмотрения заявки, хотя и обещали это сделать на сайте. Ну да ладно, это все равно была проверка. В позапрошлом году мне прямым текстом сказали, что представителей 🟥 видеть у себя не хотят (конкуренция, видите ли, и санкции).

С месяц назад с этой компанией был еще один неприятный кейс 🤢 Я вел пленарку на одной конференции, организаторы которой попросили меня потом дать комментарий для итогового пресс-релиза. Я дал, но текст зарезали, так как генеральный спонсор мероприятия не захотел, чтобы название его компании стояло рядом с названием моей компании. Ну и еще были схожие случаи, но уже не со мной 😔 А вы говорите, объединение отрасли, мир, дружба, жвачка... Нет их; каждый за себя. Но я в любом случае буду рад видеть представителей этой компании на CFP грядущего PHD, подготовка к которому уже началась. Мне-то с ними делить нечего – общее дело делаем.

#недопустимое #кии

Пост Лукацкого

15 Sep 2025 16:56

Учитывая, что израильский 🇮🇱 рынок ИБ считается вторым после США, интересно, как заявление Нетаньяху повлияет на ИБшные компании земли обетованной? И не усилится ли проникновение израильских ИБ-игроков на российский рынок, учитывая, что Израиль не включен в список недружественных государств 🤔

ЗЫ. Про китайский рынок нам мало что известно, хотя он должен быть значительным.

Пост Лукацкого

15 Sep 2025 11:34

В четвертой части миникурса по публичным выступлениям 📣 в сфере кибербезопасности мы поговорим о том, как выстраивать логику своего выступления, как сфокусироваться на пользе для слушателя, как вкрапливать сторителлинг в свой рассказ и что делать, если у вас еще нет кейсов, но вам надо как-то заинтересовать аудиторию. В заключении поговорим о том, зачем учитывать геометрию зала, чем отличается микрофон-гарнитура от "фаллоса" 🎤 и когда вам может понадобиться передавать свою презентацию организаторам на CD.

ЗЫ. Первая часть тут, вторая тут, а третья тут.

#видео #выступление #спикер #презентация

Пост Лукацкого

14 Sep 2025 19:23

Жил-был молодой специалист по кибербезопасности. Было у него три мечты в жизни: получить работу в крупной известной ИБ-компании, создать собственный ИБ-проект, который изменит мир, и стать экспертом, чье имя будет известно во всем профессиональном сообществе.

Зимним утром он спешил на собеседование в компанию мечты. Мороз жег лицо, он торопился и прокручивал в голове ответы на каверзные вопросы HR. На скользкой дороге перед ним поскользнулся немолодой уже мужчина и упал. "Наверное, пьян", – мелькнуло у молодого специалиста. Он ускорил шаг, чтобы не опоздать. Но собеседование оказалось провальным: его кандидатура не подошла.

Спустя несколько лет, весной его пригласили экспертом на питч-сессию молодых специалистов. В зале было шумно, презентации шли одна за другой. Кто-то явно переоценивал свои силы, кто-то увлекался шутками. Среди участников выступала девушка в странном, нарочито ярком наряде, с шутливыми репликами и смущенной улыбкой. После выступления она несмело подошла к нему и спросила, что он думает о ее проекте. Но он лишь пожал плечами и отвернулся – ему показалось, что она слишком легкомысленна, а он торопился по делам.

Через год, осенью, на другой конференции, молодой специалист заметил в холле известного ИБ-блогера. Обычно он был энергичным, постоянно пишущим что-то в смартфоне, окруженный людьми. Но теперь сидел один, ссутулившись, и, казалось, не видел никого вокруг. Недавно он потерял отца, и боль еще была свежа. Ему нужен был человек, который просто проявил бы участие и сказал несколько слов поддержки. Но снова куда-то торопящийся молодой специалист, занятый своими планами и разговорами с другими участниками, прошел мимо; ему показалось неловким подходить: "Что я могу сказать? У меня своих забот хватает".

Прошли годы. Его мечты так и не воплотились: ни должности, ни проекта, ни известности. И вот он умер.

На Небесах он встретил своего Ангела-Хранителя.
– Я прожил пустую жизнь, – сказал он. – У меня было три мечты, но ни одна из них не сбылась.

Ангел посмотрел на него с отцовской нежностью и произнес:
– Друг мой, я дал тебе все возможности. Нужно было лишь немного: твоя рука, твои глаза и твое сердце.
– Тот пожилой мужчина зимой был генеральным директором компании, куда ты мечтал устроиться. Достаточно было просто протянуть ему руку помощи и вопрос твоей карьеры был бы решен.
- Помнишь девушку в странном костюме на питч-сессии? Она была гением, скрывавшимся за маской. Она могла стать твоим партнером в проекте, который изменил бы всю ИБ-отрасль. Нужно было лишь взглянуть внимательнее, но для этого ты должен был открыть свои глаза.
– Тот блогер в холле ждал слов поддержки. Если бы ты остановился и помог, его пост о тебе прочло бы все сообщество. Это стало бы началом твоей известности. Нужно было лишь открыть свое сердце.
– Ты прошел мимо, мой Друг…

#притча #рефлексия