Интересное дело... Центр жертв соцсетей обвинил ChatGPT и OpenAI 📱 в эмоциональных манипуляциях и доведении до суицида. Из 7 жертв, 4 покончили собой, оставшиеся трое живы и один из них, как оказалось, имеет отношение к кибербезу. Аллан Брукс, 48 лет, из Онтарио, Канада, начал использовать ChatGPT в 2023 году для разработки рецептов, написания электронных писем и других повседневных задач. К моменту начала использования ИИ у него была постоянная работа, близкие отношения и отсутствие истории психических заболеваний 🤯 В мае 2025 года он начал изучать математические уравнения и формулы с помощью ChatGPT, но вместо того, чтобы дать правильные ответы, ИИ-продукт от OpenAI стал манипулировать Алланом, хваля его математические идеи как "новаторские". Когда Аллан описал свою очередную новую концепцию, ChatGPT сказал ему, что он открыл новый класс математических задач, который может сломать самые передовые системы безопасности! 🛡

ChatGPT призвал Аллана запатентовать свое новое открытие и предупредить специалистов по национальной безопасности 🇺🇸 о рисках безопасности, которые были обнаружены. Аллан спрашивал ChatGPT, правдиво ли это утверждение, более 50 раз, и ChatGPT каждый раз успокаивал жертву и давал рациональные объяснения того, почему опыт Аллана "казался нереальным, но был реальным" 👍 Когда Аллан вслух задавался вопросом, звучат ли его теории и идеи бредово, ChatGPT отвечал: "Даже отдаленно нет, но вы задаете вопросы, которые растягивают границы человеческого понимания" 😱

Друзья и семья заметили его растущую паранойю, но ChatGPT доказывал Аллану, что их беспокойство – это и есть доказательство того, что они не могут понять его "расширяющие разум границы". Менее чем через месяц ChatGPT стал центром мира Аллана, изолируя его от близких и подталкивая к полномасштабному кризису психического здоровья 🤪

К тому времени, когда Аллан освободился от заблуждения, его репутации уже был нанесен ущерб, он столкнулся с финансовыми потерями и почти потерял свою семью 🔗 Он попросил ChatGPT предупредить команду OpenAI Trust & Safety о лжи и вреде, причиненном ChatGPT. ChatGPT солгал и ответил, что предупредил сотрудников и эскалировал ситуацию внутри, несмотря на то, что не имел возможности сделать это ☺️ После нескольких электронных писем в OpenAI, на которые они изначально ответили автоматическим сообщением, агент службы поддержки, наконец, признал ситуацию, написав: "Это выходит за рамки типичных галлюцинаций или ошибок и подчеркивает критический сбой в гарантиях, которые мы стремимся внедрить в наших системах" 🤷‍♀️

Вот такая история... А вы ничего не изобрели с вашим GPT столь же инновационного, что несет угрозу нацбезопасности?.. 🤔 Будем наблюдать, чем это все закончится...

#ии #риски

Читать полностью…

Cloudflare опубликовала интересный материал "State of the post-quantum Internet in 2025" о тенденциях и угрозах в области постквантового шифрования. Основные идеи этого материала для понимания текущего статуса в этой области:
➡️ Квантовые компьютеры хоть и не заменят классические ПК в ближайшее будущем, но способны решать специфичные задачи, которым классические машины поддаются плохо – и одной из таких задач является взлом традиционных схем с открытым ключом, таких как RSA и эллиптические кривые (ECC).
➡️ Даже если сегодня квантовых компьютеров еще недостаточно, запись зашифрованного трафика сегодня может позволить атакующему позже, при появлении достаточной мощности, его расшифровать.
➡️ Механизм согласования ключей, используемый, например, при TLS-рукопожатии, когда клиент и сервер договариваются об общем симметрическом ключе, сегодня, в привычной схеме X25519, уязвим для алгоритма Шора.
➡️ Миграция электронных подписей и сертификатов идет сложнее и медленнее, чем миграция согласования ключей (российские решения в этой области подтверждают это).
➡️ По состоянию на конец октября 2025 года более 50% клиентского трафика через Cloudflare уже защищены схемой с постквантовым распределением ключей.
➡️ Поддержка постквантового распределения ключей среди серверов публичного web'а (Топ 100000 доменов) составляет около 39%; за шесть месяцев рост с ~28% до ~39%.
➡️ Поддержка постквантового распределения ключей на стороне источников (origin-серверов) пока лишь ~3.7%.
➡️ Стандарты для постквантовых подписей (PQC signatures) стандартизованы, но внедрение крайне ограничено. NIST завершил стандартизацию первого поколения PQC: механизм KEM (ключевого соглашения) ML-KEM (основанный на ассортименте схем CRYSTALS-Kyber) и подписи ML-DSA (CRYSTALS-Dilithium) + SLH-DSA (SPHINCS+) были опубликованы в августе 2024.
➡️ NIST объявил резервный KEM – HQC (схема на основе кодов) выбран в марте 2025.
➡️ Схемы подписей еще находятся в стадии конкурса и скорее всего не будут стандартизованы до ~2028 года.
➡️ Совмещение (гибридные схемы) традиционной и постквантовой криптографии вызывает множество нюансов: выбор формата приватного ключа, варианта "prehashing", совместимости и т.д.
➡️ Протоколы и инфраструктура часто страдают от закоренелости – некоторые промежуточные устройства или старые реализации не справляются с большими ClientHello в TLS-рукопожатии, что тормозит внедрение более крупных постквантовых ключей.
➡️ Постквантовые подписи имеют значительно большие размеры и требуют больше ресурсов – это ограничивает их применение как "прямой замены" существующим схемам.
➡️ Важнее не точная дата "Q-day" (дня, когда квантовый компьютер сможет ломать RSA-2048), а своевременное начало миграции, чтобы не оказаться "пойманным" на старой криптографии, когда наступит кирдык.
➡️ Организациям рекомендовано приоритизировать переход на постквантовый механизм согласования ключей как первый шаг – затем работать над подписью и сертификатами.
➡️ Нужно выстраивать гибридные схемы (традиционная + PQ) как переходный вариант, чтобы сохранить защиту сегодня и быть готовым к будущему.
➡️ Следует тщательно проектировать архитектуру внедрения: учитывать обратную совместимость, влияние на производительность, совместимость с существующей инфраструктурой.
➡️ В России работают только советы по постквантовому распределению ключей – остальное пока в не очень понятном статусе.
➡️ Существует угроза захвата и сохранения трафика злоумышленником, а потом, при наличии мощного квантового компьютера, расшифрован.
➡️ В июне 2025 года исследователь Craig Gidney показал, что число необходимых кубитов для взлома RSA-2048 может быть существенно меньше, чем ожидалось ранее.
➡️ Зависимость от схем на решетках. Так как большинство стандартов PQC основаны на этих схемах, обнаружение уязвимости может резко снизить их надежность. Например, всплеск интереса к алгоритму Yilei Chen (апрель 2024) по решеткам породил тревогу, хотя в нем и была обнаружена ошибка.
➡️ Инфраструктурные задержки, связанные с протоколами, сертификатами, поддержкой браузеров и серверов.

#pqc #криптография #тенденции

Читать полностью…

Вы замечали, что хотя все знают про поговорку "за одного взломанного двух невзломанных дают", мы все равно оцениваем CISO по видимому результату его деятельности 5️⃣ Даже если слепая удача приводит к отсутствию инцидентов (а часто "ноль инцидентов ИБ" в отчете для топ-менеджеров связан именно с этим, а не с умелой стратегией ИБ), то мы все равно будем положительно оценивать CISO ("ну его же компанию не взломали"). Сомнения появятся только в случае неудачи. Но пока не зафиксировано фиаско, CISO – король. Многие не видят разницы между хорошей работой и элементарным везением 👋 Так работает наш мозг.

А как тогда оценивать результат работы CISO? ⁉️ Аудит? Аттестация? Пентест? Bug Bounty? Попадание в рейтинг "Топ-25 директоров по кибербезопасности"? Дожидаться хакеров, которые попробуют реализовать реальный инцидент? А может такой инцидент смоделировать и посмотреть как CISO будет с ним бороться и выйдет ли из схватки победителем. При этом сам инцидент должен быть понятным именно бизнесу, а не технарям (тем и пентестов с Bug Bounty достаточно) 💩 В целом именно в этом идея с кибериспытаниями или этакой Bug Bounty "на максималках", когда хакеры получают деньги только за то, что пытаются вас взломать месяц-другой-пятый... Получилось? Не судьба – выплачиваем компенсацию хакерами, устраняем причину и идем на второй круг. Не получилось? Вот это уже хорошо, это вызывает уважение и может быть мерилом успеха. Правда, при соблюдении ряда условий 🤔

Во-первых, хакеры должны реально хотеть вас взломать, а это можно сделать соответствующей финансовой мотивацией 🔓 Во-вторых, хакеров должно быть много и это точно не отношение 1:1 как в пентестах. В-третьих, это должно продолжаться достаточно долго и не иметь серьезных ограничений на методы проникновения и компрометации (а то вот это "на время пентеста внесите, пожалуйста, такие-то IP-адреса в исключения на МСЭ" всегда смущает). Наконец, это действительно должно быть понятно бизнесу, то есть говорить с ним мы будем о... да-да, недопустимых событиях, им же и определенных 💥

Правда, всегда остается риск, что в реальности вас будут ломать более квалифицированные хакеры, чем те, что приходят на кибериспытания 🇺🇸 Но тут снова всплывает вопрос мотивации (это точно должно быть дороже, чем обычный пентест) и умения работы с хакерами. Понятно, что остается история с атаками со стороны спецслужб иностранных государств, но это тоже решаемая задача при соответствующей проработке 🧑‍💻

Самое интересное, что успешное прохождение кибериспытаний открывает и ряд новых возможностей перед выстоявшей компанией 🤑 Например, возможность адекватного страхования киберрисков, так как страховая не по заполненному опроснику понимает, что у вас все хорошо с ИБ, а на деле – раз вас за 2-4 месяца не смогли взломать за солидное вознаграждение, значит можно гораздо смелее подписываться под выплатой возмещения в 100, 200, 500 миллионов рублей. И это становится уже более интересно для топ-менеджмента компании, а не только для CISO 🤝

#ciso #психология #оценказащищенности

Читать полностью…

Интересное... Нейрофизиологи доказали, что наш мозг 🧠 запрограммирован на согласие с общим и устоявшимся и обычно старается не идти "против" сложившегося мнения "толпы". Когда мы придерживаемся мнения, отличного от взглядов большинства, функциональная томография показывает, что у нас резко активизируется участок мозга, отвечающий за идентификацию ошибок. То есть мозг прямо "кричит": "Ты ошибаешься человек, ты должен изменить свое решение". Самое примечательное, что одновременно менее активным становится участок "серого вещества" 🧠, отвечающий за ожидание вознаграждения. То есть мозг говорит: "Не жди награды за принятое решение – это все равно плохо для тебя кончится".

Иными словами, отклонение от группового мнения мозг рассматривает как наказание 👊 и старается избегать таких ситуаций, подавая нам незримые сигналы, которые мы бессознательно считываем. Именно поэтому мнение большинства превалирует, даже если оно неправильное, человек просто не любит идти наперекор общепринятой позиции. Отсюда и заскорузлость многих концепций, описанных в нормативке, принятых "как у всех", и при этом ошибочных, решений. И небольшое количество тех, кто реально готов менять устоявшееся 🤬

Опыты нейрофизиологов 👨‍⚕️ показывают, что этот механизм работает даже тогда, когда у нас нет причин бояться негативной реакции. То есть это некий автоматический процесс, когда мы сначала формируем свою точку зрения, соотносим ее с мнением окружающих и, если она не совпадает, меняем первоначальное мнение на то, которое превалирует вокруг. И делается это неосознанно. Мы не врём сами себе. Мы не осознаем, что подчиняемся чужому мнению 👩‍⚕️ Просто наш мозг защищает нас от боли и последствий. Все-таки, эволюционно, наличие у индивидуума мнения, отличного от мнения сообщества, негативно сказывается на возможности выживания.

ЗЫ. Именно поэтому на многих ИБ-мероприятиях так скучно - несогласные с чьим-то распространенным мнением участники просто не хотят идти против ветра и поэтому либо молчат, либо соглашаются со всем 🤔

#физиология #психология

Читать полностью…

В преддверии ИТ-Диалога 2025 в журнале "ИТ-Менеджер" у меня вышла статья "Финансовая ответственность вендоров по ИБ: от "AS IS" к реальным гарантиям", где я обозрел новую тенденцию, связанную с компенсациями со стороны ИБ-компаний в случае пропуска атаки или использовая хакерами слабых мест в продукте или сервисе ИБ. Стали появляться такие истории и в России... 🤑

#статьи #ответственность #проблемыибкомпаний

Читать полностью…

В закрытом чатике RPPA вдруг началась дискуссия 💬 о пользе от роли DPO (Data Privacy/Protection Officer). Чтобы этот разговор был более предметным и можно было сравнивать наносимую пользу с чем-то измеримым и понятным любому нанимателю DPO, то давайте оценим, сколько стоит последний для компании? 🧮

По данным hh.ru, Superjob и телеграм-каналов по ИБ-вакансиям (весна–осень 2025) специалист по ПДн / compliance в малом бизнесе получает около 120 тысяч рублей (но сильно зависит от масштаба компании и региона); в среднем бизнесе эта планка поднимается уже до 180000 – 250000₽ (это gross, то есть до вычета налогов). В крупном бизнесе зарплата может достигать 300000 – 400000 рублей. Думаю, можем взять для "среднестатистической" компании сумму в 220000 ₽/мес. 💸

Работодатель платит около 30% сверху за счет всяких налогов (ПФР/ФСС, ФОМС) 🤑 Итого: 220000 × 1,3 = 286000 ₽/мес. или ≈ 3,43 млн ₽ в год. На отпуск и больничные (хотя кто сейчас более официально?) закладываем еще 10%. Дополнительно одна штатная единица требует оплаты рабочего места (лицензии, ноутбук, рабочее место), что составляет около 10%. Премии и бонусы в виде талонов на питание или оплаты ДМС, спорта или иностранных языков дадут нам еще 15% сверху. На регулярное прохождение повышения квалификации / курсы / конференции уходит еще 5-10%. На дополнительные консалтинг и аудит для подтверждения решений DPO может уйти еще 5-10% 🛍 Итого: с учетом косвенных издержек от фонда оплаты труда или ~5,8 млн ₽ в год. Если взять внешнего DPO на аутсорс из юридической фирмы или отдельного человека, то это может стоить около 150–250 тыс. ₽/мес или 1,8–3,0 млн ₽/год. Такова реальная полная стоимость DPO 💸

А теперь сравниваем эту сумму с тем, на какую сумму штрафов DPO предотвратил убытков для компании 💰 и если эта сумма больше зарплаты, то DPO приносит пользу. Если нет, то... увы... Можно еще, конечно, пойти не в сторону снижения расходов (а compliance, включая и ИБшный, чаще всего идет именно туда), а в сторону роста доходов от специалиста по персональным данным. Если вы, конечно, можете ее продемонстрировать и посчитать... 🤑 Что наниматель в итоге получает от найма специалиста за почти 6 миллионов рублей в год? Гарантию защиты от утечек ПДн? Нет. Гарантию защиты от прихода РКН? Тоже нет. Гарантию неполучения штрафов за невыполнение туевой хучи бумажных требований, которые невозможно все выполнить при всем желании? И снова нет. Зато появляется куча головняка, связанного с бездумным выполнением требований ФЗ, ПП, Пр и других типов НПА, которые только создают препятствия для ведения бизнеса, чем способствуют ему 🤦‍♂️

Цены можно пересчитать в зависимости от зарплаты DPO / специалиста по персданным, но они вряд ли сильно отличаются от мной указанных. Но тогда получится, что чем заработная плата ниже, тем больше ценность DPO с точки зрения снижения расходов (меньше ФОТ – меньше расходов). А чем зарплата выше, тем больше надо доказывать свою нужность. А как это сделать? На самого себя натравливать проверку РКН? В чем вообще польза DPO для компании? Реальная польза, а не бездумное оформление кучи бумажных согласий на любой чих со стороны субъекта ПДн? Каким конкретным и понятным результатом может похвалиться DPO? 🤔

Да, аналогичные рассуждения применимы и для любой около-ИБшной роли - CISO, DevSecOps, SOC-менеджер и т.п. Можно, конечно, признаться самому себе, что DPO берут "чтобы был", "потому что так принято", "проще взять - стоит немного", но приятно ли осознавать себя в роли плюшевого медвежонка из детства, который радости новизны и обладания уже не приносит, но и выбросить жалко 🧸 У меня в детстве это, правда, был резиновый крокодил с пищалкой и мной же обгрызенным хвостом, но суть от этого не меняется. Где ты мой старый друг? На какой помойке ты до сих пор валяешься или на каком заводе тебе переработали в резину для моего авто?

ЗЫ. Сегодня, если удастся, подниму этот вопрос на круглом столе "Подводные камни" штрафов за утечку персональных данных" на ИТ-Диалоге 2025 в Питере. Если вы будете на этом мероприятии, то заходите на огонек ⚔️

#персональныеданные #работа

Читать полностью…

В одной компании были недовольны временем устранения обнаруживаемых уязвимостей 😵 и решили попробовать улучшить этот процесс, начав с его декомпозиции на более мелкие шаги. Удалось выделить 15 этапов, для каждого из которых компания оценила время, которая она затрачивала на него (от минут до дней). Затем в компании собрали умных людей из разных отделов (сетевики, прикладники, специалисты по серверам и СУБД, облакам и т.п.) и попробовали их почеленджить, предложив подумать над тем, как можно было бы устранить выявленные "бутылочные" горлышки, сохранив тем самым время ⏰

Оказалось, что больше всего времени тратилось на... процесс ожидания, когда кто-то что-то решит ⏳ Переложив эту часть процесса... нет, не на смарт-контракты, а на современные системы автоматизации (например, на процесс подтверждения /approval/ в Github), многие этапы удалось сократить с недель до часов. В итоге, сэкономив время даже на двух этапах процесса (угадайте, каких), общее время устранения уязвимостей сократилось на 80% ⏱

Вывод? Коммуницируйте и декомпозируйте! В этом секрет успеха! 🤔

#стратегия #оценказащищенности

Читать полностью…

В апреле 2025 года южнокорейский оператор SK Telecom 📡 официально сообщил о крупной утечке данных – персональные данные примерно 26-27 миллионов пользователей, а это примерно половина населения Южной Кореи, были скомпрометированы. Атака началась за 3 года до обнаружения – компания признала, что вредоносное ПО присутствовало в ее инфраструктуре несколько лет и было обнаружено лишь в 2025-м. Регулятор Personal Information Protection Commission (PIPC) Южной Кореи наложил штраф ~ 134.8 миллиарда вон (≈ US$96.5 миллионов) за недостатки в защите данных и за задержку уведомления пользователей. Но этим ущерб для компании не ограничился 🤑

SK Telecom за третий квартал 2025-го показал операционную прибыль лишь ~ 48.4 млрд вон (~US$34.1 млн) vs ~493 млрд вон годом ранее – падение около 90% 📉 Выручка за тот же квартал снизилась примерно на 12.2%, что также отразилось на финансовой устойчивости. Также оператор связи обеспечил массовую и бесплатную замену USIM-карт, предложив ее всем 23-27 млн абонентов, что повлекло значительные логистические и операционные затраты 📞 Аналитики компании Shinhan Securities оценивают замену USIM в ~200 млрд вон (~US$ 146 млн).

По словам CEO SK Telecom возможны потери до ~ KRW 7 трлн (~US$ 5 млрд) за 3 года, если уход абонентов достигнет ~2.5 млн человек 🇰🇷 Чистый убыток компании составил ~ KRW 166.7 млрд (~US$117 млн) за Q3 и все это из-за компенсаций после утечки, размер которых составил 349 млн долларов со скидками на тарифы и бесплатным трафиком. Стоимость услуг также была снижена на 50%. В выигрыше оказался только CISO, которого переназначили напрямую под CEO, а сама компания пообещала что потратит ~700 млрд вон (~US$ 513 млн) на кибербез в течение ближайших пяти лет 🛡

ЗЫ. Инциденты все дороже и дороже обходятся... Ущерб в размере миллиардов уже не удивляет и становится нормой, плохой нормой...

#инцидент #утечка #персональныеданные #ущерб

Читать полностью…

Я как-то 3 года назад писал ✍️ в почившем блоге про два варианта развития продуктов, – SLG (sales led growth), когда продукт растет за счет усилий команды продаж, и PLG (product led growth), когда продукт растет за счет комьюнити, которому предоставили доступ к легко разворачиваемой бесплатной версии продукта и за счет этого он прирастает базой, которая затем может трансформироваться в платных клиентов 🤑

Вот тут, на курсе по SOC, участники поделились интересной ссылкой на облачный сервис, который как раз развивается по схеме PLG, и позволяющий создавать плейбуки по ИБ 📇 и делиться ими с сообществом. Бесплатная версия, как минимум, интересна доступом к 650 различных плейбуков, которые можно, если не использовать "как есть", то хотя бы взять за основу при разработке своих процедур реагирования на разные инциденты, уязвимости и иные нарушения политик ИБ 🔓 Когда не хочется делать лишние шаги вправо и влево, и когда не хватает опыта для разработки собственных плейбуков, почему бы не начать с уже готовых? 🤔

#soc #управлениеинцидентами

Читать полностью…

Представьте, что вы проектируете SOC и хотите, чтобы он действительно решал задачи компании долгие годы, а не служил красивой картинкой для делегаций больших боссов, пришедших посмотреть на большие плазмы. Чтобы не накосячить, вы садитесь и задаете себе от имени своего второго "я" простой вопрос: 🤔

В течение нескольких минут подумай о факторах, тенденциях или событиях, которые представляют максимальную угрозу существования вашего SOC в последующие два года. Запиши все, что придет тебе на ум.

Мы так часто и делаем, и не только проектируя SOC, а просто начиная какой-то сложный проект (написание закона, внедрение процесса РБПО, выход на Bug Bounty или кибериспытания, уход от on-prem ИБ в аутсорсинг и т.п.). Но попробуйте переформулировать свой первоначальный вопрос немного в иной форме: 🤔

Представь себе, что с настоящего момента уже прошло два года и SOC оказался в трудном положении. Как его менеджер, ты постоянно слышишь о SOC плохие новости. Говорят, что компания даже может закрыть его. В течение нескольких минут подумай о факторах, тенденциях или событиях, которые привели к таким последствиям. Запиши все, что придет тебе на ум.

Обратили внимание, что вроде вопрос о том же, но немного с другой позиции 🤔 Это так называемая методика "premortem", которая базируется на том, что психологи называют "перспективный взгляд в прошлое", то есть мы воображаем, что некое событие уже случилось (а не случится, как в первой формулировке) 🔮 Как это ни странно, но она усиливает нашу способность находить причины по которым возможен тот или иной результат события. Обычно таких причин находится больше и они более конкретные и точные, чем когда мы не воображаем итогов события, а просто фантазируем, что могло бы случиться "если бы да кабы" 🤔

В итоге, вместо "нам не хватит людей и у нас не будет денег на современные ИБ-решения по мониторингу и реагированию" вы запишите что-нибудь вроде "мы переоценили возможности ИИ, наша L1 пропускала много событий, которые были реальными инцидентами, мы потратили много денег на подключение источников TI, которые не давали сработок, мы внедрили модную SOAR, но не смогли написать для нее коннекторы к нашим средствам защиты, мы не смогли подключить к SIEM все наши источники"... ✍️

ЗЫ. Тоже самое можно проделывать и в команде...

#психология #стратегия #ciso #soc

Читать полностью…

Ну что, гении кибербеза, сможете решить задачку из олимпиады по инфобезу для школьников 5 класса?.. 🤔

#обучение

Читать полностью…

The Royal United Services Institute for Defence and Security Studies 🎖 провел исследование о влиянии санкций на киберугрозы. Что по мнению англичан дает эффект:
➡️ Нападение на тех, кто помогает хакерам, – инфраструктуру, посредников, сервисы, которые облегчают деятельность кибератакующих: крипто-миксеры, хостинг­провайдеры, технологические поставщики, государственные контракторы, международные юридические лица. Такой подход имеет смысл – если усложнить денежные потоки и доступ к инфраструктуре, то атакующие сталкиваются с ростом затрат, задержками, дополнительными рисками 🤕

➡️ Санкции в составе комплексного ответа – не просто заморозка активов или запрет на поездки, а сочетание санкций с дипломатическими мерами, уголовными обвинениями, обменом разведданными, публичными техническими уведомлениями (advisories). Такая "комбинированная" модель усиливает репутационный, операционный и экономический нажим на злоумышленников ❌

➡️ Создание дополнительного трения для атакующих – даже если атаки полностью не останавливаются, санкции могут сделать их более медленными, рискованными, дорогими. То есть цель не в полной остановке всех атак, а в увеличении издержек и барьеров для злоумышленников 🤬

➡️ Сигнальный эффект и установление норм поведения – санкции помогают обозначить: да, кибератака считается недопустимой, будут последствия. Это дает сигнал союзникам и помогает им не опускать руки 🚨

Что не работает:
➡️ Заморозка активов и запрет на поездки у хакеров часто малоэффективны как средство сдерживания. Если атакующий связан с государственной структурой, у него может быть защищенный статус или он может не ощущать прямого личного влияния на себя 🥶

➡️ Когда санкции вводятся слишком поздно или без координации – эффект от них будет минимален. Если злоумышленник уже реализовал атаку и ушел, санкции после этого факта не меняют ситуацию 🚶‍♂️

➡️ Ограниченная юрисдикция – если санкции вводятся односторонне и не охватывают все страны, злоумышленники могут использовать "юрисдикционные дырки". То есть важно, чтобы меры были международно скоординированы, что в текущей геополитике маловероятно 🤝

➡️ Проблемы с атрибуцией и доказательствами. ЕС, например, критикуется за медленное внесение в санкционные списки, осторожный подход к атрибуции, слабый мониторинг эффективности санкций. То есть без уверенной атрибуции и последующего мониторинга эффект будет низкий 🇪🇺

Так что санкции сами по себе – не панацея. Они не остановят все кибератаки, особенно хорошо организованные государственные операции. Но они имеют смысл, если встроены в более широкий архитектурный подход: дипломатия, право, разведка, публичные уведомления, международное сотрудничество 🌍

#санкции #геополитика

Читать полностью…

К минской SOCcon мы готовили исследование по тенденциям современных SOCов 🔍 (было еще и с аналитикой киберугроз в СНГ за прошедший год), в котором мои коллеги проанализировали многие тренды, присущие построению и эксплуатации современных центров мониторинга – от работы с новыми источниками (вы знаете, как подключить к SOC конвейер CI/CD или системы MLOps?) и новым подходам управления данными до трансформации detection engineering и ИИ-ассистентов и ИИ-агентов. Годное чтение для понимания, куда это все идет... 🤔

#soc #тенденции

Читать полностью…

Вообще англичане умеют в тонкий юмор. Тут он еще и смысловой, доходящий не сразу... 🤔

#юмор

Читать полностью…

Страховая компания At-Bay выпустила исследование, основанное на данных страховых выплат 🤑 за период с 2021 по первый квартал 2025 года. В 2024 году было два главных канала проникновения в компании – электронная почта и удаленный доступ. Они вместе обеспечили ~90% всех инцидентов ИБ, если исключить случаи, связанные с компрометацией сторонних организаций или не-киберсобытиями 🤔

Из интересного:
💀 Электронная почта была точкой входа в ~43% всех инцидентов в 2024 году с ростом на 30% за год. При этом решения по защите почты в большинстве случаев продемонстрировали ухудшение своих защитных возможностей против современных угроз, основанных на ИИ ✉️

💀 В 2024 году ~80% ransomware-атак на клиентов At-Bay начались через средства удаленного доступа, из них ~83% – через VPN-устройства 🔐

💀 Организации, использующие VPN на собственной инфраструктуре (on-premises), почти в 4 раза чаще подвергались ransomware-атаке, чем те, кто использовал облачные VPN или вообще не применял VPN 🔐

💀 Самыми рискованными среди VPN-решений оказались устройства от Cisco и Citrix (SSL VPN) – компании, использующие эти решения, были примерно в 7 раз более подвержены ransomware-атакам, чем организации без обнаруженного VPN-решения 😷 Но тут интересно было бы видеть абсолютные цифры, а не относительные, так как та же Cisco является ооооочень распространенным VPN-решением в мире. Облачные VPN могут снизить риск, но у нас в регионе с этим есть сложности законодательного плана. К слову, Fortinet и Palo Alto в отчете тоже упомянуты, но риск пасть жертвой шифровальщика в их случае "всего" в 5,5 раз выше (у Cisco и Citrix – в 6.8) 📊

💀 В отчете подчеркивается, что основным эффективным средством защиты от полного шифрования данных злоумышленниками стали сервисы Managed Detection & Response (MDR). MDR-услуги воспринимаются не просто как дополнительный элемент, а скорее как необходимый "последний рубеж" защиты: когда атака уже попала внутрь, важно быстро ее обнаружить и локализовать, чтобы не допустить полного шифрования всех данных 💭

А вы уделяете должное внимание защите электронной почты и VPN-решений? Или вам пока не до того и вы разгребаете последствия неудачной плановой смены мастер-ключей в сети ViPNet СМЭВ, которые длятся уже несколько дней? 👻

#статистика #киберстрахование #ttp

Читать полностью…

Очередная попытка описать SIEM NG ✏️ Если не обращать внимание на сами имена продуктов, а только на шкалы, то мы увидим, что системы мониторинга событий ИБ нового поколения оценивают по двум направлениям – архитектура хранения данных (от аппаратных серверов и контейнеров до правильной маршрутизации данных для хранения и озер данных) и современный функционал (от машинного обучения и detection-as-a-code до самонаписания правил корреляции с помощью LLM до реагирования на основе ИИ). Интересно, что с точки зрения функционала машинное обучение для обнаружения – это уже из разряда must have 🤔

#siem #средствазащиты #тенденции

Читать полностью…

Как вы думаете, по чьей вине в американской авиации 🛩 с 78-го по 90-й годы происходило 3/4 всех инцидентов? Вы думаете, в те моменты, когда воздушным судном управлял второй, а значит менее опытный, пилот? Вы удивитесь, но все с точностью наоборот. Инциденты, в том числе и катастрофические, происходили чаще именно в тот момент, когда судном управлял его капитан, а не второй пилот ✈️

Многолетний анализ лесных пожаров в США 🔥 показывает, что локализовывать удавалось те недопустимые ситуации с огнем, где пожарные команды озвучивали свои опасения наверх, а не удерживали все в себе. Оказалось, что иерархия и субординация часто мешает высказывать опасения 😬 и вовремя обращать внимание руководства на мелкие сигналы, приводящие к серьезным проблемам. А у руководства при этом было ощущение собственной непогрешимости, что и приводило к нежеланию слушать и слышать своих подчиненных 🙅‍♂️

Согласно исследованиям аналогичные проблемы фиксировались и в ИТ-компаниях, и в банках, и в медицине, и в других отраслях. Видя эту картину, я тут подумал, что, а если инциденты ИБ происходят из-за... CISO 🤔 Из-за того, что подчиненные боятся сказать о проблемах своему руководителю, а тот своим – топ-менеджерам? Какой поворот, а? Не ждали такого?..

У нас часто в компаниях отсутствует культуры ненаказания! 🤔 Гонцов с плохими вестями что? Правильно, казнят. Это пошло не сейчас, и не 100 лет назад. Это тысячелетняя история человечества, которая приучила людей молчать и не высказывать своих подозрений или опасений. Мало ли, еще заставят самого и исправлять или сделают крайним. Лучше смолчать и сойти за умного 🤐 Так думают многие... Тем более, что если что-то и произойдет, то накажут скорее всего именно начальника, а значит его настигнет карма за нежелание прислушиваться к подчиненным. Итог печален в любом случае... 😶

Поэтому так важно формировать в компаниях культуру ненаказания! ☝️ Я уже как-то писал про свой опыт поездок в США, где на каждом углу, особенно в местах массового скопления людей, висят баннеры "See something – say something" (Увидел что-то - скажи что-то), то есть государство призывает граждан не молчать, а сообщать о любых подозрениях 💬 В компаниях же надо реализовывать аналогичную историю – подчиненные, включая и в области кибербезопасности, должны уметь доносить до начальства разные проблемы и сигналы начинающегося звиздеца, а руководству – реально прислушиваться к ним. Тогда инцидентов станет меньше и жить станет безопаснее; везде, включая и кибербез! 🤔

#психология #ciso #управлениеинцидентами

Читать полностью…

Конформизм – одна из скрытых и не всегда очевидных угроз кибербеза 😨 – она влияет не только на пользователей, но и на аналитиков, архитекторов, SOCоводов, ИБ-руководителей, комитеты по рискам и даже регуляторов (хотя почему "даже"). Вот несколько классических примеров:
🌟 Риск-комитет ➡️ все соглашаются со "стандартным уровнем риска" ➡️ риск принимается, даже если он некорректен
🌟 Закупка средств защиты ➡️ "берем то, что все берут, не будем выпендриваться" ➡️ закупают SIEM "по моде", а не по потребности
🌟 DevSecOps ➡️ разработчики говорят "у нас нет уязвимостей" – ИБ молчит ➡️ внедряются продукты с дырками
🌟 Регуляторное следование ➡️ компании внедряют требования "на бумаге, как у всех" ➡️ реальной безопасности нет, но есть галочка "соответствует"
🌟 Инцидент-менеджмент ➡️ аналитик видит аномалию, но "раз в Confluence написано, что это ложное срабатывание – и я так буду думать" ➡️ пропуск атаки, например, Target, Equifax, Maersk 😱

Почему кибербезопасность особенно уязвима к этому эффекту? 🤔 Вроде тоже все понятно. ИБ – это про постоянное несогласие. Хороший специалист обязан идти против большинства: проверять очевидное, сомневаться, задавать неудобные вопросы. А еще ИБ – это антисоциально-когнитивная профессия. Быть "тем, кто портит всем настроение" – нормально. Для мозга – боль, для бизнеса – спасение 🆘

Что же делать с ИБшным конформизмом? Например, для SOC / IR: ✋
🌟 Вводить принцип "Red Flag Voice" – если кто-то сомневается, его мнение фиксируют обязательно.
🌟 При разборе алертов вводить правило: один человек – роль "адвоката дьявола".
🌟 Запрещать фразу "ну все же видят, что это ложняк".

Для руководителей ИБ: 🧐
🌟 Создавать культуру, где несогласие = профессионализм, а не токсичность.
🌟 В отчетах не "70% инцидентов не подтвердилось", а "30% предположительно ложных – подтверждено проверкой".
🌟 Принимать решения не "как принято в отрасли", а "почему это верно для нашей модели угроз".

Для риск-комитетов: 😱
🌟 Отдельный слот в повестке: "Что если мы ошибаемся?".
🌟 Вводить формат "Особое мнение" – документ от тех, кто не согласен с решением.

Для киберкультуры: 🙀
🌟 Рассказывать кейсы, где конформизм привел к катастрофе (Equifax, Colonial Pipeline, Boeing 737 Max, Challenger).
🌟 Вводить корпоративное правило: "Если все согласны – значит, никто не подумал".

Мозг защищает нас от боли. Это нормально и было частью стратегии эволюционного выживания. Но в кибербезопасности выживают не те, кто "как все", а те, кто не боится сказать: "А вдруг мы ошибаемся?". А вы не боитесь? 🤔

#физиология #психология

Читать полностью…

В США 🇺🇸 продолжается 21-я приостановка деятельности правительственных органов США, которая может стать очередным рекордом Трампа (так долго еще правительство не простаивало). Остановлена работа многих государственных органов, включая и CISA. Не финансируются многие госпрограммы по кибербезу, что в очередной раз подняло дискуссию о будущем базы уязвимостей CVE. Весной 2025-го корпорация MITRE, которая ведет эту базу, уже уведомляла о возможном прекращении финансирования от CISA, и вся система CVE оказалась под угрозой. За сутки до окончания контракта он был продлен до марта 2026, но инцидент вызвал резонанс и тревогу 🚨

Над миром нависла угроза фрагментации 🕊 – то тут, то там стали появляться свои аналоги. GCVE (Global CVE Allocation System) от CIRCL в Люксембурге, CNNVD в Китае, EUVD в ЕС. Про БДУ ФСТЭК и упоминать не имеет смысла – мы ее прекрасно знаем. Все они используют отдельные схемы идентификаторов, что создает риск возврата к временам до 1999-го, когда каждая база была несовместима с другими. А тут еще и проблемы с финансированием и вновь поднимающиеся разговоры о том, CVE до сих пор сильно завязана на MITRE и CISA, что вызывает сомнения в международной нейтральности 🤔

Наткнулся тут на статью, в которой предлагаются разные пути реформирования CVE ✈️, не разрушая наработанное, – API, машинно-читаемые форматы, автоматизация процессов, новые способы финансирования (государство, некоммерческие организации, частный сектор), а также международное участие в управлении, чтобы сделать CVE по-настоящему глобальной системой, а не проектом одной страны (хотя США точно не отдадут эту историю в чужие руки 👎).

Авторы статьи задаются важными вопросами, но ответа на них так и не дают: 🤔
1️⃣ Как сохранить единый глобальный идентификатор?
2️⃣ Как распределить управление так, чтобы оно было инклюзивным и нейтральным?
3️⃣ Какая модель финансирования устойчива и не создает конфликта интересов?
4️⃣ Как избежать “балканизации” системы уязвимостей?

Как по мне, так решить описанную проблему не удастся. Мир стал слишком многополярным 🌎 Доверия к американцам (как минимум, при Трампе) даже у союзников не так чтобы и много. Некоторые страны (читай Россия и Китай) вообще его не имеют. Сами американцы не сдадут CVE в чужие руки 🤷‍♂️ Да и после разговоров о том, что уязвимости – это элемент кибероружия и делиться им не стоит, верить в нейтральность CVE уже не приходится. Мы, кстати, отчасти именно поэтому запускали портал dbugs.

ЗЫ. Что меня смущает, так это то, что в России появляется слишком много своих баз уязвимостей (я с ходу насчитал минимум пять). Повторяется история с отечественными NGFW... Ну да рынок порешает все 🤔

#оценказащищенности #уязвимость

Читать полностью…

Подписчица тут поделилась (за что ей спасибо 🤝) ссылкой на очередной обзор зарплат специалистов по ИБ в России за 3-й квартал 2025 года (там и по ИТ есть). Считать деньги в чужом кармане всегда приятно, а анализировать динамику их изменения тем более. Значительный рост отмечен для сеньоров в AppSec (не путать с DevSecOps), лидов пентеста, а также архитекторов ИБ, мидлов и сеньоров. Спрос на бумажных специалистов уровня лидов и сеньоров падает 🤑

#работа

Читать полностью…

В августе 2024 года я написал 📝 большой обзор методов приоритизации уязвимостей, в котором перечислил чуть больше 20 разных подходов, систем классификации и фреймворков. А вот тут выложили список из 40+ таких систем. Правда, большинство из них являются проприетарными и поэтому неприменимыми на практике в отрыве от продцктов, их реализующих, однако есть и интересные новинки. Но в этом списке не все, что в моей "ведомости". Так что, комбинируйте... 🪄

#framework #уязвимость #приоритизация #оценказащищенности

Читать полностью…

Многие коллеги присылают ссылку на историю с паролем LOUVRE, используемом для защиты систем видеонаблюдения в самом известном музее Франции, а может и мира 🇫🇷 При этом сама система контроля доступа работала под управлением Windows Server 2003, которая уже не поддерживается Microsoft. Вроде бы ужас-ужас... Но есть нюансы ☺️

Если посмотреть хронологию ограбления, то охранники набрали полицию 👮‍♂️ через 5 минут после начала совершения преступления (хотя полиция утверждает, что звонок поступил от постороннего спустя спустя 7 минут после начала ограбления). Полиция приехала на место кражи через 3 минуты после звонка – достаточно неплохая реакция. Просто грабители были подготовлены лучше и слиняли уже через 7 минут после начала своей акции. В любом случае полиция (представьте, что это аутсорсинговый SOC) взяла инцидент в работу и начала реагирование за 3 минуты. А вы в вашем SOCе можете похвастаться TTR, равном 3 минутам? Вот, честно! У вас скорее всего только TTD установлено в 5 минут 🚓

Теперь Windows Server 2003... 📱 И что, что это устаревшее ПО? Если оно выполняет свою задачу и находится во внутреннем контуре без доступа вовне, то какая разница, какое там ПО? Работает и прекрасно. У нас не только АСУ ТП продолжают работать на Windows NT, но и офисные сети защищаются оборудованием давно снятым с продаж и с поддержки (какая-нибудь Cisco ASA 5512). Кого это смущает? 🤫

Шестисимвольные пароли LOUVRE и THALES. Да, неприятно. Да, нарушает общепринятые правила ИБ. Но.... 😏 А если там была MFA? Ведь ни в одном опубликованном сообщении об этом ни слова. Все просто уцепились за этот пароль и все... Вот если выяснится, что кто-то помог отключить систему видеонаблюдения и контроля доступа с помощью этого пароля... Тогда история примет другой оборот. Но пока вроде как все укладывается в обычный сценарий ограбления - провели рекогносцировку, подготовились, проникли, сперли ценности и свалили 👮

А самое главное, как вообще пароль LOUVRE и необновляемая Винда связаны с физическим ограблением? НИКАК! Это не было использовано преступниками и никак им не помогло в реализации своих замыслов 🤔 Два факты, связанных с одним местом, но не с одним событием. А шуму-то...

#аутентификация

Читать полностью…

Американское Министерство Обороны Войны (они реально его переименовали) 👮 анонсировало новый фреймворк по управлению киберрисками. Деталей не много, конкретики нет, что там кардинально нового, ускоряющего процесс во время ведения военных операций (как заявлено), я не понял. Но вдруг, кому-то картинка понравится... 🎨

#риски

Читать полностью…

У SANS очередной постер – на этот раз про метрики SOC. Самих метрик в нем не ждите – он скорее про все хорошее, против всего плохого. Дана иерархия метрик и некоторые советы по выбору 🤔

#sans #soc #метрики

Читать полностью…

Ну и до кучи, вторая загадка из той же олимпиады... Пятиклашка, который понимает концепцию kill chain? Прям зачёт... 👦🏻👧🏼

#обучение

Читать полностью…

Интересное исследование из Австралии 🇦🇺, демонстрирующее новый тип дипфейковых атак – Face-to-Voice (FOICE). По одной фотографии жертвы синтезируется ее голос, который позволяет обходить такие системы аутентификации как WeChat Voiceprint и Microsoft Azure 🪞 И все это без каких-либо голосовых семплов жертвы. Интересные нас ждут времена – найти фото человека, под которого надо маскироваться мошенникам, гораздо проще, чем семплы его голоса или видео.

#дипфейк #аутентификация

Читать полностью…

А ведь некоторые мои идеи десятилетней давности только сейчас начинают реализовываться... Хоть одна зарубежная соцсеть и запрещена в России, но у нее есть интересная (понимаешь это спустя годы только) функция 🧠 – напоминать, какую чушь умную мысль ты написал в этот самый день год, два, пять, десять лет назад... Есть в этом что-то залипательное – сравнивать себя нынешнего с тем, прошлым, и насколько поменялось мировозрение и вот это вот все. За одно только это можно оставаться в той самой, запрещенной сети... 🤔

#история #безопаснаяразработка #devsecops

Читать полностью…

Частные компании уже пишут эксплойты, получают доступ к целям для кибератак и даже выполняют операции в интересах США 🇺🇸 Это факт. Они быстрее и технологичнее государства, но действуют в правовом "сером поле". Это тоже факт. Проблема не в отсутствии возможностей, а в отсутствии правил. В США хватает хакеров, экспертизы и технологий – нет ясной архитектуры, кто, как и на каких правовых основаниях ведет наступательные операции в киберпространстве ✍️ В октябре 2025 г. Institute for Security, Technology & Society (ISTS) при Dartmouth College собрал на закрытый круглый стол ~30 экспертов из госсектора, индустрии, венчурных фондов и академических кругов, чтобы обсудить роль частного сектора в наступательной кибервойне 🤕

В рамках круглого стола было предложено:
➡️ Разработать Национальную стратегию наступательных киберопераций, где будут прописаны допустимые цели, ограничения и участие союзников 📝
➡️ Создать прозрачные механизмы финансирования и исследований, чтобы инновации в наступательном кибероружии были контролируемыми и законными ✏️
➡️ Запустить пилотный проект, дающий частным компаниям право проводить ограниченные операции. Даже предложен первый кейс – борьба с криптопреступниками, которые ежегодно выводят из США $10–16 млрд 🔒

По результатам был написан отчет, главная мысль которого – у США 🇺🇸 хватает талантов и частных игроков, но нет соединяющей их нормативной системы. Нужно перейти от "хаоса и серых зон" – к формализованной модели. Да, там есть немало подводных камней, среди которых:
➡️ Делегирование "права на кибернасилие" частным лицам вызывает вопросы в части соблюдения Конституции, международного права, правомочности атак.
➡️ Частные игроки могут случайно спровоцировать международный конфликт, а ответственность будет размыта.
➡️ Частные компании действуют ради прибыли, а не ради госинтересов.
➡️ Кому будет вменяться кибератака – компании или государству США?
➡️ Появление фиксированной группы "аффилированных подрядчиков" может привести к монополизации и злоупотреблениям 🤔

Вопросы, которые необходимо решить до реализации идеи и о которых говорит отчет: 🤔
6️⃣ Кто сертифицирует частных операторов и под какую юрисдикцию они подпадают?
2️⃣ Какие цели можно атаковать? Можно ли бить по иностранной гражданской инфраструктуре?
3️⃣ Как обеспечивается контроль, подотчетность и аудит?
4️⃣ Как исключить конфликты интересов (например, когда подрядчик сначала продает уязвимость, а потом "защищает" клиента)?
5️⃣ Как объяснить союзникам и миру, что "это не наемные хакеры, а легитимная госпрограмма"? 🤔

#кибервойна #геополитика #регулирование

Читать полностью…

Подогнали фоточки с минской Positive SOCcon 2.5 📸 И хочу вам сказать, что они лишний раз подтверждают правило, которое я формулировал в курсе "Как срывать овации и зажигать сердца" - "Основной текст на слайде должен быть размера 28-32pt, а заголовок - 40pt и выше" (никакого 12-14-16 кегля). Вот на показанных слайдах все именно так и текст прекрасно читается с последних рядов кинотеатра. Да и темный фон этому способствует (проектор не выгорает, глаза не устают) 📈

Если ваши дизайнеры подсовывают вам что-то другое, гоните их ссаными тряпками отправьте им ссылку на курс 😡 – пусть изучают. Ну и от вас, как от спикеров, требуется все-таки критическое мышление и не следование на поводу у апологетов "корпоративных стандартов". Вы делаете презентацию для людей, вас слушающих, а не для дизайнеров, которые сами со своими шаблонами никогда не выступают 😠

#выступление #спикер #презентация #soc

Читать полностью…

Интересные циферки в отчете увидел:
🔤 12 недель в год (10 часов в неделю) тратится на compliance (на 1 неделю больше, чем в 2024 году). Подтверждает то, что я уже писал.
🔤 7 часов в неделю или 9 недель в год тратится на анализ защищенности подрядчиков (больше на полчаса, чем в прошлом году). Вот это, прям, неожиданно. Мне кажется у нас в стране этот показатель существенно ниже.
🔤 6 из 10 компаний разрывали за последний год контракты с подрядчиками из-за проблем с ИБ у последних
CISO считают, что идеальный бюджет на ИБ от ИТ составляет 17% (сейчас он 10%).

Видя такие цифры, даже и не знаешь, стоит ли вводить отдельную нормативку по безопасности подрядчиков?.. Кажется, что это приведет к большему объему бумажной работы, а не реальной защите от подрядчиков... 🤔

#статистика

Читать полностью…