Пост Лукацкого

16 November 2025 07:40

Общался я на прошлой неделе с коллегами из Казахстана, которые приехали по своим ИБшным делам в нашу страну и каково же было их удивление, когда они пошли по всем кругам ада 😈, связанным с получением российских SIM-карт, для чего надо было сначала получить СНИЛС и зарегаться на Госуслугах. Аналогичная судьба постигла и коллег из Союзного государства, которых футболили по разным адресам, так как ограничения-то ввели, а пройти новый CJM забыли. Для людей, приезжающих в страну на 2-3 дня, тратить сутки на оформление всей этой бюрократии, это too much, как говорят англичане 😕

И вот новая напасть - теперь не только нельзя зарегаться на российском сайте 🖥 с иностранной почты или иностранного сервиса аутентификации, но еще и владельцев сайтов, повернувшихся лицом к людям, будут штрафовать за разрешение такой возможности 🤦‍♂️

Комментаторам, заявляющим, а что такого, пусть в VK или Яндексе зарегаются, сразу отвечу - 😠 Вы когда в Турцию или Дубай на «все включено» ездите, тоже местный ID получаете? А чтобы подумали, если от вас такого потребуют?

ЗЫ. Если меня читает кто-то из администрации гаранта, скажите уже всем этим генераторам «кто навредит стране больше», взяли их или нет в следующий состав Госдумы. Может они тогда будут менее активны на законодательном поприще и займутся чем-то полезным… 🤔

#суверенитет #ответственность
#аутентификация

Пост Лукацкого

15 November 2025 12:44

В конце июля прошлого года, в разгар подачи документов в ВУЗы, на сайте Омского политеха, в разделе приемной комиссии, разместили лого известного порносайта 😎, что должно было, я так предполагаю, дать возможность абитуриентам сбросить напряжение после тяжелого процесса выбора института.

Но вузовская администрация не оценила устремлений хакера 🥷 и обратилась в правоохранительные структуры. На днях стало известно, что хакер изобличен и его будут судить. Им оказался местный 23-хлетний омич.

А теперь самое интересное. Хакеру вменяют КИИшную статью УК 274.1 👩‍⚖️ За обычный дефейс. А все потому, что палочная система любая образовательная организация - это СуКИИ; даже детсадик 👶

Вот так и формируется статистика по 274.1-й статье, которая вообще не отражает реальную опасность совершаемых преступлений. А ведь говорили авторам 187-ФЗ, что 🤔 нужна граница, ниже которой организация не будет считаться КИИ. Ну какие ломбард или филармония КИИ? Но нет 🤦‍♂️

ЗЫ. А этого неудавшегося ИБшника ведь тоже ждет 274.1?..

ЗЗЫ. Спасибо подписчику, приславшему ссылку 🤝

#инцидент #ответственность #кии

Пост Лукацкого

14 November 2025 18:26

Не только лишь наша прокуратура может снимать прикольные ролики про мошенников. На этот раз (правда, ролику уже несколько лет) отличилась полиция Дубая и ряд других, не менее солидных и официальных организаций, сняв видео "Это был не я" (It wasn't me) 📹

#awareness #видео #фишинг

Пост Лукацкого

14 November 2025 10:33

Пока летел в Джакарту закончил читать книжку "?HEУЯЗВИМОСТЬ! Отчего системы дают сбор и как с этим бороться" Криса Клирфилда и Андраша Тилчика 📖 Она не совсем про кибербез, хотя в одной из глав эта тема подсвечивается, – она про сложность и линейность современных систем, где все сильно переплетено между собой, и где сбой даже небольшого компонента может повлечь за собой каскадную катастрофу 💥

Все это порождается комбинацией сложности и жесткости связей в системе 🤔 А так как в сложных системах небольшие сбои и ошибки неизбежны, то в жестко связанных системах от эффект домино просто не избавиться, он придет когда его не ждешь. При этом авторы отмечают, что многие такие аварии, хоть и редки, но считаются нормальными из-за их естественности и неизбежности (это как смерть 😵 – ею заканчивается жизнь любого живого организма, то есть это норма). И их можно предотвратить, – нужно только вовремя замечать ошибки в управлении, перестать игнорировать предупреждающие сигналы, бороться с проблемами в общении людей, устранять низкую профподготовку персонала и не идти на безрассудный риск 😔

По ходу авторы приводят множество очень известных кейсов - от аварий на атомных электростанциях и взломов автомобилей до проблем с выходом Facebook на IPO и провалом Theranos, иллюстрирующих основной тезис 📕 Человечество раздвинуло границы возможного, сделав это за счет новых технологий. Но это же и сдвинуло нас в новую опасную зону, где сбои могут привести к катастрофам, о которых мы раньше и не думали. Наша безопасность не снизилась – выросла уязвимость систем, подверженных неожиданным и каскадным сбоям. Мы решаем одни проблемы и устраняем риски, но привносим новые, с которыми, возможно, еще не научились работать 🤷‍♀️ Мы излишне полагаемся на интуицию в неблагоприятных условиях. Мы забываем присматриваться к тревожным сигналам, поощрять несогласие и развивать неоднородность в коллективе. Мы хотим слышать хорошее и чувствовать себя комфортно в окружении людей, выглядящих и думающих как мы сами. И все это ведет нас в пропасть...

#книга #стратегия #оценказащищенности #психология

Пост Лукацкого

13 November 2025 16:41

История с пивоваренной компанией Asahi продолжается 🍺 Вот уже больше месяца, как компания не может восстановиться после атаки вымогателя Qilin. По данным Bloomberg, Asahi сейчас работает примерно на 10% от обычного объема отгрузок в Японии из-за приостановки системы заказов/отгрузок. Работы на ~10% от мощности → это не просто снижение, это почти полная остановка отгрузок/заказов на внутреннем рынке 🍺

Аналитики из Sanford C. Bernstein (через Bloomberg) оценивают, что убыток Asahi в 4-м квартале может достигнуть ¥15 млрд (≈ US$97 млн) из-за простоя, роста затрат на маркетинг и снижения продаж 🤑 Учитывая, что Япония является значительной частью бизнеса Asahi, это может привести к недовыполнению годового плана (например, недостижение целевых показателей на -13% как цитировали аналитики).

14 октября 2025 года Asahi объявила, что откладывает публикацию финансовых результатов за 3-й квартал (июль-сентябрь) из-за сбоя систем – "более чем 45 дней после конца квартала". Отложенная отчетность – признак того, что ущерб более сложный, чем изначально оценивалось; проблемы с бухгалтерскими/финансовыми системами 🤷‍♀️

Кроме того, Asahi заявляет, что расследование выявило "возможную несанкционированную передачу данных", но еще нет официального подтверждения объема утечки. Ну это сразу предполагалось – чтобы атака шифровальщика, да без утечки данных... В общем, не везет компании, недооценила тему кибербезопасности, сейчас, наверное, кусает локти. Ну а мы ждем финальных оценок результатов... 🧮

#недопустимое #ущерб

Пост Лукацкого

13 November 2025 10:34

А хороший эфир получился. Про метрики, процессы, эффективность SOC… 👉

#soc #метрики

Пост Лукацкого

13 November 2025 05:40

Сижу я в аэропорту Джакарты, весь в белом, жду третьего перелета за сутки, смотрю видео, которое выложил Юра, и думаю 🤔 Вот завтра мне выступать перед большой аудиторией про ИИ, кибербез, белых хакеров… Стоп. Какие «белые хакеры»? Вроде низзя же. Это же… непрофессионально.

Это как сказать: «Я - пожарный»👨‍🚒, а не «Специалист по ликвидации неконтролируемого термодинамического взаимодействия пламени с элементами строительных конструкций и спасению живых существ, обладающих способностью к крику и эмоциональной привязанности к котам».

Я, конечно, завтра могу сказать: «my job is a specialist for cyber resilience and cyber security examination of information systems»… и тогда все в зале сразу начнут писать в своих чатиках: «А это кто?», «Это что, аспирант из MIT?»…

А если я скажу: «Я - белый хакер»?… 💻 Все в зале закивают, как будто я только что сказал: «Я - супергерой, но без плаща. И с ноутбуком». Один парень в восьмом ряду даже прошепчет: «Маэстро А он может взломать Wi-Fi в аэропорту Джогджьякарты?», а я ему в ответ: «Уже взломал. Пароль — «12345678». Я его поменял на «PasswordHasToBeUnbreakable1337!» (шутка; ничего не ломал; хотя пароль и правда может быть 12345678).

Слово «хакер» - это не проклятие и не преступление. Это навык смотреть глубоко и видеть то, чего не видят другие 👀 А «белый» - это не цвет костюма (хотя у меня он белый, потому что в Индонезии жарко и мой прошлый прилет в черном костюме с крабовой подкладкой выглядел странновато), а цвет намерений, чистых как цветок лотоса 🪷

«Специалист по исследованию киберустойчивости и кибербезопасности информационных систем» - это как называть кофе «напиток, полученный путем экстракции горячей водой из молотых зерен кофейного дерева, обработанных с целью повышения бодрости и снижения уровня сонливости у людей, использующих компьютеры» ☕️ Можно. Но зачем? Оставим это для нормативных документов, где «белый хакер» точно не приживется.

Так что да. «Белый хакер» 👺 Короче. Понятнее. И, честнее. А для нормативки оставим что-то привычное уху чиновников. Ведь даже «кибербезопасность» у нас официально не существует в законодательстве, но все это слово прекрасно используют. Потому что короче, проще, понятнее…

#терминология #хакеры

Пост Лукацкого

12 November 2025 14:42

А вот тут мое интервью (📺 YouTube, 📺 ВК Видео, 📺 RuTube) про MLSecOps и всякое другое разное с Positive Security Day подоспело от коллег с AM Live 🎙

В выпуске:
➡️ зачем переходить от DevSecOps к MLSecOps
➡️ как устроены ИИ-атаки: фишинг, дипфейки, jailbreak-prompts, многоагентные сценарии
➡️ LLM-firewall, контроль model drift и защита данных на практике

#интервью #mlsecops #ии

Пост Лукацкого

12 November 2025 10:34

Сообщается о компрометации и масштабной утечке данных в компании Knownsec Technologies, случившейся 2 ноября 🔓 Неизвестные пока хакеры якобы получили более 12000 секретных документов, касающихся технических деталей инструментария компании, используемого для проведения кибератак (RAT-трояны для компрометации ОС Windows, Linux, macOS, iOS, Android; вредоносное шпионские устройства в виде power bank и т.п.), исходного кода, внутренних инструментов и "глобальных цели" киберопераций, включая Японию, Вьетнам, Тайвань, Индию, Индонезию, Нигерию, Великобританию, Южную Корею и др. 🐉

Первоначально данные утечки были выложены на Github 📱, но были оперативно удалены оттуда. Пока непонятна, имела ли утечка действительно место или это классическая подстава китайцев в текущей геополитике, ведь Knowsec называют поставщиком кибероружия "при дворе товарища Си", но, как обычно, без доказательств 🇨🇳

Интересно, что данный инцидент напомнил мне несколько кейсов. Во-первых, утечку материалов АНБ 🇺🇸, организованную Эдвардом Сноуденом в 2013-м году). Тогда утекли документы, слайды, презентации, описания программ массового наблюдения (PRISM, XKeyscore и др.). Спустя 4 года стало известно об утечке Vault7 из ЦРУ 🇺🇸 тысяч документов и описаний множества эксплойтов, инструментов нападения для iOS/Android, ТВ, браузеров и C2-инфраструктур.

Как и в Vault, из Knowsec утекли не просто отчеты, а инструкции и код, которые позволяют быстрее воспроизводить атаки и адаптировать их другим злоумышленникам. Это снижает порог входа для эксплуатации кибероружия, если оно разойдется по рукам, а сомнений в этом нет. Про утечку из НТЦ "Вулкан" вспоминать не буду – там все не очевидно было, но некоторые параллели провести можно 🌋 Как и с кейсом о продаже кибероружия Trenchant.

После утечки Сноудена 🙂 стали активно появляться privacy-технологии (E2E-шифрование, Signal, Tor в массы и т.п.). Правда, сейчас это все пошло коту под хвост, но само начало было положено. После Vault7 выросло внимание к атакам на цепочку поставок и концепции zero-trust. Интересно, будет ли схожий эффект после утечки из Knowsec? Стоит ли ожидать нового витка борьбы за "прозрачность" вендоров ИБ и более жесткого аудита их внутренних инструментов? 🤔 Но такое впечатление, что интерес к компаниям, выпускающим кибероружие, растет...

#инцидент #утечка #проблемыибкомпаний #кибервойна

Пост Лукацкого

11 November 2025 18:21

И этот день, как и вчера, мы финалим искусственным интеллектом 🧠, а именно очередным руководством по безопасности ИИ от SANS. И хотя это проект, он достаточно неплохо систематизирован и, в целом, вполне интересен уже сам по себе. Там даже история с мониторингом ИИ и упомянутого утром инференса упоминается 🤔

Заметили, что я стал все чаще писать про ИИ в контексте кибербезопасности? ✍️ Это я еще себя сдерживаю, так как в новостном потоке эта тема реально стала доминирующей – чуть ли не половина всех новостей про это. Да, местами это хайп или переливание пустого в порожнее, но часто бывает немало реально полезного контента. Не все из этого релевантно для нашего региона, но многое. Так что изучайте ИИ... с разных сторон 👩‍🎓

#sans #ии #mlsecops

Пост Лукацкого

11 November 2025 14:42

Помните эфир AM Live по MLSecOps? На нем два участника упомянули, что разрабатывают свои фреймворки по безопасности ИИ к уже существующим на тот момент трем российским – MLSecOps Framework от PT 🟥, руководство от Сбера 🏦 и AI SAFE от Яндекса 🔴 А вот тут еще один фреймворк анонсировали. Может и мне свою вчерашнюю табличку тоже фреймворком назвать?

#mlsecops #framework #ии

Пост Лукацкого

11 November 2025 05:40

Интересную статью прочитал 📖 Автор рассматривает сценарий, когда злоумышленник пытается использовать локальные модели ИИ и библиотеки инференса (то есть "на месте", на зараженной машине) для создания автономного вредоносного ПО без взаимодействия с командным сервером 🤬 Автор начинает с литературной отсылки – к роману "Нейромант" (Нейромансер) Уильяма Гибсона, где речь, среди прочего, идет о суперинтеллектуальном вредоносе способном действовать автономно. Автор задается вопросом: если бы злоумышленник сегодня пытался сделать такую автономную "машину", как она бы выглядела? Ответ: с помощью больших языковых моделей (LLM) и библиотек инференса – вот мы сейчас и находимся в этой точке 🤖

Он называет эту концепцию "Living-Off-the-Land Models and Inference Libraries" (LOLMIL), то есть использование того, что уже есть в системе или поставляется с ней, без необходимости внешнего управления 🤖 Статья исследует, насколько это реально, какие технологии позволяют сделать такое, и какой прототип удалось реализовать. Автор приводит пример вредоноса под названием PromptLock, но задается вопросом, а можно ли пойти дальше – сделать все локально, без внешнего GPT-сервера? 🤔

Автор отмечает, что современные ПК (например, "CoPilot+ PC") 🧑‍💻 могут содержать нейронные ускорители (NPU) и предустановленные модели. Упоминает модель Phi‑3, и библиотеку ONNX Runtime, встроенную в Windows начиная с версии 1809. Идея: если модель + инференс-библиотека уже поставляется с ОС или "железом", то злоумышленнику не надо тянуть внешние модули – он может "жить" целиком за счет локальной системы 👩‍💻 Автор отмечает, что хотя встроенная библиотека не содержит всех нужных примитивов (например, для генеративного ИИ) из версии onnxruntime-genai, это – скорее вопрос времени. Также он отмечает, что даже если локальная модель хуже, чем облачная (например, OpenAI или Anthropic), она может быть "достаточно хорошей" для выполнения конкретной задачи вредоноса 🦠

Автор разработал прототип 🧑‍💻 вредоноса, но признает, что он не идеален – задача была сильно упрощена. Основное ограничение: большинство машин не имеют мощных GPU/NPU и нет предустановленных моделей – запуск инференса на CPU сильно замедлит систему, и вредонос будет заметен. Однако, когда такие машины станут массовым явлением (например CoPilot+ ПК), и модели будут встроенными, этот сценарий станет реалистичнее. Автор считает, что полностью автономное вредоносное ПО на базе локальной модели без внешнего управления – не фантастика 👨‍💻

Смена парадигмы "вредонос получает команды с сервера" – это уже не фантастика. А значит, что защита от таких сценариев требует не только привычных мер (антивирус, EDR, NDR/NTA для обнаружения взаимодействия с C2-серверами), но и превентивных мер: 🛡
➡️ контроль, что на машине не запущен неизвестный модельный код,
➡️ проверка сервисов с необычными правами,
➡️ мониторинг локальных инференс-движков,
➡️ контроль неожиданной загрузки NPU/CPU,
➡️ контроль целостности локальных моделей и библиотек,
➡️ белые списки для запуска инференс-компонентов,
➡️ проверка происхождения моделей.
Теперь защитные механизмы EDR должны будут учитывать особенности автономных ИИ-агентов: генерация скриптов/кода локально, частые записи/модификации сервисов, необычные обращения к win32/службам и попытки эскалации – все это стоит включить в сценарии обнаружения 🔍

Отдельные эксперты дополняют, предложив идею Франкенвычислений 🧟‍♀️ (Frankencomputing), то есть практики "сшивания" вычислительных ресурсов (малопроизводительных GPU/CPU, NPU на устройствах) в неформальные кластеры, чтобы запустить более тяжелые модели (этакий ИИ-блокчейн) 📇 Если такая практика распространится, у злоумышленников появится путь к запуску более мощных локальных моделей (и значит к более автономным агентам). Это – заметный уровень риска, заслуживающий внимания, но не немедленной реакции 🤔

#ии #malware #тенденции

Пост Лукацкого

10 November 2025 14:42

А как оценивать продукты ИИ-революции в ИБ, с которыми к нам постоянно приходят вендора, упомянутые в прошлой заметке? А вот вам матрица оценки ИИ-поставщиков для CISO, чтобы быстро отсеивать мусор, объективно сравнивать вендоров и привязывать ИИ к бизнес-результату, а не к магии 🧮 Вы суммируете баллы из 4-й колонки, экспертно оценивая продукт по пятибалльной шкале. По итогам вы получаете следующие результаты:
➡️ <35 – вы имеете дело с ИИ-театром и лучше не тратить время.
➡️ 35-49 – маркетинга тут пока больше, чем ценности. Возможно взять на пилот, если есть интересный use case.
➡️ 50-64 – условно перспективное решение. Можно PoC, но только точечно и затем наблюдать развитие.
➡️ 65-75 – топ-поставщик. Решение можно включать в стратегию 🤔

ЗЫ. Матрица придумана на коленке; поэтому можете смело ее расширять своими вопросами, поменять пятибалльную шкалу на трехбалльную и вообще можете даже все это игнорировать 😂 А на "красные флаги" обратите внимание...

#ии #стратегия

Пост Лукацкого

10 November 2025 05:40

Был в американской авиации ✈️ период, когда количество инцидентов стало прям зашкаливающим. Помимо всех прочих мер была создана система ASRS (Aviation Safety Reporting System), обеспечивающая свободное, анонимное и конфиденциальное сообщение обо всех проблемах в авиакомпаниях, диспетчерских, наземных службах и т.п. ASRS собирала, анализировала и реагировала на все эти сообщения, что позволяло снижать вероятность инцидентов в воздухе ✈️

При этом ASRS была создана и поддерживалась агентством NASA, которое выполняло роль независимого участника, на которого было сложно влиять 🛩 При этом всем отправившим сообщение гарантировался иммунитет от преследования. Именно эта независимость и конфиденциальность стали ключом к успеху системы, опыт которой затем перекочевал в железнодорожную сферу, медицину, пожарную и оффшорную добычу нефти 🚨

Интересно, если бы в кибербезе появилась такое, то позволило бы это поднять уровень ИБ в стране?! 🤔 Когда вы можете сообщить о том, что на ОКИИ занимаются очковтирательством, происходят инциденты, не устраняются уязвимости, не внедряются механизмы защиты, и при этом быть уверенными, что вам ничего за это не будет и вообще никто за это не узнает... Что думаете? 🤔

#управлениеинцидентами #ответственность

Пост Лукацкого

09 November 2025 12:42

Наткнулся тут в одном блоге по процессам ИБ на упоминание фреймворка "Киневин" (Cynefin), который был мне раньше не знаком, но который находит свое применение в управлении процессами и задачами (описание концепции можно почитать там же, в канале). А я подумал, что его можно применить и к ИБ. Часто в ИБ пытаются решать разные типы задач "одним и тем же способом" – "Киневин" позволяет избежать этой ошибки.

🔤 На первом уровне (Очевидный / Clear / Obvious) мы выбираем достаточно простую модель управления ИБ. У нас есть некая причина, следствие из который очевидны и есть однозначный набор "лучших практик". Например, патч выходит на известную уязвимость без эксплойта – нам просто нужно обновиться по регламенту. Обнаружили ВПО по известной сигнатуре – антивирус его удаляет (лечит). Стоят задачи по парольной политике, правилам бэкапов (про бекапы, кстати, тоже в канале выше есть), VPN по ГОСТ?.. Просто используем стандартные best practice. Здесь не нужны мозговые штурмы и "креатив SOC"; нужны регламенты, рутина, автоматизация. Процессы, кстати, тут еще не нужны.

🔤 Второй уровень "Киневина" – сложный / complicated. Его суть заключается в следующем. Есть причина → существует следствие, но нужны эксперты, которые помогут связать одно с другим и найти выход. Стоит задача провести архитектурный аудит ИБ (Zero Trust, сегментация и т.п.)? Решение не очевидно, нужны эксперты, соответствующие модели, проведение анализа. Хотим выбрать SIEM/EDR/VM? Разрабатываем критерии для своих нужд, метрики; можно сравнивать. Это больше домен консалтинга, аналитики, стандартизации.

🔤 Третий домен комплексный / complex. Тут все становится сложнее – причинно-следственные связи становятся ясны после наступления событий ИБ ("порядок проявляется из хаоса"). Например, SOC должен реагировать на неизвестную атаку / 0-day. Плейбуков нет - учимся в бою. Реализует threat hunting в новой среде? Выявляем закономерности через эксперименты. Хотим понять эволюцию APT? Проводим аналитику после множества кейсов, проведения ретроспективы. На этом уровне нужны гипотезы, эксперименты, Red Team, Bug Bounty, киберучения, кибериспытания.

🔤 Четвертый уровень, хаотичный. Прямой связи между происходящим, между причинами и следствиями нет, все рушится, наша цель – стабилизировать ситуацию. Допустим, в критичную для бизнес сеть попал массовый шифровальщик. Предпринимаем срочные действия: изоляция, блокировка, ручное принятие решений. Полная компрометация домена? Вводим "боевое управление", уходим от бюрократии. Атака на КИИ? Останавливаем "кровотечение" и только потом начинаем думать и размышлять. В хаосе нельзя "свериться с регламентом", а значит нужны лидеры, кризис-менеджеры, "капитанский мостик".

🔤 Пятый домен, неопределенность и беспорядок. Мы не понимаем, в каком домене находимся. Люди действуют по привычке. Типичные история – руководство требует "отчет по инциденту", не понимая, что пока даже не ясно, а был ли инцидент вообще. SOC пытается "покрыть все SIEMом", не понимая, какую проблему он решает. Компания пишет 200-страничную политику ИБ, ни разу не оценив реальных угроз. Тут нужно разбиение проблемы на части, их классификация и перевод частей в нужный домен.

Что в итоге? Да, "Киневин" отлично ложится на кибербез. Как "Киневин" помогает при типичных ошибках?
➡️ Давить хаос регламентами? В кризис регламенты не рулят!
➡️ Ожидать KPI от threat hunting? Это Complex-домен, а значит эксперименты, а не SLA.
➡️ Пытаться автоматизировать все? Автоматизация уместна только в домене Obvious/Complicated.
➡️ Считать Bug Bounty "анархией"? Это инструмент Complex-домена: обучение через хаос.
➡️ Хотеть "единый фреймворк ИБ"? "Киневин" показывает, что не может быть "одного подхода".

А вы знакомы с этим фреймворком? Применяете его в ИБ? 🤔

#framework #стратегия

Пост Лукацкого

15 November 2025 18:20

В продолжение дискуссии о том, использовать слово «хакер» 💻 хорошо или плохо. Раскопалось старое видео с Жириновским, высказывающим свое мнение о том, кто такие хакеры, и что они бывают разные - не только плохие, но и хорошие. А ведь Вольфович плохого не посоветует 🤔 И помните, что в арабском слово «хак» означает «истина»!

Кто, если не хакеры, проверит истинное состояние вашей ИБ? Белые, испытывая ее на прочность во благо. Черные - ломая во вред. Не слов надо бояться, а бездействия одних и действий других 🥷

#терминология #хакеры

Пост Лукацкого

15 November 2025 07:40

Отстрелялся вчера про три стороны ИИ в контексте кибербеза для отзывчивой индонезийской публики 🇮🇩 Пришлось, конечно, сильно ужать свою восьмичасовую презентацию в два часа, но ничего, справился.

#ии #презентация

Пост Лукацкого

14 November 2025 14:41

Есть множество социологических и психологических исследований 🧑🏻‍🔬, доказывающих, что многие руководящие иерархии и комитеты содержат обычно людей, очень схожих между собой по цвету кожи, полу, возрасту, этнической принадлежности и т.п. Потому что мы чувствоваем себя комфортно в окружении людей, выглядящих и думающих как мы сами (нет-нет, да и наблюдаю за собой тот же эффект в странах Юго-Восточной Азии или на Ближнем Востоке или в Латинской Америке, где люди отличаются от тебя цветом кожи, расой, религией, культурой...) 👎

Это приводит к так называемому "групповому мышлению" 🧠, когда мы не ставим под сомнение мнение "коллег" или просто не видим чего-то, к чему уже привыкли или наш глаз замылился. "Чужаки" же в такой ситуации могут подсветить какие-то сигналы, которые являются предвестниками беды. Такие "чужаки" повышают качество принимаемых решений, снижая риски, что также подтверждается множественными исследованиями 🤔

Например, в военной разведке Израиля 🇮🇱, в Амане, есть подразделение "адвоката дьявола", которое укомплектовано офицерами, задача которых критиковать оценки других и рассматривать точки зрения, противоположные существующим. Они учитывают самые плохие сценарии и могут ставить под сомнение чужие решения. Их аналитические записки поступают на стол лицам, принимающим решения, минуя обычную иерархию военного ведомства ⚔️

А причем тут кибербезопасность, спросите вы? 🤔 А все просто. Иногда, нам нужен аналог службы внутреннего контроля (СВК), выступающей независимо от ИБ и критически оценивающей ее решения, подсвечивая ее недочеты, пропущенные риски или неверные решения. Это может быть как один человек, не подчинающийся CISO, так и целое подразделение, если речь идет о большой компании, холдинге, отрасли или даже целом государстве 🤔

Такой "адвокат дьявола" может критически оценивать модели угроз и нарушителей, участвовать в расследовании причин инцидентов, предлагать нестандартные use cases для red team или SOC, подвергать сомнению выбранные риски и недопустимые события. Он помогает избежать группового мышления, воспитывает культуру здорового скепсиса, улучшает качество аналитики и делает защиту более устойчивой 🤔

А у вас есть такая роль в компании?

#психология #социология

Пост Лукацкого

14 November 2025 05:39

Вам знаком психологический термин "реактанс"? 🤓 В психологии – это реакция, когда человек сопротивляется внешнему давлению или попыткам ограничить его свободу. Почему так происходит? Когда человек чувствует, что его свободу выбора ограничивают (новые регламенты, обязательная переподготовка, жесткие инструкции), включается защитная реакция – желание вернуть утраченное ощущение контроля. Это проявляется в форме: 🙅‍♂️
➡️ пассивного сопротивления,
➡️ саботажа,
➡️ демонстративного несогласия,
➡️ ухода "в тень",
➡️ имитации деятельности 🤐

Люди защищают не только свободу действий, но и свое ощущение компетентности и статуса 👎 Когда сверху спускают новые правила или "обязательное обучение" или "национальный мессенджер", это может восприниматься как:
➡️ недоверие,
➡️ унижение профессионального достоинства,
➡️ попытка контроля,
➡️ навязывание чужой повестки 😕

Отсюда – сопротивление, даже если правила объективно полезны 🤬 Современные исследования (MIT Sloan, Harvard Business Review, McKinsey) показывают, что программы изменений, построенные на контроле и запретах, успешны только в 20–30% случаев, чего не скажешь о программах, построенных на вовлечении и работе с мотивациями, – успех в 70%+ случаев ☺️

Это хорошо видно в кибербезопасности: жесткие политики без нормального объяснения "зачем" обычно приводят к тому, что сотрудники ищут обходные пути. Я бы написал что-нибудь про культуру и вот это вот все, но не буду; зачем повторяться. На уровне государства мы это тоже видим с блокировками VPN, запретом привычных мессенджеров, замедлением Youtube, импортозамещением и т.п. 🤔

Исследования показывают, что люди намного охотнее принимают изменения, если:
➡️ есть понятный смысл и объяснение ("почему это важно", "как это влияет на меня лично");
➡️ правила создавались с их участием (хотя бы частично или через интервью);
➡️ у человека сохраняется контроль (выбор формата обучения, гибкие рамки выполнения);
➡️ в коммуникации есть уважение (никакого "вы делаете неправильно" или "а если не будут брать, отключим газ");
➡️ изменения связаны с ценностями (безопасность, профессиональное развитие, ответственность);
➡️ присутствуют быстрые позитивные примеры ("после внедрения X мы сократили инциденты на Y").

Думаю, не стоит пояснять, как это все применимо к кибербезу? Или стоит? И расписать, как правильно внедрять изменения, чтобы шансы на их успех выросли? В то, что государство этому будет следовать я не очень верю, но на уровне компаний это вполне под силу 🤔

#психология #социология

Пост Лукацкого

13 November 2025 10:34

◻️◻️◻️◻️◻️
Все о SOC: от автоматизации до первого алерта | Выпуск 3. Процесс и контроль эффективности

SOC невозможно построить без процессов — но как убедиться, что они действительно работают, а не просто существуют «на бумаге»? Как оценить зрелость процессов, измерить эффективность и понять, когда пришло время для метрик и автоматизации?

В третьем выпуске говорим о том, что отличает живой, работающий SOC от формального. Обсудим, как внедрять процессы, кто должен отвечать за их актуальность, какие метрики действительно полезны и где проходит граница между реальной эффективностью и красивыми дашбордами.

📌 В выпуске:
— зачем SOC нужны формализованные процессы и какой минимальный набор обязателен;
— как поддерживать актуальность документированных процедур;
— кто в SOC отвечает за разработку и контроль процессов;
— когда и для чего нужны метрики, какие из них ключевые;
— примеры показателей эффективности (MTTD, MTTR, SLA и др.);
— автоматизация и визуализация: как сделать, чтобы метрики работали, а не просто красиво выглядели.

В разговоре приняли участие:

🎙 Ведущий: Теймур Хеирхабаров, BI.ZONE

🎼 Ринат Сагиров, Инфосистемы Джет
🎼 Алексей Лукацкий, Positive Technologies
🎼 Вера Орлова, Русагро Тех

Уже на всех наших площадках 🌠

📺 VK Видео 📺 YouTube
📺 RUTUBE 📝 Дзен

#GDS #подкаст

Пост Лукацкого

13 November 2025 08:34

Если я начинал свою карьеру как разработчик СКЗИ для нужд МинОбороны, то могу ли я называть себя военным шифровальщиком и праздновать сегодня свой день 🤔 В любом случае всех причастных с праздником! ✨

Пост Лукацкого

12 November 2025 18:22

И снова про китайцев. Не знаю, насколько это правда, но если да, то они умеют в CAPTCHA 🐲 Правда, так они отсекают не только роботов, но 6,5 миллиардов населения земного шара. Но кого это волнует? Уж точно не китайцев...

#аутентификация

Пост Лукацкого

12 November 2025 11:59

По тому, поздравляют тебя с профессиональным праздником 12 или 30 ноября все понятно! 🎆🎉

ЗЫ. Про 20.12, 5.05, 13.11 вообще молчу 🤫

ЗЗЫ. 12.11 к ИБ, к слову, отношения не имеет.

Пост Лукацкого

12 November 2025 05:40

Министр цифрового развития РФ, отметивший вчера свой день рождения 🧐, решил сделать подарок всей отрасли ИБ, предложив накладывать оборотные штрафы на владельцев значимых объектов КИИ за нарушение сроков перехода на отечественное ПО. Именинник добавил, что оборотный штраф будет накладываться за то, что субъект КИИ не классифицировал свои объекты и не перевел их на отечественное ПО. Наконец, министр заявил, что штрафы будут платиться ежегодно, пока не перейдешь на отечественное 🤑 Это, конечно, прекрасно. Власти распробовали идею с оборотными штрафами на теме персональных данных и решили повторить ее в другой сфере кибербеза, сделав подарок всем отечественным ИТ и ИБ-компаниям.

Меня в этой истории интересует несколько моментов: 🤔
1️⃣ Если компания, субъект КИИ, была взломана и у нее произошла повторная утечка ПДн, а в результате выяснится, что у компании еще и отечественных решений не было, то будет ли она платить два оборотных штрафа или только один? Мне кажется ответ очевиден, но все равно интересно.
2️⃣ Указы №166 и №250 требуют перехода на отечественное максимум до 1 января 2025 года. Какой статус этих указов и сроков, указанных в них? И не будут ли штрафовать теперь всех, кто еще не перешел на российское?
3️⃣ Каков процент "локализации" должен быть достигнут, чтобы не получить оборотный штраф? 100% или все-таки достаточно, например, 66%?
4️⃣ А как быть тем, у кого есть зарубежные дочерние предприятия? Их тоже переводить на отечественное?
5️⃣ У нас вообще кто-то просчитывал все риски, связанные с импортозамещением? Их прям дофига и в случае дальнейшего движения в этом направлении, мы рискуем потерять очень многое в нашей ИТ-отрасли.

В общем, интересно девки пляшут 💃 Понятно, что цифровой суверенитет – штука важная и развивать свое нужно, но все-таки, не путем наказания тех, кто не готов покупать отечественное, потому что оно не соответствует требованиям заказчиков (а иначе бы и принуждать не надо было). А там ведь еще куча подводных камней с этим импортозамещением связана. Надеюсь, удастся поговорить о них на грядущем через три недели Киберсъезде в Кибердоме 🤔

#суверенитет #ответственность #кии

Пост Лукацкого

11 November 2025 14:42

Представляем Swordfish: Secure AI Maturity Model (SAIMM) — фреймворк, который помогает компаниям обеспечивать безопасность ИИ-систем и устойчивость к атакам на всех этапах жизненного цикла разработки.

SAIMM построен на основе пяти базовых доменов в области безопасности ИИ и одного специализированного в области агентных систем. Для каждого домена предусмотрена дорожная карта с действиями, артефактами и техническими мерами.

Домены SAIMM:

1️⃣ Управление и риск-менеджмент
Политики, роли, риск-аппетит, процедуры аудита, внутренние стандарты и этические принципы.

2️⃣ Защита данных и конфиденциальность
Качество, происхождение, доступы, ПДн и локализация. Надежное обучение моделей и эксплуатация ИИ.

3️⃣ Безопасность модели
Устойчивость моделей к атакам любого рода и защита артефактов модели от несанкционированного доступа.

4️⃣Безопасность цепочек поставок
Встроенная безопасность в конвейер разработки ПО. Контроль состава и безопасности всех внешних компонентов: модели, библиотеки, датасеты.

5️⃣Инфраструктура и операционная безопасность
Надежное функционирование системы, устойчивость к сбоям, дрейфу и атакам. Организация реагирования на инциденты.

6️⃣Безопасность агентных систем
Контроль автономного поведения агентов для предотвращения нежелательных действий и рисков.

💡 SAIMM выступает практической картой зрелости безопасности ИИ, позволяющей не просто измерять готовность, но и выстраивать стратегию
безопасного внедрения и масштабирования искусственного интеллекта в корпоративной среде.

Хотите внедрять безопасный и ответственный ИИ?
➡️ Скачивайте SAIMM и начините оценку прямо сейчас!

#AISecurity #AIOps #MLSecOps

Пост Лукацкого

11 November 2025 10:34

Comparitech опубликовал список из 10 самых популярных паролей 📊, используемых в 2025-м году в Интернете. В него попали: 123456, 12345678, 123456789, admin, 1234, Аа123456, 12345, password, 123 и 1234567890. Не понимаю этой любви публиковать итоги года за пару месяцев до его конца. Авторы надеются, что больше ничего крупного не утечет, чтобы изменить статистику по имеющимся 2 миллиардам паролей 📈

Но если вернуться к списку 📝 самых популярных паролей, то четверть из них состоит только из цифр, что многократно ускоряет их перебор. Чуть более 9% всех паролей используют комбинации из слов pass, password, admin, qwerty и welcome. 49% всех паролей содержат от 8 до 10 символов, что также очень мало по современным меркам. 16 и более символов, что и рекомендуется в 2025-м году в качестве надежного пароля, используется только в 3,2% случаев 🤷‍♀️

При такой статистике 📊, не изменяющейся годами, становится понятно, почему решения класса ITDR становятся столь популярными – ждать от пользователей смены поведения бессмысленно, поэтому компенсируем их нежелание менять свои пароли техническими мерами. Ну и не забываем про многофакторную аутентификацию (MFA).

Правда, надо отметить тот факт, что хотя Comparitech и заявляет, что они включали в свой анализ только утечки 🔤🔤🔤🔤 года, это не значит, что и пароли там создавались пользователями именно в этом году. Вполне возможно, что в список утечек попали и старые данные. Например, у меня много одноразовых учеток, созданных очень давно и которые мной не использовались больше одного раза. Если вдруг с таких сайтов произойдет утечка, то этот пароль будет рассматриваться как "свежий", хотя в реальности это и не так 🤔 Так что в любую статистику верим, но критическое мышление никто не отменял!

#аутентификация #статистика

Пост Лукацкого

10 November 2025 18:33

Зафиналим историю про ИИ. В прошлой заметке я упомянул про ИИ-революцию. Но сейчас многие говорят об ИИ-пузыре 🎈 и если текущий бум вокруг ИИ и правда им окажется, то сценарии развития могут напоминать то, что происходило с другими технологическими пузырями (доткомы, блокчейн, метавселенные), но с поправкой на то, что ИИ уже внедрен глубже, чем многие предыдущие хайпы 🫧 Возможные последствия можно условно разделить на четыре уровня: финансовый, технологический, социальный и регуляторный, которые стоит учесть выбирая решения по ИБ, которые напичканы ИИ (в первую очередь это все касается иностранных компаний – у нас рынок ИИ-ИБ-компаний оооочень мал 🤏).

💰 Что может случиться на финансовом уровне:
➡️ Обвал капитализации ИИ-компаний, особенно тех, кто живет на обещаниях, а не на реальной выручке. ИБ-стартапов, предлагающих сегодня ИИ-таблетку, огромное количество и не все из них имеют ресурсы, чтобы выжить.
➡️ Сокращения и закрытия стартапов, которые держались на инвестициях и не успели создать устойчивую бизнес-модель.
➡️ Консолидация рынка: выживут либо гиганты (Microsoft, Google/Chronicle, Cisco, CrowdStrike...), либо те, кто делает прикладные и очень узкоспециализированные продукты.
➡️ Перенаправление денег инвесторов из “ИИ-для-всего” в более прагматичные зоны, одной из которых и является кибербезопасность. Внутри же ИБ интерес будут вызывать не продукты, обнаруживающие все, а решающие конкретные задачи.

🥶 На технологическом уровне надо помнить, что пузырь не обнуляет саму технологию, но резко снижает скорость ее развития.
➡️ Заморозка "исследований ради исследований" – фундаментальная наука станет хуже финансироваться (до следующего хайпа).
➡️ Откат от универсальных LLM к узким специализированным моделям (domain-LLM, on-device LLM, агенты, edge-AI). У нас в стране в ИБ таких очень мало.
➡️ Падение доверия к ИИ как к универсальному решению, а значит меньше "ИИ-для-всего" и больше здравого смысла: где ИИ дает прибыль → используем, где нет → не трогаем. И снова надо будет доказывать бизнес-преимущества от ИИ-решений в ИБ.

😭 На социальном уровне нас ждет:
➡️ Разочарование у пользователей: "ИИ обещали революцию и обнаружение всего неизвестного, а он пока пишет только логи читает и то фигово".
➡️ Переоценка профессий: не "все станут промпт-инженерами", а наоборот – спрос переместится к тем, кто умеет интегрировать ИИ в реальные ИБ-процессы, а не просто "пользоваться ChatGPT для суммаризации логов SIEM".
➡️ Снижение массовой тревожности о "конце профессий" – как это было после автоматизации в 1980-х и как происходит сейчас ("аааа, ИИ нас заменит").
➡️ ИИ станет рутиной: технология уйдет с обложек СМИ и станет "как интернет" – незаметной, но везде (если РКН не заблокирует).

🏛 Последний рубеж, регуляторный уровень, даст нам следующее:
➡️ Госрегуляторы перестанут догонять хайп и перейдут к прагматичному подходу.
➡️ Станет меньше паники про "опасность ИИ для человечества" – вместо этого будет разговор о конкретных рисках: мошенничество с дипфейками, ИИ в кибератаках, защита данных, авторское право.
➡️ Стандартизация: как только пузырь лопается, становится ясно, кто действительно работает на рынке → появляются отраслевые ГОСТы, требования к доверию моделям, этические нормы и т.п.

Что делать?
6️⃣ Не покупать ИИ "ради ИИ" – считать ROI или хотя бы реальные преимущества.
2️⃣ Не строить стратегию на одной только LLM – распределять ставки (если мы говорим именно о LLM в ИБ).
3️⃣ Инвестировать не в модели, а в интеграцию и процессы.
4️⃣ Следить за кадровым сдвигом – ценность сместится к “MLOps”, “ИБ+ИИ”, “AI-governance”.
5️⃣ Отделять инновационные решения от маркетингового ИИ-театра.

#ии #тенденции #проблемыибкомпаний

Пост Лукацкого

10 November 2025 10:34

Приземленная история – у CISO "завал" предложений – от крупных вендоров до стартапов, каждый с ИИ-продуктом, который якобы "решает все проблемы SOC, угроз, инцидентов, аналитики и автоматизации". Ошибка №1 – рассматривать это как витрину технологий. Ошибка №2 – сравнивать продукты между собой. Правильный фокус – не "что у них есть?", а "что мне нужно – и окупится ли это?" Как превратить это в стратегию?

6️⃣Определитесь: вам нужен ИИ-продукт или ИИ-эффект? Про выполнение спущенного сверху процента инноваций и ИИ-проектов говорить не будем. Итак, вендоры продают "ИИ-решение", а CISO покупает не ИИ, а снижение MTTR, экономию FTE, повышение MTTD, автоматизацию рутины, реальное обнаружение атак, снижение нагрузки на L1 и т.д. Поэтому от вендора ждут измеримость и конкретику: "-30% вручную обрабатываемых инцидентов / +40% закрытия инцидентов в пределах SLA / -2 аналитика L1 / автогенерация обогащения и плейбуков".

2️⃣Стройте фильтр в соответствие с ИИ-воронкой 👇

3️⃣Не верьте в универсальный ИИ. Ищите "AI inside" для конкретных задач. Сферы, где ИИ уже дает эффект (при зрелой реализации) – автоматическое обогащение / корреляции / нормализация, генерация TI-сводки, кластеризация, авто-IOC, ИИ-картирование внешних активов, обнаружение аномалий, обнаружение дипфейков, автоматический отчет по инцидентам / автоплейбуки, ИИ-SAST и auto-fix PR.

4️⃣Ставьте правила игры: не вы "покупаете ИИ", а вендоры борются за вашу задачу.
📌 PoC только на наших данных
📌 Четкие метрики успеха (MTTD, MTTR, экономия FTE, уровень FP)
📌 30-дневный пилот → отчет → решение
📌 Не интегрируется с SIEM/SOAR? – не рассматриваем
📌 Нет модели владения данными – до свидания
📌 Нет дорожной карты по AI Safety / governance – минус 50 очков Гриффиндору

#ии #стратегия

Пост Лукацкого

09 November 2025 18:20

Много лет назад я рассказывал о концепции "окна Джохари" 🪟, предложенной американскими психологами (по первым частям их имен и получилось Джохари) и позволяющей лучше понять взаимосвязь между личными качествами людей и тем, как их воспринимают окружающие 🏠

Я тогда эту историю спроецировал на кибербез и 4️⃣ зоны "окна Джохари", открытую, слепую, спрятанную и неизвестную, применил к обнаружению угроз: 💡
➡️ Известно мне, известно и нарушителям (открытая зона). Это то, с чем мы прекрасно умеем бороться в автоматическом режиме через сигнатуры, индикаторы копрометации, черные списки и т.п. Самая простая история, хотя даже в ней мы часто косячим.
➡️ Известно плохим парням, но неизвестно мне (слепая зона). Нехватка логов, разрыв в процессах, ложные срабатывания, нехватка интеграции и т.п.
➡️ Известно мне, но неизвестно нарушителям (спрятанная зона). Это дает нам преимущество, так как мы знаем то, чего не знают другие (те же самые злоумышленники) – состояние инвентаризации активов, контекст, эталонное поведение сети, пользователей и процессов, а также результаты анализа всей совокупности данных ИБ.
➡️ Неизвестно мне и неизвестно нарушителям (неизвестная зона). Это проблема проблем и ее очень хорошо в свое время озвучил бывший министр обороны США Дональд Рамсфельд: "Есть известные известные – вещи, о которых мы знаем, что знаем их. Есть также известные неизвестные – вещи, о которых мы знаем, что не знаем. Но еще есть неизвестные неизвестные – это вещи, о которых мы не знаем, что не знаем их". В ИБ таких событий огромное количество. Это и 0-Days, и события, для которых еще нет сигнатур или иных решающих правил, и неизвестные устройства или сервисы в инфраструктуре, т.п. 💡

Чтобы эффективно бороться с угрозами 🛡, ИБ должна расширять открытую и сужать все остальные зоны. И если посмотреть на дневную заметку про фреймворк "Киневин", то между ним и "окном Джохари" есть пересечения, хотя они и из разных дисциплин (системное мышление vs. психология общения). Обе модели – про осознанность в ситуации неопределенности и границы познания. Просто каждая описывает это с разных сторон (смотри картинку внизу 👇). И там, и там неведение – не ошибка, а естественное состояние системы, которым можно управлять, а не пытаться засунуть все в регламенты и процессы. Ошибкой будет как раз не уметь его распознавать или скрывать. И в "Киневин", и в "окне Джохари" проблема начинается, когда люди думают, что находятся в одной зоне, а реально – окопались в другой 🏠

Оба фреймворка помогают CISO объяснить руководству 🧐 (ну или самому понять) разницу между регламентной ИБ и доменами (например, threat hunting), в которых надо экспериментировать; осознать, что "мы не знаем, что не знаем", понять, что хаос – это еще не провал и много чего еще, что сопровождает ИБ. И для кибербеза это буквально вопрос выживания – потому что многое, требующее контроля, происходит именно в “неизвестных зонах”, а рушится все из-за иллюзии знания ❌

ЗЫ. А "окно Джохари" неплохо еще и к себе применять для оценки себя. Тоже открывает горизонты самопознания и границ своих компетенций 🤔

#framework #стратегия #психология

Пост Лукацкого

09 November 2025 07:40

Рунет вчера "взорвался" разговорами о том, что РКН получил бразды управления Интернетом и теперь может отключать Россию от всего мира по щелчку пальцев ✂️ Речь идет о новом Постановлении Правительства №1667. Я разочарую многих, но ничего нового в этой идее нет. Соответствующие Постановления (126-е и 127-е) были приняты еще в 2020-м году. По сути речь идет о замене старого, ПП-127, но новое, ПП-1167. Если кратко, то новое постановление – это более детализированная редакция правил централизованного управления сетью связи общего пользования 🌐, с четким сроком действия (до 2032 года), с расширенными обязанностями и правами операторов, с более конкретным регламентом взаимодействия и четкой ролью Роскомнадзора.

При этом и сейчас РКН 🚫 управляет ТСПУ, установленными у операторов связи, что регулируется 126-м Постановлением, и сам может блокировать то, что посчитает нужным. И операторы на это мало могут повлиять. Ранее описанный перечень угроз устойчивости Интернета чуть детализировался, но также ничего нового, по сравнению с уже сложившейся практикой 🤬

Мы продолжаем наблюдать централизацию вопросов национальной информационной безопасности... Может готовятся к чему-нибудь? ⚔️ Как мы помним из классики, а именно из работ Ленина, первые, обязательные условия успешного восстания - это захват почты, телеграфа и железнодорожных станций. Сейчас он бы еще добавил и про Интернет. Ну а чтобы никто посторонний их не захватил в час Х первым, лучше взять под контроль самим 🤔

#регулирование #суверенитет #интернет #модельугроз