Пост Лукацкого

20 November 2025 19:04

Какой из offensive-сертификатов круче? 🤔

#пентест #юмор

Пост Лукацкого

20 November 2025 12:49

Ничего святого у мошенников. Max’ом прикрываются и просят его установить, если еще не 😂 Но как не знали они, как документы оформляются правильно, так и не знают. Хотя, честно говоря, организации и граждане этого тоже не знают. Так что win-win...

Ну и чтобы заметка не была повтором октябрьской про требования мошенников устанавливать Max, хочу дать ссылку на свежий разбор очередной схемы угона учетных записей в "старом мессенджере", пока еще не заблокированном на территории России Telegram. В последнее время таких случаев стало немало в моем окружении, так что будет полезно.

#мошенничество #мессенджер

Пост Лукацкого

20 November 2025 05:40

После пары месяцев оценок, предположений и догадок, в инциденте с Jaguar LandRover 🐆 наконец-то появились конкретные цифры, подтвержденные и самой компанией и внешними солидными отчетами от Банка Англии и Национальной статистической службы Великобритании. Итого, вот что мы, точнее JLR, сейчас имеем:
➡️ Выручка за второй квартал 2025-го года составила £4,9 млрд; падение на 24% год к году. JLR прямо пишет, что выручка просела из-за остановки производства после киберинцидента, плюс небольшое свертывание производства старых моделей Jaguar.
➡️ Убыток до налогообложения составил −£485 млн за квартал, хотя в прошлом году в том же квартале фиксировалась прибыль £398 млн. То есть потери, условно, составили ~£883 млн.
➡️ Маржа EBIT: −8,6% (годом ранее она была +5,1%).
➡️ В финансовом отчете JLR прямые расходы на киберинциденте оцениваются в £238 млн.
➡️ Свободный денежный поток за квартал: отток −£791 млн, за полугодие −£1,5 млрд.
➡️ Для поддержки баланса после атаки JLR обеспечила дополнительные "подушки ликвидности" на £3,5 млрд, включая 1,5 млрд кредита от государства и около £500 млн ускоренных схем платежей поставщикам.
➡️ Государственный Cyber Monitoring Centre оценивает совокупный экономический ущерб (JLR + цепочки поставок + смежные бизнесы) примерно в £1,9 млрд и называет этот инцидент "самым экономически разрушительным киберсобытием в истории Великобритании" и относит его к категории 3 из 5 (systemic event).
➡️ По данным местного нацстата произошел 28,6% обвал производства транспортных средств в стране, что отняло 0,17 п.п. от месячного роста ВВП в сентябре и около 0,06 п.п. от прироста ВВП за весь 3-й квартал. ВВП UK в Q3 2025 вырос всего на 0,1% (после 0,3% в Q2); сам сентябрь дал −0,1% к ВВП. Официально подчеркивается, что ключевой фактор такого падения – именно падение производства автомобилей из-за инцидента ИБ у JLR. Банк Англии прямо пишет, что фактический рост ВВП в Q3 (0,2% по их оценке / 0,1% по оценке статрегулятора) оказался ниже, чем прогноз в августе 🤑

Да, автопроизводитель не "умирает", но удар по прибыли 📉 и cash-flow за один квартал сопоставим с многолетним прогрессом. Автопром стал ключевым драйвером слабости промышленного производства в стране и потянул вниз квартальный рост ВВП (я вот так сходу и не вспомню инцидентов, которые смогли ощутимо повлиять на ВВП). Ущерб £1,9 млрд – это именно макроэкономическая оценка (потерянная добавленная стоимость в JLR и по цепочке поставок), а не просто "счет за восстановления ИТ-инфраструктуры" 🚘 По масштабу инцидент не обошел UnitedHealth Group с его 3 миллиардами, но и без этого цифра солидная, а по влиянию на ВВП так все равно на первом месте.

#ущерб #недопустимое

Пост Лукацкого

19 November 2025 18:21

А вы уже спланировали свою ближайшую субботу? Айда на мою лекцию в музей криптографии в 15.00? 🏃‍♂️

#обучение

Пост Лукацкого

19 November 2025 10:34

После заметки о психологическом реактансе, то есть о реагировании на принуждение, несколько подписчиков попросили расписать, как это все применяется в кибербезе, что я и делаю 🤝 Надо признать, что в нашей сфере эффект психологического сопротивления проявляется даже сильнее, чем в других областях, так как большинство людей по-прежнему считают ИБ чем-то внешним, навязанным, а новые правила – "ограничением нормальной работы". Особенно плохо, если и вы сами считаете, что ИБ всегда мешает – тогда вы эту мысль бессознательно будете доносить и до людей, которые это будут считывать 🤯

Когда отдел ИБ увеличивает количество политик 📚, требований и запретов, сотрудники начинают их все (или их часть) игнорировать, искать обходы (думаете, "теневые ИТ" просто так появились), воспринимают ИБ как врага, а не помощника, выполняют требования формально. Аналогичная история с обучением и обязательными тренингами по повышению осведомленности. Если они воспринимаются как "меня считают некомпетентным", "меня заставляют тратить мое время" и "опять я прохожу очередной бесполезный курс ради галочки", то человек будет 😠 слушать вполуха, быстро забывает полученную информацию и воспринимает ИБ как навязанное сверху, а не реального помощника. Именно поэтому согласно исследованиям программы обязательного обучения в компаниях приводят к повышению реального соблюдения правил ИБ в среднем только на 10–15% 🤠

Когда ИБ работает по модели: "мы все запретим", "мы все контролируем", "вы должны следовать политике", то возникает банальный и прямо противоположный ожидаемому эффект – люди сами перестают думать о безопасности. Они перекладывают ответственность на ИБ, действуя по принципу: "Раз разрешили – значит можно. Если что-то случится – это не моя вина" 🖕

Что же работает на практике: ✍️
1️⃣Четкое объяснение "зачем". Человек лучше соблюдает требования, когда понимает, как это связано с его работой, как это защищает его лично (зарплату, данные, репутацию), какие инциденты уже происходили в похожих компаниях. Кейсы и истории работают лучше, чем правила.
2️⃣ Вовлечение сотрудников в разработку правил. Если сотрудника хотя бы спросили "что мешает безопасной работе?" и "как удобнее реализовать это требование?", то он начинает воспринимать политику как свою, а не спущенную сверху.
3️⃣ Оставлять людям выбор. Не "тренинг обязателен", а дать возможность выбрать один из трех форматов обучения: видео, мини-курс, практикум, выбрать удобное время и выбрать формат проверки знаний. Даже иллюзия выбора снижает сопротивление.
4️⃣ Минимизировать запреты, увеличивать помощь. Не запрещать, а давать безопасные альтернативы. Вместо: "Нельзя пользоваться личным облаком" лучше "Вот корпоративный сервис – он удобнее и безопаснее. Мы переносим ваши данные туда автоматически".
5️⃣ Делать безопасность частью культуры, а не набора правил. Когда сотрудники видят быструю реакцию ИБ на их запросы, помощь вместо наказаний и уважение и сотрудничество, то ИБ начинает восприниматься как партнер. Начните хотя бы предупреждать людей об утечках их паролей из сервисов, которыми они пользуются. Не знаете, какими они сервисами пользуются? А NGFW, SIEM, прокси вам на что?
6️⃣ Микро-обучение вместо "курсов на 2 часа". Лучшие форматы: сториз, короткие кейсы, комиксы, мини-ситуации по 1 минуте, контекстные подсказки ("Обнаружили подозрительный файл – вот что делать"), а также игры и квизы. Современные GenAI-сервисы прекрасно подходят для генерации короткоформатного креатива.
7️⃣ Позитивное подкрепление. Вместо "если нарушишь – оштрафуем" работает рейтинг безопасного поведения, внутренние награды, признание в команде, конкурсы "Кибер-грамотность недели".

Да, сотрудники действительно восстают против правил, особенно в кибербезопасности 👎 Но сопротивление – не проблема людей, а ошибка подхода. ИБ работает намного лучше, когда вместо давления используется другая формула: смысл → вовлечение → выбор → поддержка → позитивная культура 🤔

#стратегия #awareness #bestpractice

Пост Лукацкого

18 November 2025 18:21

Ну что ж, поездка в Индонезию 🇮🇩 подходит к концу, пора и честь знать. Свою задачу я тут выполнил – про кибербез и ИИ рассказал, позитивом всех заразил, в каком направлении всем идти показал, кампусы местных ВУЗов изучил, местной спецификой напитался, язык подкачал (до этого момента 2 часа подряд на языке Беббиджа, Лавлейс и Тьюринга я не выступал), с правильными людьми вместе с коллегами повстречался. Даже награду какую-то вручили. За что, не знаю, но она займет свое достойное место на полагающейся для наград полочке. Теперь можно и в снег спокойно лететь из этих +31 🥵 Тем более, что и орущая из всех щелей последней гостиницы рождественская «Let It Snow» ☃️ как бы намекает…

Кстати, вы же знаете, что Индонезия является четвертой по численности населения страной мира после Китая, Индии и США. Но вы не знаете, какие планы у этого государства по количеству обученных специалистов по кибербезу, а я теперь знаю! С этим знанием и улетаю, чтобы вновь вернуться в страну, где я узнал, что такое Фаджр, и прочувствовал его на себе ✈️

Пост Лукацкого

18 November 2025 12:18

На злобу дня…

#soc #ии #юмор

Пост Лукацкого

18 November 2025 05:40

ЦСР выпустил уже очередной ежегодный прогноз развития российского рынка кибербеза 📈 Если верить этому исследованию, то наш рынок может вырасти до 968 млрд руб. к 2030 году при среднегодовом темпе роста в 21% (превышает показатели мирового роста ИБ в 11,8%). Не открытие, но основными драйверами роста станут импортозамещение и тренд на технологический суверенитет, что приведет и к снижению доли продаж иностранных вендоров до 4% (но есть подозрение что анализ не учитывает серый рынок, так как его сложно посчитать) 📊 Среди рисков эксперты ЦСР отмечают высокие ставки по кредитам, возможное сокращение налоговых льгот и ужесточение регуляторных требований.

Из интересного, по оценкам ЦСР в 2024 году организаций, занимающихся разработкой средств ИБ, было зарегистрировано более 300 📊 Это не стало для меня новостью – с момента публикования мной реестра российских игроков прошло уже 3 года и их число выросло примерно на 25%. А вот то, что общее количество компаний, занимающихся кибербезом, по состоянию на 01.01.2025, превысило 11,2 тысячи, стало для меня сюрпризом; не думал, что их так много 📈 Ну а с лидерами рынка ИБ, как вообще, так и в отдельных нишах, вы можете ознакомиться в самом отчете 👇

#рынок #статистика #отчет

Пост Лукацкого

17 November 2025 14:42

Наткнулся тут на проект DetectionStream, созданный с целью упрощения и ускорения работы специалистов по обнаружению угроз 🔍 и инженеров по detection engineering. Можно было бы предположить, что это еще один репозиторий правил SIGMA/YARA/NOVA, но нет. У этой платформы чуть больше функционала:
➡️ Платформа позволяет искать правила обнаружения (например, правила формата Sigma) в репозиториях.
➡️ Платформа умеет конвертировать правила между различными форматами/фреймворками обнаружения.
➡️ Платформа предлагает функции для создания новых правил обнаружения с помощью ИИ (но лучше проверять, что он там нагенерит).
➡️ Платформа предоставляет централизованный доступ к репозиторию SigmaHQ, что позволяет инженерам работать с уже существующими правилами и адаптировать их 🛡

Единый рабочий процесс (поиск → конвертация → создание) уменьшает фрагментацию и ускоряет внедрение новых правил в SOC, что повышает готовность аналитиков ИБ и специалистов CTI к новым угрозам 👨‍💻 А создание правил с поддержкой ИИ делает возможным более быстрый отклик на новые тактики, техники и процедуры злоумышленников.

Важное замечание! Хотя платформа упрощает процессы по detection engineering, любые автоматически сгенерированные или конвертированные правила нужно обязательно проверять, тестировать и валидировать в вашей среде 🤔 – пока еще полностью безошибочная автоматизация в этом деле недостигнута (но я верю). Интеграция в конвейер разработки правил требует настройки: репозитории правил, метаданные, поле для маппинга могут отличаться у платформы и у вас. Ну и наконец помните, что правила, созданные ИИ или конвертированные через платформу, могут не учитывать (и скорее всего не учитывают) весь контекст вашей инфраструктуры – источники, схема сети, особенности данных, что может привести к ложным срабатываниям 🤖

#обнаружениеугроз #ttp #soc

Пост Лукацкого

17 November 2025 05:40

А мы выложили материалы с прошедшей 🟥 SOCcon 2.5, из которых вы можете узнать много всего разного:
➡️ Как ИИ в реальности используется в SOCах (на примерах автоматизации триажа и написания правил обнаружения)?
➡️ Как интегрировать процессы AppSec и DevSecOps в SOC и какие метрики для эффективности этой интеграции можно использовать?
➡️ Как разложить катастрофу Титаника с точки зрения аналитика SOC и на какие метрики реагирования на инциденты стоило обращать внимание капитану судна?
➡️ Какие ошибки при построении и эксплуатации SOC чаще всего допускаются?
➡️ Как автоматизировать работу аналитика SOC?
➡️ Ну и еще много всего разного и интересного (моя презентация там тоже выложена).

#soc #презентация #мероприятие

Пост Лукацкого

16 November 2025 12:45

Никогда такого не было и вот снова (с)

#мессенджер

Пост Лукацкого

15 November 2025 18:20

В продолжение дискуссии о том, использовать слово «хакер» 💻 хорошо или плохо. Раскопалось старое видео с Жириновским, высказывающим свое мнение о том, кто такие хакеры, и что они бывают разные - не только плохие, но и хорошие. А ведь Вольфович плохого не посоветует 🤔 И помните, что в арабском слово «хак» означает «истина»!

Кто, если не хакеры, проверит истинное состояние вашей ИБ? Белые, испытывая ее на прочность во благо. Черные - ломая во вред. Не слов надо бояться, а бездействия одних и действий других 🥷

#терминология #хакеры

Пост Лукацкого

15 November 2025 07:40

Отстрелялся вчера про три стороны ИИ в контексте кибербеза для отзывчивой индонезийской публики 🇮🇩 Пришлось, конечно, сильно ужать свою восьмичасовую презентацию в два часа, но ничего, справился.

#ии #презентация

Пост Лукацкого

14 November 2025 14:41

Есть множество социологических и психологических исследований 🧑🏻‍🔬, доказывающих, что многие руководящие иерархии и комитеты содержат обычно людей, очень схожих между собой по цвету кожи, полу, возрасту, этнической принадлежности и т.п. Потому что мы чувствоваем себя комфортно в окружении людей, выглядящих и думающих как мы сами (нет-нет, да и наблюдаю за собой тот же эффект в странах Юго-Восточной Азии или на Ближнем Востоке или в Латинской Америке, где люди отличаются от тебя цветом кожи, расой, религией, культурой...) 👎

Это приводит к так называемому "групповому мышлению" 🧠, когда мы не ставим под сомнение мнение "коллег" или просто не видим чего-то, к чему уже привыкли или наш глаз замылился. "Чужаки" же в такой ситуации могут подсветить какие-то сигналы, которые являются предвестниками беды. Такие "чужаки" повышают качество принимаемых решений, снижая риски, что также подтверждается множественными исследованиями 🤔

Например, в военной разведке Израиля 🇮🇱, в Амане, есть подразделение "адвоката дьявола", которое укомплектовано офицерами, задача которых критиковать оценки других и рассматривать точки зрения, противоположные существующим. Они учитывают самые плохие сценарии и могут ставить под сомнение чужие решения. Их аналитические записки поступают на стол лицам, принимающим решения, минуя обычную иерархию военного ведомства ⚔️

А причем тут кибербезопасность, спросите вы? 🤔 А все просто. Иногда, нам нужен аналог службы внутреннего контроля (СВК), выступающей независимо от ИБ и критически оценивающей ее решения, подсвечивая ее недочеты, пропущенные риски или неверные решения. Это может быть как один человек, не подчинающийся CISO, так и целое подразделение, если речь идет о большой компании, холдинге, отрасли или даже целом государстве 🤔

Такой "адвокат дьявола" может критически оценивать модели угроз и нарушителей, участвовать в расследовании причин инцидентов, предлагать нестандартные use cases для red team или SOC, подвергать сомнению выбранные риски и недопустимые события. Он помогает избежать группового мышления, воспитывает культуру здорового скепсиса, улучшает качество аналитики и делает защиту более устойчивой 🤔

А у вас есть такая роль в компании?

#психология #социология

Пост Лукацкого

14 November 2025 05:39

Вам знаком психологический термин "реактанс"? 🤓 В психологии – это реакция, когда человек сопротивляется внешнему давлению или попыткам ограничить его свободу. Почему так происходит? Когда человек чувствует, что его свободу выбора ограничивают (новые регламенты, обязательная переподготовка, жесткие инструкции), включается защитная реакция – желание вернуть утраченное ощущение контроля. Это проявляется в форме: 🙅‍♂️
➡️ пассивного сопротивления,
➡️ саботажа,
➡️ демонстративного несогласия,
➡️ ухода "в тень",
➡️ имитации деятельности 🤐

Люди защищают не только свободу действий, но и свое ощущение компетентности и статуса 👎 Когда сверху спускают новые правила или "обязательное обучение" или "национальный мессенджер", это может восприниматься как:
➡️ недоверие,
➡️ унижение профессионального достоинства,
➡️ попытка контроля,
➡️ навязывание чужой повестки 😕

Отсюда – сопротивление, даже если правила объективно полезны 🤬 Современные исследования (MIT Sloan, Harvard Business Review, McKinsey) показывают, что программы изменений, построенные на контроле и запретах, успешны только в 20–30% случаев, чего не скажешь о программах, построенных на вовлечении и работе с мотивациями, – успех в 70%+ случаев ☺️

Это хорошо видно в кибербезопасности: жесткие политики без нормального объяснения "зачем" обычно приводят к тому, что сотрудники ищут обходные пути. Я бы написал что-нибудь про культуру и вот это вот все, но не буду; зачем повторяться. На уровне государства мы это тоже видим с блокировками VPN, запретом привычных мессенджеров, замедлением Youtube, импортозамещением и т.п. 🤔

Исследования показывают, что люди намного охотнее принимают изменения, если:
➡️ есть понятный смысл и объяснение ("почему это важно", "как это влияет на меня лично");
➡️ правила создавались с их участием (хотя бы частично или через интервью);
➡️ у человека сохраняется контроль (выбор формата обучения, гибкие рамки выполнения);
➡️ в коммуникации есть уважение (никакого "вы делаете неправильно" или "а если не будут брать, отключим газ");
➡️ изменения связаны с ценностями (безопасность, профессиональное развитие, ответственность);
➡️ присутствуют быстрые позитивные примеры ("после внедрения X мы сократили инциденты на Y").

Думаю, не стоит пояснять, как это все применимо к кибербезу? Или стоит? И расписать, как правильно внедрять изменения, чтобы шансы на их успех выросли? В то, что государство этому будет следовать я не очень верю, но на уровне компаний это вполне под силу 🤔

#психология #социология

Пост Лукацкого

20 November 2025 16:11

Читали "Неукротимую планету" Гарри Гаррисона? 📖 Помните основную идею? Жители планеты вели нескончаемую войну против всех остальных живых существ, провоцируя их на ответную агрессию, усиление атакующих свойств, что в итоге приводило к снижению численности оставшегося единственного города и постепенному проигрышу этой битвы ⚔️

Подумалось, что это неплохая ассоциация на тему взаимодействия службы ИБ и пользователей, воспринимающих приказы и указания специалистов по кибербезу, вместо того, чтобы искать компромиссы и общие решения. И взаимодействие служб ИБ и регуляторов тоже похоже на бесконечную борьбу с постоянным ростом агрессии с обеих сторон. А кто же победит в этом конфликте? А вот не скажу. Кто читал Гаррисона, тот знает. Кто не читал?.. Прочитайте. Там короткий рассказ на самом деле 🛋

#книга #аналогии

Пост Лукацкого

20 November 2025 09:14

На сайте ГосСОПКИ неплохой перечень всех судебных дел (выгружаемый в CSV) по ст.274.1 УК РФ с ссылками на судебные решения. Можно свое впечатление составить по тому, за что и кого чаще всего наказывают, в каких регионах и т.п. 🧑‍⚖️

#ответственность

Пост Лукацкого

19 November 2025 18:21

🔒 Какой путь прошла информационная безопасность от древних времен до цифровой эпохи?

Обсудим на лекции «Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга».

Поговорим о защите информации в разные периоды: от шифров Древнего мира, шпионских страстях эпохи Возрождения и цифровые катастрофы XXI века — до технологий завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за «цифровым забором».  

Лектор:
Алексей Лукацкий, эксперт по кибербезопасности, автор блога «Бизнес без опасности», автор телеграм-канала «Пост Лукацкого»

Пост Лукацкого

19 November 2025 14:42

Иногда пробегаю глазами ранее написанные посты и вижу, что тема обеспечения безопасности в ИИ не столь популярна 🤷‍♀️ как, например, ругань на государство российское (смотрю на количество лайков) в лице какого-либо трехбуквенного регулятора, недодепутата или нового мессенджера. А ведь, как минимум, всяческие LLM используются повсеместно – открыто или в режиме "Shadow GenAI". Посему хочется провести мини-опрос, чтобы понять, где мы все сейчас находимся 🤖

ЗЫ. Фокус в опросе на внешние ИМ-сервисы.

#ии

Пост Лукацкого

19 November 2025 05:40

Как проверить упомянутый вчера план реагирования на инциденты на реализуемость? Я бы выделил несколько практических шагов: ✍️

6️⃣ Регулярные киберучения, в первую очередь штабные (вы тестируете процедуру, а не технический инструментарий). Это самое главное. Разыгрывайте реалистичные сценарии (выключите слайды, заблокируйте доступ к обычным каналам связи) и засекайте время. Смотрите, где процесс встает. Причем именно весь процесс, а не только его стандартные 6 этапов, описанные в любом учебнике по управлению инцидентами. То есть про антикризисный PR тоже не забывайте...

2️⃣ Тестовые прогоны технических процедур. Периодически пытайтесь восстановить систему из бэкапа на тестовом стенде. Проверяйте, работают ли системы оповещения, которые вдруг внезапно были выведены из строя шифровальщиком. Есть ли у вас страничка в ВК, чтобы хотя бы там коммуницировать с заинтересованными сторонами? Это хоть и выглядить смешно, но иногда это остается единственным вариантом, как, например, в кейсе со страховой компанией ВСК.

3️⃣ Аудит "тревожного чемоданчика". Раз в квартал проверяйте, чтобы у ключевых сотрудников были актуальные распечатанные контакты, инструкции и доступ к оффлайн-копиям критически важных документов, включая плейбуки. И прекратите уже на каждый плейбук требовать согласования гендиректором…

4️⃣ Проверка полномочий. Прямо спросите у людей, указанных в плане реагирования: "У вас есть право отдать приказ на отключение системы X? Вы знаете, как это сделать технически?". Тут еще важно, конечно, чтобы у человека было не только право принимать такое решение, но и стальные фаберже для применения этого права, но последнее в плане уже не пропишешь и не особо проверишь пока не случится недопустимое 🤔

Помните! План реагирования на инциденты – это не документ для галочки, а живой, рабочий инструмент. Его ценность определяется не тем, как красиво он написан и на бумаге какой плотности распечатан, а тем, насколько он работает в момент хаоса 😱

ЗЫ. Если к каждому пункту плана вы будете задавать, как минимум, следующие вопросы: "ЧТО должно быть сделано", "КТО должен это сделать", "КАК это должно быть сделано", "КОГДА это должно быть сделано", "ГДЕ это должно быть сделано" и "КАК проверить, что это было сделано", то будет неплохо 🤔 В противном случае ваши пункты будут похожи на третью ногу стюардессы на картинке - сразу в глаза не бросается, но на деле она только мешает 😂

#управлениеинцидентами #bestpractice

Пост Лукацкого

18 November 2025 14:42

Сидел тут в самолете, читал инструкцию по безопасности; по привычке пытался проецировать на кибербез. Чем нельзя пользоваться во время инцидента аварийной посадки... Очки 🥸 Понятно, хотя люди с -6 к аварийному выходу не выйдут. Галстук. Ну тоже можно понять. Ручка, расческа, каблуки. Острые предметы как-никак (хотя мы и не в тюрьме). Последний запрет - колготки (точнее нейлоновые изделия). Мысль тоже понятна - в горящем самолете сдирать с ног расплавленный нейлон - то еще удовольствие (не пробовал, но сгорающие за секунды палатки видел 🏕).

Но кто-нибудь проверял во время испытаний, как выполнять именно это требование?.. 🤔 Снимать колготки/чулки во время аварийной посадки?.. Это сильнее, чем канат аварийного покидания, о котором говорится в инструкции и о чем предупреждает бортпроводница, показывая на себе, как обезопасить себя на борту лайнера (правда, как пользоваться канатом не показали; а было бы зрелище). Я, конечно, не специалист по экстренному снятию колготок в узком пространстве (хотя в детсадике и носил этот предмет одежды), но чудится мне, что этот пункт плана невыполним 🙅‍♂️

К чему это я? К тому что любые планы, включая и реагирования на инциденты, надо тестировать ☑️ и регулярно актуализировать. А то будет как в одной организации, где в плане было написано, что он запускается только после команды CISO, который, как назло, в момент инцидента укатил в отпуск и был недоступен, а резервный контакт, который бы сказал «Побежали», планом предусмотрен не был 😂

Вообще таких непродуманных пунктов в планах реагирования на инциденты ИБ я видел немало. Вот некоторые примеры: ✍️
➡️ "Немедленно уведомить всех руководителей по телефону и email". Список руководителей отсутствует или неактуален, а номеров телефонов и вовсе нет.
➡️ "Немедленно изолировать зараженные системы". Отсутствие технических средств для быстрой изоляции (например, сегментации сети) без "отсечения" критически важных бизнес-процессов. Команда ИБ не знает, какие системы с чем взаимодействуют, и отключение одной приводит к каскадному отказу.
➡️ "Определить масштаб утечки данных". Нет точной карты данных и непонятно, где какие данные хранятся, в каком виде и кто их владелец.
➡️ "Принять решение о необходимости оповещения регуляторов/клиентов". В плане нет четких и измеримых критериев для этого решения (например, "если пострадало более X записей, содержащих Y тип данных").
➡️ "Восстановиться из бэкапа". Последние "чистые" бэкапы были сделаны месяц назад. При этом восстановление из них не тестировалось и бэкапы оказываются битыми. RTO по плану – 4 часа, а на практике восстановление занимает 2 дня.
➡️ "Назначить ответственных за каждую задачу". В плане указаны должности, а не конкретные люди. При этом у этих людей нет заместителей и никто вообще не проверял, есть ли у этих людей необходимые полномочия для принятия решений (например, отключить систему стоимостью миллиард рублей).
➡️ "Следовать плейбукам для каждого типа инцидента". Плейбуки находятся в сетевой папке, доступ к которой невозможен из-за инцидента, уничтожившего большую часть инфраструктуры.
➡️ "Немедленно уведомить ИТ-команду". УПАТС зашифрована как и сервер электронной почты, а резервные средства коммуникаций с ИТ-командой не предусмотрены.
➡️ "Провести анализ уроков, усвоенных при инциденте". Встреча превращается в поиск виноватых, а не в анализ системных недостатков, приведших к инциденту. Нет механизма отслеживания выполнения плана устранения причин. Все забывают об инциденте через неделю, пока не случится следующий ☺️

А у вас есть в плане что-то из перечисленного выше? 🤔

#управлениеинцидентами

Пост Лукацкого

18 November 2025 10:34

Запустили еще один портал в помощь специалистам по ИБ 🛡 - PT Fusion. Если dbugs.ptsecurity.com, о котором я писал, представляет собой огромную коллекцию уязвимостей в различном ПО, то PT Fusion ориентирован на немного иную категорию специалистов – на аналитиков SOC и экспертов по Threat Intelligence 🗡

На портале собраны данные о 940 хакерских группировках 🇷🇺, свыше 200 миллионов обработанных индикаторов компрометации, 2.5 тысячах уникальных семейств вредоносного ПО и инструментов, а также около 5 тысяч обработанных публичных TI-отчетов. А база PT PDNS, также доступная на портале, включает свыше 70 миллиардов записей о связях между доменами и IP-адресами и еще более 2.5 миллиардов записей с регистрационными данными (WHOIS, RDAP) 😱 Данные по уязвимостям тоже есть, но с прописанными связями с вредоносами, группировками и т.п.

Если выцыганю себе доступ (в Cisco доступ к TI-платформе и TI-сервисам у меня был), то буду считать день вполне себе удачным. Тогда можно будет делать свои презентации и выступления более фокусными на конкретных отраслях, странах, группировках по нужным мне срезам и параметрам... 🤔

#soc #threatintelligence #ttp

Пост Лукацкого

17 November 2025 18:38

Забавное... VK 💬 (или уже надо писать "новая соцсеть") мне настойчиво впаривает рекламу VPN. При этом, в отличие от другой показываемой рекламы, у этой я даже не могу выбрать "Не интересно", "Уже куплено" и т.п. варианты (то есть я даже идентификатор этой рекламы не могу посмотреть). Да, я нахожусь сейчас не в России, но... приложение и его владелец российские, я - россиянин, симка у меня российская, даже смартфон официально куплен в России. Какого дуриана, спрашивается? 🤔

Да, рассказывать мне, как работают рекламные сети, не надо (я в курсе). Это совершенно не отменяет факта нарушения закона, вступившего в силу с 1-го сентября 2025 года. Или у нас есть те, кто ровнее? 🤔 Хотя нет, чего это я, у нас же верховенство закона и все равны перед ним – депутаты, госкомпании, чиновники, обычные граждане 😃

ЗЫ. IP на картинке, если что, не мой 😊

Пост Лукацкого

17 November 2025 10:34

Про фреймворки/языки описания правил обнаружения YARA, SIGMA и т.п. слышали многие 👂, но что насчет формализации способов описания различных атак, направленных на LLM? Как обнаруживать jailbreak prompt, adversarial prompt и иные варианты вредоносного использования ИИ, обходящие встроенные фильтры и механизмы защиты? 🤖

И такой фреймворк появился. Это NOVA, который позволяет создавать правила 🧑‍💻 в похожем на YARA синтаксисе для мониторинга и обнаружения подозрительных запросов, описываемых ключевыми словами или регулярными выражениями. Также NOVA поддерживает семантическую похожесть и поддерживает LLM для анализа и обнаружения плохих запросов. Например, вот так выглядит правило для обнаружения промптов по написанию вредоносного кода 🦠

(keywords.$safety_override or keywords.$ethical_bypass) and
(keywords.$hacker_persona or keywords.$malware_terms) and
(keywords.$obfuscated_format or keywords.$template_markers) or
(keywords.$malware_terms or keywords.$stealth_tech or keywords.$wordcount_manip) and
(keywords.$obfuscated_format or keywords.$template_markers) or
semantics.$malware

semantics.$injection* or keywords.$bypass*

Пост Лукацкого

16 November 2025 12:45

Анекдот: В России начали скрывать упоминания Max в новостях о мошенничестве

Подцензурные СМИ активно используют эвфемизм «один из новых мессенджеров» вместо реального названия.

При этом названия других мессенджеров всегда упоминаются в сводках, в том случае, если мошенники обманули россиян именно в них.

Сделайте удивленное лицо

Пост Лукацкого

16 November 2025 07:40

Общался я на прошлой неделе с коллегами из Казахстана, которые приехали по своим ИБшным делам в нашу страну и каково же было их удивление, когда они пошли по всем кругам ада 😈, связанным с получением российских SIM-карт, для чего надо было сначала получить СНИЛС и зарегаться на Госуслугах. Аналогичная судьба постигла и коллег из Союзного государства, которых футболили по разным адресам, так как ограничения-то ввели, а пройти новый CJM забыли. Для людей, приезжающих в страну на 2-3 дня, тратить сутки на оформление всей этой бюрократии, это too much, как говорят англичане 😕

И вот новая напасть - теперь не только нельзя зарегаться на российском сайте 🖥 с иностранной почты или иностранного сервиса аутентификации, но еще и владельцев сайтов, повернувшихся лицом к людям, будут штрафовать за разрешение такой возможности 🤦‍♂️

Комментаторам, заявляющим, а что такого, пусть в VK или Яндексе зарегаются, сразу отвечу - 😠 Вы когда в Турцию или Дубай на «все включено» ездите, тоже местный ID получаете? А чтобы подумали, если от вас такого потребуют?

ЗЫ. Если меня читает кто-то из администрации гаранта, скажите уже всем этим генераторам «кто навредит стране больше», взяли их или нет в следующий состав Госдумы. Может они тогда будут менее активны на законодательном поприще и займутся чем-то полезным… 🤔

#суверенитет #ответственность
#аутентификация

Пост Лукацкого

15 November 2025 12:44

В конце июля прошлого года, в разгар подачи документов в ВУЗы, на сайте Омского политеха, в разделе приемной комиссии, разместили лого известного порносайта 😎, что должно было, я так предполагаю, дать возможность абитуриентам сбросить напряжение после тяжелого процесса выбора института.

Но вузовская администрация не оценила устремлений хакера 🥷 и обратилась в правоохранительные структуры. На днях стало известно, что хакер изобличен и его будут судить. Им оказался местный 23-хлетний омич.

А теперь самое интересное. Хакеру вменяют КИИшную статью УК 274.1 👩‍⚖️ За обычный дефейс. А все потому, что палочная система любая образовательная организация - это СуКИИ; даже детсадик 👶

Вот так и формируется статистика по 274.1-й статье, которая вообще не отражает реальную опасность совершаемых преступлений. А ведь говорили авторам 187-ФЗ, что 🤔 нужна граница, ниже которой организация не будет считаться КИИ. Ну какие ломбард или филармония КИИ? Но нет 🤦‍♂️

ЗЫ. А этого неудавшегося ИБшника ведь тоже ждет 274.1?..

ЗЗЫ. Спасибо подписчику, приславшему ссылку 🤝

#инцидент #ответственность #кии

Пост Лукацкого

14 November 2025 18:26

Не только лишь наша прокуратура может снимать прикольные ролики про мошенников. На этот раз (правда, ролику уже несколько лет) отличилась полиция Дубая и ряд других, не менее солидных и официальных организаций, сняв видео "Это был не я" (It wasn't me) 📹

#awareness #видео #фишинг

Пост Лукацкого

14 November 2025 10:33

Пока летел в Джакарту закончил читать книжку "?HEУЯЗВИМОСТЬ! Отчего системы дают сбор и как с этим бороться" Криса Клирфилда и Андраша Тилчика 📖 Она не совсем про кибербез, хотя в одной из глав эта тема подсвечивается, – она про сложность и линейность современных систем, где все сильно переплетено между собой, и где сбой даже небольшого компонента может повлечь за собой каскадную катастрофу 💥

Все это порождается комбинацией сложности и жесткости связей в системе 🤔 А так как в сложных системах небольшие сбои и ошибки неизбежны, то в жестко связанных системах от эффект домино просто не избавиться, он придет когда его не ждешь. При этом авторы отмечают, что многие такие аварии, хоть и редки, но считаются нормальными из-за их естественности и неизбежности (это как смерть 😵 – ею заканчивается жизнь любого живого организма, то есть это норма). И их можно предотвратить, – нужно только вовремя замечать ошибки в управлении, перестать игнорировать предупреждающие сигналы, бороться с проблемами в общении людей, устранять низкую профподготовку персонала и не идти на безрассудный риск 😔

По ходу авторы приводят множество очень известных кейсов - от аварий на атомных электростанциях и взломов автомобилей до проблем с выходом Facebook на IPO и провалом Theranos, иллюстрирующих основной тезис 📕 Человечество раздвинуло границы возможного, сделав это за счет новых технологий. Но это же и сдвинуло нас в новую опасную зону, где сбои могут привести к катастрофам, о которых мы раньше и не думали. Наша безопасность не снизилась – выросла уязвимость систем, подверженных неожиданным и каскадным сбоям. Мы решаем одни проблемы и устраняем риски, но привносим новые, с которыми, возможно, еще не научились работать 🤷‍♀️ Мы излишне полагаемся на интуицию в неблагоприятных условиях. Мы забываем присматриваться к тревожным сигналам, поощрять несогласие и развивать неоднородность в коллективе. Мы хотим слышать хорошее и чувствовать себя комфортно в окружении людей, выглядящих и думающих как мы сами. И все это ведет нас в пропасть...

#книга #стратегия #оценказащищенности #психология

Пост Лукацкого

13 November 2025 16:41

История с пивоваренной компанией Asahi продолжается 🍺 Вот уже больше месяца, как компания не может восстановиться после атаки вымогателя Qilin. По данным Bloomberg, Asahi сейчас работает примерно на 10% от обычного объема отгрузок в Японии из-за приостановки системы заказов/отгрузок. Работы на ~10% от мощности → это не просто снижение, это почти полная остановка отгрузок/заказов на внутреннем рынке 🍺

Аналитики из Sanford C. Bernstein (через Bloomberg) оценивают, что убыток Asahi в 4-м квартале может достигнуть ¥15 млрд (≈ US$97 млн) из-за простоя, роста затрат на маркетинг и снижения продаж 🤑 Учитывая, что Япония является значительной частью бизнеса Asahi, это может привести к недовыполнению годового плана (например, недостижение целевых показателей на -13% как цитировали аналитики).

14 октября 2025 года Asahi объявила, что откладывает публикацию финансовых результатов за 3-й квартал (июль-сентябрь) из-за сбоя систем – "более чем 45 дней после конца квартала". Отложенная отчетность – признак того, что ущерб более сложный, чем изначально оценивалось; проблемы с бухгалтерскими/финансовыми системами 🤷‍♀️

Кроме того, Asahi заявляет, что расследование выявило "возможную несанкционированную передачу данных", но еще нет официального подтверждения объема утечки. Ну это сразу предполагалось – чтобы атака шифровальщика, да без утечки данных... В общем, не везет компании, недооценила тему кибербезопасности, сейчас, наверное, кусает локти. Ну а мы ждем финальных оценок результатов... 🧮

#недопустимое #ущерб