-
Вылавливаем сачком самые трендовые события в информационной безопасности и IT из матрицы жизни
На Рождественской вечеринке МТС и Ozon обнаружены гадалки
Читать полностью…
Чаще всего причиной поимки киберпреступников становятся алчность и вера в собственную неуязвимость. Но героя сегодняшней истории сгубила тяга к здоровому образу жизни, а точнее — к пробежкам.
Год назад во Франции задержали россиянина, которого обвинили к причастности к группировке Hive, которая за пару лет своего существования успела вынести полторы тысячи компаний в 80 странах мира.
На днях заместительница руководителя центра реагирования на инциденты при полиции Парижа опубликовала в своем Linkedin некоторые подробности. В частности, злоумышленника смогли накрыть из-за его пристрастия к бегу — он делился своими успехами на страницах социальных сетей, где также демонстрировал интерес к криптовалютам.
В итоге его «марафон в Париже» длится уже скоро год.
@cybersachok
Итоги года 2024: Вклад в PR/маркетинг в ИБ
Отдельную номинацию в этом году сделали для тех, кого часто путают и кто вечно спорит о приоритетности своего направления с друг другом. Для тех, на кого часто возлагают продажи и много других нестандартных задач.
Список номинантов:
1. Юлия Сорокина — Positive Tech
2. Наталия Лезина — Red Security
3. Юлия Стасюк — Информзащита
4. Александра Борисова(энза) — BI.ZONE
5. Григорий Ковшов — Газинформсервис
6. Ирина Комова — Инфотекс
7. Софья Сизова — Innostage
8. Юлия Чурикова — ГК «Гарда»
9. Мария Овсянникова — Солар
10. Анастасия Меркулова — F.A.C.C.T
@cybersachok
Итоги года 2024: Компания года в ИБ
В 2024 отрасль заметно выросла. Очень заметно. И, хотя аналитики обещают нам рост капитализации в ближайшие годы почти до 1 трлн, верится в то, что активность будет такая, как в этом году, честно говоря, с трудом.
В 2024 все было масштабно: PHD в «Лужниках», каждому по NGFW от каждого, были и интересные поглощения, меняющие ландшафт рынка кибербезопасности.
Одним словом, год был на события фактурный. Но кто нам и вам запомнился в 2024 из компаний больше всего? Чей вклад самый важный? Кто в 2024 году заслужил отдельного признания?
Номинанты 2024:
1. Лаборатория Касперского. Ребята из Каспера весь год бомбили комьюнити интересными ресерчами.
2. Positive Technologies. Благодаря ПТ сотни безопасников смогли выступить на Лужниках.
3. Red Security. (некогда МТС Ред) провели в этом году, наверное, самую атмосферную летнюю вечеринку в пространстве Yauza, часто выступают со своей экспертизой по ряду актуальных тем в ИБ.
4. Солар. Из всех юнитов компании в этом году громче всех был центр исследований 4RAYS, который поймал группировку Lifting Zmiy прямо в лифте.
5. Innostage. Компания в этом году в числе первых вышла на кибериспытания и рассказала о первых кейсах, а также запустила первый в России межвузовский SOC.
6. BI.ZONE. Бизон в этом году запомнился OFFZON-ом, где мерч и таски лились рекой, да еще и в антураже дома культуры и книгой-исследованием от Скулкина.
7. Гарда. В этом году компания активно занималась темами обнаружения угроз и сетевой безопасности. В общем, это уже по сравнению с первыми годами ГАРДА.
8. Сайберус. Фонд не так активен в публичном пространстве, но уже успел отметиться покупкой частью активов компании F.A.C.C.T. и популяризацией темы кибериспытаний.
9. InfoWatch. Наталья Ивановна и в этом году продолжает оставаться амбассадором отечественных технологий, от доверенного ИИ, до доверенных аналогов GitHub-а. Не отметить компанию крестной матушки кибербеза было бы странно.
10. Информзащита. За год специалисты компании сделали немало исследований и выступлений на тему работы SOC-центров, а также вносят вклад в русский кибербез по другим направлениям.
Голосование опубликуем завтра в 13:00.
@cybersachok
Новопассит для CEO
Гендиректор Innostage, IT-предприниматель и визионер Айдар Гузаиров в авторской колонке для Sachok рассуждает о составляющих спокойствия для CEO и CISO в период глобальной кибертряски.
В информационной безопасности я уже 25 лет. Начинал инженером, прошёл все ступени, вплоть до руководителя. За это время я видел, как меняются угрозы, но 2022 год стал точкой невозврата. Отечественный сегмент интернета превратился в поле боя: атакуют всех — от банков до стартапов, от госкорпораций до ИТ-компаний. Если вы работаете в этом мире, вопрос не в том, «придут ли за вами», а в том, когда.
Осознание этого приходит несразу. Я, например, ещё полтора года назад считал, что мы защищены. Наши системы внушали уверенность, я регулярно сверялся с внутренними ИБ-службами: что и как у нас устроено, какие есть новые атаки и как мы им противостоим. Я даже предложил выйти на багбаунти — программу, где белые хакеры целенаправленно ищут уязвимости. Но тогда услышал от коллег: «Айдар, мы не готовы».
Эти слова я запомню надолго. Мой мир раскололся. Я впервые по-настоящему задумался: а что, если всё это время я просто не знал, как на самом деле обстоят дела?
Испытание реальностью
Следующие девять месяцев стали уроком честности. Мы полностью пересмотрели подходы к безопасности, критически оценили свою инфраструктуру, пересобрали процессы. Это было болезненно — но неизбежно. Такие вещи убивают иллюзии: мысль «это случается с другими» исчезает навсегда. Ты понимаешь, что ты под прицелом, что расслабляться нельзя, и что никто, кроме тебя, за это не отвечает.
В процессе я пережил личную трансформацию. Если раньше я нырял в технические детали, проверял настройки и конфигурации, то теперь могу не задумываться об этом. За нас это делают почти тысяча белых хакеров. Они каждый день тестируют нашу систему, находят уязвимости и помогают нам становиться лучше.
Антихрупкость как стратегия
Этот опыт научил меня главному: безопасность — это не про технологии. Это про бизнес. И оценивать её нужно в бизнес-показателях.
Экономист и писатель Нассим Талеб говорил, что антихрупкость помогает выдерживать сильные воздействия или неожиданные события и получать пользу от их возникновения. Кибериспытания — из этой истории.
Простой пример: раньше я боялся, что нас могут взломать, украсть данные, деньги, парализовать работу. Сегодня я отношусь к этому спокойно. Лучше заплатить профессионалам, которые найдут уязвимости и покажут, где мы слабы, чем ждать атаки от реальных злоумышленников.
Но выгода не только в этом. Когда твоя система кибериспытаний работает, ты начинаешь воспринимать угрозы как часть игры. Твоё доверие к своим системам растёт. А с ним растёт и доверие клиентов. Это конкурентное преимущество: твоя антихрупкость становится твоей визитной карточкой.
Кому нужно ломать себя? Любой компании, которая зависит от ИТ. Если вам есть, что терять, вам пора посмотреть правде в глаза. Для начала — задайте себе вопросы: какие события для нас недопустимы? Что может уничтожить наш бизнес? Сколько мы стоим?
Когда вы оцифруете эти риски, решения придут сами. Если бизнес стоит, скажем, 500 миллионов, потратить 100 миллионов на защиту — это не трата, это страховка. Вы не просто выживаете, вы становитесь устойчивее, сильнее и спокойнее.
Этот подход меняет всё. Разговор с безопасниками больше не идёт вокруг «почему нам нужен этот бюджет». Он становится прагматичным: за какую сумму нас можно уничтожить? Это отрезвляет. Это даёт ясность. И, что самое важное, это работает.
Теперь я могу сказать с уверенностью: наша система безопасности не идеальна. Потому что идеальных систем не бывает. Но она ежедневно проверяется, её регулярно ломают и она снова становится сильнее.
И это даёт мне главный результат: я сплю спокойно. Потому что знаю — даже если что-то случится, мы готовы.
Автор: Айдар Гузаиров
@cybersachok
Регулятор просит до 1 января 2025 выполнить все требования по импортозамещению
Читать полностью…
Набэкдорили?
На днях FBI, CISA и ряд других заинтересованных агентств выступили за все хорошее более широкое использование сквозного шифрования.
Исторически ФБР никогда не были фанатами защищенных коммуникаций, даже наоборот — всеми правдами и неправдами навязывали бэкдоры и прочие лазейки для доступа везде, где можно. И немного там, где нельзя.
Почему же любители крепкого кофе изменили свое мнение? Все дело в деятельности группировки Salt Typhoon и шпионской кампании, которую она вела в сетях крупнейших телеком-компаний США. Масштабы ЧП такие, что хакеры смогли получить доступ, например, к информации о прослушиваемых телефонах, штабе Трампа и даже инфраструктуре МинОбороны США.
Джефф Грин, исполнительный помощник директора по кибербезопасности в CISA, призвал американцев «использовать зашифрованные сообщения везде, где есть такая возможность».
Перца этой истории добавляет то, что «соленые», скорее всего, использовали в работе те самые бэкдоры, которые ФБР и протащили в телеком.
На сайте CISA можно найти полный текст обращения. Там полный джентельменский набор — от установки SIEM, до внедрения SSDLC.
@cybersachok
Шифровальщики поборолись за ЗОЖ
В канале «Кибервойна» вышел интересный пост о банкротстве Stoli Group (признана экстремистской организацией и запрещена в России). Эта компания, в частности, владеет брендами водки Stolichnaya и Moskovskaya. В качестве одной из причин руководство указывает на атаку с использованием программы-вымогателя.
С одной стороны — спорить с этим заявлением трудно, поскольку компания была зашифрована и наверняка понесла весомый ущерб. хакеры уже банкротили целые криптобиржи, что уж тут какой-то вино-водочный ларек гигант.
С другой стороны, все чаще хакерские атаки становятся универсальным объяснением для любых событий. Причем не важно, были ли эти атаки вообще.
У бизнеса долги перед инвесторами больше чем капитализация компании? Виноваты хакеры.
Конкурент победил на выборах? Виноваты хакеры.
Публичное лицо опубликовало сомнительный текст, который поднял общественный резонанс? Виноваты хакеры.
В сети появилось видео, где чиновник пригласил на ковер девушку с низкой социальной ответственностью? Это дипфейк, а значит тоже хакеры.
Такими темпами APT-группировки начнут воровать лампочки в подъездах, а операторы шифровальщиков в этих же подъездах гадить. А почему нет?
@cybersachok
Идет поиск… Обнаружен короткий путь к офферу Сбера 🕵️♂️
7 декабря приглашаем на One Day Offer для AI RedTeam – команды Департамента Кибербезопасности Сбера, которая занимается оценкой и защитой моделей генеративного искусственного интеллекта.
Мы работаем с флагманскими продуктами и генеративными моделями (LLM, VLM, MMLM), обеспечивая их безопасную разработку и эксплуатацию, а также исследуем уязвимости GenAI моделей и новые виды атак.
Чем предстоит заниматься?
✅ Обеспечивать безопасность GenAI-продуктов, используемых миллионами пользователей
✅ Анализировать новые инциденты, методы атак и защиты GenAI-моделей и приложений
✅ Разрабатывать и внедрять PoC для проверки защищенности GenAI-моделей и приложений
✅ Тестировать и оценивать защищенность GenAI-моделей и приложений
✅ Выполнять подготовку заключений и рекомендаций по повышению защищенности GenAI-моделей и приложений.
Регистрируйтесь и присоединяйтесь к молодой кросс-функциональной команде 😎
Рубрика «Письма читателей».
Нет, это не так, потому что канал никогда не принадлежал Илье Сачкову или Group-IB.
Соотвествующий миф в отрасли распространился, вероятно, в связи с ассоциациями, которые вызывает название канала, созвучное фамилии основателя Group-IB.
Об этом мы говорили на одном из выступлений в оффлайне.
Ни Касперским, ни Позитивам, ни Солару, ни Сачкову, ни серым кардиналам отрасли мы не принадлежим.
Только России и ее народу.
Мы национальное достояние, по мнению редакции канала.
Как защитить API от угроз?// Как защитить API и сэкономить миллионы?
13 декабря в 11.00 приглашаем на бесплатный вебинар СберТеха «Атаки на API в 2024 году: примеры и способы защиты».
Вы узнаете:
• API как цель и универсальный вектор кибератаки
• Почему WAF не решает задачу безопасности API.
• Какие атаки на API произошли в 2024 году: анатомия взлома, аналитика и последствия.
• Как надежно защитить API и решить задачу безопасной интеграции систем (на примере решения Platform V SOWA).
Вебинар будет полезен CIO, CISO, архитекторам кибербезопасности, корпоративным архитекторам и ИТ-архитекторам.
Регистрация по ссылке!
На днях Starbucks столкнулась с последствиями кибератаки на своего подрядчика. В результате системы управления расписанием работы оказались недоступны, а без них не ясно, сколько платить работягам.
Сама история по последствиям не критичная и Старбакс вряд ли потеряет больше, чем от ухода из России, но интересно другое. Крупнейшая сеть кофеен оказалась в интересном положении из-за классической атаки сопли supply chain.
Атаки на цепочку поставок еще в прошлом году попали в топ-3 векторов по данным НКЦКИ. При этом, уже по данным компании «Инфосистемы Джет», менее 10% организаций проводят мероприятия по оценке уровня ИБ своих поставщиков и подрядчиков.
В этом году, уже по данным исследования Cyble, атаки supply-chain происходят как минимум раз в два дня.
Защищаться от этого вектора в основном рекомендуют разными вариациями Zero Trust. Так что не за горами тот день, когда СБшникам, которые занимаются проверкой контрагентов, придется на регулярной основе выяснять, когда там у подрядчика последний раз был пентест, сколько в компании аппсеков и что о безопасности этой компании думает уволившийся месяц назад CISO.
@cybersachok
Что бы вы без них делали: лучший SOC в 2024
Говорят, что у работающих в SOC-центр выгорание наступает быстрее, чем в других направлениях ИБ.
Центр мониторинга киберугроз — вещь, без которой сегодняшнюю безопасность представить невозможно.
Список номинантов на лучший SOC в 2024 году ниже:
1. BI.ZONE TDR (BI.ZONE)
2. USSC-SOC (УЦСБ)
3. Solar JSOC (Солар)
4. Red Security SOC (Red Security)
5. CyberART (Innostage)
6. IZ:SOC (Информзащита)
7. Jet CSIRT (Инфосистемы Джет)
8. Infosecurity ISOC (Infosecurity)
9. SOC «Перспективный мониторинг» (Перспективный мониторинг)
10. Angara SOC (Ангара)
@cybersachok
Итоги года: багбаунти
Прежде чем перейти к номинантам, хочется сказать пару слов о российском рынке багбаунти в целом.
Платформам есть чем гордиться — количество программ растет, новые фичи пилятся, выплаты повышаются.
За этот год на багбаунти вышли и федеральные, и региональные государственные информационные системы, и разные представители бизнеса, даже целая операционная система. Баги есть, кайф есть (с)
Интересно что топ-программы активно продвигаются за счет коэффициентов по выплатам. С одной стороны, это приносит свою пользу всем — хантер чаще ищет в одной программе, но и получает больше.
С другой, возникает ситуация, когда за одну и ту же уязвимость исследователь может получить как пару сотен тысяч, так и пару миллионов.
Также хочется отметить, что история с дисклозами уязвимостей пока не взлетела. Техническую возможность (красивую кнопку) платформы дали, но вот бизнес не спешит позволять исследователям раскрывать что-то интересное.
Ну а теперь перейдем к списку номинантов:
1) Яндекс
2) VK
3) Сбер
4) Т-Банк
5) Ozon
6) Wildberries
7) Rambler&Co
8) Азбука Вкуса
9) Группа «Астра»
10) Okko
И отдельно хотелось бы выделить в ИБ-маркетинге и PR, пока идет голосование, прекрасных:
Лурье Мария — экс С-Терра СиЭсПи
Шифон Татьяна — Web Control
Акимова Наталья — Росатом (экс инфосистемы Джет).
@cybersachok
Есть в Питере что-то интересное по теме ИБ?
Может быть какие-то музеи кибербезопасности или ИБ-комьюнити?
Прямой эфир «Monthly Cloud News: Лучшие ходы и рекорды 2024 года» 🏆
Встречаем новый 2025 год вместе с подкастом Monthly Cloud News. Приглашаем вас на онлайн-стрим, где подведем IT-итоги уходящего года, поговорим о трендах в машинном обучении, безопасной разработке и аналитике данных. А ещё попробуем заглянуть в будущее и предположить, как станут развиваться технологии в 2025 году.
⏰ Когда: 13 декабря в 15:00 МСК
📍 Где: онлайн
Ждём на стриме всех, кто интересуется облачными технологиями. Отвечайте на вопросы ведущих в чате трансляции — самых быстрых и внимательных ждут подарки.
Мероприятие бесплатное, регистрация по ссылке →
До сих пор принимаю подарки на день рождения. Спасибо одной ИБ-компании.
Читать полностью…
Пацан сказал — пацан не сделал
Компания Cohesity провела исследование, в ходе которого было опрошено более двух тысяч респондентов из разных стран. Большая его часть посвящена рекламе, но нашлось место и интересным цифрам по теме шифровальщиков.
В 2024 году 83% опрошенных столкнулись с атаками программ-вымогателей. Какой процент атак был успешным в исследовании не указано, но целых 69% респондентов согласились заплатить выкуп.
При этом целые 77% признались, что придерживались политики «не платить» до того, как запахло жареным произошел инцидент.
Почему платят? Потому что человеку свойственно надеяться на лучший исход. И атакующие активно эксплуатируют эту тему.
Не «мы вас пошифровали», а «провели анализ защищенности и приняли меры, чтобы вы точно нам заблатили».
Не «гони бабки или обанкротишься», а «заплатите за нашу работу и мы все исправим, даже уязвимости вам подсветим».
Просто заплатите и все снова станет хорошо, а может быть даже лучше.
Будем надеяться что исследователи в 2025 дадут статистику, сколько из заплативших выкуп были пошифрованы повторно.
@cybersachok
Полмиллиарда записей о россиянах в утечках
Исследователи из Центра противодействия кибеугрозам Innostage SOC CyberART решили подбить итоги года по утечкам. Результаты довольно интересные:
1) Половина выявленных инцидентов содержит не более сотни записей, что указывает на взлом предприятий малого бизнеса.
Это те самые компании, которые никому не интересны, трогать их не будут и вообще хакеры ломают только крупняк. Что с лицом?
2) Среди основных причин взлома хранилищ данных наравне с кражей информации с целью перепродажи или вымогательства, эксперты называют хактивизм.
Хактивисты оказались обучаемыми, и за три года научились как минимум от DDoS-атак до поиска публичных PoC-ов. Вчера дефейсили, сегодня уже эксфильтруют и вайпят.
3) Чтобы добраться до ценной информации, хакеры зачастую предпринимают сотни и тысячи попыток, особенно если в качестве мишени выбрали хорошо защищенную компанию.
Тут еще раз возвращаемся к мотивации — хактивисты жрать зарплату не просят, упорны и мотивированы.
Сама компания Innostage на пике фиксировала 120-130 тысяч атак в неделю. Понятно что какой-то процент из них автоматизированные боты, но цифра немаленькая. Учитывая что несколько ИБ-вендоров за этот год по итогу пробили, ребят можно только поздравить.
Вчера они получили сертификат о завершении открытых кибериспытаний, но продолжат программу и дальше.
Ну и с юбилеем, Innostage в этом году уже закрыл свою первую пятилетку. Алга!
@cybersachok
$1,5 ярда — маржа для хакеров с крипты
Такими цифрами поделились исследователи Immunefi в своем отчете «Crypto losses november 2024».
Вот несколько самых интересных цифр:
1) Объем краж год от года снижается. По сравнению с прошлым годом на весомые 15%, тогда киберпреступники получили примерно 1,7 миллиарда.
2) Хакеры опаснее мошенников. За ноябрь из-за взломов были потеряны 71 миллион долларов (24 инцидента), в то время как мошенники смогли заработать всего 25 тысяч (два инцидента).
3) Пиковым месяцем года стал май, когда злоумышленникам удалось похитить сразу 360 миллионов долларов.
Сами Immunefi (а это еще и багбаунти-платформа для крипто-проектов) предлагают выплаты до 10 миллионов за уязвимость. Так что багхантерам, которые еще не начали вкатываться в web3, есть о чем подумать.
@cybersachok
На 2025 год запланирован запуск PaaS- и SaaS-сервисов на базе «Облака КИИ»
Решения виртуализации «Базис» стали основой «Облака КИИ» – первого на российском рынке защищенного облака, построенного на отечественных решениях и способного размещать объекты КИИ. Продукты подтвердили совместимость с другими компонентами импортозамещенного облака: сетевым оборудованием, серверами и СХД, а также системным ПО, в том числе российскими ОС.
Сегодня на базе облака уже можно реализовать IaaS-сервисы — например, разместить в нем системы геолокации и мониторинга, управления складом и логистики, а также медицинские, банковские и другие ИС.
Безопасность «Облака КИИ» подтверждена аттестатом соответствия требованиям приказа ФСТЭК №239, что позволяет размещать объекты КИИ до 2 категории значимости включительно и обеспечивает защищенное подключение пользователей.
@cybersachok
Вирусы в поломанных doc-файлах, которые не видят антивирусы
Сумеречный гений фишинговых рассылок породил новую схему, как обойти защитные решения. Компания Any.Run обнаружила новую фишинговую кампанию, в рамках которой атакующие рассылают битые Word-файлы от лица сотрудников компании. В качестве триггера используются кадровые и зарплатные вопросы.
Механизм атаки достаточно прост — антивирусы не распознают зловредное содержимое в намеренно испорченных файлах. При этом, Word радушно предлагает пользователю восстановить файл уже на устройстве. Выглядит это следующим образом.
По заверению исследователей Any.Run, такое письмо обходит не только антивирусное ПО, но и спам-фильтры старого-доброго Outlook, в следствие чего может проскочить мимо некоторых sandbox. Интересно что проверка через VirusTotal принесла нулевой результат: ни одно из 62 решений не восприняло такой файл как вредоносный.
Все больше свидетельств говорят о том, что использовать только антивирус для личной кибербезопасности уже мало. В идеале нужно уметь пользоваться и песочницей, вроде той же any.run, а также мониторить свои данные в утечках, либо платить за этот сервис компаниям.
@cybersachok
50 000 долларов за удачный промпт
В сети существует проект под названием Freysa AI. Это нейросеть, настройки которой строго запрещают ей переводить деньги. Но любой пользователь может за определенную сумму попробовать подобрать правильный промпт и обойти ограничения. При этом чем выше банк — тем выше цена попытки.
На днях в запрещенной соцсети рассказали о том, что пользователю удалось забрать джекпот и выманить у Freysa почти пятьдесят тысяч долларов. Победный промпт можно посмотреть на скрине, за его отправку пользователь заплатил немногим меньше пяти сотен баксов.
Кто в этой истории выиграл? Конечно же казино разработчик, потому что 30% от всех потраченных пользователями денег идут ему.
Похожие проекты уже можно встретить в русскоязычном сегменте Телеграма, вполне возможно, что работают предприимчивые скаммерсанты. Не играйте в карты с шулерами.
@cybersachok
Сегодня мне исполняется 26!
Кто хочет прислать в подарок бутылку виски, присылайте не дерьмовый.
Всех обнял💔