alukatsky | Technologies

Telegram-канал alukatsky - Пост Лукацкого

27559

Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики. Канал личный - мой работодатель никак не влияет на то, что здесь публикуется. Рекламу не размещаю!!!

Subscribe to a channel

Пост Лукацкого

В названии ГосСОПКА буква 🔤 означает "предотвращение" 🛡 То есть функция НКЦКИ, среди прочего, заключается в том, чтобы делится сведениями о тенденциях в части инцидентов, сведения о которых они получают от своих подопечных. Ну это я так, по крайней мере, думаю. Это бы позволило видеть, что чаще всего происходит, кого атакуют, какова средняя стоимость инцидента и т.п. Тогда компании смогли бы самостоятельно обновлять свою стратегию в области ИБ ✍️

У меня тот же запрос в свое время был еще к Банку России 🏦, который, запуская свои формы отчетности, обещал выпускать по собранным сведениям аналитику для финансовых организаций. Но в итоге все это выродилось в СМИшные пресс-релизы о суммах хищений и количестве пострадавших 📈 А у НКЦКИ и таких, к сожалению, нет. Тем интереснее смотреть на то, как эту задачу решают другие национальные регуляторы, например, австралийский ASD, выпустивший годовой отчет с интересной статистикой 📊 Делать выводы из него для России бессмысленно, но посмотреть на форму подачи, ключевые показатели и разделы отчета вполне себе интересно.

Читать полностью…

Пост Лукацкого

Смотрю, все подводят итоги года ✍️ А чем я лучше, подумал я, и... не стал подводить никаких итогов. Во-первых, это уже прошло и его не изменишь 🍴 Во-вторых, синдрома неудачника у меня нет и поэтому доказывать, что я огого как крут и ... столько-то раз ... столько-то... столько-то, мне никому, кроме себя, не надо. Тем более, что я и сам знаю, где я накосячил и чего не сделал, что должен был или что мог 🦌 Уроки я извлек, а это самое важное. Делай, что должен и будь, что будет! Таким будет мой итог! 🚽

ЗЫ. А новогоднее поздравление будет позже 🥰

Читать полностью…

Пост Лукацкого

Позвонили вчера журналисты ✍️ и попросили дать комментарий на тему "Власти рассматривают вариант отключения россиян от зарубежного Интернет и штрафов за попытки обхода такого ограничения". Ну я малость прифигел и попросил уточнить, не ослышался ли я. Журналист решил уточнить, что речь идет о том, что РКН хочет штрафовать граждан за использование VPN ✔️ И вновь я попросил назвать источник такой новости. В ответ услышал, что некий анонимный ИТ-эксперт, отвечавший на вопросы hi-tech.mail[.]ru предположил, что такой гипотетический сценарий возможен 🤦‍♂️

Я отказался комментировать техническую возможность реализации такого сценария, высказанного непонятно кем и непонятно зачем 🤠 Тем более, что ноги растут у этой фантастики из проекта приказа РКН о регистрации всех пользовательских устройств, подключающихся к Интернет. Гораздо интереснее другое.

Мы семимильными шагами идем в сторону полного отказа от анонимности в сети 🎭 Действия и проекты нормативных актов, увидевших свет за последние несколько недель, только доказывают этот неприятный факт. Регистрация всех пользовательских устройств, передача геолокации в Гостех, вынос VPN-сервисов из AppStore, блокирование VPN-сервисов и мессенджеров со сквозным шифрованием... 📱 Тут даже первоклассник сделает только один вывод - государство хочет не только блокировать распространение неугодной информации, но и понимать, кто обходит эти запреты. Блокировка Интернета из этого не следует, но появление новых штрафов в перспективе?.. Почему бы и нет. Бюджет-то надо наполнять, а с кого, как не с граждан собирать 💡 Все эти разговоры про защиту детей или повышение качества жизни граждан в отдаленных районах, - это все для бедных. "Имеющий уши да услышит, имеющий глаза да увидит" 😕

Что же касается передачи геолокации государству и поднявшегося шума об очередных нарушениях прав граждан на частную жизнь, разочарую, - это и так делалось и делается 🌎 По запросу. Особенно во время массовых скоплений людей, всяких манифестаций, парадов и т.п. Так что ничего нового... 📍

ЗЫ. Картинка рисовалась для другого, но так как на ней РКН вышел достаточно реалистичный, то я ее и тут решил использовать 🤠

Читать полностью…

Пост Лукацкого

Я тут принимал участие в исследовании "Дипфейки: риски и возможности для бизнеса" 🎭, которое проводили ФРИИ и Минцифры России при помощи Социологической мастерской Задорина (группа Циркон). Исследование было выложено и я подумал, что оно может быть интересно широкому кругу специалистов по ИБ 🛡 Все-таки дипфейки, по моему скромному мнению, в следующем году может стать серьезной угрозой для многих проектов, в которых государство будет навязывать использование ЕБС.

Читать полностью…

Пост Лукацкого

Если на новогодние праздники у вас не планируется организации круглосуточной смены аналитиков SOC и в аутсорсинговый SOC вы тоже свои системы "на охрану" не сдаете, то хотя бы резервные копии всего самого важного сделайте. Чтобы звон оливье в новогоднюю ночь принес вам радость, а не манждраж от того, что вас могут взломать, а вы не готовы!

Читать полностью…

Пост Лукацкого

Группировка "Кибердраконы" 🐲 (Cyb3r Drag0nz) заявила вчера о взломе газоперерабатывающего завода в Турции (не наш ли это газ?), а сегодня о взломе компании по водоснабжению в той же Турции. Просто "Драконы" (Dragon RaaS) взломали иранскую компанию ABFA, занимающуюся водоснабжением (но фраза "взлом канализации со всеми вытекающими" заиграла новыми красками) 🐉 И если раньше такие кейсы были единичными и за ними "гонялись" специалисты по ИБ, чтобы включить в свои страшилки презентации, то сегодня это стало обыденностью, о которой уже и говорить скучно 😴

Я когда готовился к выступлению на Тюменском форуме (ТНФ) и собирал кейсы взлома нефтяных 🛢 и газовых компаний по всему миру за 2024 год, где-то на третьем десятке остановился. Это действительно превращается в рутинную историю. Изолированных сред уже давно нет, архитектура и софт АСУ ТП уже не являются секретом, а значит у хакеров становится больше возможностей по взлому компаний из этой сферы критической инфраструктуры 🏭 И думаю, что число таких кейсов будет становится все больше и больше, по мере нарастания геополитической напряженности, а также увеличения активности по борьбе с хакерами и шифровальщиками. Ставки будут только возрастать... ↗️

Читать полностью…

Пост Лукацкого

А вот вам еще десятка тенденций, но уходящего года и в области шифровальщиков. Учитывая, что они регулярно встречаются и в России, то этот список будет более интересен, чем прошлый Топ10.

1️⃣ Схемы с двойным и тройным воздействием
Атаки перешли от простого шифрования данных к вымогательству с утечкой данных и угрозами, включая DDoS-атаки. В России к этому добавляется еще и уничтожение инфраструктуры. Эти методы станут в 2025 году стандартом, что требует укрепления стратегий защиты данных и подходов к реагированию.

2️⃣ Распространение Ransomware-as-a-Service (RaaS)
RaaS-модели позволяют менее квалифицированным злоумышленникам запускать атаки, предоставляя готовые инструменты и поддержку. Группы LockBit и BlackCat сделали RaaS популярным, предлагая инструкции и маркетинговую поддержку. Можно прогнозировать увеличение атак на малый и средний бизнес из-за доступности таких услуг.

3️⃣ Эксплуатация украденных данных
Киберпреступники всё чаще крадут данные перед шифрованием, увеличивая шансы на получение выкупа. Ужесточение регулирования в разных странах, включая и оборотные штрафы в России, усиливает риски утечки данных с последующим требованием выкупа за неопубликование факта слива информации.

4️⃣ Использование 0-day уязвимостей и фишинга
Группировки шифровальщиков всё чаще используют 0-day уязвимости и целевые фишинг-атаки. Можно прогнозировать рост проектов по цифровизации увеличивает поверхность атак.

5️⃣ Техника "жить за счёт сети" (LotL)
Злоумышленники используют встроенные инструменты, такие как PowerShell, чтобы избежать обнаружения. Можно прогнозировать расширение таких техник требует внедрения расширенных средств обнаружения атак и аномалий (EDR).

6️⃣ Атаки на критическую инфраструктуру
Основные мишени — энергетика, здравоохранение, государственные учреждения. Можно прогнозировать, что геополитическая нестабильность увеличит число таких атак.

7️⃣ Шифровальщики в промышленности
Увеличение атак на производственные линии и цепочки поставок. Можно прогнозировать, что внедрение и интеграция IoT в промышленности увеличивает уязвимость организаций.

8️⃣ Снижение среднего выкупа, но увеличение косвенных и вторичных потерь
Средний выкуп снизился до $569,000, но косвенные затраты выросли. Поэтому непрямые затраты останутся основным фактором при расчете ущерба (вспоминаем кейс с Коста-Рикой или UnitedHealth Group).

9️⃣ Эволюция шифровальщиков
Появились сложные варианты, такие как BlackCat или Akira, который использовал многоуровневое шифрование, усложняющее восстановление. Можно прогнозировать, что будут развиваться варианты, нацеленные на облачные сервисы и гибридные workspace.

1️⃣🅾️ Международное сотрудничество
Совместные операции, такие как между ФБР и Европолом, привели к прекращению функционирования крупных группировок. Можно прогнозировать, что злоумышленники будут адаптироваться, но совместные усилия правоохранительных органов продолжат оказывать сдерживающий эффект для хакерских групп, но только на Западе.

Читать полностью…

Пост Лукацкого

Никогда такого не было и вот снова (с) 🇷🇺 Прав был Жванецкий, "кто что охраняет, тот то и имеет" 😕

Пермский гарнизонный военный суд повторно вынес обвинительный приговор по делу бывшего руководителя одного из подразделений УФСБ по Пермскому краю Григория Царегородцева. Он был признан виновным в получении взяток на общую сумму 160 млн руб., приговорен к восьми годам строгого режима со штрафом 160 млн руб. и лишен звания «майор запаса».

Следствие и суд установили, что Григорий Царегородцев получал деньги от группировки «русских хакеров», предоставлявших желающим данные карт американских банков, через которые могли проводиться платежи без ведома владельцев. Деньги чекисту платили за замалчивание информации о преступной деятельности группировки. Сам Григорий Царегородцев признал вину частично, настаивая, что совершил мошенничество.

Читать полностью…

Пост Лукацкого

В 2012 году в запрещенном в России Фейсбуке 📱 начал распространяться текст про якобы изменение правил соцсети и исчезновение авторских прав на фотографии и контент, там размещенный.

Для борьбы с этим многие стали публиковать письма счастья с упоминанием Римского статута, которые затем перекочевали в VK. И вот начинается новая напасть про терроризм и экстремизм, которую объединили с авторскими правами и персданными 🤦‍♂️

Вниманию правоохранительных органов! Я не имею какой-либо специальной подготовки по проведению экспертиз, направленных на выявление в текстах (в аудио и в видеофайлах) признаков экстремистской деятельности, следственную и судебную практику по этой категории дел не отслеживаю, не обобщаю и не анализирую. Таким образом, я объективно лишен возможности самостоятельно оценить то или иное свое или чужое высказывание на предмет наличия или отсутствия в нем признаков экстремизма. Также, насколько мне известно, до настоящего времени не существует каких-либо общепринятых и однозначных критериев отнесения того или иного текста или аудио и видеофайлов к числу экстремистских. В каждом конкретном случае такие признаки устанавливаются путем привлечения специалистов в различных областях (как правило филологии и лингвистики) знаний. Вместе с тем, я являюсь законопослушным гражданином, не имеющим намерений совершать общественно-опасные поступки и, в том числе, преступления и правонарушения экстремистского характера. В соответствии с Законом «О противодействии экстремистской деятельности», на правоохранительные органы и прокуратуру РФ возложены задачи выявления и пресечения действий экстремистской направленности, в том числе путем вынесения предупреждений о недопустимости экстремистской деятельности. На основании всего вышеизложенного, в случае, если на моей странице будут выявлены признаки экстремизма, прошу незамедлительно уведомить об этом меня, для немедленного удаления данного контента(текст, фото, видео, аудиофайлов)
Любимые цитаты:
Я КАТЕГОРИЧЕСКИ ЗАПРЕЩАЮ,
пользуясь законным правом, установленным КОНСТИТУЦИЕЙ РОССИЙСКОЙ ФЕДЕРАЦИИ в статье 23, 24, собирать, хранить, использовать и распространять информацию о моей частной жизни, читать мою переписку, просматривать мои приватные фото и видео материалы, прослушивать мои телефонные разговоры и использовать любой материал из непубличной переписки с моей страницы в социальной сети ВКОНТАКТЕ!

Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24 1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.
О себе:
В ответ на новую политику "ВКонтакте" я настоящим объявляю, что все мои персональные данные, фотографии, рисунки, переписка и так далее являются объектами моего авторского права. Для коммерческого использования всех вышеупомянутых объектов авторского права в каждом конкретном случае необходимо мое письменное разрешение.

"ВКонтакте" теперь является публичной компанией. Именно поэтому всем пользователям данной социальной сети рекомендуется разместить на своих страницах подобное «уведомление приватности», в противном случае (если уведомление не опубликовано на странице хотя бы однажды), вы автоматически разрешаете любое использование данных с вашей страницы, ваших фотографий и информации, опубликованной в сообщениях на стене вашей страницы.

Каждый, кто читает этот текст, может скопировать его на свою стену в "ВКонтакте". После этого вы будете находиться под защитой законов об авторском праве. Этот коммюнике оповещает "ВКонтакте" о том, что разглашение, копирование, распространение моей личной информации или любые другие противоправные действия по отношению к моему профилю в социальной сети строго запрещены.


Правовой нигилизм нарастает...

Читать полностью…

Пост Лукацкого

Также и многие компании недооценивают последствия от кибератак, как и пассажиры, ждущие поезда на зимнем перроне ☃️ Думают, что не заденет и все такое.

Читать полностью…

Пост Лукацкого

В декабре 2024 года ИБ-компания BeyondTrust обнаружила две уязвимости в своих продуктах Privileged Remote Access (PRA) и Remote Support (RS), с помощью которых осуществляется удаленная техническая поддержка по модели SaaS. Эти дыры позволяли неавторизованному злоумышленнику удаленно выполнять команды операционной системы от имени пользователя сайта через специально сформированный клиентский запрос. В результате было скомпрометировано, как утверждается, ограниченное число клиентов.

Уязвимости возникли из-за недостаточной проверки входных данных в компонентах PRA и RS, что позволило злоумышленникам получить доступ к ключу API и за счет этого внедрять и выполнять произвольные команды на сервере, включая и сбор паролей для локальных учетных записей приложений. Это указывает на пробелы в процессе разработки и тестирования безопасности программного обеспечения.

BeyondTrust уже не поможешь, а вот остальным можно дать следующие рекомендации для предотвращения подобных инцидентов в будущем:
🔤 Усиление процессов безопасной разработки (SDLC). Интегрировать практики безопасного кодирования и регулярного анализа уязвимостей на всех этапах разработки.
🔤 Регулярное обновление и патчинг систем. Обеспечить своевременное применение обновлений безопасности для всех продуктов и систем, как облачных, так и локальных.
🔤 Проведение регулярной, а лучше непрерывной оценки защищенности. Организовать периодические проверки и тестирования на проникновение для выявления и устранения потенциальных уязвимостей с перспективой выхода на Bug Bounty.
🔤 Обучение сотрудников. Проводить регулярное обучение разработчиков и специалистов по безопасности современным методам защиты и реагирования на инциденты, а также SecDevOps.
🔤 Внедрение многоуровневой защиты. Использовать дополнительные механизмы безопасности, такие как системы обнаружения угроз (IDS/WAF/NGFW) и средства мониторинга активности (SIEM/NDR/CDR), для своевременного выявления и предотвращения атак.

Читать полностью…

Пост Лукацкого

У Александра утащил ссылку на интересный отчет про экономику кибербезопасности для развивающихся рынков от Всемирного банка, который разбит на три части:
1️⃣ Ландшафт угроз
2️⃣ Экономика инцидентов ИБ
3️⃣ Рынок ИБ.

Первый раздел не очень интересен (лично для меня), так как там ну очень уж высокоуровневые данные по инцидентам в разных странах со срезами по отраслям и т.п. Возможно, для страховых компаний или для регуляторов это может быть интересно, но не для отдельных компаний. Третья часть тоже слишком абстрактна ☕️

Второй раздел оказался более интересным. Там даются интересные цифры (тоже уровня стран, но зато про деньги, экономику и т.п. Например, если бы развивающиеся страны снизили число инцидентов ИБ и из верхнего квартиля попали в нижний, то их ВВП (и речь про президента России) вырос бы на 1,5%! 🤔 Это очень интересные расчеты, показывающие насколько ИБ стала влиять на экономику страны. Автор отчета пишет, что один из рассмотренных инцидентов привел к снижению ВВП страны на 2,4% (это просто маленький пушной зверек какой-то 🤯).

Более 40% инцидентов замалчиваются (в России так и больше), что сумму потерь делает еще выше 😫 В отчете повторяется вывод из отчета ExtraHop, что гораздо больше потерь от инцидентов носит непрямой характер и они часто превышают прямые финансовые потери, которые видит жертва в первые дни после инцидента 😃 Об этом же говорят и кейсы с MGM Grands, Caesars Palace, United Health Group, Medibank и т.п., которые в своих финансовых отчетах указывали суммы, в разы, а то и на порядки превышающие сумму выкупа шифровальщикам 🧐

Еще одной интересной частью является обзор всех имеющихся исследований по теме влияния инцидента ИБ на курс акций компаний 📊 В зависимости от временного интервала и региона (преимущественно США) этот показатель скачет от 0,3 до 6,78 процента, но в среднем - около 1,5 процентов 📉

Еще три экономических наблюдения авторов отчета:
1️⃣ Инвестиции в кибербезопасность обусловлены соображениями экономии. Однако, в отличие от других проектов по экономии средств, отдача от инвестиций в кибербезопасность не поддается количественной оценке 🤑
2️⃣ Компании переводят убытки от киберинцидентов в рост цен, который принимают на себя потребители 😮
3️⃣ Отсутствие прозрачности в отношении частоты и серьезности кибер-инцидентов и низкая осведомленность общественности влияют на эффективность рынка!

Читать полностью…

Пост Лукацкого

Ничто не выдавало в этом «сообщении от WB» 🛒 фишинговую рассылку 🙅‍♂️ Будьте бдительны 👋

ЗЫ. Спасибо коллеге, что поделился сим образчиком.

Читать полностью…

Пост Лукацкого

А я же говорил, что бывают внезапные выступления... Вот, думал, что все, курс по моделированию угроз будет финальным в этом году, но нет. Позвали на митап по рискам "Операционные риски 2024-2025. Новогодняя дискуссия" 😬

Он для директоров по операционным рискам финансовых компаний и что я там делаю, я не знаю 😂 Особенно учитывая мою "любовь" к рискам. Но так как, среди прочего, заявлен разбор прогресса в управлении рисками данных, новых технологий и кибербезопасности, а также прогнозы по трансформации бизнес-моделей, цифровизации и регуляторным изменениям, то может и мне что удастся сказать позитивного, не ругающего риски ИБ 🤣

ЗЫ. Нейросеть так видит директоров по операционным рискам. Какой-то сексизм прям... 👼

ЗЗЫ. Участие бесплатное, но количество физических мест, как обычно, ограничено. Зато будет трансляция 🍿

Читать полностью…

Пост Лукацкого

Презы с BlackHat Europe 2024 выложили в одно место - https://github.com/onhexgroup/Conferences/tree/main/BlackHat_Europe_2024_slides

Читать полностью…

Пост Лукацкого

К вопросам финансирования ИБ я уже не раз обращался, но почему бы не сделать это еще раз, посмотрев на некоторые цифры, которые я еще не приводил:
1️⃣ Объем мирового рынка ИБ достиг в 2024 году 215 миллиардов долларов, но 44% CISO все равно считают, что существующими решениями по ИБ они не могут обнаружить инциденты ИБ.

2️⃣ Такого роста рынка ИБ, как в 2021 и 2022 годах, когда он измерялся двузначными цифрами, уже не будет. Однако за последние пять лет размер ИБ-бюджета от его ИТ-брата вырос с 8,6% в 2020-м до 13,2% в 2024-м.

3️⃣ В Топ3 статьи затрат в 2024 году вошли внутренняя оценка защищенности (60%), IAM-проекты (58%) и покупка различных средств ИБ (51%). При этом только 36% компаний имеют формальный процесс определения бюджета ИБ, что говорит о хаотичности трат и отсутствии приоритета, что часто и приводит к успешным "пробивам".

4️⃣ У 92% организаций бюджет на ИБ вырос, но 60% до сих пор считает, что не соответствуют растущему объему требований законодательства.

5️⃣ 96% CISO ставят безопасность SaaS в топ своих приоритетов, а 93% увеличили бюджет на эту область в 2024 году.

6️⃣ 92% компаний инвестируют в технологии искусственного интеллекта в ИБ.

Читать полностью…

Пост Лукацкого

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России 🇷🇺 запускает чат-бот @cyberpolicerus_bot, который помогает в стрессовых ситуациях - потеря денег, взлом аккаунта, кража паролей и т.п. В случае таких мошеннических действий, совершенных в Интернет, бот может подсказать, что делать в сложившейся ситуации 📱

Читать полностью…

Пост Лукацкого

Ирония судьбы... Компания, борющаяся с взломами, сама пострадала от этого 🔓 Cyberhaven разослала своим клиентам (публично пока молчит, но кто ж такое может утаить-то) информацию о продвинутой целевой атаке (как водится, все началось с банального фишинга) на себя. Некто атаковал сотрудника ИБ-компании с помощью... фишинга 🎣 Сотрудник был непростым, так как имел доступ к Chrome Web Store, куда выкладывался плагин Cyberhaven Chrome extension к браузеру, являющийся частью решений компании по классификации данных и защите от утечек. Этот плагин и был подменен злоумышленниками 📱

Масштаб инцидента пока не очень понятен - для расследования пригласили Mandiant 🇷🇺 Сам вредоносный плагин был удален из магазина спустя 60 минут после подмены, и компания не сообщает, сколько пользователей успело его скачать 🖥 Судя по комментариям компании, вредоносный плагин способен как минимум перехватывать сессии аутентификации и куки, отправляя их на специально созданный фишинговый домен, похожий по написанию на настоящий (cyberhavennext[.]pro вместо cyberhaven[.]com) 🔗

В качестве рекомендаций Cyberhaven советует: 🧐
1️⃣ Обновить плагин до последней версии
2️⃣ Обновить все пароли, незащищенные FIDOv2
3️⃣ Аннулировать и обновить все токены для API
4️⃣ Мониторить логи в поисках любой аномальной активности.

Что я могу отметить в этом кейсе:
1️⃣ Атаки на цепочку поставок все еще на коне и ломают даже ИБ-компании.
2️⃣ Приглашать внешние компании для расследования становится нормой, даже если взломали ИБ-компанию и она вроде как и сама способна провести анализ инцидента.
3️⃣ Компания не скрыла факт инцидента, но и стала про него кричать на всех углах, пообещав поделиться деталями и телеметрией позже.
4️⃣ Фишинг остается основным первичным вектором.
5️⃣ ИБ-компании являются интересной мишенью и лакомым кусочком для любого злоумышленника за счет более высокого доверия к решениям ИБ-компании и формированию иллюзии их защищенности, что повышает шансы на успешную компрометацию, как самой компании, так и ее клиентов.

Читать полностью…

Пост Лукацкого

Знаете, есть у МТС такой сервис, - "Защитник", который должен спасать вас от звонков мошенников и спамеров 📞 Но, как и у любого "несигнатурного" средства защиты, у него бывают ложные срабатывания, когда он блокирует вполне себе легальные звонки 🚫 Например, он постоянно отсекает все звонки от Skyeng, считая их спамерскими. Но это еще полбеды - вы всего лишь не узнаете о том, что у вас кончились деньги на счете и пора пополнять занятия своего ребенка с преподавателем.

Гораздо серьезнее, когда вам блокируют звонки, используемые различными сервисами для аутентификации 🔕 Ведь сейчас - это достаточно популярная схема, когда для получения доступа к бесплатному Wi-Fi вам надо пройти проверку подлинности и вам либо присылают одноразовый код в виде СМС, либо просят указать последние 4 или 6 цифр номера телефона, с которого вам только что позвонили 📞 Реже, но бывает, когда вам в течение звонка озвучивают одноразовый код.

Так вот - "Защитник" от МТС часто вас "защищает" так, что вы не получаете звонков с "одноразовых" номеров 📞, которые используют такие сервисы для своей работы (весь же смысл, что они постоянно меняются) 📞 И МТС рассматривает их как спамерские звонки и блокирует. Вот вчера он мне опять заблокировал звонки из Skyeng, а сегодня - звонок из аптеки, которая таким образом проверяла мое участие в программе лояльности и право на скидку 📞

А уж сколько звонков до меня просто не доходит, но я об этом просто не знаю? 🤔 В общем, все эти попытки автоматически блокировать что-то даже не спрося тех, кому это что-то адресовано, такой себе вариант. Я бы еще понял, когда есть 100%-я уверенность в том, что звонящий номер телефона - мошеннический. Но когда такой уверенности нет, на каком основании его блокируют? И кто возмещает потери, если таковые были понесены из-за отказа оператора связи пропускать звонок? 🫵

ЗЫ. Все как в советском мультфильме: "А вы и есть за меня будете?.."

ЗЗЫ. Сейчас говорят о том, что операторы связи еще и прослушивать все переговоры начнут и, если обнаружат признаки мошенничества, будут прерывать разговор в его середине. Ну тоже, такое себе решение...

ЗЗЗЫ. С другой стороны, МТС, в отличие от РКН, по маске не блокирует и диапазоны не «рубит» 💡

Читать полностью…

Пост Лукацкого

Помните июльский взлом ИБ-компании Аванпост? Была надежда, что компания, как это делали другие ответственные игроки рынка, опубликует детали проведенного расследования (а оно было проведено). Однако, увы, этого так и не случилось 🤷 В подведенных вчера итогах года компрометация инфраструктуры упомянута не была, зато было в Топ10 попала другая новость, а именно проведение анализа защищенности некоторых продуктов у компании F.A.C.C.T. 🔍 Как минимум, вопрос с возможным повторением "кейса SolarWinds" можно считать закрытым. Правда, у компании были планы выходить на Bug Bounty, но пока этого не случилось (может в следующем году?).

Зато компания начала публиковать информацию об уязвимостях на своем портале техподдержки и в Банке данных уязвимостей ФСТЭК России, а позавчера анонсировала появление журнала регистрации событий безопасности ✍️ (а до этого его не было?). Так что можно признать, что взлом положительно повлиял на безопасность продуктов компании и зрелость процессов безопасной разработки, что неплохо 👏 Может и другие вендора извлекут из этого уроки. Хотя антикризисный PR, как по мне, отработан на двоечку, - обещания так и не были реализованы.

ЗЫ. А смысл мемасика в канале Аванпоста я так и не догнал 🤔

Читать полностью…

Пост Лукацкого

Полтора года назад я писал про то, почему появился термин "недопустимые события" и какой был смысл вводить новую сущность при имеющихся "угрозе" и "риске". Ну так вот та же история происходит и по ту и по эту стороны океана. Для описания событий, имеющих кибер-природу и приводящих к катастрофическим последствиям, там тоже не используют то, к чему многие привыкли.

Один из самых популярных терминов - это "киберкатастрофа" (на английском его пишут по-доброму - cyber cat 🐱). Если погуглить его, то вы увидите, что он очень активно применяется для описания явлений, к которым надо привлечь внимание руководителей - корпораций, отраслей, государств. А "заманить" их на "риски", "угрозы" и тем более "компьютерные атаки" невозможно. Так что в следующий раз, когда захотите критиковать этот термин, подумайте о заложенном в него смысле, а не только о составляющих его буквах.

Я как раз добрался до всякого интересного в этой части и буду постить помаленьку - там есть прям очень интересные выкладки, расчеты каскадных потерь, свои базы данных киберкатастроф и даже фреймворки их описывающие. Есть над чем поразмышлять, чтобы понять, что ИБ давно уже может встать вровень с природными явлениями и технологическими катастрофами. Главное, начать думать об этом соответствующим образом.

ЗЫ. Таблица на картинке - это пример расчета различных потерь в краткосрочной и долгосрочных потерь для одного из сценариев киберкатастрофы для США, Великобритании, Германии и Японии. Обратите внимание на то, как это все влияет на фондовый рынок, инфляции, курсы валют, облигации и т.п.

Читать полностью…

Пост Лукацкого

Долгие годы работы в транснациональной компании сделали меня терпимым к разным явлениям и проявлениям нашей жизни. Я привык говорить «афроамериканец» вместо «негра». Я привык, что ездят «в» Украину, а не «на». Я привыкал говорить «blocklist», а не «blacklist». Я привык, что для американцев война 1812-го года, это совсем не то, что для нас и европейцев. Я спокойно и даже с юмором отношусь к радужным месячникам, но в них не участвовал и не участвую. И я привык, что у меня два Рождества - одно, которое празднует вся наша необъятная страна, и второе, которое празднует Европа, Америка и ряд других стран, где у меня много друзей и знакомых, и где 🟥 сейчас ведет бизнес. Да, иностранцам сложно объяснить, как Рождество может быть после Нового года, и что в России есть еще Старый Новый год. Но этим и хороша работа в компании, которая не ограничена только границами одной страны!

С праздником всех, кто празднует Рождество! И было бы неправильно не поздравить тех, кто празднует Хануку, начало которой совпало в этом году с Рождеством! Не болейте! И будьте в безопасности!

ЗЫ. Ну и уже ставшее классикой видео про русских хакеров, взломавших Рождество!

Читать полностью…

Пост Лукацкого

В 2022 году Коста-Рика столкнулась с серией разрушительных кибератак, организованных группировками Conti и Hive, что привело к значительным экономическим потерям и нарушению работы государственных учреждений, включая сектор здравоохранения. Это был первый случай, когда страна объявила чрезвычайное положение в результате кибератаки, а ущерб от нее составил 2,4% от ВВП страны! 😔

Атака группировки Conti:
1️⃣ В ночь с 17 апреля 2022 года кибергруппа Conti запустила серию атак на около 30 государственных учреждений Коста-Рики, включая Министерство финансов, Министерство науки, инноваций, технологий и телекоммуникаций, Национальный метеорологический институт и другие.
2️⃣ Conti потребовала выкуп в размере 10 миллионов долларов США, угрожая обнародовать украденную информацию, включая налоговые декларации граждан и данные компаний.
3️⃣ Вынужденное отключение компьютерных систем, используемых для декларирования налогов и управления импортом и экспортом, приводило к ежедневным потерям в размере около 30 миллионов долларов США для промышленного сектора.
4️⃣ Коста-Рика обратилась за помощью к США, Израилю, Испании и Microsoft (странный набор) для борьбы с атакой.
5️⃣ 8 мая новый президент страны Родриго Чавес Роблес объявил о введении чрезвычайного положения (спустя 2 недели с начала атаки), рассматривая кибератаку как акт терроризма.
6️⃣ 11 и 26 июня соответственно была восстановлена работа систем Минфина и таможни, спустя 2 месяца с начала атаки.

Атака группировки Hive:
1️⃣ После атак Conti, в конце мая 2022 года, уже группировка Hive нацелилась на Коста-Риканский фонд социального обеспечения (CCSS), что привело к отключению критически важных систем, включая Единую цифровую медицинскую карту (EDUS) и Централизованную систему сбора данных.
2️⃣ Hive удалось вывести из строя около 800 серверов и 9 тысяч пользовательских терминалов, что серьезно нарушило предоставление медицинских услуг.
3️⃣ Атака на CCSS привела к сбоям в работе медицинских учреждений, затруднив доступ к медицинским данным и усложнив оказание медицинской помощи населению. Только 45% лабораторий функционировало нормально; 96% больниц работало в условиях реализации кризисного плана, 19% рентгенографических кабинетов не работало, а 37% аптек не функционировало должным образом.
4️⃣ Несмотря на масштаб атаки, президент CCSS Альваро Рамос Чавес заявил, что базы данных с конфиденциальной информацией не были скомпрометированы, хотя по меньшей мере 30 из 1500 серверов учреждения были заражены программой-вымогателем. В атаке Conti утечка данных все-таки состоялась.

Такие вот дела. А вы говорите, кибератаки - это несерьезно и неинтересно для руководителей компаний, отраслей и целых стран 😨

Читать полностью…

Пост Лукацкого

Отчет, упомянутый вчера утром, перечисляет возможные последствия от инцидентов ИБ, которые давно перестали быть лишь технической проблемой. Их влияние проникает в самые разные аспекты работы компаний, экономики и даже целых отраслей. Отчет показывает, как именно последствия кибератак могут разрушить привычный порядок вещей.

Финансовые сложности:
1️⃣ Увеличение времени оборачиваемости денежных средств, что ограничивает доступ к финансированию текущих операций.
2️⃣ Уменьшение дивидендов для акционеров и снижение их доверия к компании.
3️⃣ Сокращение числа держателей корпоративных облигаций из-за утраты привлекательности активов.
4️⃣ Отрицательная доходность фондового рынка и снижение цен на акции, усиливаемые короткими продажами.

Удар по инвестициям и инновациям:
5️⃣ Сокращение инвестиций в исследования и разработки, что ограничивает развитие новых технологий и продуктов.
6️⃣ Падение продаж, которое может продолжаться до трех лет после инцидента, влияя на долгосрочные перспективы компании.

Нарушения в цепочках поставок:
7️⃣ Прерывание логистических цепочек и снижение эффективности взаимодействия с партнёрами.
8️⃣ Распространение экономических потерь по цепочкам поставок, затрагивающее широкий круг компаний и отраслей.

Экономический и социальный эффект:
9️⃣ Экономические потери для потребителей компаний, ставших жертвами атак, включая рост цен и снижение доступности услуг.
1️⃣0️⃣ Нарушение страновых товарных потоков, что может подорвать международные экономические отношения.
1️⃣1️⃣ Снижение доверия потребителей к цифровой экономике в целом, затрудняющее её дальнейший рост.

Репутационные и доверительные риски:
1️⃣2️⃣ Подрыв репутации компаний, из-за чего восстановление имиджа становится многолетним процессом.
1️⃣3️⃣ Снижение доверия к компаниям как со стороны потребителей, так и партнёров.

Кибератаки — это не просто утрата данных или временные сбои. Как отмечает автор отчета, это фундаментальный вызов для бизнеса, влияющий на финансы, репутацию, инновации и даже доверие к цифровой экономике данных. Чтобы минимизировать последствия, компаниям важно не только укреплять свои механизмы ИБ, но и прорабатывать стратегии восстановления. Ведь чем быстрее компания сможет преодолеть киберкризис, тем меньше окажется долгосрочный ущерб для её бизнеса и экономики в целом.

Читать полностью…

Пост Лукацкого

Очередная десятка тенденций в сфере кибербеза. Сразу надо отметить, что это Топ10 у иностранцев - в России больше половины из этого списка вряд ли станет трендом:
1️⃣ Использование ИИ злоумышленниками. Киберпреступники будут активно применять искусственный интеллект для создания сложных атак, включая генерируемые с помощью ИИ фишинговые кампании и использование дипфейков для обмана.

2️⃣ Увеличение числа уязвимостей нулевого дня. Частота и эффективность атак с использованием неизвестных ранее уязвимостей возрастут, требуя от организаций проактивных мер и постоянного мониторинга дыр и фактов их использования.

3️⃣ ИИ как основа современной кибербезопасности. Искусственный интеллект станет неотъемлемой частью систем безопасности, помогая в обнаружении угроз, реагировании на инциденты и формировании стратегий защиты.

4️⃣ Усложнение вопросов приватности данных. Компании столкнутся с необходимостью соблюдения множества региональных и локальных требований по защите персональных данных, что потребует интеграции этих требований в их стратегии безопасности.

5️⃣ Расширение облачных сервисов и связанных рисков. С еще большим увеличением использования облачных технологий возрастет и количество атак на них, что потребует усиленной защиты облачных инфраструктур.

6️⃣ Рост числа атак на цепочки поставок. Злоумышленники будут чаще нацеливаться на поставщиков и партнеров, чтобы получить доступ к более крупным целям, что делает безопасность цепочек поставок критически важной.

7️⃣ Усиление атак на устройства Интернета вещей (IoT). С увеличением числа подключенных устройств возрастет и количество атак на них, требуя от производителей и пользователей усиленных мер ИБ.

8️⃣ Повышение значимости киберстрахования. Компании будут чаще обращаться к киберстрахованию для минимизации финансовых рисков, связанных с кибератаками, что приведет к росту этого рынка.

9️⃣ Развитие концепции нулевого доверия (Zero Trust). Модели безопасности, основанные на принципе "никогда не доверяй, всегда проверяй", станут стандартом для защиты корпоративных сетей и данных.

1️⃣0️⃣ Аутсорсинг кибербезопасности. Многие организации будут передавать функции кибербезопасности внешним специалистам, чтобы обеспечить высокий уровень защиты в условиях растущих угроз и нехватки кадров.

Если бы меня спросили, что из этого будет применимо у нас, то я бы назвал числа 1, 2, 6 и, может быть, 10. А все остальное мимо. Но... если вдруг Трамп забудет про данные вчера обещания купить Гренландию, отобрать Панамский канал и присоединить к США Канаду, и реально поспособствует прекращению СВО, то может к концу года и остальные темы у нас могут начать реализовываться 🤔

Читать полностью…

Пост Лукацкого

А раньше атаки на больницы 🏥 считались зашкваром, а в Женевской конвенции так это и вовсе запрещено. Но кого это волнует 🤌

Читать полностью…

Пост Лукацкого

Один плохой мальчик взломал сайт Интернет-магазина и списал баллы лояльности у десятков пользователей, оплатив ими себе товары. Когда его поймали, он заявил, что идентифицирует себя как белого хакера 👺 и поэтому не виновен; следователь его отпустил. А потом его подстерегли пострадавшие пользователи сайта, избили и выбили все зубы 🦷 Уходя, они забрали зубы с собой, заявив, что идентифицируют себя как зубных фей 🧚

Мораль: не важно как ты себя идентифицируешь, важно, на месте у тебя зубы или нет какая у тебя аутентификация.

ЗЫ. Любые совпадения с реальными историями и персонажами случайны!

Читать полностью…

Пост Лукацкого

Многие компании сейчас не испытывают острой необходимости в найме директора по информационной безопасности 😎 (хотя многим и требуется замгендира по ИБ, но отношение к этой роли небизнесовое, а скорее "для галочки"), но им важно заранее определить роль CISO, включая планы по развитию нынешнего руководителя службы ИБ до уровня квалифицированного CISO 🧐 Данный подход предполагает формирование образа "идеального" CISO. Почему именно "идеального", а не просто "оптимального"? Потому что современный CISO должен быть мастером на все руки, совмещая в себе множество компетенций — своего рода "целое стадо единорогов". Этот профиль часто оказывается слишком амбициозным и служит скорее основой для обсуждения роли CISO и его команды, чем реальной инструкцией к действию 🫡

Поиск идеального CISO представляет собой серьёзную задачу 🔍 Для выполнения этой роли необходим крайне специфический набор навыков, а количество специалистов, соответствующих этим критериям, минимально. Более того, вероятность того, что такой специалист окажется доступным для найма и будет готов присоединиться к конкретной компании, практически равна нулю 🥲

В таких условиях компаниям стоит быть гибкими и готовыми рассматривать возможность привлечения внешнего кандидата, что вполне разумно для любой руководящей позиции. Однако зачастую внутри компании уже есть руководитель службы безопасности, обладающий частью необходимых навыков и глубоким пониманием внутренних процессов. Этот специалист может стать отличной основой для формирования "идеального" CISO в будущем, если инвестировать в его развитие.

Что же такое "идеальный CISO"? Ниже 👇 вы найдете описание такой роли.

Читать полностью…

Пост Лукацкого

10 вещей, которые специалист по кибербезопасности должен успеть сделать до Нового года: 🔥
1️⃣ Провести инвентаризацию активов. Убедитесь, что все учетные записи, устройства, и системы учтены, а неиспользуемые или устаревшие отключены. Это как генеральная уборка, но в киберпространстве
2️⃣ Пересмотреть правила паролей. Обновите свои пароли и убедитесь, что коллеги делают то же самое. В Новый год с новым паролем. И никакого password2025!, лучше уж KerfwrbqUtybqRfrJyDctEcgtdftn (вы же прочитали, что там зашифровано?) 😉
3️⃣ Проверить резервные копии. Перепроверьте, что резервные копии работают корректно, а восстановление данных занимает меньше времени, чем приготовление оливье 🎄
4️⃣ Настроить праздничный автоответчик на почте. "Я вне офиса, но хакеры пусть знают, что я всегда на страже!" Не забудьте чувство юмора и будьте вежливыми 🧑‍💻
5️⃣ Заручиться поддержкой руководства на будущий бюджет. Убедите топ-менеджмент в важности инвестиций в кибербезопасность. Используйте фразу: "Сколько стоит незащищенный Новый год?" 🙏
6️⃣ Устроить праздничную фишинговую атаку. Проведите шуточное фишинговое тестирование среди сотрудников с забавным сценарием. Например, письмо с темой "Срочно: Премия за лучший рождественский свитер!" 😎
7️⃣ Обновить системы и патчи. Убедитесь, что все обновления установлены, чтобы не оставлять уязвимостей для хакеров, которые тоже любят "подарки" 🫡
8️⃣ Написать письмо Деду Морозу. Попросите стабильности в IT-системах, защиты от ransomware, умных пользователей, которые не кликают на подозрительные ссылки, а также снижения ключевой ставки 👍
9️⃣ Создать чек-лист кибербезопасности для друзей и семьи. Помогите близким защитить их гаджеты и аккаунты. Ведь Новый год — это время заботы 🥰
1️⃣0️⃣ Устроить "киберелку". Организуйте командное мероприятие с коллегами: квест или викторину на тему кибербезопасности. Обязательно наградите победителей сувенирами в виде флешек и антивирусных лицензий, даже если они уже и не нужны! 🤣

Читать полностью…

Пост Лукацкого

Две тенденции вижу я. CAPTCHA становится сложнее. И это вам не "вертикальные реки" выбирать даже 🤔 И не краски осени. Сначала появилась свинья, которую надо было тыкать пальцами в жопу, потом вот такое 🤔 Теперь очередная напасть - надо понять, что имел ввиду художник, совместив две части картины 🤔 Хорошо, что они Кандинского или еще какого абстракциониста не выбрали в качестве примера 🤔

Вторая тенденция печальнее - такие капчи стали "поднимать" при заходе на сайт 🖥 Я еще главной страницы не увидел, а у меня уже челендж, который бывает сложно со смартфона в машине пройти 🤦‍♂️ 3-4 раза ошибся и все, желание посещать сайт пропадает. Интересно будет как-нибудь увидеть цифры потерь от ухода клиентов, не поборовших механизм защиты сайта от них. Ой, не от них, а от хакеров, ведь такую капчу включают для защиты от плохих парней, которые увеличили число атак на российские компании. И сравнить цифры потерь от атак с цифрами потерь от ухода клиентов 🤠 И какой результат будет хуже 🤔

Читать полностью…
Subscribe to a channel