Wavestone выпустил свой очередной CISO Radar 2025, отчет с обзором ключевых тенденций, с которыми столкнутся CISO в нынешнем году. Согласно сделанному анализу, ключевыми приоритетами станут упрощение процессов и инструментов, повышение эффективности управления командами и демонстрация ценности ИБ для бизнеса.

1️⃣ Упрощение процессов и инструментов

Сложные и раздробленные экосистемы и платформы кибербеза (все же сейчас создают свои экосистемы и платформы) создают дополнительные риски и увеличивают операционные затраты. CISO должны оптимизировать и стандартизировать процессы, сокращая количество используемых инструментов. Например, многие организации стремятся уменьшить число решений в сфере ИБ с 40–80 до 10, концентрируясь на нескольких ключевых платформах.

Стратегия упрощения позволит снизить нагрузку на команды ИБ, облегчить мониторинг и реакцию на угрозы, а также повысить уровень автоматизации. Но для России этот совет не то, чтобы работает, так как у нас и платформ-то особо нет в достаточном количестве, и вообще проблемы разнообразия решений, как на Западе, нет.

2️⃣ Улучшение управления командами

Кадровый дефицит в сфере ИБ остается серьезной проблемой. В 2025 году внимание будет уделено развитию навыков сотрудников, созданию более гибких и продуктивных команд, а также улучшению взаимодействия между отделами. Особое значение приобретает оптимизация процессов реагирования на инциденты - сокращение времени на принятие решений и улучшение координации между ИТ, ИБ и бизнес-подразделениями. Кроме того, компании должны развивать новые роли, такие как Chief Identity Officer (CIdO), для усиления контроля над управлением доступами. Для нас эта история тоже будет актуальной, кроме, разве что, роли CIdO.

3️⃣ Демонстрация ценности ИБ для бизнеса

Уи-уи, мое любимое. Руководители требуют от CISO не только защиты данных, но и осязаемых бизнес-результатов. В 2025 году акцент сместится на измерение и представление ценности кибербезопасности для компаний, в том числе и демонстрации понятных результатов от деятельности CISO. Это включает:
➖ Подготовку отчетов, которые показывают влияние ИБ на бизнес-цели (например, снижение финансовых потерь от атак).
➖ Улучшение взаимодействия с топ-менеджментом и обоснование инвестиций в безопасность.
➖ Развитие киберустойчивости как конкурентного преимущества.

Wavestone пишет, что 2025 год потребует от CISO не только технической экспертизы, но и лидерских качеств (а когда было иначе?). Упрощение инструментов, усиление команд и доказательство ценности ИБ для бизнеса станут ключевыми аспектами успешной стратегии. Теперь кибербезопасность – это не просто защита, а важный драйвер устойчивого развития компании! Так держать, свистать всех наверх, мы победим!

Из интересного, в отчете вводится понятие VOC (Vulnerability Operations Center), который должен стать оркестратором в вопросах обнаружения и устранения уязвимостей в приложениях и разрабатываемом коде. Вывод SOC на новый уровень, внедрение Data Security Platform / Data Security Posture Management, а также безопасное использование ИИ, борьба с дезинформацией, постквантовая криптография, также не забыты в отчете.

#CISO #тенденции

Читать полностью…

Сегодня во второй половине дня буду здесь. Буду вопрошать 🫴 про ответственность тех, на чьей стороне принимается решение по совпадению биометрии, про процедуру разбора конфликтов, про отсутствие дипфейков в официальных моделях угроз, про гарантии гражданам 🖕, про реальную проверку защищенности ЕБС и т.п.

Читать полностью…

Возвращаясь к утренней задаче, хочу отметить, что попытка известные парадоксы 🤷‍♀️ и дилеммы делать менее абстрактными и на примерах из ИБ провалилась! Не все могут абстрагироваться. Что же до задачи, то речь в ней шла о дилемме заключенного 👮, которая возникает из-за конфликта между индивидуальными и коллективными интересами.

Почему это дилемма? ❓
1️⃣ Если обе компании действуют честно (признают утечку), то они помогают друг другу справиться с последствиями, минимизируют вред для клиентов, но теряют репутацию в глазах аудитории. Это выгодно для экосистемы в целом, но каждая компания теряет в краткосрочной перспективе.
2️⃣ Если одна компания предает в исходной формулировки дилеммы заключенного (скрывает), а другая сотрудничает (признает), то предавшая компания извлекает максимум выгоды для себя — сохраняет репутацию и избегает огласки. Сотрудничающая компания берет на себя весь удар, выглядит "слабой" в глазах клиентов и партнеров, даже если ее действия правильны с этической точки зрения.
3️⃣ Если обе компании предают (скрывают), это кажется самым выгодным решением в краткосрочной перспективе (сохранение репутации), но в случае утечки (а она, скорее всего, произойдет), последствия будут разрушительными для обеих компаний. Здесь дилемма в том, что индивидуальные интересы приводят к наихудшему общему исходу.

Если проще, то каждая компания должна выбрать между:
➖ Честностью, которая полезна для экосистемы, но сопряжена с репутационными рисками.
➖ Скрытностью, которая временно защищает их репутацию, но ставит под угрозу их будущее в случае раскрытия (в идеальном мире с работающим законодательством).

Вот в этом конфликте личной выгоды и общей безопасности и есть вся дилемма. Но приятно, что 3/4 ответивших на опрос, приверженцы честной и открытой позиции. Верю, что и при реальной утечке (тьфу-тьфу-тьфу) все поведут себя также! 👍

Читать полностью…

Огромный и растущий объем данных безопасности, поступающих с конечных точек, из сетей, облачных сред и сторонних сервисов, превзошел возможности традиционных инструментов безопасности, таких как SIEM 📇 Им на смену могут прийти XDR. По крайней мере, так говорят некоторые иностранные аналитики. Хотя истина, скорее всего, где-то посередине ⚖️ Но дело в том, что все события ИБ, которых становится только больше, надо каким-то образом правильно направить в анализатор, возможно, не один, для обработки. Это могут быть решения класса ETL (extraction, transformation, loading) для гибкой маршрутизации данных 🚦

Но в последнее время стали появляться специализированные решения, так называемые конвейеры телеметрии безопасности 🎮 - новая технология управления, хранения и анализа данных безопасности в крупномасштабных или децентрализованных системах безопасности. По мере того как организации внедряют гибридные модели работы и расширяют свои цифровые экосистемы, такие конвейеры могут стать неотъемлемой частью SecOps 🛡 На эту тему даже выпустили на днях специальный отчет, который описывает роль и место таких конвейеров в инфраструктуре ИБ, а также приводит список вендоров, которые предлагают соответствующие решения.

#SOC

Читать полностью…

Тема повышения осведомленности в вопросах ИБ не должна быть скучной и ограничиваться только презенташками 📈 и скринсейверами, а также инструктажами под роспись в журнале. Можно пойти вот таким путем (раз и два). Подписчик прислал эти примеры, которые были сделаны всего за несколько вечеров с применением трех ИИ-инструментов:
🧠 suno для создания музыки и ее исполнения
🧠 sora для генерации видео
🧠 vozo для синхронизации движения губ с текстом.

А вы уже пробовали ИИ-инструменты для генерации обучающего контента? 🤔

Читать полностью…

Ну что, с праздничком! 🥳 День, который должен был показать важность защиты прав субъектов персональных данных, превратился в день защиты самих персональных данных.

Из новостей:
🔤 2022 год - объем утечек данных россиян вырос в 40 раз
🔤 2023 год - объем слитых ПДн в РФ вырос на 60%
🔤 2024 год - объем утекших данных российских пользователей вырос на 70% 📈

Я конечно не претендую на звание аналитика года, но кажется мне, что уполномоченный орган по защите прав субъектов персональных данных, не справляется с возложенными им на самого себя обязанностями, превратив наши персональные данные в полимеры, которые он и <глагол>

Может что-то в консерватории подправить? (с) Михаил Жванецкий

Всем терпения! Не протекайте!

Читать полностью…

Очередной канал ИБшных мемасикоа. Еще и про самураев немного опять же 😀

#юмор

Читать полностью…

Позволю себе высказать несколько идей по улучшению ИС "Антифишинг" от Минцифры с точки зрения эргономики (usability) и удобства использования, опираясь на последний случай "общения" с этой системой: ✍️

1️⃣ Необходимо предусмотреть возможность указания нескольких доменов в одной заявке через запятую 🔗 Заполнять десяток заявок на 10 доменов - это too much. Упрощать жить себе конечно важно, но это приводит к тому, что пользователи не будут заморачиваться. Можно было бы прикрутить форму отправки файла txt с доменами или вообще распознавалку доменов с картинки сделать (у меня это даже на компе встроенная функция) 📎

2️⃣ Не надо заставлять пользователей указывать http или https 🖥 Это несложно в автоматическом режиме уже на стороне ИС проверять. Тем более, что если я заполнил заявку на домен с HTTPS, я не пойду отдельно проверять, есть ли у него HTTP-версия. А это, как мне кажется, упущение, так как "нет заявки - нет блокировки". Задача элементарно автоматизируется ⚙️

3️⃣ Дата обнаружения - это лишнее 🗓 Во-первых, большинство людей отправляет заявку в день обнаружения, а не откладывает на потом. То есть в 99% это будет текущая дата. Во-вторых, время обнаружения - это тоже too much. В конце концов, дата и время регистрации домена элементарно определяется в автоматическом режиме через whois 📆 И посчитать разницу между временем отправки заявки и временем регистрации домена - вот и будет некая метрика для оценки.

4️⃣ Зачем нужно указание e-mail тоже не очень понятно 📩 Да, я получил на почту уведомления о регистрации моих заявок на инциденты в ИС "Антифишинг". Но мне, если честно, все равно, кто и как их там регистрировал и что будут делать дальше. Я свой гражданский долг выполнил, сообщив о фишинговом домене, дальнейшая судьба которого меня мало интересует 💬 Я все равно все уведомления удалил сразу.

5️⃣ Чекбокс о том, что моя заявка - это не жалоба, тоже лишний. Достаточно просто DISCLAIMER повесить у кнопки "Отправить" 🛫

6️⃣ Указание языка тоже лишнее. Нормальные сайты автоматом подставляют нужный язык в зависимости от настроек браузера или IP посетителя 😱

В итоге, лишних 14 нажатий на клавиатуре (минимум; зависит от длины e-mail) и 5 (минимум) кликов. Я бы оставил только два поля - "фишинговый URL" и "URL перехода", которые и просил бы заполнять пользователя. Все остальное собирать в автоматическом режиме либо на этапе обработки заявки, либо на последующих этапах 🤔

Читать полностью…

Продолжаем печальную хронику обрывов ПВОЛС в Балтике.

Сегодня 26/01/25 где-то в 04:30 оторвался по неизвестным причинам кабель Sweden-Latvia, принадлежащий Latvia State Radio and Television Centre. В этом кабеле есть каналы для международного транзита трафика в том числе и российскими операторами связи. Обрыв произошел где-то посередине между Вентспилсом и островом Готланд.

Ростелекомовский кабель Kingisepp-Kaliningrad System, оборванный где-то между Таллинном и Хельсинки 25 декабря до сих пор не восстановлен. Пошел второй месяц.


#underseacablecut #cablecut

Читать полностью…

Интересная история, которая показывает, к чему приводят запреты и несогласованность действий органов власти, ответственных за цифровизацию, нацбезопасность и контроль за ними. Иностранец, въезжающий в Россию и желающий официально купить SIM-карту, сделать этого не может. Чтобы купить российскую SIM-карту надо зарегаться на Госуслуги, а чтобы зарегаться на Госуслугах надо иметь российскую SIM-карту. Замкнутый цикл 🤦‍♂️

Как верно обратили внимание в чатике канала, описанная мной в субботу схема фишинга выглядит странно. Она рассчитана на тех, кто въезжает в страну и пока еще не имеет российского номера, но при этом запрашивается российский телефонный номер для проверки 🤔 А получить такой номер иностранец легально не может.

Но сама история с этими бесконечными и бессмысленными запретами, конечно, уже порядком поднадоела.

#регулирование #суверенитет

Читать полностью…

Пока вы тут с теорией вероятности разбираетесь, результативная ковровая DDoS-атака наступает на киберпространство ☠️

Читать полностью…

А теперь видео с пенсионерами 👵 на другой стороне! Нет, не на стороне киберпреступников. На стороне тех, кто им противодействует, а не становится жертвой! 🎅

#юмор

Читать полностью…

Очередные фишинговые 🎣 ресурсы, направленные на въезжающих в Россию граждан. Какой-то детский развод (как по мне). На главной странице сайта спрашивают даже не полные персональные данные, включающие номер паспорта и хотя бы отчество, а только фамилию, имя и дату рождения 🪪 Потом уточняют номер телефона и дальше коммуникация уходит в Telegram. Предположу, что все делается для угона учетных записей в Telegram 📱

ЗЫ. В ИС "Антифишинг" данные отправил, но не по всем доменам. UI там далек от идеала при отправке более чем одного фишингового домена - я на четвертом домене сломался 🖥

ЗЗЫ. Домены сейчас активны!

#фишинг

Читать полностью…

Еще только совсем недавно популярность получило явление по сдаче "в аренду" своих кредиток 💳 для использования их в мошеннических схемах (не всегда осознанно, но в любом случае наказуемо). Почему-то считается, что это менее опасно, чем подрабатывать дроппером 🤒 (это не так и вот пример, когда такие "я просто дал свою карту подержать другу" садятся на большие сроки) 🏴‍☠️

И вот новая напасть - в Даркнете стали появляться объявления о продаже лица и голоса для использования в дипфейках 🤨 Первые такие объявления были зафиксированы в Поднебесной. Девушка, продающая свою идентичность (если бы про это писал какой-нибудь большой фиолетовый оператор связи, то он, наверное, использовал бы слово "аутентичность"), не скрывает, что она уже участвовала в различных мошеннических схемах и готова продолжать это в новой для себя области (лучше бы в вебкам пошла) 🏮 Так что ждем новых "интересных" историй про дипфейки и людей, которых пригласили записаться для банка изображений и голосов, а потом вдруг нашли себя, нет не в рекламе порно, а в мошеннической схеме. Ну а затем, "по тундре, по железной дороге"... #️⃣

#дипфейк

Читать полностью…

6-значный PIN-код? 🤔 Предположу, что это дата 🗓

Читать полностью…

Хорошо, что Fortinet ушел из России и российским заказчикам этот эксплойт не страшен 😱 Вы же уже заменили Fortigate на что-то отечественное? 🔥

#уязвимость #средствазащиты

Читать полностью…

Часто кибербезопасность ассоциируется с различными запретами 🚫, которые вводятся необдуманно, без оценки возможных последствий. В этом смысле очень полезно обратиться к истории и посмотреть, к чему могут приводить такие ситуации 🤔

Название "эффект кобры" 🐍 возникло из реальной истории, связанной с британской колониальной администрацией в Индии. Чтобы сократить количество ядовитых кобр, власти объявили награду за каждую убитую змею 🐍 Изначально эта инициатива была успешной, но затем некоторые предприимчивые индусы начали разводить кобр, чтобы зарабатывать деньги, сдавая их за награду 🤑 Когда власти осознали, что происходит, программу свернули, и те, кто разводил змей, выпустили их на свободу, что привело к увеличению популяции кобр вместо её сокращения.

Этот эффект стал символом ситуаций, когда неправильно спланированные стимулы или меры приводят к обратным результатам 🤦‍♂️ Эффект кобры используется в экономике, менеджменте, политике и других сферах для иллюстрации риска принятия решений без учета всех возможных последствий. В области кибербезопасности таких ситуаций тоже немало.

#принятиерешений #регулирование

Читать полностью…

В Даркнете появился новый инструмент на базе ИИ 🧠, который помогает "плохим мальчикам" делать нехорошие вещи. Речь идет о GhostGPT, чатботе, специально разработанном для киберпреступников. Исследователи пока не понимают, куда он цепляется, к "взломанной" ChatGPT или какой-то иной LLM, но никаких этических ограничений и иных моральных угрызений совести у этого инструмента, распространяемого по подписке, нет 🥷

Как пишут авторы GhostGPT, этот продаваемый через Telegram 📱 инструмент, не хранит никаких логов (хотя я не был бы так в этом уверен) и помогает в написании вредоносов, фишинговых сообщений и разработке экслойтов 🦠 Учитывая, что это работающий через Telegram чатбот, он не требует ни придумывания способов обхода ChatGPT, ни установки LLM к себе на компьютер, то есть максимально быстрое вхождение для "плохих парней" 😷

Стоимость этого инструмента, распространяемого с середины декабря, начинается от 50 долларов в неделю до 300 - за 3 месяца использования. Так что гонка вооружений разгоняется, время атаки (TTA) снижается. Готовы ли вы к этому? 🤔

Читать полностью…

Представьте, что ваша компания столкнулась с утечкой данных из-за действий некоей хакерской группы 🎩, которая взломала инфраструктуру вашей компании и похитила базу персональных данных ваших клиентов. Хакер угрожает опубликовать конфиденциальную информацию о клиентах и требует выкуп 🤑 Вы также узнаете, что вторая крупная компания из вашей отрасли оказалась в такой же ситуации — данные украли у них теми же методами и та же группировка.

У вас есть две альтернативы:
1️⃣ Признать утечку, публично уведомив клиентов и рассказав им о происшествии и, возможно, объединиться с другой компанией для устранения причин и последствий угрозы. Это поможет быстрее разобраться с инцидентом, но ваша репутация пострадает.
2️⃣ Скрыть утечку, попытавшись решить проблему самостоятельно и надеяться, что информация об инциденте не всплывет. В краткосрочной перспективе репутационные риски минимальны, но если утечка станет публичной, последствия будут катастрофичнее.

Каким будет ваш выбор? 👇

#принятиерешений #утечка

Читать полностью…

Китайская LLM DeepSeek отказывается отвечать на «острые» 🌶 и «скользские» вопросы про уйгуров, площадь Тяньаньмень и тп. Американцы, приводя в пример такие ответы, говорят, что поэтому веры китайцам нет и надо пользоваться американскими LLM, открытыми и нескрывающими ничего. Ага, щаз… Вспоминаем мои эксперименты с Google Learn About 🧊

Но пост не про цензуру. А про то, что если вы в ИБ-продукте или просто в деятельности ИБ будете использовать LLM, то учитывайте этот нюанс. В инженерных задачах (поиск угроз в трафике, выявление вредоносности в файлах, поиск трендовых уязвимостей и т.п.) это скорее всего не столь критично, но вот всякие текстовые истории могут иметь свою специфику. Например, написание политик, атрибуция нарушителя, создание обучающих материалов. Это пока мое предположение, которое я буду проверять на DeepSeek 🐉

Например, как генерится по одному запросу два фишинговых сообщения LLM, обученных на немного разном контенте: ❗️

Тема: Ура! Увеличение зарплаты и важное действие 🚀

Здравствуй, Алексей!

У нас для тебя отличные новости — в этом году твоя зарплата повышается! 🎉 Мы ценим твой вклад в развитие компании и уверены, что этот шаг заслужен.

Чтобы завершить процесс обновления данных, пожалуйста, пройди по ссылке на наш внутренний портал и заполни короткую форму для отдела кадров. Это займёт всего пару минут, но это необходимо для корректного начисления повышенной зарплаты.

⚡️ Важно:
Форма должна быть заполнена до [дата]. Если ты не успеешь, процесс пересчета может быть задержан.

Не упусти возможность наслаждаться приятным бонусом к твоему труду! Если у тебя есть вопросы, HR-команда всегда готова помочь.

С уважением,
Надежда Позитивная
Отдел кадров

или:

Тема: Ваша преданность и труд приносят плоды — увеличение зарплаты! 🌸

Уважаемый Алексей Викторович!

Ваш труд, преданность и стремление к совершенству — это те качества, которые помогают нашей компании расти и двигаться вперёд. Мы искренне благодарим вас за вашу работу и рады сообщить, что в знак признания вашего вклада принято решение увеличить вашу заработную плату. 🌟

Для обновления данных и корректного начисления новой зарплаты, пожалуйста, перейдите по ссылке на внутренний портал и заполните необходимую форму.

🔔 Обратите внимание:
Заполнение формы обязательно и должно быть завершено до [дата]. Это важный шаг, чтобы мы могли без задержек реализовать начисления.

Мы верим, что ваше усердие и стремление к высоким результатам будут продолжать вдохновлять всех нас на путь общего процветания. Если у вас возникнут вопросы, наша команда отдела кадров всегда готова вам помочь.

С уважением и благодарностью,
Надежда Позитивная
Отдел кадров

Вроде как все одно и тоже, но интонации в тексте разные. Второе более слащавое, уси-пуси, с поклонами и икэбаной... Первое прямолинейнее и понятнее. Так что LLM бывают разные... 🤔

#ИИ

Читать полностью…

⚠️ Девушкам и женщинам не читать!

Знаете, какая проблема часто встречается в мужских туалетах? 🚽 Многие мужчины - хреновые снайперы и поэтому осуществляя свои естественные потребности в писсуар, часто, нет, не промахиваются, а направляют струю не туда, что приводит к разбрызгиванию 🚽 А это в свою очередь приводит к грязи и запаху в мужских туалетах, а также к неопрятному виду у мужчины. Хуже всего дело обстоит в аэропортах с их пропускной способностью 🛩

В аэропорту Шипхол в Амстердаме решили провести социологический эксперимент - в каждом писсуаре нарисовали черную муху 🪰 И, о чудо, разбрызгивание уменьшилось на 8️⃣0️⃣🔤 Мужчины видели не муху и, даже, не мишень, - они видели цель, которую и стремились поразить достичь! 🤕 Интересно, что эксперимент проводило не подразделение, отвечающее за уборку, а экономисты, то есть те люди, которые умеют считать деньги и понимают, во что обходится постоянная уборка туалетов и отвлечение уборщиков на эту задачу вместо иных, возможно, более приоритетных направлений 🧹

К чему это все и какое отношение имеет к кибербезу? Я вижу в этом кейсе несколько аналогий. Во-первых, ИБшники часто похожи на уборщиков, которые приходят и убирают дерьмо 🧹 за остальными, не задумываясь о том, как можно сделать так, чтобы не пролитое людьми мимо писсуара убирать быстрее, а чтобы люди меньше промахивались 🚽 Тут нужен взгляд со стороны, со стороны бизнеса, который оценивает не только ФОТ "уборщиков" и стоимость швабр, тряпок и средств очистки, но и влияние грязного туалета на лояльность пассажиров и, как следствие, пассажиропоток и приносимые им деньги. Во-вторых, наличие цели 🎯 приводит к гораздо лучшим результатам, чем хаотическое движение. Ну и в-третьих. Муху тоже в правильное место писсуара надо поместить! 🪰

ЗЫ. Женщинам не понять! Наверное 👱🏻‍♀️

#принятиерешений #CISO

Читать полностью…

Вчерашняя задача 🧮 является по сути переписанным на ИБ "парадоксом Монти Холла", что многие верно и отметили в комментариях. Ее суть в том, что интуитивно кажется, будто шансы найти RCE-уязвимость при переключении или при «упорстве» одинаковы — 50/50. Но математика говорит обратное: если вы смените выбор, вероятность найти заветную RCE повышается с 1/3 до 2/3 🧮

Почему так происходит? ❓
1️⃣ Когда вы впервые выбираете вектор атаки, шанс угадать правильный (где спрятана RCE) — 1/3.
2️⃣ Следовательно, с вероятностью 2/3 RCE была не в выбранном вами векторе.
3️⃣ "Ведущий", обладающий полной информацией (TI или ИТ в "моем" примере), специально показывает вам пустой вектор из оставшихся двух, отсекая "заведомо известные уязвимости" и не трогая тот вектор, где может скрываться реальная RCE.
4️⃣ Если ваш первый выбор был неверным (а это происходит с вероятностью 2/3), то другой нераскрытый вектор — и есть тот самый с RCE. Поэтому при переключении с вероятностью 2/3 вы наткнетесь на настоящий RCE 🤕

Применительно к кибербезопасности, это напоминает ситуацию, когда вы (как пентестер) пытаетесь вычислить, какой из трех уязвимых участков в целевой или ключевой системе наиболее ценен 🗡 для получения несанкционированного доступа. Если вы узнали, что в одном из выбранных вами изначально сегментов ничего интересного нет (только давно известные уязвимости с минимальной ценностью для вас), то зачастую выгоднее переключиться на третий, еще не изученный вектор, — это повышает ваши шансы обнаружить "ту самую" RCE 😵

"Парадокс" в том, что наша интуиция может подсказывать "лучше не менять вектор, если уж начал его изучать", но холодный расчет и теория вероятности говорят о том, что переключение — более выигрышная стратегия 🔓

Читать полностью…

Есть известная японская 🇯🇵 поговорка "У самурая нет цели, только путь", которая часто применяется к деятельности CISO, в частности, и к кибербезу вообще. Мол, все эти ваши цели, результативная ИБ, общение с бизнесом - это все тлен и никому не нужно. Надо просто бороться с угрозами, устранять уязвимости... и будем всем счастье, дзен и нирвана 😀

Как человек, который недавно вернулся из Японии, а также долгое время изучавший восточные единоборства 🥷 и читавший труды классиков, на которых построена китайская и японская философия и военное искусство, могу сказать, что мы очень вольно трактуем многие кликбейтные заголовки восточные высказывания, не всегда понимая их истинный смысл 🍱

Так вот у самурая есть цель и она вполне конкретна - это благо господина 🧎‍♂️ Если для реализации этого блага надо молчать, самурай молчит. Если господин не прав и самураю, для демонстрации ошибочности суждений властелина, нужно умереть, он так и поступит, не колеблясь ни секунды 🇯🇵

Транслируя это на область ИБ, мы понимаем, что CISO или просто ИБшник должен понимать цели своего бизнеса, который его нанял для защиты его интересов в информационном пространстве 🛡 Не заниматься самоуправством, а сначала понять цель, чтобы затем следовать ей. Будет эта цель - соответствие требованиям регуляторов, значит так и надо, будет ИБ заниматься бумажной безопасностью 🚽 Будет эта цель - заработать бабла, снизить издержки, увеличить долю рынка; значит CISO должен выстраивать свои процессы в расчете на реализацию именно этой цели "своего господина" 🧐

У самурая нет цели по одной простой причине - вся его жизнь подчинена достижению целей его господина, его даймё!

Так кто вы? 🍤 "Самурай", который реально выполняет в меру своих возможностей и ресурсов задачи своего бизнеса, или ленивая жопа, у которой нет не только образа результата, но и пути никакого; которая прикрывается красивыми изречениями, чтобы не вставать с дивана и не делать ничего? 🦥

ЗЫ. Упоминаемая поговорка приведена в руководстве воина "Хагакурэ" ("Сокрытое в листве"), написанное самураем Ямамото Цунэтомо в 1709-1716 годах. И помимо этого высказывания там еще 11 книг аналогичной мудрости. Поэтому вырывать из контекста одну фразу и на ней строить свою стратегию - такое себе решение.

#философия #CISO

Читать полностью…

Раз уж начал следить за обрывами ✂️ подводных кабелей связи, то продолжу. Хотя бы для того, чтобы в одном месте все было и потом можно было целую картинку составить. Очередной обрыв. Одни пишут про бытовые причины, другие - про умышленные действия 🚠 Как по мне, так атрибуцией пусть занимаются те, кому по должности положено. А специалистам ИБ просто надо держать в голове сценарий возможного временного прерывания или полного отключения каких-либо зарубежных сервисов... 🌐

#Интернет

Читать полностью…

В канале у Wylsacom опубликована история пользователя, девушку которого развели 🥷 по схеме, схожей с тем, что я недавно описывал применительно к CrowdStrike. Сначала приглашение на работу, необходимость зарегистрироваться через CRM будущего работодателя для решения тестовых заданий... 🧑‍💻 Правда, в данном случае, цель киберпреступников заключалась в другом.

Под личиной работодателя, зарегистрированного на hh.ru (он оказался то ли фейковым, то ли скомпрометированным), они попросили жертву зарегистрироваться в amoCRM под учеткой в iCloud 📱 Потом выманили у нее пароль и код многофакторной аутентификации от iCloud и... все, финита ля комедия. iPhone заблокирован, требование выкупа, отказ в выплате, потеря доступа к устройству и продажа его на запчасти... 📱

Есть подозрение, что киберпреступники могут в этом году вернуться к практике вымогательств у частных лиц, которая была популярна незадолго до COVID-19, пока они не переключились на юрлиц. А уж схема с фейковыми работодателями станет все более популярной, учитывая грядущие сокращения, о которых пишут СМИ.

ЗЫ. Спасибо подписчику за присланный кейс.

#инцидент #фишинг

Читать полностью…

Представьте, что вы пентестер и проводите анализ защищенности инфраструктуры. У вас есть три потенциальных вектора атаки:
🔤 Веб-приложение
🔤 Сетевое оборудование
🔤 Подрядчики.

За одним из этих векторов скрывается опасный 0-Day в виде RCE-уязвимости, которая дает полный контроль над анализируемой инфраструктурой. За двумя другими — давно известные и безопасные уязвимости, которые уже пропатчены.

Вы выбрали один из векторов (допустим веб-приложение), но до его проверки вам кто-то (например, ваша служба Threat Intelligence или коллега из ИТ-подразделения) говорит: «Смотри, вот по этому вектору точно ничего интересного нет» и показывает один из двух оставшихся и невыбранных вами векторов (например, сетевое оборудование), который оказывается пустышкой.

Теперь у вас выбор:
1️⃣ Оставить свой первоначальный выбор, то есть веб-приложения.
2️⃣ Переключиться на второй, ещё не проверенный, вектор, то есть подрядчиков.
Вариант, что вы не поверите TI или коллеге на слово и будете долбиться через вектор сетевого оборудования я исключаю для простоты задачи.

Как вы поступите? 👇 Отвечая, попробуйте абстрагироваться от конкретного вектора атаки. Вместо них могли бы быть средства защиты, нормативные документы и любые иные вещи и явления.

#принятиерешений #пентест #оценказащищенности

Читать полностью…

И снова два морских кабеля обрезано ✂️ На этот раз между Тайванем и островами Мацзу. Эти коммуникации обеспечивают Интернетом, среди прочего, и Малайзию, из которой я вчера вернулся. Выводов не будет; число случаев уже приближается к десятку и все, что нужно я уже писал ранее (поиск в канале по слову "кабель") 🚠

Иногда и не поймешь, у тебя Интернет не работает, потому что кто-то кабель обрезал, а ты попал ровно в момент, когда маршрутизация еще не перестроилась. Или некто на три буквы борется с негативной информацией и опять что-то не так заблокировал. А может просто выборы где-то и на это время граждан решили отключить от некоторых сервисов, как в Беларуси.

#Интернет

Читать полностью…

Украинский CERT сообщает о том, что неизвестные злоумышленники 🎩 пытаются от имени CERT-UA подключаться к компьютерам пользователей с помощью ПО для удаленного доступа AnyDesk. В целом, кейс достаточно стандартный и если бы не имя организации, под которую маскируются хакеры 💻

Важный момент - CERT-UA и правда использует AnyDesk 🧑‍💻 при расследовании инцидентов и удаленном подключении к инфраструктуре своих "клиентов". Надо отметить, что это не первый случай. "От имени" СБУ уже реализовывались схожие активности. Новозеландский CERT также становился жертвой подмены, как и отечественные регуляторы - ФСТЭК, НКЦКИ, Роскомнадзор, ФинЦЕРТ 🖥

Рекомендации для защиты от такой напасти я уже давал. Американцы и их коллеги из "Альянса пяти глаз" тоже выпускали свои рекомендации. Ну и не забываем про множество рекомендаций по безопасному удаленному доступу от НКЦКИ, ФСТЭК и др., опубликованных во время COVID и после, когда пытались бороться с удаленкой после начала СВО ✍️

#инцидент #фишинг

Читать полностью…

Джен Истерли, пока еще глава CISA, дала, видимо, последнее свое интервью. Закончится не только ее карьера, но, возможно, прикроют и все агенство. Но у Джен уже «план Б» готов - она откроет бар 🍷, встанет за стойку, а вечерами будет играть на гитаре (можете заценить). Прекрасный план, я считаю 👍

Читать полностью…

Завершаем командировку в Малайзию на позитиве! 💯

Читать полностью…