Пробовали когда-нибудь выдумать "сверхнадежный" пароль? 🤔 Вот вам, к примеру, 22 буквы, которые больше похожи на лингвистическую аномалию: "жугдэрдэмидийнгуррагча". Ни один хакер не подберет (да и сами вы, скорее всего, тоже)! Но есть лайфхак - это имя первого монгольского космонавта 👨🏻‍🚀 Запоминается мгновенно… ну, почти. Осталось только выучить произношение, чтобы при вводе пароля у клавиатуры глаз не дергался. Зато теперь точно не придется прибегать к "123456"! 🤔

ЗЫ. Вот ведь иногда всплывает всякое из недр памяти из советского детства 🇷🇺

#юмор #аутентификация

Читать полностью…

Проукраинская группировка взломала IEK Group, одного из лидеров российского рынка электротехники ⚡️, о чем последняя 19 марта сообщила в своих соцсетях. В самом сообщении компании говорится от отражении атаки, хотя большинство бизнес-систем было выведено из строя - отгрузка товара прекращена, заказы не принимались, данные удалены из личных кабинетов и т.п. 🤷‍♀️ Такое себе "отражение"...

Спустя сутки, 20 марта, компания написала 🧑‍💻, что доступ к системам, включая личный кабинет для заказа товаров был восстановлен, но, как пишут в Интернет, данные по истории заказов в кабинете отсутствовали. 28 марта IEK Group пишет, что восстановлена логистика 🚚 (спустя 10 дней с момента инцидента). Клиенты в комментариях задают вопросы, почему не работают бизнес-системы. 31 марта продолжали не работать ресурсы Академии IEK.

Интересно посмотреть на этот инцидент 🔓 со стороны хакерской группировки, которая взяла на себя ответственность за взлом и 4-го апреля написала об этом в своем Telegram-канале. Становится понятно, что речь идет о шифровальщике, который целиком пошифровал всю инфраструктуру (а в ней, судя по выложенным скринам, были и известные средства защиты развернуты) 🔄

В выложенных скринах много всего, включая даже уведомление об этом критическом инциденте от известного аутсорсингового SOC, который мониторил жертву 🔍 и который обнаружил шифровальщика в ночь 19 марта (возможно и раньше, но про это неизвестно). Дальше интереснее. 21 марта, видимо, начались переговоры между вымогателями и IEK Group в части оплаты выкупа в 50 тысяч долларов, которые, опять же, предположительно, были выплачены жертвой в криптовалюте. Но… доступ к данным возвращен не был, а хакеры публично глумятся над «доверчивой жертвой» 😂, заявив заодно и об уничтожении всех зашифрованных данных, виртуальных машин и т.п.

В этой истории можно много о чем порассуждать, но я обращу внимание только на один момент. Руководство компании приняло решение о выплате выкупа 🤑 и это именно бизнес-решение; но киберпреступники обманули. Что ж, такое случается сплошь и рядом. Клиенты кидают, контрагенты кидают, партнеры кидают... чем хакеры лучше 🤔 Теперь эта сумма, если она и правда была уплачена, будет включена в статью затрат на разгребание инцидента наряду с другими расходами (про финансовую оценку инцидентов можно посмотреть запись вебинара, который я вел). Мир не рухнул. Обычное управление бизнес-рисками, которые не только про возможности, но и про потери 🧐

ЗЫ. А в процедуру по принятию решения "платить или нет вымогателям" я бы добавил еще один пункт - не находится ли вымогатель в государстве, с которым геополитическая напряженность, назовем это так. Это может снизить вероятность успешного завершения переговоров по поводу возврата доступа к зашифрованным файлам. Разумеется, если мы можем понять, что за вымогатель с нами вышел на связь.

#инцидент #ransomware #антикризис

Читать полностью…

Ну и еще про цитаты и обучение (обещаю, на сегодня это все) 🤓 Есть еще одна фраза, которую часто произносят, не понимая ее контекста:

"Тот, кто может, делает. Тот, кто не может, учит".

Я когда начинал выступать с презентациями и лекциями принимал ее на свой счет. А потом уже, имея за спиной под тысячу выступлений (сейчас их за три уже) разобрался, что Бернард Шоу говорил ее в совершенно ином контексте 🤓 Он имел ввиду революционеров, которые не к месту поучают других людей. В начале 20-го века это было (осталось только дописать "как сейчас помню" 👴🏻) достаточно большой проблемой - революционеров было пруд пруди, все стремились свергнуть правительства и начать жить по-новому, но вот как достичь этого "по-новому" никто не знал, но учил 🤓

Потом уже, занимаясь изучением принципов донесения материала до аудитории, я узнал, что преподавание - это отличный способ самому разобраться в материале, в котором вы изначально не очень сильны 🧑‍🎓 Когда вы готовитесь, а потом доносите изученное и опробированное до слушателей, запоминается гораздо больше, чем если просто прочитать книжку или даже сделать какие-то самостоятельные упражнения 🧑‍🎓

Ну и завершить очередной рефлексии пост хочется другой цитатой, от основателя известной сети клиник Мейо, Чарльза Мейо. Он как-то сказал: 🤓

"Самое безопасное для пациента — это находиться в руках человека, занимающегося преподаванием медицины. Чтобы быть учителем медицины, врач всегда должен быть учеником".

По сути, Мейо подтвердил то, что написано в предыдущем абзаце. Преподавая, ты постоянно учишься. А постоянно учась, ты становишься лучше в своей профессии. Выводы каждый сделает сам!

#обучение

Читать полностью…

Легонькая статья о том, как общаться с топ-менеджерами про кибербезопасность, в которой приводится магическое число советов, то есть семь, которым надо следовать, когда вы хотите купить новые решения по ИБ: 🧐
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.

#ciso #топменеджмент

Читать полностью…

Подписчик прислал (спасибо ему) 🙂 Надо сказать, что искусственные интеллект сегодня существенно облегчил донесение сложных концепций ИБ простым языком; да еще и с хорошей визуализацией. Грех ими не пользоваться. Тем более, когда это бесплатно 🤖

#awareness #ии

Читать полностью…

Я на выступлении про чеклист ✔️ по безопасности подрядчиков на "Территории безопасности" упоминал кейс, который сейчас очень ярко иллюстрирует Oracle. Напомню, что их взломали (дважды за неделю, но второй кейс сейчас не так интересен), но они пошли в отказ, заявив "ви фсё врёте" 🫢 И формально они правы, так как искусно манипулируют словами. Хакеры заявили о взломе Oracle Cloud. ИТ-гигант выпускает заявление, что нет, Oracle Cloud никто не ломал. Потом выясняется, что и правда, сломали Oracle Cloud Classic (всего одно слово разницы), которая тоже принадлежит компании Ларри Эллисона. Но PR отрабатывает первое заявление, игнорируя все последующие уточнения 🤐

Схожая история бывает и у компаний, которые хостят часть своих систем на внешних площадках (SaaS-платформы, веб-хостинги, файлохранилища, промо-сайты и т.п.). И когда их ломают, они сразу же переводят стрелки, - это не нас взломали, это их, и показывают пальцем на нерадивых подрядчиков 🫵 Но, господа, это же откровенный звиздеж. Это ваша система. Вы ее владелец. Вы определяете цели ее функционирования, ее наполнение, обновление ее контента. Да, для экономии вы переложили часть технических функций на подрядчика. Но это же не меняет того, что система ваша 🫵

Если вы не установили требований к подрядчикам и не контролировали их исполнение, то кто же в этом виноват, кроме вас самих? 🫵 Да, подрядчик тоже накосячил и да, он может понести ответственность, но только субсидиарную и только если вы докажете, что он не выполнял установленные вами требования. А если требований не было, то звиняйте, это целиком ваша вина, ваша ответственность и перекладывать ее на кого-то еще - некомильфо (хотя и понятно желание свалить всю вину на других) 🤠

Сюда бы я отнес и историю с тестовыми стендами, как в истории с тем же Phishman, которого недавно взломали. Это же тоже некая манипуляция словами. Мол - это не прод, а это тестовый стенд. Это не реальные данные, а синтетические. Ущерба нет, значит и инцидента нет. Ну такое себе оправдание, если честно 🤔

#инцидент #антикризис #supplychain

Читать полностью…

Приложение "Турецких авиалиний" ✈️ понимает пароли не более 6 знаков максимум и это должны быть только цифры!!! Вспоминая регулярно обновляемую табличку от Hive Systems, определяем, что такой пароль ломается за 1 секунду. И если кто-то получит доступ к приложению, то он может списать все бонусные мили, купить на них на любое имя билет, заказать себе гостиницу и т.п. ✈️ То есть ущерб можно нанести несопоставимый с затратами разработчиков на снятие ограничения на максимальную длину пароля (про включение MFA уже и не говорю).

#аутентификация

Читать полностью…

Если как-то вас взломали,
Много данных увели,
Не спешите признаваться,
Что вам, в общем, все равно.
Подготовьтесь хорошенько,
Помолчите, денька два.
А потом всем обьявите,
Что критичных данных нет.

Читать полностью…

Один из трех основных способов взлома компаний 🔓 - это использование утекших учеток и паролей (помимо социальной инженерии и уязвимостей на публично доступных ресурсах). И пароли для доступа могут быть взяты не только из различных утечек, которые циркулируют на черном и не очень рынке. Есть и другие источники, например, хранящиеся в открытом виде пароли на компьютере, в различных приложениях и файлах 🔻 Особенно у админов и разрабов.

Когда спрашивают, а как PT Dephaze 😈 осуществляет свое продвижение по корпоративной сети, автоматически переходя от узла к узлу в рамках автоматического пентеста, ответ простой - он с помощью встроенного ИИ-агента ищет в указанных на картинке локациях и найдя учетки в открытом виде 🫢, использует их для расширения плацдарма и развития контролируемой атаки. Так что стоит провести с админами небольшую работу по тому, как правильно хранить секреты на своем рабочем месте и подкрепить это средствами автоматизации. Ну и в отношении подрядчиков вписать это в соответствующую политику ИБ 🤔

#оценказащищенности #аутентификация

Читать полностью…

Не очень легальное программное обеспечение Haotian AI для замены лица в реальном времени 👎 Это уже покруче open source проекта Deep-Live-Cam. Достаточно активно продвигается в Telegram для всяких нелегальных целей, стоит от 1200 до 9900 долларов при оплате только криптой 🪙 Так что технологии создания дипфейков развиваются все активнее и дальше.

И использоваться оно может в совершенно различных схемах - от прохождения удаленных собеседований при приеме на работу до генерации порнографии 🫦 с чужим лицом, от фальсификации высокопоставленных и известных людей до верификации в различных сервисах 🛂 Обратите внимание, что даже перекрытие лица рукой отрабатывается, что раньше достаточно легко выдавало использование подмены лица в приложениях типа face swap.

У вас же предусмотрено это в модели угроз? 🎭

#дипфейк

Читать полностью…

За какие-то смешные 400 баксов продается доступ в неназванную американскую AI Cyber Threat Intelligence компанию 🏷

Я про это сегодня в докладе говорил, что взломать могут и ИБ-компании и их тоже нужно контролировать, выстраивая стратегию нулевого доверия к люьым подрядчикам, особенно работающих в области кибербезопасности 🤔

#инцидент #threatintelligence #ии

Читать полностью…

Сегодня выступаю 🗣 на "Территории безопасности" в рамках конференции "PRO безопасность подрядчиков", рассказывая про составление чеклиста по безопасности (от) подрядчиков ✔️ Сваял небольшую презентацию (всего 90 слайдов) и по традиции сделал небольшую выжимку из нее в качестве примера.

Кто будет на мероприятии, приходите в 15.30 на мое выступление. Кого не будет... жаль. Я не знаю, будут ли презентации выкладываться на сайт. В прошлом году они были доступны только участникам или за деньги 🤷‍♀️

#supplychain #чеклист

Читать полностью…

Интересно, в чём смысл таких сообщений в чатах? Их много стало. Ни тебе криптоскама ❗️, ни эскортниц, ни подработок… В профиле автора тоже ничего крамольного и никаких ссылок 🤔 Или просто расчет на интересующихся, которых уже можно разводить точечно и эффективнее («сам же пришел»)?

#фишинг

Читать полностью…

Уже завтра, буду на московской "Территории безопасности"... (специально выделил про Москву, так как сейчас я в Питере). В 10.00 модерирую пленарную секцию "Экзамен на киберустойчивость. Как проверить, что ты защищен?" 🤔 Буду конкурировать с Рустемом Хайретдиновым, Алексеем Волковым и Львом Палеем (они в параллель ведут свои пленарки на мероприятии, которое собрало в одном месте 4 разных конференции на 4 разные темы) за внимание аудитории 🤗 Но вы-то 🫵 знаете, куда приходить и где будет интересно ☺️ А после обеда, в 15.30 буду проводить мастер-класс "Формирование чек-листа с требованиями по ИБ к подрядчикам" ✔️ Приходите, скучно точно не будет!

ЗЫ. После "Территории безопасности" умчу опять в Питер, уже на "Киберконтур 2025". Вот такая вот непростая судьба спикера...

Читать полностью…

У коллег каждую пятницу публикуется подборка мемов про разработчиков (сегодня исключение) 🧑‍💻 "А почему бы и мне не сделать подборку мемов ... про аналитиков SOC?", подумал я... 🧑‍💻 Раз уж в ряде проектов сейчас постоянно общаюсь и с ними, и с их руководителями, которые хотят улучшить свои SOCи. Пусть на минутку улыбнутся и тогда их десятичасовая смена не будет такой boring 🤡 Тем более сегодня еще и день смеха 🤡

#юмор #мем #soc

Читать полностью…

Обратите внимание на эту картинку, которой Gartner иллюстрирует идею по консолидации решений по безопасности в некоторый набор платформ:
1️⃣ Secure Web Gateway (SWG) вместе с CASB и ZTNA слились в класс решений Security Service Edge (SSE), который, в свою очередь, объединившись с SD-WAN стал классом SASE.
2️⃣ EDR, NDR и ITDR (Identity Threat Detection & Response) объединилсь по версии Gartner в XDR, хотя это достаточно смелая трактовка, так как ITDR - это достаточно новое решение. Но, в целом, тоже можно согласиться. Но XDR, слившись с SOAR и SIEM стали частью современных SecOps платформ (я про это даже статью для грядущего Positive Research написал).
3️⃣ Cloud Workload Protection Platform (CWPP) вдруг превратились в Cloud Security Posture Management (CSPM), которая, объединившись с Software Composition Analysis (SCA) стали классом CNAPP.
4️⃣ Средства защиты данных DLP, DCAP и DAM слились в экстазе DSP (Data Security Platform). Я про эту тенденцию уже писал года три назад.
5️⃣ Ну и т.д.

Тут забавно не то, что компания, придумавшая аббревиатуры по ИБ, потом их же сливала с другими, тоже вновь придуманными аббревиатурами 🤡, а сам факт движения в сторону интеграционных платформ, которые востребованы на рынке отдельными заказчиками, которых не мало и которым не нужны лучшие в своем классе продукты, а нужны комбайны 🚜 Да, можно говорить о том, что такие платформы реализуют отдельные свои функции не самым лучшим образом. Но многим это и не требуется - им не надо ловить APT и заниматься сложными задачами; там все проще (я об этом тоже писал). А кому-то, таких обычно меньше, нужно что-то прям прорывное, инновационное и глубокое 🚘

И вот это прям дилемма для вендора - по какому пути идти 🤔 В России, кстати, выбран в массе своей вообще третий путь. Делать платформы у нас может от силы 4-5 игроков из трех сотен; остальным просто номенклатуры продуктов не хватает. Делать продвинутые продукты у многих не получается - не хватает средств на нормальный R&D 🧑‍💻 Поэтому приходится идти по пути реализации нормативных требований, что в условиях их большого числа создает достаточно неплохой, но ограниченный только Россией, рынок сбыта. При этом у нас сейчас появляется немало стартапов, которые зарабатывают несколько десятков, иногда сотен, миллионов рублей, что хватает им на развитие, но не хватает на прорыв и переход в категорию рублевых единорогов. Вот так и живем... 🤷‍♀️

#средствазащиты #тенденции

Читать полностью…

Вот тут пишут, что северокорейские 🇰🇵 шпионы наводнили прогрессивные компании демократического Запада, проходя все возможные проверки дистанционно и, также удаленно, работая на благо... 👨‍💻 С благом там не все понятно, то ли только на Ким Чен Ына, то ли еще и на работодателя тоже немного, но сам факт примечателен. Нехватка кадров и послековидная привычка работать удаленно играет с европейцами и американцами злую шутку 😂 Даже компании по ИБ попадаются на это, а Госдеп США, АНБ, CISA, OFAC, Минюст и ФБР выпускали соответствующие предупреждения об этом. Но видимо кадровый дефицит все пересиливает.

ЗЫ. А вы уверены, что у вас нет удаленно работающих и маскирующихся под якутов северокорейских хакеров? Как вы проверяете удаленных работников при приеме? 🎭

#аутентификация #модельугроз

Читать полностью…

Не устаревает до сих пор 😏

Смотрю, как студенты понтуются, кто из них больше ни фига не делал и всё сдал.
Эх...
Когда я был студентом, я сдавал право одной очень милой женщине. Она была практикующим юристом, и я ожидал, что такой специалист меня сейчас будет гонять от и до по всему конспекту.
Она посмотрела на меня и, ничего не спрашивая, поинтересовалась:
- Оценку вам какую ставить?
- Э... Пять хотелось бы
- Отлично, - сказала она, и стала писать в зачётке
- А вы что, даже ничего спрашивать не будете? - удивился я.
Она оторвалась от заполнения зачётки, внимательно посмотрела на меня и сказала:
- Запомните, молодой человек, чем меньше вы знаете, тем более ценна я как специалист.
Эта фраза мне запомнилась на всю жизнь и больше я не страдал фигнёй во время занятий.
И сейчас самое время мне, уже доценту и одновременно практикующему проектировщику зданий, повторить то же самое:
Господа студенты, не учитесь, пожалуйста! Старайтесь как можно больше получить на халяву! Чем меньше вы знаете по окончании института, тем более ценен я как специалист и тем большую зарплату я могу потребовать за свои услуги!

Хотя в тех редких случаях, когда я был преподом в ВУЗе и принимал экзамены, я все-таки спрашивал и, иногда, заваливал студентов, которые болт клали на предмет. Но вот не ходить на лекции разрешал 🤔

Но тогда не было ИИ, а сейчас он есть 🫡 Так что конкуренция за место под солнцем усилилась и те, кто постоянно не учатся, обречены на то, что будут выброшены на свалку истории 💀

#обучение

Читать полностью…

"Волк и семеро козлят" в стиле киберпанк 😊 Оригинал - тут

Читать полностью…

Меня иногда на мероприятиях представляют как блогера ✍️, что меня, конечно, не раздражает, но иногда да. Блогер - это профессия, которая в классификатор внесена (или будет внесена скоро); в раздел рекламной деятельности. То есть блогер - это индивидуум, который за свою работу бабки получает. И не эпизодически, а вот цель у него такая. И он ради нее все и делает. И бусты сюда же относятся 🤑

Если ты завел канал ради бабок, так и пиши честно ✍️ Хочу, мол, бабла за то, что свое время трачу на репост чужих новостей для вас олухов и дармоедов. А если я пересказал вам публично доступный документ, который любой GPT или NotebookLM автоматически разложит в майндкарту, то будьте добры вдвойне бабла отсыпать 🤑

И это будет честно и понятно. Правда, тогда ты и ответственность должен нести за оплачиваемую тебе работу. Но тут блогер вдруг вспоминает 👨‍💻, что он вообще-то в другом месте работает, а канал это так, для души и претензии к качеству и частоте публикаций не принимаются. Ну так, глядь, ты либо крестик сними, либо трусы надень. Просто делишься своим мнением, которое интересно еще кому-то кроме тебя? Прекрасно. Деньги только за это брать не надо ❌ Делишься своим трудом? Бери бабки, но и отвечай соответственно.

А я не блогер - я по любви. То есть не профессионал, а любитель 🫰 Денег не беру и не планирую. А если вдруг решу, то так честно и напишу, но только брать деньги буду пост-фактум. Нравится? Платишь за результат 🤑 Не нравится? Не плати, но и не читай тогда. Но пока не планирую. Вот книгу допишу, опубликую для всех и предложу заплатить только если понравилось или было полезно ✍️

Вот о чем я думаю в воскресенье после активной недели с несколькими мероприятиями, прошедшими в двух столицах. Правда, есть еще одно, что меня сейчас волнует, а именно, чем нудисты на пляже очки протирают. Но это к ИБ уже не относится 🏝

Читать полностью…

А что, вайб кибербеза еще не придумали?

#мем

Читать полностью…

Давно «подзабытый», но все еще активно используемый Fast Flux (быстрая смена DNS-записей для ухода от обнаружения вредоносных ресурсов, C2-доменов, фишинговых сайтов и т.п.) вдруг попал в прицел спецслужб 🇺🇸 альянса "пяти глаз", которые выпустили соответствующий бюллетень на эту тему. Достаточно неплохой обзор, включая и методы обнаружения 🖥

#malware #ttp

Читать полностью…

поставил патч - тебя не хачат
не ставил - хакнут в тот же миг
просты законы у природы
и ими можно управлять

ЗЫ. А вам еще один канал для поднятия настроения 👇

#юмор

Читать полностью…

В понедельник, в Москве, пройдет конференция "Защита данных" (если вдруг кому надо, то промокод для бесплатной регистрации - ИББ25), на которой, как это ни странно, не будет ни слова сказано о безопасности подрядчиков. А зачем, если я почти все уже сказал в своей презентации на мероприятия "Территория безопасности 2025" 🛡

И так как данные нередко утекают именно через контрагентов и партнеров, то по договоренности с организаторами конференции "PRO безопасность подрядчиков" выкладываю свою презентацию про формирование чеклиста по тому, какие требования к подрядчикам устанавливать и как их контролировать ✔️ Надеюсь, она хорошо дополнит программу понедельничной конференции.

ЗЫ. Есть подозрение, что выделенных мне 40 минут было недостаточно для раскрытия темы. Так что проведу скоро расширенный вебинар с бОльшим погружением в тему и конкретными примерами ⏳ Анонс, конечно же, будет тут, в канале 🤠

ЗЫ. Кстати, на конференции "Защита данных" будут рассказывать о "единой платформе с нулевым уровнем доверия" 🤔 Ох уж этот беспощадный нейминг и бездумный перевод на русский язык англоязычных терминов. Что "цепочка поставок" (supply chain), что "горизонтальное перемещение" (lateral movement), что вот теперь "платформа с нулевым уровнем доверия" (zero trust platform). Копирайтер не понимает разве, что словосочетание "платформа с нулевым уровнем доверия", кардинально меняет смысл и звучит негативно? 🤔

#чеклист #supplychain

Читать полностью…

У вас так же? 🫡

#юмор

Читать полностью…

Вышла новая версия SANS Vulnerability Management Maturity Model 2.0 и калькулятор 🧮 для ее использования, в котором есть вопросы, на которые вы отвечаете "Да/Нет/Не знаю" и на выходе получаете свой уровень зрелости по пятибалльной шкале ↗️

#оценказащищенности #оценказрелости

Читать полностью…

Дмитрий тут написал у себя, что очень плохо, когда ВУЗы перестают учить студентов на базе Windows 📱 Александр пишет, что нет, все правильно, долой супостатов. А я обращу внимание на другой аспект этой проблемы. В борьбе за суверенитет, у нас многие забыли, что заниматься надо не импортозамещением, а ростом экспортопригодности своих решений 🪟 Тогда запрещать не надо будет - пользователи сами будут переходить на отечественное, которое лучше (в реальности, а не на словах) иностранных аналогов.

А пока мы зарываем голову в песок, блокируя использование всего иностранного ⛔️ А я задам сакраментальный вопрос - а как потом проводить наступательные разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету? Можно возразить, что и не надо искать. Надо выстроить железный занавес и жить в своем уютном ламповом мирке, в котором нет места иностранщине ☕️ Вот только как быть тем, кто стремиться нести свет российских технологий зарубеж, начиная с дружественных и заканчивая не очень странами?

Все эти страны, практически без исключения, импортозамещением не страдают, так как не могут себе позволить развивать с нуля ИТ-отрасль (даже если бы и хотели). И они используют иностранные ИТ-продукты, которые мы смело отметаем 📱 И как российской компании с международными амбициями в таком случае себя вести? И это я еще не вспоминаю про дурацкий запрет, который вступает в силу с 1 сентября, который запрещает российским компаниям любую рекламу в запрещенных и заблокированных в России соцсетях и ресурсах 📱 И вот что мне делать, если я 2-го сентября захочу через LinkedIn или иную какую экстремистскую соцсеть пригласить иностранных коллег на стенд 🟥 на конференции GITEX в Дубае?

Ох, как прав был Лавров... Заставь дураков Богу молиться... 🤦‍♂️ Вместо того, чтобы развивать свое, запрещают чужое. Это же проще - росчерк пера ✍️ и можно отчитываться.

#суверенитет

Читать полностью…

Прислал мне 1-го апреля коллега новость, которую я не стал сразу постить, не проверив (все-таки новости от 1-го апреля имеют определенный душок), но теперь можно. В США разворачивается таинственная история с "похищением" или задержанием 🤕 профессора в области кибербеза, криптографии и защиты данных Сяофэна Вана и его жены Няньли Ма. Они оба были увезены в неизвестном направлении сотрудниками ФБР 🇺🇸, которые, наряду с представителями полиции, Минюста и других уполномоченных органов, отказались отвечать на вопросы СМИ по данному делу 👮‍♀️

Особую пикантность делу добавляет тот факт, что профессор Ван был деканом в Индианском университете, который потихоньку подчистил все данные о профессоре и его жене со своего сайта 👩‍🎓 При этом, согласно принятым в США правилам, штатного профессора с такой должности нельзя удалить за 1 день, как было сделано в случае с Ваном, - эта процедура занимает гораздо больше времени 👨‍🎓

Комментаторы к статье на ArsTechnica и на Reddit связывают происходящее с национальностью Вана и его жены 🇨🇳 и говорят, что в последнее время американское правительство достаточно пристально стало присматриваться к американизированным китайцам, особенно в научной среде 🔬 ВУЗ, кстати, тоже отказывается комментировать свои действия и местонахождение своего профессора, отправляя всех на три буквы, то есть в ФБР.

У меня же эта история вызвала ассоциации с фильмом "Индиана Джонс и королевство хрустального черепа" 💀, в котором профессора Джонса агенты ФБР подозревают в шпионаже в пользу Советского Союза, что вынуждает его покинуть университет, в котором он проработал 25 лет. И хотя гонения на Джонса были связаны с процветавшим в то время в США маккартизмом, история с Ваном имеет, как мне кажется, ровно ту же природу, но с поправкой на смену главного врага с СССР на Китай 🇷🇺

В интересное время живем...

#геополитика #суверенитет

Читать полностью…

Рафик Риман выпустил очередную карту знаний и навыков 🗺, которыми, по его мнению, должен обладать CISO. Так как карту осилить может не только лишь каждый, выделено 6 фокусных направлений:
1️⃣ Защита GenAI 🧠 В прошлом году Рафик обращал внимание на то, что CISO должен заняться GenAI, а в этом уже и защитить его. Как по мне, так это скорее должна была быть прошлогодняя рекомендация, а в этом надо уже говорить об ИИ-агентах, о которых Рафик почему-то молчит.
2️⃣ Консолидация средств защиты либо через экосистемный подход (все от одного вендора), либо через зоопарк лучших решений, но при наличии у них нормального развитого API.
3️⃣ Закрытие технического долга ИБ перед бизнесом в виде непатченных дыр и недочетов в архитектуре 🏗
4️⃣ Шифровальщики и киберустойчивость. Что шифровальщики делают в рекомендациях на 25-26-й годы не очень понятно, ну да ладно.
5️⃣ Содержательные метрики. У каждого понятие свое, но мысль Рафика в том, что надо уходить от операционных метрик к тому, что показывает результат для бизнеса. Плюсую 👍
6️⃣ Цифровая гигиена, но не в привычном смысле, а на более продвинутом уровне, - защита API, полная видимость, уменьшение поверхности атаки, снижение сложности, управление подрядчиками. Ну тоже как бы не этого года рекомендация, а прошедших пары лет 🤔

В комментариях к посту с анонсом, среди восторженных восклицаний, пришел один человек и написал: ✍️

This is really #horrifying. And I can understand nobody wants to be a CISO seeing this. I think your knowledge of the function of security management could be used to do the oposite. I'm thinking of Steve Jobs: "Simple can be harder than complex:
You have to work hard to get your thinking clean to make it simple. But it's worth it in the end because once you get there, you can move mountains." I think he's right: it's much harder to make something simple than making it complex - as in your scheme. Nevertheless, I recommend you give it a try.
Your knowledge of security management should have to be sufficient to deliver that.

Переводить, как мне кажется, не нужно - все и так понятно. Год от года карта усложняется 🗺 и в ней все сложнее разобраться и реализовать все написанное. Соглашусь с этим тезисом, но с другой стороны я не вижу варианта решения этой проблемы 🤷‍♀️ В сферу внимания CISO попадает все больше направлений, а значит и знаний должно быть больше.

У Адизеса, в его книгах по типам руководителей, эта проблема очень хорошо описана (правда, в другом контексте) 🧐 Нет руководителя, который бы включал в себя все свойства, которые должны быть. Это значит, что хороший руководитель должен распознать свои сильные стороны, а слабые усилить за счет подчиненных. Так, наверное, и с картой Римана, - не можешь сам, ищи подчиненных, которые "закроют" нужные темы и при этом которым ты доверяешь 🤔

Из этого следует, наверное, интересный вывод 🤔 CISO в некрупной компании, у которого нет в подчинении десятков и сотен людей, вынужден разбираться во всех этих самостоятельно, а значит он, по идее, на голову выше CISO крупной компании (с точки зрения хардскиллов, как минимум). По мере "взросления" и попадания во все более крупные компании, хардскиллы 🤔 уходят и им на смену приходят софтскиллы - компромиссы, умение выстраивать диалоги с бизнесом, командообразование и т.п. Ну или не приходит и тогда большой начальник большой только по должности, но не по знаниям/навыкам/уважению... 😱 Собственно, как и "маленький" CISO не обязательно знает всю карту Римана - он вполне может быть занят операционкой и на все остальное у него просто не хватает времени.

#ciso #тенденции

Читать полностью…

Что-то забыл я написать про новую методику моделирования угроз, про которую прочитал 7-го марта 💐, но потом закрутился и забыл, пока в скринах не наткнулся. Итак, консалтинговая и исследовательская ИБ-компания Trail of Bits анонсировала создание собственной методики, так как им не подошло ничего из десятков существующих подходов 🆕 Назвали ее TRAIL и да, это аббревиатура от Threat and Risk Analysis Informed Lifecycle.

За основу взяли скоростной скоростную оценку рисков от Mozilla 📱, дополнили методикой моделирования угроз NIST SP800-154 и отшлифовали защитными мерами из NIST SP800-53. Ключевое отличие от остальных подходов - скорость и некоторое упрощение для быстрого получения результатов. Фокус TRAIL - на разработке; в остальных сферах применить методику будет сложновато 🧑‍💻 Но адаптировать вполне.

Авторы дают много ссылок, в том числе и на свой репозиторий 📱 с примерами уже разработанных моделей, а также описывают, как сделать процесс оценки угроз не разовым и детерминистским, а непрерывным (ФСТЭК, кстати, в своей методике требует, по сути, тоже непрерывного процесса) ⌛ Правда, полноценного руководства по моделированию Trail of Bits не приводят (возможно, пока). Без этого ценность анонса не очень высока.

#модельугроз #безопаснаяразработка #devsecops

Читать полностью…