Впервые не смог решить капчу 😔, используемую для захода в приложение Кибердома. Успокаивает то, что еще два человека, включая одного работника Кибердома, тоже не смогли 😂

Доказывает ли моя неспособность пройти обратный тест Тьюринга, что я не человек? 😱

ЗЫ. Можете попробовать угадать, кстати, что должно быть в итоге на картинке 🤔

#аутентификация

Читать полностью…

Выступал я тут по весне на конференции CTO Conf X с темой "Как CEO и CFO смотрят на кибербез и как извлечь из этого пользу?!" Вроде все прошло хорошо и организаторы приняли решение о том, что мое выступление надо превратить в статью. Сказано, сделано 📝 Получился лонгрид, так как по сути это вычищенное транскрибированное получасовое видео.

#cxo #статья

Читать полностью…

В зарубежных командировках встречаю такое 🚲 сплошь и рядом, что напоминает нам простую мысль – у любого средства защиты есть свои сценарии применения. А есть те, в которых безопасность ничем не поможет. Защита эффективна тогда, когда ты ее используешь не бездумно! 🤔

В данном случае к самому средству защиты вопросов нет - оно не взломано. Но ущерб владельцу системы нанесен и пользоваться ею он не может. Так и с ИБ бывает. Вроде и есть, но задач не решает, ее обходят не там, где все ждали 🔓 Оценивайте защищенность ДО запуска в прод, а не после.

#аналогии

Читать полностью…

В третьей части видеокурса "Как срывать овации и завоевывать сердца" 👏 я говорю о том, как готовить уже не само выступление (об этом было в прошлой части), а контент к нему. Какого размера должен быть шрифт на слайдах? Какой фон, черный или белый, выбрать и почему? Для можно, а для чего не нужно, использовать ИИ при подготовке презентаций 🤖

ЗЫ. Первая часть тут, а вторая тут.

#видео #выступление #спикер #презентация

Читать полностью…

Какая-то черная полоса пошла... Еще и сайт под американские санкции попал ❌ Наверняка хостер звиздит, но от этого не легче. Результат-то один – сайт не доступен. Сейчас пытаюсь все восстановить и перенести на новый домен. Но хоть какое-то (от|раз)влечение. Какое-то время это займет, в зависимости от того, когда я вытащу все последние бэкапы от хостера и закину на новый домен... 👨‍💻

ЗЫ. А самое неприятное, что в России так и не появилось адекватной альтернативы Managed CMS, когда хостер берет на себя вопросы безопасности, обновления и вот это вот все. Грустно ☹️

#санкции

Читать полностью…

Творческий подход к делу борьбы с выгоранием от бесконечного числа сигналов тревоги в SOC 🤯 И без этих ваших ИИ-агентов, которым лучше предусмотреть более интересное и полезное применение. Желаемого результата в снижении числа ложных срабатываний можно достичь и более простым способом 🤔

#soc

Читать полностью…

Бывает так, что при жизни ты становишься легендой. Классикой. Классиком. Пусть уж феминизм решит, как тебя склонять – дело не в окончании, а в том, что ты стал ориентиром для многих. Тебя цитируют. Тебя приглашают. Тебя вспоминают с теплотой – за твою честность, за твою позицию, за твою помощь. Как первый компьютер, открывший глаза на окружающий мир.

Но внутри тебя пустота. Ты уже не горишь. Не рвёшься. Не хочешь менять мир – тебе и так все хорошо. Ты даже перестаешь поддерживать свой профессиональный уровень. Ты спёкся. Как тесто, оставленное слишком долго в духовке: снаружи хрустящая корочка репутации, а внутри – сухо, плотно, безвкусно.

Тебя еще зовут – не за новые идеи, не за дерзость, не за правду, не за дерзновение. А "по традиции", "по заслугам", "по статусу". Как кубок, выигранный в детстве, и поставленный на самом видном месте в шкафу, чтобы стоял и напоминал: "Вот, когда-то мы были круты".

И ты прибиваешься к мероприятиям – таким же, как ты. Классическим. Устоявшимся. Бессмысленным. Где все хлопают по команде, как на партийном съезде, никто не задает неудобных вопросов, а аплодисменты – это не восхищение, а вежливость. Ты – часть декора. Часть ритуала; но пока не ритуальной процессии. Даже не велотренажер, который еще крутится, но уже никуда не движется, а просто вешалка для пиджака.

А ведь когда-то ты был глыбой. Теперь – кучка песка у рассохшегося шкафа с полками, заполненными потускневшими наградами и выцветшими грамотами и дипломами.

Легенды не всегда уходят в небытие. Часто они остывают и застывают. И самое страшное – не когда тебя забывают. А когда помнят… но уже не ждут от тебя ничего нового.

#рефлексия

Читать полностью…

Второе из выступлений на "КибеРИТорике" было посвящено теме оценке потерь от инцидентов, которая помогает уйти от просто "негативных последствий", "неблагоприятных последствий" и даже "недопустимых событий" в сторону конкретных цифр, причем правильных цифр, понятных CFO 🤑 Конечно, там где руководство просит «покажите мне деньги».

Помните историю с той же UnitedHealth Group? При первоначальных потерях в 22 миллиона выплаты выкупа вымогателям, итоговая цифра составила больше 3 миллиардов долларов. Так что делаем выводы, покупаем калькулятор с большой разрядностью и вперед, вспоминать арифметику и погружаться немного в корпоративные финансы. Это полезное знание 🤔

ЗЫ. Да, картинки на морскую тематику. Где же еще их показывать, как не на гранитных берегах, окаймляющих державное течение Невы, в Петра твореньи?!

#ущерб #презентация

Читать полностью…

⚠️ На этом месте был другой пост, но я там накосячил жутко и поэтому решил его заменить. Спасибо тем, кто ткнул меня носом в мою невнимательность!!

Агентство CISA выпустило очень интересный инструмент – Eviction Strategies Tool. По сути это онлайн-ресурс для специалистов по управлению инцидентами, предлагающий поддержку на этапах сдерживания и изгнания нарушителей из инфраструктуры. Состоит он из двух ✌️ частей:
6️⃣ Playbook-NG – веб-приложение для создания сценариев реагирования на инциденты. Пользователь вводит TTP согласно MITRE ATT&CK или просто текстовое описание (русский не поддерживается) и получает рекомендованные действия по отражению данной техники. Playbook можно экспортировать (JSON, Word, Excel, Markdown) и позже снова загрузить для обновлений.
2️⃣ COUN7ER — база атомарных мероприятий, соответствующих TTP и позволяющих отражать конкретные техники. Каждая запись содержит:
➡️ цель (Intended Outcome)
➡️ подготовительные шаги (Preparation)
➡️ риски (Risks)
➡️ методику реализации (Guidance)
➡️ альтернативы и ссылки на стандарты (MITRE ATT&CK, D3FEND, CWE)
В базе содержится более 100 тщательно отсмотренных и регулярно обновляемых мер защиты.

По сути речь идет о надстройке над матрицей MITRE, сфокусированной не на описании хакерских техник, а на их борьбе с ними. Это позволяет достичь ряда преимуществ:
6️⃣ Ускоряет создание персонализированных планов реагирования на инциденты.
2️⃣ Playbook-NG подходит как для реального применения, так и для подготовки штабных киберучений.

CISA утверждает, что инструмент фокусируется на принципе "eviction" (англ. "выселение"), то есть на изгнании злоумышленников из скомпрометированной инфраструктуры, а не просто на нейтрализации технических артефактов. Хотя я не очень понял, чем это отличается от обычных мер реагирования на инциденты. Но маркетинг есть маркетинг; особенно в условиях, когда до конца непонятно, останется CISA или его расформируют или снова срежут бюджеты.

ЗЫ. Инструмент доступен по MIT-лицензии (MIT Open Source License).

#mitre #управлениеинцидентами

Читать полностью…

Психологический портрет типичного потерпевшего от дистанционного хищения изменился. В настоящее время это социально активный гражданин в возрасте 30-70 лет, имеющий постоянную работу. Такой человек имеет активную жизненную позицию, лояльно относится к государству и готов оказывать содействие. Кроме того, он часто является финансово грамотным, имеет накопления и положительную кредитную историю. В связи с этим, пояснили в министерстве, преступление в отношении такого человека часто начинается с сообщения от имени его руководителя.

Таков психологический портрет типичной жертвы дистанционных мошенников по версии МВД 🔫 И эта картина немного отличается от привычного образа, который мы рисуем, слушая рассказы о пострадавших пенсионерах. Классическая ошибка выжившего - мы судим о проблеме только по публичным историям, а МВД, рисуя психологический портрет, видит всю картину целиком. Отсюда такие отличия 🎭

И выводы - посмотрите по сторонам, ваши друзья и коллеги, ваши близкие, – именно они могут стать жертвами мошенников 🥷 А если вы сейчас находитесь один, то посмотрите в зеркало, – там вы тоже увидите потенциальную жертву. А значит недооценивать эту проблему в рамках программы повышения осведомленности ИБ среди работников не стоит. Поверьте, даже в ИБ-компаниях есть те, кто попадается на удочку мошенников; что уж говорить о рядовых гражданах 🤔

#мошенничество #психология

Читать полностью…

Сел я как-то в тишине, да как подумал... 🤔 и в итоге я решил, что в свет нужно нести не только идеи результативной кибербезопасности, но и результативных выступлений о кибербезопасности. Решено – сделано. Записал мини-курс о том, как готовить выступления и как собственно выступать, в формате видео и залил первую часть на YouTube (18 мин). Если зайдет и будет реакция, то выложу все остальное. Не зайдет, тоже выложу (работа-то проделана), но попозже. Про сам внутренний 🟥 курс я уже писал раньше. Он не про то, как пользоваться PowerPoint или LibreOffice, – он именно про сами выступления и как сделать так, чтобы срывать овации и зажигать сердца, что требует определенной подготовки в прямом и переносном смысле. Но зато потом результат на лицо.

❗️ Да, кстати, курс бесплатный, без регистрации.

ЗЫ. Почему YouTube 📱, а не ВК Видео или RuTube? Потому что workflow работы с Youtube у меня налажен и все плейбуки для этого есть и отработаны. А вот для отечественных видеохостингов я таким не занимался. Не факт, что они (все или часть) выживут. "Убийцу Википедии", Большую российскую энциклопедию, на которую потратили 1.7 миллиарда рублей, вон, ликвидируют (и еще 300 миллионов потратят на ликвидацию). Может и не все наши видеохостинги выживут ®️ Так что подожду пока туда выкладывать. Хотя, если честно, то просто лень заводить там аккаунты.

#видео #выступление #спикер #презентация

Читать полностью…

Даже без геополитической балканизации Интернета, к которой все идет, когда государства сами опускают виртуальный железный занавес на своих границах, связность Интернет все чаще страдает от перерезаний обрывов подводных Интернет-кабелей 🚠

Вчера стало известно о новых «обрывах» ✂️, которые повлекли за собой проблемы в Пакистане и Индии, а также на Ближнем Востоке. Деградировала из-за этого и часть сервисов Microsoft. В диверсии подозревают хуситов, которые так мстят Израилю за сектор Газа 🔪

Это все к разговору о модели угроз, если ваш бизнес осуществляется в азиатском и ближневосточном регионе.

#геополитика #Интернет #модельугроз

Читать полностью…

Я безусловно 👌 положительно оцениваю желание регулятора знать текущее состояние защиты информации своих подопечных. Но хорошо, что я таковым не являюсь, а то я бы в ответ на запрос спросил, как можно просить отчитаться до конца сентября 2025 года, ссылаясь при этом на приказ, вступающий в силу только весной 2026 года 😮

ЗЫ. Спасибо подписчику за присланный документ, фрагмент которого выше.

#оценказащищенности #регулирование

Читать полностью…

Ну что, взломан еще один удостоверяющий центр - французский CertEurope 🇫🇷 Если верить хакеру, то он украл из скомпрометированной инфраструктуры драйверы и ПО для управления защищенными смарт-картами и USN-ключами, а также сертификаты 🔓 (.crt, .der), связанные с французскими организациями, включая и CertEurope и Certigreffe. Также утекли и всяческие документы 📃, ПО, мануалы и др.

Хорошо что в России УЦ не ломают и на профильных мероприятиях можно обсуждать самые актуальные темы в области PKI 🤔 - результаты работы экспертного совета Минцифры по электронной подписи, способы ведения статистики по деятельности УЦ и много других полезных тем. Про пошатнувшееся доверие к инфраструктуре PKI все вспомнят только тогда, когда на вечерней программе упадет с караоке-сцены набравшийся гендиректор очередного УЦ 🍷

#инцидент #pki

Читать полностью…

Коллеги запостили традиционную пятничную порцию DevOpsных мемасиков, а я утащил у них один, про ИБ 😎

#юмор

Читать полностью…

А что, если роман-бестселлер про страсть, власть и подчинение происходил бы не в спальне, а в дата-центре? Представьте…

"Она – юная, дерзкая пентестерша с глазами, полными искр любопытства, и пальцами, способными играть на клавиатуре, как рок-звезда на гитаре. Анастейша Стилс живет в мире кода и уязвимостей, где каждое нажатие клавиши – вызов. Ее работа – защищать. Но впервые ей предстоит взламывать не только системы.

Он – Кристиан Грейс, властный CEO "ГрейТек", чья цифровая империя держится на железной дисциплине и непроницаемых стенах. Его компании доверяют миллионы. Его правила не знают исключений. Его слово не терпит возражений.

Он нанимает ее. Сначала – обычный аудит. Легко. Играючи. Но быстро становится ясно: он хочет большего. Глубже. Жестче. Опаснее. Он ведет ее за собой в мир, где каждое нарушение правил – испытание, каждая граница — искушение. Он просит ее ломать то, что другие боятся даже трогать. Проникать туда, куда не заглядывал еще ни один человек. Нарушать границы – не только технические, но и этические.

Она взламывает сервера, подменяет ключи, проникает в самые темные уголки его сетей – и каждый раз чувствует на себе его взгляд. Он направляет ее, проверяет, поощряет и наказывает. Она соглашается. Не из страха. Из любопытства. Из-за жажды вызова. Из странного, пугающего влечения к его цифровой тирании. Между ними рождается контракт, в котором власть – это доверие, а подчинение – это свобода.

С каждым новым заданием Анастейша погружается все глубже и понимает: настоящая игра происходит не на экранах, а между ними. Там, где белое и черное стирается, оставляя лишь бесконечные оттенки серого – оттенки власти, желания, запретных фантазий и опасных признаний.

Она боится. Она жаждет. Она ненавидит. Она влюбляется. И уже не понимает, где заканчивается тест на проникновение – и начинается проникновение в ее душу.

Потому что самые опасные уязвимости скрываются не в коде. А в сердце."

"50 оттенков между черным и белым". Роман о том, как легко потерять контроль, если однажды разрешить другому проникнуть слишком глубоко.

Вы прочитали аннотацию… к книге, которой пока нет. Но которая могла бы быть. Купили бы такую книгу?

#книга

Читать полностью…

В детстве я зачитывался 📖 Джеком Лондоном, его "Морским волком", историями про Смока Белью (этими особенно) и другими романами и рассказами, прославляющими Аляску (а я всегда любил север), походный быт, испытания и вот это вот все. Конечно, была среди этих произведений и "Маленькая хозяйка большого дома", которая оставила в неокрепшей на тот момент юношеской дуще неизгладимое впечатление 😍

Перечитывая все это на днях, вдруг понял, что можно вернуться к заметке о выборе ✂️ девушки CISO меж двух статных красавцев MDR-провайдеров и добавить еще один возможный, но совсем уж пессимистичный сценарий, который в прошлой истории никак не был учтен. Там у героини, точнее у CISO (все смешалось и уже и не поймешь, то ли эти заметки про имеющиеся дилеммы в ИБ, то ли в жизни, и где проходит водораздел), есть выбор: одного, обоих или никого 🪨 Но у Джека Лондона все иначе – "Маленькая хозяйка большого дома" обрывается трагедией: девушка погибает, и остается лишь пустота 😵

Так бывает и в кибербезопасности. Два MDR-провайдера ведут ожесточенную борьбу за сердце CISO ⚔️: обещания, красивые презентации, маркетинговые войны. В этот момент внимание уходит от главного – защиты самой компании. И вот он, трагический финал: в разгар соперничества компанию CISO взламывают. Утечка данных, остановка бизнеса, судебные иски, репутационные потери. Вместо выбора "ухажера" CISO остается с пустыми глазами и пустыми счетами 😵 "Девушка" не выбирает никого – ее просто больше нет. Вместо брачного венца – траурная лента. Вместо будущего – банкротство компании. А оба MDR стоят в стороне – с осознанием, что их борьба за контракт лишила их того, ради чего все это было 😵

Это и есть самый страшный финал: когда борьба за внимание превращается в самоцель, в танец на краю бездны ☠️ Победителей нет, есть только обломки надежд и тишина после падения. И, может быть, стоит спросить себя: ради чего был весь этот бал? 🤔

#рефлексия #mdr

Читать полностью…

Прошедшая ночь прошла весело 🌙 – восстанавливал сайт, который внезапно попал в санкционные списки, о чем хостер забыл меня предупредить и это стало сюрпризом в момент моего решения написать заметку про бессмысленность блокировок мобильного Интернета для защиты от дронов 🛸 и про возможные способы обхода таких блокировок (это уже мои фантазии на тему моделирования угроз) при включении схемы с белыми списками.

Собственно именно белые списки и сподвигли меня покопаться в этой истории и даже вспомнить свою воинскую учетную специальность по РЭБу. Сайт я восстановил на новом домене, хотя и пришлось покопаться в базе SQL, конфигах CMS, настройках SSL и др. Но тестирование продолжаю 🖥, хочу быть уверенным, что все перенеслось корректно и все работает, как было. Публикация запланированной статьи из этой серии тестов.

ЗЫ. Если вдруг, что заметите, то сообщайте.

ЗЗЫ. Перенаправление со старого домена на новый буду еще настраивать. Пока, вроде, все старые ссылки в блоге не работают 👨‍💻

#суверенитет #модельугроз

Читать полностью…

После моего выступления на мероприятии по кибербезу ко мне подошла девушка и немного смущаясь произнесла: "Вы были у меня первым". На секунду я даже растерялся, но тут же последовало уточнение: "С ваших лекций я начала заниматься ИБ".

Почему-то (хотя понятно почему) вспомнился "Маленький принц" Сент-Экзюпери. Мы ведь действительно становимся в ответе за тех, кого вдохновили. Каждое слово, сказанное со сцены или написанное в посте, в статье, в книге, может стать для кого-то началом пути.

Вот почему у меня не получается "взять паузу" или "перестать". Потому что это уже не просто про лекции и выступления. Это про людей, которые услышали, поверили и сделали первый шаг. И ради этого шага всегда стоит продолжать. Идти дальше, туда где живет понимание: ты уже не просто рассказываешь – ты меняешь мир вокруг себя. Меняешь тех, кому ты когда-то сказал: "Попробуй".

Это не про славу. Это про след. Про то, что если ты начал кого-то вести, даже не думая об этом, – нельзя просто взять и уйти. Потому что за каждым "вы дали мне толчок" – чья-то работа, чья-то жизнь, чье-то будущее.

Именно такие моменты не дают мне бросить то, чем я занимаюсь. Не ради аплодисментов. А ради тех, кто еще не подошел, не сказал, не поблагодарил. Но услышал. И поверил. Потому что я не замолчал. И даже если бы ко мне подошел только один человек, а их на самом деле гораздо больше, это было не зря.

#рефлексия

Читать полностью…

✨ Алиса сидела на полу в холле большого офисного здания, скучая от рассказов старшей сестры про какой-то новый 117-й приказ. Внезапно мимо пробежал симпатичный администратор – в наушниках, с кружкой кофе и… с хвостиком сетевого кабеля, торчащим из кармана.

Любопытство – не порок, а двигатель любого хакера чуда. Алиса встала и пошла за ним. Он юркнул в незаметную дверь, и прежде чем она успела подумать что-нибудь вроде: "А это точно безопасно?", шагнула следом. Она оказалась в… серверной.

Это была не просто комната с машинами. Это была волшебная, жужжащая, мигающая сказка. Высокие стойки с серверами тянулись до самого потолка, кабели переплетались, как лианы, и в воздухе витал аромат озона, а ветерок от системы охлаждения приятно развевал новое платьице цвета малахита. А самое главное – на каждой стойке, на каждом экране, на каждом устройстве сияли странные надписи...

Читать полностью…

А вот и вторая часть (https://www.youtube.com/watch?v=00Yw6srdZH8) видеокурса "Как срывать овации и зажигать сердца" 👏, посвященная подготовке к выступлению – формулировке своих целей и желаемых результатов, изучению аудитории слушателей, формированию плана выступления и т.п. Дана формула названия выступления, захватывающего внимание слушателей 📱

ЗЫ. Первая часть тут.

#видео #выступление #спикер #презентация

Читать полностью…

А вы знаете, как объяснить своим родным и близким, где вы работаете?.. 🤔

#юмор

Читать полностью…

Что день грядущий мне готовит?
Его мой взор напрасно ловит,
В глубокой мгле таится он.
Нет нужды; прав судьбы закон.
Паду ли я, стрелой пронзённый,
Иль мимо пролетит она,
Всё благо: бдения и сна
Приходит час определённый;
Благословен и день забот,
Благословен и тьмы приход!

Блеснёт заутра луч денницы
И заиграет яркий день;
А я, быть может, я гробницы
Сойду в таинственную сень,
И память юного поэта
Поглотит медленная Лета,
Забудет мир меня; но ты
Придёшь ли, дева красоты,
Слезу пролить над ранней урной
И думать: он меня любил,
Он мне единой посвятил
Рассвет печальный жизни бурной!..

Почему-то именно эти строки ✍️ из "Евгения Онегина" мне пришли в голову, когда я готовился к своему первому выступлению на "КибеРИТорике" в Питере ⛵️, куда я нагрянул одним днем. Посвятил рассказ тенденциям в мире кибербезопасности. Так и назвал рассказ: "Что год грядущий нам готовит?" (надеюсь Александр Сергеевич не будет против). Получилось местами апокалиптично, но, видимо, настроение такое было ☹️

#тенденции #презентация

Читать полностью…

Ровно 9 лет назад жизнь владельца этого замечательного канала могла трагически прерваться, так и не дождавшись его запуска. Я просто стоял на повороте за этим автобусом. Не будь его, я бы сейчас здесь не писал. Это лишний раз заставляет задуматься о том, насколько мы (само)уверены в своих технологиях, если запускаем беспилотные трамваи на Северо-Западе Москвы, беспилотные грузовики на М-11 и М-4, и вот это вот все…

Да, алгоритмы сегодня точнее, чем люди. Они просчитывают траектории, анализируют терабайты данных, реагируют через компьютерное зрение и даже "учатся" на наших ошибках. Но в тот момент меня спас не алгоритм бортового компьютера, а случай. И вот тут возникает вопрос: а можем ли мы полностью положиться на технологии, если сама жизнь все равно остается непредсказуемой?

Такая память о хрупкости жизни не дает отмахнуться: завтра может не наступить. И если все можно потерять в одно мгновение, то зачем мы тратим время на бесконечные "потом"? Потом поеду в путешествие. Потом позвоню близким. Потом признаюсь в чувствах. Потом напишу книгу. Потом займусь проектом, которым горю. Но это "потом" может и не наступить.

Технологии двигают нас вперед. Но смысл – не в том, чтобы просто довериться беспилотному будущему. Смысл – успеть прожить эту жизнь так, чтобы даже случайный автобус не застал врасплох. И ловить каждый ее вдох – всей грудью. Делать полезное, важное, живое. Здесь и сейчас. Чтобы оставить свой след.

Мы строим мир, где все больше решений принимают алгоритмы. Но они не знают, что значит проснуться утром и почувствовать запах кофе, услышать детский смех или обнять родного человека. Они не знают, что значит мечтать и откладывать мечту на завтра. И если жизнь может оборваться в одно мгновение, то, может быть, стоит доверять не только "умным системам", но и себе – своим желаниям, своим близким, своим маленьким шагам. Потому что именно они делают жизнь настоящей.

#рефлексия

Читать полностью…

Мне часто пеняют, что я топлю против антивирусов 👎 и вот это вот все. Ну так нет и вот вам очередное доказательство. Huntress пишет про нового игрока на сцене ransomware – Cephalus, который впервые зафиксирован в июне 2025 года (по данным InsecureWeb), а активная деятельность зарегистрирована с середины августа.

Первичное проникновение осуществляется через небезопасные учетные записи RDP без MFA (пока ничего нового). После проникновения злоумышленники использовали облачный сервис MEGA для выкачивания данных. Но главная особенность атаки в другом – она использует легитимный процесс EDR от компании SentinelOne, файл SentinelBrowserNativeHost.exe, имеющийся в папке "Downloads", запускается и загружает DLL SentinelAgentCore.dll, которая в свою очередь выполняет файл data.bin, содержащий код шифровальщика 😷

То есть DLL sideloading (подмена DLL) осуществляется через легитимное ПО кибербезопасности, а именно EDR от SentinelOne, и в этом и кроется проблема 👀 Легитимные процессы EDR или антивируса подписаны и защищаемая система им доверяет. Их запуск редко вызывает тревогу, поэтому подмена DLL, находящихся с ними в одном каталоге, дает злоумышленникам привилегированный "инструмент проникновения".

SOC и SIEM часто исключают исполняемые файлы средств ИБ из мониторинга (whitelisting), что превращает их в "идеальные контейнеры" для скрытого кода 📦 DLL sideloading - это почти атака на цепочку поставок, но внутри рабочей станции. И здесь речь не про внешний софт, а про само решение ИБ, которое становится каналом для развития атаки.

Пояснение: DLL sideloading - это техника, при которой злоумышленник размещает вредоносную 🦠 динамическую библиотеку (DLL) в таком месте, откуда легитимное и доверенное приложение загрузит ее вместо оригинальной, чистой DLL, следуя определенному порядку поиска dll в операционной системе 📱 Это позволяет выполнить вредоносный код под видом и с правами этого доверенного приложения.

Что делать для защиты? Мне видится следующий список возможных мер (реализация зависит от конкретного средства защиты и его архитектуры):
6️⃣ Zero Trust и для агентов средств ИБ. Процессы EDR/AV не должны иметь исключений в мониторинге. Логика "раз это агент защиты – ему можно все" опасна и приводит к зафиксированным Huntress проблемам (у российских средств защиты были схожие проблемы, о чем уже писал НКЦКИ).
2️⃣ Целостность кода. Включение механизма Windows Defender Application Control (WDAC) или Linux Integrity Measurement Architecture (IMA), чтобы DLL могли загружаться только из доверенных путей и с подтвержденной подписью.
3️⃣ Политика "чистой загрузки". Любая папка "Downloads" или временные каталоги должны быть запрещены для исполнения доверенных процессов. В Cephalus именно там оказался exeшник SentinelOne.
4️⃣ Поведенческий белый список. Если процесс защиты вдруг запускается из нетипичного места, это должно детектироваться (например, бинарник SentinelOne в "Downloads").
5️⃣ Защита в процесс исполнения. Проверка целостности бинарей агентов защиты во время работы (например, по хэшам или сигнатурам).
6️⃣ Внедрение перекрестного мониторинга EDR/AV/EVC/NGAV. Независимые агенты должны следить друг за другом, но это дороговатое удовольствие, которое частично можно заменить мониторингом на уровне сети (NTA/NDR, привет) или на уровне логов ОС (привет, SIEM).
7️⃣ Включить в правила SOC проверку гипотезы по DLL sideloading с акцентом на бинарники средств защиты.
8️⃣ Прогнать Red Team именно по сценарию "несанкционированная эксплуатация средств защиты", чтобы увидеть, какие процессы реально запускаются без проверки.

Так что нет ничего невзламываемого и того, чему можно доверять; EDR не исключение. Хотите адекватную защиту? 🛡 Используется набор защитных технологий и, уж как минимум, добавьте к EDR еще NTA/NDR и SIEM; эта триада поможет вам детектить то, что пропускается каждым средством защиты по отдельности 🤔

#проблемыибкомпаний #ransomware #средствазащиты

Читать полностью…

Именно сейчас, когда в Москве наступило полное лунное затмение, хакеры вписались за Камбоджу 🇰🇭, создали очередной альянс, и начали громить Таиланд 🇹🇭 в киберпространстве. Вообще на государство ополчились не только кхмеры, недавно оно имело конфликт с Бирмой, то есть Мьянмой, по кибервопросам.

Вот так лежишь на песочке 🏝, смотришь на мужиков, переделанных в тёток, слышишь кряхтение массажистки за соседней пальмой 🌴, ждешь, когда послышится знакомое: «Раки, чурчхела, горячая кукуруза», хотя нет, последнее на другом пляже, где скоро Инфоберег начнется. А в это время, в киберпространстве разворачивается жесточайшая азиатская кибербитва ⚔️

ЗЫ. С этими постоянно переименуемыми названия азиатских и африканских стран сам черт ногу сломит 😵‍💫 Вот была же Кампучия раньше. Нет, давай ее в Камбоджу переименуем. Бирму в Мьянму, Дагомею в Бенин, Верхнюю Вольту в Буркина-Фасо, Берег Слоновой Кости в Кот-д’Ивуар… Раньше мог назвать все государства с их столицами; сейчас уже фиг 🖕 Наверное…

#хакеры

Читать полностью…

Помимо Palo Alto и ZScaler от компрометации 🔓 Salesforce через Salesloft Drift пострадали и иные ИБ-компании, признавшие факт инцидента и опубликовавшие у себя на сайте детали: 👨‍💻
➡️ Elastic
➡️ CyberArk
➡️ Cato Networks
➡️ Bugcrowd
➡️ Tenable
➡️ BeyondTrust
➡️ Rubrik
➡️ Proofpoint
➡️ Tanium
➡️ SpyCloud
➡️ Cloudflare
➡️ список не финальный и будет пополняться…

И в суд на тех, кто раскрыл инцидент и кто пишет о нем, никто не подавал 🙂

#инцидент #облака #проблемыибкомпаний

Читать полностью…

Помните то ощущение из детства, когда у вас был лучший друг – не разлей вода, с которым вы делили последнюю жвачку и секреты, с которым можно было и в огонь, и в воду? И вдруг, как гром среди ясного неба, выясняется: вы оба влюблены в одну и ту же девушку. Сердце замирает, внутри все клокочет. Бессонные ночи, терзания "а вдруг она выберет его?", горячие споры, ссоры на пустом месте, ревность, горькие обиды и примирения… Иногда это перерастало в молчаливую холодную войну, а иногда – в благородное решение "пусть он будет счастлив, я сохраню дружбу".

Прошли годы, но ведь сюжет почти не изменился. Только теперь "девушка" – это заказчик, а вы – не школьники, а взрослые MDR-провайдеры. Еще вчера ваши аналитики дружили: приглашали друг друга на митапы, делились индикаторами компрометации, смеялись вместе над смешными кейсами у заказчиков. И вот на горизонте появляется красивая, солидная фигура – крупный заказчик. Все взгляды прикованы к нему, и начинается битва за его "руку и сердце" – бюджеты и контракты.

☀️ Один MDR играет роль блестящего ухажера: обещает ультрасовременные технологии, машинное обучение, глобальную аналитику и "ИИ, который все видит".
🌙 Второй MDR выступает надежным другом "семьи": ставка на опытных аналитиков, глубокую экспертизу и готовность плечом к плечу защищать заказчика.

И, как в юности, развязка у такого любовного треугольника может быть разной:
6️⃣ CISO делает выбор в пользу одного. Второй остается "отвергнутым другом" и может:
➡️ вспыхнуть ревностью, затеять маркетинговую войну ("вы выбрали не того!") или даже пойти в суд ("тендер проведен нечестно");
➡️ или, напротив, сохранить лицо и дружбу – "пусть мы проиграли, зато сможем стать партнерами или субподрядчиками".
2️⃣ CISO пытается "оставить обоих". Но, мы живем не в голливудском блокбастере "Пёрл Харбор", который и навел меня на мысль этой заметки, и не в порнухе про полиаморию. Как и в школьных романах, это редко заканчивается счастливо: начинается путаница, ревность, вечные конфликты и усталость от борьбы.
3️⃣ CISO остается "одинокой и независимой девушкой". Разочаровавшись в ухажерах, он решает: "А зачем мне это все? Лучше соберу SOC внутри компании". И оба MDR остаются ни с чем.

В детстве все казалось проще: дружбу можно было спасти мороженым или вкладышами от жвачки. А во взрослой жизни ставка выше – бюджеты, контракты и безопасность бизнеса. И только вопрос остается тем же: "Кого выберет она?" И еще один, более глубокий: "Чему для вас важнее быть верным – дружбе, амбициям или себе?"

#рефлексия #mdr

Читать полностью…

Вот смотришь заголовки в почте, а там очередное судебное разбирательство... 🧑‍⚖️ И только вчитавшись, понял, что я не обвиняемый, а пострадавший от нарушения американского законодательства о персональных данных. Forbes разгласил, вроде как, мои ПДн после посещения их сайта. Выдохнул... 👌 Но вчитаюсь внимательно, вдруг и правда денег обломится и можно будет вписать себя в жертвы демократичных западных СМИ 🪓

#ответственность #персональныеданные

Читать полностью…

Продолжим про влияние климата на кибербез. 🟥 же активно осваивает разные регионы Земли и за последнее время я побывал и в Южной Америке, и в Юго-Восточной Азии, и на Ближнем Востоке. Какие особенности ИБ (не продаж) есть в этих регионах с технической и организационной точки зрения? 🤔

Юго-Восточной Азии 🌏 присуща высокая влажность, сезонные тайфуны и наводнения. Значит нужно учитывать отказоустойчивость ЦОДов и сетевого оборудования (коррозия, перебои с электричеством, отключения интернета). При этом в регионе сильная зависимость от сетей мобильной связи 📡, которые в некоторых странах работают даже лучше фиксированной. Это влияет на архитектуру построения защищенных каналов связи и резервирование. Достаточно высокая ротация персонала и зависимость от аутсорсинга. Наконец, в регионе представлено множество языков и письменностей, в т.ч. с нелатинскими алфавитами (тайский, бирманский, кхмерский), что создает трудности при локализации интерфейсов и обучающих материалов (если такая задача стоит) 🏝

Латинская Америка – это тропики с высокой влажностью, землетрясения (Чили, Мексика), сезоны ураганов (Карибы, Центральная Америка), а значит требуется учет катастрофоустойчивости ИБ-решений 🇧🇶 В странах региона нехватка специалистов и высокая миграция кадров (утечка мозгов в США и Европу). Это влияет на стабильность функционирования сервисов SOC и центров Threat Intelligence. Языки - испанский 🇪🇸 и португальский; они обязательны для локализации. Английский часто используется на официальном уровне, но не всегда реально понимается на операционном уровне (сам постоянно сталкивался во время командировок).

Ближний Восток 🕌 характеризуется экстремально высокими температурами (летом выше +50°C) и пыльные бури, а значит растут риски для ЦОДов и оборудования, необорудованного системами кондиционирования. Ислам как фактор организации труда, - это не фантастика. Намаз 🧎 пять раз в день реально влияет на график SOC и его операторов (в некоторых странах ЮВА та же картина). В месяц Рамадан – изменение ритма работы и продуктивности (день → сонный, ночь → активный). Арабский язык (справа налево) может ломать привычные интерфейсы и отчетные формы. Высока доля мигрантов-специалистов в ИТ и ИБ (из Индии, Пакистана, Филиппин). Это создает языковые барьеры, культурные различия в команде и повышенный риск инсайдерских угроз 🇦🇪

Так что выходя в иные регионы со своими решениями ИБ (продуктами и сервисами) стоит перестать следовать эгоцентричной позиции 🤪 и начать смотреть не только на то, сколько сигнатур у вас в IDS и антивирусе, сколько EPS у вас поддерживает SIEM, и какие красивые иконки у вас в UI у EDR. Климат 🏝, культура и религия, языки, социальные факторы, инфраструктурные особенности... Это то, что нужно также оценивать в других регионах, отличных от России.

#архитектура

Читать полностью…