С упоением слежу за творчеством представителей одной питерской, широко известной в узких кругах, высшей школы по ИБ 🧠, известной по применению кротовых нор для поиска уязвимостей и проведению пентестов в национальном масштабе, фракталов, мультифракталов, вейвлетов и фильтра Калмана для обнаружения атак SYN Flood, а также выявлению аномалий в IoT на основе гиперкуба 😮 И вот новая инновационная технология – интеллектуальная система адаптивной защиты от сетевых атак на основе реконфигурации сети.

Не знаю, помните 🧠 ли вы (скорее всего нет), но в конце 90-х в США один бывший россиянин запатентовал систему динамической и практически непрерывной смены IP-адресов для защиты от атак. С тех пор на эту технологию перешли... никто, так как поддерживать эффективную маршрутизацию трафика в таких условиях практически невозможно 📇

И вот, спустя почти 30 лет, к схожей идее решили вернуться на брегах Невы, дополнив технологию искусственным интеллектом 🧠 Авторы предлагают за счет обучения с подкреплением генерить множественные топологии сети и изменять пропускную способность каналов связи, что по мнению авторов должно привести к кардинальному снижению опасности проведения DDoS-атак. Было даже посчитано значение этого снижения – 46% (почему не 146%?) 🛡

Все, атаки побеждены, критики посрамлены, хакеры остановлены, русская научная школа торжествует, диссертации пишутся, степени присваиваются... И пофигу, что на практике это все не работает. Впереди ждут новые гранты... 🤑

ЗЫ. Авторы считают, что сеть с 320 устройствами – это большая инфраструктура 🤦‍♂️

Читать полностью…

Как-то так, да...

#инцидент

Читать полностью…

Министерство госбезопасности КНР 👲 в своем канале в WeChat обвинило АНБ США в том, что оно в течение длительного времени проводило атаки против National Time Service Center (NTSC), института Академии наук КНР, обеспечивающего эталонное время и его распространение в Поднебесной 🐉

Предположительно начиная с 2022 года АНБ 🇺🇸 якобы "эксплуатировало уязвимость" в сервисе обмена сообщениями одного иностранного бренда смартфонов (какой именно бренд был использован неизвестно), чтобы получить доступ к мобильным устройствам сотрудников NTSC 📱 В период 2023–2024 годов была проведена серия атак (до 42 инструментов кибероружия, по словам Китая) на внутренние сети института и на "высокоточную наземную систему времени" ⏱

МГБ предупреждает, что Центр времени обеспечивает синхронизацию времени 🕙 для широкого круга критических инфраструктур: связь (PTP), финансы (биржевые временные метки, высокочастотный трейдинг), энергетика (синхронизация, PMU), транспорт, ИБ (регистрация и корреляция событий ИБ, PKI/Kerberos). Нарушение могло привести к каскадным эффектам. Китай 🇨🇳 утверждает, что располагает доказательствами, но пока не опубликовал их публично (возможно, ждут грядущих торговых переговоров Си и Трампа, что грозит очередным витком напряженности). При этом Китай критикует США за "двойные стандарты" – обвиняет США в том, что они сами ведут подобные операции и затем обвиняют Китай 🐲

ЗЫ. А вы защищаете свои сервисы от атак на службы точного времени? 🤔

#инцидент

Читать полностью…

Пришли тут ко мне в личку солидные люди в черных пиджаках 😕 и говорят, мол, Алексей Викторович, негоже лить воду на мельницу врага, раскачивать лодку и дискредитировать власть. Да и вообще, в наше неспокойное время, мы должны все как один встать плечом к плечу дабы не посрамить и бла-бла-бла... 🧐

И вот что я хочу на это все сказать. Нет, не про то, что дискредитировать можно только то, что еще себя само не дискредитировало. Я же про кибербез только тут пишу. Так вот мне, если честно, глубоко фиолетово на то, что там утекло или не утекло у ООО "Коммуникационная платформа". Инциденты происходили, происходят и будут происходить. Все, что может утечь, утечет 🤷‍♀️

Да, судя по предварительному анализу реальной утечки не было 😎 и речь идет о компиляции или фейке (ник "титушко" как бы тоже намекает). Но, повторю, важен не сам факт утечки или ее отсутствия, а реакция на вброс. Ника, возможно, сделает у себя в канале @PR_machine_Nika разбор этой истории с точки зрения антикризисного PR, а меня больше интересует процессная часть ИБ 🛡

Есть заявление об утечке, которое должно быть отработано в соответствие с требованиями законодательства (уведомление РКН и НКЦКИ) 👮‍♂️🚫 Есть правило хорошего тона – разобрать с технической точки зрения данный "инцидент" и показать все несуразности (в пределах допустимого). Это правило не для всех, но учитывая, с какой помпой раскручивали MAX, это напрашивается. Ровно это и надо сейчас делать, а не включать PR-машину и разгонять по всем каналам "вы фсё вриёте" Ⓜ️ Так доверие не заработать – скорее наоборот, пользователи еще больше уверятся в том, что утечка имела место быть. Коль скоро государство хочет всех пересадить на MAX, соблюдая при этом приличия, то и надо вести себя корректно до конца (хотя государству это и не свойственно).

Чтобы я сделал, ну если бы меня спросили: 🤔
1️⃣ Провел бы внутреннюю проверку и публично сообщил о ней в формате технического отчета. Для независимости бы пригласил внешнюю компанию с именем в ИБ. Учитывая, что это первая такая "утечка", то сразу бы заложил и различные PR-мероприятия по факту расследования с участием внешних экспертов и т.п.
2️⃣ В рамках коммуникации не начинал бы сразу отрицать, а объяснял бы, почему это фейк или компиляция. Опять бы привлек внешних экспертов, у которых имя и которым верят, как минимум, в комьюнити и которые дорожат своей репутацией (если согласятся, конечно же). Тем более, что в ВК уже были утечки; отрицание в таком варианте не работает вообще.
3️⃣ Провести AMA-сессию с разработчиками и безопасниками, отвечая на вопросы без бюрократических формулировок и корпоративного булшита 🧑‍💻

Это базовый минимум, который бы делал я. Посмотрим, что будет делать ООО "Коммуникационная платформа", у которой на сайте нет ни слова... ни о чем... 🤦‍♂️

#управлениеинцидентами

Читать полностью…

Никогда такого не было и вот снова... Либо кто-то хочет вбросить "супротив" и это просто фейк, либо... 😂 У ООО "Коммуникационная платформа" есть сутки на то, чтобы уведомить РКН о произошедшем и потом еще чуть-чуть времени, чтобы представить детали инцидента или доказать, что это фейк Ⓜ️

Главное, чтобы сам РКН не поторопился заявить, что факт утечки не подтвердился, как это было в кейсе с Аэрофлотом, когда через день после выступления уполномоченного органа хакеры выложили в паблик медицинские данные пилотов и бортпроводников 🚰 Еще и НКЦКИ надо уведомить, так как ООО, владеющее MAXом, подпадает под определение субъекта КИИ, как обеспечивающее взаимодействие между иными субъектами КИИ.

Если утечка подтвердится, а оператором ПДн для MAXа числится у нас 💬, то это уже, как минимум, будет вторая утечка персданных у компании и... будет ли применена норма по оборотному штрафу, вопрошает все прогрессивное DPO-комьюнити ❓

Но, признаюсь честно, мне почему-то кажется, что будет принято решение все отрицать, как, например, было принято решение, что ООО "Коммуникационная платформа" - не организатор распространения информации (да-да, вот такой вот пердимонокль). А это забьет очередной гвоздь в крышку гроба под названием "адекватная защита прав субъектов ПДн в России". Когда государство само демонстрирует, что есть те, "кто ровнее перед законом", то все его потуги по выстраиванию правильного процесса обречены на неудачу 🤔

ЗЫ. Утекло 46203590 строк персональных данных!

ЗЗЫ. Упоминание salesforce смущает, но думаю, имеется ввиду не SFDC, а просто внутренняя CRM... Ибо если там до сих пор облачная зарубежная Salesforce применяется... 😲

#утечка #мессенджер #персональныеданные данные

Читать полностью…

Если вдруг вы пользуетесь 1Password 🔏 в качестве парольного менеджера, то будьте бдительны – скамеры с помощью фишинговых сообщений могут выведать ваши учетные данные для доступа к хранилище всех паролей, Пользователи LastPass столкнулись пару дней назад с той же проблемой – фишинг якобы о взломе парольного менеджера. Вы удивитесь, но пользователи еще одной хранилки паролей, Bitwarden, сейчас лицом к лицу встречаются с той же проблемой 🥷

Три парольных менеджера под угрозой... 🤕 Но только ли три? Может быть и другие тоже? По крайней мере стоит оповестить работников об этой угрозе. Даже если вы в компании это ПО не используете, то ваши пользователи, которые это могут делать на личных устройствах, скажут вам спасибо. А это уже немало и еще один шаг к формированию доверия между пользователями и службой ИБ 🤝

#фишинг #аутентификация

Читать полностью…

📥Фреймворк психологии кибербезопасности

Пожалуй, интересное с точки зрения психологии принятия решений исследование и модель, призванная попытаться разрешить (или хотя бы понять) проблему человеческого фактора в кибербезопасности.
Да, конечная цель утопична ибо это попытка победить подсознательное: сам автор исследования подчеркивает, что большинство решений в области безопасности происходят на подсознательном уровне за 300-500 миллисекунд до того, как мы их осознаем, но выявление групповых факторов (подверженности персонала) и расчет оценки риска может позволить улучшить систему защиты организации.

Сама модель представляет собой 100 индикаторов поведения, сгруппированных по 10 категориям:
🔗Подчинение авторитету — когда люди слепо выполняют указания начальства или тех, кто представляется авторитетом.
🔗Временные уязвимости — поспешные решения под давлением времени.
🔗Социальное влияние — склонность делать то, что делают другие.
🔗Эмоциональные уязвимости — решения под влиянием страха, стресса или других эмоций.
🔗Когнитивная перегрузка — когда слишком много информации мешает принимать правильные решения.
🔗Групповая динамика — как поведение группы влияет на безопасность.
🔗Стрессовые реакции — как стресс влияет на решения по безопасности.
🔗Бессознательные процессы — скрытые мотивы и страхи.
🔗ИИ-специфичные предрассудки — новые уязвимости при работе с искусственным интеллектом. Например, излишнее доверие рекомендациям генеративных ИИ.
🔗Критические состояния — когда несколько факторов действуют одновременно.

Все группы индикаторов соотносят с научными работами и подходами известных психологов и экономистов: например, с теорией групповой динамики Уильяма Биона, в рамках которой описаны три базовых допущения, которые бессознательно принимаются группой людей при столкновении с тревогой. В контексте кибербезопасности эти допущения проявляются как уязвимости групповой динамики:
🟠"Зависимость" — чрезмерная зависимость от поставщиков безопасности и поиска серебряной пули (технологии, дающей 100% защиту).
🟠"Бей-беги" — агрессивная защита периметра при игнорировании внутренних угроз.
🟠"Объединение" — постоянное приобретение новых инструментов без устранения фундаментальных уязвимостей.

Как видите, речь здесь не только про поведение рядовых сотрудников, нажимающих на ссылки в фишинговых письмах, но и ИБ-специалистов и руководство в том числе.

p.s. Такими темпами придется скоро психолога в SOC брать😄

#awareness #framework #psychology

Читать полностью…

Глава ФСБ заявил о том, что западные государства могут снизить стойкость всей криптографической защиты к 2030-2035 годам 🇷🇺 Интересная оценка, которая соотносится с тем, о чем я писал летом (как раз 2030-й год прогнозировался при наличии научных прорывов). Более реалистичная оценка метила в 2035-2040 годы при текущем развитии исследований в этой области ⚛️

На этом фоне интересным выглядит недавно опубликованный Ассоциацией ФинТех шестой выпуск аналитического фреймворка Финтех-Радар 📡, который посвящен постквантовой криптографии и квантово-устойчивой защите данных финансовой отрасли. В нем дан неплохой высокоуровневый обзор текущего состояния этой области – полезно для первичного погружения в тематику. По оценкам экспертов, уже к 2030 году квантовые компьютеры достигнут достаточной мощности для взлома существующих криптографических алгоритмов 🔑

Одна сложность со всей этой историей, что адекватных мер нейтрализации этой угрозы у нас в стране пока не существует 🤷‍♀️ Хотя вроде как эксперты 8-го Центра говорят, что наши текущие криптографические алгоритмы вполне себе стойки к квантовой угрозе, но кто знает, насколько долго это все продлится. Нужны новые алгоритмы и решения их реализующие, но пока этого нет (хотя работы и ведутся) 🤔

#pqc #криптография #модельугроз

Читать полностью…

Вчера министр цифрового развития заявил, что по данным Роскомнадзора 🚫 у нас стало меньше утечек персональных данных и, возможно, это следствие принятого закона об оборотных штрафах за утечки персональных данных. И у меня есть, что сказать по этому поводу. И, возможно, это будет противоречить мнению министра и статистике Роскомнадзора. Ну да не впервой 🤠

В разговоре с близким другом проскользнуло упоминание об утечке из одного отечественного маркетплейса, о которой в паблике ни слова 🤐 Пошел выяснять – действительно, на привычных площадках, где выкладываются объявления о продаже или раздаче утекших баз, ни одного упоминания. Ищем дальше. Есть частичное доказательство в Химере, парочку запросов на покупку этой базы на различных ресурсах, а в дискуссии с другим коллегой эта утечка также была упомянута, но в совершенно иной ситуации. Случайность? Возможно. Потом всплывают факты утечек у еще двух компаний, одна – один из лидеррв российского бигтеха, другая – один из крупнейших банков 🚰 И снова в паблике про это ни сном, ни духом. На случайность уже не тянет; да и в совпадения я уже не верю. Что же тогда происходит? Я бы выделил следующие моменты:

1️⃣ С введением оборотных штрафов 🤑 за утечки любая публичность сразу повышает юридические риски для пострадавшей компании. Это создает сильный мотив "не светить" эпизод (минимизировать следы, сдержанно коммуницировать, идти в частные переговоры). Для злоумышленников это тоже сигнал: чем меньше шума – тем дольше продается и дороже стоит. Об этом, кстати, предупреждали, когда принимали закон об оборотных штрафах.

2️⃣ Серии операций правоохранителей против крупных хакерских форумов (RaidForums → BreachForums и его повторные изъятия доменов/каналов) разогнали часть аудитории в закрытые чаты и приватные брокерские "OTC-сделки". Меньше открытых площадок – меньше полноценных дампов "в свободном доступе" 😂

3️⃣ Телеграм-экоcистема и invitation-only группы стали удобной плошадкой для торговли базами, обмена "тизерами" (1 запись, небольшой фрагмент) и поиска покупателя – без публичного выкладывания всего массива. Это осознанная стратегия сливоделов для сохранения ценности данных 🥷

4️⃣Растет доля "утечка-без-витрины": вместо шифрования и громкого "сливного сайта" (DLS) – тихая выгрузка и давление на жертву напрямую через почту/мессенджеры; в паблик попадают лишь крошечные пробники в качестве доказательства. Это хорошо видно по отчетам за 2024–2025 гг. 🥷

5️⃣Много "мелочи" из инфостилеров и сборных "лог-паков": из-за этого внешне видны лишь отдельные записи, запросы "где достать такую-то базу", разрозненные скрины. Полного дампа в паблике нет – он "ходит" в приватных каналах и по руках 🤝

В сумме это дает картину, в котором нам теперь придется существовать. Роскомнадзор будет вливать всем в уши о победе над утечками и снижении их числа, а те, кому надо, будут по-прежнему иметь доступ к самым свежим данным по россиянам 🤷‍♀️ Службам Threat Intelligence придется изучать косвенные следы (единичные записи/фрагменты/намеки), которые, сложенные вместе, указывают на утечку – но без привычного публичного "большого файла". Но в чем-то министр цифрового развития прав – оборотные штрафы и правда привели к снижению числа утечек; публичных утечек, которые попадают в прицел РКН 🧐

И это я еще не говорю про целенаправленную работу отдельных компаний по зачистке Интернета от фактов, доказывающих наличие утечки. Некоторые *техи имеют ресурсы, чтобы таким заниматься 🤔 Поэтому, когда вы слышите об утечке, которой нет в паблике, это не значит, что ее нет!

#утечка #персональныеданные #тенденции

Читать полностью…

В августе 2025 года ИБ-компания F5 обнаружила и сообщила 🫡 в Комиссию по ценным бумагам, что неизвестные преступники уровня государственных APT (ну а кто еще?), получили несанкционированный доступ к среде разработки продукта BIG-IP, системе управления знаниями инженерного персонала и связанные с ними хранилища, оставаясь там незамеченными длительное время. Из компании были украдены некоторые файлы, в том числе части исходного кода 👨‍💻 BIG-IP и информация о неопубликованных уязвимостях, которые F5 исследовала на момент взлома.

F5 утверждает ("всегда так делаю"), что нет доказательств 🙅‍♂️ внедрения имплантов в их программное обеспечение, конвейер сборки и что атаку не удалось использовать для подмены кода, поставляемого заказчикам. Также F5 заявляет, что не наблюдает признаков активного использования тех неопубликованных уязвимостей. CISA выпустило экстренную директиву с требованием всем государственным структурам срочно обновить продукты F5, поскольку взлом может представить непосредственную угрозу для федеральных систем. При этом Министерство юстиции США разрешило отсрочить публичное раскрытие инцидента, с чем и связана задержка (с начала августа до середины октября) ❌

Что неясно или вызывает сомнения, как минимум у меня: 🤔
➡️ Как именно был получен доступ? Через какое уязвимое звено (внутренняя ошибка, фишинг, инсайдер и т.п.) это произошло, компания не раскрывает.
➡️ Насколько глубоко проникновение? Возможно, были затронуты и другие системы, но они еще не обнаружены или F5 их не разглашает.
➡️ Использованы ли украденные уязвимости? F5 заявляет, что не "осведомлена" об этом, но отсутствие знания – не доказательство отсутствия использования.
➡️ Какова длительность доступа? Насколько долго злоумышленники были в системе до обнаружения, и сколько времени потребовалось, чтобы вывести украденные файлы?
➡️ Кто конкретно стоит за атакой? F5 называет "nation-state actor", но имя государства или группы не раскрывается. Хотя это менее всего интересно на текущий момент.
➡️ Пострадали ли клиентские конфигурации? F5 говорит, что некоторые файлы конфигураций клиентов были затронуты, но не публикует полный список пострадавших.

Пока это все, что у нас есть. Утверждать, что это второй SolarWinds 🔗 еще рано, как и отрицать это. Но этот кейс хорошо иллюстрирует вчерашнюю дискуссию на БанкИТ в Минске про доверенное ПО. Я там упоминал, что доверие складывается не только из выстроенного процесса безопасной разработки, но и защиты самой среды разработки и подступов к ней. И кейс F5 это как раз подсвечивает во всей красе. Так что будем наблюдать... 👀

ЗЫ. Пока курс акций F5 на новостях о взломе упал на 6% 📉

#инцидент #проблемыибкомпаний #supplychain #devsecops

Читать полностью…

Решил я тут себе кофе сварить ☕️ Смолол зерен, забросил в турку, поставил на огонь, подогрел, залил водой, дождался поднятия пенки и даже вовремя снял турку с огня, чтобы кофе не убежал. Взял с полки первую попавшуюся кружку, налил в нее дымящийся ароматный напиток, сел у камина и задумался... 🤔

Этой кружке уже 26-27 лет, а она как новая. Почти как я ✌️ Пока пил кофе из этого раритета, на который никак не повлияли множественные циклы в посудомойке, вспоминал, какие роли я перепробовал в кибербезе за последние три десятка лет. Был разработчиком средств криптографической защиты информации. Был админом. Был аудитором. Выводил зарубежные продукты, а именно ISS, на российский рынок. Был продавцом средств защиты информации 🧾 Запускал контентный проект, пытаясь создать российский Gartner. Защищал веб-сайты. Работал с подрядчиками, устанавливая и контролируя требования по кибербезу. Был (и есть) преподавателем. Выполнял функцию CISO в российской Cisco (хотя это совсем не та роль CISO, которую все представляют). Был vCISO у несколько компаний. Писал нормативку. Был бизнес-консультантом и архитектором. Занимался маркетингом и развитием бизнеса. Даже обходом средств защиты занимался (в исследовательских целях, конечно). Попробовал себя почти во всех ролях в области кибербеза; где-то в большей степени, где-то в меньшей 🛡

К чему я это все написал. Да ни к чему. Просто вспомнилось...

ЗЫ. А кружки раньше делали не чета нынешним, которые помоешь пару раз и вся краска слезла, эмаль облупилась... ☕️

#рефлексия

Читать полностью…

Пока специалисты озабочены взломом СМС-агрегаторов, а неспециалисты задаются вопросом: «Что опасного в сливе 3 ТБ смсок?», я продолжу про корпоративную отчетность. Но теперь про МСФО и Позитив 🟥, который в своей промежуточной сокращенной консолидированной финансовой отчетности за шесть месяцев раскрыл интересные данные по своей внутрянке кибербеза. Тут и суммы выплаченных компанией вознаграждений по программам Bug Bounty, Positive Dream Hunting, Positive Bug Hunting, и количество прошедших обучение по ИБ работников компании в соответствие с их ролями (все, как я писал ранее про адаптированное обучение), и время реагирования на инциденты, и даже фонд оплаты труда службы ИБ компании 🧮

А вы готовы к такой открытости и демонстрации не просто устойчивого развития, в том числе и по вопросам ИБ, но и указания конкретных численных показателей? 🤔

#cxo

Читать полностью…

Украл из "Молчаливого CISO"...

#мем #юмор #утечки #персональныеданные

Читать полностью…

Коллеги выпустили большой отчет об актуальных киберугрозах для российских организаций, а также о прогнозах на 2026 год. Представленные данные, выводы и прогнозы основаны на экспертизе Positive Technologies 🟥, исследованиях команд Threat Intelligence и Incident Response экспертного центра безопасности PT ESC, результатах проектов по анализу защищенности веб-приложений и тестированию на проникновение, выполненных специалистами PT SWARM, анализе объявлений на специализированных дарквеб-площадках, проведенном командой PT Cyber Analytics, а также на информации из авторитетных открытых источников 😂

Отчет включает в себя и описание атакующих Россию кибергруппировок 🇷🇺, и анализ самых атакуемых отраслей, и используемые техники и тактики, а также последствия, к которым это все приводит, интересные наблюдения и инсайты из реализованных проектов. Не могу выделить какие-то явные тезисы – слишком уж много там всего написано. Поэтому просто читайте интересное в долгие осенние холодные вечера 🍃

#ttp #тенденции #статистика #хакеры #атрибуция #apt #threatintelligence

Читать полностью…

Сегодня, 13 октября, начинает своё вещание сайт и Телеграм-канал независимого российского издания о кибербезопасности SecPost😍, здравствуйте, дамы и господа.

Наше знакомство мы предлагаем начать с подборки статей и эксклюзивных новостей, полную версию которых вы можете прочитать на нашем портале.

🤑Как убедить гендиректора вкладываться в информационную безопасность - колонка CISO "МойОфис".

💬 Интервью с вице-президентом Kraftway о перспективах, сложности и развитии производства NGFW в России.

🚗 Взрывной рост спроса на мультитулы для взлома автомобилей в РФ.

🧑‍⚖️ Правовые перспективы "белых" хакеров в России.

❓ Кто такой Лукацкий? Зачем ИБ компании нанимают бизнес-консультантов.

👾 Почему ИБ-продукты с ИИ-функциями стоят на 50% дороже.

Это далеко не все, чем мы можем вас порадовать на старте.

Другие эксклюзивные материалы с участием CISO группы «Астра» Дмитрия Сатанина, руководителя Cloud Security Operations Yandex Cloud Юрия Наместникова, директора по безопасности РТК-ЦОД Дениса Поладьева, депутата Госдумы Антона Немкина, экспертов VK, «Лаборатории Касперского», F6, Positive Technologies, "Инфосистемы Джет", "Солар", BI.ZONE и др. вы найдете на нашем сайте!

Читать полностью…

Не знаю, как часто вы задумываетесь о кибербезопасности системы точного времени ⏳, но я вот поднял свои записи и решил поделиться мыслями на это счет (ну чтобы моя заметка про инцидент в Китае была дополнена и рекомендациями по ИБ, которые можно взять и применить на практике). Итак:

1️⃣ Архитектура и сегментация 🤬 Необходимо разделить инфраструктуру времени на логические/физические зоны (сами эталоны, оборудование и сети, которые распространяют время, например, NTP-сервера, потребители времени). Эталоны (атомные часы, рубидий, OCXO, локальные генераторы) – уникальная и критическая часть всей схемы; если офисный ноутбук попадет в сеть эталона, простая компрометация пользователя может привести к вмешательству в "источник истинного времени" ⏱ Большинство потребителей, конечно, первые два компонента не использует, но задуматься о резервировании как минимум NTP-серверов стоит.

2️⃣ Чтобы предотвратить удаленную компрометацию эталона через обычные IP-каналы необходимо организовать либо гальваническую развязку (air-gap) или установить однонаправленный диод данных для сегмента с эталонами ✂️ Опять же, при владении этим самым эталоном.

3️⃣ Криптография и протоколы времени (NTP / NTS / PTP) 🔐 NTP/PTP – протоколы синхронизации; NTS (NTPsec, RFC 8915) – защищенная надстройка для NTP; PTP имеет профили для высокоточного распределения времени и может поддерживать аутентификацию/шифрование на канальном уровне (MACsec) или TLS-туннелях. В противном случае незашифрованный NTP /PTP легко подделать / перехватить 🔍

4️⃣ Мониторинг времени как "сигнала безопасности" ⏰ Манипуляция временем дает "скрытый" эффект – нарушения в логах, верификации сертификатов PKI, финансовых системах – и может быть признаком целенаправленной атаки. Поэтому необходимо отслеживать метрики времени (offset, jitter, delay, переключения GM) как отдельный источник телеметрии и использовать их для обнаружения инцидентов ⏱

5️⃣ Идентификация аномалий PTP / NTP ⌛ Подмена grandmaster’a или появление "левых" NTP приводит к определенным шаблонам в пакетах. Поэтому стоит присмотреться в NTP/PTP-сообщениях на следующие параметры: Announce/Sync/Follow_Up (PTP), Path Delay, а для NTP – Stratum, RefID, Kiss-of-Death, Leap Indicators. Но важно помнить, что тот же PTP критичен к задержкам и поэтому инспекция должна быть аккуратной; ну и multicast учитывать также. Тут хорошо подойдут решения класса NTA. NGFW/IPS могут распознавать NTP, но PTP уже не понимают и тем более не оценивают логику (Stratum jump, Leap Second Spoof) 🛰

6️⃣ Управление ключами и доступом (HSM, RBAC). Компрометация ключей NTS/PTP дает возможность выдачи ложных аутентифицированных сообщений о времени, что требует хранения секретов/ключей в аппаратных криптографических модулях HSM и RBAC для управления GM, а также оффлайн-хранения критичных конфигураций 🛂

7️⃣ Про безопасность мобильных устройств говорить не буду (это только в кейсе с китайцами было актуально), а вот про киберучения сказать надо – необходимо хотя бы иногда отрабатывать сценарии "подмена времени", например, "прыжок времени" или "левый GM" 👨‍🎓 Особенно если вы субъект КИИ и ваше оборудование требует точного времени для своей работы.

#supplychain #стратегия

Читать полностью…

Давайте определимся с тем, надо ли сообщать о фейковых утечках ПДн или нет? 🤔 Ряд комментаторов к вчерашним постам про "фейковую утечку" из мессенджера MAX (тут и тут) заявляют, что это не нужно, а уведомлять необходимо только о реальных инцидентах. Так вот разочарую – закон гласит обратное. В приказе Роскомнадзора от 14.11.2022 №187 четко написано (п.16): ✏️

"В указанном случае [неподтверждения оператором факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, и (или) неустановления принадлежности скомпрометированной базы данных, содержащей персональные данные] к дополнительному уведомлению оператором прикладывается акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, и (или) неустановления принадлежности скомпрометированной базы данных, содержащей персональные данные, соответствующему оператору в деятельности такого оператора."

Ну и чтобы дважды не вставать. В случае обнаружения скомпилированной базы ПДн из ранее зафиксированных утечек уведомлять РКН тоже надо (п.17): 📝

"В случае установления оператором, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, содержащихся в базе данных, характеристики которых полностью соответствуют ранее скомпрометированной базе данных, оператором направляется уведомление, предусмотренное частью 3.1 статьи 21 Федерального закона "О персональных данных"."

Так что о каждом фейке надо сообщать 🎭 Да, это тоже потенциальный вектор для атаки на организацию, о чем РКНу говорили еще на этапе публичного обсуждения проекта приказа. Но кто у нас слушает экспертов?

ЗЫ. Пару лет назад я публиковал уже рабочую тетрадь по процессу уведомления об утечках ПДн, но думаю, что можно и повторить - там много полезного (включая и саму блок-схему всех 6 этапов процесса реагирования для плейбука).

#регулирование #утечка #персональныеданные #управлениеинцидентами

Читать полностью…

Имидж "резидента пяти разведок и агента шести держав" прочно прилип и не отпускает 🫡

#юмор

Читать полностью…

В даркнете выставили на продажу базу данных пользователей мессенджера MAX.
Продавец утверждает, что в его распоряжении находится более 46,2 млн записей, а также что у него сохраняется VPN-доступ к Salesforce и другим внутренним системам сервиса.
В качестве подтверждения он опубликовал небольшую выборку (sample) данных.

Актуальность - 19.10.2025

Состав
▪️ID
▪️ФИО
▪️Телефон
▪️Статус активации на Госуслугах
▪️ID номер на Госуслугах

#утечка #max #госуслуги #vk

Читать полностью…

Очередной взгляд на перечень возможностей, которыми должны обладать современные SIEMы (хотите, называйте SIEM NG).

#siem #тенденции

Читать полностью…

Помните летнюю историю с белой хакершей Bobdahacker, которая нашла критический баг на портале McDonald's 🍔 для партнеров и сотрудников, позволявший получить админские права, размещать бесплатные онлайн-заказы еды, читать корпоративную почту и т.п. Первые попытки достучаться до компании закончились неуспешно 🍔 и тогда Bobdahacker обратилась к другу, работающему в McDonald's, с целью помочь провести исследование до конца и достучаться до руководства "бургерной". И вот тут интересно – компания, вместо того, чтобы похвалить своего работника за помощь в улучшении ИБ, сделать его Security Champion, наградить карточкой Amazon Gift на 50 баксов (я такие получал в Cisco) и т.п., просто его (или ее) уволила! 🖕

И вот новая история. Аттаюла Бейг (Attaullah Baig), бывший руководитель по безопасности в WhatsApp 📱, подал в суд на своего работодател, заявив, что за время работы обнаружил серьезные нарушения в защите данных пользователей, которые компания не планировала устранять. По словам Бейга при проведении внутреннего red-team он обнаружил, что около 1500 инженеров WhatsApp имели неограниченный доступ к пользовательским данным, включая чувствительную информацию (контакты, IP-адреса, профили), и могли "перемещать или похищать" такие данные без следов 😡 Также истец утверждает, что WhatsApp не вел надлежащий учет того, какие данные собираются, где они хранятся, и кто получает к ним доступ, нарушением тем самым требования к ИБ, в том числе в рамках постановления Федеральной торговой комиссии (FTC) 2020 года, вынесенного после скандала с Cambridge Analytica. Наконец, утверждается, что якобы ежедневно происходило порядка 100000 взломов учеток WhatsApp – и компания не предпринимала адекватных мер для предотвращения этих инцидентов 😂 После того как Бейг поднял эти вопросы перед руководством (включая Марка Цукерберга), он подвергся "корпоративному унижению": ухудшились оценки в рамках performance review, были ограничены его полномочия, а впоследствии его уволили под предлогом "плохой работы" 🤸

Оставим в стороне вопросы мотивации Бейга (кто-то говорит, что он реально за правду, кто-то – что он обижен и хочет срубить бабла). Для специалистов по кибербезу и compliance дело может служить очередным прецедентом – внутренний сотрудник безопасности (whistle-blower) предъявляет претензии к работодателю за то, что опасные уязвимости не были устранены, и затем идет против компании в суд ✋

Интересно, что это не первый такой кейс. Уже был случай с бывшим старшим директором по кибербезопасности, контроля и соответствия в Aerojet Rocketdyne ✈️ Он утверждал, что обещанный бюджет и ресурсы для безопасности были сильно урезаны (ахаха), компания не соблюдала требуемые правила по кибербезопасности, а когда он поднял вопрос – его уволили 😔 Также в одном калифорнийском государственном университете руководитель ИБ подала иск за незаконное увольнение ("wrongful termination and whistleblower retaliation") после того как она сообщила об инциденте и компания отказалась исправлять соответствующую уязвимость. Аналогичный кейс был и с ИТ-директором Penn State University & Matthew Decker 🫤

У нас такие кейсы, что характерно, тоже были. Знаю, как минимум, один случай ☝️

#ответственность #ciso

Читать полностью…

Как мы помним, гомоморфное шифрование 🔑 уже использовалось на дистанционном электронном голосовании в Москве пару лет назад. И видится мне, что эту тему начинают потихоньку раскручивать у нас в стране. Вот и Ассоциация больших данных совместно с компаниями Guardora и Privacy Advocates выпустила достаточно неплохой обзор этой технологии в сценарии ее использования для конфиденциальных вычислений и доверенных сред исполнения; с прицелом на обработку персональных данных 🎯

Правда, авторы честно пишут ✍️, что законодательство сегодня не допускает применения технологии гомоморфного шифрования для защиты персданных, так как решения на ее основе не проходили оценки соответствия (неявно, но подразумевается сертификация в ФСБ как СКЗИ). Но вот как дополнительную технологию... 🤔

Помню лет 6-7, а может и больше, я выступал на РусКрипто с докладом о применении технологий шифрования в качестве инструмента обезличивания ПДн 🔐 Так вот доклад АБД говорит ровно о том же, но не называя это прямо обезличиванием, так как по дурости одного регулятора у нас почему-то обезличивание разрешено только для госов, а для коммерческих компаний запрещено (хотя такой нормы в законе никогда не было – это очень странная трактовка). Так что по мере развития темы гомоморфного шифрования в стране, ожидаю, что трехбуквенный регулятор (но не тот, о котором вы подумали) возьмет стойку. Так что будем посмотреть... 🤔

#криптография #персональныеданные

Читать полностью…

Гостеприимные коллеги в Минске, памятуя о моей заметке про шатанов, подарили мне прекрасную книгу про мифологических существ Беларуси 🇧🇾 Ну а я выкладываю свою презентацию про безопасность подрядчиков аутсорсеров в финансовом секторе, которую прочитал позавчера 👇 Что характерно, SMS-агрегаторы в ней тоже упомянуты в разделе поставщиков с максимальным, критическим уровнем опасности.

ЗЫ. А я уже придумал, чем буду иллюстрировать свою презентацию на грядущей через пару недель в Минске SOCcon 🏰 Мы там планируем нечто интересное по контенту на обоих потоках. Ну и по формату тоже; куда ж без этого.

#supplychain #презентация

Читать полностью…

Как же нам защититься от взлома SMS-агрегатора, спросите вы? 🤔 Настал черёд ответить и на этот вопрос! Первый и очевидный шаг – убрать "SMS как единственный фактор" из критичных процессов, которые должны у вас быть определены. Для входа и подтверждения операций используйте Passkeys/WebAuthn, аппаратные ключи, TOTP/приложения, а SMS – только как резервный канал для низкорисковых коммуникаций 💬

Второй шаг – снизить ценность SMS даже при перехвате или утечке 📉 Откажитесь от кликабельных ссылок в смсках; используйте короткий код и внеполосное (никогда не знал как out-of-band нормально перевести) подтверждение в приложении. Также стоит привязать OTP к контексту (сумма/операция/время/гео) и валидировать их на сервере. Это, кстати, приблизит OTP к реальной ПЭП, а не вот это вот все 🛠

Дальше стоит перейти к воздействию на SMS-провайдера (тут можно посмотреть мою презентацию из Минска или вебинар по безопасность подрядчиков): 🔨
✉️ Двух- или мульти-провайдерная схема с “kill-switch” на канал SMS.
✉️ Включение в договор требований по ИБ: SSO+MFA для личного кабинета, белый список IP/mTLS для API, ротация ключей, RBAC и раздельные учётки, журналы событий с экспортом в ваши SIEM/SOC, различные уведомления о шаблонах/отправителях.
✉️ Мониторинг аномалий: всплески OTP, изменение шаблонов/альфа-ID, уведомления о росте недоставок/задержек, отправка сообщений в необычные страны.
✉️ "Canary-номера” (обманки) и синтетический трафик для раннего обнаружения подмен/утечек 👀

Наконец, будьте готовы к инцидентам и управлению ими: 🤓
✉️ План мгновенного отключения SMS-аутентификации и переключения на альтернативный фактор аутентификации. Хотя лучше не ждать и уже заменить OTP по SMS на что-то иное, более надежное.
✉️ Скрипт информирования пользователей и принудительные меры (как у Signal – форс-перерегистрация/registration lock) 🚨

ЗЫ. Ну и помните, что одноразовый пароль по СМС – это не двухфакторная аутентификация, чтобы вам кто не говорил, это всего лишь двухшаговая верификация, которая не так чтобы и сильно влияет на уровень безопасности 🤔

#управлениеинцидентами #supplychain

Читать полностью…

Тут в Даркнете прошла информация о взломе двух очень крупных в России SMS-агрегаторов и сливе 3 ТБ данных 💬 (новости про взлом и утечку данных из трех российских ВУЗов оставим пока в стороне) Сначала думаешь: "Да что там страшного - одноразовые коды долго не живут и ими просто не успеют воспользоваться, а ничего другого ценного в смсках и нет". Потом садишься и начинаешь моделировать угрозы. Становится чуть печальнее. Давайте посмотрим, чем грозит эта "supply chain" атака на канал, через который тысячи сервисов шлют одноразовые пароли, ссылки на сброс пароля, коды подтверждения платежей, PIN-коды и служебные уведомления 💬

1️⃣ Коды 2FA/OTP и ссылки на сброс пароля можно читать, задерживать или подменять, что приводит к массовым захватам учетных записей (почта, банки, мессенджеры, криптосервисы, соцсети). Пример масштаба: взлом Twilio в 2022 затронул 163 клиентов; вторично пострадали Signal и другие (у Signal – до 1900 аккаунтов для перерегистрации).
2️⃣ Из личного кабинета агрегатора можно слать SMS с доверенных имен/номеров (short code/альфа-ID), обходя фильтры – идеальный канал для фишинга, BEC и мошенничества.
3️⃣ Базы номеров, тексты сообщений, метаданные (кто с кем, когда) – ценны для целевого фишинга, слежки, шантажа. Пятилетней длительности компрометация Syniverse – крупнейшего роутера межоператорских SMS – показал уязвимость таких “узлов” (риск раскрытия миллиардов сообщений/метаданных).
4️⃣ Доступ к инфраструктуре A2P-провайдера может использоваться для отслеживания людей и их коммуникаций (скандал вокруг Mitto показал, что такие злоупотребления реальны).
5️⃣ Через агрегатор атакуют MFA-канал ваших админов → дальше – почта, облака, CI/CD. Компромат по пользователям (например, списки номеров пользователей Authy) упрощает целевые фишинговые/​SIM-swap кампании. В 2024 в Authy через неаутентифицированный узел подтвердили до 33 миллионов номеров пользователей.
6️⃣ Непредвиденные расходы за отправку, штрафы за утечки (GDPR/CCPA/ФЗ-152), удар по надежности и репутации.

Что делать, спросите вы? А я отвечу... но попозже ⏳

ЗЫ. Вы же предусмотрели это в своей модели угроз? 🤔

#инцидент #модельугроз #утечка

Читать полностью…

Сегодня я в гостеприимном Минске 🇧🇾 на конференции "Банк-ИТ" рассказываю для топ-менеджмента белорусских банков про безопасность аутсорсинга. В отличие от летнего выступления про безопасность подрядчиков, ориентированного больше на технических специалистов, в столице Беларуси я рассказывал эту тему на более высоком уровне, с прицелом на Правление финансовых организаций 🧐

ЗЫ. Презентацию позже выложу, если организаторы будут не против.

ЗЗЫ. На ИБ-конференции Нацбанка Армении был. Теперь вот и на конференции Нацбанка Беларуси был. Правда, в Минске перед выступлением спикерам не наливали для снятия напряжения и звонкости голоса 🥃

#мероприятие #supplychain #cxo

Читать полностью…

Тут Олег публикует материалы заявления в полицию руководства красноярского оператора связи "Орион Телеком" 📡, который летом пострадал от рук хакеров (первые следы активности внутри инфраструктуры оператора были зафиксированы полугодом ранее). Там много всего интересного, но меня заинтересовала сумма предварительных убытков, которые насчитала пострадавшая компания (которую надо будет доказать в суде), – 66 миллионов рублей 🤑

Согласно опубликованным в Интернете данным выручка "Орион Телеком" за 2024 год составила 681 миллион рублей (чистая прибыль – 582 тысячи рублей) 🌐 То есть ущерб от атаки оценивается в 9,7% от годового дохода. Нечасто у нас сами жертвы считают и показывают свои потери от действий хакеров, а тут компания посчитала все до копейки. Хотел бы я посмотреть на всю калькуляцию и увидеть, какие именно статьи легли в основу этого расчета. Но может и увижу когда-нибудь... ⏳

ЗЫ. Первоначально "Орион Телеком" не признавал факт утечки ПДн, но в заявлении в полицию он "отказывается" от первоначальных показаний и признает факт незаконного копирования и размещения в Интернет персданных своих абонентов 😡

#ущерб

Читать полностью…

Тема кибербезопасности потихонечку включается в корпоративную отчетность ✍️ В августе я уже про это писал и вот новый пример с "Ашан Ритейл", который в отчет об устойчивом развитии за 2024 год включил отдельным разделом инфобез. Меня только один вопрос заинтересовал – какой scope попал под сертификацию по ISO 27001? А в остальном, для документа такого уровня, вопросов нет 🛒

Да, можно сказать, что это позакуха и топ-менеджмент сам не читает такие отчеты и не интересуется кибербезом 🏖 Можно. Но можно сказать и иначе – запрос на раскрытие такой информации появляется у инвесторов и акционеров, а значит, хочешь, не хочешь, но надо быть более открытым и писать, хотя бы поверхности, что там делается в ИБ 🛡 И, главное, сильно не врать. А то напишешь, что ты весь из себя такой сертифицированный, работники обучены, SOC функционирует круглосуточно, а тебя, бац, и поломали. Будет неудобно. А инвесторы еще и "отомстят" 📉

#cxo

Читать полностью…

Есть такая теория творческого разрушения (creative destruction), которая вчера оказалась в центре внимания: Нобелевскую премию по экономике 2025 года присудили Жоэлу Мокиру (Joel Mokyr), Филиппу Ажьону (Philippe Aghion) и Питеру Хауитту (Peter Howitt) "за объяснение экономического роста, основанного на инновациях (creative destruction)" 💥

Сам термин "creative destruction" восходит к Йозефу Шумпетеру ✍️ Он описывает динамику развития капиталистической экономики, где новые технологии, новые бизнес-модели и инновации заменяют устаревшие предприятия и способы производства. То есть процессы создания нового часто сопряжены с исчезновением старого и с этим ничего не поделать. Ну а вклад новых нобелевских лауреатов заключается в систематизации и количественном понимании того, как творческое разрушение работает в реальной экономике, а не просто как красивая метафора 🤔

Ключевые идеи Шумпетера:
💡 Инновации не просто дополняют старое, часто они замещают его.
💡 В этом замещении и заключается движущая сила экономического роста: появляются новые отрасли, рынки, рабочие места.
💡 Но этот процесс очень болезненный: компании, которые не адаптируются, проигрывают; ресурсы и кадры перераспределяются.
💡 Те, кто выигрывает эту инновационную конкуренцию, могут устанавливать новую технологическую платформу, новые стандарты и доминировать до следующей волны разрушения.

Теория творческого разрушения вполне себе применима и к кибербезопасности 🛡 Более того, ИБ – одна из тех сфер, где этот процесс происходит в ускоренном и цикличном режиме, ведь каждая новая технология сразу же вызывает и новую волну угроз, и, следовательно, новую волну защитных инноваций, часто приводящих к тому, что старые лидеры умирают, будучи выброшенными на свалку истории молодыми и дерзкими 😵 Например, нулевое доверие. Под влиянием массовой удаленки в конце 2010-х годов, облаков, SaaS, микросервисов, роста атак на supply chain исчезает классическая модель "защиты периметра" с комбинацией МСЭ + VPN + сегментация (да, VPN потихоньку вымирают) и ей на смену приходит архитектура Zero Trust, где доверие не предполагается ни к кому и ни к чему по умолчанию 😠

Другие примеры из ИБ (о части из них я говорил на прошедшем Positive Security Day):
➡️ Из-за взрывного роста новых вариантов вредоносного ПО, скорости обфускации кода и его мутаций, антивирусы и IPS на основе сигнатур умирают, замещаясь EDR, XDR, NDR и ИИ-аналитикой.
➡️ Традиционные SIEM с ручной корреляцией и статичными правилами уходят в небытие – им на смену аналитика на базе больших данных в облачных хранилищах, автоматизация и SOAR, решения класса Continuous Threat Exposure Management.
➡️ "Однократный аудит" и бумажные аттестации/сертификации канут постепенно в Лету будучи замененными постоянными симуляциями (BAS) и автопентестами, Red Team-as-a-Service, непрерывным мониторингом защитных мер, Bug Bounty и кибериспытаниями 🤕

Каждая волна атак становится механизмом естественного отбора 🙈 WannaCry привел к взрывному росту patch-менеджмента и EDR, кейс SolarWinds заставил нас активнее переходить на Zero Trust и внедрять защиту от подрядчиков, история с Colonial Pipeline привела к обязательным сценариям кризисного реагирования и пониманию каскадных ИБ-сбоев 🌊 ИБ-рынок, пожалуй, наиболее чистый пример динамики Шумпетера: защита живет, пока ее не сломали, – и именно это разрушение дает стимул к созданию следующего поколения технологий. Ну а те, кто не понимает этого и не может перестроиться, уходит в небытие 😵

Динамика Шумпетера и теория творческого разрушения объясняет ☝️, почему старые подходы в ИБ обречены – не из-за плохих инженеров, а из-за смены технологического контекста. Она отвечает на вопрос, почему вендоры постоянно "умирают" и рождаются новые, а также почему кибербезопасность – вечное движение, а не состояние 👉

#тенденции #наука

Читать полностью…

А у нас в отрасли новое специализированное ИБ-издание, что не может не радовать 🎆 Хотя, не могу не задаться вопросом, пока не до конца понятна его модель существования. Это либо нагон трафика и продажа рекламы, либо платное размещение материалов от участников рынка. Оба сценария достаточно типичны и лежат на поверхности, но и конкуренция со стороны SecurityLab, Antimalware и CISO Club будет нешуточная ⚔️

Подписочная модель и получение денег от рядовых ИБшников, которые захотят получать доступ к качественному и закрытому для всех контенту? 🤑 Я в конце 90-х годов пытался запускать такое в Информзащите – не взлетело, люди не готовы были тогда платить за контент, предпочитая его пиратские версии. Сейчас ситуация мало изменилась, как мне кажется. Возможно найдена иная модель монетизации СМИ? Их даже у SOCа существует восемь! Будем посмотреть... 👀

#сми #стартап

Читать полностью…