Почему "еще один плейбук в SOAR" – это не автономный SOC? Как перейти от ручного разбора инцидентов к системе, которая сама обнаруживает, расследует и реагирует – прозрачно, предсказуемо и под контролем? Неужели и правда наступил тот момент, когда L1 не нужен? 😂

В модерируемом мной прямом эфире AM Live разберем: ✍️
➡️ Где проходит граница между глубокой автоматизацией и настоящим автономным SOC (и почему подмена понятий опасна)?
➡️ Рабочие архитектуры: overlay над текущим стеком, интегрированные платформы, эмуляция действий аналитиков. Что выбрать на старте?
➡️ Практику внедрения: период доверия к ИИ, метрики (MTTD/MTTR, доля кейсов без участия человека), стоп-кнопки и RACI для ИИ-решений.
➡️ Технологии в связке: SIEM/UEBA/SOAR/TI/LLM – кто за что отвечает, где узкие места данных, как не попасть в vendor lock-in?
➡️ Риски и соответствие: объяснимость решений, ответственность за ошибочные действия, требования регуляторов, аудит и журналирование.
➡️ И много чего еще...

Регистрируйтесь и не говорите потом, что вас не предупреждали, когда ваше рабочее место аналитика SOC займет робот! 😆

#soc #мероприятие #ии

Читать полностью…

Ника препарирует очередной инцидент с точки зрения антикризисного PR. Отечественный облачный разработчик сканера уязвимостей Metascan столкнулся с попыткой внедрением вредоносного кода в свое ПО со стороны джуна на испытательном сроке 😱 Сообщение об инциденте было опубликовано... ботом. Ну а мне в данном инциденте интересно другое.

Это, пожалуй, первый публичный пример признания такого инцидента в российской ИБ-отрасли 🥇 Будут ли из него извлечены правильные уроки другими ИБ-разработчиками, многие из которых сталкивались с компрометациями своей инфраструктуры, но почти никогда не раскрывали деталей расследования и анализа последствий действий злоумышленников? Будет ли проверка со стороны регуляторов (а не только пугалки)? Может это станет основанием для усиления контроля за подрядчиками со стороны клиентов? 🤔

Если бы я работал в компании, которая столкнулась с таким инцидентом и имела смелость признать его (а скрыть такое, честно говоря, сложно), то я бы настаивал на следующих шагах: 👣
1️⃣ Выпустить пост-анализ (Post-Incident Review), описав это без упоминания личностей, но с указанием технологий и организационных решений. Это сразу превращает уязвимость в демонстрацию зрелости инженерных практик и этики безопасности; особенно в ИБ-компании, которая занимается работой с уязвимостями.
2️⃣ Прямая рассылка клиентам – короткое, честное письмо от компании (не от бота). Молчание воспринимается как попытка скрыть что-то нехорошее; честное объяснение – как гарантия открытости и компетенций. Может она и была в случае с Metascan, не знаю, я не их клиент.
3️⃣ Использовать ситуацию, чтобы выступить с экспертным комментарием в СМИ или на конференциях. Из “жертвы” компания превращается в эксперта, пережившего реальный инцидент и готового делиться опытом. От ИБ-компании – это особенно ценно.

Раз уж история началась с сообщения от бота, то и закольцевать ее можно было бы также, красивым сообщением от бота: 🤖

"Инсайдерские угрозы – один из самых сложных вызовов в кибербезопасности. Мы сами столкнулись с этим и теперь можем со знанием дела рассказывать, как выстроить устойчивые процессы. С тех пор мы переписали не только код, но и внутренние политики. Мы проверили наш процесс CI/CD, добавили дополнительную верификацию исходного кода и усилили контроль доступа на уровне GitLab и Jenkins. Также внедряем систему peer-review на всех этапах сборки. Не только усилили контроль за кодом, но также инвестировали в культуру доверия и ответственности среди сотрудников. Все обновлено, протестировано, проверено. Ваш обновленный бот, уже прошедший испытательный срок!".

Буду следить за ситуацией... 👀

#инцидент #антикризис #supplychain #проблемыибкомпаний #devsecops

Читать полностью…

Возникла тут тема повторить успех астрологического прогноза ♌️ по кибербезу, но уже на международной арене. И уже было почти все готово, когда, внезапно, ты узнаешь, что в исламе астрология находится под запретом и страны Ближнего Востока и многие страны Юго-Восточной Азии, где сильно присутствие Позитива, могут не воспринять твоего креатива, а еще и закидать камнями или отправить в зиндан 😡 Это все к разговору о том, что занимаясь ИБ, необходимо учитывать множество культурных и религиозных особенностей мест, где этот самый кибербез и обеспечивается.

Становится более понятным, почему фотостоки и визуализация в международных компаниях типа Cisco, IBM, Microsoft и т.п. настолько выхолощены и скучны до безобразия. А чтобы удовлетворить все возможные претензии со стороны меньшинств, религиозных течений, политических партий, гендерных групп и вот это вот все 🤔 Делать уникальный контент под каждую группу они не могут (дорого и лениво), вот и сокращают издержки...

#культура #религия

Читать полностью…

Пишут, что Департамент здравоохранения Москвы 🏥 планирует до 2027 года сделать резервные копии всех медицинских сведений из ЕМИАС... на бумаге. Если не придираться к цитате юриста, что:

"Требования к хранению персональных данных вынуждают дублировать сведения из ЕМИАС в бумажном виде для хранения в архивах"

(таких требований в законодательстве лично мне не известно), то эта история очень показательная ☝️ Последние годы российское здравоохранение активно продвигает электронный формат медицинских документов – введены правовые нормы, разрешающие или стимулирующие отказ от бумажного документооборота, а в нормативных актах прямо указано, что при хранении электронных медицинских документов должна быть организована резервная копия и возможность восстановления. При этом эксперты критикуют избыточное дублирование бумажной и электронной формы: 📄

"Эксперты НФ призвали исключить дублирование бумажных и электронных документов в здравоохранении".

Решение Депздрава идет вразрез с трендом. Почему? Если отбросить невозможное (надо срочно потратить неизрасходованный до конца года миллиард), то видится мне несколько причин: ✍️
1️⃣ Опасение, что резервные копии (электронные) не позволяют гарантировать восстановление. На практике крупные цифровые проекты часто сталкиваются с проблемами при резервировании – устаревшие форматы, миграции, отказ оборудования, человеческий фактор. Возможно, чиновники делают бумажную копию как "страховку"; если система выйдет из строя, бумага все равно останется (если хранится будет правильно).
2️⃣ Неумение в кибербез или недоверие к тем, кто это делает. В такой ситуации, бумажная копия может рассматриваться как менее уязвимая "офлайн"-страховка (хотя у нее свои риски: пожар, истирание, контроль версий, аудит изменений и т.д.).
3️⃣ Нежелание идти в ЭДО с его непостоянными требованиями и необходимостью постоянно перевыпускать ключи ЭП. Оставлю свое же предположение без комментариев 😊
4️⃣ Переходный этап / сохранение "legacy"-процессов. Медицинские учреждения часто имеют "привычку" бумажной работы, ведения бумажных карт. И даже при электронной системе документооборота могут поддерживать бумагу "на всякий случай" или из-за сопротивления изменениям. Помню в одном госоргане бухгалтера взбунтовались при попытке перевести их на Астру. Директору поставили ультиматум: "или Астра и ты без зарплаты или мы на Винде, но все как ты привык". Директор не стал сопротивляться, хотя по бумагам там 100%-е импортозамещение операционных систем и офисного ПО 😂
5️⃣ Возможно, существует бюджет на бумагу, заинтересованные подрядчики, "архивные" услуги, что стимулирует создание бумажных копий.

Если верно любое из первых двух предположений, то это плохой знак 👎 Государство не верит в кибербез, потому что не умеет выстраивать процессы. Вот тут в новом канале по ИБ об этом тоже упоминается. Одно дело в чеклисте проставить галочку "наличие бэкапа" и совсем другое дело выстроить процесс резервного копирования с регулярной проверкой возможности восстановления данных в заданное время 👎

Возможно, госорган не в состоянии выполнить растущее число разрозненных нормативных требований по ИБ от разных регуляторов ☹️ В любом случае если это станет трендом (а вот тут Евгений пишет о схожих проблемах), то это нехорошо; я уже привык к Госуслугам (ЕМИАСом не пользуюсь – раз в год только зайду посмотреть, сколько неоказанных мне в реальности услуг на меня навесили), с ними реально стало удобно и число походов по всяким госорганам за справками сократилось многократно 📉

ЗЫ. Спасибо подписчице, что подкинула новость в комментариях 🙏

#стратегия

Читать полностью…

Благодаря ИИ современные фейковые утечки выглядят очень убедительно, а доступ к старым утечкам позволяет быть еще более похожими на настоящие данные. Каким образом можно верифицировать "фейковость" данных, которые появлялись, появляются и будут появляться в Даркнете? Позволю набросать некоторое количество возможных вариантов:

1️⃣ Семантическая проверка данных "утечки". Несоответствия в форматах: телефонные номера, почтовые индексы, форматы дат, доменные имена, идентификаторы клиентов и т.п. часто случайны или не соответствуют нормам страны или компании. Повторяемость строк: фейковые наборы часто генерирятся по шаблонам, и внутри много дубликатов или искусственных закономерностей. Неверные корреляции: например, email @company.com связан с человеком из другой страны или департамента. Например, в "утечке Sony" 2023 года журналисты заметили, что email-адреса и имена не соответствовали корпоративным форматам, и это позволило быстро усомниться в подлинности всех остальных данных.

2️⃣ Поиск совпадений с известными базами. Проверяйте, встречаются ли эти данные в ранее известных утечках (если у вас есть собственное подразделение Threat Intelligence). Если совпадения высоки, то велика вероятность, что "новая утечка" – это просто перепакованный старый дамп.

3️⃣ Проверка метаданных и контекста. Отсутствуют характерные артефакты, типичные для реальных инцидентов: имена таблиц, схемы БД, следы SQL-дампов, пути к файлам. Файлы созданы недавно, но не содержат "следов происхождения" (нет временных меток, логов, имен серверов). Объемы данных неправдоподобны – слишком ровные, без "шумов". Заявление о взломе появляется без подтверждающих скринов, POC-файлов, примеров данных. Хакерская группировка или хакер неизвестны или недавно созданы/зарегистрированы на форуме. Текст заявления полон маркетинговых фраз ("доказательство силы", "мстим корпорациям"), а не технических деталей.

4️⃣ Поведенческий анализ источника в Даркнете. Как давно создан профиль? Есть ли история продаж, отзывы, репутация? Реальные утечки обычно публикуют известные группировки или хакеры, которые предоставляют "доказательства" нефейковости данных (proof-of-life), например, 1–2% дампа выложены в открытый доступ. Например, BlackCat и LockBit почти всегда публиковали фрагменты доказательств, а фейковые "группы" типа Mogilevich или SiegeSec часто ограничивались заявлениями в Telegram. Но все это с оговоркой на "тихие утечки".

5️⃣ Проверка "канареечных токенов" (Canary Tokens). Можно заранее встроить в БД уникальные искусственные данные (email, документ, API-ключ). Если в "утечке" всплывает такой токен, значит, факт компрометации реальный. Если нет – скорее всего, данные подделаны или взяты из других источников. Но это может проверить только сама "жертва" – вовне эти хлебные крошки неизвестны.

6️⃣ Проверка реакции компании и регуляторов. Реальные инциденты обычно сопровождаются уведомлениями от самой компании, SOC / CERT, регуляторов или клиентов. Если нет официальных заявлений в течение 48–72 часов, а только "вброс" на форумах – это сильный индикатор фейка. Но, правда, в России это не очень работает – у нас любят замалчивать все утечки.

7️⃣ Есть еще инструментальные методы автоматической проверки, но это уже тема отдельной заметки.

Все это можно включить в соответствующий плейбук и регулярно проводить киберучения на предмет проверки фейковости данных; или использовать внешний сервис Threat Intelligence / Сюрвейинг для аналогичной задачи ✍️

Но есть одно «но» у этой истории - проверить это можно только изнутри компании, подозреваемой в утечке. Снаружи большинство этих методов, кроме 4-го пункта, не очень работоспособны. А значит все зависит от желания "жертвы" заниматься этим и опубличивать 🤔

ЗЫ. Еще вот это видео с PHDays можно посмотреть – оно про тоже самое.

#утечка #threatintelligence #персональныеданные

Читать полностью…

В «Аэрофлоте» до сих пор используют симуляторы для расчёта топлива после кибератаки.

Спустя почти два с половиной месяца после масштабной хакерской атаки на IT-инфраструктуру «Аэрофлота» около половины всех рейсов авиакомпании продолжают выполняться в нарушение Федеральных авиационных правил (п. 5.26 ФАП-128) без полноценного рабочего плана полёта (OFP). А именно без расчёта по топливу, метеорологической информации, карт опасных метеоявлений и данных о ветровой обстановке по маршруту.

Причиной проблем стал взлом американской программы Sabre FPM, через которую полётные диспетчеры обсчитывали рейсы и готовили брифинг-пакеты для экипажей. Авиакомпании пришлось экстренно перейти на российскую программу «Аэролоция», которой уже более 20 лет. Это ПО имеет устаревший движок, плохо адаптировано, не подгружает погоду, маршруты и другую важную информацию. Из-за минимальной автоматизации и медлительности «Аэролоции» диспетчерам всё приходится делать вручную. На обсчёт одного рейса у них уходит около получаса, тогда как при Sabre это занимало в среднем 5-7 минут.

В результате полётные диспетчеры, которых в штате «Аэрофлота» около 40 человек, а в смене работает в среднем 6–7, физически успевают обеспечивать необходимыми документами только международные рейсы, а также внутрироссийские продолжительностью свыше четырёх часов.

Остальные же рейсы до четырёх часов — а таковых около половины — частично обсчитываются с помощью скачанных из интернета программ для расчёта брифинг-пакета и моделирования полётов в авиасимуляторах. Например, Navigraph Charts, которая совместима с Microsoft Flight Simulator, и SimBrief by Navigraph. В них содержится чёткое предупреждение: «Not for real world navigation» («Не предназначено для навигации в реальном мире»). При этом данная фраза из документов обрезается.

Пилотам на коротких рейсах предоставляют не полностью рассчитанные полётные планы, составленные на основе усреднённых OFP прошлых полётов, без актуальных опасных метео явлений и ветровых зон по маршруту. После их забивки в бортовую систему самолётовождения (FMS), по просьбе руководства лётного департамента, пилоты рассчитывают топливо либо с помощью скачанного авиасимулятора, либо «дедовским способом», увеличивая запас топлива на всякий случай на три-пять тонн. Это приводит к перерасходу авиакеросина, снижению топливной эффективности, многомиллиардным убыткам и повышенному вреду для окружающей среды, а также создаёт дополнительные риски для безопасности полётов.

Отсутствие полноценного OFP ранее привело как минимум к двум инцидентам с вынужденными посадками самолётов «Аэрофлота» на запасных аэродромах для дозаправки. 30 июля экипаж Airbus A321 (RA-73160), выполнявший рейс SU-2130 из Москвы в Стамбул, над Чёрным морем объявил «Mayday Fuel», после чего развернулся и приземлился в Сочи. По той же причине в августе ещё один самолёт вынужденно сел в Самаре. По предварительной информации, это А321neo (RA-73705), выполнявший 29 августа рейс SU-233 из Дели в Москву.

Кроме того, экипажам может не выдаваться и утверждённый полётный план (FPL). Это привело как минимум к одному инциденту: 2 сентября самолёт Boeing 737-800 (RA-73095) «Аэрофлота», выполнявший рейс SU-850 из Хабаровска в Санью, отклонился от утверждённого маршрута над Гонконгом. Причиной этого стало отсутствие у экипажа ATC FPL с утверждённым маршрутом.

При этом задолого до хакерской атаки лётного директора «Аэрофлота» Эдуарда Советкина неоднократно предупреждали о необходимости разработки отечественных продуктов для расчёта брифинг-пакетов, чтобы поскорее заменить нелицензионное американское ПО Sabre. Однако он не видел в этом острой необходимости, продолжая докладывать руководству об отсутствии проблем и угроз. Уже после кибератаки Советкину также предлагали увеличить штат полётных диспетчеров, но этого пока так и не было сделано.

✈️ Залетай на Авиаторщину

Читать полностью…

Хакеры меняют тактики ⌨️, начиная использовать инструментарий ИБ для своих нехороших целей. Например, группировка Storm‑2603, также отслеживаемая и под другими именами, предположительно из Китая 🐉, начала использовать легитимный инструмент расследования инцидентов и цифровой экспертизы (DFIR) Velociraptor против организаций-жертв для обеспечения устойчивого доступа, закрепления и последующего развертывания программ-вымогателей (ransomware) 😷

Сама по себе процедура атаки была не новой, с одним исключением – установкой устаревшей и уязвимой верси Velociraptor 🦖 0.73.4.0 с известной уязвимостью CVE-2025-6264, позволяющей повышать привилегии. Инструменты DFIR обычно используются для расследования инцидентов и сбора доказательств, что не помешало злоумышленникам перенять их и для своих целей – скрытого контроля, расширения плацдарма, обеспечения C2-каналов. При этом не забываем, что использование такого легитимного инструмента усложняет обнаружение: сигнатуры могут не срабатывать, поскольку программа сама является "нормальной", но используется злонамеренно 📞

И также совсем недавно было обнаружено, что другие хакеры начали использовать HexStrike-AI – open source ИИ-инструмент 🤖, используемый командами red team для быстрой эксплуатации недавно выявленных уязвимостей типа n-day. Исследователи из Check Point Research зафиксировали активное обсуждение в Даркнете применения HexStrike-AI для обнаружения и использования уязвимостей в Citrix NetScaler ADC и Gateway (CVE-2025-7775, CVE-2025-7776 и CVE-2025-8424), включая удаленное выполнение кода без аутентификации и установку вебшеллов 🔓

HexStrike-AI позволяет значительно сократить время от обнаружения уязвимости до ее эксплуатации 🤕 – с нескольких дней до нескольких минут. И использование этого, в целом легального инструмента, демонстрирует не только активное освоение хакерами ИБ-инструментария, но и переход к атакам в реальном времени с помощью ИИ. В этом случае стандартный цикл (сканирование → разработка → внедрение) превращен в минутный процесс. Следовательно окно для патчинга существенно сокращается, а сама атака становится доступной более широкому кругу злоумышленников, снижая порог их входа 😂

Ну и как вы понимаете, это далеко не единственные примеры. В 2023-м году один российский антивирус использовался хакерами для атак на организации (и не исключаю, что до сих пор используется), в 2022-м тот же НКЦКИ 🗂 писал об уязвимостях в российском VPN-клиенте, позволяющем злоумышленникам обходить защитные механизмы. Так что вспоминаем "доверяй, но проверяй", ZeroTrust внедряй! 🤔

#хакеры #тенденции

Читать полностью…

Не знаю, как часто вы задумываетесь о кибербезопасности системы точного времени ⏳, но я вот поднял свои записи и решил поделиться мыслями на это счет (ну чтобы моя заметка про инцидент в Китае была дополнена и рекомендациями по ИБ, которые можно взять и применить на практике). Итак:

1️⃣ Архитектура и сегментация 🤬 Необходимо разделить инфраструктуру времени на логические/физические зоны (сами эталоны, оборудование и сети, которые распространяют время, например, NTP-сервера, потребители времени). Эталоны (атомные часы, рубидий, OCXO, локальные генераторы) – уникальная и критическая часть всей схемы; если офисный ноутбук попадет в сеть эталона, простая компрометация пользователя может привести к вмешательству в "источник истинного времени" ⏱ Большинство потребителей, конечно, первые два компонента не использует, но задуматься о резервировании как минимум NTP-серверов стоит.

2️⃣ Чтобы предотвратить удаленную компрометацию эталона через обычные IP-каналы необходимо организовать либо гальваническую развязку (air-gap) или установить однонаправленный диод данных для сегмента с эталонами ✂️ Опять же, при владении этим самым эталоном.

3️⃣ Криптография и протоколы времени (NTP / NTS / PTP) 🔐 NTP/PTP – протоколы синхронизации; NTS (NTPsec, RFC 8915) – защищенная надстройка для NTP; PTP имеет профили для высокоточного распределения времени и может поддерживать аутентификацию/шифрование на канальном уровне (MACsec) или TLS-туннелях. В противном случае незашифрованный NTP /PTP легко подделать / перехватить 🔍

4️⃣ Мониторинг времени как "сигнала безопасности" ⏰ Манипуляция временем дает "скрытый" эффект – нарушения в логах, верификации сертификатов PKI, финансовых системах – и может быть признаком целенаправленной атаки. Поэтому необходимо отслеживать метрики времени (offset, jitter, delay, переключения GM) как отдельный источник телеметрии и использовать их для обнаружения инцидентов ⏱

5️⃣ Идентификация аномалий PTP / NTP ⌛ Подмена grandmaster’a или появление "левых" NTP приводит к определенным шаблонам в пакетах. Поэтому стоит присмотреться в NTP/PTP-сообщениях на следующие параметры: Announce/Sync/Follow_Up (PTP), Path Delay, а для NTP – Stratum, RefID, Kiss-of-Death, Leap Indicators. Но важно помнить, что тот же PTP критичен к задержкам и поэтому инспекция должна быть аккуратной; ну и multicast учитывать также. Тут хорошо подойдут решения класса NTA. NGFW/IPS могут распознавать NTP, но PTP уже не понимают и тем более не оценивают логику (Stratum jump, Leap Second Spoof) 🛰

6️⃣ Управление ключами и доступом (HSM, RBAC). Компрометация ключей NTS/PTP дает возможность выдачи ложных аутентифицированных сообщений о времени, что требует хранения секретов/ключей в аппаратных криптографических модулях HSM и RBAC для управления GM, а также оффлайн-хранения критичных конфигураций 🛂

7️⃣ Про безопасность мобильных устройств говорить не буду (это только в кейсе с китайцами было актуально), а вот про киберучения сказать надо – необходимо хотя бы иногда отрабатывать сценарии "подмена времени", например, "прыжок времени" или "левый GM" 👨‍🎓 Особенно если вы субъект КИИ и ваше оборудование требует точного времени для своей работы.

#supplychain #стратегия

Читать полностью…

Давайте определимся с тем, надо ли сообщать о фейковых утечках ПДн или нет? 🤔 Ряд комментаторов к вчерашним постам про "фейковую утечку" из мессенджера MAX (тут и тут) заявляют, что это не нужно, а уведомлять необходимо только о реальных инцидентах. Так вот разочарую – закон гласит обратное. В приказе Роскомнадзора от 14.11.2022 №187 четко написано (п.16): ✏️

"В указанном случае [неподтверждения оператором факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, и (или) неустановления принадлежности скомпрометированной базы данных, содержащей персональные данные] к дополнительному уведомлению оператором прикладывается акт о проведенном внутреннем расследовании, подтверждающий отсутствие факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, и (или) неустановления принадлежности скомпрометированной базы данных, содержащей персональные данные, соответствующему оператору в деятельности такого оператора."

Ну и чтобы дважды не вставать. В случае обнаружения скомпилированной базы ПДн из ранее зафиксированных утечек уведомлять РКН тоже надо (п.17): 📝

"В случае установления оператором, Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, содержащихся в базе данных, характеристики которых полностью соответствуют ранее скомпрометированной базе данных, оператором направляется уведомление, предусмотренное частью 3.1 статьи 21 Федерального закона "О персональных данных"."

Так что о каждом фейке надо сообщать 🎭 Да, это тоже потенциальный вектор для атаки на организацию, о чем РКНу говорили еще на этапе публичного обсуждения проекта приказа. Но кто у нас слушает экспертов?

ЗЫ. Пару лет назад я публиковал уже рабочую тетрадь по процессу уведомления об утечках ПДн, но думаю, что можно и повторить - там много полезного (включая и саму блок-схему всех 6 этапов процесса реагирования для плейбука).

#регулирование #утечка #персональныеданные #управлениеинцидентами

Читать полностью…

Имидж "резидента пяти разведок и агента шести держав" прочно прилип и не отпускает 🫡

#юмор

Читать полностью…

В даркнете выставили на продажу базу данных пользователей мессенджера MAX.
Продавец утверждает, что в его распоряжении находится более 46,2 млн записей, а также что у него сохраняется VPN-доступ к Salesforce и другим внутренним системам сервиса.
В качестве подтверждения он опубликовал небольшую выборку (sample) данных.

Актуальность - 19.10.2025

Состав
▪️ID
▪️ФИО
▪️Телефон
▪️Статус активации на Госуслугах
▪️ID номер на Госуслугах

#утечка #max #госуслуги #vk

Читать полностью…

Очередной взгляд на перечень возможностей, которыми должны обладать современные SIEMы (хотите, называйте SIEM NG).

#siem #тенденции

Читать полностью…

Помните летнюю историю с белой хакершей Bobdahacker, которая нашла критический баг на портале McDonald's 🍔 для партнеров и сотрудников, позволявший получить админские права, размещать бесплатные онлайн-заказы еды, читать корпоративную почту и т.п. Первые попытки достучаться до компании закончились неуспешно 🍔 и тогда Bobdahacker обратилась к другу, работающему в McDonald's, с целью помочь провести исследование до конца и достучаться до руководства "бургерной". И вот тут интересно – компания, вместо того, чтобы похвалить своего работника за помощь в улучшении ИБ, сделать его Security Champion, наградить карточкой Amazon Gift на 50 баксов (я такие получал в Cisco) и т.п., просто его (или ее) уволила! 🖕

И вот новая история. Аттаюла Бейг (Attaullah Baig), бывший руководитель по безопасности в WhatsApp 📱, подал в суд на своего работодател, заявив, что за время работы обнаружил серьезные нарушения в защите данных пользователей, которые компания не планировала устранять. По словам Бейга при проведении внутреннего red-team он обнаружил, что около 1500 инженеров WhatsApp имели неограниченный доступ к пользовательским данным, включая чувствительную информацию (контакты, IP-адреса, профили), и могли "перемещать или похищать" такие данные без следов 😡 Также истец утверждает, что WhatsApp не вел надлежащий учет того, какие данные собираются, где они хранятся, и кто получает к ним доступ, нарушением тем самым требования к ИБ, в том числе в рамках постановления Федеральной торговой комиссии (FTC) 2020 года, вынесенного после скандала с Cambridge Analytica. Наконец, утверждается, что якобы ежедневно происходило порядка 100000 взломов учеток WhatsApp – и компания не предпринимала адекватных мер для предотвращения этих инцидентов 😂 После того как Бейг поднял эти вопросы перед руководством (включая Марка Цукерберга), он подвергся "корпоративному унижению": ухудшились оценки в рамках performance review, были ограничены его полномочия, а впоследствии его уволили под предлогом "плохой работы" 🤸

Оставим в стороне вопросы мотивации Бейга (кто-то говорит, что он реально за правду, кто-то – что он обижен и хочет срубить бабла). Для специалистов по кибербезу и compliance дело может служить очередным прецедентом – внутренний сотрудник безопасности (whistle-blower) предъявляет претензии к работодателю за то, что опасные уязвимости не были устранены, и затем идет против компании в суд ✋

Интересно, что это не первый такой кейс. Уже был случай с бывшим старшим директором по кибербезопасности, контроля и соответствия в Aerojet Rocketdyne ✈️ Он утверждал, что обещанный бюджет и ресурсы для безопасности были сильно урезаны (ахаха), компания не соблюдала требуемые правила по кибербезопасности, а когда он поднял вопрос – его уволили 😔 Также в одном калифорнийском государственном университете руководитель ИБ подала иск за незаконное увольнение ("wrongful termination and whistleblower retaliation") после того как она сообщила об инциденте и компания отказалась исправлять соответствующую уязвимость. Аналогичный кейс был и с ИТ-директором Penn State University & Matthew Decker 🫤

У нас такие кейсы, что характерно, тоже были. Знаю, как минимум, один случай ☝️

#ответственность #ciso

Читать полностью…

Как мы помним, гомоморфное шифрование 🔑 уже использовалось на дистанционном электронном голосовании в Москве пару лет назад. И видится мне, что эту тему начинают потихоньку раскручивать у нас в стране. Вот и Ассоциация больших данных совместно с компаниями Guardora и Privacy Advocates выпустила достаточно неплохой обзор этой технологии в сценарии ее использования для конфиденциальных вычислений и доверенных сред исполнения; с прицелом на обработку персональных данных 🎯

Правда, авторы честно пишут ✍️, что законодательство сегодня не допускает применения технологии гомоморфного шифрования для защиты персданных, так как решения на ее основе не проходили оценки соответствия (неявно, но подразумевается сертификация в ФСБ как СКЗИ). Но вот как дополнительную технологию... 🤔

Помню лет 6-7, а может и больше, я выступал на РусКрипто с докладом о применении технологий шифрования в качестве инструмента обезличивания ПДн 🔐 Так вот доклад АБД говорит ровно о том же, но не называя это прямо обезличиванием, так как по дурости одного регулятора у нас почему-то обезличивание разрешено только для госов, а для коммерческих компаний запрещено (хотя такой нормы в законе никогда не было – это очень странная трактовка). Так что по мере развития темы гомоморфного шифрования в стране, ожидаю, что трехбуквенный регулятор (но не тот, о котором вы подумали) возьмет стойку. Так что будем посмотреть... 🤔

#криптография #персональныеданные

Читать полностью…

Гостеприимные коллеги в Минске, памятуя о моей заметке про шатанов, подарили мне прекрасную книгу про мифологических существ Беларуси 🇧🇾 Ну а я выкладываю свою презентацию про безопасность подрядчиков аутсорсеров в финансовом секторе, которую прочитал позавчера 👇 Что характерно, SMS-агрегаторы в ней тоже упомянуты в разделе поставщиков с максимальным, критическим уровнем опасности.

ЗЫ. А я уже придумал, чем буду иллюстрировать свою презентацию на грядущей через пару недель в Минске SOCcon 🏰 Мы там планируем нечто интересное по контенту на обоих потоках. Ну и по формату тоже; куда ж без этого.

#supplychain #презентация

Читать полностью…

Ольгу Бузову взломали, о чем она в шоковом состоянии сообщила в Telegram. Потерян доступ к страницам с 24 миллионами подписчиков 😲 Интересно было бы узнать детали произошедшего, но пока звезда пилит только кружочки с переживаниями о произошедшем и о том, что она держится из последних сил, скорбя о потере страницы с таким количеством подписчиков 📈

Ну а мошенники пока этим пользуются, распространяя всякое... Понять боль "актрисы" и "певицы" не сложно – по экспертным оценкам (не моим), ее годовой доход от рекламы в соцсетях составляет около 80 миллионов рублей (один рекламный пост стоит от 300 тысяч до одного миллиона рублей). Есть за что переживать... 😭

Хотя может ей действительно жалко терять контакт со своими миллионами подписчиков, с которыми она общается сама без всяких помощников и вот этого всего... Мне сложно понять ее чувства – рекламу не размещаю, миллионов подписчиков не имею. Разные у нас весовые категории ⚖️

#инцидент

Читать полностью…

Помните историю про отключение банков от СМЭВ при отсутствии аттестации ФСТЭК? 🗂 История получает свое развитие. Банки получили от Минцифры письмо, в котором говорится о риске отключения от ЕСИА при отсутствии СКЗИ класса КС3 (VPN и средство ЭП). Не знаю, что стоит за этим письмом (не инцидент же), но описанная в нем логика прослеживается достаточно давно. Например, ФСТЭК еще с 2022-го года считает, что внутренний нарушитель есть всегда, а значит по линии ФСБ 🇷🇺 – это уже модель нарушителя Н3 и средства криптографической защиты не ниже класса КС3. А в 2019-м году на Магнитке зампред ЦБ, Ольга Скоробогатова, прямо говорила, что по их мнению все банки должны использовать СКЗИ классом не ниже КС3.

Отдельной вишенкой на этом "торте" 🍰 является предупреждение от Минцифры 🔢 о том, что если кто-то не исполнит описанные требования, то доступ к ЕСИА может быть ограничен, а к нарушителю может быть отправлена проверка ФСБ 👮

Но, как мне кажется, банки 🏦 – это только начало и требование применения КС3 будет распространено на все компании, подключающиеся к ЕСИА. Что это значит для большинства компаний? Например, запрет на виртуализацию и облака, в которых КС3 просто нельзя реализовать из-за требований ФСБ к криптографии этого класса защиты. В свою очередь это приводит нас к перестройке архитектуры решений, пересмотру используемых решений, росту затрат... А учитывая, что в ЕСИА/ЕБС сегодня загоняют многих, то 🕺

#регулирование #криптография #тенденции

Читать полностью…

Был вчера на записи подкаста 🎙 про процессы и оценку эффективности SOC и зашел у нас разговор за метрики. Не успел раскрыть мысль на эфире, поэтому напишу тут. Снова про закон Гудхарта, который утверждает, что как только ты сделаешь какую-то метрику главной, она перестает быть полезной. Потому что специалисты, подрядчики или даже руководители найдут способ превратить ее в профанацию (вообще про "закон Гудхарта" я немало написал в канале) 🤷‍♀️

Если, например, сделать главной метрикой 👉 количество закрытых инцидентов, SOC начнет закрывать их быстрее – не разбираясь в сути, не устраняя первопричины и не улучшая процессы (не сразу, но начнет). Если в приоритете количество обнаруженных уязвимостей (если это включено в сервисы SOC, конечно), команда начнет искать их там, где проще, игнорируя сложные и критичные участки, целевые системы и т.п. 🤕 Или наоборот – искусственно раздувать отчеты, чтобы продемонстрировать "активность". Когда в одной компании метрикой выбрали "нулевое количество утечек", сотрудники просто перестали о них сообщать 🤐 – чтобы не портить статистику. Реальных инцидентов стало не меньше, просто они ушли в тень.

Идеальной метрики в ИБ не существует 😱 Потому что как только появляется система оценки, люди начинают играть с правилами, а не с результатом (в любой системе). Поэтому не стоит превращать киберустойчивость, доверие или безопасность бизнеса в единственную "священную метрику" 🐮 Это должно оставаться стратегической сверхцелью, которую метрики лишь приближают, но не подменяют 😵

В качестве главной метрики 🎖 разумно выбирать тактическую цель, которая помогает продвинуться к стратегической – например, долю покрытых систем мониторингом, скорость реагирования или процент пользователей, прошедших тренинг повышения осведомленности, но не сообщивших о фишинге. Но как только сотрудники научатся "играть" с этой метрикой, а они научатся, – придется искать новую ☺️ Метрики должны жить, меняться и эволюционировать вместе с угрозами, технологиями, задачами, бизнесом, иначе они сами станут самым слабым звеном.

ЗЫ. А у вас есть процесс управления измерениями ИБ? Кстати, на SOCcon тоже будем об этом говорить.

#soc #метрики

Читать полностью…

Продолжим смотреть на убытки от кибератак 🤑; на этот раз английский ритейлер Marks & Spencer (M&S), который в конце апреля 2025 года столкнулся с крупным "кибер-инцидентом", при котором были отключены онлайн-заказы по одежде, домашним товарам и средствам красоты, а также некоторые функции в магазинах, например, Click & Collect. Онлайн-заказы были приостановлены примерно на 46 дней, прежде чем M&S смогла возобновить оформление заказов на доставку 📦 При этом утекли персональные данные клиентов. По данным проведенного расследования, вход был получен через стороннего подрядчика, посредством социальной инженерии (сброс паролей через help-desk). Ну а теперь к убыткам 💸

M&S оценивает удар по операционной прибыли примерно в £300 миллионов фунтов стерлингов (≈$400 миллионов) в 2025 финансовом году из-за последствий атаки. Аналитики оценивают, что убытки уже могли составлять £60+ миллионов к маю 2025-го, с падением рыночной капитализации M&S более чем на £1 миллиард (в реальности около 700 миллионов) 📉 Снижение доступности товаров в магазинах: из-за отключения систем заказов и логистики M&S сообщала о дефиците некоторых продуктов в магазинах. Дополнительные расходы: переход на ручные процессы, замена/восстановление ИТ-систем, аудит безопасности, внешние консультации – все эти статьи количественно не явно раскрыты, но отмечены как значимые. Репутационные риски 🤠 и утрата доверия: компрометация данных клиентов (имена, адреса, история заказов) может повлечь отток клиентов, снижение лояльности и дальнейшие расходы, но оценить это можно будет позже.

Наряду с прямыми потерями есть "хвостовые эффекты" – снижение роста, изменение поведения покупателей, усиление конкурентного давления и т.п. 🛒 Кроме того, отмечается потеря эффективности цепочки поставок из-за временной нестыковки между складами, ИТ и ритейлом; частичное ручное резервирование заказов. Компании пришлось отложить часть ИТ-инициатив, чтобы перераспределить ресурсы на восстановление. После атаки Marks & Spencer объявила об увеличении бюджета кибербезопасности (цифры не раскрывались, но ожидается рост на 30–40%) 🛡

Инцидент M&S – один из крупнейших по стоимости в британском ритейле (инцидент с Co-op уступает по размере потерь) 🤑 Но этот кейс не относится к стратегическому кризису (компания осталась прибыльной и ликвидной), хотя в совокупности и потеряет (напрямую) около 0,2–0,3% годового оборота (а также около 2,5% в качестве операционного эффекта и около 6% рыночной стоимости, то есть восприятия рынком, а не денежного оттока), что представляет собой статистически умеренное воздействие, если не считать репутационных последствий и операционного эффекта ☺️ Это не системный провал безопасности, а скорее недооцененный подрядчик и человеческий фактор. Но в любом случае неприятно.

#ущерб

Читать полностью…

когда в утечке нет ред флагов
то это сразу же ред флаг

Около 40% "новых" дампов в Даркнете – это пересобранные фрагменты старых баз, к которым добавили новые метаданные и выдали за свежий взлом 👎 Почему "хакеры" все чаще объявляют о взломах и утечках, которых на самом деле не было? Я бы выделил несколько возможных причин:

➡️ Получение прибыли, так как продажа "утекших данных", как и продажа любых подделок, от фейковых ювелирных украшений до поддельного алкоголя, может приносить деньги.
➡️ Повышение узнаваемости. Хакерские группы хотят известности. Например, в марте 2024 года одна группировка заявила о взломе Epic Games, но никаких доказательств не было; позже оказалось, что они просто сделали фейк, чтобы привлечь внимание к своей деятельности.
➡️ Создание отвлекающего маневра – пока организация занята расследованием заявленной "утечки", преступники могут на самом деле проникать через другой канал.
➡️ Подрыв репутации компании. Даже обычное заявление о взломе может нанести ущерб бренду, несмотря на отсутствие утечки. Например, когда в сентябре 2023 г. заявлялось о взломе Sony, но впоследствии подтвердилось, что доказательств нет, вред все же был нанесен.
➡️ Манипулирование курсом акций. Для публичной компании новость о взломе может привести к падению стоимости акций – преступники могут организовать фейковую утечку ради спекуляций на фондовом рынке.
➡️ Сбор разведданных об ИБ-инфраструктуре. Объявление утечки может заставить компанию-"жертву" показать, как она реагирует, какие процессы задействует, что позволяет хакерам лучше спланировать реальную атаку 🤔

На какие признаки фейковости стоит обращать внимание?
🌟 Нет примеров данных ➡️ 🔴 высокая вероятность фейка
🌟 Нет старых следов группировки ➡️🔴 высокая вероятность фейка
🌟 Нет упоминаний в TI-источниках ➡️🟡 средняя вероятность фейка
🌟 Данные совпадают с другими утечками ➡️🔴 высокая вероятность фейка
🌟 Ошибки в форматах, фейковые поля ➡️🟡 средняя вероятность фейка
🌟 Отсутствие официальных подтверждений ➡️🟡 средняя вероятность фейка
🌟 Данные сгенерированы ИИ (однородность, фиктивные адреса) ➡️ 🔴 высокая вероятность фейка

Чтобы отличить фейковую утечку от реальной, нужно оценивать не только сами данные, но и контекст, историю источника 👀, наличие прямых и косвенных доказательств, возможность верификации и реакцию всех участвующих сторон. Иными словами, "фейковая утечка" – это скорее не технический, а информационно-психологический инцидент, и подходить к ней нужно с методами OSINT, threat intelligence и форензики одновременно 🤔

ЗЫ. Представьте ситуацию – некий месенджер 💬 заявляет о том, что у него 40 миллионов пользователей, но это неправда. Эта цифра утекает в СМИ и хакеры, желающие нажиться, создают фейковую утечку на 40 миллионов записей. И всё, все, кто вовлечен в обман и накрутки, знают, что это фейковая утечка, так как в реальности пользователей гораздо меньше! Бинго! Простой способ вывести мошенников на свет! 💡

#утечка #персональныеданные #threatintelligence

Читать полностью…

Интересные какие последствия кибератаки на Аэрофлот проявляются... 🛩 Это к разговору о том, что восстановление полетов в течение суток, конечно, хорошо. Но вот остальные внутренние процессы восстанавливаются не так быстро. Именно поэтому посчитать ущерб в день инцидента или даже через неделю невозможно 🤔

#ущерб

Читать полностью…

С упоением слежу за творчеством представителей одной питерской, широко известной в узких кругах, высшей школы по ИБ 🧠, известной по применению кротовых нор для поиска уязвимостей и проведению пентестов в национальном масштабе, фракталов, мультифракталов, вейвлетов и фильтра Калмана для обнаружения атак SYN Flood, а также выявлению аномалий в IoT на основе гиперкуба 😮 И вот новая инновационная технология – интеллектуальная система адаптивной защиты от сетевых атак на основе реконфигурации сети.

Не знаю, помните 🧠 ли вы (скорее всего нет), но в конце 90-х в США один бывший россиянин запатентовал систему динамической и практически непрерывной смены IP-адресов для защиты от атак. С тех пор на эту технологию перешли... никто, так как поддерживать эффективную маршрутизацию трафика в таких условиях практически невозможно 📇

И вот, спустя почти 30 лет, к схожей идее решили вернуться на брегах Невы, дополнив технологию искусственным интеллектом 🧠 Авторы предлагают за счет обучения с подкреплением генерить множественные топологии сети и изменять пропускную способность каналов связи, что по мнению авторов должно привести к кардинальному снижению опасности проведения DDoS-атак. Было даже посчитано значение этого снижения – 46% (почему не 146%?) 🛡

Все, атаки побеждены, критики посрамлены, хакеры остановлены, русская научная школа торжествует, диссертации пишутся, степени присваиваются... И пофигу, что на практике это все не работает. Впереди ждут новые гранты... 🤑

ЗЫ. Авторы считают, что сеть с 320 устройствами – это большая инфраструктура 🤦‍♂️

Читать полностью…

Как-то так, да...

#инцидент

Читать полностью…

Министерство госбезопасности КНР 👲 в своем канале в WeChat обвинило АНБ США в том, что оно в течение длительного времени проводило атаки против National Time Service Center (NTSC), института Академии наук КНР, обеспечивающего эталонное время и его распространение в Поднебесной 🐉

Предположительно начиная с 2022 года АНБ 🇺🇸 якобы "эксплуатировало уязвимость" в сервисе обмена сообщениями одного иностранного бренда смартфонов (какой именно бренд был использован неизвестно), чтобы получить доступ к мобильным устройствам сотрудников NTSC 📱 В период 2023–2024 годов была проведена серия атак (до 42 инструментов кибероружия, по словам Китая) на внутренние сети института и на "высокоточную наземную систему времени" ⏱

МГБ предупреждает, что Центр времени обеспечивает синхронизацию времени 🕙 для широкого круга критических инфраструктур: связь (PTP), финансы (биржевые временные метки, высокочастотный трейдинг), энергетика (синхронизация, PMU), транспорт, ИБ (регистрация и корреляция событий ИБ, PKI/Kerberos). Нарушение могло привести к каскадным эффектам. Китай 🇨🇳 утверждает, что располагает доказательствами, но пока не опубликовал их публично (возможно, ждут грядущих торговых переговоров Си и Трампа, что грозит очередным витком напряженности). При этом Китай критикует США за "двойные стандарты" – обвиняет США в том, что они сами ведут подобные операции и затем обвиняют Китай 🐲

ЗЫ. А вы защищаете свои сервисы от атак на службы точного времени? 🤔

#инцидент

Читать полностью…

Пришли тут ко мне в личку солидные люди в черных пиджаках 😕 и говорят, мол, Алексей Викторович, негоже лить воду на мельницу врага, раскачивать лодку и дискредитировать власть. Да и вообще, в наше неспокойное время, мы должны все как один встать плечом к плечу дабы не посрамить и бла-бла-бла... 🧐

И вот что я хочу на это все сказать. Нет, не про то, что дискредитировать можно только то, что еще себя само не дискредитировало. Я же про кибербез только тут пишу. Так вот мне, если честно, глубоко фиолетово на то, что там утекло или не утекло у ООО "Коммуникационная платформа". Инциденты происходили, происходят и будут происходить. Все, что может утечь, утечет 🤷‍♀️

Да, судя по предварительному анализу реальной утечки не было 😎 и речь идет о компиляции или фейке (ник "титушко" как бы тоже намекает). Но, повторю, важен не сам факт утечки или ее отсутствия, а реакция на вброс. Ника, возможно, сделает у себя в канале @PR_machine_Nika разбор этой истории с точки зрения антикризисного PR, а меня больше интересует процессная часть ИБ 🛡

Есть заявление об утечке, которое должно быть отработано в соответствие с требованиями законодательства (уведомление РКН и НКЦКИ) 👮‍♂️🚫 Есть правило хорошего тона – разобрать с технической точки зрения данный "инцидент" и показать все несуразности (в пределах допустимого). Это правило не для всех, но учитывая, с какой помпой раскручивали MAX, это напрашивается. Ровно это и надо сейчас делать, а не включать PR-машину и разгонять по всем каналам "вы фсё вриёте" Ⓜ️ Так доверие не заработать – скорее наоборот, пользователи еще больше уверятся в том, что утечка имела место быть. Коль скоро государство хочет всех пересадить на MAX, соблюдая при этом приличия, то и надо вести себя корректно до конца (хотя государству это и не свойственно).

Чтобы я сделал, ну если бы меня спросили: 🤔
1️⃣ Провел бы внутреннюю проверку и публично сообщил о ней в формате технического отчета. Для независимости бы пригласил внешнюю компанию с именем в ИБ. Учитывая, что это первая такая "утечка", то сразу бы заложил и различные PR-мероприятия по факту расследования с участием внешних экспертов и т.п.
2️⃣ В рамках коммуникации не начинал бы сразу отрицать, а объяснял бы, почему это фейк или компиляция. Опять бы привлек внешних экспертов, у которых имя и которым верят, как минимум, в комьюнити и которые дорожат своей репутацией (если согласятся, конечно же). Тем более, что в ВК уже были утечки; отрицание в таком варианте не работает вообще.
3️⃣ Провести AMA-сессию с разработчиками и безопасниками, отвечая на вопросы без бюрократических формулировок и корпоративного булшита 🧑‍💻

Это базовый минимум, который бы делал я. Посмотрим, что будет делать ООО "Коммуникационная платформа", у которой на сайте нет ни слова... ни о чем... 🤦‍♂️

#управлениеинцидентами

Читать полностью…

Никогда такого не было и вот снова... Либо кто-то хочет вбросить "супротив" и это просто фейк, либо... 😂 У ООО "Коммуникационная платформа" есть сутки на то, чтобы уведомить РКН о произошедшем и потом еще чуть-чуть времени, чтобы представить детали инцидента или доказать, что это фейк Ⓜ️

Главное, чтобы сам РКН не поторопился заявить, что факт утечки не подтвердился, как это было в кейсе с Аэрофлотом, когда через день после выступления уполномоченного органа хакеры выложили в паблик медицинские данные пилотов и бортпроводников 🚰 Еще и НКЦКИ надо уведомить, так как ООО, владеющее MAXом, подпадает под определение субъекта КИИ, как обеспечивающее взаимодействие между иными субъектами КИИ.

Если утечка подтвердится, а оператором ПДн для MAXа числится у нас 💬, то это уже, как минимум, будет вторая утечка персданных у компании и... будет ли применена норма по оборотному штрафу, вопрошает все прогрессивное DPO-комьюнити ❓

Но, признаюсь честно, мне почему-то кажется, что будет принято решение все отрицать, как, например, было принято решение, что ООО "Коммуникационная платформа" - не организатор распространения информации (да-да, вот такой вот пердимонокль). А это забьет очередной гвоздь в крышку гроба под названием "адекватная защита прав субъектов ПДн в России". Когда государство само демонстрирует, что есть те, "кто ровнее перед законом", то все его потуги по выстраиванию правильного процесса обречены на неудачу 🤔

ЗЫ. Утекло 46203590 строк персональных данных!

ЗЗЫ. Упоминание salesforce смущает, но думаю, имеется ввиду не SFDC, а просто внутренняя CRM... Ибо если там до сих пор облачная зарубежная Salesforce применяется... 😲

#утечка #мессенджер #персональныеданные данные

Читать полностью…

Если вдруг вы пользуетесь 1Password 🔏 в качестве парольного менеджера, то будьте бдительны – скамеры с помощью фишинговых сообщений могут выведать ваши учетные данные для доступа к хранилище всех паролей, Пользователи LastPass столкнулись пару дней назад с той же проблемой – фишинг якобы о взломе парольного менеджера. Вы удивитесь, но пользователи еще одной хранилки паролей, Bitwarden, сейчас лицом к лицу встречаются с той же проблемой 🥷

Три парольных менеджера под угрозой... 🤕 Но только ли три? Может быть и другие тоже? По крайней мере стоит оповестить работников об этой угрозе. Даже если вы в компании это ПО не используете, то ваши пользователи, которые это могут делать на личных устройствах, скажут вам спасибо. А это уже немало и еще один шаг к формированию доверия между пользователями и службой ИБ 🤝

#фишинг #аутентификация

Читать полностью…

📥Фреймворк психологии кибербезопасности

Пожалуй, интересное с точки зрения психологии принятия решений исследование и модель, призванная попытаться разрешить (или хотя бы понять) проблему человеческого фактора в кибербезопасности.
Да, конечная цель утопична ибо это попытка победить подсознательное: сам автор исследования подчеркивает, что большинство решений в области безопасности происходят на подсознательном уровне за 300-500 миллисекунд до того, как мы их осознаем, но выявление групповых факторов (подверженности персонала) и расчет оценки риска может позволить улучшить систему защиты организации.

Сама модель представляет собой 100 индикаторов поведения, сгруппированных по 10 категориям:
🔗Подчинение авторитету — когда люди слепо выполняют указания начальства или тех, кто представляется авторитетом.
🔗Временные уязвимости — поспешные решения под давлением времени.
🔗Социальное влияние — склонность делать то, что делают другие.
🔗Эмоциональные уязвимости — решения под влиянием страха, стресса или других эмоций.
🔗Когнитивная перегрузка — когда слишком много информации мешает принимать правильные решения.
🔗Групповая динамика — как поведение группы влияет на безопасность.
🔗Стрессовые реакции — как стресс влияет на решения по безопасности.
🔗Бессознательные процессы — скрытые мотивы и страхи.
🔗ИИ-специфичные предрассудки — новые уязвимости при работе с искусственным интеллектом. Например, излишнее доверие рекомендациям генеративных ИИ.
🔗Критические состояния — когда несколько факторов действуют одновременно.

Все группы индикаторов соотносят с научными работами и подходами известных психологов и экономистов: например, с теорией групповой динамики Уильяма Биона, в рамках которой описаны три базовых допущения, которые бессознательно принимаются группой людей при столкновении с тревогой. В контексте кибербезопасности эти допущения проявляются как уязвимости групповой динамики:
🟠"Зависимость" — чрезмерная зависимость от поставщиков безопасности и поиска серебряной пули (технологии, дающей 100% защиту).
🟠"Бей-беги" — агрессивная защита периметра при игнорировании внутренних угроз.
🟠"Объединение" — постоянное приобретение новых инструментов без устранения фундаментальных уязвимостей.

Как видите, речь здесь не только про поведение рядовых сотрудников, нажимающих на ссылки в фишинговых письмах, но и ИБ-специалистов и руководство в том числе.

p.s. Такими темпами придется скоро психолога в SOC брать😄

#awareness #framework #psychology

Читать полностью…

Глава ФСБ заявил о том, что западные государства могут снизить стойкость всей криптографической защиты к 2030-2035 годам 🇷🇺 Интересная оценка, которая соотносится с тем, о чем я писал летом (как раз 2030-й год прогнозировался при наличии научных прорывов). Более реалистичная оценка метила в 2035-2040 годы при текущем развитии исследований в этой области ⚛️

На этом фоне интересным выглядит недавно опубликованный Ассоциацией ФинТех шестой выпуск аналитического фреймворка Финтех-Радар 📡, который посвящен постквантовой криптографии и квантово-устойчивой защите данных финансовой отрасли. В нем дан неплохой высокоуровневый обзор текущего состояния этой области – полезно для первичного погружения в тематику. По оценкам экспертов, уже к 2030 году квантовые компьютеры достигнут достаточной мощности для взлома существующих криптографических алгоритмов 🔑

Одна сложность со всей этой историей, что адекватных мер нейтрализации этой угрозы у нас в стране пока не существует 🤷‍♀️ Хотя вроде как эксперты 8-го Центра говорят, что наши текущие криптографические алгоритмы вполне себе стойки к квантовой угрозе, но кто знает, насколько долго это все продлится. Нужны новые алгоритмы и решения их реализующие, но пока этого нет (хотя работы и ведутся) 🤔

#pqc #криптография #модельугроз

Читать полностью…

Вчера министр цифрового развития заявил, что по данным Роскомнадзора 🚫 у нас стало меньше утечек персональных данных и, возможно, это следствие принятого закона об оборотных штрафах за утечки персональных данных. И у меня есть, что сказать по этому поводу. И, возможно, это будет противоречить мнению министра и статистике Роскомнадзора. Ну да не впервой 🤠

В разговоре с близким другом проскользнуло упоминание об утечке из одного отечественного маркетплейса, о которой в паблике ни слова 🤐 Пошел выяснять – действительно, на привычных площадках, где выкладываются объявления о продаже или раздаче утекших баз, ни одного упоминания. Ищем дальше. Есть частичное доказательство в Химере, парочку запросов на покупку этой базы на различных ресурсах, а в дискуссии с другим коллегой эта утечка также была упомянута, но в совершенно иной ситуации. Случайность? Возможно. Потом всплывают факты утечек у еще двух компаний, одна – один из лидеррв российского бигтеха, другая – один из крупнейших банков 🚰 И снова в паблике про это ни сном, ни духом. На случайность уже не тянет; да и в совпадения я уже не верю. Что же тогда происходит? Я бы выделил следующие моменты:

1️⃣ С введением оборотных штрафов 🤑 за утечки любая публичность сразу повышает юридические риски для пострадавшей компании. Это создает сильный мотив "не светить" эпизод (минимизировать следы, сдержанно коммуницировать, идти в частные переговоры). Для злоумышленников это тоже сигнал: чем меньше шума – тем дольше продается и дороже стоит. Об этом, кстати, предупреждали, когда принимали закон об оборотных штрафах.

2️⃣ Серии операций правоохранителей против крупных хакерских форумов (RaidForums → BreachForums и его повторные изъятия доменов/каналов) разогнали часть аудитории в закрытые чаты и приватные брокерские "OTC-сделки". Меньше открытых площадок – меньше полноценных дампов "в свободном доступе" 😂

3️⃣ Телеграм-экоcистема и invitation-only группы стали удобной плошадкой для торговли базами, обмена "тизерами" (1 запись, небольшой фрагмент) и поиска покупателя – без публичного выкладывания всего массива. Это осознанная стратегия сливоделов для сохранения ценности данных 🥷

4️⃣Растет доля "утечка-без-витрины": вместо шифрования и громкого "сливного сайта" (DLS) – тихая выгрузка и давление на жертву напрямую через почту/мессенджеры; в паблик попадают лишь крошечные пробники в качестве доказательства. Это хорошо видно по отчетам за 2024–2025 гг. 🥷

5️⃣Много "мелочи" из инфостилеров и сборных "лог-паков": из-за этого внешне видны лишь отдельные записи, запросы "где достать такую-то базу", разрозненные скрины. Полного дампа в паблике нет – он "ходит" в приватных каналах и по руках 🤝

В сумме это дает картину, в котором нам теперь придется существовать. Роскомнадзор будет вливать всем в уши о победе над утечками и снижении их числа, а те, кому надо, будут по-прежнему иметь доступ к самым свежим данным по россиянам 🤷‍♀️ Службам Threat Intelligence придется изучать косвенные следы (единичные записи/фрагменты/намеки), которые, сложенные вместе, указывают на утечку – но без привычного публичного "большого файла". Но в чем-то министр цифрового развития прав – оборотные штрафы и правда привели к снижению числа утечек; публичных утечек, которые попадают в прицел РКН 🧐

И это я еще не говорю про целенаправленную работу отдельных компаний по зачистке Интернета от фактов, доказывающих наличие утечки. Некоторые *техи имеют ресурсы, чтобы таким заниматься 🤔 Поэтому, когда вы слышите об утечке, которой нет в паблике, это не значит, что ее нет!

#утечка #персональныеданные #тенденции

Читать полностью…