Подписчица тут поделилась (за что ей спасибо 🤝) ссылкой на очередной обзор зарплат специалистов по ИБ в России за 3-й квартал 2025 года (там и по ИТ есть). Считать деньги в чужом кармане всегда приятно, а анализировать динамику их изменения тем более. Значительный рост отмечен для сеньоров в AppSec (не путать с DevSecOps), лидов пентеста, а также архитекторов ИБ, мидлов и сеньоров. Спрос на бумажных специалистов уровня лидов и сеньоров падает 🤑

#работа

Читать полностью…

В августе 2024 года я написал 📝 большой обзор методов приоритизации уязвимостей, в котором перечислил чуть больше 20 разных подходов, систем классификации и фреймворков. А вот тут выложили список из 40+ таких систем. Правда, большинство из них являются проприетарными и поэтому неприменимыми на практике в отрыве от продцктов, их реализующих, однако есть и интересные новинки. Но в этом списке не все, что в моей "ведомости". Так что, комбинируйте... 🪄

#framework #уязвимость #приоритизация #оценказащищенности

Читать полностью…

Многие коллеги присылают ссылку на историю с паролем LOUVRE, используемом для защиты систем видеонаблюдения в самом известном музее Франции, а может и мира 🇫🇷 При этом сама система контроля доступа работала под управлением Windows Server 2003, которая уже не поддерживается Microsoft. Вроде бы ужас-ужас... Но есть нюансы ☺️

Если посмотреть хронологию ограбления, то охранники набрали полицию 👮‍♂️ через 5 минут после начала совершения преступления (хотя полиция утверждает, что звонок поступил от постороннего спустя спустя 7 минут после начала ограбления). Полиция приехала на место кражи через 3 минуты после звонка – достаточно неплохая реакция. Просто грабители были подготовлены лучше и слиняли уже через 7 минут после начала своей акции. В любом случае полиция (представьте, что это аутсорсинговый SOC) взяла инцидент в работу и начала реагирование за 3 минуты. А вы в вашем SOCе можете похвастаться TTR, равном 3 минутам? Вот, честно! У вас скорее всего только TTD установлено в 5 минут 🚓

Теперь Windows Server 2003... 📱 И что, что это устаревшее ПО? Если оно выполняет свою задачу и находится во внутреннем контуре без доступа вовне, то какая разница, какое там ПО? Работает и прекрасно. У нас не только АСУ ТП продолжают работать на Windows NT, но и офисные сети защищаются оборудованием давно снятым с продаж и с поддержки (какая-нибудь Cisco ASA 5512). Кого это смущает? 🤫

Шестисимвольные пароли LOUVRE и THALES. Да, неприятно. Да, нарушает общепринятые правила ИБ. Но.... 😏 А если там была MFA? Ведь ни в одном опубликованном сообщении об этом ни слова. Все просто уцепились за этот пароль и все... Вот если выяснится, что кто-то помог отключить систему видеонаблюдения и контроля доступа с помощью этого пароля... Тогда история примет другой оборот. Но пока вроде как все укладывается в обычный сценарий ограбления - провели рекогносцировку, подготовились, проникли, сперли ценности и свалили 👮

А самое главное, как вообще пароль LOUVRE и необновляемая Винда связаны с физическим ограблением? НИКАК! Это не было использовано преступниками и никак им не помогло в реализации своих замыслов 🤔 Два факты, связанных с одним местом, но не с одним событием. А шуму-то...

#аутентификация

Читать полностью…

Американское Министерство Обороны Войны (они реально его переименовали) 👮 анонсировало новый фреймворк по управлению киберрисками. Деталей не много, конкретики нет, что там кардинально нового, ускоряющего процесс во время ведения военных операций (как заявлено), я не понял. Но вдруг, кому-то картинка понравится... 🎨

#риски

Читать полностью…

У SANS очередной постер – на этот раз про метрики SOC. Самих метрик в нем не ждите – он скорее про все хорошее, против всего плохого. Дана иерархия метрик и некоторые советы по выбору 🤔

#sans #soc #метрики

Читать полностью…

Ну и до кучи, вторая загадка из той же олимпиады... Пятиклашка, который понимает концепцию kill chain? Прям зачёт... 👦🏻👧🏼

#обучение

Читать полностью…

Интересное исследование из Австралии 🇦🇺, демонстрирующее новый тип дипфейковых атак – Face-to-Voice (FOICE). По одной фотографии жертвы синтезируется ее голос, который позволяет обходить такие системы аутентификации как WeChat Voiceprint и Microsoft Azure 🪞 И все это без каких-либо голосовых семплов жертвы. Интересные нас ждут времена – найти фото человека, под которого надо маскироваться мошенникам, гораздо проще, чем семплы его голоса или видео.

#дипфейк #аутентификация

Читать полностью…

А ведь некоторые мои идеи десятилетней давности только сейчас начинают реализовываться... Хоть одна зарубежная соцсеть и запрещена в России, но у нее есть интересная (понимаешь это спустя годы только) функция 🧠 – напоминать, какую чушь умную мысль ты написал в этот самый день год, два, пять, десять лет назад... Есть в этом что-то залипательное – сравнивать себя нынешнего с тем, прошлым, и насколько поменялось мировозрение и вот это вот все. За одно только это можно оставаться в той самой, запрещенной сети... 🤔

#история #безопаснаяразработка #devsecops

Читать полностью…

Частные компании уже пишут эксплойты, получают доступ к целям для кибератак и даже выполняют операции в интересах США 🇺🇸 Это факт. Они быстрее и технологичнее государства, но действуют в правовом "сером поле". Это тоже факт. Проблема не в отсутствии возможностей, а в отсутствии правил. В США хватает хакеров, экспертизы и технологий – нет ясной архитектуры, кто, как и на каких правовых основаниях ведет наступательные операции в киберпространстве ✍️ В октябре 2025 г. Institute for Security, Technology & Society (ISTS) при Dartmouth College собрал на закрытый круглый стол ~30 экспертов из госсектора, индустрии, венчурных фондов и академических кругов, чтобы обсудить роль частного сектора в наступательной кибервойне 🤕

В рамках круглого стола было предложено:
➡️ Разработать Национальную стратегию наступательных киберопераций, где будут прописаны допустимые цели, ограничения и участие союзников 📝
➡️ Создать прозрачные механизмы финансирования и исследований, чтобы инновации в наступательном кибероружии были контролируемыми и законными ✏️
➡️ Запустить пилотный проект, дающий частным компаниям право проводить ограниченные операции. Даже предложен первый кейс – борьба с криптопреступниками, которые ежегодно выводят из США $10–16 млрд 🔒

По результатам был написан отчет, главная мысль которого – у США 🇺🇸 хватает талантов и частных игроков, но нет соединяющей их нормативной системы. Нужно перейти от "хаоса и серых зон" – к формализованной модели. Да, там есть немало подводных камней, среди которых:
➡️ Делегирование "права на кибернасилие" частным лицам вызывает вопросы в части соблюдения Конституции, международного права, правомочности атак.
➡️ Частные игроки могут случайно спровоцировать международный конфликт, а ответственность будет размыта.
➡️ Частные компании действуют ради прибыли, а не ради госинтересов.
➡️ Кому будет вменяться кибератака – компании или государству США?
➡️ Появление фиксированной группы "аффилированных подрядчиков" может привести к монополизации и злоупотреблениям 🤔

Вопросы, которые необходимо решить до реализации идеи и о которых говорит отчет: 🤔
6️⃣ Кто сертифицирует частных операторов и под какую юрисдикцию они подпадают?
2️⃣ Какие цели можно атаковать? Можно ли бить по иностранной гражданской инфраструктуре?
3️⃣ Как обеспечивается контроль, подотчетность и аудит?
4️⃣ Как исключить конфликты интересов (например, когда подрядчик сначала продает уязвимость, а потом "защищает" клиента)?
5️⃣ Как объяснить союзникам и миру, что "это не наемные хакеры, а легитимная госпрограмма"? 🤔

#кибервойна #геополитика #регулирование

Читать полностью…

Подогнали фоточки с минской Positive SOCcon 2.5 📸 И хочу вам сказать, что они лишний раз подтверждают правило, которое я формулировал в курсе "Как срывать овации и зажигать сердца" - "Основной текст на слайде должен быть размера 28-32pt, а заголовок - 40pt и выше" (никакого 12-14-16 кегля). Вот на показанных слайдах все именно так и текст прекрасно читается с последних рядов кинотеатра. Да и темный фон этому способствует (проектор не выгорает, глаза не устают) 📈

Если ваши дизайнеры подсовывают вам что-то другое, гоните их ссаными тряпками отправьте им ссылку на курс 😡 – пусть изучают. Ну и от вас, как от спикеров, требуется все-таки критическое мышление и не следование на поводу у апологетов "корпоративных стандартов". Вы делаете презентацию для людей, вас слушающих, а не для дизайнеров, которые сами со своими шаблонами никогда не выступают 😠

#выступление #спикер #презентация #soc

Читать полностью…

Интересные циферки в отчете увидел:
🔤 12 недель в год (10 часов в неделю) тратится на compliance (на 1 неделю больше, чем в 2024 году). Подтверждает то, что я уже писал.
🔤 7 часов в неделю или 9 недель в год тратится на анализ защищенности подрядчиков (больше на полчаса, чем в прошлом году). Вот это, прям, неожиданно. Мне кажется у нас в стране этот показатель существенно ниже.
🔤 6 из 10 компаний разрывали за последний год контракты с подрядчиками из-за проблем с ИБ у последних
CISO считают, что идеальный бюджет на ИБ от ИТ составляет 17% (сейчас он 10%).

Видя такие цифры, даже и не знаешь, стоит ли вводить отдельную нормативку по безопасности подрядчиков?.. Кажется, что это приведет к большему объему бумажной работы, а не реальной защите от подрядчиков... 🤔

#статистика

Читать полностью…

Если глава РКН насчитал 103 утечки к текущему моменту, а его "начальник", министр цифрового развития две недели назад говорил 🧐 о 65 утечках, то о чем это может говорить? Что за полмесяца произошло 40 утечек (у нас в базе всего 10 за это время)? Что у РКН и Минцифры разные источники информации (но министр ссылался на данные РКН)? Что руководителю министерства подсунули неверные данные? А может РКН внедрил систему мониторинга Даркнета и увидел больше, чем видел раньше? 🤔 Не знаю пока как трактовать такое расхождение в цифрах. Но, в любом случае, снижения пока не наблюдается – скорее все уходит в тень.

#утечка #персональныеданные

Читать полностью…

Говорят, она появилась ниоткуда – без опознавательных знаков, без подписи, просто лежала на полу у входа в офис. Маленькая, черная, с треснувшим корпусом и запахом паленого пластика. Ее нашел стажер. Он поднял ее и, несмотря на предупреждения, полученные во время приема на испытательный срок, подключил к своему ноутбуку. Экран замигал. Мышь замерла. А потом началось 👻

Папка за папкой открывались сами. Старые документы, удаленные годы назад, снова появились. Скриншоты переписок, о которых никто не помнил. Фото, которых не должно было быть. Логины. Пароли. А в последней папке – файл без названия. Стажер его открыл 👻

С тех пор ноутбук больше не включался. Сам стажер исчез на следующий день – не уволился, не взял отгул. Исчез. Его профиль в системе удалился сам. Даже видеокамеры не сохранили следов. Только флешка – снова оказалась у входа. Как будто ждет следующего… 🎃

И если ты сейчас читаешь это и думаешь: "Да ладно, сказки", – просто вспомни: а точно ли ты знаешь, что за флешка сейчас подключена к твоему компьютеру?.. 👻

#хеллоуин

Читать полностью…

"Осьминог меняет цвет за миллисекунды, чтобы исчезнуть из поля зрения хищника. Муравьи обмениваются «паролями» при входе в муравейник. А пчелы танцуют, чтобы передать координаты цветущего поля — но только своим. Все это — методы защиты, маскировки и безопасной передачи информации, которые совершенствовались на протяжении миллионов лет эволюции. И именно в этих природных алгоритмах — ключи к будущему кибербезопасности."

Именно такова аннотация моей лекции 👨‍🏫 "Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга", которую я буду читать в музее криптографии 22 ноября в 15.00.

Участники лекции отправятся в захватывающее путешествие 🛤 и проследят эволюцию методов защиты информации: от поведения животных в дикой природе – через шифры Древнего мира, шпионские страсти эпохи Возрождения и цифровые катастрофы XXI века – к технологиям завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за "цифровым забором" 😂 Информационная безопасность – это не просто код и протоколы. Это история выживания. И она началась задолго до появления человека. А вот когда она закончится, решать всем нам…

ЗЫ. Теперь смогу с чистой совестью писать, что я популяризатор кибербезопасности 🎤

#история #мероприятие

Читать полностью…

Не исключено, что на сайте ГосСОПКИ 🇷🇺 может появиться очередное сообщение о компрометации ИТ-компании… Вы же не слепо доверяете своим ИБ/ИТ-подрядчикам😂

#инцидент

Читать полностью…

В закрытом чатике RPPA вдруг началась дискуссия 💬 о пользе от роли DPO (Data Privacy/Protection Officer). Чтобы этот разговор был более предметным и можно было сравнивать наносимую пользу с чем-то измеримым и понятным любому нанимателю DPO, то давайте оценим, сколько стоит последний для компании? 🧮

По данным hh.ru, Superjob и телеграм-каналов по ИБ-вакансиям (весна–осень 2025) специалист по ПДн / compliance в малом бизнесе получает около 120 тысяч рублей (но сильно зависит от масштаба компании и региона); в среднем бизнесе эта планка поднимается уже до 180000 – 250000₽ (это gross, то есть до вычета налогов). В крупном бизнесе зарплата может достигать 300000 – 400000 рублей. Думаю, можем взять для "среднестатистической" компании сумму в 220000 ₽/мес. 💸

Работодатель платит около 30% сверху за счет всяких налогов (ПФР/ФСС, ФОМС) 🤑 Итого: 220000 × 1,3 = 286000 ₽/мес. или ≈ 3,43 млн ₽ в год. На отпуск и больничные (хотя кто сейчас более официально?) закладываем еще 10%. Дополнительно одна штатная единица требует оплаты рабочего места (лицензии, ноутбук, рабочее место), что составляет около 10%. Премии и бонусы в виде талонов на питание или оплаты ДМС, спорта или иностранных языков дадут нам еще 15% сверху. На регулярное прохождение повышения квалификации / курсы / конференции уходит еще 5-10%. На дополнительные консалтинг и аудит для подтверждения решений DPO может уйти еще 5-10% 🛍 Итого: с учетом косвенных издержек от фонда оплаты труда или ~5,8 млн ₽ в год. Если взять внешнего DPO на аутсорс из юридической фирмы или отдельного человека, то это может стоить около 150–250 тыс. ₽/мес или 1,8–3,0 млн ₽/год. Такова реальная полная стоимость DPO 💸

А теперь сравниваем эту сумму с тем, на какую сумму штрафов DPO предотвратил убытков для компании 💰 и если эта сумма больше зарплаты, то DPO приносит пользу. Если нет, то... увы... Можно еще, конечно, пойти не в сторону снижения расходов (а compliance, включая и ИБшный, чаще всего идет именно туда), а в сторону роста доходов от специалиста по персональным данным. Если вы, конечно, можете ее продемонстрировать и посчитать... 🤑 Что наниматель в итоге получает от найма специалиста за почти 6 миллионов рублей в год? Гарантию защиты от утечек ПДн? Нет. Гарантию защиты от прихода РКН? Тоже нет. Гарантию неполучения штрафов за невыполнение туевой хучи бумажных требований, которые невозможно все выполнить при всем желании? И снова нет. Зато появляется куча головняка, связанного с бездумным выполнением требований ФЗ, ПП, Пр и других типов НПА, которые только создают препятствия для ведения бизнеса, чем способствуют ему 🤦‍♂️

Цены можно пересчитать в зависимости от зарплаты DPO / специалиста по персданным, но они вряд ли сильно отличаются от мной указанных. Но тогда получится, что чем заработная плата ниже, тем больше ценность DPO с точки зрения снижения расходов (меньше ФОТ – меньше расходов). А чем зарплата выше, тем больше надо доказывать свою нужность. А как это сделать? На самого себя натравливать проверку РКН? В чем вообще польза DPO для компании? Реальная польза, а не бездумное оформление кучи бумажных согласий на любой чих со стороны субъекта ПДн? Каким конкретным и понятным результатом может похвалиться DPO? 🤔

Да, аналогичные рассуждения применимы и для любой около-ИБшной роли - CISO, DevSecOps, SOC-менеджер и т.п. Можно, конечно, признаться самому себе, что DPO берут "чтобы был", "потому что так принято", "проще взять - стоит немного", но приятно ли осознавать себя в роли плюшевого медвежонка из детства, который радости новизны и обладания уже не приносит, но и выбросить жалко 🧸 У меня в детстве это, правда, был резиновый крокодил с пищалкой и мной же обгрызенным хвостом, но суть от этого не меняется. Где ты мой старый друг? На какой помойке ты до сих пор валяешься или на каком заводе тебе переработали в резину для моего авто?

ЗЫ. Сегодня, если удастся, подниму этот вопрос на круглом столе "Подводные камни" штрафов за утечку персональных данных" на ИТ-Диалоге 2025 в Питере. Если вы будете на этом мероприятии, то заходите на огонек ⚔️

#персональныеданные #работа

Читать полностью…

В одной компании были недовольны временем устранения обнаруживаемых уязвимостей 😵 и решили попробовать улучшить этот процесс, начав с его декомпозиции на более мелкие шаги. Удалось выделить 15 этапов, для каждого из которых компания оценила время, которая она затрачивала на него (от минут до дней). Затем в компании собрали умных людей из разных отделов (сетевики, прикладники, специалисты по серверам и СУБД, облакам и т.п.) и попробовали их почеленджить, предложив подумать над тем, как можно было бы устранить выявленные "бутылочные" горлышки, сохранив тем самым время ⏰

Оказалось, что больше всего времени тратилось на... процесс ожидания, когда кто-то что-то решит ⏳ Переложив эту часть процесса... нет, не на смарт-контракты, а на современные системы автоматизации (например, на процесс подтверждения /approval/ в Github), многие этапы удалось сократить с недель до часов. В итоге, сэкономив время даже на двух этапах процесса (угадайте, каких), общее время устранения уязвимостей сократилось на 80% ⏱

Вывод? Коммуницируйте и декомпозируйте! В этом секрет успеха! 🤔

#стратегия #оценказащищенности

Читать полностью…

В апреле 2025 года южнокорейский оператор SK Telecom 📡 официально сообщил о крупной утечке данных – персональные данные примерно 26-27 миллионов пользователей, а это примерно половина населения Южной Кореи, были скомпрометированы. Атака началась за 3 года до обнаружения – компания признала, что вредоносное ПО присутствовало в ее инфраструктуре несколько лет и было обнаружено лишь в 2025-м. Регулятор Personal Information Protection Commission (PIPC) Южной Кореи наложил штраф ~ 134.8 миллиарда вон (≈ US$96.5 миллионов) за недостатки в защите данных и за задержку уведомления пользователей. Но этим ущерб для компании не ограничился 🤑

SK Telecom за третий квартал 2025-го показал операционную прибыль лишь ~ 48.4 млрд вон (~US$34.1 млн) vs ~493 млрд вон годом ранее – падение около 90% 📉 Выручка за тот же квартал снизилась примерно на 12.2%, что также отразилось на финансовой устойчивости. Также оператор связи обеспечил массовую и бесплатную замену USIM-карт, предложив ее всем 23-27 млн абонентов, что повлекло значительные логистические и операционные затраты 📞 Аналитики компании Shinhan Securities оценивают замену USIM в ~200 млрд вон (~US$ 146 млн).

По словам CEO SK Telecom возможны потери до ~ KRW 7 трлн (~US$ 5 млрд) за 3 года, если уход абонентов достигнет ~2.5 млн человек 🇰🇷 Чистый убыток компании составил ~ KRW 166.7 млрд (~US$117 млн) за Q3 и все это из-за компенсаций после утечки, размер которых составил 349 млн долларов со скидками на тарифы и бесплатным трафиком. Стоимость услуг также была снижена на 50%. В выигрыше оказался только CISO, которого переназначили напрямую под CEO, а сама компания пообещала что потратит ~700 млрд вон (~US$ 513 млн) на кибербез в течение ближайших пяти лет 🛡

ЗЫ. Инциденты все дороже и дороже обходятся... Ущерб в размере миллиардов уже не удивляет и становится нормой, плохой нормой...

#инцидент #утечка #персональныеданные #ущерб

Читать полностью…

Я как-то 3 года назад писал ✍️ в почившем блоге про два варианта развития продуктов, – SLG (sales led growth), когда продукт растет за счет усилий команды продаж, и PLG (product led growth), когда продукт растет за счет комьюнити, которому предоставили доступ к легко разворачиваемой бесплатной версии продукта и за счет этого он прирастает базой, которая затем может трансформироваться в платных клиентов 🤑

Вот тут, на курсе по SOC, участники поделились интересной ссылкой на облачный сервис, который как раз развивается по схеме PLG, и позволяющий создавать плейбуки по ИБ 📇 и делиться ими с сообществом. Бесплатная версия, как минимум, интересна доступом к 650 различных плейбуков, которые можно, если не использовать "как есть", то хотя бы взять за основу при разработке своих процедур реагирования на разные инциденты, уязвимости и иные нарушения политик ИБ 🔓 Когда не хочется делать лишние шаги вправо и влево, и когда не хватает опыта для разработки собственных плейбуков, почему бы не начать с уже готовых? 🤔

#soc #управлениеинцидентами

Читать полностью…

Представьте, что вы проектируете SOC и хотите, чтобы он действительно решал задачи компании долгие годы, а не служил красивой картинкой для делегаций больших боссов, пришедших посмотреть на большие плазмы. Чтобы не накосячить, вы садитесь и задаете себе от имени своего второго "я" простой вопрос: 🤔

В течение нескольких минут подумай о факторах, тенденциях или событиях, которые представляют максимальную угрозу существования вашего SOC в последующие два года. Запиши все, что придет тебе на ум.

Мы так часто и делаем, и не только проектируя SOC, а просто начиная какой-то сложный проект (написание закона, внедрение процесса РБПО, выход на Bug Bounty или кибериспытания, уход от on-prem ИБ в аутсорсинг и т.п.). Но попробуйте переформулировать свой первоначальный вопрос немного в иной форме: 🤔

Представь себе, что с настоящего момента уже прошло два года и SOC оказался в трудном положении. Как его менеджер, ты постоянно слышишь о SOC плохие новости. Говорят, что компания даже может закрыть его. В течение нескольких минут подумай о факторах, тенденциях или событиях, которые привели к таким последствиям. Запиши все, что придет тебе на ум.

Обратили внимание, что вроде вопрос о том же, но немного с другой позиции 🤔 Это так называемая методика "premortem", которая базируется на том, что психологи называют "перспективный взгляд в прошлое", то есть мы воображаем, что некое событие уже случилось (а не случится, как в первой формулировке) 🔮 Как это ни странно, но она усиливает нашу способность находить причины по которым возможен тот или иной результат события. Обычно таких причин находится больше и они более конкретные и точные, чем когда мы не воображаем итогов события, а просто фантазируем, что могло бы случиться "если бы да кабы" 🤔

В итоге, вместо "нам не хватит людей и у нас не будет денег на современные ИБ-решения по мониторингу и реагированию" вы запишите что-нибудь вроде "мы переоценили возможности ИИ, наша L1 пропускала много событий, которые были реальными инцидентами, мы потратили много денег на подключение источников TI, которые не давали сработок, мы внедрили модную SOAR, но не смогли написать для нее коннекторы к нашим средствам защиты, мы не смогли подключить к SIEM все наши источники"... ✍️

ЗЫ. Тоже самое можно проделывать и в команде...

#психология #стратегия #ciso #soc

Читать полностью…

Ну что, гении кибербеза, сможете решить задачку из олимпиады по инфобезу для школьников 5 класса?.. 🤔

#обучение

Читать полностью…

The Royal United Services Institute for Defence and Security Studies 🎖 провел исследование о влиянии санкций на киберугрозы. Что по мнению англичан дает эффект:
➡️ Нападение на тех, кто помогает хакерам, – инфраструктуру, посредников, сервисы, которые облегчают деятельность кибератакующих: крипто-миксеры, хостинг­провайдеры, технологические поставщики, государственные контракторы, международные юридические лица. Такой подход имеет смысл – если усложнить денежные потоки и доступ к инфраструктуре, то атакующие сталкиваются с ростом затрат, задержками, дополнительными рисками 🤕

➡️ Санкции в составе комплексного ответа – не просто заморозка активов или запрет на поездки, а сочетание санкций с дипломатическими мерами, уголовными обвинениями, обменом разведданными, публичными техническими уведомлениями (advisories). Такая "комбинированная" модель усиливает репутационный, операционный и экономический нажим на злоумышленников ❌

➡️ Создание дополнительного трения для атакующих – даже если атаки полностью не останавливаются, санкции могут сделать их более медленными, рискованными, дорогими. То есть цель не в полной остановке всех атак, а в увеличении издержек и барьеров для злоумышленников 🤬

➡️ Сигнальный эффект и установление норм поведения – санкции помогают обозначить: да, кибератака считается недопустимой, будут последствия. Это дает сигнал союзникам и помогает им не опускать руки 🚨

Что не работает:
➡️ Заморозка активов и запрет на поездки у хакеров часто малоэффективны как средство сдерживания. Если атакующий связан с государственной структурой, у него может быть защищенный статус или он может не ощущать прямого личного влияния на себя 🥶

➡️ Когда санкции вводятся слишком поздно или без координации – эффект от них будет минимален. Если злоумышленник уже реализовал атаку и ушел, санкции после этого факта не меняют ситуацию 🚶‍♂️

➡️ Ограниченная юрисдикция – если санкции вводятся односторонне и не охватывают все страны, злоумышленники могут использовать "юрисдикционные дырки". То есть важно, чтобы меры были международно скоординированы, что в текущей геополитике маловероятно 🤝

➡️ Проблемы с атрибуцией и доказательствами. ЕС, например, критикуется за медленное внесение в санкционные списки, осторожный подход к атрибуции, слабый мониторинг эффективности санкций. То есть без уверенной атрибуции и последующего мониторинга эффект будет низкий 🇪🇺

Так что санкции сами по себе – не панацея. Они не остановят все кибератаки, особенно хорошо организованные государственные операции. Но они имеют смысл, если встроены в более широкий архитектурный подход: дипломатия, право, разведка, публичные уведомления, международное сотрудничество 🌍

#санкции #геополитика

Читать полностью…

К минской SOCcon мы готовили исследование по тенденциям современных SOCов 🔍 (было еще и с аналитикой киберугроз в СНГ за прошедший год), в котором мои коллеги проанализировали многие тренды, присущие построению и эксплуатации современных центров мониторинга – от работы с новыми источниками (вы знаете, как подключить к SOC конвейер CI/CD или системы MLOps?) и новым подходам управления данными до трансформации detection engineering и ИИ-ассистентов и ИИ-агентов. Годное чтение для понимания, куда это все идет... 🤔

#soc #тенденции

Читать полностью…

Вообще англичане умеют в тонкий юмор. Тут он еще и смысловой, доходящий не сразу... 🤔

#юмор

Читать полностью…

Страховая компания At-Bay выпустила исследование, основанное на данных страховых выплат 🤑 за период с 2021 по первый квартал 2025 года. В 2024 году было два главных канала проникновения в компании – электронная почта и удаленный доступ. Они вместе обеспечили ~90% всех инцидентов ИБ, если исключить случаи, связанные с компрометацией сторонних организаций или не-киберсобытиями 🤔

Из интересного:
💀 Электронная почта была точкой входа в ~43% всех инцидентов в 2024 году с ростом на 30% за год. При этом решения по защите почты в большинстве случаев продемонстрировали ухудшение своих защитных возможностей против современных угроз, основанных на ИИ ✉️

💀 В 2024 году ~80% ransomware-атак на клиентов At-Bay начались через средства удаленного доступа, из них ~83% – через VPN-устройства 🔐

💀 Организации, использующие VPN на собственной инфраструктуре (on-premises), почти в 4 раза чаще подвергались ransomware-атаке, чем те, кто использовал облачные VPN или вообще не применял VPN 🔐

💀 Самыми рискованными среди VPN-решений оказались устройства от Cisco и Citrix (SSL VPN) – компании, использующие эти решения, были примерно в 7 раз более подвержены ransomware-атакам, чем организации без обнаруженного VPN-решения 😷 Но тут интересно было бы видеть абсолютные цифры, а не относительные, так как та же Cisco является ооооочень распространенным VPN-решением в мире. Облачные VPN могут снизить риск, но у нас в регионе с этим есть сложности законодательного плана. К слову, Fortinet и Palo Alto в отчете тоже упомянуты, но риск пасть жертвой шифровальщика в их случае "всего" в 5,5 раз выше (у Cisco и Citrix – в 6.8) 📊

💀 В отчете подчеркивается, что основным эффективным средством защиты от полного шифрования данных злоумышленниками стали сервисы Managed Detection & Response (MDR). MDR-услуги воспринимаются не просто как дополнительный элемент, а скорее как необходимый "последний рубеж" защиты: когда атака уже попала внутрь, важно быстро ее обнаружить и локализовать, чтобы не допустить полного шифрования всех данных 💭

А вы уделяете должное внимание защите электронной почты и VPN-решений? Или вам пока не до того и вы разгребаете последствия неудачной плановой смены мастер-ключей в сети ViPNet СМЭВ, которые длятся уже несколько дней? 👻

#статистика #киберстрахование #ttp

Читать полностью…

Ритуал киберочищения для тех, кто открыл не то, кликнул не туда… и впустил тьму 🙀

Ты чувствуешь, как компьютер начинает жить своей жизнью.
Файлы исчезают.
Окна открываются сами.
Шепот в динамиках…
Это не сон. Это – цифровое проклятие.

📜 Не паникуй. Все еще можно остановить.
Открой древнюю книгу 👩‍🎓 знаний (или хотя бы чеклист) и проведи ритуалы:
💀 Призови антивирус позитивной силы. Полное сканирование. Надежный вендор. Без пощады к цифровому злу.
💀 Изгони вредонос через перезагрузку в Safe Mode. Не верь, что "само пройдет". Это не простуда, это троян.
💀 Окуни себя в святую воду резервных копий. Если они у тебя есть… Если нет – ты проклят дважды.
💀 Прогони тени через многофакторку. Одного пароля уже давно недостаточно. Даже если он похож на имя древнего демона “йцукен”.
💀 Обратись к древнему оракулу SOC. Или хотя бы к знакомому ИБ-шнику. Они знают как искать еле заметные нити, ведущие в пучину ада.

🕯 Помни: в цифровом мире зло не носит маску, оно скрывается в письмах, флешках и рекламных баннерах. Но если ты все еще читаешь это – у тебя есть шанс. И ты знаешь, что делать ☺️

#хеллоуин

Читать полностью…

Легенда из архива забытых учёток 😄

Когда-то они были надежными.
Сложные, длинные, полные символов и секретов.
Но время шло, аккаунты забывались, системы менялись…
А пароли – остались.

И вот ночью, в забытом дата-центре,
между вентиляцией и старым сервером,
включился терминал. Сам по себе.
На экране – мигающая строка входа.
А из динамиков – шепот 👻

– 123456…
– Я был "qwerty123". Мне доверяли 4 года. Потом пришел брутфорс…
– Я был именем ее кота. Ушел тихо – через фишинг.
– Я был написан на стикере. И найден в день увольнения.
– Я был "temporary123". Но остался навсегда.
– Я был "Admin123". Я открыл двери… в ад.
– Я был "Welcome2020!". Никто не обновил меня. Никто не плакал.
– Я был "наташей". Он думал, что никто не узнает. Теперь знают все.
– 12345678... 🔤

Это они.
Мертвые пароли.
Те, что когда-то были твоими.
Те, что всплыли в очередной утечке.
Те, что теперь принадлежат кому-то другому 🔤

Говорят, если не сменить пароль вовремя, он начинает жить своей жизнью 📍
Сначала просто появляется в Даркнете.
Потом начинает использоваться ботами.
А потом – приходит за тобой.
Письмом. Уведомлением. Взломом.

Ты слышишь их голос в ночи?
Если да – пора менять 🎃

#хеллоуин #аутентификация

Читать полностью…

Не знаю как насчет месячника повышения осведомленности по ИБ, но SOC-месячником октябрь я могу назвать точно. За неполных 30 дней успел следующее: 🔤
🍄 Поучаствовал в подкасте по процессам и эффективности SOC (скоро выложат)
🐈‍⬛ Промодерировал эфир по автономным SOCам
💪 Преподал на курсе по SOC (моя часть была про сервисную стратегию, оценку эффективности и метрики, а также визуализацию и дашборды)
👌 Участвовал в конференции Positive SOCcon 2.5 (выше фрагмент моей презентации).
🎃 Будет и еще кое-что, но уже не в октябре, хотя начал именно в этом месяце.

#soc #мероприятие

Читать полностью…

Как и обещал, выкладываю презентацию с выступления на Russia Risk 2025 про риски новых технологий в финансовом секторе.

#презентация #технологии

Читать полностью…

Пишут, что ФСБ 🇷🇺 потребовала от банков установить у себя системы оперативно-разыскных мероприятий (СОРМ) и обеспечить спецслужбе удаленный к ним доступ. Все это надо сделать в срок до до 2027 года. А все потому, что банки подпадают под статус организаторов распространения информации (ОРИ), так как в банковских мобильных приложениях пользователи могут обмениваться сообщениями 💬

Не исключаю (скорее даже наоборот), что скоро такое требование будет распространено на ВСЕХ, у кого хоть где-нибудь есть функция написания комментариев/сообщений пользователями 💬 – на сайте, в приложении, где угодно. И это, во-первых, потребует пересмотра политик обработки персональных данных, но, что серьезнее, иногда и пересмотра архитектур самих решений, особенно тех, кто by design реализовывал E2EE, то есть "шифрование из конца в конец", как иногда переводят абонентское шифрование 🤦‍♂️

Картинку делал для презентации лет 10 назад. Уже тогда было понятно, что о правах граждан у нас как-то непринято думать 😠 А сейчас и подавно это не в моде. И не только у нас, но и вообще. Великобритания пошла по тому же пути. Евросоюз со своим законом "Chat Control" тоже 🇪🇺 Допускаю, что наши спецслужбы решили активизироваться ровно по этой причине – раз весь мир идет в попрание прав ради "общего блага", то почему Россия должна стоять в стороне от этих процессов. А во время террористической и экстремистской угрозы лишить людей приватности проще пареной репы 🤧 А про архитектуру подумайте... 🤔

#архитектура #криптография #приватность

Читать полностью…