Пятничное... 😂

#юмор #soc

Читать полностью…

2 года назад я приводил список методов обхода многофакторной аутентификации 📋 Хочу вернуться к этой истории, так как сейчас наблюдается рост не только способов обхода MFA, но и чувства ложной защищенности, которое проистекает из уверенности в надежности MFA, необходимость использования которой упоминают все, но без раскрытия всех нюансов 🔏

Встречайте, платформа 🖥 Tycoon 2FA, которая, будучи реализованной как сервис Phishing-as-a-Service, использовалась в этом году более 64 тысяч раз, и которая позволяет даже неквалифицированным злоумышленникам запускать атаки с обходом MFA. Платформа автоматизирует весь процесс атаки – от создания фишинговых страниц до перехвата сессий аутентификации 🥷

На картинке показан пример работы Tycoon 2FA ✍️ Работает так: жертва заходит на фишинговую страницу, вводит свои учетные данные, которые перехватываются Tycoon 2FA, а сам запрос проксируется (направляется) к реальному сервису (например, Microsoft 365 или Gmail). Жертва думает, что все легитимно – в это время злоумышленник получает полный доступ к сессии 👺 Страницы выглядят абсолютно как оригинальные: динамически получают ответы от настоящего сервера, отображают запросы на код аутентификации, push-уведомления и т.д. Жертва не видит никаких отличий от легитимных сервисов. Платформа включает и средства уклонения от обнаружения: шифрование/обфускация (Base64, LZ компрессия, CryptoJS), проверку наличия отладчиков, капчу для фильтрации ботов и т.п. 🤖

А еще есть платформа PhaaS Sneaky2FA, которая также предназначена для обхода MFA за счет вставки адреса URL в так называемом окне "браузер-в-браузере" (Browser-in-the-Browser, BITB), то есть визуально подделывать окно браузера с адресной строкой, чтобы жертва видела “нормальный” легитимный URL. Обученные сотрудники могут обращать внимание на строку адреса, но если она выглядит корректно, то упс.

Стандарт NIST SP800-63 выделяет 3 уровня доверия к средствам аутентификации (AAL). Многофакторная OTP или даже многофакторная криптографическая аутентификация сами по себе, вне комбинаций, – это самый низкий, 1-й уровень доверия, в одном списке с паролями и кодами по SMS. В связи с этим стоит отметить, что сегодня MFA тоже бывают разные и их можно условно разделить на 2 типа – legacy и устойчивые к фишингу. Первые – это методы вроде SMS-кода 💬, push-уведомления, одноразовые TOTP-коды и др. Они уязвимы, потому что:
➡️ полагаются на пользователя, что он заметит фишинг или откажется от полученного запроса,
➡️ используют "общие секреты" или коды, которые можно перехватить, переадресовать или воспроизвести. Если система допускает ввод кода пользователем или нажатие одобрения – она уже может быть взломана 🤔

Уже даже известны случаи с passkeys/ключами, которые могут быть скомпрометированы (если используется синхронизация через облако или существуют fallback-механизмы, поддающиеся социальному инжинирингу).

Путь вперед – это "phishing-proof MFA", то есть многофакторная аутентификация с аппаратным FIDO-биометрическим фактором 🔠, принципиально не допускающим передачу кода или подтверждения пользователем (это уже третий уровень доверия AAL ). Аутентификатор должен быть аппаратный, требующий физического устройства и присутствия рядом (proximity). Такая модель исключает сценарии, когда жертва вводит код, нажимает "одобрить" или активируется push-запрос. При фишинге, где домен не совпадает, устройство отклонит аутентификацию 🤬 Штука это подороже будет, чем внедрять OTP или пуши. Поэтому большинство предприятий использует преимущественно AAL1 и реже AAL2. Но куда деваться – хакер не дремлет... Правда, в России такие не выпускаются вроде как.

Есть и еще один сценарий решения проблемы с обходимой MFA (если AAL3 дорог или невозможен) – аутентификация на уровне устройств 🤝 Во-первых, это незаметно для пользователя и человеческий фактор убирается вообще. Во-вторых, это позволяет решить задачу там, где нет пользователей (виртуальные машины, контейнеры, сетевые устройства и т.п.). Наконец, это работает там, где MFA не предусмотрена вообще. Так что варианты борьбы со способами обхода MFA есть... 🤔

#аутентификация #ttp

Читать полностью…

Какой из offensive-сертификатов круче? 🤔

#пентест #юмор

Читать полностью…

Ничего святого у мошенников. Max’ом прикрываются и просят его установить, если еще не 😂 Но как не знали они, как документы оформляются правильно, так и не знают. Хотя, честно говоря, организации и граждане этого тоже не знают. Так что win-win...

Ну и чтобы заметка не была повтором октябрьской про требования мошенников устанавливать Max, хочу дать ссылку на свежий разбор очередной схемы угона учетных записей в "старом мессенджере", пока еще не заблокированном на территории России Telegram. В последнее время таких случаев стало немало в моем окружении, так что будет полезно.

#мошенничество #мессенджер

Читать полностью…

После пары месяцев оценок, предположений и догадок, в инциденте с Jaguar LandRover 🐆 наконец-то появились конкретные цифры, подтвержденные и самой компанией и внешними солидными отчетами от Банка Англии и Национальной статистической службы Великобритании. Итого, вот что мы, точнее JLR, сейчас имеем:
➡️ Выручка за второй квартал 2025-го года составила £4,9 млрд; падение на 24% год к году. JLR прямо пишет, что выручка просела из-за остановки производства после киберинцидента, плюс небольшое свертывание производства старых моделей Jaguar.
➡️ Убыток до налогообложения составил −£485 млн за квартал, хотя в прошлом году в том же квартале фиксировалась прибыль £398 млн. То есть потери, условно, составили ~£883 млн.
➡️ Маржа EBIT: −8,6% (годом ранее она была +5,1%).
➡️ В финансовом отчете JLR прямые расходы на киберинциденте оцениваются в £238 млн.
➡️ Свободный денежный поток за квартал: отток −£791 млн, за полугодие −£1,5 млрд.
➡️ Для поддержки баланса после атаки JLR обеспечила дополнительные "подушки ликвидности" на £3,5 млрд, включая 1,5 млрд кредита от государства и около £500 млн ускоренных схем платежей поставщикам.
➡️ Государственный Cyber Monitoring Centre оценивает совокупный экономический ущерб (JLR + цепочки поставок + смежные бизнесы) примерно в £1,9 млрд и называет этот инцидент "самым экономически разрушительным киберсобытием в истории Великобритании" и относит его к категории 3 из 5 (systemic event).
➡️ По данным местного нацстата произошел 28,6% обвал производства транспортных средств в стране, что отняло 0,17 п.п. от месячного роста ВВП в сентябре и около 0,06 п.п. от прироста ВВП за весь 3-й квартал. ВВП UK в Q3 2025 вырос всего на 0,1% (после 0,3% в Q2); сам сентябрь дал −0,1% к ВВП. Официально подчеркивается, что ключевой фактор такого падения – именно падение производства автомобилей из-за инцидента ИБ у JLR. Банк Англии прямо пишет, что фактический рост ВВП в Q3 (0,2% по их оценке / 0,1% по оценке статрегулятора) оказался ниже, чем прогноз в августе 🤑

Да, автопроизводитель не "умирает", но удар по прибыли 📉 и cash-flow за один квартал сопоставим с многолетним прогрессом. Автопром стал ключевым драйвером слабости промышленного производства в стране и потянул вниз квартальный рост ВВП (я вот так сходу и не вспомню инцидентов, которые смогли ощутимо повлиять на ВВП). Ущерб £1,9 млрд – это именно макроэкономическая оценка (потерянная добавленная стоимость в JLR и по цепочке поставок), а не просто "счет за восстановления ИТ-инфраструктуры" 🚘 По масштабу инцидент не обошел UnitedHealth Group с его 3 миллиардами, но и без этого цифра солидная, а по влиянию на ВВП так все равно на первом месте.

#ущерб #недопустимое

Читать полностью…

А вы уже спланировали свою ближайшую субботу? Айда на мою лекцию в музей криптографии в 15.00? 🏃‍♂️

#обучение

Читать полностью…

После заметки о психологическом реактансе, то есть о реагировании на принуждение, несколько подписчиков попросили расписать, как это все применяется в кибербезе, что я и делаю 🤝 Надо признать, что в нашей сфере эффект психологического сопротивления проявляется даже сильнее, чем в других областях, так как большинство людей по-прежнему считают ИБ чем-то внешним, навязанным, а новые правила – "ограничением нормальной работы". Особенно плохо, если и вы сами считаете, что ИБ всегда мешает – тогда вы эту мысль бессознательно будете доносить и до людей, которые это будут считывать 🤯

Когда отдел ИБ увеличивает количество политик 📚, требований и запретов, сотрудники начинают их все (или их часть) игнорировать, искать обходы (думаете, "теневые ИТ" просто так появились), воспринимают ИБ как врага, а не помощника, выполняют требования формально. Аналогичная история с обучением и обязательными тренингами по повышению осведомленности. Если они воспринимаются как "меня считают некомпетентным", "меня заставляют тратить мое время" и "опять я прохожу очередной бесполезный курс ради галочки", то человек будет 😠 слушать вполуха, быстро забывает полученную информацию и воспринимает ИБ как навязанное сверху, а не реального помощника. Именно поэтому согласно исследованиям программы обязательного обучения в компаниях приводят к повышению реального соблюдения правил ИБ в среднем только на 10–15% 🤠

Когда ИБ работает по модели: "мы все запретим", "мы все контролируем", "вы должны следовать политике", то возникает банальный и прямо противоположный ожидаемому эффект – люди сами перестают думать о безопасности. Они перекладывают ответственность на ИБ, действуя по принципу: "Раз разрешили – значит можно. Если что-то случится – это не моя вина" 🖕

Что же работает на практике: ✍️
1️⃣Четкое объяснение "зачем". Человек лучше соблюдает требования, когда понимает, как это связано с его работой, как это защищает его лично (зарплату, данные, репутацию), какие инциденты уже происходили в похожих компаниях. Кейсы и истории работают лучше, чем правила.
2️⃣ Вовлечение сотрудников в разработку правил. Если сотрудника хотя бы спросили "что мешает безопасной работе?" и "как удобнее реализовать это требование?", то он начинает воспринимать политику как свою, а не спущенную сверху.
3️⃣ Оставлять людям выбор. Не "тренинг обязателен", а дать возможность выбрать один из трех форматов обучения: видео, мини-курс, практикум, выбрать удобное время и выбрать формат проверки знаний. Даже иллюзия выбора снижает сопротивление.
4️⃣ Минимизировать запреты, увеличивать помощь. Не запрещать, а давать безопасные альтернативы. Вместо: "Нельзя пользоваться личным облаком" лучше "Вот корпоративный сервис – он удобнее и безопаснее. Мы переносим ваши данные туда автоматически".
5️⃣ Делать безопасность частью культуры, а не набора правил. Когда сотрудники видят быструю реакцию ИБ на их запросы, помощь вместо наказаний и уважение и сотрудничество, то ИБ начинает восприниматься как партнер. Начните хотя бы предупреждать людей об утечках их паролей из сервисов, которыми они пользуются. Не знаете, какими они сервисами пользуются? А NGFW, SIEM, прокси вам на что?
6️⃣ Микро-обучение вместо "курсов на 2 часа". Лучшие форматы: сториз, короткие кейсы, комиксы, мини-ситуации по 1 минуте, контекстные подсказки ("Обнаружили подозрительный файл – вот что делать"), а также игры и квизы. Современные GenAI-сервисы прекрасно подходят для генерации короткоформатного креатива.
7️⃣ Позитивное подкрепление. Вместо "если нарушишь – оштрафуем" работает рейтинг безопасного поведения, внутренние награды, признание в команде, конкурсы "Кибер-грамотность недели".

Да, сотрудники действительно восстают против правил, особенно в кибербезопасности 👎 Но сопротивление – не проблема людей, а ошибка подхода. ИБ работает намного лучше, когда вместо давления используется другая формула: смысл → вовлечение → выбор → поддержка → позитивная культура 🤔

#стратегия #awareness #bestpractice

Читать полностью…

Ну что ж, поездка в Индонезию 🇮🇩 подходит к концу, пора и честь знать. Свою задачу я тут выполнил – про кибербез и ИИ рассказал, позитивом всех заразил, в каком направлении всем идти показал, кампусы местных ВУЗов изучил, местной спецификой напитался, язык подкачал (до этого момента 2 часа подряд на языке Беббиджа, Лавлейс и Тьюринга я не выступал), с правильными людьми вместе с коллегами повстречался. Даже награду какую-то вручили. За что, не знаю, но она займет свое достойное место на полагающейся для наград полочке. Теперь можно и в снег спокойно лететь из этих +31 🥵 Тем более, что и орущая из всех щелей последней гостиницы рождественская «Let It Snow» ☃️ как бы намекает…

Кстати, вы же знаете, что Индонезия является четвертой по численности населения страной мира после Китая, Индии и США. Но вы не знаете, какие планы у этого государства по количеству обученных специалистов по кибербезу, а я теперь знаю! С этим знанием и улетаю, чтобы вновь вернуться в страну, где я узнал, что такое Фаджр, и прочувствовал его на себе ✈️

Читать полностью…

На злобу дня…

#soc #ии #юмор

Читать полностью…

ЦСР выпустил уже очередной ежегодный прогноз развития российского рынка кибербеза 📈 Если верить этому исследованию, то наш рынок может вырасти до 968 млрд руб. к 2030 году при среднегодовом темпе роста в 21% (превышает показатели мирового роста ИБ в 11,8%). Не открытие, но основными драйверами роста станут импортозамещение и тренд на технологический суверенитет, что приведет и к снижению доли продаж иностранных вендоров до 4% (но есть подозрение что анализ не учитывает серый рынок, так как его сложно посчитать) 📊 Среди рисков эксперты ЦСР отмечают высокие ставки по кредитам, возможное сокращение налоговых льгот и ужесточение регуляторных требований.

Из интересного, по оценкам ЦСР в 2024 году организаций, занимающихся разработкой средств ИБ, было зарегистрировано более 300 📊 Это не стало для меня новостью – с момента публикования мной реестра российских игроков прошло уже 3 года и их число выросло примерно на 25%. А вот то, что общее количество компаний, занимающихся кибербезом, по состоянию на 01.01.2025, превысило 11,2 тысячи, стало для меня сюрпризом; не думал, что их так много 📈 Ну а с лидерами рынка ИБ, как вообще, так и в отдельных нишах, вы можете ознакомиться в самом отчете 👇

#рынок #статистика #отчет

Читать полностью…

Наткнулся тут на проект DetectionStream, созданный с целью упрощения и ускорения работы специалистов по обнаружению угроз 🔍 и инженеров по detection engineering. Можно было бы предположить, что это еще один репозиторий правил SIGMA/YARA/NOVA, но нет. У этой платформы чуть больше функционала:
➡️ Платформа позволяет искать правила обнаружения (например, правила формата Sigma) в репозиториях.
➡️ Платформа умеет конвертировать правила между различными форматами/фреймворками обнаружения.
➡️ Платформа предлагает функции для создания новых правил обнаружения с помощью ИИ (но лучше проверять, что он там нагенерит).
➡️ Платформа предоставляет централизованный доступ к репозиторию SigmaHQ, что позволяет инженерам работать с уже существующими правилами и адаптировать их 🛡

Единый рабочий процесс (поиск → конвертация → создание) уменьшает фрагментацию и ускоряет внедрение новых правил в SOC, что повышает готовность аналитиков ИБ и специалистов CTI к новым угрозам 👨‍💻 А создание правил с поддержкой ИИ делает возможным более быстрый отклик на новые тактики, техники и процедуры злоумышленников.

Важное замечание! Хотя платформа упрощает процессы по detection engineering, любые автоматически сгенерированные или конвертированные правила нужно обязательно проверять, тестировать и валидировать в вашей среде 🤔 – пока еще полностью безошибочная автоматизация в этом деле недостигнута (но я верю). Интеграция в конвейер разработки правил требует настройки: репозитории правил, метаданные, поле для маппинга могут отличаться у платформы и у вас. Ну и наконец помните, что правила, созданные ИИ или конвертированные через платформу, могут не учитывать (и скорее всего не учитывают) весь контекст вашей инфраструктуры – источники, схема сети, особенности данных, что может привести к ложным срабатываниям 🤖

#обнаружениеугроз #ttp #soc

Читать полностью…

А мы выложили материалы с прошедшей 🟥 SOCcon 2.5, из которых вы можете узнать много всего разного:
➡️ Как ИИ в реальности используется в SOCах (на примерах автоматизации триажа и написания правил обнаружения)?
➡️ Как интегрировать процессы AppSec и DevSecOps в SOC и какие метрики для эффективности этой интеграции можно использовать?
➡️ Как разложить катастрофу Титаника с точки зрения аналитика SOC и на какие метрики реагирования на инциденты стоило обращать внимание капитану судна?
➡️ Какие ошибки при построении и эксплуатации SOC чаще всего допускаются?
➡️ Как автоматизировать работу аналитика SOC?
➡️ Ну и еще много всего разного и интересного (моя презентация там тоже выложена).

#soc #презентация #мероприятие

Читать полностью…

Никогда такого не было и вот снова (с)

#мессенджер

Читать полностью…

В продолжение дискуссии о том, использовать слово «хакер» 💻 хорошо или плохо. Раскопалось старое видео с Жириновским, высказывающим свое мнение о том, кто такие хакеры, и что они бывают разные - не только плохие, но и хорошие. А ведь Вольфович плохого не посоветует 🤔 И помните, что в арабском слово «хак» означает «истина»!

Кто, если не хакеры, проверит истинное состояние вашей ИБ? Белые, испытывая ее на прочность во благо. Черные - ломая во вред. Не слов надо бояться, а бездействия одних и действий других 🥷

#терминология #хакеры

Читать полностью…

Отстрелялся вчера про три стороны ИИ в контексте кибербеза для отзывчивой индонезийской публики 🇮🇩 Пришлось, конечно, сильно ужать свою восьмичасовую презентацию в два часа, но ничего, справился.

#ии #презентация

Читать полностью…

Яндекс.Музыка подкинул(а) очередную композицию, в которой есть следующие строки: 🎧

Был рыцарь в доспехах
суров, не до смеха,
(дракона убить - это вам не потеха)
ты несколько лет
собирался в далёкий поход -
найти, где гнездо у реликтовой твари,
и голову преподнести государю,
а если получится -
то извести и приплод.

Начищены щит твой и меч до блеска,
и вот ты добрался до нужного места -
дракон тебя сжарить пытался,
но так и не смог.
Наутро проснулся,
со сна потянулся -
и громко в сердцах нецензурно ругнулся,
увидев когтистые лапы на месте ног.

Дар потеряешь речи,
взревёшь нечеловечьи,
взревёшь нечеловечьи -
и вспомнишь: испокон
всё, видишь ли, резонно,
ты победил дракона,
ты победил дракона
и сам теперь дракон.

И будешь недвижен,
на фортуну обижен,
был коротко стрижен,
а теперь - что я вижу? -
чешуйчато-лыс
и закован природой в броню,
и будешь глаза открывать осторожно -
ведь так невозможно,
скажи, невозможно? -
и щёлкнешь хвостом,
рассердившись на карму свою 🐉

Это ответ тем, кто часто бросается фразами типа "не нравится, иди сам в регуляторы и все исправляй" 🫵 Увы, оно так не работает. Становясь регулятором, ты начинаешь играть по его правилам и соблюдать его интересы, то есть государства, которое и представляет регулятор. И все твои прекрасные и благие начинания, которые ты думал реализовать, имея за плечами опыт на стороне читателя/заказчика, идут по... колее глубокой и разъезженной 🤏

Сколько я таких примеров видел и сколько бесед провел с теми, кто решил изменить этот мир и пойти в чиновники из бизнеса, а потом вернулся обратно, отряхивая всякое со своих одежд и радуясь, что легко выкрутился... 🐺 Иногда тебе удается что-то исправить, но такие случаи редки и воспринимаются как несказанная удача. А если ты остаешься в роли регулятора подольше, то все, ты сросся с системой и уже являешься ее неотъемлемой частью, не имея возможности, а часто и желания, что-то менять. Ты даже перестаешь помнить, как это, быть в бизнесе, и как ты мог хотеть что-то менять 🖕

#рефлексия #регулирование

Читать полностью…

Ооочень интересный пример разведки по открытым данным, а именно по знакам отличия 16-го Центра ФСБ 🇷🇺 Фалеристику (собирание значков) использовали для того, чтобы понять внутреннюю структуру спецслужбы, включая местонахождение отдельных ее в/ч.

Помню в институте, первый раз придя на закрытый предмет по иностранным спецслужбам, ждал каких-то откровений в стиле Джеймса Бонда, а на поверку оказалось все прозаичнее 🥷 95% всей информации разведка добывает из открытых источников и только оставшиеся 5% – это бондиана со знойными красотками, проникновениями в секретные ракетные шахты, взломы паролей за 60 секунд, когда у тебя под столом орудует эскортница (как в "Пароль "рыба-меч"). И вот опубликованный документ хорошо иллюстрирует этот тезис. Достаточно просто прошерстить "Авито", сайты фалеристов и антикварные онлайн-лавки и ты найдешь много всего интересного... 🎩

ЗЫ. Кстати, про соотношение 95-5%. В службе ИБ Cisco были те же самые цифры - 95% бюджета ИБ ты тратишь на борьбу с 5% самых сложных атак. А оставшиеся 5% денег - на 95% банальных угроз 🤔

#osint

Читать полностью…

Читали "Неукротимую планету" Гарри Гаррисона? 📖 Помните основную идею? Жители планеты вели нескончаемую войну против всех остальных живых существ, провоцируя их на ответную агрессию, усиление атакующих свойств, что в итоге приводило к снижению численности оставшегося единственного города и постепенному проигрышу этой битвы ⚔️

Подумалось, что это неплохая ассоциация на тему взаимодействия службы ИБ и пользователей, воспринимающих приказы и указания специалистов по кибербезу, вместо того, чтобы искать компромиссы и общие решения. И взаимодействие служб ИБ и регуляторов тоже похоже на бесконечную борьбу с постоянным ростом агрессии с обеих сторон. А кто же победит в этом конфликте? А вот не скажу. Кто читал Гаррисона, тот знает. Кто не читал?.. Прочитайте. Там короткий рассказ на самом деле 🛋

#книга #аналогии

Читать полностью…

На сайте ГосСОПКИ неплохой перечень всех судебных дел (выгружаемый в CSV) по ст.274.1 УК РФ с ссылками на судебные решения. Можно свое впечатление составить по тому, за что и кого чаще всего наказывают, в каких регионах и т.п. 🧑‍⚖️

#ответственность

Читать полностью…

🔒 Какой путь прошла информационная безопасность от древних времен до цифровой эпохи?

Обсудим на лекции «Информация под прикрытием: эволюция подходов к безопасности, от маскировки в дикой природе и средневековых замков до биохакинга».

Поговорим о защите информации в разные периоды: от шифров Древнего мира, шпионских страстях эпохи Возрождения и цифровые катастрофы XXI века — до технологий завтрашнего дня, где ИИ, квантовые сети и биовдохновленные системы будут решать, кто получит доступ к вашим данным, а кто останется за «цифровым забором».  

Лектор:
Алексей Лукацкий, эксперт по кибербезопасности, автор блога «Бизнес без опасности», автор телеграм-канала «Пост Лукацкого»

Встречаемся 22 ноября в 15.00

🔑 Регистрация

Читать полностью…

Иногда пробегаю глазами ранее написанные посты и вижу, что тема обеспечения безопасности в ИИ не столь популярна 🤷‍♀️ как, например, ругань на государство российское (смотрю на количество лайков) в лице какого-либо трехбуквенного регулятора, недодепутата или нового мессенджера. А ведь, как минимум, всяческие LLM используются повсеместно – открыто или в режиме "Shadow GenAI". Посему хочется провести мини-опрос, чтобы понять, где мы все сейчас находимся 🤖

ЗЫ. Фокус в опросе на внешние ИМ-сервисы.

#ии

Читать полностью…

Как проверить упомянутый вчера план реагирования на инциденты на реализуемость? Я бы выделил несколько практических шагов: ✍️

6️⃣ Регулярные киберучения, в первую очередь штабные (вы тестируете процедуру, а не технический инструментарий). Это самое главное. Разыгрывайте реалистичные сценарии (выключите слайды, заблокируйте доступ к обычным каналам связи) и засекайте время. Смотрите, где процесс встает. Причем именно весь процесс, а не только его стандартные 6 этапов, описанные в любом учебнике по управлению инцидентами. То есть про антикризисный PR тоже не забывайте...

2️⃣ Тестовые прогоны технических процедур. Периодически пытайтесь восстановить систему из бэкапа на тестовом стенде. Проверяйте, работают ли системы оповещения, которые вдруг внезапно были выведены из строя шифровальщиком. Есть ли у вас страничка в ВК, чтобы хотя бы там коммуницировать с заинтересованными сторонами? Это хоть и выглядить смешно, но иногда это остается единственным вариантом, как, например, в кейсе со страховой компанией ВСК.

3️⃣ Аудит "тревожного чемоданчика". Раз в квартал проверяйте, чтобы у ключевых сотрудников были актуальные распечатанные контакты, инструкции и доступ к оффлайн-копиям критически важных документов, включая плейбуки. И прекратите уже на каждый плейбук требовать согласования гендиректором…

4️⃣ Проверка полномочий. Прямо спросите у людей, указанных в плане реагирования: "У вас есть право отдать приказ на отключение системы X? Вы знаете, как это сделать технически?". Тут еще важно, конечно, чтобы у человека было не только право принимать такое решение, но и стальные фаберже для применения этого права, но последнее в плане уже не пропишешь и не особо проверишь пока не случится недопустимое 🤔

Помните! План реагирования на инциденты – это не документ для галочки, а живой, рабочий инструмент. Его ценность определяется не тем, как красиво он написан и на бумаге какой плотности распечатан, а тем, насколько он работает в момент хаоса 😱

ЗЫ. Если к каждому пункту плана вы будете задавать, как минимум, следующие вопросы: "ЧТО должно быть сделано", "КТО должен это сделать", "КАК это должно быть сделано", "КОГДА это должно быть сделано", "ГДЕ это должно быть сделано" и "КАК проверить, что это было сделано", то будет неплохо 🤔 В противном случае ваши пункты будут похожи на третью ногу стюардессы на картинке - сразу в глаза не бросается, но на деле она только мешает 😂

#управлениеинцидентами #bestpractice

Читать полностью…

Сидел тут в самолете, читал инструкцию по безопасности; по привычке пытался проецировать на кибербез. Чем нельзя пользоваться во время инцидента аварийной посадки... Очки 🥸 Понятно, хотя люди с -6 к аварийному выходу не выйдут. Галстук. Ну тоже можно понять. Ручка, расческа, каблуки. Острые предметы как-никак (хотя мы и не в тюрьме). Последний запрет - колготки (точнее нейлоновые изделия). Мысль тоже понятна - в горящем самолете сдирать с ног расплавленный нейлон - то еще удовольствие (не пробовал, но сгорающие за секунды палатки видел 🏕).

Но кто-нибудь проверял во время испытаний, как выполнять именно это требование?.. 🤔 Снимать колготки/чулки во время аварийной посадки?.. Это сильнее, чем канат аварийного покидания, о котором говорится в инструкции и о чем предупреждает бортпроводница, показывая на себе, как обезопасить себя на борту лайнера (правда, как пользоваться канатом не показали; а было бы зрелище). Я, конечно, не специалист по экстренному снятию колготок в узком пространстве (хотя в детсадике и носил этот предмет одежды), но чудится мне, что этот пункт плана невыполним 🙅‍♂️

К чему это я? К тому что любые планы, включая и реагирования на инциденты, надо тестировать ☑️ и регулярно актуализировать. А то будет как в одной организации, где в плане было написано, что он запускается только после команды CISO, который, как назло, в момент инцидента укатил в отпуск и был недоступен, а резервный контакт, который бы сказал «Побежали», планом предусмотрен не был 😂

Вообще таких непродуманных пунктов в планах реагирования на инциденты ИБ я видел немало. Вот некоторые примеры: ✍️
➡️ "Немедленно уведомить всех руководителей по телефону и email". Список руководителей отсутствует или неактуален, а номеров телефонов и вовсе нет.
➡️ "Немедленно изолировать зараженные системы". Отсутствие технических средств для быстрой изоляции (например, сегментации сети) без "отсечения" критически важных бизнес-процессов. Команда ИБ не знает, какие системы с чем взаимодействуют, и отключение одной приводит к каскадному отказу.
➡️ "Определить масштаб утечки данных". Нет точной карты данных и непонятно, где какие данные хранятся, в каком виде и кто их владелец.
➡️ "Принять решение о необходимости оповещения регуляторов/клиентов". В плане нет четких и измеримых критериев для этого решения (например, "если пострадало более X записей, содержащих Y тип данных").
➡️ "Восстановиться из бэкапа". Последние "чистые" бэкапы были сделаны месяц назад. При этом восстановление из них не тестировалось и бэкапы оказываются битыми. RTO по плану – 4 часа, а на практике восстановление занимает 2 дня.
➡️ "Назначить ответственных за каждую задачу". В плане указаны должности, а не конкретные люди. При этом у этих людей нет заместителей и никто вообще не проверял, есть ли у этих людей необходимые полномочия для принятия решений (например, отключить систему стоимостью миллиард рублей).
➡️ "Следовать плейбукам для каждого типа инцидента". Плейбуки находятся в сетевой папке, доступ к которой невозможен из-за инцидента, уничтожившего большую часть инфраструктуры.
➡️ "Немедленно уведомить ИТ-команду". УПАТС зашифрована как и сервер электронной почты, а резервные средства коммуникаций с ИТ-командой не предусмотрены.
➡️ "Провести анализ уроков, усвоенных при инциденте". Встреча превращается в поиск виноватых, а не в анализ системных недостатков, приведших к инциденту. Нет механизма отслеживания выполнения плана устранения причин. Все забывают об инциденте через неделю, пока не случится следующий ☺️

А у вас есть в плане что-то из перечисленного выше? 🤔

#управлениеинцидентами

Читать полностью…

Запустили еще один портал в помощь специалистам по ИБ 🛡 - PT Fusion. Если dbugs.ptsecurity.com, о котором я писал, представляет собой огромную коллекцию уязвимостей в различном ПО, то PT Fusion ориентирован на немного иную категорию специалистов – на аналитиков SOC и экспертов по Threat Intelligence 🗡

На портале собраны данные о 940 хакерских группировках 🇷🇺, свыше 200 миллионов обработанных индикаторов компрометации, 2.5 тысячах уникальных семейств вредоносного ПО и инструментов, а также около 5 тысяч обработанных публичных TI-отчетов. А база PT PDNS, также доступная на портале, включает свыше 70 миллиардов записей о связях между доменами и IP-адресами и еще более 2.5 миллиардов записей с регистрационными данными (WHOIS, RDAP) 😱 Данные по уязвимостям тоже есть, но с прописанными связями с вредоносами, группировками и т.п.

Если выцыганю себе доступ (в Cisco доступ к TI-платформе и TI-сервисам у меня был), то буду считать день вполне себе удачным. Тогда можно будет делать свои презентации и выступления более фокусными на конкретных отраслях, странах, группировках по нужным мне срезам и параметрам... 🤔

#soc #threatintelligence #ttp

Читать полностью…

Забавное... VK 💬 (или уже надо писать "новая соцсеть") мне настойчиво впаривает рекламу VPN. При этом, в отличие от другой показываемой рекламы, у этой я даже не могу выбрать "Не интересно", "Уже куплено" и т.п. варианты (то есть я даже идентификатор этой рекламы не могу посмотреть). Да, я нахожусь сейчас не в России, но... приложение и его владелец российские, я - россиянин, симка у меня российская, даже смартфон официально куплен в России. Какого дуриана, спрашивается? 🤔

Да, рассказывать мне, как работают рекламные сети, не надо (я в курсе). Это совершенно не отменяет факта нарушения закона, вступившего в силу с 1-го сентября 2025 года. Или у нас есть те, кто ровнее? 🤔 Хотя нет, чего это я, у нас же верховенство закона и все равны перед ним – депутаты, госкомпании, чиновники, обычные граждане 😃

ЗЫ. IP на картинке, если что, не мой 😊

Читать полностью…

Про фреймворки/языки описания правил обнаружения YARA, SIGMA и т.п. слышали многие 👂, но что насчет формализации способов описания различных атак, направленных на LLM? Как обнаруживать jailbreak prompt, adversarial prompt и иные варианты вредоносного использования ИИ, обходящие встроенные фильтры и механизмы защиты? 🤖

И такой фреймворк появился. Это NOVA, который позволяет создавать правила 🧑‍💻 в похожем на YARA синтаксисе для мониторинга и обнаружения подозрительных запросов, описываемых ключевыми словами или регулярными выражениями. Также NOVA поддерживает семантическую похожесть и поддерживает LLM для анализа и обнаружения плохих запросов. Например, вот так выглядит правило для обнаружения промптов по написанию вредоносного кода 🦠

(keywords.$safety_override or keywords.$ethical_bypass) and
(keywords.$hacker_persona or keywords.$malware_terms) and
(keywords.$obfuscated_format or keywords.$template_markers) or
(keywords.$malware_terms or keywords.$stealth_tech or keywords.$wordcount_manip) and
(keywords.$obfuscated_format or keywords.$template_markers) or
semantics.$malware

А так, обнаружение обычной prompt injection:

semantics.$injection* or keywords.$bypass*

Несмотря на то, что это бета-версия проекта, выглядит вполне себе интересно.

#обнаружениеугроз #ии #framework

Читать полностью…

Анекдот: В России начали скрывать упоминания Max в новостях о мошенничестве

Подцензурные СМИ активно используют эвфемизм «один из новых мессенджеров» вместо реального названия.

При этом названия других мессенджеров всегда упоминаются в сводках, в том случае, если мошенники обманули россиян именно в них.

Сделайте удивленное лицо

Читать полностью…

Общался я на прошлой неделе с коллегами из Казахстана, которые приехали по своим ИБшным делам в нашу страну и каково же было их удивление, когда они пошли по всем кругам ада 😈, связанным с получением российских SIM-карт, для чего надо было сначала получить СНИЛС и зарегаться на Госуслугах. Аналогичная судьба постигла и коллег из Союзного государства, которых футболили по разным адресам, так как ограничения-то ввели, а пройти новый CJM забыли. Для людей, приезжающих в страну на 2-3 дня, тратить сутки на оформление всей этой бюрократии, это too much, как говорят англичане 😕

И вот новая напасть - теперь не только нельзя зарегаться на российском сайте 🖥 с иностранной почты или иностранного сервиса аутентификации, но еще и владельцев сайтов, повернувшихся лицом к людям, будут штрафовать за разрешение такой возможности 🤦‍♂️

Комментаторам, заявляющим, а что такого, пусть в VK или Яндексе зарегаются, сразу отвечу - 😠 Вы когда в Турцию или Дубай на «все включено» ездите, тоже местный ID получаете? А чтобы подумали, если от вас такого потребуют?

ЗЫ. Если меня читает кто-то из администрации гаранта, скажите уже всем этим генераторам «кто навредит стране больше», взяли их или нет в следующий состав Госдумы. Может они тогда будут менее активны на законодательном поприще и займутся чем-то полезным… 🤔

#суверенитет #ответственность
#аутентификация

Читать полностью…

В конце июля прошлого года, в разгар подачи документов в ВУЗы, на сайте Омского политеха, в разделе приемной комиссии, разместили лого известного порносайта 😎, что должно было, я так предполагаю, дать возможность абитуриентам сбросить напряжение после тяжелого процесса выбора института.

Но вузовская администрация не оценила устремлений хакера 🥷 и обратилась в правоохранительные структуры. На днях стало известно, что хакер изобличен и его будут судить. Им оказался местный 23-хлетний омич.

А теперь самое интересное. Хакеру вменяют КИИшную статью УК 274.1 👩‍⚖️ За обычный дефейс. А все потому, что палочная система любая образовательная организация - это СуКИИ; даже детсадик 👶

Вот так и формируется статистика по 274.1-й статье, которая вообще не отражает реальную опасность совершаемых преступлений. А ведь говорили авторам 187-ФЗ, что 🤔 нужна граница, ниже которой организация не будет считаться КИИ. Ну какие ломбард или филармония КИИ? Но нет 🤦‍♂️

ЗЫ. А этого неудавшегося ИБшника ведь тоже ждет 274.1?..

ЗЗЫ. Спасибо подписчику, приславшему ссылку 🤝

#инцидент #ответственность #кии

Читать полностью…

Не только лишь наша прокуратура может снимать прикольные ролики про мошенников. На этот раз (правда, ролику уже несколько лет) отличилась полиция Дубая и ряд других, не менее солидных и официальных организаций, сняв видео "Это был не я" (It wasn't me) 📹

#awareness #видео #фишинг

Читать полностью…