Пост Лукацкого

2023-05-13 18:22:01 Мы скачали вредоносный семпл из вашего репозитория и запустили на боевой системе. Мы думали, что семпл уже обезврежен…

Мир непуганных идиотов Открыть/Комментировать

2023-05-13 13:20:19 Есть же интересные профессии у людей. Измеритель параметров вращения Земли! Или вот, например, кибер-переговорщик, который с вымогателями общается. Мы как раз про такого сейчас думаем в контексте программы на PHDays.

Это к разговору о том, что такое специалист по ИБ. Споры идут постоянно, а четкого ответа нет. Мне вообще видится программа обучения специалиста по ИБ как Lego - куча атомарных модулей по разным темам, включая технологии, нормативку, бизнес, психологию и т.п., а дальше ты сам из них строишь свое «здание». И нет никаких предопределенных треков и стримов (может за редким исключением). И никаких 4-5 лет обучения по ФГОСам, устаревающим к концу обучения (а в связи с всерашним указом президента, так и все 7 лет). Такие модули и обновлять гораздо легче

Да, диплом гособразца за такое не получить. Но это как с сертификацией/аттестацией/аудитом. Шашечки или ехать, бумажка или реальная ИБ, диплом или полезные знания…

Вроде сейчас меняется система образования и можно было бы все по другому сделать, но похоже, что все опять будут жрать ФГОС кактус , а потом ругать стстему образования, готовящую бесполезных в практической жизни ИБшников. Открыть/Комментировать

2023-05-13 09:40:15 Как-то, несколько лет назад, компания Apple захотела купить компанию Corellium, которая занималась ПО, позволяющем запускать iOS на устройствах не-производства Apple и проводить ее анализ с точки зрения ИБ. Предложив "смешные" 23 миллиона долларов, Apple столкнулась с отказом от Corellium, хотевшей больше денег. В итоге Apple подала в суд на малую, но гордую калифорнийскую компанию за нарушение авторских прав. И вот в начале недели независимый американский суд признал, что Apple была не права и ее иск был отклонен. Открыть/Комментировать

2023-05-12 20:53:06 Если взломать сайт ООН, то можно ли считать, что ты взломал весь мир? Открыть/Комментировать

2023-05-12 17:15:21 В бизнес-треке PHDays будет одна секция, которую я скромно назвал "Утекло? Да и ... с ним!", где мне хотелось бы поговорить с компаниями, которые реально столкнулись с различными инцидентами; не только утечками персональных данных. И знаете, что я вам скажу, это оказалось непростой задачей. Во многих компаниях, в которые мы обращались с предложением выступить и поделиться своим опытом реагирования на инцидент, нам отказали. Во многих случаях это было решение PR

Хотя, как по мне, если уж он произошел, то почему бы не извлечь пользу и не показать свою открытость перед рынком, рассказать, что случилось, почему, что было предпринято, какие уроки извлечены и т.д. Но нет, часто компанию ограничиваются просто сухим постом в блоге. Возможно с точки зрения PR это и хорошо, но все-таки.

Тем ценнее, что на секции "Утекло? Да и ... с ним!" согласились участвовать компании, которые смогут рассказать, что у них произошло. Не у всех дошло до утечки - но все столкнулись с подозрительными или явно вредоносными действиями в своей инфраструктуре. Где-то это была даже APT. И вот одна из таких историй, которую мы среди прочего обсудим на секции. Но будут и другие, в том числе и ранее нестановившиеся достоянием публики. Открыть/Комментировать

2023-05-12 16:00:38 А сегодня у нас опять праздник! И это не пятница! Интерпол решил, что 12-го мая надо праздновать день шифровальщика. Но не тот, который 5-го мая, а тот который ransomware Точнее конечно не день шифровальщика, а антишифровальщика, то есть Anti-Ransomware Day. Дата приурочена к началу эпидемии WannaCry 12-го мая 2017 года. Открыть/Комментировать

2023-05-12 14:08:01 Ну что, еще одну компанию по кибербезопасности сломали; частично. Не нашу, американскую. Известную в области промышленного кибербеза. Речь идет о Dragos. Скрывать они этот факт не стали и даже попытались извлечь из этого какую-то пользу, правильным образом преподнеся результаты расследования.

Их описание (на русском и английском) мало чем отличается от обычного расследования - исходный вектор (как и в случае с недавним инцидентом у BI.ZОNE атаковали через внешний облачный сервис), временная шкала, техники и тактики, индикаторы компрометации, скрины переписки с вымогателями, извлеченные уроки, рекомендации, контакты для связи. Ну все, что может быть интересно в такого рода кейсах.

Утверждается, что это была "попытка" атаки - злоумышленники не смогли проникнуть в инфраструктуру (а облако к своей почему-то никто не относит). Ну эта песня знакомая - все-таки хочется нивелировать неприятный осадочек от своего взлома; все-таки ИБ-компания как-никак.

В любом случае, несколько выводов я бы сделал из этой истории:
Ломают любую компанию. ИБ и не ИБ. Вопрос стоит не "если", а "когда".
Скрывать такого рода факты бессмысленно - всплывет.
Открытость нивелирует негативные последствия от взлома; в отличие от попытки скрыть всеми правдами и неправдами.

ЗЫ. Из интересного, но объяснимого - расследования Dragos проводит внешняя компания, хотя Dragos и сам имеет такую экспертизу. Думаю это связано с тем, чтобы показать свою непредвзятость в этом деле и показать, что компания ничего не скрывает. Открыть/Комментировать

2023-05-12 07:40:13 Когда вы будете на PHDays, то там будет четыре дискуссии, имеющие прямое отношение к тем темам и опросам, которые я в последние дни поднимал в канале и которые очень хорошо укладываются в набившее оскомину "ИБ, общающаяся с бизнесом" :
"Как руководство компании оценивает недопустимые события". Тут топы разных компаний будут говорить о том, как они смотрят на риски, недопустимые события и приходящих к ним CISO. Этакий взгляд "сверху".
"CISO 2.0. С бордом на одном борде". Тут сами CISO будут делиться опытом общения с топами и лайфхаками, как им удается (или не удается) доносить смыслы ИБ до руководства.
"Готовы ли вы отвечать своими фаберже за результат". Тут представители преимущественно вендоров, интеграторов и провайдеров ИБ-услуг (но будет и заказчик) будут рассказывать, готовы ли они нести ответственность за результат ИБ и если да, то какую, и что для них результат.
"CISO 2.0 и его команда". А тут преимущественно CISO будут обсуждать необходимые руководителю ИБ компетенции, чтобы нормально общаться с бизнесом.

На PHDays будет и много другого полезного контента, но эту группу дискуссий я решил выделить отдельно, так как, как мне кажется, получается целостная картина взгляда на ИБ с точки зрения бизнеса.

ЗЫ. В ближайшие несколько дней буду еще постить описания разных секций с PHDays. Потерпите. Я последнее время был погружен в подготовку этого мероприятия и я считаю, что получилось очень даже неплохо. Открыть/Комментировать

2023-05-11 21:13:58 Когда оружейная компания (Glock) начинает выпускать шторки для веб-камер и продавать их за 7 евро, то это является сигналом перспективности рынка ИБ; как минимум сегмента веб-шторок от подсматривания Открыть/Комментировать

2023-05-11 17:45:20 Американская ФСТЭК (CISA) предлагает разработчикам ПО, поставляемого в госорганы США, проводить самоаттестацию, подтверждающую выполнение требований по безопасной разработке.

У нас требования по безопасной разработке тоже есть, но непонятно, как подтверждать их реализацию. Американцы показывают вариант. Открыть/Комментировать