Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 1: ПОНЕДЕЛЬНИК Серия 1 из 8. 8:47 утра. Людмила Семёновна включает компьютер. 1С не открывается. Людмила Семёновна — бухгалтер с 22-летним стажем. Она переживала налоговые проверки, нулевые годы, три смены директоров и один пожар…
Telegram
Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 3: МАСТЕРА С АВИТО
Серия 3 из 8.
1С молчит. Склад не работает. Менеджеры по продажам пьют чай и делают вид, что заняты. Водители звонят и спрашивают накладные. Людмила Семёновна выписывает их от руки.
Дима сказал Михаилу Борисовичу…
Серия 3 из 8.
1С молчит. Склад не работает. Менеджеры по продажам пьют чай и делают вид, что заняты. Водители звонят и спрашивают накладные. Людмила Семёновна выписывает их от руки.
Дима сказал Михаилу Борисовичу…
🔥8🤡4👍2❤1
Forwarded from КОД ИБ: информационная безопасность
Ток-шоу «Безопасная среда»
КИИ не по методичке: живой опыт экспертов по защите объектов КИИ
🗓 13 мая в 12:00 (МСК)
➡️ Регистрация
Между требованиями на бумаге и реальной защитой объектов КИИ часто лежит пропасть из ограниченных ресурсов, сложных процессов и нестандартных решений.
В новом выпуске ток-шоу «Безопасная среда» эксперты обсудят, как на практике выстраивается защита КИИ — без идеальных схем и «методичек для отчета».
Обсудим:
• Почему формальное выполнение требований не всегда означает реальную защищенность
• Какие ошибки чаще всего допускают при внедрении мер защиты
• Как меняется подход к КИИ на фоне новых угроз и дефицита кадров
• Как выстраивать взаимодействие между ИБ, ИТ и бизнесом
• Какие практики действительно работают в инфраструктуре с высокими требованиями к устойчивости
Спикеры:
— Евгений Баклушин, автор BESSEС, директор КИТ
— Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ
— Иван Земцов, эксперт по информационной безопасности, консультант, преподаватель и автор образовательных курсов
— Андрей Миняев, к.т.н., руководитель Центра информационной безопасности Digital Design
Присоединяйтесь к эфиру — разберем живые кейсы, спорные вопросы и опыт специалистов, которые каждый день работают с защитой КИИ в реальных условиях.
КИИ не по методичке: живой опыт экспертов по защите объектов КИИ
Между требованиями на бумаге и реальной защитой объектов КИИ часто лежит пропасть из ограниченных ресурсов, сложных процессов и нестандартных решений.
В новом выпуске ток-шоу «Безопасная среда» эксперты обсудят, как на практике выстраивается защита КИИ — без идеальных схем и «методичек для отчета».
Обсудим:
• Почему формальное выполнение требований не всегда означает реальную защищенность
• Какие ошибки чаще всего допускают при внедрении мер защиты
• Как меняется подход к КИИ на фоне новых угроз и дефицита кадров
• Как выстраивать взаимодействие между ИБ, ИТ и бизнесом
• Какие практики действительно работают в инфраструктуре с высокими требованиями к устойчивости
Спикеры:
— Евгений Баклушин, автор BESSEС, директор КИТ
— Олег Графеев, практикующий специалист в области обеспечения безопасности объектов КИИ
— Иван Земцов, эксперт по информационной безопасности, консультант, преподаватель и автор образовательных курсов
— Андрей Миняев, к.т.н., руководитель Центра информационной безопасности Digital Design
Присоединяйтесь к эфиру — разберем живые кейсы, спорные вопросы и опыт специалистов, которые каждый день работают с защитой КИИ в реальных условиях.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🔥1
Forwarded from Пакет Безопасности
ЧТО? Правильно, новый ролик!
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
В этот раз мы встретились с Антоном Бочкаревым – с экспертом в области кибербезопасности и фаундером компании @By3side, чтобы обсудить, как компании легально сливают наше местоположение, как хакеры взламывают наши телеграм-аккаунты, безопасен ли публичный wi-fi и как стоит начинать свою карьеру в информационной безопасности.
Видео смотрим тут
📹 Youtube
📺 VK Video
📺 Rutube
⚡ ПБ | 😎 Чат | 🛍 Проекты | 📹 YT
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
https://youtu.be/kVCaF4peqIU
В этот раз мы встретились с Антоном Бочкаревым – с экспертом в области кибербезопасности и фаундером компании @By3side, чтобы обсудить, как компании легально сливают наше местоположение, как хакеры взламывают наши телеграм-аккаунты, безопасен ли публичный wi-fi и как стоит начинать свою карьеру в информационной безопасности.
Видео смотрим тут
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥9👍5❤3
Кстати, вчера вышла серия 4, не пропустили?
Если не видели прошлые, внизу есть ссылки на все)
Если не видели прошлые, внизу есть ссылки на все)
🔥5👍3❤2
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 4: БОЛЬШИЕ МАЛЬЧИКИ
Серия 4 из 8.
Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами.
Приехали двое. Костюмы. Ноутбуки с логотипом Apple. Говорят правильными словами: «векторы атаки», «криминалистическая экспертиза», «полный аудит инфраструктуры».
Михаил Борисович немного успокаивается. Серьёзные люди.
Они ходят по офису три часа. Делают снимки экранов. Берут образы дисков. Пьют кофе. Задают вопросы Диме. Дима отвечает уклончиво.
На следующий день присылают письмо.
«Благодарим за обращение. По итогам первичного обследования можем предложить следующие услуги: криминалистическое расследование инцидента, восстановление инфраструктуры, аудит безопасности, разработка регламентов...»
Внизу — итоговая сумма.
4 600 000 рублей.
Срок — 6-8 недель.
Михаил Борисович смотрит на цифру. Потом смотрит в окно. Потом снова на цифру.
Это не значит, что компания плохая. Они реально умеют. Просто они работают с банками и госкорпорациями. Для них ООО «Три Богатыря» — маленький нестандартный кейс, который надо правильно упаковать в коммерческое предложение.
А «Три Богатыря» нужно работать. Сейчас. Не через 6-8 недель.
Пока Михаил Борисович смотрит на КП, Антон сидит в переговорке с «Премиумбетоном».
«Премиумбетон» — партнёр на 12 миллионов в год. Они работают вместе семь лет. Антон знает там всех по именам, был на корпоративах, крестил ребёнка у одного из менеджеров.
Партнёр говорит аккуратно, но прямо: «Антон, мы понимаем, что у вас сложности. Но у нас свои обязательства перед клиентами. Мы вынуждены временно работать с "Стальпромом". Как только у вас всё восстановится — вернёмся к диалогу».
«Временно» в устах партнёра звучит как «навсегда».
Антон говорит: «Конечно, понимаем. Буквально пара дней».
Выходит из переговорки. Зачёркивает «Премиумбетон» в блокноте.
━━━━━━━━━━
Счётчик потерь. День 8:
— Простой: ~4 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽
— Данные: зашифрованы
— Причина известна: нет
— Клиентов, ушедших к конкурентам: 2 (в т.ч. партнёр на 12 млн/год)
— На столе у Михаила Борисовича лежит КП на 4 600 000 ₽. Он смотрит на него и думает о жизни.
━━━━━━━━━━
Продолжение в четверг.
1 Серия
2 Серия
3 Серия
Серия 4 из 8.
Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами.
Приехали двое. Костюмы. Ноутбуки с логотипом Apple. Говорят правильными словами: «векторы атаки», «криминалистическая экспертиза», «полный аудит инфраструктуры».
Михаил Борисович немного успокаивается. Серьёзные люди.
Они ходят по офису три часа. Делают снимки экранов. Берут образы дисков. Пьют кофе. Задают вопросы Диме. Дима отвечает уклончиво.
На следующий день присылают письмо.
«Благодарим за обращение. По итогам первичного обследования можем предложить следующие услуги: криминалистическое расследование инцидента, восстановление инфраструктуры, аудит безопасности, разработка регламентов...»
Внизу — итоговая сумма.
4 600 000 рублей.
Срок — 6-8 недель.
Михаил Борисович смотрит на цифру. Потом смотрит в окно. Потом снова на цифру.
Это не значит, что компания плохая. Они реально умеют. Просто они работают с банками и госкорпорациями. Для них ООО «Три Богатыря» — маленький нестандартный кейс, который надо правильно упаковать в коммерческое предложение.
А «Три Богатыря» нужно работать. Сейчас. Не через 6-8 недель.
Пока Михаил Борисович смотрит на КП, Антон сидит в переговорке с «Премиумбетоном».
«Премиумбетон» — партнёр на 12 миллионов в год. Они работают вместе семь лет. Антон знает там всех по именам, был на корпоративах, крестил ребёнка у одного из менеджеров.
Партнёр говорит аккуратно, но прямо: «Антон, мы понимаем, что у вас сложности. Но у нас свои обязательства перед клиентами. Мы вынуждены временно работать с "Стальпромом". Как только у вас всё восстановится — вернёмся к диалогу».
«Временно» в устах партнёра звучит как «навсегда».
Антон говорит: «Конечно, понимаем. Буквально пара дней».
Выходит из переговорки. Зачёркивает «Премиумбетон» в блокноте.
━━━━━━━━━━
Счётчик потерь. День 8:
— Простой: ~4 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 25 000 ₽
— Данные: зашифрованы
— Причина известна: нет
— Клиентов, ушедших к конкурентам: 2 (в т.ч. партнёр на 12 млн/год)
— На столе у Михаила Борисовича лежит КП на 4 600 000 ₽. Он смотрит на него и думает о жизни.
━━━━━━━━━━
Продолжение в четверг.
1 Серия
2 Серия
3 Серия
🔥9❤4👍4🤡3
Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 4: БОЛЬШИЕ МАЛЬЧИКИ Серия 4 из 8. Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами. Приехали двое. Костюмы.…
Нашли опечатку, поправили)
👍4😁4
Forwarded from Капитализм под защитой
Киберстрахование для МСБ: почему раньше не работало и что изменилось
Киберстрахование в России существует уже несколько лет, но малый и средний бизнес им почти не пользуется. Причины понятны.
Проблема 1: Сложный вход. У компаний малого и среднего бизнеса либо очень слабая защита цифровой инфраструктуры, либо ее вовсе нет, что чаще всего связано с отсутствием ресурсов и экспертизы. Страховщики не готовы страховать такие риски.
Проблема 2: Высокая цена. Страховщик не может точно оценить киберриски клиента без дорогостоящего аудита, поэтому закладывает неопределённость в тариф. Услуга становится нерентабельной для небольших компаний.
Проблема 3: Риск отказа в возмещении ущерба. Договор страхования заключается на основании заявления на страхование, которое оформляется в самом начале. Решение о выплате принимается в том числе с учетом данных, указанных в заявлении. Что если инфраструктура с тех пор изменилась?
Мы в 4sec попробовали решить эти три проблемы одновременно. Идея - если встроить в страховой продукт систему мониторинга, которая непрерывно оценивает состояние инфраструктуры, то:
— реальное снижение рисков позволяет получить более выгодный тариф
— решение о страховании и возмещении принимается на основе данных из сервиса, а не на основе устаревших данных в заявлении
Так появился Кибер.Полис+ — страховой продукт, в который встроен облачный сервис безопасности. Покрытие от 30 млн рублей, оформление за 1 день, подключение сервиса за 30 минут.
Подробнее о том, как это устроено: https://4security.ru/products/insurance/
Киберстрахование в России существует уже несколько лет, но малый и средний бизнес им почти не пользуется. Причины понятны.
Проблема 1: Сложный вход. У компаний малого и среднего бизнеса либо очень слабая защита цифровой инфраструктуры, либо ее вовсе нет, что чаще всего связано с отсутствием ресурсов и экспертизы. Страховщики не готовы страховать такие риски.
Проблема 2: Высокая цена. Страховщик не может точно оценить киберриски клиента без дорогостоящего аудита, поэтому закладывает неопределённость в тариф. Услуга становится нерентабельной для небольших компаний.
Проблема 3: Риск отказа в возмещении ущерба. Договор страхования заключается на основании заявления на страхование, которое оформляется в самом начале. Решение о выплате принимается в том числе с учетом данных, указанных в заявлении. Что если инфраструктура с тех пор изменилась?
Мы в 4sec попробовали решить эти три проблемы одновременно. Идея - если встроить в страховой продукт систему мониторинга, которая непрерывно оценивает состояние инфраструктуры, то:
— реальное снижение рисков позволяет получить более выгодный тариф
— решение о страховании и возмещении принимается на основе данных из сервиса, а не на основе устаревших данных в заявлении
Так появился Кибер.Полис+ — страховой продукт, в который встроен облачный сервис безопасности. Покрытие от 30 млн рублей, оформление за 1 день, подключение сервиса за 30 минут.
Подробнее о том, как это устроено: https://4security.ru/products/insurance/
👍4🔥2❤1
Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 4: БОЛЬШИЕ МАЛЬЧИКИ Серия 4 из 8. Брат Михаила Борисовича работает в банке. Посоветовал «нормальных ребят» — крупная компания по кибербезопасности, название все слышали, офис в центре Москвы, сайт с кейсами. Приехали двое. Костюмы.…
Серия 5 вышла, вы знаете где ее смотреть)
👍11🔥5❤2🤡1
"А кто нас ломает?" - точного ответа нет и не будет
Чтобы ответить на этот вопрос, ИБ-компании прибегают к атрибуции — процессу установления того, кто именно стоит за кибератакой или конкретным инцидентом.
Но возможно ли это точно определить? Скорее нет, чем да.
На чем базируются исследователи?
- Цифровой почерк: У каждой группы есть свои любимые инструменты, фрагменты кода и методы закрепления в системе (TTPs).
- Метаданные и время: Часовые пояса, в которых компилировались вирусы, и язык комментариев в коде (хотя кто мешает хакеру в Москве работать по времени Сиэтла?).
- Инфраструктура: Использование конкретных серверов, прокси-цепочек и методов покупки доменов, которые уже «светились» в прошлых кампаниях.
- Мотив: Кому выгоден взлом? Если крадут чертежи истребителя, подозрение падает на страны-конкуренты, а не на школьника-хулигана.
Но в 2017 году мир ИБ содрогнулся: WikiLeaks опубликовал Vault 7 — крупнейший в истории массив секретных документов ЦРУ. Среди чертежей эксплойтов для «умных» телевизоров и смартфонов обнаружились доказательства того, что американские спецслужбы возвели подделку следов в ранг искусства. В рамках проектов Marble и Umbrage они годами оттачивали технологии «цифрового камуфляжа».
Marble — это целый фреймворк для «запутывания» кода, который позволял вставлять куски на русском, китайском или арабском языках. Чистой воды «подстава», чтобы направить следствие по ложному пути.
А подразделение Umbrage пошло ещё дальше: они собирали библиотеку методов реальных хакерских групп со всего мира. Зачем изобретать велосипед, если можно украсть данные, используя чужой «почерк», и оставить аналитиков в полной уверенности, что это был кто-то другой?
В итоге атрибуция из точной науки превращается в игру «верю — не верю», где любые улики могут оказаться профессионально подброшенными.
Стоит ли вообще доверять публичным отчетам об атрибуции, если «цифровой камуфляж» стал настолько доступным?
Чтобы ответить на этот вопрос, ИБ-компании прибегают к атрибуции — процессу установления того, кто именно стоит за кибератакой или конкретным инцидентом.
Но возможно ли это точно определить? Скорее нет, чем да.
На чем базируются исследователи?
- Цифровой почерк: У каждой группы есть свои любимые инструменты, фрагменты кода и методы закрепления в системе (TTPs).
- Метаданные и время: Часовые пояса, в которых компилировались вирусы, и язык комментариев в коде (хотя кто мешает хакеру в Москве работать по времени Сиэтла?).
- Инфраструктура: Использование конкретных серверов, прокси-цепочек и методов покупки доменов, которые уже «светились» в прошлых кампаниях.
- Мотив: Кому выгоден взлом? Если крадут чертежи истребителя, подозрение падает на страны-конкуренты, а не на школьника-хулигана.
Но в 2017 году мир ИБ содрогнулся: WikiLeaks опубликовал Vault 7 — крупнейший в истории массив секретных документов ЦРУ. Среди чертежей эксплойтов для «умных» телевизоров и смартфонов обнаружились доказательства того, что американские спецслужбы возвели подделку следов в ранг искусства. В рамках проектов Marble и Umbrage они годами оттачивали технологии «цифрового камуфляжа».
Marble — это целый фреймворк для «запутывания» кода, который позволял вставлять куски на русском, китайском или арабском языках. Чистой воды «подстава», чтобы направить следствие по ложному пути.
А подразделение Umbrage пошло ещё дальше: они собирали библиотеку методов реальных хакерских групп со всего мира. Зачем изобретать велосипед, если можно украсть данные, используя чужой «почерк», и оставить аналитиков в полной уверенности, что это был кто-то другой?
В итоге атрибуция из точной науки превращается в игру «верю — не верю», где любые улики могут оказаться профессионально подброшенными.
Стоит ли вообще доверять публичным отчетам об атрибуции, если «цифровой камуфляж» стал настолько доступным?
👍11🔥6❤2
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 5: КОЛЯ ИЗ КАЗАНИ
Серия 5 из 8.
На десятый день Михаил Борисович позвонил однокласснику Игорю. Просто поговорить, пожаловаться. Игорь — владелец производства в Казани.
Игорь молча выслушал. Потом говорит:
— У нас такое же было. Год назад. Нашли ребят, которые помогли. Дай номер дам.
Так появился Коля.
Коля приехал один. Без костюма. С рюкзаком. На вид лет 35. Говорит мало, смотрит много.
Посмотрел час. Сказал:
— Восстановить данные не получится. Шифр современный. Но поднять инфраструктуру и разобраться, как вошли — сделаем. 380 тысяч, две недели.
Михаил Борисович: «А быстрее?»
Коля: «48 часов — базовые бизнес-процессы. Всё остальное — две недели».
Михаил Борисович подписал договор не читая.
Коля начал работать в тот же вечер.
На следующее утро 1С заработала. Частично — с данными за последние полгода, которые нашли в облачном кэше. Склад ожил.
Пока Коля разбирался с серверами, Антон наконец начал обзванивать клиентов с хорошими новостями.
Из двадцати звонков:
— Восемь ответили. Обрадовались. Готовы возобновить заказы.
— Пять не ответили. Перезвонили сами позже и сказали, что «пока работают с другими».
— Трое написали в мессенджер что-то вроде «окей, держите в курсе».
— Двое — «Стройдепо» и «Премиумбетон» — не ответили вообще.
Антон смотрит на блокнот. Там семь зачёркнутых строк.
Семь клиентов. За одиннадцать дней.
Но на третий день Коля пришёл к Михаилу Борисовичу с неприятным разговором.
«Нам нужно поговорить про Диму».
━━━━━━━━━━
Счётчик потерь. День 11:
— Простой: ~5 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽ (25к Авито + 380к Коля)
— 1С: работает! Частично. Склад ожил.
— Данные за 4 месяца: потеряны навсегда
— Клиентов, ушедших к конкурентам: 7
— Причина известна: скоро узнаем. Дима нервничает.
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
2 Серия
3 Серия
4 Серия
Серия 5 из 8.
На десятый день Михаил Борисович позвонил однокласснику Игорю. Просто поговорить, пожаловаться. Игорь — владелец производства в Казани.
Игорь молча выслушал. Потом говорит:
— У нас такое же было. Год назад. Нашли ребят, которые помогли. Дай номер дам.
Так появился Коля.
Коля приехал один. Без костюма. С рюкзаком. На вид лет 35. Говорит мало, смотрит много.
Посмотрел час. Сказал:
— Восстановить данные не получится. Шифр современный. Но поднять инфраструктуру и разобраться, как вошли — сделаем. 380 тысяч, две недели.
Михаил Борисович: «А быстрее?»
Коля: «48 часов — базовые бизнес-процессы. Всё остальное — две недели».
Михаил Борисович подписал договор не читая.
Коля начал работать в тот же вечер.
На следующее утро 1С заработала. Частично — с данными за последние полгода, которые нашли в облачном кэше. Склад ожил.
Пока Коля разбирался с серверами, Антон наконец начал обзванивать клиентов с хорошими новостями.
Из двадцати звонков:
— Восемь ответили. Обрадовались. Готовы возобновить заказы.
— Пять не ответили. Перезвонили сами позже и сказали, что «пока работают с другими».
— Трое написали в мессенджер что-то вроде «окей, держите в курсе».
— Двое — «Стройдепо» и «Премиумбетон» — не ответили вообще.
Антон смотрит на блокнот. Там семь зачёркнутых строк.
Семь клиентов. За одиннадцать дней.
Но на третий день Коля пришёл к Михаилу Борисовичу с неприятным разговором.
«Нам нужно поговорить про Диму».
━━━━━━━━━━
Счётчик потерь. День 11:
— Простой: ~5 500 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽ (25к Авито + 380к Коля)
— 1С: работает! Частично. Склад ожил.
— Данные за 4 месяца: потеряны навсегда
— Клиентов, ушедших к конкурентам: 7
— Причина известна: скоро узнаем. Дима нервничает.
━━━━━━━━━━
Продолжение в воскресенье.
1 Серия
2 Серия
3 Серия
4 Серия
🔥11👍6❤3🗿1
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 6: ЧТО ДИМА СЛОМАЛ, ПОКА ЧИНИЛ
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
Серия 6 из 8.
Дима не виноват. Почти.
Он сделал то, что умел. Проблема в том, что когда происходит взлом, первое, что нужно сделать — это ничего не трогать. Зафиксировать. Сохранить следы.
Дима сделал противоположное.
Перезагрузил серверы — стёр данные из оперативной памяти, где мог сидеть вирус в активном состоянии.
Запустил антивирус — тот «вылечил» заражённые файлы, уничтожив улики.
Проверил диски — перезаписал часть секторов, где были артефакты атаки.
Удалил «подозрительные файлы» — некоторые из них были следами атакующих, по которым можно было восстановить хронологию.
Дима пытался помочь. И сделал расследование в 10 раз сложнее.
Коля смог установить: взлом произошёл через старый VPN-сервер (не обновлялся 2 года), атака шла 18 дней до того как активировался шифровальщик (они сидели внутри и изучали сеть), точку входа — нашёл. Хронологию после первого часа — не восстановить, Дима постарался.
Данные потеряны безвозвратно. 4 месяца истории продаж, часть клиентской базы, архив документов.
━━━━━━━━━━
Итого на день 14:
— Простой: ~7 миллионов упущенной выручки
— Потеряно данных: 4 месяца
— Потрачено на «лечение»: 405 000 рублей
— Найдена точка входа: да
— Данные восстановлены: нет
И ещё одна новость.
━━━━━━━━━━
Продолжение во вторник — финал.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
❤10👍6🔥6🤡2
В мире ИБ тонна новостей, но где экспертиза? Собрали майский топ Telegram-каналов: от DDoS-разборов до compliance по 152-ФЗ. Владельцы — подкастеры, консультанты с реальным опытом.
Твоя ИБ-папка
Экономь время: одна ссылка — и ты в теме.
👋 👋 👉
➡️ [Майский ТОП-ИБ каналов]
Твоя ИБ-папка
Экономь время: одна ссылка — и ты в теме.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥3👍2
Мы уже давно пишем, что "школьник с нейронкой" - стало новым кусочком модели угроз. ИИ ускоряет и удешевляет атаки, включая процессы создания вредоносного ПО.
ИИ-решения работаю и на щит, и на меч. Они усиливают ИБ, но и снижают порог входа для злоумышленников. Сейчас активно хайпует и Claude Mythos, говорят он уже находит уязвимости как багхантер, но хотелось бы его более публичного теста.
А что в России? Зрелая часть российского бизнеса старается действовать на опережение
Кто например? Т-Банк! Они первые в России собрали атакующий искусственный интеллект нацелили на собственную инфраструктуру.
Называется этот ИИ Nulla — это их внутренняя разработка. Работает по принципу группы интеллектуальных агентов.
Они рассказали на ЦИПР, что агенты адаптируются к механизмам защиты на лету,к тому же находит нарушения логики доступа и выстраивает сложные цепочки взаимодействия между сервисами.
ИИшный BAS - имитация действий квалифицированного злоумышленника.
А что это дало?
Скорость проверки одного сервиса сократилась с 2-3 дней ручного труда до 45 минут работы агента.
Всего в рамках пилота они прогнали через стресс-тест около 1300 платформ — от Т-Бизнеса до Т-Авто.
Т-Банк ожидает, что Nulla сэкономит им около 100 млн рублей до конца года. Это оценка по сэкономленым выплатам по Bugbounty.
Вывод?
Если уже хоть как-то работают атакующие ИИ-модели, пора защищаться зеркально, а не старыми инструментами.
Посмотрим, куда Т-Банк пойдет дальше! Полностью автоматизированный ИИ-SOC?
ИИ-решения работаю и на щит, и на меч. Они усиливают ИБ, но и снижают порог входа для злоумышленников. Сейчас активно хайпует и Claude Mythos, говорят он уже находит уязвимости как багхантер, но хотелось бы его более публичного теста.
А что в России? Зрелая часть российского бизнеса старается действовать на опережение
Кто например? Т-Банк! Они первые в России собрали атакующий искусственный интеллект нацелили на собственную инфраструктуру.
Называется этот ИИ Nulla — это их внутренняя разработка. Работает по принципу группы интеллектуальных агентов.
Они рассказали на ЦИПР, что агенты адаптируются к механизмам защиты на лету,к тому же находит нарушения логики доступа и выстраивает сложные цепочки взаимодействия между сервисами.
ИИшный BAS - имитация действий квалифицированного злоумышленника.
А что это дало?
Скорость проверки одного сервиса сократилась с 2-3 дней ручного труда до 45 минут работы агента.
Всего в рамках пилота они прогнали через стресс-тест около 1300 платформ — от Т-Бизнеса до Т-Авто.
Т-Банк ожидает, что Nulla сэкономит им около 100 млн рублей до конца года. Это оценка по сэкономленым выплатам по Bugbounty.
Вывод?
Если уже хоть как-то работают атакующие ИИ-модели, пора защищаться зеркально, а не старыми инструментами.
Посмотрим, куда Т-Банк пойдет дальше! Полностью автоматизированный ИИ-SOC?
🔥18🤔7👎3❤2
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 7: ФИНАЛ
Серия 7 из 8. Предпоследняя.
Коля уходит. Говорит последнее.
«Мы закрыли дыру, через которую вошли. Обновили VPN, поставили нормальные пароли, настроили мониторинг. Базовые процессы работают.
Но вот что важно.
Когда взломали, вы думали: "Главное — восстановиться. Потом разберёмся с защитой". Почти все так думают.
Вы восстановились. Теперь "потом". Если не сделать защиту нормально — вас зашифруют снова. Те же люди или другие — неважно. Дыра была серьёзная, значит вы попали в базы как "платёжеспособная мишень".
Это не страшилка. Статистика: больше половины компаний после шифрования без нормального расследования получают повторную атаку в течение 6–12 месяцев».
Михаил Борисович слушает.
«Сколько стоит нормальная защита?» — спрашивает он.
Коля пожимает плечами.
«Для компании вашего размера — копейки в месяц. Есть один сервис, который сканирует инфраструктуру и сигналит, когда находит дыры. Я с этими ребятами работаю — езжу к их клиентам, когда случается что-то серьёзное. Вот через них вы бы нашли меня не на четырнадцатый день. А на первый».
Михаил Борисович вспоминает 7 миллионов.
Потом вспоминает мастера с Авито, большую компанию с КП на 4,6 миллиона, Диму с его умным видом.
«Всего этого можно было не допустить», — добавляет Коля. — «Та дыра в VPN светилась бы как маяк при любом нормальном сканировании. Три месяца назад. До того, как хакеры её нашли».
Михаил Борисович молча кивает.
Дима в углу делает вид, что смотрит в ноутбук.
На экране у Димы открыт hh.ru.
Антон тоже в углу. У него в блокноте теперь две колонки: «вернулись» и «ушли».
В колонке «ушли» — девять строк. Среди них «Премиумбетон» с его 12 миллионами в год.
Антон считает. Даже если все из «вернулись» восстановят заказы — дыра в плане продаж на этот квартал уже не закрывается.
На годовой план Антон смотреть не стал.
━━━━━━━━━━
Счётчик потерь. Итог. День 16:
— Простой (14 дней до запуска): ~7 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽
— Клиентов, ушедших к конкурентам: 9 (из них 1 партнёр на 12 млн/год)
— Данные восстановлены: нет (4 месяца — в никуда)
— Виновные найдены: технически да, юридически — удачи
— Дима: продолжает работать. Ему подняли зарплату «за кризисное управление».
— Итого прямых потерь: ~7 400 000 ₽
— Итого потерь с учётом ушедших клиентов: считайте сами
Для справки: нормальная защита стоила бы ~50 000 ₽/мес.
Это 148 месяцев защиты. Или 12 лет.
━━━━━━━━━━
Серия 8 — в четверг.
Эпилог: что было бы, если Коля не нашёлся.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
6 Серия
Серия 7 из 8. Предпоследняя.
Коля уходит. Говорит последнее.
«Мы закрыли дыру, через которую вошли. Обновили VPN, поставили нормальные пароли, настроили мониторинг. Базовые процессы работают.
Но вот что важно.
Когда взломали, вы думали: "Главное — восстановиться. Потом разберёмся с защитой". Почти все так думают.
Вы восстановились. Теперь "потом". Если не сделать защиту нормально — вас зашифруют снова. Те же люди или другие — неважно. Дыра была серьёзная, значит вы попали в базы как "платёжеспособная мишень".
Это не страшилка. Статистика: больше половины компаний после шифрования без нормального расследования получают повторную атаку в течение 6–12 месяцев».
Михаил Борисович слушает.
«Сколько стоит нормальная защита?» — спрашивает он.
Коля пожимает плечами.
«Для компании вашего размера — копейки в месяц. Есть один сервис, который сканирует инфраструктуру и сигналит, когда находит дыры. Я с этими ребятами работаю — езжу к их клиентам, когда случается что-то серьёзное. Вот через них вы бы нашли меня не на четырнадцатый день. А на первый».
Михаил Борисович вспоминает 7 миллионов.
Потом вспоминает мастера с Авито, большую компанию с КП на 4,6 миллиона, Диму с его умным видом.
«Всего этого можно было не допустить», — добавляет Коля. — «Та дыра в VPN светилась бы как маяк при любом нормальном сканировании. Три месяца назад. До того, как хакеры её нашли».
Михаил Борисович молча кивает.
Дима в углу делает вид, что смотрит в ноутбук.
На экране у Димы открыт hh.ru.
Антон тоже в углу. У него в блокноте теперь две колонки: «вернулись» и «ушли».
В колонке «ушли» — девять строк. Среди них «Премиумбетон» с его 12 миллионами в год.
Антон считает. Даже если все из «вернулись» восстановят заказы — дыра в плане продаж на этот квартал уже не закрывается.
На годовой план Антон смотреть не стал.
━━━━━━━━━━
Счётчик потерь. Итог. День 16:
— Простой (14 дней до запуска): ~7 000 000 ₽ упущенной выручки
— Потрачено на «лечение»: 405 000 ₽
— Клиентов, ушедших к конкурентам: 9 (из них 1 партнёр на 12 млн/год)
— Данные восстановлены: нет (4 месяца — в никуда)
— Виновные найдены: технически да, юридически — удачи
— Дима: продолжает работать. Ему подняли зарплату «за кризисное управление».
— Итого прямых потерь: ~7 400 000 ₽
— Итого потерь с учётом ушедших клиентов: считайте сами
Для справки: нормальная защита стоила бы ~50 000 ₽/мес.
Это 148 месяцев защиты. Или 12 лет.
━━━━━━━━━━
Серия 8 — в четверг.
Эпилог: что было бы, если Коля не нашёлся.
1 Серия
2 Серия
3 Серия
4 Серия
5 Серия
6 Серия
🔥11🤡7👍5❤1
Про защиту МСП на Время Цифры
Всем привет, приходите на Время Цифры, там на панельной сессии «Безопасность как ценность бизнеса» я кратко расскажу свой доклад «Из ИБ-бюджета только кот: как МСБ строить защиту в 2026 году».
Поговорим о том, как вообще строить защиту без бюджета или с минимальными бюджетами. Ведь сейчас любому бизнесу это крайне актуально!
Когда: 27.05 (среда)
Где: Москва, Центр событий РБК
Всем привет, приходите на Время Цифры, там на панельной сессии «Безопасность как ценность бизнеса» я кратко расскажу свой доклад «Из ИБ-бюджета только кот: как МСБ строить защиту в 2026 году».
Поговорим о том, как вообще строить защиту без бюджета или с минимальными бюджетами. Ведь сейчас любому бизнесу это крайне актуально!
Когда: 27.05 (среда)
Где: Москва, Центр событий РБК
forum.digital-leaders.online
Форум «Время цифры» 2026 — первый в России тихий форум
Приглашаем на форум «Время цифры» 2026! Обсуждение AI, метамаркетинга, HR Tech и цифровой трансформации. Регистрация открыта. Участвуйте в премии Digital Leaders/Лидеры цифровизации
👍6❤3🔥3
Forwarded from Капитализм под защитой
ООО «ТРИ БОГАТЫРЯ» — ЧАСТЬ 8: ДРУГАЯ ИСТОРИЯ
Серия 8 из 8.
«Три Богатыря» нашли Колю. По счастливой случайности. Потому что Михаил Борисович позвонил школьному другу в нужный момент.
Но большинству не везёт так.
Вот другая версия этой истории.
Коля не находится. Мастер с Авито берёт деньги и пропадает. Большая компания присылает КП на 4,6 миллиона. Михаил Борисович не может столько потратить.
Они восстанавливаются сами. Медленно. Из обрывков. Нанимают фрилансера, который «поднимает» систему. Закрывают ли дыру — никто не знает. Дима говорит, что закрыл. Михаил Борисович верит.
А Антон в это время дозванивается до клиентов.
Неделя третья. Большинство уже не берут трубку — нашли других поставщиков, перестраивать логистику обратно дорого и незачем. «Премиумбетон» прислал официальное письмо о прекращении сотрудничества. Не звонок, не мессенджер — письмо. На бланке. С подписью директора.
Антон распечатал его и положил на стол Михаилу Борисовичу.
Михаил Борисович прочитал. Убрал в ящик. Ничего не сказал.
Антон вернулся к себе. Открыл таблицу с планом продаж на год. Долго смотрел. Закрыл.
На четвёртой неделе Антон написал заявление на увольнение.
Не потому что плохой сотрудник. А потому что продавать нечего — половина клиентской базы ушла, кредитная линия закрыта, новых контрактов не подписать без нормальной инфраструктуры. Антон это понял раньше Михаила Борисовича.
Через 6 недель — повторное шифрование. Дыру так и не закрыли.
На этот раз в офисе почти никого нет. Антона нет. Двух менеджеров нет. Людмила Семёновна сидит одна и смотрит на знакомый чёрный экран.
«Снова», — говорит она себе тихо.
На этот раз денег на восстановление уже нет. Один из трёх учредителей требует вернуть вложения.
Через 4 месяца — ликвидация.
Не потому что взломали. А потому что не было никого рядом в нужный момент. И потому что Антон ушёл первым — он просто раньше всех понял, куда это идёт.
Дима, кстати, в этой версии тоже нашёл новую работу. Айтишником. В другой компании.
————
Это была история об одной компании. Но это история тысяч компаний каждый год.
━━━━━━━━━━
Две версии одной истории. Счёт:
Версия А (нашли Колю):
Потери: ~7 400 000 ₽. Бизнес выжил.
Версия Б (не нашли):
Потери: ~15 000 000+ ₽. Ликвидация.
Разница между версиями: один звонок однокласснику.
Или один сервис мониторинга, который нашёл бы дыру за три месяца до взлома.
━━━━━━━━━━
Завтра — важный пост: что делать в первые 2 часа, если вас взломали.
Это не очевидно. И это реально спасает.
Начать с 1 серии.
Серия 8 из 8.
«Три Богатыря» нашли Колю. По счастливой случайности. Потому что Михаил Борисович позвонил школьному другу в нужный момент.
Но большинству не везёт так.
Вот другая версия этой истории.
Коля не находится. Мастер с Авито берёт деньги и пропадает. Большая компания присылает КП на 4,6 миллиона. Михаил Борисович не может столько потратить.
Они восстанавливаются сами. Медленно. Из обрывков. Нанимают фрилансера, который «поднимает» систему. Закрывают ли дыру — никто не знает. Дима говорит, что закрыл. Михаил Борисович верит.
А Антон в это время дозванивается до клиентов.
Неделя третья. Большинство уже не берут трубку — нашли других поставщиков, перестраивать логистику обратно дорого и незачем. «Премиумбетон» прислал официальное письмо о прекращении сотрудничества. Не звонок, не мессенджер — письмо. На бланке. С подписью директора.
Антон распечатал его и положил на стол Михаилу Борисовичу.
Михаил Борисович прочитал. Убрал в ящик. Ничего не сказал.
Антон вернулся к себе. Открыл таблицу с планом продаж на год. Долго смотрел. Закрыл.
На четвёртой неделе Антон написал заявление на увольнение.
Не потому что плохой сотрудник. А потому что продавать нечего — половина клиентской базы ушла, кредитная линия закрыта, новых контрактов не подписать без нормальной инфраструктуры. Антон это понял раньше Михаила Борисовича.
Через 6 недель — повторное шифрование. Дыру так и не закрыли.
На этот раз в офисе почти никого нет. Антона нет. Двух менеджеров нет. Людмила Семёновна сидит одна и смотрит на знакомый чёрный экран.
«Снова», — говорит она себе тихо.
На этот раз денег на восстановление уже нет. Один из трёх учредителей требует вернуть вложения.
Через 4 месяца — ликвидация.
Не потому что взломали. А потому что не было никого рядом в нужный момент. И потому что Антон ушёл первым — он просто раньше всех понял, куда это идёт.
Дима, кстати, в этой версии тоже нашёл новую работу. Айтишником. В другой компании.
————
Это была история об одной компании. Но это история тысяч компаний каждый год.
━━━━━━━━━━
Две версии одной истории. Счёт:
Версия А (нашли Колю):
Потери: ~7 400 000 ₽. Бизнес выжил.
Версия Б (не нашли):
Потери: ~15 000 000+ ₽. Ликвидация.
Разница между версиями: один звонок однокласснику.
Или один сервис мониторинга, который нашёл бы дыру за три месяца до взлома.
━━━━━━━━━━
Завтра — важный пост: что делать в первые 2 часа, если вас взломали.
Это не очевидно. И это реально спасает.
Начать с 1 серии.
🔥14👍7❤3👎1