У Гартнера, похоже, KPI по числу новых аббревиатур, которые они должны ввести в оборот 🤦‍♂️ Вот они тут на днях родили новый акроним - ASCA, то Automated Security Control Assessment. Чем это решение отличается от того же BAS или CTEM не очень понятно - тот же анализ способности реализовать атаку при наличии имеющихся средств защиты? Нет ответа, а термин новый есть. Эксперты подтрунивают над Gartner, а он и в ус не дует - продолжает плодить новые и новые аббревиатуры 🤔

Ну а пользователям, задумавшимся о поиске, выборе и покупке ASCA, стоит задаться простым вопросом - какого результата вы хотите достичь, применяя средства анализа защищенности?..

Почти год прошел с начала истории с компанией 23andme 🧬, которая была взломана, но которая сначала это отрицала, а потом свалила всю вину на пользователей, которые якобы сами выбрали неправильные пароли и не использовали MFA 🤦‍♂️ Рынок и клиенты такого наезда не оценили - компания столкнулась с рядом судебных исков, а ее акции стали стремительно падать вниз. Если до начала истории они торговались по цене больше 3 долларов за штуку, то сейчас их цена упала меньше 50 центов. Капитализация компании за это время упала вдвое 📉

И вот на днях было принято решение, что 23andme должна выплатить пострадавшим клиентам, чьи генетические данные утекли в результате атаки, 30 миллионов долларов, а также компания обязуется предоставить пострадавшим трехлетний мониторинг безопасности их данных по программе Privacy & Medical Shield + Genetic Monitoring 🤑 25 миллионов из этой суммы будет покрыто из имеющейся у компании страховки киберрисков. Можно было бы предположить, что разницу в 5 миллионов покрыть будет не сложно, но у компании и так непростое финансовое положение, - при доходе в 40 миллионов долларов за последний квартал, компания потеряла 69,4 миллиона 💸 На фоне тяжелого финансового положения сооснователь и гендиректор компании даже пыталась сделать компанию частной, уведя ее с фондового рынка. Еще бы - 3 года назад, когда 23andme выходила на биржу ее акции стоили 10 долларов - сейчас меньше полудоллара (20-тикратное падение) 🤑

А вы говорите, хакерская атака - это мелочи и никакого негативного результата бизнес от этого не видит. Видит…

Ахренеть… 💥 Не надо встраивать средства самоликвидации в свои продукты, а если встраиваете, доверьте профессионалам проверку их защищенности и возможности обойти защитные механизмы (если они есть) 😷 А иначе может быть больно; в буквальном смысле.

А израильтяне с американцами повторили «успех» Stuxnet 🪱, на мой взгляд. Ведь, чтобы одномоментно вывести из строя пейджеры и рации в разных странах (не только в Ливане), нужно было провести немало исследований и натурных экспериментов. Новый виток гонки кибервооружений, демонстрирующий влияние ИБ на мир физический 🔪

Компания Dr.Web 14 сентября подверглась целевой атаке 🖥 после чего отключила все свои ресурсы от Интернет с целью проверки. При этом больше чем на сутки был приостановлен и выпуск вирусных баз Dr.Web (у вас такое в модели угроз учтено?).

В двух новостях на сайте компании (вторая) много неясного и без детального раскрытия данных по инциденту сложно судить, что же все-таки произошло. С одной стороны "держали происходящее под контролем", а с другой "отключили серверы и запустили процесс всесторонней диагностики" 🚠 С одной стороны "оперативно отключили серверы", а с другой - атака началась 14-го числа, признаки внешнего воздействия на инфраструктуру обнаружены были 16-го, тогда же отключили и сервера. С одной стороны "мы внимательно за ней [угрозой] наблюдали", а с другой "мы локализовали угрозу" 💻

Если бы меня спросили, как я трактую данные две новости, то я бы предположил, что вероятно было проникновение внутрь 🥷 Но меня никто не спрашивает, а поэтому я свою предположения буду держать при себе и надеяться, что Dr.Web опубликует детальное описание инцидента и результатов проведенного компанией расследования 🔍

Тут один CISO делится своими советами о том, как специалистам по ИБ писать (с ударением на второй слог) ✍️ Он справедливо замечает, что это больше, чем проявление просто технических знаний и что надо быть креативным, усидчивым и иметь иные навыки. Автор подчеркивает важность целеустремленности и дисциплины для успеха в написании ✍️ качественного контента, который будет востребован как внутри компании, так и за ее пределами (а это признание коллег, большая известность, большие карьерные возможности, больший доход и т.п.).

Итак, какие 10 советов дает Джошуа Гольдфарб (с моими комментариями местами): ✍️
✍️ Уделяйте время писательство - это труд и он требует определенных усилий.
✍️ Пишите регулярно. Не обязательно раз в день или несколько раз в сутки - просто соблюдайте определенную частоту, а не хаотичность в творчестве.
✍️ Развивайте креативность.
✍️ Ищите вдохновение вокруг себя. Преломляйте ИБ на окружающий мир и окружающий мир на ИБ.
✍️ Имейте запас историй, которых у специалиста по ИБ должно быть немало.
✍️ Знайте свою аудиторию.
✍️ Говорите на языке читателей. Детям на детском, технарям на технарском, бизнесу на бизнесовом. У всех разный язык и сленг и надо это учитывать, а не пытаться переучивать всех своей мове.
✍️ Будьте практичны. Философские рассуждения - это прикольно, но трансерфинг реальности в ИБ не может быть постоянным; добавляйте практических советов, применимых в жизни и на работе.
✍️ Сохраняйте фокус. Не распыляйтесь и не отвлекайтесь. Добавлю, что когда вы смешиваете в одном источнике/канале ИБшные темы и всякую шнягу типа впечатления от поездок, обзоры больниц, оценку прочитанной беллетристики, то это не просто дико бесит, но и выглядит несолидно. Хотя если вы ведете канал/блог для себя, а не для аудитории, то и пофиг.
✍️ Доведите дело до конца. Начали писать - пишите, а не бросайте на полпути. Это будет выглядеть против вас.

Не то, чтобы все это выглядит как откровение, но, как саксаул аксакал ИБ-писательства ✍️, смотря со стороны на то, что делают сейчас многие блогеры, могу сказать, что некоторые из них не следуют описанным советам, считая, что знание алфавита уже делает человека писателем, умение редактировать видео - Тарковским. Тут впору вспомнить Жванецкого, что "писАть как и пИсать надо тогда, когда уже невмоготу" 📝 То есть важен результат и понимание ответа на вопрос "чтобы что?"!

Новое исследование ReversingLabs описывает, как северокорейские 🇰🇵 хакеры из, предположительно, Lazarus Group обманывают разработчиков ПО, выдавая себя за рекрутеров финансовых компаний. Они, в рамках собеседований, предлагают фальшивые задания, содержащие вредоносные Python-файлы 📱, которые служат загрузчиками вредоносного ПО, связываясь с сервером управления для выполнения нужных хакерам команд 🖥 Эта кампания указывает на растущую тенденцию использования открытых пакетов и платформ для атак на разработчиков ПО.

Аналогичная кампания от Lazarus была обнаружена в апреле компанией Securonix. Она получила название Dev#Popper и помимо вредоносных файлов Python также использовались и файлы JavaScript 📱, содержащие опасное содержимое. До этого, схожие кампании "Contagious Interview" и "Wagemole" обнаружили специалисты подразделения Unit42 компании Palo Alto. Не обошли вниманием эту тему и специалисты японского CERT, также атрибутировавшие вредоносные PyPI-файлы с Lazarus 👨‍💻 Microsoft даже называет конкретную жертву схожей кампании - компанию CyberLink Corp., тайваньского разработчика ПО, пострадавшего также от северокорейской APT-группировки, но не Lazarus, а Diamond Sleet (ZINC). KnowBe4 в поисках разрабочика ПО тоже столкнулась в июле этого года с атакой от северокорейских хакеров. Наконец, год назад, в сентябре 2023 года, Lazarus была замечена в попытке поймать на удочку разработчика испанской аэрокосмической компании 🚀

Что общего во всех этих кейсах? Нет, не происхождение APT-группировок. С тем же успехом это могли быть китайские хакеры или американские или сирийские или иранские 🥷 Дело в другом - во всех случаях атака была направлена на разработчиков ПО, которые привыкли жить достаточно безмятежно и не всегда задумываться о том, что они делают и насколько они "вкусны" как жертвы для различных хакерских группировок 🍦 При этом часто бывает, что разработчики находятся вне контроля служб ИБ в своих компаниях и на это есть множество причин - от нежелания ИБ погружаться в кухню DevOps до недопущения самими разработчиками службы ИБ на свою поляну. А результат мы видим в росте числе успешных атак на программистов, что открывает широкие возможности для хакеров по компрометации не только инфраструктуры компании, в которой трудится разработчик, но и по внедрению имплантов в код, который этот разработчик пишет (вспомним кейс с SolarWinds или менее известный с 3CX) ⌨️

ЗЫ. Надеюсь, смогу поговорить про это в рамках грядущего Positive Security Day, где одна из дискуссий, в которых я участвую, будет посвящена как раз результативному взаимодействию ИБ и разработчиков.

В тему грядущего Кибертеха, успехов на ниве импортозамещения и вот этого всего... Когда 2,5 года все началось и нас безвременно ⚰️ покинули те, кто когда-то с нами в десны, в России стали активно продвигать повестку с российским ПО - операционки, офисный софт, СУБД, виртуализация и... браузеры. И Минцифры во время перехода с супостатных Chrome, Firefox, Safari, которые отказались поддерживать сертификаты НУЦа, активно продвигало три российских изделия 🖥 - Яндекс.Браузер, Спутник и Атом. Спутник накрылся давно и его домен даже успел попасть в сводки НКЦКИ как потенциально мошеннический. А вот Атом накрылся меньше недели назад; зайдя на страницу https://browser.ru, вы можете наблюдать сообщение о том, что все, йок 🤬

Не будем злорадствовать и говорить, что импортозамещение - оно не про победные реляции, разговоры с трибун и организацию множества круглых столов и конференций по теме 🤥 Оно про "мешки ворочать". В данной истории я хотел бы просто обратить внимание на то, что не исключено, что в обозримом будущем мошенники начнут использовать эту историю (по аналогии с Спутником) в своих недобрых целях. И к этому надо быть готовым 🫡

ЗЫ. Хорошо, что со средствами защиты у нас пока результат не такой и отрасль растет и развивается. А все потому, что не про лозунги...

Использование голубей, попугаев и иных пернатых в качестве доверенного средства коммуникаций тоже не всегда безопасно 🕊

Как причудлив мир классификации явлений 🤔 Детонация в результате отправленного на пейджер сообщения или звонка на начиненный взрывчаткой мобильный телефон - обычный теракт и ничего нового. Взрыв 🤯 в результате отправленного сетевого пакета на начиненный взрывчаткой промышленный контроллер или источник бесперебойного питания - и это уже как бы тема, имеющая отношение к кибербезу. Угроза взрыва, о которой сообщили в Telegram или по e-mail - 100% акт кибертерроризма. Вроде как везде используются каналы связи, но оценка происходящего будет разной и отнесение к "кибер" или нет тоже. А вот с точки зрения недопустимых событий оно одно, только сценарии его реализации разные, - что-то относится к ИБ, что-то нет ✈️ И государство, бизнес думают именно в этом контексте, а не то, в чью зону ответственности это классифицировать 😮

Меня в личке просят прокомментировать ситуация с ливанскими пейджерами, а я даже и не знаю, что сказать. Хотя нет, знаю. В контексте классической ИБ - никакого отношения к ней это событие не имеет. Да, использовали средства коммуникаций 📞 для отправки сигнала, который и привел к детонации, но это больше тема РЭБ (у меня ВУС как раз по этому направлению). Хотя вопрос контроля скрытых каналов никто с повестки не снимает, но все будет зависеть от модели угроз и нарушителя 🙂 Да, налицо вмешательство в цепочку поставок в физическом мире. Специалисты по ИБ должны подумать о том, как они проверяют приобретаемое ПО, а также контролируют в своей среде разработки взаимозависимости и используемые чужие библиотеки. А также как проверяется покупаемое железо на предмет имплантов (не взрывчатки) ⚠️

Как я писал выше сегодня, преломляйте окружающий мир на ИБ и задавайте себе вопрос: "А такое могло произойти в виртуальном мире? 🤔 А если да, то допустимо ли это для меня? А если недопустимо, то что я должен сделать, чтобы это предотвратить? А если я не могу предотвратить, то какими должны быть мои действия, чтобы вовремя это обнаружить и среагировать? А если такое все-таки произошло, то как я могу уменьшить объем ущерба?" 😕

Куда катится этот мир... CISO западного мира больше думают, как удовлетворить регулятора, чем как сделать компанию защищенной и удовлетворить клиентов и партнеров. Ну хоть тема общения с бордом/бизнесом на втором месте с небольшим отрывом и то хлеб. Геополитика опережает выгорание и ментальное здоровье сотрудников (во время COVID-19 эта тема была прям 🏆), а инклюзивность пока только на последнем месте в топе (если не брать "Другое") 😫

Интересно, какой результат себе рисуют CISO с такими стратегическими приоритетами?

"Зажигающий сердца" звучит почти как "Бегущая по волнам"... Завораживающе. Вручили 🏆 статуэтку "Амбассадора киберобучения", которую присудили еще в мае, но только сейчас окольными путями, контрабандой, она попала мне в руки, с чем я себя сам и поздравляю! 🎆 Good result!

ЗЫ. Очень символично, что в этот же день мы анонсировали новый поток в Школе преподователей кибербезопасности 👨‍🏫 где я также делился светом знаний...

О важности анализа защищенности разрабатываемого ПО и вводимых в эксплуатации систем в рамках всего их жизненного цикла, а не только в самом конце, когда система работает, а софт уже в проде 👨‍💻

Действий порядок правильный результата для применяй ты! 🧘

Интересные мысли в отношении DPO (Data Privacy Officer), в контексте его реальных полномочий в компании. В ИБ (если отделять ее от защиты прав субъектов персональных данных) та же история. Часто роль CISO создают только потому, что так принято или потому что так требуется (например, тот же заместитель генерального директора по ИБ по 250-му). И де-юрэ ты большой начальник, а де-факто обычный советник, не имеющий права голоса. А риски при этом высоки… И оно стоит того? 🤔