Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike: 🦅
1️⃣ От инцидента пострадало 25% компаний из Fortune 500, хотя CrowdStrike заявляла о том, что в ее клиентах числится не менее половины Fortune 500.
2️⃣ Самые пострадавшие отрасли - авиация, здравоохранение и банки. При этом по мнению Parametrix среди авиакомпаний пострадало 100% (но это из списка Fortune 500).
3️⃣ Ожидаемые прямые финансовые потери составляют 5,4 миллиарда долларов, но только для компаний из списка Fortune 500, исключая Microsoft.
4️⃣ Наибольшие потери из всех индустрий - в здравоохранении. За ним следуют банки и авиация. Меньше всего пострадало производство и ИТ-отрасль.
5️⃣ От 0,54 до 1,08 миллиардов долларов потерь попадает под действие страховок, то есть от 10% до 20% от общего объема.
6️⃣ Средний размер потерь на пострадавшую компанию составил 44 миллиона долларов.

Оценок для компаний не из Fortune 500 я пока не видел, но напомню, что всего CrowdStrike заявляет о 29000 клиентов по всему миру 🌐 Если, следуя пропорции Parametrix, пострадала каждая 4-я компания, то совокупный объем потерь может составит несколько десятков миллиардов долларов, что делает данный инцидент самым дорогим в истории 💰

Исследование "Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients" демонстрирует, что в результате атак шифровальщиков на медицинские учреждения 🏥 в США снижается не только число госпитализаций на 17-25% в первую неделю после атаки, но и доходы больницы снижаются на 19-41% 💸

Самое печальное, что шифровальщики увеличивают смертность пациентов 🤕, уже находящихся в стационаре минимум на 20,7%. Максимальное значение достигает 55,3%, что зависит от серьезности инцидента. Необъяснимо, но факт, - почему-то у чернокожих американцев смертность в подвергшихся шифровальщикам больницам выше - до 61,8-73% ⚰️

ЗЫ. В США от атак шифровальщиков пострадало 4% больниц 🤒 и умерло от 42 до 67 человек

В чатиках прайвасистов все отмечают день рождения 🎏 закона "О персональных данных". А я напомню, что и законы "Об информации, информационных технологиях и защите информации" и "О безопасности критической информационной инфраструктуры" тоже празднуют свои дни рождения 27 июля! 🗓

Некоторое количество новостей вокруг CrowdStrike:
1️⃣ Ооочень длинный тред в Твиттере о том, что покушение на Трампа и коллапс с CrowdStrike связаны. Я бы такую конспирологию даже не стал бы всерьез рассматривать, если бы автор не начал с того, что он глава ИБ в Metro Bank, был консультантом в страховых и финансовых компаниях, 20 лет CISSP и вообще у него большой опыт, на котором он свои выводы и основывает. Странная ветка, конечно 🤦‍♂️
2️⃣ Глава CrowdStrike заявил, что к 25-му июля (у нас 26-му) 97% ПК с сенсорами на базе Windows было восстановлено в рабочее состояние. 7 дней простоя. Осталось только понять, что за 3% и насколько они важны?
3️⃣ CrowdStrike в апреле назад уже накрыл своим обновлением компьютеры под управлением Debian и Rocky Linux 🐧 с тем же эффектом, что и на Windows 🪟

Очередной AI Security Challenge. Попробуйте обмануть обойти систему защиты ИИ-бота. Похожа на Гендальфа, но более сложная 👨‍💻

4 сообщения о взломах ИБ-компанияй за неделю 🗓 И все разные. Что-то перебор… 👨‍💻

Как говорится, не буди лихо... Думаю, таких кейсов начнет всплывать все больше и больше. Это как импортозамещение, когда закон приняли, денег на закупку отечественного дали, а научить пользователей забыли 🤦‍♂️ Так и тут. Благая идея цифровизации госуслуг от Минцифры разбивается о низкую цифровую грамотность граждан. И под это дело все процессы ИБ нарушаются в хвост и гриву, а потом просят все подтвердить "задним числом" 🤠 А потом все забывают про цифровую грамотность и просто тупо нарушают процессы ИБ. И "хорошо" если на благо граждан, а если нет?..

Одно радует, если о взломе ИБ-компании сообщает тот, кто это сделал, а не жертва или СМИ, то о внедрении вредоносного кода в конвейер разработки 👨‍💻 скорее всего речи не идет. А то выглядит не совсем логично - внедрить код, чтобы оставаться как можно долго незамеченным, и сразу же об этом всем сообщить 🧑‍💻

Интересный случай, который уже не вызывает удивления и который укладывается в череду схожих примеров, в которых применялись дипфейки 🎭 Разве что личность, под которую маскировались мошенники, вызывает интерес. Речь идет о генеральном директоре Ferrari 🏎, голосом и акцентом которого плохие парни позвонили его подчиненному и попросили помощь в будущей сделке слияния и поглощения, что может потребовать перевести крупную сумму денег 🤑

Прежде, чем получить звонок от лже-директора один из топ-менеджеров, получивший сначала сообщение через мессенджер 📱 Жертва обратила внимание, что звонок идет от номера не в списке контактов и что голос звучит с немного металлическими нотками. Для проверки, он попросил назвать книгу 📖, порекомендованную настоящим CEO Ferrari несколькими днями ранее, на чем мошенники и сломались, бросив трубку.

По мере удешевления технологии дипфейков таких случаев будет становиться все больше. Кейс с Ferrari не единичный. В мае мошенники имитировали в Teams голос 🗣 гендиректора британского рекламного гиганта WPP, а еще ранее мошенники подделали речь финансового директора 🧐 одной компании в видеозвонке и убедили жертву в Сингапуре перевести деньги на подставной счет.

А у вас есть процедура проверки подлинности для звонящих руководителей? 🤔

Скрыть вредоносный код в файл с инструкциями по восстановлению компов с CrowdStrike - это все равно, что скрыть фишинговый ресурс в ссылку "Отказаться от рассылки" или в кнопку "Сообщить о фишинге" 💡 Ничему нельзя верить в наше непростое время!

Масштабные проблемы накрыли пользователей Windows 📱 не только из-за CrowdStrike, но и из-за Google, а точнее по причине невозможности работы с паролями в менеджере паролей Google Chrome 📱 у 15 миллионов пользователей по всему миру. Google принесла свои извинения пользователям и сообщила, что пользователи браузера на Windows не могли в течение почти суток искать и сохранять свои пароли для доступа к различным Интернет-сервисам. Это произошло из-за недостаточной защиты при очередном обновлении продукта. Знакомая история, да? ☝️

Откуда взялось число в 15 миллионов? Всего у Google Chrome около 3 миллиардов установок и большинство из них на Windows. По данным Google обновление (М127) затронуло четверть всех инсталляций, то есть 750 миллионов устройств, 2% от которых столкнулись с проблемами с парольным менеджером 😫

Александр Леонов продолжает упирать на то, что проблема в управляемых из облаков 📱 агентах средств защиты информации. Я продолжаю с ним не соглашаться, считая, что проблема обновления вообще не имеет никакого отношения к способу управления ИБ - локальное ли оно или из облака 😶‍🌫️ Если вендор не протестировал обновление и накатил его сразу на всех клиентов, то какая разница, сделал он это из облака или к его серверу обновлений обратились средства управления и сами скачали апдейты? Я могу назвать примеры коллапсов для обоих вариантов (и для on-prem схемы их даже больше) 😲

Да, если взломать облачную систему управления, то можно получить права доступа ко всем агентам 😕 (с оговоркой на облачные регионы и зоны). Но я не помню случаев большого числа взломов таких компаний (но не скажу, что их нет; вспомним Kaseya). А вот взломы центров управления антивирусами 😷 в локальной сети и раскатывание через них вредоносных обновлений происходит сплошь и рядом (как в рамках реальных атак, так и в рамках пентестов).

Выходом из этой проблемы мог бы стать "канареечный" 🐥 метод обновления (начать с небольшой группы и потом раскатать на всех), но пользователи на это повлиять не могут. Это должно быть решение вендора и только если его текущая архитектура 🏗 позволяет реализовать поэтапную раскатку патчей, контента обнаружения, расширений и т.п. Если нет, то увы... Просто исходим из того, что такое может произойти, готовим плейбук на такой случай, тестируем возможности команды оперативно реагировать на инцидент, если он случится... Типичная работа 🧑🏻‍🏭

Не только уборщицы 🧹, но и восстановители жестких дисков являются скрытой ИБ-угрозой! Я тут зашел в компанию по восстановлению HDD и информации на них (на фото одна из стоек с дисками) и в очередной раз задумался о том, насколько много информации о нас (и о нашем бизнесе) знают те, кто восстанавливают данные. Вот недавний кейс с сыном пока еще действующего президента США 🇺🇸

В случае успеха они получают доступ к личным и интимным фото и видео 🍓, паспортным и иным персданным, реквизитам доступа к сервисам в Интернет, конфиденциальной и секретной (без преувеличения) информации и т.п. И кто знает, как они этим знанием распоряжаются 🥷 Если просто поржут в обеденной перерыв над какой-нибудь фоткой или тихо помастурбируют в ночную смену, то и ладно. Но если решать сдать на биржу покупки и продажи данных? Не задумывались о такой перспективе? Есть у вас плейбук на такой случай? 🤔

Поступают первые оценки ущерба 🤑 от инцидента с CrowdStrike и ранее данные цифры в 5,4 миллиарда от Parametrix кажутся слишком позитивными и относятся скорее к нижней границе потерь. Fitch Rating дает оценку 🤑 в 10 ярдов только покрываемых страховыми киберполисами, а это всего 10-15% от общих финансовых потерь, то есть общие потери равны нескольким десяткам миллиардов долларов 💰

Усредненная оценка от страховой компании CyberCube говорит нам о 15 миллиардах долларов, что делает это событие одним из самых дорогостоящих в мировой истории 📈 И самое интересное, что о схожей катастрофе еще в мае говорил Уоррен Баффет, один из самых успешных инвесторов в мире. Обо всем этом я и написал в блоге.