Некоторое количество новостей вокруг CrowdStrike:
1️⃣ Ооочень длинный тред в Твиттере о том, что покушение на Трампа и коллапс с CrowdStrike связаны. Я бы такую конспирологию даже не стал бы всерьез рассматривать, если бы автор не начал с того, что он глава ИБ в Metro Bank, был консультантом в страховых и финансовых компаниях, 20 лет CISSP и вообще у него большой опыт, на котором он свои выводы и основывает. Странная ветка, конечно 🤦‍♂️
2️⃣ Глава CrowdStrike заявил, что к 25-му июля (у нас 26-му) 97% ПК с сенсорами на базе Windows было восстановлено в рабочее состояние. 7 дней простоя. Осталось только понять, что за 3% и насколько они важны?
3️⃣ CrowdStrike в апреле назад уже накрыл своим обновлением компьютеры под управлением Debian и Rocky Linux 🐧 с тем же эффектом, что и на Windows 🪟

Очередной AI Security Challenge. Попробуйте обмануть обойти систему защиты ИИ-бота. Похожа на Гендальфа, но более сложная 👨‍💻

4 сообщения о взломах ИБ-компанияй за неделю 🗓 И все разные. Что-то перебор… 👨‍💻

Как говорится, не буди лихо... Думаю, таких кейсов начнет всплывать все больше и больше. Это как импортозамещение, когда закон приняли, денег на закупку отечественного дали, а научить пользователей забыли 🤦‍♂️ Так и тут. Благая идея цифровизации госуслуг от Минцифры разбивается о низкую цифровую грамотность граждан. И под это дело все процессы ИБ нарушаются в хвост и гриву, а потом просят все подтвердить "задним числом" 🤠 А потом все забывают про цифровую грамотность и просто тупо нарушают процессы ИБ. И "хорошо" если на благо граждан, а если нет?..

Одно радует, если о взломе ИБ-компании сообщает тот, кто это сделал, а не жертва или СМИ, то о внедрении вредоносного кода в конвейер разработки 👨‍💻 скорее всего речи не идет. А то выглядит не совсем логично - внедрить код, чтобы оставаться как можно долго незамеченным, и сразу же об этом всем сообщить 🧑‍💻

Интересный случай, который уже не вызывает удивления и который укладывается в череду схожих примеров, в которых применялись дипфейки 🎭 Разве что личность, под которую маскировались мошенники, вызывает интерес. Речь идет о генеральном директоре Ferrari 🏎, голосом и акцентом которого плохие парни позвонили его подчиненному и попросили помощь в будущей сделке слияния и поглощения, что может потребовать перевести крупную сумму денег 🤑

Прежде, чем получить звонок от лже-директора один из топ-менеджеров, получивший сначала сообщение через мессенджер 📱 Жертва обратила внимание, что звонок идет от номера не в списке контактов и что голос звучит с немного металлическими нотками. Для проверки, он попросил назвать книгу 📖, порекомендованную настоящим CEO Ferrari несколькими днями ранее, на чем мошенники и сломались, бросив трубку.

По мере удешевления технологии дипфейков таких случаев будет становиться все больше. Кейс с Ferrari не единичный. В мае мошенники имитировали в Teams голос 🗣 гендиректора британского рекламного гиганта WPP, а еще ранее мошенники подделали речь финансового директора 🧐 одной компании в видеозвонке и убедили жертву в Сингапуре перевести деньги на подставной счет.

А у вас есть процедура проверки подлинности для звонящих руководителей? 🤔

Скрыть вредоносный код в файл с инструкциями по восстановлению компов с CrowdStrike - это все равно, что скрыть фишинговый ресурс в ссылку "Отказаться от рассылки" или в кнопку "Сообщить о фишинге" 💡 Ничему нельзя верить в наше непростое время!

Масштабные проблемы накрыли пользователей Windows 📱 не только из-за CrowdStrike, но и из-за Google, а точнее по причине невозможности работы с паролями в менеджере паролей Google Chrome 📱 у 15 миллионов пользователей по всему миру. Google принесла свои извинения пользователям и сообщила, что пользователи браузера на Windows не могли в течение почти суток искать и сохранять свои пароли для доступа к различным Интернет-сервисам. Это произошло из-за недостаточной защиты при очередном обновлении продукта. Знакомая история, да? ☝️

Откуда взялось число в 15 миллионов? Всего у Google Chrome около 3 миллиардов установок и большинство из них на Windows. По данным Google обновление (М127) затронуло четверть всех инсталляций, то есть 750 миллионов устройств, 2% от которых столкнулись с проблемами с парольным менеджером 😫

Александр Леонов продолжает упирать на то, что проблема в управляемых из облаков 📱 агентах средств защиты информации. Я продолжаю с ним не соглашаться, считая, что проблема обновления вообще не имеет никакого отношения к способу управления ИБ - локальное ли оно или из облака 😶‍🌫️ Если вендор не протестировал обновление и накатил его сразу на всех клиентов, то какая разница, сделал он это из облака или к его серверу обновлений обратились средства управления и сами скачали апдейты? Я могу назвать примеры коллапсов для обоих вариантов (и для on-prem схемы их даже больше) 😲

Да, если взломать облачную систему управления, то можно получить права доступа ко всем агентам 😕 (с оговоркой на облачные регионы и зоны). Но я не помню случаев большого числа взломов таких компаний (но не скажу, что их нет; вспомним Kaseya). А вот взломы центров управления антивирусами 😷 в локальной сети и раскатывание через них вредоносных обновлений происходит сплошь и рядом (как в рамках реальных атак, так и в рамках пентестов).

Выходом из этой проблемы мог бы стать "канареечный" 🐥 метод обновления (начать с небольшой группы и потом раскатать на всех), но пользователи на это повлиять не могут. Это должно быть решение вендора и только если его текущая архитектура 🏗 позволяет реализовать поэтапную раскатку патчей, контента обнаружения, расширений и т.п. Если нет, то увы... Просто исходим из того, что такое может произойти, готовим плейбук на такой случай, тестируем возможности команды оперативно реагировать на инцидент, если он случится... Типичная работа 🧑🏻‍🏭

Не только уборщицы 🧹, но и восстановители жестких дисков являются скрытой ИБ-угрозой! Я тут зашел в компанию по восстановлению HDD и информации на них (на фото одна из стоек с дисками) и в очередной раз задумался о том, насколько много информации о нас (и о нашем бизнесе) знают те, кто восстанавливают данные. Вот недавний кейс с сыном пока еще действующего президента США 🇺🇸

В случае успеха они получают доступ к личным и интимным фото и видео 🍓, паспортным и иным персданным, реквизитам доступа к сервисам в Интернет, конфиденциальной и секретной (без преувеличения) информации и т.п. И кто знает, как они этим знанием распоряжаются 🥷 Если просто поржут в обеденной перерыв над какой-нибудь фоткой или тихо помастурбируют в ночную смену, то и ладно. Но если решать сдать на биржу покупки и продажи данных? Не задумывались о такой перспективе? Есть у вас плейбук на такой случай? 🤔

Поступают первые оценки ущерба 🤑 от инцидента с CrowdStrike и ранее данные цифры в 5,4 миллиарда от Parametrix кажутся слишком позитивными и относятся скорее к нижней границе потерь. Fitch Rating дает оценку 🤑 в 10 ярдов только покрываемых страховыми киберполисами, а это всего 10-15% от общих финансовых потерь, то есть общие потери равны нескольким десяткам миллиардов долларов 💰

Усредненная оценка от страховой компании CyberCube говорит нам о 15 миллиардах долларов, что делает это событие одним из самых дорогостоящих в мировой истории 📈 И самое интересное, что о схожей катастрофе еще в мае говорил Уоррен Баффет, один из самых успешных инвесторов в мире. Обо всем этом я и написал в блоге.

В пятницу я обещал написать про потребности CISO в инструменте создания отчетов по ИБ 📊, которые бы могли заинтересовать топ-менеджмент компании и показать важность кибербеза и роль самого CISO в достижении понятного бизнесу результата 📈 Согласно проведенному в США исследованию руководители ИБ хотят видеть следующие функции в таком продукте (в порядке убывания):
🔤 Результаты бенчмаркинга и сравнения себя с другими компаниями в индустрии
🔤 Визуализация рисков и результаты скоринга
🔤 Настраиваемые дашборды и отчеты
🔤 Обзор для топ-менеджмента (executive summary)
🔤 Средства визуализации и аналитики (этакий PowerBI для ИБшника)
🔤 Отчетность о выполнении требований законодательства
🔤 Анализ тенденций
🔤 Возможности по интеграции
🔤 Дружественный интерфейс
🔤🔤 Интерактивные плейбуки реагирования на инциденты (как это попало в результаты я не понимаю)
🔤🔤 Инструменты взаимодействия

Рана Робиллэрд, являющаяся в данный момент топ-менеджером одного из стартапов в Кремниевой Долине и бывшая в 2020-2021-м годах одним из руководителей компании HackerOne, попалась на удочку мошенников, заставивших ее перевести им почти 400 тысяч долларов, отложенных покупку дома 🏠

Мошенничество прошло по старой, но все еще активно работающей схеме, - жертва получила письмо ❗️ якобы от своего агента по покупке недвижимости, который просил ее перевести аванс 🤑 за дом, подходящий по всем параметрам, что Рана и сделала. И только на следующий день она осознала, что ее развели киберпреступники 🥷

Расследование показало, что злоумышленники, скорее всего, взломали компьютер агента по недвижимости 🏡 или всей компании, в которой агент работал, и отслеживали переписку, ожидая удобного момента. Когда он настал они направили единственное письмо, на которое г-жа Робиллэрд и среагировала ✉️ И это несмотря на то, что она некоторое время работала с хакерами в HackerOne и должна была немного интересоваться теми, с кем ей приходилось иметь дело. Но увы...

История закончилась хорошо. После обращения жертвы в ФБР 🇺🇸 перевод был заблокирован, а сами деньги заморожены 🥶 Затем последовали месяцы молчания со стороны официальных лиц, правоохранительных органов, банков (там была цепочка из 4 банков). И только после обращения жертвы в СМИ, ситуация сдвинулась с мертвой точки. Спустя полгода все деньги были возвращены 🥳