А у нас с минуты на минуту начинается Positive CISO Club, где я буду выступать на тему визуализации в ИБ 📊 Ну и как всегда подготовил коротенькую 🌡 презентацию слайдов на 1️⃣ 🔠 🔠 и то пришлось сокращать с пары сотен 👉
Please open Telegram to view this post
VIEW IN TELEGRAM
Странное мероприятие. Я про него услышал первый раз, а на нем ожидается 2000 человек. И это не Москва. А еще участники из 12 стран, что будет покруче ПМЭФ и ВЭФ. Но программы нет, хотя до мероприятия меньше месяца. И только странные организаторы (никого от ИБ) и название НКЦКИИ среди ключевых участников выдавало странность. Хотя на фишинг тоже похоже. В последнее время число атак на специалистов по ИБ выросло; может и это тоже один из вариантов такой атаки? Но вроде нет - сайт чистый и даже симпатичный. В общем, все странно как-то.
Тут на днях зашел разговор о том, что драйвера ИБ бывают разного масштаба. Например, продажа страха, то есть разговор о киберугрозах, универсален для любой страны мира (исключая тему с русскими хакерами). Разговор за compliance обычно ограничивается уже границами одной страны. А вот экономика (подсчет преимуществ ИБ, P&L и т.п.) может отличаться от компании к компании. Кому-то нужно что-то одно, кому-то другое. Кто-то ратует за снижение ущерба, а кому-то подавай операционную эффективность, кто-то требует ускорения сделок и новых каналов продаж (а ИБ там везде вовлечена), а кому-то подавай контроль текучки кадров 📉 Так и с потерями. Для кого-то штраф в 500 миллионов рублей за утечку персданных - это недопустимое событие, а для кого-то выплата 15 миллионов долларов (1,5 миллиарда рублей) вполне себе нормальное явление (чтобы не потерять больше, конечно)💰
Именно 15 миллионов долларов выплатило казино Caesars в Лас-Вегасе🎢 вымогателям после атаки на казино через их взломанного ИТ-подрядчика. При этом, в отличие от истории с сетью MGM Resorts, которая до сих пор не может оклематься от схожей атаки, казино Caesars 🎰 продолжало функционировать; у него только утекли данные клиентов. Но владельцы казино не захотели, чтобы эти данные стали достоянием гласности и просто отдали за молчание полтора миллиарда рублей. А вот размер финансового ущерба в MGM пока еще не подсчитан, но кажется мне, что сумма там будет поболее 15 миллионов долларов 🔤
Схожий инцидент в схожих организациях, но совершенно разные решения топ-менеджмента и разные последствия☝️ Поэтому про угрозы и compliance удобно рассказывать - можно даже не вникать в деятельность и процессы компании. А вот с бизнес-риторикой все сложнее...
Именно 15 миллионов долларов выплатило казино Caesars в Лас-Вегасе
Схожий инцидент в схожих организациях, но совершенно разные решения топ-менеджмента и разные последствия
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from AlexRedSec
Продолжает развиваться проект OpenCRE - агрегатор требований по безопасной разработке из различных стандартов и баз (ASVS, SAMM, ISO27XXX, NIST, CWE, CAPEC и другие).
Проект просто пушка🔥
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐
Проект просто пушка
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
А вы знаете, как хакнули MGM в Вегасе? Нашли работника отеля через LinkedIn, позвонили от его имени в HelpDesk и... Дальше пока непонятно, но вроде как сказали, что забыли пароль и попросили помочь вернуть доступ. Бинго… Всего 10 минут общения хакера со службой поддержки и компания с оборотом в десятки миллиардов долларов не устояла. Чем закончится вся история пока непонятно - идет расследование и восстановление. Но MGM, в отличие от Caesars, также столкнувшегося с хакерами, платить скорее всего не будет.
А пока у них идет расследование, задайтесь вопросом - а как вы проверяете подлинность звонящих в Helpdesk сотрудников? У вас есть какое-то секретное слово или вы выдали сотрудникам скретч-карты или вы аутентифицируете их по голосу? Есть у вас соответствующая процедура удаленной аутентификации сотрудников? Что интересно, проблема не нова, - она известна еще с COVID-19, когда многие ушли на удаленку и хакеры также представлялись работниками на дистанционке во время звонков в HelpDesk. 3 года прошло...
ЗЫ. Тем временем в отелях Venetian и Palazzo тоже проблемы с игровыми автоматами - принимают только наличные. Опять хакеры или ИБ решила пойти на опережение и сама все отключила?
А пока у них идет расследование, задайтесь вопросом - а как вы проверяете подлинность звонящих в Helpdesk сотрудников? У вас есть какое-то секретное слово или вы выдали сотрудникам скретч-карты или вы аутентифицируете их по голосу? Есть у вас соответствующая процедура удаленной аутентификации сотрудников? Что интересно, проблема не нова, - она известна еще с COVID-19, когда многие ушли на удаленку и хакеры также представлялись работниками на дистанционке во время звонков в HelpDesk. 3 года прошло...
ЗЫ. Тем временем в отелях Venetian и Palazzo тоже проблемы с игровыми автоматами - принимают только наличные. Опять хакеры или ИБ решила пойти на опережение и сама все отключила?
Неназванные источники утверждают, что какой-то чувак приперся в отель MGM в Лас-Вегасе и потребовал 40 миллионов за восстановление после кибератаки. И это прям странно, так как хакеры в здравом уме такие выкрутасы не проделывают.
Это какими надо обладать умственными способностями, чтобы припереться в казино, где охраны больше чем игроков (шучу, но все равно немало) и потребовать выручку за 2-3 дня работы одного казино и отеля? Или это кто-то недалекий из MGM решил распространить неофициально в СМИ, чтобы показать, что расследование идет по плану? А может просто какой-то идиот так неадекватно решил пошутить? В любом случае хакеры уже опубликовало свое официальное пояснение по сложившейся ситуации...
Это какими надо обладать умственными способностями, чтобы припереться в казино, где охраны больше чем игроков (шучу, но все равно немало) и потребовать выручку за 2-3 дня работы одного казино и отеля? Или это кто-то недалекий из MGM решил распространить неофициально в СМИ, чтобы показать, что расследование идет по плану? А может просто какой-то идиот так неадекватно решил пошутить? В любом случае хакеры уже опубликовало свое официальное пояснение по сложившейся ситуации...
Вот этот "пресс-релиз" группировки ALPHV по поводу атаки на MGM и о том, как шли переговоры с представителями MGM по поводу выкупа.
Вы же знаете, что и как делать, если вы, вдруг, столкнетесь со схожей ситуацией? У вас есть контакты переговорщиков? А криптовалютный кошелек или понимание процедуры оплаты на него? А просто человек, который уполномочен вести такие переговоры?
Вы же знаете, что и как делать, если вы, вдруг, столкнетесь со схожей ситуацией? У вас есть контакты переговорщиков? А криптовалютный кошелек или понимание процедуры оплаты на него? А просто человек, который уполномочен вести такие переговоры?
This media is not supported in your browser
VIEW IN TELEGRAM
Помните, год назад я писал про российский анимационный фильм «Киберслав», который должен был выйти в 2022-м году? Кинопоиск вчера анонсировал, что они не забили на него 🔩 и все еще надеятся его выпустить в своем стриминге. Но уже в 2024-м году. Но тизер уже есть. Но короче и слабее трейлера. Но мы всё равно ждем 🛠 Пора уже не только русских хакеров, но и русских кибервитязей и киберстрижей на международную арену выводить 🪖
Please open Telegram to view this post
VIEW IN TELEGRAM
Под пехотным киберкомандованием США (ARCYBER) есть отдельная, 780-я разведывательная бригада, отвечающая за кибер-тематику у американской пехоты (у ВВС и моряков есть свои подразделения). В бригаду входит 11- кибербатальон "Левиафан", созданный в прошлом году, который занимается так называемой кибер-электромагнитной активностью (Cyber Electromagnetic Activity, CEMA), а по-русски, кибербезом и радиоэлектронной борьбой. И они на днях меняли свою командиршу, по каковому случаю опубликовали слезливые фотки с церемонии передачи знамени батальона и вот это вот всё.
Но заметка не об этом. Фотографии выложены в 4K и на них прекрасно можно рассмотреть лица всей киберпехоты в хорошем разрешении. И то ли они не боятся, что их можно идентифицировать по лицам, а это дает оперативный простор для маневра, то ли просто не запариваются об этом. А теперь попробуйте вспомнить, видели ли вы когда-нибудь схожие фотографии со сборищ наших кибер-подразделений? У нас это вообще, чуть ли не под гостайну попадает. Как говориться "два мира - два Шапиро".
Но заметка не об этом. Фотографии выложены в 4K и на них прекрасно можно рассмотреть лица всей киберпехоты в хорошем разрешении. И то ли они не боятся, что их можно идентифицировать по лицам, а это дает оперативный простор для маневра, то ли просто не запариваются об этом. А теперь попробуйте вспомнить, видели ли вы когда-нибудь схожие фотографии со сборищ наших кибер-подразделений? У нас это вообще, чуть ли не под гостайну попадает. Как говориться "два мира - два Шапиро".
LockBit хочет ввести минимальную сумму выкупа в размере 3% от годового оборота жертвы с возможной скидкой до 50%.
Мне кажется тут не обошлось без Роскомнадзора ;-) А еще откуда могли взяться 3%? Представьте, что российская компания стала жертвой LockBit и ее ПДн утекли. Она встанет перед выбором - 3% Роскомнадзору за утечку или оператору Lockbit, который еще и скидку может сделать. Выбор очевиден ;-)
ЗЫ. Хорошо, что LockBit по России не работает.
Мне кажется тут не обошлось без Роскомнадзора ;-) А еще откуда могли взяться 3%? Представьте, что российская компания стала жертвой LockBit и ее ПДн утекли. Она встанет перед выбором - 3% Роскомнадзору за утечку или оператору Lockbit, который еще и скидку может сделать. Выбор очевиден ;-)
ЗЫ. Хорошо, что LockBit по России не работает.
Please open Telegram to view this post
VIEW IN TELEGRAM
Не могу не поделиться. Выступал позавчера на Positive CISO Club про визуализацию ИБ, связь с бизнесом и вот это вот все. После выступления ко мне подходит, внимание, руководитель компании, обеспечивающей кейтеринг и бар в бизнес-центре, где мы проводили мероприятие, и говорит, что после моего выступления он решил к нам обратиться за безопасностью ;-) Одно дело, когда ты рассказываешь на профессиональную аудиторию и совсем другое, когда выступление заходит даже тем, на кого он не было изначально рассчитано 👌
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
И в России (раньше), и в США есть требования об уведомлении об инцидентах. Но есть два небольших нюанса, которые кардинальным образом отличают наши подходы. В Америке уведомлять надо не о каждом спамерском сообщении или случайной отправке письма, в подписи к которому ПДн указаны, а только о серьезных кейсах. А во-вторых, и это главное, такие кейсы становятся публичными.
Вот, например, уведомление MGM в Комиссию по ценным бумагам. А вот уведомление от казино Caesars. То есть у американцев нет вот этого: "Ничего не утекало и вообще это не у нас". Инцидент - будь добр уведоми, а регулятор будь добр опубликуй его, чтобы граждане понимали, что и как. И в следующий раз руководство компании десять раз подумает, прежде чем решит скрывать инцидент или отправлять восвояси CISO, пришедшего на инвестиционный комитет защищать годовой бюджет своего подразделения.
ЗЫ. Вот если бы у нас было требование публиковать данные об инцидентах на сайте какого-нибудь регулятора, которого все боятся и который бы был непредвзятый. Только где ж у нас такого найти...
Вот, например, уведомление MGM в Комиссию по ценным бумагам. А вот уведомление от казино Caesars. То есть у американцев нет вот этого: "Ничего не утекало и вообще это не у нас". Инцидент - будь добр уведоми, а регулятор будь добр опубликуй его, чтобы граждане понимали, что и как. И в следующий раз руководство компании десять раз подумает, прежде чем решит скрывать инцидент или отправлять восвояси CISO, пришедшего на инвестиционный комитет защищать годовой бюджет своего подразделения.
ЗЫ. Вот если бы у нас было требование публиковать данные об инцидентах на сайте какого-нибудь регулятора, которого все боятся и который бы был непредвзятый. Только где ж у нас такого найти...
Я думаю, что я знаю, как распознать фишинговое письмо (я же, глядь, безопасник). И если мне ИТ скажет, что они сами за меня будут решать, какую почту мне получать, а какую нет (в целях моей кибербезопасности, конечно), то я возбухну и пойду (или не пойду) качать права, что я в ИБ больше, чем им лет и лучше них знаю, что такое фишинг. Хотел написать, что я стоял у истоков, но это как-то странно звучать будет. Мне же не столько лет, чтобы стоять у истоков фишинга ;-)
Но вот рядовым пользователям вбить в голову простую мысль, что если письмо выглядит как фишинг, то это скорее всего фишинг, стоит. Лучше перебдеть, чем потом разгребать последствия. По сути, это яркий пример утиного теста: «Если это выглядит как утка, плавает как утка и крякает как утка, то это, вероятно, и есть утка.»