Коллеги из AstraLinux подарили монпансье.
@astragroup, я придумал для вас слоган получше: "Попробуй на вкус Astraту". 😵

Давление на самое сокровенное (конечно, после счета в банке), а именно - на верность в отношениях, это не новый подход в хакинге. 🔄
Главное помнить - никуда не переходить и ничего не скачивать! 🛡🤝

https://tproger.ru/news/--novyj-vid-email-mowennichestva--falwivye-dokazatelstva-izmeny-vawej-vtoroj-polovinki

Часто, когда речь идёт о кибер-атаках, на ум приходят портреты атакающих:
1. Мамкины хакеры - те кто насмотрелись фильмов про хакинг и пытаются взломать пентагон, сильно и быстро стуча пальцами по клавиатуре.
2. АРТ-группировки. Их основная цель - прибыль. Зашифровать данные и просить деньги за ключ; украсть ПДн и шантажировать тем, что данные выложат в даркнет.
3. Прогосударственные группировки. Их задача максимально расшатать ситуацию внутри страны. Они вредят и портят инфраструктуру без возможности переговоров (различные DDoS-атаки тому пример).

Так вот дело в том, что в данной статье сначала говорится о выкупе:

Вымогательство со стороны злоумышленников добавило масла в огонь, создавая дополнительное давление на компанию.

А дальше следующее:

Оператор связи, который был привлечен для анализа инцидента, пришел к выводу, что это была не просто хакерская атака, а целенаправленная попытка уничтожить информацию.

По мнению генерального директора Дмитрия Матвеева, в атаке могли участвовать западные спецслужбы, что поднимает вопрос о глобальных киберугрозах.

Что-то не сходится.

P.S. Сыр жалко. 🤌🧀

Оригинал:
https://www.korovainfo.ru/news/khakerskaya-ataka-na-gk-kabosh-uroki-bezopasnosti-dlya-proizvoditeley/

Недавно на закрытом мероприятии рассказывал коллегам о доменах безопасности: защита данных (DLP, DAM) и сетевая безопасность (NDR, WAF и пр.).
Кстати, сегодня на Angara Security Day буду вещать про подводные камни в защите данных и как с ними можно работать.

13:30, Шатер 3.
Буду рад всех видеть! 🌡

Вендора задумываются о "сращивании" своих продуктов в моно-консольные решения для более комфортного управления правилами, просмотра событий, да и вообще всё в одном окне - это здорово!

На днях был анонсирован MVP нового продукта DSP (и нет, это не "для служебного пользования"). Data Security Platform (терм. Gartner) - единая платформа по защите данных: инвентаризация, категоризация, управление правами доступа, мониторинг событий и прочие штуки.

⁉Реализация платформы Data security platform на практике.

Уже на начальном этапе прослеживается ряд вопросов. Ведь если посмотреть на это с физической точки зрения: скорость света как абсолютная предельная скорость тоже существует, но разогнать любой объект до неё невозможно (хотя, 299 792 455 м/с нас тоже устроит).

1. "Подружить всех со всеми".Если это платформа, которая использует свои коллекторы (агенты, зеркалирование трафика и т.д.) и свою аналитику, а не подтягивает уже предварительно проанализированные события (как SIEM), то первый вопрос - как быть со всеми местами хранения и множеством каналов перехвата со своими особенностями?
Базы данных (реляционные, нереляционные), файловые хранилиза (smb, ftp, linux-подобные хранилища), телеграм (перехват которых ломается после каждого релиза ТГ), s3, облачные хранилища, Jira, Congluence, 1C(!), SAP, АРМ пользователей - это только малая часть мест, где данные могут хранится, а это уже десятки разных "парсеров".
2. "Без руки человеческой".
Как можно грамотно проклассифицировать данные средством "из коробки"? Могут быть предустановленные шаблоны общего плана такие как кредитные карты, ИНН, СНИЛС, но у каждой компании своя специфика. У кого-то ДСП - "для служебного пользования", а у кого-то - "древесно-стружечная плита". А значит настройка всё же понадобится, пусть она и будет удобнее.
3. "Ресурсов хватит на всех"!
Если же планируется использовать ML-модели и OCR (а фактически без них никуда, если мы хотим качественный анализ и грамотное обучение системы), в таком случае понадобится тонна вычислительных мощностей, из чего вытекает следующий вопрос: готовы ли заказчики поставить рядом с основным ЦОДом второй ЦОД, только для DSP?
4. "Разделяй и властвуй".
Должна быть возможность использовать функционал DLP, DCAP и DAM раздельно. Будут новые клиенты, у которых может не быть бюджета на все модули (вопрос лицензии встанет на первой же встрече).
5. "Опять всё с нуля".
Если клиент хочет удобную платформу, но у него уже куплено другое решение DLP, DAM, DCAP, то придётся преобретать их заного но у вендора DSP. То есть нельзя завести существующие ваши продукты в единое окно! А если покупать платформу не полностью, то её смысл испаряется, т.к. одно решение всё равно остается обособленным.
Как итог - стартовый этап объединения разных решений в один инетрфейс с перекликающимися списками - идея неплохая, но помимо платформы вендору придётся разработать и DLP, и DAM, и DCAP "с нуля". Не может ли получится так, что платформа будет удобной с точки зрения использования, но с минимальным количеством полезного функционала в сравнении с моновендорными продуктами. За этим и понаблюдаем с огромным интересом! 😈

Зачем вообще нужна Data Security Platform? Хорошо же жили.

Можно сказать, что решения по защите данных в РФ развились до определенного уровня, и теперь DSP - это его логичное и закономерное продолжение.

Причины появления DSP - это пробелы в эксплуатации текущих средств защиты.
У рядового безопасника уже сейчас имеется обширный парк решений по защите данных. Предположим, появился новый регламент по защите в комании, и теперь нужно написать регулярку на перехват конкретных данных и в каждую консоль СЗИ её добавить отдельно (с учётом того, что используемые синтаксисы могут разнится от решения к решению: от PERL до PCRE). Это долго и больно. 🚫

А как просматривать события?
Предположим, мы знаем, какие данные утекли, и хотим провести ретроспективный анализ по всем СЗИ. Опять придётся просматривать множество консолей. 🚫
Здесь может появится мысль, что можно все "сливать" в SIEM, но он тоже не безграничный. В SIEM как правило передают только информацию о критичных инцидентах, а так называемая серая зона остаётся в хранилище профильных СЗИ.

Вышеупомянутые проблемы -
только вершина айсберга. Основные тезисы можно озвучить следующие:
🛑 Децентрализованное управление правилами и списками.
🛑 Децентрализованный аудит данных.
🛑 Разные подходы разных вендоров к анализу данных (ML, сигнатуры).
🛑 Децентрализованное хранилище всех событий.
🛑 Отсутствие взаимного обогащения событий из разных источников.

Как эти проблемы решает DSP в идеальном варианте?
✅ Единая платформа аудита данных: то есть из одной консоли можно просканировать все хранилища независимо от их типа (БД, файловые хранилища, облака, арм и т.д.) по одним и тем же шаблонам (регулярки или файлы) - это даёт более целостную картину.
✅ Централизованное управление настройками - теперь регулярка может примениться ко всем источникам одинаково.
✅ Все события в едином хранилище.
✅ Возможны взаимообогащения разных источников (когда DCAP или DAM обогащает DLP).

Если мы защищаемая щитом, то хотим, чтобы он был удобным.
DSP - это совершенно новый подход к эксплуатации разных систем, что способно сильно упростить жизнь рядовому безопаснику! 🌡

Ещё одно хайповое решение на рынке DETECTED 😵

Я всегда говорю: "Если строите отказоустойчивость, резервируйте ещё и сотрудников. Мало ли, что с ними может случиться. И кто тогда будет обрабатывать все события?" 😂