Часто, когда речь идёт о кибер-атаках, на ум приходят портреты атакающих:
1. Мамкины хакеры - те кто насмотрелись фильмов про хакинг и пытаются взломать пентагон, сильно и быстро стуча пальцами по клавиатуре.
2. АРТ-группировки. Их основная цель - прибыль. Зашифровать данные и просить деньги за ключ; украсть ПДн и шантажировать тем, что данные выложат в даркнет.
3. Прогосударственные группировки. Их задача максимально расшатать ситуацию внутри страны. Они вредят и портят инфраструктуру без возможности переговоров (различные DDoS-атаки тому пример).

Так вот дело в том, что в данной статье сначала говорится о выкупе:

Вымогательство со стороны злоумышленников добавило масла в огонь, создавая дополнительное давление на компанию.

А дальше следующее:

Оператор связи, который был привлечен для анализа инцидента, пришел к выводу, что это была не просто хакерская атака, а целенаправленная попытка уничтожить информацию.

По мнению генерального директора Дмитрия Матвеева, в атаке могли участвовать западные спецслужбы, что поднимает вопрос о глобальных киберугрозах.

Что-то не сходится.

P.S. Сыр жалко. 🤌🧀

Оригинал:
https://www.korovainfo.ru/news/khakerskaya-ataka-na-gk-kabosh-uroki-bezopasnosti-dlya-proizvoditeley/

Недавно на закрытом мероприятии рассказывал коллегам о доменах безопасности: защита данных (DLP, DAM) и сетевая безопасность (NDR, WAF и пр.).
Кстати, сегодня на Angara Security Day буду вещать про подводные камни в защите данных и как с ними можно работать.

13:30, Шатер 3.
Буду рад всех видеть! 🌡

Вендора задумываются о "сращивании" своих продуктов в моно-консольные решения для более комфортного управления правилами, просмотра событий, да и вообще всё в одном окне - это здорово!

На днях был анонсирован MVP нового продукта DSP (и нет, это не "для служебного пользования"). Data Security Platform (терм. Gartner) - единая платформа по защите данных: инвентаризация, категоризация, управление правами доступа, мониторинг событий и прочие штуки.

⁉Реализация платформы Data security platform на практике.

Уже на начальном этапе прослеживается ряд вопросов. Ведь если посмотреть на это с физической точки зрения: скорость света как абсолютная предельная скорость тоже существует, но разогнать любой объект до неё невозможно (хотя, 299 792 455 м/с нас тоже устроит).

1. "Подружить всех со всеми".Если это платформа, которая использует свои коллекторы (агенты, зеркалирование трафика и т.д.) и свою аналитику, а не подтягивает уже предварительно проанализированные события (как SIEM), то первый вопрос - как быть со всеми местами хранения и множеством каналов перехвата со своими особенностями?
Базы данных (реляционные, нереляционные), файловые хранилиза (smb, ftp, linux-подобные хранилища), телеграм (перехват которых ломается после каждого релиза ТГ), s3, облачные хранилища, Jira, Congluence, 1C(!), SAP, АРМ пользователей - это только малая часть мест, где данные могут хранится, а это уже десятки разных "парсеров".
2. "Без руки человеческой".
Как можно грамотно проклассифицировать данные средством "из коробки"? Могут быть предустановленные шаблоны общего плана такие как кредитные карты, ИНН, СНИЛС, но у каждой компании своя специфика. У кого-то ДСП - "для служебного пользования", а у кого-то - "древесно-стружечная плита". А значит настройка всё же понадобится, пусть она и будет удобнее.
3. "Ресурсов хватит на всех"!
Если же планируется использовать ML-модели и OCR (а фактически без них никуда, если мы хотим качественный анализ и грамотное обучение системы), в таком случае понадобится тонна вычислительных мощностей, из чего вытекает следующий вопрос: готовы ли заказчики поставить рядом с основным ЦОДом второй ЦОД, только для DSP?
4. "Разделяй и властвуй".
Должна быть возможность использовать функционал DLP, DCAP и DAM раздельно. Будут новые клиенты, у которых может не быть бюджета на все модули (вопрос лицензии встанет на первой же встрече).
5. "Опять всё с нуля".
Если клиент хочет удобную платформу, но у него уже куплено другое решение DLP, DAM, DCAP, то придётся преобретать их заного но у вендора DSP. То есть нельзя завести существующие ваши продукты в единое окно! А если покупать платформу не полностью, то её смысл испаряется, т.к. одно решение всё равно остается обособленным.
Как итог - стартовый этап объединения разных решений в один инетрфейс с перекликающимися списками - идея неплохая, но помимо платформы вендору придётся разработать и DLP, и DAM, и DCAP "с нуля". Не может ли получится так, что платформа будет удобной с точки зрения использования, но с минимальным количеством полезного функционала в сравнении с моновендорными продуктами. За этим и понаблюдаем с огромным интересом! 😈

Зачем вообще нужна Data Security Platform? Хорошо же жили.

Можно сказать, что решения по защите данных в РФ развились до определенного уровня, и теперь DSP - это его логичное и закономерное продолжение.

Причины появления DSP - это пробелы в эксплуатации текущих средств защиты.
У рядового безопасника уже сейчас имеется обширный парк решений по защите данных. Предположим, появился новый регламент по защите в комании, и теперь нужно написать регулярку на перехват конкретных данных и в каждую консоль СЗИ её добавить отдельно (с учётом того, что используемые синтаксисы могут разнится от решения к решению: от PERL до PCRE). Это долго и больно. 🚫

А как просматривать события?
Предположим, мы знаем, какие данные утекли, и хотим провести ретроспективный анализ по всем СЗИ. Опять придётся просматривать множество консолей. 🚫
Здесь может появится мысль, что можно все "сливать" в SIEM, но он тоже не безграничный. В SIEM как правило передают только информацию о критичных инцидентах, а так называемая серая зона остаётся в хранилище профильных СЗИ.

Вышеупомянутые проблемы -
только вершина айсберга. Основные тезисы можно озвучить следующие:
🛑 Децентрализованное управление правилами и списками.
🛑 Децентрализованный аудит данных.
🛑 Разные подходы разных вендоров к анализу данных (ML, сигнатуры).
🛑 Децентрализованное хранилище всех событий.
🛑 Отсутствие взаимного обогащения событий из разных источников.

Как эти проблемы решает DSP в идеальном варианте?
✅ Единая платформа аудита данных: то есть из одной консоли можно просканировать все хранилища независимо от их типа (БД, файловые хранилища, облака, арм и т.д.) по одним и тем же шаблонам (регулярки или файлы) - это даёт более целостную картину.
✅ Централизованное управление настройками - теперь регулярка может примениться ко всем источникам одинаково.
✅ Все события в едином хранилище.
✅ Возможны взаимообогащения разных источников (когда DCAP или DAM обогащает DLP).

Если мы защищаемая щитом, то хотим, чтобы он был удобным.
DSP - это совершенно новый подход к эксплуатации разных систем, что способно сильно упростить жизнь рядовому безопаснику! 🌡

Ещё одно хайповое решение на рынке DETECTED 😵

Я всегда говорю: "Если строите отказоустойчивость, резервируйте ещё и сотрудников. Мало ли, что с ними может случиться. И кто тогда будет обрабатывать все события?" 😂

ВЕБИНАР 19.11.2024!
Маскируемся вместе с Гардой 😎


Приглашаю всех на вебинар по защите данных, в рамках которого я буду рассказывать и показывать различные подходы к обезличиванию, маскированию, обфускации и картофации данных (последнее слово я, конечно, выдумал), а именно:
🟢 Общая концепция романтики обезличивания (Категорировал, Обезличил, Автоматизировал).
🟢 Как, а главное зачем поддерживать консистентность (согласованность) данных при маскировании
(как Андрея превратить в Егора во всех БД и ничего не поломать в "тайм-лайне")?
🟢 Как качество категоризации влияет на итоговый результат маскирования.
🟢 И многое-многое другое! 🌡

⚡️ Не политика, а утечка военной тайны!

CNN утверждает:

США расследуют утечку в Сеть сверхсекретных разведывательных данных о подготовке Израиля к удару по Ирану. Источник подтвердил подлинность документов. В одном документе говорится, что в планы входит перевозка Израилем боеприпасов. В другом описываются учения ВВС Израиля с использованием ракет класса «воздух-земля», которые, как полагают, также являются подготовкой к удару по Ирану.

Утечка военной тайны может снизить эффективность любого плана, нивелируя эффект неожиданности ❗️

Как известно, во время ведения боевых действий, получение планов визави может дать внушительное преимущество (предупреждён значит вооружен). Обе стороны конфликта постоянно ведут противодействие друг другу, пытаясь получить как можно больше информации.
Сюда же входят: получение разведданных, перехват переговоров и многое другое.
Даже военная тайна утекает в сеть, что, к слову, бывает крайне редко. При этом всегда есть 2 "но":
💥Данные могут быть настоящими, и именно огласка их утечки может не дать преимущества второй стороне, т.к. планы быстро будут скорректированы.
💥Фейки могут распространять обе стороны конфликта или для запугивания, или для провокации.

В чем смысл? 🤜
Кейс 1. Допустим, я сторона А. У меня есть настоящий план: напасть с запада. Этот план каким-то образом узнает сторона Б, при этом я этого не знаю. Сторона Б укрепляет оборону на западной границе, я нападаю и получаю отпор.🛡
Кейс 2. У меня есть план напасть с запада, и я выкладываю документ, обложенный top-secret со всех сторон, с информацией о нападении с севера. Противник укрепляет север, я же нападаю с запада. ⚰️
Кейс 3. Как и в первом сценарии - мой план узнают, но и я узнаю о компрометации моего плана благодаря СМИ или другим источникам, после чего у меня есть время на его корректировку. ⌛️

Оригинал:
https://www.1tv.ru/news/2024-10-20/489968-v_ssha_razgoraetsya_grandioznyy_skandal_svyazannyy_s_utechkoy_razvedyvatelnyh_dannyh

24.10.2024
Конференция "Сохранить всё" 🛡

"Гарда Технологии" проведет крупнейшую конференцию по информационной безопасности!
Вас ждут:
🟢 Доклады и пленарки по data security и не только
🟢 Новые анонсы
🟢 Диалоги о высоком (облака)
🟢 Хакатон и многое другое!

Я же, как старый добрый друг, буду ждать вас на стенде Защиты данных для приятных и тёплых "разговоров у камина". 🤤

Ссылка на регистрацию тут.

Конференция «Сохранить всё»: итоги

Большое спасибо организаторам, спикерам и гостям за такой профессионализм!

✅ Интересные доклады от экспертов отрасли
✅ Хакатон
✅ Обсудили последние тренды в ИБ-отрасли
✅ Вкусная еда и приятное общение с клиентами и партнёрами
✅ Новые анонсы от Гарды
✅ Ну и, конечно, стенды в демозоне! Парням отдельное уважение!

Кстати, можно сказать, что встреча подписчиков состоялась 🎃

⚡️ Гарда анонсирует Data Security Platform

Чуть меньше маркетинга, чуть больше конкретики.
Выше я уже писал о том, что DSP - это логическое продолжение развития средств защиты информации, и я рад представить наше следующее поколение.

Задачи платформы на первом этапе:
1. Обнаружение мест хранения данных разных типов: файловые хранилища, s3, базы данных.
2. Категорирование и классификация данных.
3. Аудит прав доступа к данным.
4. Управление доступом.

Реализация:
🟢 Объединение уже существующих решений Гарды (DCAP, DBF, Маскирование) в единую платформу
🟢 Единое управление сервером политик
🟢 Интеграция с каталогами данных по API для взаимного обогащения тегами
🟢 Интеграция с SIEM, IRP по syslog.

Увидимся на пилотных проектах! 😎

#DSP #DataSecurityPlatform

Отчёт Лаборатории Касперского о значимых утечках за 2023

Немного тяжело воспринимается в презентации, поэтому за 2023 год в сухом остатке:
☑Увеличение кол-ва утечек в Здоровье, Финансах и IT.
☑Большая часть атак на 1С-Bitrix.
☑Опубликовано 315 млн. персональных данных.

Топ утекающих отраслей:
👠Ритейл (31 значимая утечка - 153 784 809 перс. данных)
🔌Интернет-сервис (15 утечек - 23 269 837 перс. данных)
💰Финансы (14 утечек - 72 245 892 перс. данных)
🔬Карьера и образование (12 утечек - 15 145 214 перс. данных )
💻IT (11 утечек - 8 133 808 перс. данных)
⚖Госорганы (10 утечек - 6 171 182 перс. данных)
🩻Здоровье (9 утечек - 12 045 552 перс. данных) - кстати только недавно я писал об этом, правда про 2024 г.

Как можно увидеть из отчёта, ритейл самая «утекающая» отрасль, и по совместительству - самая незарегулированная (в отличие, например,от банков и КИИ). Думаю, закон об оборотных штрафах заставит пересмотреть ритейл взгляды на инфобез.

Так же можно увидеть смещение профиля атаки на малый/средний бизнес:
Малый/средний бизнес - 87 утечек.
Крупный - 30 утечек.

Больше всего мне понравилась статистика по опровержению утечек, и она показывает, что компании стали чаще «отрицать» утечку данных! 😂

Вообще, по графику довольно тяжело оценить, стали ли компании лучше защищаться, потому что в некоторых сравнениях с 2022 г. стало лучше, а где-то нет. В любом случае нигде нет сильного «провала», а значит мы едим свой хлеб не зря! 😠

#статистикапоИБ2023 #утечки2023

Очень повеселила статья, написанная в формате вредных советов Г. Остера.
Точно такую же хочется сделать и по ИБ:
«Пользуйтесь ilovepdf.com для конвертации файлов из одного формата в другой, ведь это так удобно»❗️

А пока небольшой экспромт от автора канала в честь тыквенного спаса 😈:
Если письма незнакомцев
Прилетели невзначай,
Открывай скорей вложение,
Завари покрепче чай,
Наблюдай, дружок, как файлы
Утекают тут и там.
В soc? В ИБ? Им не пиши ты.
Разберёшься завтра сам!

Будучи в Сингапуре, я заметил, что почти на всех дверях метро присутствует следующая надпись: «Не уверены, пытаются ли вас обмануть? Позвоните 1799».

Про сам проект:
ScamShield — это мобильное приложение, которое помогает предотвратить попадание мошенников на мобильные номера пользователей (чем-то похоже на российские аналоги: Тинькофф антиспам и др).

‼️ Приложение разработано совместно Национальным советом по предотвращению преступлений (NCPC), командой Open Government Products из Government Technology Agency и Singapore Police Force (SPF).

Основные функции ScamShield:
❌ блокировка мошеннических номеров
🗑 фильтрация мошеннических сообщений с использованием искусственного интеллекта
📥 единая база всех скам-номеров

С технической точки зрения ничего нового, но вот за уровень популяризации защиты данных своих сограждан хочется выразить огромное уважение гос. аппарату Сингапура. Мне давно кажется, что на каждом углу нужен «чек-лист по общению с потенциальными мошенниками».

В России дверей метро не меньше, и я уверен, что вскоре вместо рекламы VKВидео мы увидим на них нечто подобное!

Всем безопасности! 🛡

#зарубежная_безопасность