Метод хакера
180 subscribers
427 photos
29 videos
456 links
Ваш код доступа "Метод хакера".

Исследуем анатомию ИБ, разбираем хакнутые факты и погружаемся в жизнь менеджера по информационной безопасности.

Создаем подкаст - https://hacker-method.ru/
Download Telegram
#хакнутыефакты
«Что значит облака? Это значит чужие сервера». Насколько мне надо быть уверенным в ком-то, чтобы отдать что-то на аутсорс?

Вот мы строим SOC. Многие клиенты сразу звонят и с надеждой спрашивают: «А коробочное решение есть?». То есть первый вопрос при любом разговоре: «Это же не SaaS-модель? Я в облако не готов — у меня там пароли!».

Паранойя — это хорошо. Доверять всем безоговорочно не стоит.

Большинство managed SOC и MDR-провайдеров будут забирать телеметрию к себе в облако и там её анализировать. Для компании, которая оказывает подобные услуги, это основной источник дохода. Всегда можно посмотреть: сколько денег, технологий и людей вкладывается в безопасность конкретного облака.

Если ты выбираешь провайдера по инфобезу:

1️⃣- посмотри на его репутацию. Как он представлен на рынке?
2️⃣- что он фиксирует в своих обязательствах перед тобой, как провайдер?

От этого принимай решение. Только не гонись за низким ценником, а то можно прийти в историю, когда данные окажутся где-то на публичном облаке. Тут должен быть разумный баланс.

"Скажи свое непопулярное мнение и беги": все наши данные давно уже утекли. Вопрос - это одни и те же данные?
Даже ФНС знает, в какой кофейне ты покупаешь кофе☕️

Вывод: пытаться защититься от всего не стоит, нужно искать баланс.

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
Please open Telegram to view this post
VIEW IN TELEGRAM
#подкаст
«Хакнуть мозг проще, чем сервер: парадокс современности»

Мы привыкли думать, что безопасность — это код и системы защиты. Но самый уязвимый элемент системы сидит в кресле и пьет кофе.

Социальная инженерия остается основным вектором атак на российские компании не потому, что хакеры гениальны, а потому что люди — эмоциональны.

В новом выпуске говорим о том, как защитить человеческий фактор:
⚡️Насколько технические средства защиты эффективны против социальной инженерии?
⚡️Что сложнее защитить: инфраструктуру или человеческий фактор?
⚡️Как обосновать инвестиции в защиту человеческого фактора на языке бизнеса?
⚡️Как оценить эффективность защиты от социальной инженерии?

Эксперт выпуска - Илья Соболев, менеджер по продукту в компании Ideco.

📍 Слушать подкаст:
Сайт подкаста
Яндекс Музыка
Apple podcasts
Литрес
MyBook
Spotify
Deezer
ЗВУК
Castbox
VK Podcasts
mave.stream
Mave
Pocket Casts
Podcast Addict
Soundstream

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
#инфобес
Дорогой дневник...

Вспомнился мне пятничный мем про горящие сраки, дак вот.. Я превращаюсь в инженера.

Рубрика "ничего не предвещало беды" и понеслось. Мне надо решить вопросы по технической части. В моменте инженеры в разъездах, на проектах, в супер важных делах. Я их прошу, молю, а в ответ "некогда, приди на следующей неделе". У меня начинается "горижопа", потому что проект срочный. Бегу к вендору, а он на мероприятии.

Да господи, я в душе не чаю как настраивать виртуальные машины и про debian только в инструкции читала😫

Но вот оно спасение - откликнулся один прекрасный техпам в вендоре. Я нашла свободные уши! Присела конкретно, теперь он моя жертва😁

У меня началось "а помнишь, я когда после вчера, мы с тобой ходили, мой любимый цвет - зеленый, ты тогда хотел сказать, и как будто моя подружка еще офигевшая такая!". В этот момент почувствовала тяжелый вздох и получила мем "Поставьте меня, я менеджер". Вот так прошел мой понедельник.

С любовью, менеджер по информационной безопасности

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
👍3😁1🤩1
#хакнутыефакты
Мы тратим миллионы на технологии, но злоумышленник может обойти их все одним звонком или письмом. Вот такой парадокс социальной инженерии.

"Наша история началась с тихого эксперимента. Вместо того, чтобы показывать руководству очередной отчёт с абстрактными угрозами, принесли им результат тестового проникновения: «Мы получили доступ к конфиденциальным данным, просто позвонив от имени ИТ-отдела в бухгалтерию».

Мы стали архитекторами контролируемого хаоса. Выбрали несколько ключевых отделов и типажей сотрудников — от осторожного финансиста до вечно занятого менеджера. Запустили серию тренировочных атак с интервалами, чтобы измерить бдительность. Это превратилось в детективную историю: насколько человек, прошедший обучение, на самом деле пропускает угрозу мимо ушей?

Параллельно развернулась вторая сюжетная линия — техническая. Мы брали решения по защите от социалки в демо, разворачивали их в тестовой среде и начинали «обстреливать». Система начала выдавать метрики по попыткам атак, карту потенциальных узких мест, портреты «слабых звеньев» — конкретных сотрудников и небезопасных устройств. У нас появились данные.

Кульминацией стал момент истины «ДО» и «ПОСЛЕ». Когда мы свели воедино данные человеческого фактора и технических метрик, картина стала пугающе ясной. Мы смогли показать руководству диагноз: «Вот наши текущие риски. А вот — как они уменьшатся, если действовать системно».

Риск успешной атаки благодаря эксперименту упал с гипотетических 90% до контролируемых 10%. Мы не просто «подсветили уязвимости» — мы построили мост между техническими специалистами и топ-менеджментом, говоря на языке конкретных цифр и живых примеров."


Хотите узнать, как превратить человеческий фактор из главной угрозы в элемент защиты? Узнайте в новом выпуске: «Хакнуть мозг проще, чем сервер: парадокс современности».

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
#анатомияиб
Один в поле не воин, или что такое MFA.

Пароль от корпоративной почты в базе, которая утекла. Ключ от соцсетей, подобран брутфорсом. «Коллега» в телефоне, уже получил код из СМС. Пароль давно перестал быть надежной преградой. Его можно украсть, купить или угадать.

Мультифакторная аутентификация (MFA) — решение, которое усложняет злоумышленнику получить доступ в систему.

Как работает? Метод проверяет подлинность личности несколькими факторами одновременно. Например:
1) Что-то, что ЗНАЮ - пароль.
2) Что-то, что ЕСТЬ - телефон с приложением-аутентификатором, токен или СМС.
3) Что-то, что ПРЕДОСТАВЛЯЮ - отпечаток, лицо, сетчатка глаза.

Это как банковская ячейка: нужен и ключ, и кодовое слово. Чего-то одного недостаточно.

Как внедрять?
🔸 Начать с самого ценного: почта, финансы, системы с персональными данными.
🔸 Объяснить «зачем», а не заставлять. Показать, как MFA защищает аккаунты сотрудников.
🔸 Предоставить удобный инструмент — корпоративное приложение для аутентификации.
🔸 Настроить процесс восстановления на случай потери телефона или токена.

MFA — это не «еще одна сложность». Это действенный и доступный способ блокировать атаки на учетные записи.

Включите MFA там, где это возможно. Сегодня. Пока читаете пост. Пара кликов в настройках и дверь для злоумышленников не просто закрыта. Она заперта на несколько замков😉

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
👍1
#инфобес
Дорогой дневник...

Тук-тук, Нео. Или история о том, как я хотела иметь суперсилу.

Помнится, слушала я тут один расссказ про ворону. Меня так триггернуло, перед глазами своя "воронья" история всплыла — тоже из серии «невинная прогулка может обернуться стратегическим провалом».

Иду с перекура. День обычный, мысли о вечном, в руках — ключи от СКУДа. Не абы какие ключи, а от единственного входа. Держала я их, надо признать, с расслабленностью начинающего саботажника.

Начинаю выходить из лифта, и тут передо мной мужик тааак резко тормозит. Я по инерции в него. Ключи из рук: не в ноги, не сбоку, не на пол, а именно в шахту, твою ж налево! В тот момент мне хотелось одного - стать как Нео в "Матрице" и остановить их силой мысли. Но увы и ах! Вот он, человеческий фактор! Вот она ошибка природы😂

Побежала на вахту со словами "I need somebody help"! А мне говорят "Голубушка, ничем помочь не можем. Свободна".

Стояла я у двери в офис с выражением "у Курского вокзала...". Коллеги, видимо, оценили драматизм — дверь открыли, ключ новый оформили и я прошла все круги "бюрократического" ада.

Из этой ситуации я вынесла сразу три ценных знания:
1️⃣ Перекур может обернуться квестом на выживание.
2️⃣ Ключи надо носить так, будто от них зависит судьба ядерной кнопки.
3️⃣ Дверь в офисе всегда откроют.

С любовью, менеджер по информационной безопасности

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
Please open Telegram to view this post
VIEW IN TELEGRAM
😁4🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
#ИБшнутые

Когда думал, что у тебя чистая инфраструктура, но аудит ИБ показал обратное...

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
😁3😱1
#мероприятия
⚠️Предупреждение: человеческий фактор может быть опаснее хакера.

А что, если мы скажем, что его можно взять под контроль?

💥Онлайн‑вебинар «Как контролировать человеческий фактор?»:
1. Узнаем, как повысить уровень осведомленности сотрудников.
2. Разберем пункты 56-57 нового приказа ФСТЭК №117.
3. Посмотрим интерфейс платформы Secure T и проверим работу на практике.

🗓 8 апреля в 12:00 мск

Зарегистрироваться

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
Please open Telegram to view this post
VIEW IN TELEGRAM
#хакнутыефакты
3 железобетонных правила для защиты от социальной инженерии, чтобы тебя не съели с потрохами.

1. Критическое мышление.

Не важно, читал ты статью на досуге или смотрел видос. Даже если твой джун слышал звон, но не понял, откуда он, — включите голову. Никто не пришлёт одноразовый пароль от «Яндекс ID» по почте, а Гугл не попросит прислать данные паспорта через телеграм-бота. Правило простое как лопата: никому не доверяй по умолчанию. Мама пишет, что у неё новый телефон? Звони маме. Начальник требует в мессенджере перевести деньги контрагенту? Зайди в кабинет и уточни. Продвигайте эту здоровую шизофрению в массы, пока ваш секретарь не отдал ключи от офиса «электрику с поверкой счётчиков».

2. Техническая часть: режьте доступы, как хирург — точно и без лишних движений.
Гранулируйте доступы так, чтобы у «любимого 1С-ника», который «сам всё настроит», не было прав на ядерную кнопку. Полный доступ к сервису? Это даже не «высокий риск», это сценарий для фильма про Маски-шоу. Если у человека нет необходимости лицезреть всю базу — скрутите ему права обратно до уровня «только печатать и молиться».
Никому не доверяй, всех проверяй, но на практике — добавляйте факторов защиты как слоёв в Наполеоне. Хочешь админку в 1С? Отлично, сначала пройди через MFA, одобрение сисадмина и жертвоприношение ноутбука. Больше устройств безопасности — меньше шансов, что «добрый коллега из бухгалтерии» сольёт всё даром.

3. Коллективная паранойя.
Третий принцип для тех, кто думает «я-то умный, меня не обманут». Нет, Вася. Ты как раз первый, кто ляпнет лишнего на «дружеском» созвоне. Правильный подход: мало самому критически мыслить — надо создать отдел ИБ, куда люди будут бежать, как к крестному отцу. Сотрудник должен знать: если у него чешутся руки выполнить подозрительную просьбу или внутри щебечет «а вдруг это правда шеф?», он обязан подорваться и прибежать к тебе с вопросом. Любой звонок с неясным требованием — это не «давайте побыстрее сделаем», а стоп-кран и консультация с профи.

Параноиком быть не всегда плохо. Плохо быть параноиком без плана действий. А с планом это называется «следование лучшим практикам безопасности»😉

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3😁1
Audio
#расссказано
"Сетевое сердце"

"расссказано" - бонусная рубрика подкаста "Метод хакера".

История, которая разнеслась по всему ИБ-сообществу.

"Он мечтал о прорыве - о создании ИИ...". Профессор решился на эксперимент, но он зашел слишком далеко.

Что случилось? Почему ИИ-помощник стал угрозой?


📍Слушайте новый расссказ, чтобы узнать ответы😉
Сайт подкаста
Яндекс Музыка
Apple podcasts
VK Podcasts
Telegram

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
#мероприятия
Апрель — месяц, когда можно оторваться от пожарных логов и узнать что-то реально полезное. На это есть 5 поводов:

🗓 8 апреля | Вебинар с Secure «Как контролировать человеческий фактор?»
Разберём 56-57 пункты нового приказа ФСТЭК — то, от чего у вас уже месяц дёргается глаз. А потом залезем в интерфейс платформы для обучения сотрудников. Посмотрим, кто у нас «кликнет на ссылку про миллион от дяди из Нигерии».

🗓 15 апреля | Новый выпуск от «Метод хакера»
«Защита персональных данных: как обеспечить безопасность и избежать штрафов»
Штрафы растут, законодательство меняется. Как за всем уследить? В новом выпуске расскажем, как не попасть на миллион и при этом не задушить бизнес паранойей. Никакой скукоты — только живые кейсы, где люди теряли данные "вместе с кошельком".

🗓 24 апреля | День рождения подкаста «Метод хакера»
Нам уже 2 года! В честь этого — розыгрыш среди подписчиков. Мы проследим, чтобы приз ушёл к живому человеку, а не боту с аватаркой котика.

🗓 29 апреля | Новый расссказ «Ревизор»
Маленький город, мэр трясётся перед комиссией из Москвы, все готовят отчёты по ИБ. И вдруг секретарь влетает в кабинет с лицом «всё пропало». Что там случилось?

🗓 30 апреля | Вебинар с CtrlHack «Анализ защищенности в новых реалиях»
Подробности пока под грифом «скоро». Но скажем одно: ребята из CtrlHack видят уязвимости там, где вы видите просто «рабочий момент».

Безопасного вам кода и адекватных пользователей! До встречи 8 апреля😉

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
Please open Telegram to view this post
VIEW IN TELEGRAM
#инфобес
Дорогой дневник...

Как я спёрла сервер?
История из практики. Пятница, аврал, всё горит.

Привозят ПАК NGFW для клиента. По правилам: сначала фото, серийники, учёт. Но у меня — режим «глаза горят, руки делают». Я с ребятами просто хватаю сервер и тащу на отгрузку. Мимо всех баз, мимо документов. Железо ещё никто не видел, а оно уже «уехало».

Итог? Прилетело мне так, что до сих пор вздрагиваю. Когнитивный разрыв с элементами лёгкого пожара в голове.

Мораль: бумажки придумали не от скуки. А для того, чтобы ты в пятницу вечером не искал, куда делся сервер.

С любовью, менеджер по информационной безопасности

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
🤯2😱1
#мероприятия
24 апреля подкасту "Метод хакера" исполняется 2 года. Мы готовим видео-поздравление. Просим принять вас участие🙏

Вы - наши верные слушатели! Вы мотивируете нас создавать новые выпуски, реализовывать идеи и постоянно развиваться. Мы подключили каждого причастного к подкасту, зовем и вас в нашу тусовку!

Что нужно. Снять короткий вертикальный ролик с Вашим пожеланием: комментарий по теме ИБ, отзыв к выпуску, поздравление. Примеры набросали в комментарии. Нам не нужно профессиональное качество. Важно, чтобы это от Вас и от всей души.

Требования к оформлению: в офисе, в кафе, в машине, дома... Там, где Вам будет удобно!

Внешний вид - свободный: пиджак, пижама, выпускной, день рождения, свадьба - любой!

Нам достаточно даже двух секунд!

Свои творения можно прислать редактору канала @A_STU

Если возникнут вопросы – наша команда на связи, поможем и подскажем. Благодарим каждого за вклад!
#мероприятия
Запись вебинара "Как контролировать человеческий фактор?"

Мы посмотрели платформу для обучения сотрудников и обсудили актуальность проблемы человеческого фактора в информационной безопасности.

Смотрите вебинар, чтобы узнать, как соответствовать новым требованиям приказа №117 ФСТЭК и обучить сотрудников основам ИБ.

Получить консультацию по продукту

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
#ИБшнутые

pov: сотрудники ИТ и ИБ разрабатывают правила работы с корпоративной почтой.
real: пользователи не умеют читать.

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
😁2
#инфобес
Дорогой дневник...

Я за свои скромные годы в ИБ видала всякое: пароль «qwerty» у админа (благо не нашего), «123456789» для защиты Wi-Fi.. Но это — новый уровень кармы🫠

Прилетает мне от заказчика фото. Рубрика «прикол года». Человек решил, что лучший способ хранения секретов — это стикер с паролем... наклеенный на клавиатуру. Да, на ту самую, куда этот пароль вбивать. Мы в подкасте сто раз шутили про «а вдруг кто-то реально так сделает?».

И ведь нашлись «герои нашего времени»! Люди, у которых память слетает, как только они голову от монитора оторвут. Пароль, благо, нашли. Надеюсь никто меня не спросит, как именно — эта тайна не должна выйти за пределы страниц.

Пострадала только наша вера в человечество, которая присела отжаться. Силу человеческой лени явно недооценили!

Есть 3 места для хранения пароля: в голове, в специальном менеджере и тут. Всё, я пошла пить корвалол, хватит с меня шок-новостей на сегодня.

С любовью, менеджер по информационной безопасности

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ
👏1
#подкаст
«Защита персональных данных: как обеспечить безопасность данных и соответствие требованиям?»

Когда вы в последний раз читали 152-ФЗ? Мы не просто его прочитали, а разобрали по полочкам в новом выпуске! Что считается персональными данными? Кто такой оператор ПДн? Что входит в обработку данных?

Мы пригласили Наталью Немудрую - эксперта по работе с персональными данными в ГК "Астрал".

😱Внутри вас ждет занимательный кейс, как маленький стартап хранил !300 тысяч! данных субъектов ПДн и получил внушительный штраф. Откуда столько данных в маленькой компании? За что штраф? Как избежать подобной практики вам?

⚖️Выпуск получился с упором в законодательство. Получилось живо, понятно и интересно! Как подготовиться к проверке и не получить штраф? Всё в подкасте!

📍Скорее слушать на всех площадках:
Сайт подкаста
Яндекс Музыка
Apple podcasts
Литрес
MyBook
Spotify
Deezer
ЗВУК
Castbox
VK Podcasts
mave.stream
Mave
Pocket Casts
Podcast Addict
Soundstream
🔥3🤯1👾1
#хакнутыефакты
Вопрос из зала: «А как проверить эффективность SOC?».

1) Пентест — решение, когда ты приглашаешь стороннюю команду "хакеров". Бывают корпорации, у которых есть свои пентестеры, но чаще всего это сторонняя компания.

Тут очень важно понимать, какую задачу перед ними ставить. Например, цель - в рамках своих работ забрать управление сервера 1С. Если за этот месяц ребята не забрали управление, это не значит, что твоя компания защищена. Это значит, что при имеющихся ресурсах им не удалось это сделать.

Важным мерилом становится, "а за сколько тебя взломали". По времени. Если это сделали за день - что-то в твоей компании не очень хорошо. Если в прошлый раз тебя взломали за день, а через полгода твоей усердной работы по харденингу тебя взломали за месяц, это хороший буст. Для твоей команды мониторинга появляется 30 дней на то, чтобы увидеть, что тебя пытаются взломать.

Совет - варьировать команды пентестеров, которых ты приглашаешь. Потому что: разные инструменты, разные профили, разные взгляды. Вариативность команд пентеста всегда хорошая история. Посмотреть под разным углом, как тебя будут ломать разные ребята.

2) Кибериспытания. Что это такое? Платформа, куда ты можешь выйти со своей программой. Сказать, что "моя компания готова выплатить белым хакерам такую-то сумму денег, если они смогут реализовать такие-то критерии взлома моей компании".

В случае с кибериспытаниями у тебя приходит сразу много белых хакеров. При пентесте приходит одна команда конкретного поставщика услуги. В случае с кибериспытаниями приходят разные команды. Опять же, разный взгляд, векторы и инструментарий.

На кибериспытаниях ты платишь только за реализованные события. Смогли взломать? Отлично, выплата ваша. Не смогли? Ну, извините. За то, что вы поработали, никто платить не будет.

Пентест всегда конечен. На кибериспытания выходишь непрерывно.

САЙТ ПОДКАСТА | ТЕЛЕГРАМ | МАХ