This media is not supported in your browser
VIEW IN TELEGRAM
⭐️
Оставлю эту сторис здесь. Пусть будет напоминалкой для тех, кто изучает новую область и берется за новое дело.
Оставлю эту сторис здесь. Пусть будет напоминалкой для тех, кто изучает новую область и берется за новое дело.
❤4🤩4
Итоги ПМЭФ 2023: второе место в финале Международного Киберчемпионата
Наша команда “You Shall Not Pass” защитила инфраструктуру виртуального города от атак и с отставанием в один балл заняла второе место в рейтинге.
Инфраструктура киберполигона интегрирована с настоящим оборудованием, которое используется в реальной инфраструктуре предприятий. Это значит, что сценарии атак в этой среде вполне реальные.
Наша статистика:
1. атакующий осуществил 0 успешных атак во внутренней части защищаемой инфраструктуры и не смог пробраться дальше DMZ;
2. мы написали примерно 100 строчек кода (несколько скриптов автоматизации и конфиг auditd);
3. съели 9 пицц.
Поздравляем победителей и крепко жмем руку организаторам соревнования! Поднимаем кружку чая на кухне нашего Security Operations Center и возвращаемся к работе.
Наша команда “You Shall Not Pass” защитила инфраструктуру виртуального города от атак и с отставанием в один балл заняла второе место в рейтинге.
Инфраструктура киберполигона интегрирована с настоящим оборудованием, которое используется в реальной инфраструктуре предприятий. Это значит, что сценарии атак в этой среде вполне реальные.
Наша статистика:
1. атакующий осуществил 0 успешных атак во внутренней части защищаемой инфраструктуры и не смог пробраться дальше DMZ;
2. мы написали примерно 100 строчек кода (несколько скриптов автоматизации и конфиг auditd);
3. съели 9 пицц.
Поздравляем победителей и крепко жмем руку организаторам соревнования! Поднимаем кружку чая на кухне нашего Security Operations Center и возвращаемся к работе.
👍16🔥9⚡1
В гостях у друзей из Kaspersky вместе с коллегами из Ozon и Avito обсуждаем тему поиска талантов в ИТ и ИБ. Записываем, монтируем и скоро выпустим.
Спасибо Владимиру Дащенко за приглашение, откровенные вопросы и футболку с того самого Defcon!
Спасибо Владимиру Дащенко за приглашение, откровенные вопросы и футболку с того самого Defcon!
👍10❤1
Media is too big
VIEW IN TELEGRAM
Где взять квалифицированных ИБ-специалистов?
Пятый выпуск подкаста ОБИБЭ посвящён острейшей теме кадрового голода и тому, как с этим вызовом справляются в МТС RED, «Лаборатории Касперского», Озоне и Авито.
Есть ли альтернатива релокации, какие основные сложности при найме, что нравится кандидатам, и надо ли готовить сотрудников со школьной скамьи?
Пятый выпуск подкаста ОБИБЭ посвящён острейшей теме кадрового голода и тому, как с этим вызовом справляются в МТС RED, «Лаборатории Касперского», Озоне и Авито.
Есть ли альтернатива релокации, какие основные сложности при найме, что нравится кандидатам, и надо ли готовить сотрудников со школьной скамьи?
🔥7👍2⚡1
«Наступательный ИИ» в руках атакующего
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial ML», которым мы с Иваном Капуниным посвятили отдельную лекцию;
2. атаки с использованием ИИ для совершенствования техник атакующего.
Авторы лаборатории Offensive AI подготовили интересный обзор сценариев применения ИИ в наступательных целях. Инсайты:
* авторы насчитали 33 техники, в которых атакующий может использовать ИИ, и разделили их на блоки: automation, campaign resilience, credential theft, exploit development, information gathering, social engineering, stealth;
* все сценарии атак могут быть разделены по следующим задачам: Предсказание, Генерация, Анализ, Извлечение, Принятие решения.
Для меня наиболее примечательными являются две задачи: Предсказание и Принятие решения. Посмотрим, какие исследования существуют в этом направлении.
👍7🤔1
Задачи «наступательного ИИ»: Предсказание и Принятие Решения
Авторы упомянутой работы, привели примеры сценариев, в которых ИИ помогает атакующему совершенствовать свои техники, делать прогноз развития атаки или принимать решение в процессе ее реализации:
1. Локализация уязвимостей в ПО. Например, помощь в разборе результатов фаззинга. И вот тут открывается возможность для совершенствования технологий автоматической генерации эксплойтов (automatic exploit generation).
2. Определение чувствительных атрибутов пользователя на основе публичной информации из социальных сетей, которые можно использовать для автоматизации атак с использованием методов социальной инженерии. Таким образом ИИ позволяет атаковать большее количество организаций с высокой точностью и меньшим количеством ресурсов со стороны атакующего.
3. Поиск наиболее значимой информации в процессе шпионажа. Например, ИИ может выделять ценные данные из массива и тем самым снижать объем передаваемой информации на стадии эксфильтрации данных. Кража данных может производиться быстрее и незаметно для средств мониторинга.
Для реализации задач категории «Принятие решения» в процессе анализа защищенности разработан инструмент AutoPentest-DRL, который использует алгоритмы глубинного обучения с подкреплением (deep reinforcement learning, DRL) для определения наиболее подходящего пути атаки в заданной сети. Результат работы этого фреймворка может быть передан в инструменты эксплуатации (например, Metasploit) для автоматизации работы пентестера. В графе возможных атак этот инструмент позволяет определить оптимальный путь и сократить время атакующего от момента закрепления в сети до продвижения к цели.
Авторы упомянутой работы, привели примеры сценариев, в которых ИИ помогает атакующему совершенствовать свои техники, делать прогноз развития атаки или принимать решение в процессе ее реализации:
1. Локализация уязвимостей в ПО. Например, помощь в разборе результатов фаззинга. И вот тут открывается возможность для совершенствования технологий автоматической генерации эксплойтов (automatic exploit generation).
2. Определение чувствительных атрибутов пользователя на основе публичной информации из социальных сетей, которые можно использовать для автоматизации атак с использованием методов социальной инженерии. Таким образом ИИ позволяет атаковать большее количество организаций с высокой точностью и меньшим количеством ресурсов со стороны атакующего.
3. Поиск наиболее значимой информации в процессе шпионажа. Например, ИИ может выделять ценные данные из массива и тем самым снижать объем передаваемой информации на стадии эксфильтрации данных. Кража данных может производиться быстрее и незаметно для средств мониторинга.
Для реализации задач категории «Принятие решения» в процессе анализа защищенности разработан инструмент AutoPentest-DRL, который использует алгоритмы глубинного обучения с подкреплением (deep reinforcement learning, DRL) для определения наиболее подходящего пути атаки в заданной сети. Результат работы этого фреймворка может быть передан в инструменты эксплуатации (например, Metasploit) для автоматизации работы пентестера. В графе возможных атак этот инструмент позволяет определить оптимальный путь и сократить время атакующего от момента закрепления в сети до продвижения к цели.
Telegram
Makrushin
«Наступательный ИИ» в руках атакующего
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial…
Концепция «наступательного ИИ» заключается в использовании технологий машинного обучения для осуществления вредоносных действий. Эти действия разделяются на два множества:
1. атаки на системы, использующие ИИ или «adversarial…
🙈1
Выходные в Сербии: CTO Day
С закрытого мероприятия, которое прошло в Белграде и которое ежегодно собирает технических директоров IT-компаний, вынес с собой следующие мысли:
* Каждый измеряет эффективность своей разработки по-своему. И размер R&D на ответы не влияет: крупные компании вроде Google, Huawei, Intel или небольшие стартапы используют свои, иногда противоречивые, показатели производительности. Кто-то измеряет в фичах, кто-то в коммитах, кто-то вообще отслеживает только «неэффективность». Все еще есть пространство для внедрения новых методов и инструментов в процесс разработки.
* Про управление временем руководителя: «управлять нужно не временем, а энергией» и «в интеллектуальном труде вдохновение гораздо важнее времени».
* ML-модели продемонстрировали свою эффективность в автоматизации процесса он-бординга и позволили сэкономить 30 из 50 часов работы опытного сотрудника на каждого нового сотрудника за счет генерации обучающего контента на основе требований к позиции и внутренних материалов.
С закрытого мероприятия, которое прошло в Белграде и которое ежегодно собирает технических директоров IT-компаний, вынес с собой следующие мысли:
* Каждый измеряет эффективность своей разработки по-своему. И размер R&D на ответы не влияет: крупные компании вроде Google, Huawei, Intel или небольшие стартапы используют свои, иногда противоречивые, показатели производительности. Кто-то измеряет в фичах, кто-то в коммитах, кто-то вообще отслеживает только «неэффективность». Все еще есть пространство для внедрения новых методов и инструментов в процесс разработки.
* Про управление временем руководителя: «управлять нужно не временем, а энергией» и «в интеллектуальном труде вдохновение гораздо важнее времени».
* ML-модели продемонстрировали свою эффективность в автоматизации процесса он-бординга и позволили сэкономить 30 из 50 часов работы опытного сотрудника на каждого нового сотрудника за счет генерации обучающего контента на основе требований к позиции и внутренних материалов.
👍8🔥3🥰2
Что общего между инвестированием и кибербезопасностью?
Риски.
В тот период, когда Positive Technologies еще не вышла на биржу, мы организованной толпой с chief-друзьями Максимом Пустовым (тогда: COO в Positive Technologies) и Александром Гостевым (тогда и сейчас: Chief Technology Expert в Kaspersky) под пристальным вниманием Павла Кушелева (тогда: ведущий «Вести NET») обсуждали тренды на сложных технологических рынках ИТ и кибербезопасности, рассказывали о своих стратегиях инвестирования и управления рисками. Простым и понятным языком.
Запилили 4 выпуска “IT’s Positive Investing” и сложили их в Apple Podcasts и Яндекс Подкасты. Теперь можно провести ретроспективный анализ этого контента.
Риски.
В тот период, когда Positive Technologies еще не вышла на биржу, мы организованной толпой с chief-друзьями Максимом Пустовым (тогда: COO в Positive Technologies) и Александром Гостевым (тогда и сейчас: Chief Technology Expert в Kaspersky) под пристальным вниманием Павла Кушелева (тогда: ведущий «Вести NET») обсуждали тренды на сложных технологических рынках ИТ и кибербезопасности, рассказывали о своих стратегиях инвестирования и управления рисками. Простым и понятным языком.
Запилили 4 выпуска “IT’s Positive Investing” и сложили их в Apple Podcasts и Яндекс Подкасты. Теперь можно провести ретроспективный анализ этого контента.
👍6
NIST Cybersecurity Framework v2.0: новая ключевая функция
Этим летом выйдет драфт второй версии фреймворка NIST CSF, который используется организациями по всему миру для построения процессов информационной безопасности и управления рисками. Текущая версия описывает пять функций жизненного цикла ИБ:
* Identify: определение ресурсов, которые нужно защищать
* Protect: определение мер защиты для каждого ресурса
* Detect: выявление инцидентов и новых угроз
* Respond: реагирование на инцидент с целью снижения последствий
* Recover: определение мер восстановления после инцидента
В драфте второй версии фреймворка этот список пополнится новой функцией. Я ожидал, что это будет что-то вроде “Predict”, как в модели адаптивной безопасности, про которую рассказал в статье “Проект Red Team”. Этот раздел мог бы раскрыть суперсилу ИИ для предиктивной аналитики и прогнозирования угроз. Но нет: в новой версии будет представлена функция “Govern”, которая закрепит полномочия человека в процессе управления политиками и ролями ИБ.
Прийдется делать свой апдейт к этому фреймворку и описывать функцию прогнозирования.
Этим летом выйдет драфт второй версии фреймворка NIST CSF, который используется организациями по всему миру для построения процессов информационной безопасности и управления рисками. Текущая версия описывает пять функций жизненного цикла ИБ:
* Identify: определение ресурсов, которые нужно защищать
* Protect: определение мер защиты для каждого ресурса
* Detect: выявление инцидентов и новых угроз
* Respond: реагирование на инцидент с целью снижения последствий
* Recover: определение мер восстановления после инцидента
В драфте второй версии фреймворка этот список пополнится новой функцией. Я ожидал, что это будет что-то вроде “Predict”, как в модели адаптивной безопасности, про которую рассказал в статье “Проект Red Team”. Этот раздел мог бы раскрыть суперсилу ИИ для предиктивной аналитики и прогнозирования угроз. Но нет: в новой версии будет представлена функция “Govern”, которая закрепит полномочия человека в процессе управления политиками и ролями ИБ.
Прийдется делать свой апдейт к этому фреймворку и описывать функцию прогнозирования.
NIST
Cybersecurity Framework
Helping organizations to better understand and improve their management of cybersecurity risk
👍9🔥1
Знай свою поверхность атаки.
Какие ресурсы доступны онлайн? Сколько портов сейчас открыто? И сколько будет ресурсов в онлайне через 15 минут? Через день? А в эти выходные? Собирай информацию о поверхности атаки хотя бы каждый час.
Скорость шифровальщиков от момента компрометации до повреждения файлов - 5 минут 50 секунд. А сколько времени нужно тебе, чтобы разобраться в своем периметре?
На фотографии: поверхность атаки для бизнеса уровня Enterprise. Самые популярные открытые порты: ssh, почтовые и веб-сервисы. А вот самые непопулярные внизу: системы управления зданиями, принтеры, АСУ ТП. И кстати, оказалось, что все доступные системы управления зданиями содержат критическую уязвимость в протоколе niagara fox, которая позволяет получить доступ к операторской панели и всем подключенным системам: кондиционеры, вода, освещение, двери.
С чего начать мониторить периметр, если нет бюджета на дорогие сканеры? Опен-сорсный Nuclei поможет.
Какие ресурсы доступны онлайн? Сколько портов сейчас открыто? И сколько будет ресурсов в онлайне через 15 минут? Через день? А в эти выходные? Собирай информацию о поверхности атаки хотя бы каждый час.
Скорость шифровальщиков от момента компрометации до повреждения файлов - 5 минут 50 секунд. А сколько времени нужно тебе, чтобы разобраться в своем периметре?
На фотографии: поверхность атаки для бизнеса уровня Enterprise. Самые популярные открытые порты: ssh, почтовые и веб-сервисы. А вот самые непопулярные внизу: системы управления зданиями, принтеры, АСУ ТП. И кстати, оказалось, что все доступные системы управления зданиями содержат критическую уязвимость в протоколе niagara fox, которая позволяет получить доступ к операторской панели и всем подключенным системам: кондиционеры, вода, освещение, двери.
С чего начать мониторить периметр, если нет бюджета на дорогие сканеры? Опен-сорсный Nuclei поможет.
👍8❤1
Эй, сделай вид, будто нам не страшно! 😄
Место, где нет сотовой связи и входящих сообщений - замирает телефон. Сплав по порогам 4-й категории сложности - замирает сердце.
Место, где нет сотовой связи и входящих сообщений - замирает телефон. Сплав по порогам 4-й категории сложности - замирает сердце.
🔥31👍3❤2
Media is too big
VIEW IN TELEGRAM
Поиск уязвимостей в веб-приложениях: основы
Для начинающих исследователей и тех, кто погружается в тему анализа защищенности, провел краткий курс по поиску уязвимостей в веб-приложениях. Описал ключевую терминологию, методы сбора поверхности атаки, векторы атак и все, что необходимо знать для быстрого старта в направлении безопасности приложений.
Материал представил на международной конференции Security Analyst Summit, которая проходила на чердаке. Да, в период пандемии все крупные конференции проходили у меня на чердаке.
Для начинающих исследователей и тех, кто погружается в тему анализа защищенности, провел краткий курс по поиску уязвимостей в веб-приложениях. Описал ключевую терминологию, методы сбора поверхности атаки, векторы атак и все, что необходимо знать для быстрого старта в направлении безопасности приложений.
Материал представил на международной конференции Security Analyst Summit, которая проходила на чердаке. Да, в период пандемии все крупные конференции проходили у меня на чердаке.
👍4👏3
То самое выражение лица, когда нашел уязвимость во время урока по поиску уязвимостей 😁
На сингапурской конференции SINCON, в реальном времени и совершенно случайно во время проведения короткого тренинга «Web Application Bug Hunting» обнаружил проблему типа subdomain takeover - возможность перехватить управление поддоменом официального сайта конференции. Участники воркшопа с разрешения владельцев раскрутили эту уязвимость, подготовили отчет с рекомендациями и набросали отзывы в чат.
На сингапурской конференции SINCON, в реальном времени и совершенно случайно во время проведения короткого тренинга «Web Application Bug Hunting» обнаружил проблему типа subdomain takeover - возможность перехватить управление поддоменом официального сайта конференции. Участники воркшопа с разрешения владельцев раскрутили эту уязвимость, подготовили отчет с рекомендациями и набросали отзывы в чат.
👍16🔥5😁3