Понедельник начинается не с кофе ☕️, думаю такой фразой можно назвать новость об пробиве компании СДЭК. Рансомварщики из Head Mare заявили в X (бывший Twitter ), что взломали СДЭК, зашифровали данные и уничтожили бэкапы. Что тут сказать, не завидую отделу кибербеза 🍾 да всей ит-шки👩💻 , бессонные ночи, бесконечные созвоны в попытке понять что делать и как быть. Честно говоря судя по проблеме с бэкапами, которая думаю присутствует в большинстве организаций, у ребят из СДЭК нет BCP плана на такой случай. Станут ли результаты расследования и причины инцидентами открытыми - не ясно, скорее всего нет. В любом случае в комьюнити этот случай навел много шума, надеюсь все мы сделаем выводы и позакрываем потенциальные black_hole на периметрах и внутри. Хочется пожелать всем чтобы патчи безопасности ставились вовремя, и ИТ не посылала ИБ пить кофе\кушать борщик\подождать полгода [подчеркни нужное], да хранит нас Nginx и Алексей Лукацкий.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7💯1
Ну что, это была громкая неделя новостей о взломах и пробивах. Не знаю что стало таким тригером (может быть PhD 🙊), что вот так вот сразу и в таком объеме мы получили все это 🙈 Но что хотелось бы отметить, здорово все таки когда есть возможность "учиться на чужих ошибках", судя по чатикам - все взбодрились и сразу и нашлись ресурсы и приоритеты задач поменялись 😁. Но, больше всего мне запомнилась история с ddplanet.ru, которых пробили персонажи из RUH8. Цитата из поста "Количество данных можете оценить сами. Мы там сидели достаточно давно, но потерпевший начал дергаться и был отвайплен при попытке к бегству. " Что тут скажешь, это какой-то новый уровень, я что-то не припомню такое, когда те кто пробил компанию сидели и читали внутренние корп чатики, о том как за ними якобы следят и думают что делать 🙈🤔 Это прям какой-то новый уровень. Видно что тенденция бить через supply chain - к сожалению будет только расти🔼 . Почему? Ну тут как раз все очевидно, в компаниях на аутстафе много на что закрывают глаза чтобы экономить. Это даже не хорошо и не плохо, это просто факт. А вот о том почему уже как X лет в соревновании меч ⚔️всегда острее 🛡 напишу в другом посте. Надеюсь мы не улетим в паранойю у всех хватит времени и сил причесать свои процессы для аутстафа. Да хранит нас app locker и харденинг систем.🤞
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Под грузом рабочих задач и манёврами в отпуске, совсем не было времени чтобы поделиться мыслями 😁 И вот сегодня наконец-то попалась на глаза аналитика по синему экрану смерти от посонов из Массовой забастовки. Ссылка на оригинал на басурманском тут. На православном далее по тексту.
Страховая компания Parametrix провела расчеты и выяснила, что сбой накрыл четверть компаний из Fortune 500, причинив каждой из них убытки на $43,6 млн. В общей сложности это $5,4 млрд! 💸 И это почти два годовых дохода CrowdStrike! 😱
Пострадали все топовые авиакомпании, 75% банков и здравоохранительных учреждений. Здравоохранение оказалось в самой глубокой яме с убытками на $1,9 млрд! ✈️🏥
А IT-сектор почти не пострадал: только 21% компаний ощутили сбой, потому что большинство из них используют Linux, а не Windows. Промышленность тоже не сильно пострадала – всего 5% компаний. 💾🖥
До сбоя капитализация CrowdStrike была почти $100 млрд, но теперь эти времена, похоже, в прошлом. Тем более, что компания все еще работает без прибыли. 📉
А потом CrowdStrike решила "загладить" свою вину ваучерами Uber Eats на $10. Это вызвало бурю негодования среди сисадминов, которые пахали все выходные, устраняя последствия. Некоторые даже сказали, что это издевательство! 😤 И как вишенка на торте – многие ваучеры не сработали. 🍔🚫
CrowdStrike, это был просто эпичный фейл! 🤦♂️ Думаю что с акциями будет жесткая просадка, хотя да, о чем это я? какие акции у нас, только акции в пятерочке.😁
Какой вывод? Лично я теперь посмотрел на ребят отвечающих за инфраструктуру и нудящих про {все сломаете\надо больше тестов\отстаньте с обновлениями} немного другими глазами. Грамотные ит процессы, в том числе проверка пакетов обновлений и их предварительное тестирование - штука не менее важная чем все наше сесурити 🤸♂️, ибо вон оно как бывает. Да хранит нас Astra Linux и благословенные сис админы. 🤞
Страховая компания Parametrix провела расчеты и выяснила, что сбой накрыл четверть компаний из Fortune 500, причинив каждой из них убытки на $43,6 млн. В общей сложности это $5,4 млрд! 💸 И это почти два годовых дохода CrowdStrike! 😱
Пострадали все топовые авиакомпании, 75% банков и здравоохранительных учреждений. Здравоохранение оказалось в самой глубокой яме с убытками на $1,9 млрд! ✈️🏥
А IT-сектор почти не пострадал: только 21% компаний ощутили сбой, потому что большинство из них используют Linux, а не Windows. Промышленность тоже не сильно пострадала – всего 5% компаний. 💾🖥
До сбоя капитализация CrowdStrike была почти $100 млрд, но теперь эти времена, похоже, в прошлом. Тем более, что компания все еще работает без прибыли. 📉
А потом CrowdStrike решила "загладить" свою вину ваучерами Uber Eats на $10. Это вызвало бурю негодования среди сисадминов, которые пахали все выходные, устраняя последствия. Некоторые даже сказали, что это издевательство! 😤 И как вишенка на торте – многие ваучеры не сработали. 🍔🚫
CrowdStrike, это был просто эпичный фейл! 🤦♂️ Думаю что с акциями будет жесткая просадка, хотя да, о чем это я? какие акции у нас, только акции в пятерочке.😁
Какой вывод? Лично я теперь посмотрел на ребят отвечающих за инфраструктуру и нудящих про {все сломаете\надо больше тестов\отстаньте с обновлениями} немного другими глазами. Грамотные ит процессы, в том числе проверка пакетов обновлений и их предварительное тестирование - штука не менее важная чем все наше сесурити 🤸♂️, ибо вон оно как бывает. Да хранит нас Astra Linux и благословенные сис админы. 🤞
👍4❤1
Fake Босс Пес - новая волна атак, которая просто захлестнула ру сегмент телеграмма. Пользователи получают сообщения от якобы [генерального директора\топ менеджера\или какго-то важного руководителя ] 🙈 под видом "Привет, узнала?! я такой-то такой-то".
Дальше начинается классическая схема и великолепные рассказы классиков про то что [запущена проверка по компании от органовдыхания какого-то порядка 🫡\ или служебная проверка \ или даже письмо от министерства саги космических преступлений для граждан Альфа-Центавры 👽 ] у кого на сколько хватит фантазий и умения фотошопа, для скрина письма или поручения.
Далее начинается обработка жертвы, под разными видами, с целью собрать и выудить инфу, построив тем самымабьюзивные отношения мостик доверия, чтобы дальше можно было разогревать жертву.
Обычно такой схемой пытаются выудить гроши которые ты не успел заданатить на wb или озоне. Но ряд коллег сообщали что есть и кейсы когда работают только по компаниям, с целью собрать инфу и возможно пробить периметр.
Особая проблема тут в том, что через поддержку православного tg очень сложно и долго решаются такие кейсы, даже если у вас есть под рукой ваш DRM провайдер. Потому что tg это государство в государстве, и им особо все равно кто-там кого скамит, если это не какой-то большой резонанс или это не ваш знакомый tg админ из Дубая.
Как решать?
Да серебряной пули тут и не придумать. Оперативную коммуникацию на пользователей о том что ваш ГД не придет к инженеру поддержки клиентов в тг в лс 😅😂, сбор и предоставление скринов в DRM провайдера чтобы попробовать заблокировать через поддержку tg, а так же научить пользователей отправлять жалобу через tg, на удивление этот механизм работает оч хорошо. Особо больше на ум ничего и не приходит, но будет интересно почитать комментарии, поэтому велком. 🫶
А вообще что такое DRM и как его кушоть, я буду рассказывать на OFFZONE
Когда: 22 августа, 12:30–13:15.
Где: AntiFraud.Zone.
Поэтому залетайте на огонек 🤞🙂
Да хранит нас здравый смысл и киберучения 😁
Дальше начинается классическая схема и великолепные рассказы классиков про то что [запущена проверка по компании от органов
Далее начинается обработка жертвы, под разными видами, с целью собрать и выудить инфу, построив тем самым
Обычно такой схемой пытаются выудить гроши которые ты не успел заданатить на wb или озоне. Но ряд коллег сообщали что есть и кейсы когда работают только по компаниям, с целью собрать инфу и возможно пробить периметр.
Особая проблема тут в том, что через поддержку православного tg очень сложно и долго решаются такие кейсы, даже если у вас есть под рукой ваш DRM провайдер. Потому что tg это государство в государстве, и им особо все равно кто-там кого скамит, если это не какой-то большой резонанс или это не ваш знакомый tg админ из Дубая.
Как решать?
Да серебряной пули тут и не придумать. Оперативную коммуникацию на пользователей о том что ваш ГД не придет к инженеру поддержки клиентов в тг в лс 😅😂, сбор и предоставление скринов в DRM провайдера чтобы попробовать заблокировать через поддержку tg, а так же научить пользователей отправлять жалобу через tg, на удивление этот механизм работает оч хорошо. Особо больше на ум ничего и не приходит, но будет интересно почитать комментарии, поэтому велком. 🫶
А вообще что такое DRM и как его кушоть, я буду рассказывать на OFFZONE
Когда: 22 августа, 12:30–13:15.
Где: AntiFraud.Zone.
Поэтому залетайте на огонек 🤞🙂
Да хранит нас здравый смысл и киберучения 😁
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
Интро: Уфф, в перерывах между OFFZONE, разбором лута в виде второй PS5 😂 и желанием выжить не умереть на работе, я наконец, добрался до интересной аналитики по кибероперациям и влиянию, опубликованной в октябре 2024 года. 😎 Интересно, как ребята описывают эволюцию киберугроз — стало ясно, что атаки уже давно не ограничиваются простыми взломами серверов. Тут всё гораздо глубже и интереснее. 😱
Понравился момент про комплексные операции. 📊 Представь себе, что хакеры, поддерживаемые государствами, теперь не просто похищают данные, но ещё и устраивают мощные инфо-кампании, чтобы подорвать доверие к тем же правительствам и институтам. 🙄 Типичный сценарий выглядит так: сначала запускается техническая атака — взлом почтового сервера, затем эти данные сливаются в сеть, а следом идёт кампания в соцсетях, которая эту утечку «раскручивает» как глобальный скандал. Это новая реальность кибервойн, где хакеры активно сотрудничают с медиа для создания «бомб». 💣
Пример из жизни
В отчете приводится пример с выборами в одной из стран, когда атака на систему голосования была совмещена с дезинформационной кампанией. Это не только снизило доверие к выборам, но и привело к массовым протестам. 📉 Такие многоуровневые операции меняют восприятие самих кибератак. Раньше это было что-то о безопасности данных, теперь это уже про восприятие реальности в целом.
Ключевые технические моменты:
Целевая инфраструктура: Целями атак всё чаще становятся важные инфраструктурные объекты: энергетика, транспорт, телекоммуникации и даже системы управления водоснабжением. Взлом таких систем может нанести огромный ущерб на уровне страны. 🤯
Методы атаки: Используются сложные техники типа "сцепленных операций" (AID—Advanced Influence Development), где кибератака синхронизируется с мощной информационной бомбой в соцсетях. Это уже не просто технический взлом — это целая кампания по манипуляции сознанием.
💡 Что делать? Авторы рекомендуют усиливать не только киберзащиту, но и разрабатывать более эффективные системы мониторинга информационных потоков. Защита должна быть комплексной: и в цифровом поле, и в медиа.
Сравнение с предыдущими годами:
Аналитики отмечают, что за последние 5 лет такие кампании становятся всё более сложными. Если раньше основным инструментом были ботнеты и спам-атаки, то сейчас на первый план выходят социальные сети и их способность мгновенно распространять информацию. Теперь каждый смартфон — это потенциальный "переносчик" атаки. 📱⚔️
Так, в этом году было выявлено, что многие киберугрозы направлены на подрыв демократии через вмешательство в выборные процессы. За примерами далеко ходить не надо: атаки на выборы в США, Европе и Азии лишь вершина айсберга. 🌍
Интересные цифры:
Около 60% атак на критическую инфраструктуру были связаны с дезинформацией и социальным воздействием. 🌐
75% атак теперь включают элементы психологической войны — когда после технического взлома начинают "раскручивать" инфо-шумы в медиа. 📺📰
90% крупных компаний мира признали, что сталкиваются с такими угрозами, и их влияние продолжает расти.
🛡 Как итог: защита от кибератак становится всё более многослойной задачей — это уже не просто IT-сфера, а комплекс мер, включающих стратегическое управление информационными потоками и массовыми коммуникациями. Кто бы мог подумать, что в 2024 году хакеры будут так сильно влиять на общество? 💻🤯
В общем, документ настоятельно советует усилить не только защиту данных, но и мониторинг социальных медиа, потому что кибервойны становятся всё более "информационно-направленными". И теперь именно информационная атака может стать решающей. 👀
💡 Лови ссылку на оригинал, если захочешь почитать всё подробно: Influence and Cyber Operations: An Update, October 2024.
Понравился момент про комплексные операции. 📊 Представь себе, что хакеры, поддерживаемые государствами, теперь не просто похищают данные, но ещё и устраивают мощные инфо-кампании, чтобы подорвать доверие к тем же правительствам и институтам. 🙄 Типичный сценарий выглядит так: сначала запускается техническая атака — взлом почтового сервера, затем эти данные сливаются в сеть, а следом идёт кампания в соцсетях, которая эту утечку «раскручивает» как глобальный скандал. Это новая реальность кибервойн, где хакеры активно сотрудничают с медиа для создания «бомб». 💣
Пример из жизни
В отчете приводится пример с выборами в одной из стран, когда атака на систему голосования была совмещена с дезинформационной кампанией. Это не только снизило доверие к выборам, но и привело к массовым протестам. 📉 Такие многоуровневые операции меняют восприятие самих кибератак. Раньше это было что-то о безопасности данных, теперь это уже про восприятие реальности в целом.
Ключевые технические моменты:
Целевая инфраструктура: Целями атак всё чаще становятся важные инфраструктурные объекты: энергетика, транспорт, телекоммуникации и даже системы управления водоснабжением. Взлом таких систем может нанести огромный ущерб на уровне страны. 🤯
Методы атаки: Используются сложные техники типа "сцепленных операций" (AID—Advanced Influence Development), где кибератака синхронизируется с мощной информационной бомбой в соцсетях. Это уже не просто технический взлом — это целая кампания по манипуляции сознанием.
💡 Что делать? Авторы рекомендуют усиливать не только киберзащиту, но и разрабатывать более эффективные системы мониторинга информационных потоков. Защита должна быть комплексной: и в цифровом поле, и в медиа.
Сравнение с предыдущими годами:
Аналитики отмечают, что за последние 5 лет такие кампании становятся всё более сложными. Если раньше основным инструментом были ботнеты и спам-атаки, то сейчас на первый план выходят социальные сети и их способность мгновенно распространять информацию. Теперь каждый смартфон — это потенциальный "переносчик" атаки. 📱⚔️
Так, в этом году было выявлено, что многие киберугрозы направлены на подрыв демократии через вмешательство в выборные процессы. За примерами далеко ходить не надо: атаки на выборы в США, Европе и Азии лишь вершина айсберга. 🌍
Интересные цифры:
Около 60% атак на критическую инфраструктуру были связаны с дезинформацией и социальным воздействием. 🌐
75% атак теперь включают элементы психологической войны — когда после технического взлома начинают "раскручивать" инфо-шумы в медиа. 📺📰
90% крупных компаний мира признали, что сталкиваются с такими угрозами, и их влияние продолжает расти.
🛡 Как итог: защита от кибератак становится всё более многослойной задачей — это уже не просто IT-сфера, а комплекс мер, включающих стратегическое управление информационными потоками и массовыми коммуникациями. Кто бы мог подумать, что в 2024 году хакеры будут так сильно влиять на общество? 💻🤯
В общем, документ настоятельно советует усилить не только защиту данных, но и мониторинг социальных медиа, потому что кибервойны становятся всё более "информационно-направленными". И теперь именно информационная атака может стать решающей. 👀
💡 Лови ссылку на оригинал, если захочешь почитать всё подробно: Influence and Cyber Operations: An Update, October 2024.
🔥4
Все салатики съедены 🥗, игристое выпито 🍾 и подарки 🎁 кажется открыты. Дед Мороз 🎅 уехал отдыхать, а это значит что скоро начинается новый трудовой год 🙈😅 Хочу пожелать всем поменьше потрясений, правильных людей рядом и конечно же продуктивности и побед во всех начинаниях 🫶 Спасибо что остаетесь и читаете мой бложик) На этот год есть кардинальные планы по улучшение этой истории, и конечно же по обратной связи о кол-ве постов (каюсь конец года у меня какой-то очень потный был). Поэтому не переключайтесь, скоро полетим ✈️
Всем хорошо догулять праздники, не болейте, ваш mr.Xapu3ma🥂
Всем хорошо догулять праздники, не болейте, ваш mr.Xapu3ma
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
Всем приветики! Сижу я тут готовлюсь значит к выступлению на киса 😼 CISO-Forum, и в процессе подготовки, я вдруг задумался: а помните ли вы те дикие 90-е, когда компьютеры были больше похожи на громоздкие железные монстры, а кибербезопасность – на дикий запад без правил? 😁🔒
Вот и не помню, но когда пришло время наводить порядок в процессах - родилась история одного из самых важных стандартов в мире IT – ISO/IEC 27001. Давайте быстренько погрузимся в эту историю, как будто читаем детектив с щепоткой юмора, коротая минутки в метро 😁
Все началось с британского стандарта BS 7799 – настоящего пионера в мире информационной безопасности, который появился, когда интернет только начинал проникать в офисы, а модемы печатали жужжащий «уу-уу». Тогда компании, словно герои в антиутопии, поняли: "Надо что-то делать, пока хакеры ненарушат три столпа иб развалят нам кабину!" И вот BS 7799 стал первым шагом к систематизации защиты данных – своего рода спасательным кругом в бурном море киберугроз.
В 2005 году, когда мир начал понимать, что беспорядок в IT – это не шутки, международное сообщество решило: «Давайте сделаем это правильно!» Так из британского опыта родился ISO/IEC 27001, который стал настоящим маст-хэвом для всех, кто заботится о безопасности информации. Представьте: вместо хаотичных методов защиты, теперь компании получили четкий план действий, словно рецепт от шеф-повара, где каждый ингредиент (то есть мера защиты) важен и должен быть идеально подобран. 🎯💡
ISO/IEC 27001 – это, можно сказать, компас в мире хаотичных киберугроз. Он требует создания системы управления информационной безопасностью (ISMS), что позволяет не просто реагировать на инциденты, а предвидеть их и предотвращать. Для SOC (Security Operations Center) это как перейти от работы в суматохе к отлаженномупроцессу шоу с блэкджеком, где каждый сигнал тревоги – это заранее прописанная сцена, а не паническая попытка спасти положение в последнюю секунду. 💻🚀
Но давайте будем честными: IT-отделы раньше действительно боролись с хаосом, как героинемых 😁боевиков, где вместо спецэффектов – коды ошибок и вирусы. Сегодня, благодаря стандарту, даже самые уставшие сисадмины могут наконец вздохнуть свободно уволиться перед аудитом (ну, или почти свободно, ведь всегда найдется что-то, что не так). А руководители, наблюдая за стабильной работой систем, могут смело выпить утренний кофе, не опасаясь, что их данные внезапно исчезнут в мире хакерских фантазий. ☕️😎 [Подробнее об истории ISO/IEC 27001 можно почитать на Википедии]
Конечно, как и мы, стандарт не стоит на месте. Его обновляли и совершенствовали – в 2013 году и даже позже – чтобы отразить новые реалии цифрового мира. Это не просто документ, а целая концепция подходов к кибер безопасности 🔐
ISO/IEC 27001 появился как ответ на необходимость систематизации защиты данных в эпоху, когда киберугрозы подстерегали на каждом шагу. Он эволюционировал из BS 7799, став ориентиром для SOC и других направлений ИБ. И я думаю вот почему:
• Стандартизация процессов.
Когда все операции задокументированы и отлажены в рамках ISMS, ложные срабатывания уходят в прошлое, а аналитики работают по чётко прописанным сценариям. В теории, конечно, идеально – но, будем честны, иногда инструкциям стоит задать вопрос: «А точно ли это сработает в реальном мире?»
• Повышение качества коммуникации.
Формализованные процедуры превращают технический шум в понятный язык для бизнеса. Теперь, когда каждый знает свою роль, можно даже поверить, что вместо вечных споров о том, кто виноват, царит некая согласованность. Хотя всегда остаётся доля сомнения, что кому-то всё равно придётся объяснять, почему снова всё пошло не так.
• Интеграция с другими стандартами.
Компании, объединившие ISO/IEC 27001 с ISO 9001 или ISO 22301, получают комплексный взгляд на риски и процессы. Всегда иронично все выглядит блестяще на бумаге, хотя реальность порой подбрасывает свои сюрпризы.
В итоге, ISO/IEC 27001 не творит чудес и не превращает SOC в супергероев, но, по крайней мере, помогает навести порядок в будничном хаосе. Да хранят нас стандарты ИБ 🙏
Вот и не помню, но когда пришло время наводить порядок в процессах - родилась история одного из самых важных стандартов в мире IT – ISO/IEC 27001. Давайте быстренько погрузимся в эту историю, как будто читаем детектив с щепоткой юмора, коротая минутки в метро 😁
Все началось с британского стандарта BS 7799 – настоящего пионера в мире информационной безопасности, который появился, когда интернет только начинал проникать в офисы, а модемы печатали жужжащий «уу-уу». Тогда компании, словно герои в антиутопии, поняли: "Надо что-то делать, пока хакеры не
В 2005 году, когда мир начал понимать, что беспорядок в IT – это не шутки, международное сообщество решило: «Давайте сделаем это правильно!» Так из британского опыта родился ISO/IEC 27001, который стал настоящим маст-хэвом для всех, кто заботится о безопасности информации. Представьте: вместо хаотичных методов защиты, теперь компании получили четкий план действий, словно рецепт от шеф-повара, где каждый ингредиент (то есть мера защиты) важен и должен быть идеально подобран. 🎯💡
ISO/IEC 27001 – это, можно сказать, компас в мире хаотичных киберугроз. Он требует создания системы управления информационной безопасностью (ISMS), что позволяет не просто реагировать на инциденты, а предвидеть их и предотвращать. Для SOC (Security Operations Center) это как перейти от работы в суматохе к отлаженному
Но давайте будем честными: IT-отделы раньше действительно боролись с хаосом, как герои
Конечно, как и мы, стандарт не стоит на месте. Его обновляли и совершенствовали – в 2013 году и даже позже – чтобы отразить новые реалии цифрового мира. Это не просто документ, а целая концепция подходов к кибер безопасности 🔐
ISO/IEC 27001 появился как ответ на необходимость систематизации защиты данных в эпоху, когда киберугрозы подстерегали на каждом шагу. Он эволюционировал из BS 7799, став ориентиром для SOC и других направлений ИБ. И я думаю вот почему:
• Стандартизация процессов.
Когда все операции задокументированы и отлажены в рамках ISMS, ложные срабатывания уходят в прошлое, а аналитики работают по чётко прописанным сценариям. В теории, конечно, идеально – но, будем честны, иногда инструкциям стоит задать вопрос: «А точно ли это сработает в реальном мире?»
• Повышение качества коммуникации.
Формализованные процедуры превращают технический шум в понятный язык для бизнеса. Теперь, когда каждый знает свою роль, можно даже поверить, что вместо вечных споров о том, кто виноват, царит некая согласованность. Хотя всегда остаётся доля сомнения, что кому-то всё равно придётся объяснять, почему снова всё пошло не так.
• Интеграция с другими стандартами.
Компании, объединившие ISO/IEC 27001 с ISO 9001 или ISO 22301, получают комплексный взгляд на риски и процессы. Всегда иронично все выглядит блестяще на бумаге, хотя реальность порой подбрасывает свои сюрпризы.
В итоге, ISO/IEC 27001 не творит чудес и не превращает SOC в супергероев, но, по крайней мере, помогает навести порядок в будничном хаосе. Да хранят нас стандарты ИБ 🙏
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Пиу пиу! 🧑💻 Исправляюсь по поводу регулярности постов, был и правда жаркий период и в рабочих и личных делах, много всего и сразу, ну в прочем как обычно 😅 Конечно тянуть две презы подряд сложнова-то, но можно 🫡
Во-первых, канал пробил первую сотню1️⃣ 0️⃣ 0️⃣ подписчиков 🥹 (надеюсь не последнюю). Теперь цель пробить тракторное число, ведь права тракториста машиниста у меня есть 😅😂 Надо сказать спасибо мероприятиям и конференциям, первое это коллегам из BiZone 🦬 , за их закрытое мероприятие, было как обычно стильно, вкусно, интересно 🫶 Теперь практикуюсь по утрам стоять на гвоздях 🧘 Фоточек и записи не будет)
Во-вторых за CISO Forum, спасибо организатором что позвали выступить, был интересный опыт и формат 👍 Сказали запись будет, но не много позже. Презентацию выложу сразу в канал в этом посте, потому что коллеги просили поделиться)
Отдельно хочу сказать спасибо коллегам из нашего DevRel за сопровождение и помощь, Лена, обнял 🤗
Во-первых, канал пробил первую сотню
Во-вторых за CISO Forum, спасибо организатором что позвали выступить, был интересный опыт и формат 👍 Сказали запись будет, но не много позже. Презентацию выложу сразу в канал в этом посте, потому что коллеги просили поделиться)
Отдельно хочу сказать спасибо коллегам из нашего DevRel за сопровождение и помощь, Лена, обнял 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15
Всем привет! Ну кажется погода стала походить на весеннюю😅 и это значит что скоро майские праздники, но помимо уничтожения шашлычков 🍢 в беседках и нормального открытия мото-сезона 🏍 (а я жду не дождусь уже 🥹 ) в мае произойдет еще одно важное изменение, связанное с утечками ПДн и штрафами для компаний 🙈. Как именно это будет работать, особо-то никто и не знает, но по случайности меня пригласили как раз-таки сходить и послушать об этом, к коллегам на мероприятие "Шапка-невидимка для чувствительных данных", регистрация там открытая, кому интересно, вот ссылка : https://qsoft-security.ru/
п.с. не реклама, т.к. сам иду 😁 приходите вместе послушаем к чему готовиться и позадаем вопросы, ну и конечно нетворкинг - практически всегда штука полезная 🫡
п.с. не реклама, т.к. сам иду 😁 приходите вместе послушаем к чему готовиться и позадаем вопросы, ну и конечно нетворкинг - практически всегда штука полезная 🫡
👍7
🔥 Корпоративные чаты глазами SOC: Telegram и Slack под прицелом
Часть 1:
Корпоративные и не очень мессенджеры — это не только удобство и скорость работы, но и привлекательная мишень для атак. Сегодня посмотрим на угрозы для Telegram Desktop и Slack с конкретными примерами и советами по защите.
📌 Telegram Desktop: уязвимая папка tdata
Самый опасный сценарий — кража папки tdata. В ней хранятся сессии и ключи авторизации. Получив её, злоумышленник запускает ваш Telegram без уведомлений о новой сессии!
🛠 Пример атаки: вредонос Telegrab (или другие) автоматически собирал данные папки.
Как устроена папка tdata в Telegram Desktop
Папка tdata — это сердце клиента Telegram Desktop. Именно в ней хранятся все ключи, сессии и кэш, обеспечивающие бесшовную авторизацию пользователя. Понимание структуры tdata помогает как защищаться, так и анализировать компрометации.
🔍 Что внутри tdata?
🔐 Ключевые файлы:
⚠️ Другие риски для тг:
Фейковые клиенты Telegram
Перехват SMS-кодов
ФейкБосс (Про эту писал ранее)
📌 Slack: фишинг и OAuth-токены
В Slack основные угрозы — это перехват OAuth-токенов и фишинг через поддельные приложения. Злоумышленники получают доступ к переписке и даже отправляют сообщения от вашего имени!
🛠 Пример атаки: EvilSlackbot отправлял фишинговые сообщения в Slack от имени бота.
⚠️ Дополнительные векторы:
Скомпрометированные сторонние приложения
Вредоносные браузерные расширения
📊 Сравниваем риски:
(Смотреть картиночки)
Часть 1:
Корпоративные и не очень мессенджеры — это не только удобство и скорость работы, но и привлекательная мишень для атак. Сегодня посмотрим на угрозы для Telegram Desktop и Slack с конкретными примерами и советами по защите.
📌 Telegram Desktop: уязвимая папка tdata
Самый опасный сценарий — кража папки tdata. В ней хранятся сессии и ключи авторизации. Получив её, злоумышленник запускает ваш Telegram без уведомлений о новой сессии!
🛠 Пример атаки: вредонос Telegrab (или другие) автоматически собирал данные папки.
Как устроена папка tdata в Telegram Desktop
Папка tdata — это сердце клиента Telegram Desktop. Именно в ней хранятся все ключи, сессии и кэш, обеспечивающие бесшовную авторизацию пользователя. Понимание структуры tdata помогает как защищаться, так и анализировать компрометации.
🔍 Что внутри tdata?
tdata/
├── D877F783D5D3EF8C/
│ └── user_data, settings, кеш сообщений
├── map*.json
├── *.key
├── emojis, themes, temp-files
🔐 Ключевые файлы:
D877F783D5D3EF8C/ — основная директория, где Telegram хранит данные аккаунта (номер, имя, ID, чаты, контакты). Название папки — это хеш ID API Telegram.
map0.json / map1.json — указатели Telegram, связывающие ключи с сессионными данными. Именно с них Telegram начинает восстановление сессии.
*.key — ключи для расшифровки данных, зашифрованных в сессии.
emoji/, themes/ — интерфейс и визуальные настройки клиента.
temp/ и кэш — временные файлы, изображения и вложения.
⚠️ Другие риски для тг:
Фейковые клиенты Telegram
Перехват SMS-кодов
ФейкБосс (Про эту писал ранее)
📌 Slack: фишинг и OAuth-токены
В Slack основные угрозы — это перехват OAuth-токенов и фишинг через поддельные приложения. Злоумышленники получают доступ к переписке и даже отправляют сообщения от вашего имени!
🛠 Пример атаки: EvilSlackbot отправлял фишинговые сообщения в Slack от имени бота.
⚠️ Дополнительные векторы:
Скомпрометированные сторонние приложения
Вредоносные браузерные расширения
📊 Сравниваем риски:
(Смотреть картиночки)
👨💻6👍4❤1
Часть 2
🛡 Защита и мониторинг:
Telegram: EDR-мониторинг
📍 Что важно:
Контекст: кто инициировал копирование, какие процессы запущены.
Исключения: Telegram-обновления и легитимный бэкап.
Дополнительный анализ: запуск Telegram с необычных путей или под нештатными пользователями.
Slack: регулярные аудиты OAuth-приложений, защита от фишинга и контроль браузеров.
⚠️ Обязательно используйте многофакторную аутентификацию (MFA), шифруйте трафик (HTTPS) и контролируйте время жизни сессий.
🎯 Привязка к MITRE ATT&CK
(Смотреть картиночку)
📈 Основные тенденции, что говорят вендоры:
📌 🔥 Рост атак на мессенджеры:
Согласно отчету Group-IB за 2023 год, 19% всех APT-групп использовали Telegram как C2-канал или канал доставки команд.
Источник → Group-IB Hi-Tech Crime Trends 2023
📌 🎯 Slack под ударом OAuth-фишинга:
По данным Proofpoint, в 2022–2023 гг. наблюдался рост атак на Slack OAuth-приложения на 85%, особенно в цепочках BEC-атак. Источник → Proofpoint Threat Report 2023
📌 🧵 Telegram как канал для утечек:
Специалисты Check Point и Kaspersky фиксировали утечку корпоративных данных через Telegram,Источник → Check Point Report: Telegram used for InfoStealer exfiltration (2023)
🧠 Обучение пользователей: фишинг в чате как он есть
Обучение сотрудников — один из самых мощных инструментов снижения риска. Особенно, когда злоумышленники используют знакомые интерфейсы, как Slack или Telegram.
🎣 Пример фишинга в Slack
Сценарий:
Внутри Slack появляется «системное» уведомление от якобы службы безопасности:
⚠️ Отличить тяжело:
Имя бота может быть slack-support, Security или IT Helpdesk
Аватарка — иконка Slack
Сообщение отправлено через интеграцию или Slackbot
💬 Берегите чаты и данные! Да хранит нас первая линия SOC без людей😂 🔐
🛡 Защита и мониторинг:
Telegram: EDR-мониторинг
(file.path:"Telegram\\tdata" AND event.action:("file_copy","file_move")). Ложные срабатывания возможны при обновлениях и резервных копиях — используйте исключения.📍 Что важно:
Контекст: кто инициировал копирование, какие процессы запущены.
Исключения: Telegram-обновления и легитимный бэкап.
Дополнительный анализ: запуск Telegram с необычных путей или под нештатными пользователями.
Slack: регулярные аудиты OAuth-приложений, защита от фишинга и контроль браузеров.
⚠️ Обязательно используйте многофакторную аутентификацию (MFA), шифруйте трафик (HTTPS) и контролируйте время жизни сессий.
🎯 Привязка к MITRE ATT&CK
(Смотреть картиночку)
📈 Основные тенденции, что говорят вендоры:
📌 🔥 Рост атак на мессенджеры:
Согласно отчету Group-IB за 2023 год, 19% всех APT-групп использовали Telegram как C2-канал или канал доставки команд.
Источник → Group-IB Hi-Tech Crime Trends 2023
📌 🎯 Slack под ударом OAuth-фишинга:
По данным Proofpoint, в 2022–2023 гг. наблюдался рост атак на Slack OAuth-приложения на 85%, особенно в цепочках BEC-атак. Источник → Proofpoint Threat Report 2023
📌 🧵 Telegram как канал для утечек:
Специалисты Check Point и Kaspersky фиксировали утечку корпоративных данных через Telegram,Источник → Check Point Report: Telegram used for InfoStealer exfiltration (2023)
🧠 Обучение пользователей: фишинг в чате как он есть
Обучение сотрудников — один из самых мощных инструментов снижения риска. Особенно, когда злоумышленники используют знакомые интерфейсы, как Slack или Telegram.
🎣 Пример фишинга в Slack
Сценарий:
Внутри Slack появляется «системное» уведомление от якобы службы безопасности:
👮♀️ Security Notification:
Unusual login detected. Please verify your account immediately to avoid being locked out.
🔗 Verify Now
⚠️ Отличить тяжело:
Имя бота может быть slack-support, Security или IT Helpdesk
Аватарка — иконка Slack
Сообщение отправлено через интеграцию или Slackbot
💬 Берегите чаты и данные! Да хранит нас первая линия SOC без людей😂 🔐
🔥5👍3
image_2025-05-14_12-39-17.png
37 KB
Астрологи объявили неделю отпуска, количество постов увеличено 😁 Начнем с малого, приглашаю прийти послушать доклад на PHDays 2025, "SOC на скорую руку: внедряем гибридную модель, или Наш опыт выживания", где я расскажу в сжатом формате про наш опыт построения.
Ссылка на страницу : https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&tags=lifehack&talk-id=2338
Приходите, буду рад поболтать после доклада 🫶✊
Представьте, что вы пытаетесь собрать сложный пазл, но каждый кусочек постоянно исчезает, как будто его утащили баги в системе мониторинга. Если вам знакомо чувство, когда каждый новый инцидент напоминает о том, что «404 Not Found» — это не только про веб-страницы, но и про отсутствующие процессы, то вы точно узнаете нашу историю.
Я расскажу, как мы:
внедрили MSSP за три месяца;
выстроили процессы реагирования с уже действующими MSSP в бизнес-юнитах;
собрали на коленке процесс реагирования на киберинциденты.
А еще — о том, как не сойти с ума (но это неточно).
Ссылка на страницу : https://phdays.com/ru/forum/program/?date=2025%2F5%2F23&tags=lifehack&talk-id=2338
Приходите, буду рад поболтать после доклада 🫶✊
👍13❤1