Продавцы страхов – чем современные ИБ-компании/интеграторы похожи на АНБ (и почему это плохо)
Для любого бизнеса, связанного с управлением рисками (а ИБ это классика операционных рисков) рано или поздно становится характерно такое явление, как «торговля страхами», то есть попытка напугать клиента достаточно сильно, чтобы он от испуга заплатил. Это не хорошо и не плохо, это данность. К слову, индустрия не первая – гораздо раньше ИБ торговать страхами начали медики и страховщики. Так вот.
По большому счету, современный рынок ИБ продает своим клиентам в первую очередь не то, что им клиенту надо – а то, что клиенту очень хочется продать. Берем простой пример: вот есть клиент, типичный крупный бизнес с цепочкой складов размером с футбольное поле и выручкой в пару десятков миллиардов. Клиент заказывает аудит, и этот аудит делается неплохо. В начале отчета адекватно оценены риски и указано, что риск утечек для клиента - далеко не ключевой, а риски непрерывности бизнеса гораздо важнее.
А что в рекомендациях? Там мы видим шикарное: автор отчета пишет полностью противоречит своей оценке в начале, и пишет что нужнее всего нашему клиенту DLP-система! Напоминаю, речь о производственной компании со своей логистикой, которой критична непрерывность и у которой куча торчащей в сеть инфраструктуры. Круто, да? Вот их IT-департамент тоже офигел с таких заходов. Зато сразу стало понятно, что у автора отчета наверняка есть варианты с DLP – системами, а то, что клиенту она нужна как козе балалайка, ну да кого это волнует?
Кстати, один из самых красивых исторических примеров продажи страхов когда-то давно исполнило АНБ. В 2008 году на изолированных от сети Интернет компьютерах базы Форт-Мид обнаружился червь Agent.bzt, предположительно «занесенный» с Ближнего Востока доверчивым сотрудником на флешке. Запущенная сутками позже операция «Американская картечь» (Operation Buckshot Yankee) в итоге привела к созданию Киберкомандования США (USCYBERCOM), возглавляемого лично директором АНБ, а не военными. А обнаружение каждого следующего вируса приводило к новой масштабной операции и новыми привилегиями для агентства. Фактически, АНБ полностью захватило власть в силовом блоке.
Комизм ситуации в том, что по современным меркам Agent.bzt не представлял особой угрозы! Он не мог функционировать в изолированных сетях и даже близко не похож на оружие кибершпионажа. Вот только все это не помешало АНБ на столько напугать своего «клиента», что тот заплатил несколько десятков миллиардов долларов на защиту от возможной угрозы без какого-либо понимания ее реальности. Более того, припоминая этот "важнейший инцидент", АНБ добилось лично у президента Буша колоссального расширения собственных полномочий.
По большому счету, многие современные ИБ-компании делают то же самое. Мы против подобного подхода, как бы эффективен он не был.
Для любого бизнеса, связанного с управлением рисками (а ИБ это классика операционных рисков) рано или поздно становится характерно такое явление, как «торговля страхами», то есть попытка напугать клиента достаточно сильно, чтобы он от испуга заплатил. Это не хорошо и не плохо, это данность. К слову, индустрия не первая – гораздо раньше ИБ торговать страхами начали медики и страховщики. Так вот.
По большому счету, современный рынок ИБ продает своим клиентам в первую очередь не то, что им клиенту надо – а то, что клиенту очень хочется продать. Берем простой пример: вот есть клиент, типичный крупный бизнес с цепочкой складов размером с футбольное поле и выручкой в пару десятков миллиардов. Клиент заказывает аудит, и этот аудит делается неплохо. В начале отчета адекватно оценены риски и указано, что риск утечек для клиента - далеко не ключевой, а риски непрерывности бизнеса гораздо важнее.
А что в рекомендациях? Там мы видим шикарное: автор отчета пишет полностью противоречит своей оценке в начале, и пишет что нужнее всего нашему клиенту DLP-система! Напоминаю, речь о производственной компании со своей логистикой, которой критична непрерывность и у которой куча торчащей в сеть инфраструктуры. Круто, да? Вот их IT-департамент тоже офигел с таких заходов. Зато сразу стало понятно, что у автора отчета наверняка есть варианты с DLP – системами, а то, что клиенту она нужна как козе балалайка, ну да кого это волнует?
Кстати, один из самых красивых исторических примеров продажи страхов когда-то давно исполнило АНБ. В 2008 году на изолированных от сети Интернет компьютерах базы Форт-Мид обнаружился червь Agent.bzt, предположительно «занесенный» с Ближнего Востока доверчивым сотрудником на флешке. Запущенная сутками позже операция «Американская картечь» (Operation Buckshot Yankee) в итоге привела к созданию Киберкомандования США (USCYBERCOM), возглавляемого лично директором АНБ, а не военными. А обнаружение каждого следующего вируса приводило к новой масштабной операции и новыми привилегиями для агентства. Фактически, АНБ полностью захватило власть в силовом блоке.
Комизм ситуации в том, что по современным меркам Agent.bzt не представлял особой угрозы! Он не мог функционировать в изолированных сетях и даже близко не похож на оружие кибершпионажа. Вот только все это не помешало АНБ на столько напугать своего «клиента», что тот заплатил несколько десятков миллиардов долларов на защиту от возможной угрозы без какого-либо понимания ее реальности. Более того, припоминая этот "важнейший инцидент", АНБ добилось лично у президента Буша колоссального расширения собственных полномочий.
По большому счету, многие современные ИБ-компании делают то же самое. Мы против подобного подхода, как бы эффективен он не был.
Про взаимоотношение с клиентами и возврат к нам
Мы в последнее время мало пишем про сам бизнес — но это не потому, что он идет куда-то не туда. Но бизнес-процессы в ИБ достаточно длинные, и нам бывает сложно находить реально стоящие темы.
На самом деле, мы тут осознали одну простую вещь: а мы не пытаемся продать сразу и много. Во-первых, далеко не факт, что клиенту это нужно. Во-вторых, клиент не всегда сам понимает, что ему действительно нужно. В-третьих, мы хотим, чтобы клиент понял, в чем преимущества работы с нами. Так что сначала консультации, потом что-то простое, а дальше начинаются варианты.
Мы хотим, чтобы наши клиенты к нам возвращались, если это технически возможно. Чтобы партнерство было длительным, и чтобы модель "Третьей стороны" работала так, как мы изначально задумывали. Тогда все получится.
То есть нам важно, чтобы клиент понимал, почему с нами хорошо работать и развивал собственные компетенции в ИБ. Тогда и наш бизнес будет развиваться, и наши клиенты станут лучше защищены.
А что касается времени исполнения контракта "от первого звонка до итогового отчета", то сейчас эта величина находится где-то в районе 2-3 месяцев. И наш таргет находится на этом уровне. Ускорять работы (если это не явное требование заказчика) смысла нет, работы занимают время, да и нам самим в итоге нужно убедиться, что все сделано хорошо.
А вот процент клиентов, сделавших повторный заказ — это очень, очень важная метрика. И мы очень стараемся сделать ее близкой к 100%.
Мы в последнее время мало пишем про сам бизнес — но это не потому, что он идет куда-то не туда. Но бизнес-процессы в ИБ достаточно длинные, и нам бывает сложно находить реально стоящие темы.
На самом деле, мы тут осознали одну простую вещь: а мы не пытаемся продать сразу и много. Во-первых, далеко не факт, что клиенту это нужно. Во-вторых, клиент не всегда сам понимает, что ему действительно нужно. В-третьих, мы хотим, чтобы клиент понял, в чем преимущества работы с нами. Так что сначала консультации, потом что-то простое, а дальше начинаются варианты.
Мы хотим, чтобы наши клиенты к нам возвращались, если это технически возможно. Чтобы партнерство было длительным, и чтобы модель "Третьей стороны" работала так, как мы изначально задумывали. Тогда все получится.
То есть нам важно, чтобы клиент понимал, почему с нами хорошо работать и развивал собственные компетенции в ИБ. Тогда и наш бизнес будет развиваться, и наши клиенты станут лучше защищены.
А что касается времени исполнения контракта "от первого звонка до итогового отчета", то сейчас эта величина находится где-то в районе 2-3 месяцев. И наш таргет находится на этом уровне. Ускорять работы (если это не явное требование заказчика) смысла нет, работы занимают время, да и нам самим в итоге нужно убедиться, что все сделано хорошо.
А вот процент клиентов, сделавших повторный заказ — это очень, очень важная метрика. И мы очень стараемся сделать ее близкой к 100%.
"Если жертва начала сотрудничать, она сделает ВСЕ"
Кладите трубку, помните о нашей памятке "Бросай трубку".
Иначе может дойти и до такого как бы невероятно это не звучало.
Кладите трубку, помните о нашей памятке "Бросай трубку".
Иначе может дойти и до такого как бы невероятно это не звучало.
Telegram
Baza
«Спасибо Панночке, спасибо А.Б. Уебок, спасибо Игоряше, cлава Брутам, офису! Привет вам от мамонта».
Красноречивые мошенники заставили москвичку перевести им деньги, заложить машину в ломбарде и продать квартиру за 9 миллионов. Затем они убедили женщину…
Красноречивые мошенники заставили москвичку перевести им деньги, заложить машину в ломбарде и продать квартиру за 9 миллионов. Затем они убедили женщину…
О принципах работы "Третьей Стороны" — что значит "работа напрямую с исполнителем"
Нас несколько раз спрашивали: вот у вас нет в штате специалистов, получается, что вы берете их с рынка? Тогда чем вы отличаетесь от обычного посредника и интегратора? Ведь "было бы гораздо лучше, если бы они были в штате, тогда конечным исполнителем были бы вы!"
Объясняем: нет, все сильно иначе. Работа без посредников — это когда исполнитель заключает договор напрямую с заказчиком. Исполнитель — это конкретный человек, конкретный специалист, или группа специалистов, зарегистрированная как юрлицо. То есть это те, кто выполнят работу, и сделают это сами. И заказчик четко понимает, сколько и кому он заплатит, все прозрачно. Здесь нет "зашитых" в цену комиссий, нашего вознаграждения, итд итп. Кстати, нашей команде точно так же нужна юридическая экспертиза, бухгалтерия и другой консалтинг — и все это у нас на аутсорсе, иначе мы были бы "сапожником без сапог".
Когда заказчик нанимает компанию, он нанимает не конечного исполнителя. Он нанимает менеджеров, платит продажникам компании-исполнителя, оплачивает их операционные расходы, электричество, офис, и так далее. А самое главное — совершенно не понятно, сколько из этого получит исполнитель и кто вообще сделает работу. Извините, но субподряды на рынке никто не отменил.
На чем зарабатываем мы? Когда мы начинаем работу, заказчик подписывает с нами отдельное пользовательское соглашение. По нему мы получим фиксированное вознаграждение, величина которого зависит от стоимости контракта (если речь не идет CISO-сервисе). Заказчик платит нам за поиск исполнителя, его проверку, консультации, помощь в написании ТЗ, итогового отчета и проверку качества работы. Мы выполняем роль юристов, проектных менеджеров и консультантов. В одном лице. А еще мы очень стараемся понять, правда ли заказчику действительно нужно то, что он хочет заказать.
Так что да, мы — не посредник, договор исполнитель с заказчиком заключают напрямую, и каждый участник сделки знает кому, сколько и за что он заплатил. И это — то, что мы действительно считаем прямым наймом без посредников.
Нас несколько раз спрашивали: вот у вас нет в штате специалистов, получается, что вы берете их с рынка? Тогда чем вы отличаетесь от обычного посредника и интегратора? Ведь "было бы гораздо лучше, если бы они были в штате, тогда конечным исполнителем были бы вы!"
Объясняем: нет, все сильно иначе. Работа без посредников — это когда исполнитель заключает договор напрямую с заказчиком. Исполнитель — это конкретный человек, конкретный специалист, или группа специалистов, зарегистрированная как юрлицо. То есть это те, кто выполнят работу, и сделают это сами. И заказчик четко понимает, сколько и кому он заплатит, все прозрачно. Здесь нет "зашитых" в цену комиссий, нашего вознаграждения, итд итп. Кстати, нашей команде точно так же нужна юридическая экспертиза, бухгалтерия и другой консалтинг — и все это у нас на аутсорсе, иначе мы были бы "сапожником без сапог".
Когда заказчик нанимает компанию, он нанимает не конечного исполнителя. Он нанимает менеджеров, платит продажникам компании-исполнителя, оплачивает их операционные расходы, электричество, офис, и так далее. А самое главное — совершенно не понятно, сколько из этого получит исполнитель и кто вообще сделает работу. Извините, но субподряды на рынке никто не отменил.
На чем зарабатываем мы? Когда мы начинаем работу, заказчик подписывает с нами отдельное пользовательское соглашение. По нему мы получим фиксированное вознаграждение, величина которого зависит от стоимости контракта (если речь не идет CISO-сервисе). Заказчик платит нам за поиск исполнителя, его проверку, консультации, помощь в написании ТЗ, итогового отчета и проверку качества работы. Мы выполняем роль юристов, проектных менеджеров и консультантов. В одном лице. А еще мы очень стараемся понять, правда ли заказчику действительно нужно то, что он хочет заказать.
Так что да, мы — не посредник, договор исполнитель с заказчиком заключают напрямую, и каждый участник сделки знает кому, сколько и за что он заплатил. И это — то, что мы действительно считаем прямым наймом без посредников.
О технической разведке и удивительных приключениях американцев в Китае
Современная техническая разведка — штука крайне сложная. И в том, что касается людей и организаций, и особенно в том, что касается государств. Зачастую в операции вовлекаются десятки людей, очень нетривиальные системы сбора информации и изрядная доля социальной инженерии. Тут вообще нет общего решения, все идут кто во что горазд. Соответственно, и борьба с прослушкой — тоже дело до некоторой степени творческое. Но только до некоторой, в первую очередь это очень четкое и последовательное исполнение инструкций.
Истории, о которой мы сейчас говорим бы не случилось, если бы каждый из ее участников четко знал, что делать. Если бы регулярно проводились контрольные мероприятия, если бы организационная дисциплина была на должном уровне. Тут как с противопожарными учениями — надо не просто прочитать инструкцию, надо регулярно ее повторять.
Итак, 1 апреля 2001 года американский самолет радиотехнической разведки совершил вынужденную посадку в Китае. Вопреки ожидаемому, экипаж не только не уничтожил всю секретную аппаратуру (выяснилось, что уничтожать ее просто нечем) — внезапно, он таскал на борту вагон того, чему там было совершенно не место. В общем, дядюшка Ляо был крайне признателен.
Итак, "Падение серого Овна" — замечательное чтение на вечер от наших друзей.
Кстати, некоторые задачи по физической безопасности мы тоже берем. В первую очередь те, которые касаются планирования и установки СКУДов и систем наблюдения — есть очень опытные и грамотные исполнители.
Современная техническая разведка — штука крайне сложная. И в том, что касается людей и организаций, и особенно в том, что касается государств. Зачастую в операции вовлекаются десятки людей, очень нетривиальные системы сбора информации и изрядная доля социальной инженерии. Тут вообще нет общего решения, все идут кто во что горазд. Соответственно, и борьба с прослушкой — тоже дело до некоторой степени творческое. Но только до некоторой, в первую очередь это очень четкое и последовательное исполнение инструкций.
Истории, о которой мы сейчас говорим бы не случилось, если бы каждый из ее участников четко знал, что делать. Если бы регулярно проводились контрольные мероприятия, если бы организационная дисциплина была на должном уровне. Тут как с противопожарными учениями — надо не просто прочитать инструкцию, надо регулярно ее повторять.
Итак, 1 апреля 2001 года американский самолет радиотехнической разведки совершил вынужденную посадку в Китае. Вопреки ожидаемому, экипаж не только не уничтожил всю секретную аппаратуру (выяснилось, что уничтожать ее просто нечем) — внезапно, он таскал на борту вагон того, чему там было совершенно не место. В общем, дядюшка Ляо был крайне признателен.
Итак, "Падение серого Овна" — замечательное чтение на вечер от наших друзей.
Кстати, некоторые задачи по физической безопасности мы тоже берем. В первую очередь те, которые касаются планирования и установки СКУДов и систем наблюдения — есть очень опытные и грамотные исполнители.
VK
Падение серого «Овна»
В апреле 2001 года самолет EP-3E ВМС США, позывной Kilo Romeo 919, выполнял обычный разведывательный полет над Южно-Китайским морем. Но в..
Мы начали читать лекции по ИБ
Внезапно для себя, мы тут начали читать небольшие лекции по кибербезопасности и вписались в одну очень годную программу подготовки CTO. Так что пару слов про то, что мы умеем.
Во-первых, самый частый запрос — это "кибербезопасность для топ-менеджмента". По-сути, это чистый self-security с нюансами, от выбора телефона до ведения профилей в соцсетях. Делаем под специфику конкретного заказчика, но общая идея понятна. Цель — дать топам компании понимание возможных угроз и средств защиты.
Второй запрос — это "как устроен современный рынок ИБ". Рассказываем, как правильно выбирать подрядчика и понять, что вам реально нужно, что можно проигнорировать и как распознать манипуляции и попытку продать вам нечто ненужное.
И третий запрос — это "ИБ для индустрии". Рассказываем про то, какие существуют угрозы в каждой конкретной отрасли, как от них защищаются на рынке, как оценить возможные потери и в каких случаях надо предпринимать какие-то действия. Цель — развитие собственных базовых компетенций в ИБ.
Мы не читаем "большие" курсы, так как считаем их откровенно излишними, и пока самым большим по времени был недавний 2-х часовой митап для техфаундеров. Но общая идея понятна — без развития компетенций у бизнеса, рынок не изменится. А мы хотим его изменить.
Внезапно для себя, мы тут начали читать небольшие лекции по кибербезопасности и вписались в одну очень годную программу подготовки CTO. Так что пару слов про то, что мы умеем.
Во-первых, самый частый запрос — это "кибербезопасность для топ-менеджмента". По-сути, это чистый self-security с нюансами, от выбора телефона до ведения профилей в соцсетях. Делаем под специфику конкретного заказчика, но общая идея понятна. Цель — дать топам компании понимание возможных угроз и средств защиты.
Второй запрос — это "как устроен современный рынок ИБ". Рассказываем, как правильно выбирать подрядчика и понять, что вам реально нужно, что можно проигнорировать и как распознать манипуляции и попытку продать вам нечто ненужное.
И третий запрос — это "ИБ для индустрии". Рассказываем про то, какие существуют угрозы в каждой конкретной отрасли, как от них защищаются на рынке, как оценить возможные потери и в каких случаях надо предпринимать какие-то действия. Цель — развитие собственных базовых компетенций в ИБ.
Мы не читаем "большие" курсы, так как считаем их откровенно излишними, и пока самым большим по времени был недавний 2-х часовой митап для техфаундеров. Но общая идея понятна — без развития компетенций у бизнеса, рынок не изменится. А мы хотим его изменить.
Директор по ИБ — почему сторонний CISO это круто и где подводные камни
Идея найма стороннего специалиста (не только по ИБ, любого) — она совершенно не новая. Суть простая — компания получает компетентного специалиста на part-time и экономит время. По большому счету, так работает весь современный консалтинг в котором, к слову, оба основателя "Третьей Стороны" успели поработать.
Главная проблема всех сторонних специалистов в том, что они обычно хуже погружены в бизнес, чем штатный сотрудник. Особенно если аутстаффер постоянно меняется — даже у самого грамотного эксперта уходит время на то, чтобы погрузиться в процесс. И зачастую все плюсы от найма на part-time теряются.
Сторонний CISO (директор по ИБ) — это человек, который с клиентом всегда. Который один раз погрузился в его инфраструктуру, который держит ее в уме, отвечает на вопросы и готов давать рекомендации. Причем в идеале он вообще не заинтересован продавать своему клиенту что-то сверх необходимого, потому что именно на этом строятся доверительные отношения.
Клиенту совсем не нужен чужой продажник за свой счет — ему нужно максимально простое и дешевое решение проблемы. Так что если вы нанимаете CISO, даже самого лучшего — смотрите на альтернативы того, что он предлагает. Спрашивайте его, почему эта услуга нужна и ее надо заказывать именно там, где он предлагает.
В конце концов, самое важное в таких отношениях — это доверие. Иначе проще и дешевле будет брать сотрудника в штат.
Идея найма стороннего специалиста (не только по ИБ, любого) — она совершенно не новая. Суть простая — компания получает компетентного специалиста на part-time и экономит время. По большому счету, так работает весь современный консалтинг в котором, к слову, оба основателя "Третьей Стороны" успели поработать.
Главная проблема всех сторонних специалистов в том, что они обычно хуже погружены в бизнес, чем штатный сотрудник. Особенно если аутстаффер постоянно меняется — даже у самого грамотного эксперта уходит время на то, чтобы погрузиться в процесс. И зачастую все плюсы от найма на part-time теряются.
Сторонний CISO (директор по ИБ) — это человек, который с клиентом всегда. Который один раз погрузился в его инфраструктуру, который держит ее в уме, отвечает на вопросы и готов давать рекомендации. Причем в идеале он вообще не заинтересован продавать своему клиенту что-то сверх необходимого, потому что именно на этом строятся доверительные отношения.
Клиенту совсем не нужен чужой продажник за свой счет — ему нужно максимально простое и дешевое решение проблемы. Так что если вы нанимаете CISO, даже самого лучшего — смотрите на альтернативы того, что он предлагает. Спрашивайте его, почему эта услуга нужна и ее надо заказывать именно там, где он предлагает.
В конце концов, самое важное в таких отношениях — это доверие. Иначе проще и дешевле будет брать сотрудника в штат.
Мексиканские наркокартели похищали инженеров, чтобы построить секретную систему связи
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи. И вообще, идея то звучит разумно — если у тебя есть вагон денег, тебе нужна связь и ты не можешь просто купить ее у подрядчика на рынке — укради этого подрядчика. Ну, или его сотрудников. Кстати, ни одного из них потом вроде как не нашли.
Но тут самое главное в другом. Кроме сетевых инженеров, Zetas похищали инженеров по ИБ, потому что сразу учитывали ИБ-риски при создании своей инфраструктуры. Опять же, они вряд-ли боялись правительства, скорее конкурентов. Любопытно, но даже наркокартели занимаются ИБ — в отличие от многих российских компаний!
Мы привыкли думать, что организованная преступность — это что-то тайное, это мафия с ее омертой и все такое прочее. Нет, все куда интереснее — если 10 лет назад они строили собственные вышки сотовой связи, то на что они способны сейчас? Недавно, кстати, была новость о том, как подводная "нарколодка" пересекла Атлантический океан, но это скорее забавное. Так что можем только порадоваться, что условные Zetas не занимаются киберкриминалом — а то про русских, украинских и северокорейских хакеров все бы давно уже забыли.
Де-факто, целыми районами Мексики управляют наркоторговцы. Ситуация не то, чтобы уникальная — в Ливане, например, схожая картина. И ситуация, когда наркокартель получает в свои руки относительно современные системы связи и вооружение не нова — снова смотрим на Ливан.
При этом все эти современные системы связи нужны Zetas или другим картелям не для того, чтобы скрывать свою деятельность от властей. Гораздо более страшным врагом для них являются другие картели — в отличие от мексиканского правительства, давно и плотно "забившего" на борьбу с наркотрафиком. Ну и отчасти связь должна защищать от внимания американцев. По-сути, складывается любопытная картина: один наркокартель похищает людей, чтобы выстроить сеть передатчиков, чтобы скрывать свою деятельность от других картелей. Такая вот конкуренция в sin industries в реальном времени.
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи. И вообще, идея то звучит разумно — если у тебя есть вагон денег, тебе нужна связь и ты не можешь просто купить ее у подрядчика на рынке — укради этого подрядчика. Ну, или его сотрудников. Кстати, ни одного из них потом вроде как не нашли.
Но тут самое главное в другом. Кроме сетевых инженеров, Zetas похищали инженеров по ИБ, потому что сразу учитывали ИБ-риски при создании своей инфраструктуры. Опять же, они вряд-ли боялись правительства, скорее конкурентов. Любопытно, но даже наркокартели занимаются ИБ — в отличие от многих российских компаний!
Мы привыкли думать, что организованная преступность — это что-то тайное, это мафия с ее омертой и все такое прочее. Нет, все куда интереснее — если 10 лет назад они строили собственные вышки сотовой связи, то на что они способны сейчас? Недавно, кстати, была новость о том, как подводная "нарколодка" пересекла Атлантический океан, но это скорее забавное. Так что можем только порадоваться, что условные Zetas не занимаются киберкриминалом — а то про русских, украинских и северокорейских хакеров все бы давно уже забыли.
Де-факто, целыми районами Мексики управляют наркоторговцы. Ситуация не то, чтобы уникальная — в Ливане, например, схожая картина. И ситуация, когда наркокартель получает в свои руки относительно современные системы связи и вооружение не нова — снова смотрим на Ливан.
При этом все эти современные системы связи нужны Zetas или другим картелям не для того, чтобы скрывать свою деятельность от властей. Гораздо более страшным врагом для них являются другие картели — в отличие от мексиканского правительства, давно и плотно "забившего" на борьбу с наркотрафиком. Ну и отчасти связь должна защищать от внимания американцев. По-сути, складывается любопытная картина: один наркокартель похищает людей, чтобы выстроить сеть передатчиков, чтобы скрывать свою деятельность от других картелей. Такая вот конкуренция в sin industries в реальном времени.
Социотехническое тестирование на проникновение — чем оно отличается от простого фишинга?
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.
Обоюдоострый меч пиара
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов Anonymous с помощью социальных сетей. А 5 февраля 2011 года в интервью Financial Times он и вовсе заявил, что фирма внедрилась в ряды хактивистов и может разоблачить большинство активных членов. Обещал он это выполнить на предстоящей конференции B-Sides, а после был готов дорого продать силовым структурам США и другим дорогим клиентам подробный отчёт по членам Anonymous.
На следующий день личные аккаунты Аарона, инфраструктура HBGary и инфраструктура её материнской компании HBGary Federal были взломаны хактивистами. Для специалистов отмечу, что использовались для взлома SQL-инъекции, радужные таблицы, повышение привилегий и социальная инженерия, сам киллчейн можно посмотреть тут.
Что именно пострадало?
— Сайт компании был дефейснут. И там стала красоваться надпись, что не стоит связываться с Anonymous, а эта акция – самозащита.
— Взломан сервер электронной почты, украдены и удалены более 68 тысяч писем и документов. Утечка задела не только саму компанию, но и их партнеров в сфере кибербезопасности, чьи материалы были обнаружены в письмах.
— Взломан и взят под контроль личный аккаунт Аарона Барра в Твиттере.
— Вайпнут его личный iPad.
— Устроен телефонный и факс DDoS, парализовавший работу компании мусорными звонками.
Среди обнародованных документов был и планируемый к продаже «отчет по Anonymous», в котором, по словам активистов, список подозреваемых был составлен практически бездоказательно и мог привести к арестам и слежке за множеством невинных людей.
Также были обнаружены планы по работе против WikiLeaks, предлагалось дискредитировать компанию с помощью подделки документов. Обнаружился и план по давлению на британского журналиста правозащитника Глена Гринвальда, поддерживающего WikiLeaks. К слову, именно он впоследствии будет помогать Эдварду Сноудену.
К чему это привело помимо хайпа? Торговая палата США открестилась от любых контрактов с фирмой, заявив, что правительство не платило им ни копейки. Аарон Барр объявил о своей отставке. Было запущено расследование о действиях компании и её партнеров (Palantir Technologies, Berico Technologies), но, судя по всему, оно заглохло до следующего скандала. Через год HBGary была поглощена на неизвестных, но, скорее всего, не очень комфортных для основателей условиях, ManTech International.
А атакующие? Часть группы, организовавшей взлом, подсела на «хайп» и превратилась в самых мемных хактивистов Lulzsec. Впрочем привлечение внимания к себе их в будущем и погубило. Обоюдоострый меч пиара поразил и тех и других.
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов Anonymous с помощью социальных сетей. А 5 февраля 2011 года в интервью Financial Times он и вовсе заявил, что фирма внедрилась в ряды хактивистов и может разоблачить большинство активных членов. Обещал он это выполнить на предстоящей конференции B-Sides, а после был готов дорого продать силовым структурам США и другим дорогим клиентам подробный отчёт по членам Anonymous.
На следующий день личные аккаунты Аарона, инфраструктура HBGary и инфраструктура её материнской компании HBGary Federal были взломаны хактивистами. Для специалистов отмечу, что использовались для взлома SQL-инъекции, радужные таблицы, повышение привилегий и социальная инженерия, сам киллчейн можно посмотреть тут.
Что именно пострадало?
— Сайт компании был дефейснут. И там стала красоваться надпись, что не стоит связываться с Anonymous, а эта акция – самозащита.
— Взломан сервер электронной почты, украдены и удалены более 68 тысяч писем и документов. Утечка задела не только саму компанию, но и их партнеров в сфере кибербезопасности, чьи материалы были обнаружены в письмах.
— Взломан и взят под контроль личный аккаунт Аарона Барра в Твиттере.
— Вайпнут его личный iPad.
— Устроен телефонный и факс DDoS, парализовавший работу компании мусорными звонками.
Среди обнародованных документов был и планируемый к продаже «отчет по Anonymous», в котором, по словам активистов, список подозреваемых был составлен практически бездоказательно и мог привести к арестам и слежке за множеством невинных людей.
Также были обнаружены планы по работе против WikiLeaks, предлагалось дискредитировать компанию с помощью подделки документов. Обнаружился и план по давлению на британского журналиста правозащитника Глена Гринвальда, поддерживающего WikiLeaks. К слову, именно он впоследствии будет помогать Эдварду Сноудену.
К чему это привело помимо хайпа? Торговая палата США открестилась от любых контрактов с фирмой, заявив, что правительство не платило им ни копейки. Аарон Барр объявил о своей отставке. Было запущено расследование о действиях компании и её партнеров (Palantir Technologies, Berico Technologies), но, судя по всему, оно заглохло до следующего скандала. Через год HBGary была поглощена на неизвестных, но, скорее всего, не очень комфортных для основателей условиях, ManTech International.
А атакующие? Часть группы, организовавшей взлом, подсела на «хайп» и превратилась в самых мемных хактивистов Lulzsec. Впрочем привлечение внимания к себе их в будущем и погубило. Обоюдоострый меч пиара поразил и тех и других.
YouTube
What was the HBGary hack?
In 2011 the online group Anonymous launched an attack on the company HBGary, a US security contractor. Within a short period of time they were able to gain access to HBGary’s servers. The company’s private emails and private user account data were published…
Кибербезопасность для топов
Вдогонку к предыдущему посту. У нас тут пару раз всерьез заходила дискуссия о том, как топ-менеджеру правильно выстраивать собственную безопасность в сети. И основных мнения (кроме традиционного "если захотят - все равно взломают") есть ровно два. Первое — "все надо знать и делать самому", второе — "пусть доверенный айтишник все решит". Правда посередине, а история выше — очень хорошая иллюстрация того, почему ИБ надо заниматься.
"Если захотят - взломают" — это такая очень сложная история. С одной стороны, действительно есть ультимативные истории вроде Пегаса, и они все еще не стали поводом массово переходить на кнопочные телефоны. С другой стороны, кроме спецслужб обычно есть и дураки, и недруги, и вот от них защититься вполне реально.
Вдогонку к предыдущему посту. У нас тут пару раз всерьез заходила дискуссия о том, как топ-менеджеру правильно выстраивать собственную безопасность в сети. И основных мнения (кроме традиционного "если захотят - все равно взломают") есть ровно два. Первое — "все надо знать и делать самому", второе — "пусть доверенный айтишник все решит". Правда посередине, а история выше — очень хорошая иллюстрация того, почему ИБ надо заниматься.
"Если захотят - взломают" — это такая очень сложная история. С одной стороны, действительно есть ультимативные истории вроде Пегаса, и они все еще не стали поводом массово переходить на кнопочные телефоны. С другой стороны, кроме спецслужб обычно есть и дураки, и недруги, и вот от них защититься вполне реально.
Telegram
3side кибербезопасности
Обоюдоострый меч пиара
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов…
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов…
Слепое расследование?
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.
ChatGPT потенциально уязвима — проблема в данных для обучения.
Как пишут исследователи, всего за 60 долларов США мы могли бы отравить 0,01% наборов данных LAION-400 или COYO-700 в 2022 году. Идея в следующем: ChatGPT и другие подобные AI-модели обучаются на нескольких огромных и обновляемых датасетах. Эти датасеты агрегируются из множества публичных источников, которые считаются "условно верифицированными". Проблема в том, что время от времени некоторые из этих URL становятся доступны для регистрации просто потому, что время их регистрации истекает. И злоумышленник, потратив достаточно времени и денег, может "захватить" некоторое количестве верифицированных доменов. И подменить их содержание.
Все это можно назвать "проблемой вредоносного обучения", когда искуственный интеллект изначально обучается на в лучшем случае некорректных, а в худшем случае — осознанно модифицированных данных. Валидация датасета, вероятно, не производится — при исходном объеме это достаточно затруднительно. Отчасти, добросовестных пользователей защищает тот факт, что исходные данные действительно огромные, и для того, чтобы всерьез повлиять на исходный датасет нужно очень много сил и времени.
Выглядит так, как будто продвижение "вредоносных вставок" становится отдельной и очень серьезной задачей — они не должны слишком сильно пересекаться или противоречить другим источникам. Плюс если у тебя "захвачено" несколько верифицированных доменов, ты можешь пробовать активнее продвигать свой код. И в итоге запрос типа "GPT подскажи как написать кусок кода вот этой библиотеки" уже будет давать пример с закладкой внутри.
Не очень понятно, на сколько проблема велика и реальна, но теоретическая возможность "заразить" исходные данные для работы есть, а при определенном упорстве вероятность того, что чат-бот с ИИ реально использует код с вредоносными вставками изрядно повышаются. Будем посмотреть, но уже сейчас очевидно, что уязвимости AI-генераторов со временем будут только проявляться.
Как пишут исследователи, всего за 60 долларов США мы могли бы отравить 0,01% наборов данных LAION-400 или COYO-700 в 2022 году. Идея в следующем: ChatGPT и другие подобные AI-модели обучаются на нескольких огромных и обновляемых датасетах. Эти датасеты агрегируются из множества публичных источников, которые считаются "условно верифицированными". Проблема в том, что время от времени некоторые из этих URL становятся доступны для регистрации просто потому, что время их регистрации истекает. И злоумышленник, потратив достаточно времени и денег, может "захватить" некоторое количестве верифицированных доменов. И подменить их содержание.
Все это можно назвать "проблемой вредоносного обучения", когда искуственный интеллект изначально обучается на в лучшем случае некорректных, а в худшем случае — осознанно модифицированных данных. Валидация датасета, вероятно, не производится — при исходном объеме это достаточно затруднительно. Отчасти, добросовестных пользователей защищает тот факт, что исходные данные действительно огромные, и для того, чтобы всерьез повлиять на исходный датасет нужно очень много сил и времени.
Выглядит так, как будто продвижение "вредоносных вставок" становится отдельной и очень серьезной задачей — они не должны слишком сильно пересекаться или противоречить другим источникам. Плюс если у тебя "захвачено" несколько верифицированных доменов, ты можешь пробовать активнее продвигать свой код. И в итоге запрос типа "GPT подскажи как написать кусок кода вот этой библиотеки" уже будет давать пример с закладкой внутри.
Не очень понятно, на сколько проблема велика и реальна, но теоретическая возможность "заразить" исходные данные для работы есть, а при определенном упорстве вероятность того, что чат-бот с ИИ реально использует код с вредоносными вставками изрядно повышаются. Будем посмотреть, но уже сейчас очевидно, что уязвимости AI-генераторов со временем будут только проявляться.
Как удостовериться в компетентности подрядчика по кибербезопасности
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!
Media is too big
VIEW IN TELEGRAM
И в продолжение — вот такое видео про механику работы площадки и нынешний рынок услуг в ИБ. Субподряды и "коты в мешке" — это реальная проблема, с которой мы стремимся бороться.
Встречаемся 19-20 мая на PHDays
Смело подходите ко мне в кулуарах буду рад познакомиться лично и пообщаться!
Антон Бочкарев
Смело подходите ко мне в кулуарах буду рад познакомиться лично и пообщаться!
Антон Бочкарев
Forwarded from Объявления конференции HighLoad++
⠀
📋 https://vk.cc/cmiIKn
⠀
Путь каждой компании к тому, чтобы наконец заняться кибербезопасностью - индивидуален. Но он всегда похож на 5 стадий принятия неизбежного “Отрицание”, “Гнев”, “Торг”, “Депрессия”, “Смирение”. Каждая из этих стадий сопровождается одним и тем же набором предубеждений о кибербезе, ошибочных действий и откровенного противодействия различных структур компании, вне зависимости от типа бизнеса.
⠀
Антон расскажет какие аргументы использовать и какие действия предпринимать для того, чтобы максимально быстро и безболезненно эти стадии пройти. А кто подумал, что их придется пройти лишь один раз? Уже существующему подразделению безопасности постоянно приходится доказывать свою необходимость и возвращаться к этим этапам.
⠀
Встречаемся на Saint HighLoad++ 2023 🖐
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
Слив самого себя — лучшие практики от специалистов из АНБ.
Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского?
Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло.
Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно:
Ты сотрудник секретного отдела АНБ (APT Equation Group)
@@@
Пишешь экплойты и хак-инструменты для ведомства
@@@
Высокопрофессионален и умен
@@@
Но любишь поработать из дома
@@@
Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего
@@@
Но не хочешь тратить ЗП на легальный офис, качаешь с кряком!
@@@
Решаешь включить антивирь, проверить паленый офис
@@@
Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще?
@@@
Твои секретные разработки!
@@@
А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России!
Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN.
Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло.
Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.
Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского?
Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло.
Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно:
Ты сотрудник секретного отдела АНБ (APT Equation Group)
@@@
Пишешь экплойты и хак-инструменты для ведомства
@@@
Высокопрофессионален и умен
@@@
Но любишь поработать из дома
@@@
Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего
@@@
Но не хочешь тратить ЗП на легальный офис, качаешь с кряком!
@@@
Решаешь включить антивирь, проверить паленый офис
@@@
Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще?
@@@
Твои секретные разработки!
@@@
А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России!
Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN.
Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло.
Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
"Все уже взломано, до нас"
Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения.
Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов.
Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи.
Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.
Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения.
Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов.
Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи.
Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.
This media is not supported in your browser
VIEW IN TELEGRAM
PHDays подходит к концу
Что точно запомнилось всем? Это.
Пропустить открытие или первую лекцию из-за очереди? Легко!
Благо все записи будут в сети.
Что точно запомнилось всем? Это.
Пропустить открытие или первую лекцию из-за очереди? Легко!
Благо все записи будут в сети.
Пример шикарной шутки про очередь из комьюнити)
https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller
https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller
Авито
Место в очереди на phdays12 в Москве | Услуги | Авито
Место в очереди на phdays12 в Москве. Профессиональные услуги и сервисы на Авито. Место в очереди на phdays12 в первом десятке. Там где тонкие очереди переходят в толстую ;) Экономь свое время, не стой в очередях!