Мы начали читать лекции по ИБ
Внезапно для себя, мы тут начали читать небольшие лекции по кибербезопасности и вписались в одну очень годную программу подготовки CTO. Так что пару слов про то, что мы умеем.
Во-первых, самый частый запрос — это "кибербезопасность для топ-менеджмента". По-сути, это чистый self-security с нюансами, от выбора телефона до ведения профилей в соцсетях. Делаем под специфику конкретного заказчика, но общая идея понятна. Цель — дать топам компании понимание возможных угроз и средств защиты.
Второй запрос — это "как устроен современный рынок ИБ". Рассказываем, как правильно выбирать подрядчика и понять, что вам реально нужно, что можно проигнорировать и как распознать манипуляции и попытку продать вам нечто ненужное.
И третий запрос — это "ИБ для индустрии". Рассказываем про то, какие существуют угрозы в каждой конкретной отрасли, как от них защищаются на рынке, как оценить возможные потери и в каких случаях надо предпринимать какие-то действия. Цель — развитие собственных базовых компетенций в ИБ.
Мы не читаем "большие" курсы, так как считаем их откровенно излишними, и пока самым большим по времени был недавний 2-х часовой митап для техфаундеров. Но общая идея понятна — без развития компетенций у бизнеса, рынок не изменится. А мы хотим его изменить.
Внезапно для себя, мы тут начали читать небольшие лекции по кибербезопасности и вписались в одну очень годную программу подготовки CTO. Так что пару слов про то, что мы умеем.
Во-первых, самый частый запрос — это "кибербезопасность для топ-менеджмента". По-сути, это чистый self-security с нюансами, от выбора телефона до ведения профилей в соцсетях. Делаем под специфику конкретного заказчика, но общая идея понятна. Цель — дать топам компании понимание возможных угроз и средств защиты.
Второй запрос — это "как устроен современный рынок ИБ". Рассказываем, как правильно выбирать подрядчика и понять, что вам реально нужно, что можно проигнорировать и как распознать манипуляции и попытку продать вам нечто ненужное.
И третий запрос — это "ИБ для индустрии". Рассказываем про то, какие существуют угрозы в каждой конкретной отрасли, как от них защищаются на рынке, как оценить возможные потери и в каких случаях надо предпринимать какие-то действия. Цель — развитие собственных базовых компетенций в ИБ.
Мы не читаем "большие" курсы, так как считаем их откровенно излишними, и пока самым большим по времени был недавний 2-х часовой митап для техфаундеров. Но общая идея понятна — без развития компетенций у бизнеса, рынок не изменится. А мы хотим его изменить.
Директор по ИБ — почему сторонний CISO это круто и где подводные камни
Идея найма стороннего специалиста (не только по ИБ, любого) — она совершенно не новая. Суть простая — компания получает компетентного специалиста на part-time и экономит время. По большому счету, так работает весь современный консалтинг в котором, к слову, оба основателя "Третьей Стороны" успели поработать.
Главная проблема всех сторонних специалистов в том, что они обычно хуже погружены в бизнес, чем штатный сотрудник. Особенно если аутстаффер постоянно меняется — даже у самого грамотного эксперта уходит время на то, чтобы погрузиться в процесс. И зачастую все плюсы от найма на part-time теряются.
Сторонний CISO (директор по ИБ) — это человек, который с клиентом всегда. Который один раз погрузился в его инфраструктуру, который держит ее в уме, отвечает на вопросы и готов давать рекомендации. Причем в идеале он вообще не заинтересован продавать своему клиенту что-то сверх необходимого, потому что именно на этом строятся доверительные отношения.
Клиенту совсем не нужен чужой продажник за свой счет — ему нужно максимально простое и дешевое решение проблемы. Так что если вы нанимаете CISO, даже самого лучшего — смотрите на альтернативы того, что он предлагает. Спрашивайте его, почему эта услуга нужна и ее надо заказывать именно там, где он предлагает.
В конце концов, самое важное в таких отношениях — это доверие. Иначе проще и дешевле будет брать сотрудника в штат.
Идея найма стороннего специалиста (не только по ИБ, любого) — она совершенно не новая. Суть простая — компания получает компетентного специалиста на part-time и экономит время. По большому счету, так работает весь современный консалтинг в котором, к слову, оба основателя "Третьей Стороны" успели поработать.
Главная проблема всех сторонних специалистов в том, что они обычно хуже погружены в бизнес, чем штатный сотрудник. Особенно если аутстаффер постоянно меняется — даже у самого грамотного эксперта уходит время на то, чтобы погрузиться в процесс. И зачастую все плюсы от найма на part-time теряются.
Сторонний CISO (директор по ИБ) — это человек, который с клиентом всегда. Который один раз погрузился в его инфраструктуру, который держит ее в уме, отвечает на вопросы и готов давать рекомендации. Причем в идеале он вообще не заинтересован продавать своему клиенту что-то сверх необходимого, потому что именно на этом строятся доверительные отношения.
Клиенту совсем не нужен чужой продажник за свой счет — ему нужно максимально простое и дешевое решение проблемы. Так что если вы нанимаете CISO, даже самого лучшего — смотрите на альтернативы того, что он предлагает. Спрашивайте его, почему эта услуга нужна и ее надо заказывать именно там, где он предлагает.
В конце концов, самое важное в таких отношениях — это доверие. Иначе проще и дешевле будет брать сотрудника в штат.
Мексиканские наркокартели похищали инженеров, чтобы построить секретную систему связи
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи. И вообще, идея то звучит разумно — если у тебя есть вагон денег, тебе нужна связь и ты не можешь просто купить ее у подрядчика на рынке — укради этого подрядчика. Ну, или его сотрудников. Кстати, ни одного из них потом вроде как не нашли.
Но тут самое главное в другом. Кроме сетевых инженеров, Zetas похищали инженеров по ИБ, потому что сразу учитывали ИБ-риски при создании своей инфраструктуры. Опять же, они вряд-ли боялись правительства, скорее конкурентов. Любопытно, но даже наркокартели занимаются ИБ — в отличие от многих российских компаний!
Мы привыкли думать, что организованная преступность — это что-то тайное, это мафия с ее омертой и все такое прочее. Нет, все куда интереснее — если 10 лет назад они строили собственные вышки сотовой связи, то на что они способны сейчас? Недавно, кстати, была новость о том, как подводная "нарколодка" пересекла Атлантический океан, но это скорее забавное. Так что можем только порадоваться, что условные Zetas не занимаются киберкриминалом — а то про русских, украинских и северокорейских хакеров все бы давно уже забыли.
Де-факто, целыми районами Мексики управляют наркоторговцы. Ситуация не то, чтобы уникальная — в Ливане, например, схожая картина. И ситуация, когда наркокартель получает в свои руки относительно современные системы связи и вооружение не нова — снова смотрим на Ливан.
При этом все эти современные системы связи нужны Zetas или другим картелям не для того, чтобы скрывать свою деятельность от властей. Гораздо более страшным врагом для них являются другие картели — в отличие от мексиканского правительства, давно и плотно "забившего" на борьбу с наркотрафиком. Ну и отчасти связь должна защищать от внимания американцев. По-сути, складывается любопытная картина: один наркокартель похищает людей, чтобы выстроить сеть передатчиков, чтобы скрывать свою деятельность от других картелей. Такая вот конкуренция в sin industries в реальном времени.
Мы тут наткнулись на старую новость о том, как мексиканские наркокартели похитили несколько десятков инженеров для того, чтобы построить собственную систему сотовой связи. И вообще, идея то звучит разумно — если у тебя есть вагон денег, тебе нужна связь и ты не можешь просто купить ее у подрядчика на рынке — укради этого подрядчика. Ну, или его сотрудников. Кстати, ни одного из них потом вроде как не нашли.
Но тут самое главное в другом. Кроме сетевых инженеров, Zetas похищали инженеров по ИБ, потому что сразу учитывали ИБ-риски при создании своей инфраструктуры. Опять же, они вряд-ли боялись правительства, скорее конкурентов. Любопытно, но даже наркокартели занимаются ИБ — в отличие от многих российских компаний!
Мы привыкли думать, что организованная преступность — это что-то тайное, это мафия с ее омертой и все такое прочее. Нет, все куда интереснее — если 10 лет назад они строили собственные вышки сотовой связи, то на что они способны сейчас? Недавно, кстати, была новость о том, как подводная "нарколодка" пересекла Атлантический океан, но это скорее забавное. Так что можем только порадоваться, что условные Zetas не занимаются киберкриминалом — а то про русских, украинских и северокорейских хакеров все бы давно уже забыли.
Де-факто, целыми районами Мексики управляют наркоторговцы. Ситуация не то, чтобы уникальная — в Ливане, например, схожая картина. И ситуация, когда наркокартель получает в свои руки относительно современные системы связи и вооружение не нова — снова смотрим на Ливан.
При этом все эти современные системы связи нужны Zetas или другим картелям не для того, чтобы скрывать свою деятельность от властей. Гораздо более страшным врагом для них являются другие картели — в отличие от мексиканского правительства, давно и плотно "забившего" на борьбу с наркотрафиком. Ну и отчасти связь должна защищать от внимания американцев. По-сути, складывается любопытная картина: один наркокартель похищает людей, чтобы выстроить сеть передатчиков, чтобы скрывать свою деятельность от других картелей. Такая вот конкуренция в sin industries в реальном времени.
Социотехническое тестирование на проникновение — чем оно отличается от простого фишинга?
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.
Обоюдоострый меч пиара
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов Anonymous с помощью социальных сетей. А 5 февраля 2011 года в интервью Financial Times он и вовсе заявил, что фирма внедрилась в ряды хактивистов и может разоблачить большинство активных членов. Обещал он это выполнить на предстоящей конференции B-Sides, а после был готов дорого продать силовым структурам США и другим дорогим клиентам подробный отчёт по членам Anonymous.
На следующий день личные аккаунты Аарона, инфраструктура HBGary и инфраструктура её материнской компании HBGary Federal были взломаны хактивистами. Для специалистов отмечу, что использовались для взлома SQL-инъекции, радужные таблицы, повышение привилегий и социальная инженерия, сам киллчейн можно посмотреть тут.
Что именно пострадало?
— Сайт компании был дефейснут. И там стала красоваться надпись, что не стоит связываться с Anonymous, а эта акция – самозащита.
— Взломан сервер электронной почты, украдены и удалены более 68 тысяч писем и документов. Утечка задела не только саму компанию, но и их партнеров в сфере кибербезопасности, чьи материалы были обнаружены в письмах.
— Взломан и взят под контроль личный аккаунт Аарона Барра в Твиттере.
— Вайпнут его личный iPad.
— Устроен телефонный и факс DDoS, парализовавший работу компании мусорными звонками.
Среди обнародованных документов был и планируемый к продаже «отчет по Anonymous», в котором, по словам активистов, список подозреваемых был составлен практически бездоказательно и мог привести к арестам и слежке за множеством невинных людей.
Также были обнаружены планы по работе против WikiLeaks, предлагалось дискредитировать компанию с помощью подделки документов. Обнаружился и план по давлению на британского журналиста правозащитника Глена Гринвальда, поддерживающего WikiLeaks. К слову, именно он впоследствии будет помогать Эдварду Сноудену.
К чему это привело помимо хайпа? Торговая палата США открестилась от любых контрактов с фирмой, заявив, что правительство не платило им ни копейки. Аарон Барр объявил о своей отставке. Было запущено расследование о действиях компании и её партнеров (Palantir Technologies, Berico Technologies), но, судя по всему, оно заглохло до следующего скандала. Через год HBGary была поглощена на неизвестных, но, скорее всего, не очень комфортных для основателей условиях, ManTech International.
А атакующие? Часть группы, организовавшей взлом, подсела на «хайп» и превратилась в самых мемных хактивистов Lulzsec. Впрочем привлечение внимания к себе их в будущем и погубило. Обоюдоострый меч пиара поразил и тех и других.
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов Anonymous с помощью социальных сетей. А 5 февраля 2011 года в интервью Financial Times он и вовсе заявил, что фирма внедрилась в ряды хактивистов и может разоблачить большинство активных членов. Обещал он это выполнить на предстоящей конференции B-Sides, а после был готов дорого продать силовым структурам США и другим дорогим клиентам подробный отчёт по членам Anonymous.
На следующий день личные аккаунты Аарона, инфраструктура HBGary и инфраструктура её материнской компании HBGary Federal были взломаны хактивистами. Для специалистов отмечу, что использовались для взлома SQL-инъекции, радужные таблицы, повышение привилегий и социальная инженерия, сам киллчейн можно посмотреть тут.
Что именно пострадало?
— Сайт компании был дефейснут. И там стала красоваться надпись, что не стоит связываться с Anonymous, а эта акция – самозащита.
— Взломан сервер электронной почты, украдены и удалены более 68 тысяч писем и документов. Утечка задела не только саму компанию, но и их партнеров в сфере кибербезопасности, чьи материалы были обнаружены в письмах.
— Взломан и взят под контроль личный аккаунт Аарона Барра в Твиттере.
— Вайпнут его личный iPad.
— Устроен телефонный и факс DDoS, парализовавший работу компании мусорными звонками.
Среди обнародованных документов был и планируемый к продаже «отчет по Anonymous», в котором, по словам активистов, список подозреваемых был составлен практически бездоказательно и мог привести к арестам и слежке за множеством невинных людей.
Также были обнаружены планы по работе против WikiLeaks, предлагалось дискредитировать компанию с помощью подделки документов. Обнаружился и план по давлению на британского журналиста правозащитника Глена Гринвальда, поддерживающего WikiLeaks. К слову, именно он впоследствии будет помогать Эдварду Сноудену.
К чему это привело помимо хайпа? Торговая палата США открестилась от любых контрактов с фирмой, заявив, что правительство не платило им ни копейки. Аарон Барр объявил о своей отставке. Было запущено расследование о действиях компании и её партнеров (Palantir Technologies, Berico Technologies), но, судя по всему, оно заглохло до следующего скандала. Через год HBGary была поглощена на неизвестных, но, скорее всего, не очень комфортных для основателей условиях, ManTech International.
А атакующие? Часть группы, организовавшей взлом, подсела на «хайп» и превратилась в самых мемных хактивистов Lulzsec. Впрочем привлечение внимания к себе их в будущем и погубило. Обоюдоострый меч пиара поразил и тех и других.
YouTube
What was the HBGary hack?
In 2011 the online group Anonymous launched an attack on the company HBGary, a US security contractor. Within a short period of time they were able to gain access to HBGary’s servers. The company’s private emails and private user account data were published…
Кибербезопасность для топов
Вдогонку к предыдущему посту. У нас тут пару раз всерьез заходила дискуссия о том, как топ-менеджеру правильно выстраивать собственную безопасность в сети. И основных мнения (кроме традиционного "если захотят - все равно взломают") есть ровно два. Первое — "все надо знать и делать самому", второе — "пусть доверенный айтишник все решит". Правда посередине, а история выше — очень хорошая иллюстрация того, почему ИБ надо заниматься.
"Если захотят - взломают" — это такая очень сложная история. С одной стороны, действительно есть ультимативные истории вроде Пегаса, и они все еще не стали поводом массово переходить на кнопочные телефоны. С другой стороны, кроме спецслужб обычно есть и дураки, и недруги, и вот от них защититься вполне реально.
Вдогонку к предыдущему посту. У нас тут пару раз всерьез заходила дискуссия о том, как топ-менеджеру правильно выстраивать собственную безопасность в сети. И основных мнения (кроме традиционного "если захотят - все равно взломают") есть ровно два. Первое — "все надо знать и делать самому", второе — "пусть доверенный айтишник все решит". Правда посередине, а история выше — очень хорошая иллюстрация того, почему ИБ надо заниматься.
"Если захотят - взломают" — это такая очень сложная история. С одной стороны, действительно есть ультимативные истории вроде Пегаса, и они все еще не стали поводом массово переходить на кнопочные телефоны. С другой стороны, кроме спецслужб обычно есть и дураки, и недруги, и вот от них защититься вполне реально.
Telegram
3side кибербезопасности
Обоюдоострый меч пиара
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов…
Аарон Барр, генеральный директор HBGary, очень любил использовать громкие заявления для продажи услуг своей компании. Она — крупный подрядчик силовых структур США и особенно ФБР. Аарон утверждал, что смог деанонимизировать активистов…
Слепое расследование?
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.
Если по результатам расследования «признаков компрометации не обнаружено», то это стоит воспринимать буквально. Или все хорошо, или плохо искали.
С атакой на цепочку поставок через SolarWinds Министерство Юстиции США столкнулись одни из первых, аж в мае 2020 года, за полгода до того, как об этом стало известно публично. Проблема была в пилотном проекте ПО Orion, который начали использовать в госструктуре. Минюст при первых подозрениях на инцидент поступил ответственно и привлек для расследования уважаемых подрядчиков в лице Mandiant и Microsoft. Но по результатам правильно среагировать и разобраться в инциденте у них не вышло. Возможно, это был не самый важный для них заказчик с финансовой точки зрения, или выбор специалистов был ошибочным, точная причина провала обеих компаний неизвестна.
Далее Минюст обратился в сам SolarWinds, но и они по результатам аудита своего ПО не заметили уязвимостей в своем приложении и подтвердили безопасность. Перепроверяли ли они что-то на самом деле? Или может уточнили у Mandiant и Microsoft все ли там прошло хорошо? Неизвестно. Минюст поверил всем трем компаниям и приобрел Orion.
Далее об аномальной активности, связанной с этим софтом в SolarWinds, сообщила компания Volexity, обнаружено это было при расследовании утечки. А еще позднее в SolarWinds о подозрительной активности этого ПО сообщили из Palo Alto Networks. Но SolarWinds по-прежнему ничего не обнаружили, и неизвестно искали ли вообще. Их и даже после трех сообщений ничего не насторожило.
В результате столь «эффективных» расследований и аудитов была пропущена атака на цепочку поставок. А вылилась она в длительное нахождение злоумышленников во внутренних сетях более сотни крупных технологических компаний и около 10 правительственных организаций. Кстати, обвинили в этом хакеров из России, но внятных доказательств все еще не привели.
Мораль такая: зачастую плохое расследование вредит больше, чем отсутствие расследования вообще. По крайней мере, оно создает ощущение ложной защищенности. И для бизнеса очень важно четко понимать, где вообще заканчивается граница этой самой защищенности, что было исследовано, кем, и с каким результатом. К слову, мы именно по этой причине предлагаем очень детально перепроверять результаты работы.
ChatGPT потенциально уязвима — проблема в данных для обучения.
Как пишут исследователи, всего за 60 долларов США мы могли бы отравить 0,01% наборов данных LAION-400 или COYO-700 в 2022 году. Идея в следующем: ChatGPT и другие подобные AI-модели обучаются на нескольких огромных и обновляемых датасетах. Эти датасеты агрегируются из множества публичных источников, которые считаются "условно верифицированными". Проблема в том, что время от времени некоторые из этих URL становятся доступны для регистрации просто потому, что время их регистрации истекает. И злоумышленник, потратив достаточно времени и денег, может "захватить" некоторое количестве верифицированных доменов. И подменить их содержание.
Все это можно назвать "проблемой вредоносного обучения", когда искуственный интеллект изначально обучается на в лучшем случае некорректных, а в худшем случае — осознанно модифицированных данных. Валидация датасета, вероятно, не производится — при исходном объеме это достаточно затруднительно. Отчасти, добросовестных пользователей защищает тот факт, что исходные данные действительно огромные, и для того, чтобы всерьез повлиять на исходный датасет нужно очень много сил и времени.
Выглядит так, как будто продвижение "вредоносных вставок" становится отдельной и очень серьезной задачей — они не должны слишком сильно пересекаться или противоречить другим источникам. Плюс если у тебя "захвачено" несколько верифицированных доменов, ты можешь пробовать активнее продвигать свой код. И в итоге запрос типа "GPT подскажи как написать кусок кода вот этой библиотеки" уже будет давать пример с закладкой внутри.
Не очень понятно, на сколько проблема велика и реальна, но теоретическая возможность "заразить" исходные данные для работы есть, а при определенном упорстве вероятность того, что чат-бот с ИИ реально использует код с вредоносными вставками изрядно повышаются. Будем посмотреть, но уже сейчас очевидно, что уязвимости AI-генераторов со временем будут только проявляться.
Как пишут исследователи, всего за 60 долларов США мы могли бы отравить 0,01% наборов данных LAION-400 или COYO-700 в 2022 году. Идея в следующем: ChatGPT и другие подобные AI-модели обучаются на нескольких огромных и обновляемых датасетах. Эти датасеты агрегируются из множества публичных источников, которые считаются "условно верифицированными". Проблема в том, что время от времени некоторые из этих URL становятся доступны для регистрации просто потому, что время их регистрации истекает. И злоумышленник, потратив достаточно времени и денег, может "захватить" некоторое количестве верифицированных доменов. И подменить их содержание.
Все это можно назвать "проблемой вредоносного обучения", когда искуственный интеллект изначально обучается на в лучшем случае некорректных, а в худшем случае — осознанно модифицированных данных. Валидация датасета, вероятно, не производится — при исходном объеме это достаточно затруднительно. Отчасти, добросовестных пользователей защищает тот факт, что исходные данные действительно огромные, и для того, чтобы всерьез повлиять на исходный датасет нужно очень много сил и времени.
Выглядит так, как будто продвижение "вредоносных вставок" становится отдельной и очень серьезной задачей — они не должны слишком сильно пересекаться или противоречить другим источникам. Плюс если у тебя "захвачено" несколько верифицированных доменов, ты можешь пробовать активнее продвигать свой код. И в итоге запрос типа "GPT подскажи как написать кусок кода вот этой библиотеки" уже будет давать пример с закладкой внутри.
Не очень понятно, на сколько проблема велика и реальна, но теоретическая возможность "заразить" исходные данные для работы есть, а при определенном упорстве вероятность того, что чат-бот с ИИ реально использует код с вредоносными вставками изрядно повышаются. Будем посмотреть, но уже сейчас очевидно, что уязвимости AI-генераторов со временем будут только проявляться.
Как удостовериться в компетентности подрядчика по кибербезопасности
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!
Одна из самых больших проблем, с которой сталкиваются заказчики на рынке услуг в ИБ — это оценка адекватности и компетентности контрагента. Как правило, нужными компетенциями для оценки заказчик не обладает и обращается к тем, кому он доверяет.
Но бывает, что знакомых нет, рекомендаций нет, а работу сделать надо. Обычно, в таких ситуациях и обращаются к нам :) мы работаем только с конечными исполнителями, но на рынке есть:
- Компании со специализацией в кибербезопасности.
- Системные интеграторы.
- Эксперты-фрилансеры.
Вне зависимости от типа подрядчика, есть ряд универсальных советов, которые позволят убедиться в компетентности вашего подрядчика.
Во-первых, попробуйте получить информацию о конечном исполнителе. Зачем? Представьте: вам рассказали про огромный опыт в реализации подобных проектов, показали внушительный список партнеров и произвели прекрасное впечатление. Казалось бы, вот он идеальный подрядчик! Проблема в том, что, возможно, они описывали не себя, а своего субподрядчика, которому планируется отдать вашу работу.
Никто не гарантирует, что ваш проект и предыдущие их успешные проекты будет делать один и тот же человек. Возможно, он уже покинул компанию и стал фрилансером. И никто не гарантирует, что ваша работа не “уйдёт” субподрядчику, который рассчитывает на своего субподрядчика, и так далее. Такие цепочки на рынке ИБ бывают достаточно длинными, и зачастую вы не сможете узнать, кто сделал всю работу, а кто поменял заголовок в отчете. Именно определение конечного исполнителя работы и проверка его компетентности является важнейшим этапом выбора подрядчика, потому что иначе вы оцениваете продажника.
Во-вторых, определив конечного исполнителя, оцените его опыт. На рынке кибербезопасности мало новых и уникальных задач, так что смело запрашивайте историю аналогичных проектов. А если вам говорят, что подрядчик раньше не делал ничего подобного, то это повод задуматься: так ли он опытен, как говорит о себе?
Скорее всего, вам не назовут имена предыдущих заказчиков: в лучшем случае, вы услышите что-то вроде “заказчиком был банк из топ 30 банков России”. Это нормально. В качестве подтверждения опыта таких проектов обычно предоставляют краткое описание выполненных работ, но наилучшим вариантом будет подробный, но обезличенный отчёт. Он не только покажет компетенции специалиста, но и станет отличным примером того, что вы сами получите по итогам работ. А если ваш контрагент пытается “прикрыться” NDA и заявляет, что не может ничего показать и не имеет права даже обсуждать прошлые проекты? Ситуации бывают разные, но скорее всего этих проектов никогда не было.
В-третьих, стоит обратить внимание на достижения, сертификаты и регалии исполнителя.
Сейчас на рынке ИБ достаточно специалистов с сертификатами, и не все сертификаты котируются. Например, популярный Certified Ethical Hacker (CEH) может сдать любой студент с минимальной подготовкой. Учитывайте, что так называемый “certificate sharing” тоже весьма популярен. Это ситуация, когда уважаемые компании присылают сертификаты одного из своих специалистов, несмотря на то что работы делают совсем другие люди.
Конечно же, сертификаты — это плюс к авторитету исполнителя. Особенно если вы уверены, что они принадлежат именно тому человеку, который будет заниматься вашим проектом. Кроме сертификатов, важны и другие достижения специалиста. На что точно стоит обратить внимание:
- Членство в HOF (Hall of fame) крупных компаний за обнаруженные уязвимости
- Статистика выплаченных вознаграждений платформ Bug Bounty
- “Именные” CVE (уязвимости), обнаруженные Исполнителем
Все это открытые данные, которые исполнители с удовольствием о себе укажут, а главное: их легко проверить.
Последнее, о чем надо упомянуть — это личные рекомендации. Рынок услуг по кибербезопасности сравнительно мал, и “сарафанное радио” является отличным способом получить информацию. ИБ — это совершенно точно та сфера, где на рекомендации стоит обращать внимание.
Удачи в поисках подрядчиков!
Media is too big
VIEW IN TELEGRAM
И в продолжение — вот такое видео про механику работы площадки и нынешний рынок услуг в ИБ. Субподряды и "коты в мешке" — это реальная проблема, с которой мы стремимся бороться.
Встречаемся 19-20 мая на PHDays
Смело подходите ко мне в кулуарах буду рад познакомиться лично и пообщаться!
Антон Бочкарев
Смело подходите ко мне в кулуарах буду рад познакомиться лично и пообщаться!
Антон Бочкарев
Forwarded from Объявления конференции HighLoad++
⠀
📋 https://vk.cc/cmiIKn
⠀
Путь каждой компании к тому, чтобы наконец заняться кибербезопасностью - индивидуален. Но он всегда похож на 5 стадий принятия неизбежного “Отрицание”, “Гнев”, “Торг”, “Депрессия”, “Смирение”. Каждая из этих стадий сопровождается одним и тем же набором предубеждений о кибербезе, ошибочных действий и откровенного противодействия различных структур компании, вне зависимости от типа бизнеса.
⠀
Антон расскажет какие аргументы использовать и какие действия предпринимать для того, чтобы максимально быстро и безболезненно эти стадии пройти. А кто подумал, что их придется пройти лишь один раз? Уже существующему подразделению безопасности постоянно приходится доказывать свою необходимость и возвращаться к этим этапам.
⠀
Встречаемся на Saint HighLoad++ 2023 🖐
⠀
Please open Telegram to view this post
VIEW IN TELEGRAM
Слив самого себя — лучшие практики от специалистов из АНБ.
Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского?
Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло.
Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно:
Ты сотрудник секретного отдела АНБ (APT Equation Group)
@@@
Пишешь экплойты и хак-инструменты для ведомства
@@@
Высокопрофессионален и умен
@@@
Но любишь поработать из дома
@@@
Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего
@@@
Но не хочешь тратить ЗП на легальный офис, качаешь с кряком!
@@@
Решаешь включить антивирь, проверить паленый офис
@@@
Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще?
@@@
Твои секретные разработки!
@@@
А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России!
Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN.
Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло.
Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.
Помните шпионский скандал США 2014-2017г, в котором пытались найти "след" Лаборатории Касперского?
Речь шла о том, что якобы ЛК собирает секретные документы, но доказать умысел так и не вышло.
Многие что-то слышали, но так и не разобрались что случилось, а мы опишем, ведь одна глупая ошибка сотрудника АНБ к нему и привела. И это очень смешно:
Ты сотрудник секретного отдела АНБ (APT Equation Group)
@@@
Пишешь экплойты и хак-инструменты для ведомства
@@@
Высокопрофессионален и умен
@@@
Но любишь поработать из дома
@@@
Иногда выключаешь домашний антивирус Касперского, чтоб не спалил лишнего
@@@
Но не хочешь тратить ЗП на легальный офис, качаешь с кряком!
@@@
Решаешь включить антивирь, проверить паленый офис
@@@
Вирусы в кряке найдены, какая неожиданность, но какие вирусы найдены еще?
@@@
Твои секретные разработки!
@@@
А ты еще и не выключил облачную проверку KSN и 7zip архив с разработками и описывающими их секретными документами уже на серверах в России!
Далее Касперский отчитались, что секретные документы в момент обнаружения были удалены, т.к. это правило компании. А вот образцы вирусов остаются в базе и подверглись анализу, т.к это их законная собственность в соответствии с правилами облачной защиты KSN.
Как не раздували из этого шпиономанию, не вышло, добились лишь запрета на продукты Касперского в госструктурах США. Но и в этой ситуации такое бы не помогло.
Мораль во всей этой истории очень простая: человеческий фактор нанес больше вреда, чем русские (украинские, американские) хакеры вместе взятые.
pasteboard.co
Pasteboard - Uploaded Image
Simple and lightning fast image sharing. Upload clipboard images with Copy & Paste and image files with Drag & Drop
"Все уже взломано, до нас"
Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения.
Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов.
Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи.
Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.
Истории про "закладки", специфические прошивки и прочие "зараженные" устройства давно и плотно перешли из категории реальных угроз в категорию городских легенд. Ну, то есть топ-менеджерам и потенциально "угрожаемым" группам лиц о своей безопасности подумать стоит, но в целом проблемы покупки на рынке скомпрометированных девайсов обычно не стоит. Условный фишинг проще, понятнее и наносит на порядок больший ущерб, чем любые подобные манипуляции. Правда, есть исключения.
Тут недавно у ЛК всплыла великолепная история: из аппаратного кошелька потерпевшего украли около 30К долларов. Кошелек не был украден, подключен к стороннему устройству, и в теории вообще не был скомпрометирован с момента извлечения "из коробки", просто крипта в какой-то момент "исчезла". Исчезла с устройства которое просто лежало в сейфе. С учетом того, что аппаратные кошельки традиционно считаются самым безопасным способом хранения крипты, возникла масса вопросов.
Кошелек вскрыли и увидели так сказать картину 18+: устройство было вскрыто до момента продажи, а внутри был посаженный на клей и слепленный скотчем сторонний микроконтроллер. И вот тут знатно офигели уже все расследователи.
Справедливости ради, мы не знаем, где было куплено устройство, на каких условиях итд итп - без этого сложно оценить, на сколько угроза может быть массовой. Но что можем сказать наверняка: с рук аппаратные кошельки точно брать не стоит.
This media is not supported in your browser
VIEW IN TELEGRAM
PHDays подходит к концу
Что точно запомнилось всем? Это.
Пропустить открытие или первую лекцию из-за очереди? Легко!
Благо все записи будут в сети.
Что точно запомнилось всем? Это.
Пропустить открытие или первую лекцию из-за очереди? Легко!
Благо все записи будут в сети.
Пример шикарной шутки про очередь из комьюнити)
https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller
https://www.avito.ru/moskva/predlozheniya_uslug/mesto_v_ocheredi_na_phdays12_2952476588?utm_campaign=native&utm_medium=item_page_ios&utm_source=soc_sharing_seller
Авито
Место в очереди на phdays12 в Москве | Услуги | Авито
Место в очереди на phdays12 в Москве. Профессиональные услуги и сервисы на Авито. Место в очереди на phdays12 в первом десятке. Там где тонкие очереди переходят в толстую ;) Экономь свое время, не стой в очередях!
Все можно сломать — но ломали ли спутники?
Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей.
Теперь техническую возможность подтвердили сотрудники французского оборонного концерна Thales — они взломали испытательный орбитальный наноспутник. В общем, теперь классика из кино в стиле "дай нам картинку с взломанного спутника" уже не только часть серии фильмов о Джеймсе Бонде. И хотя работа проводилась на тестовом стенде на конференции в Париже, нет особых сомнений, что нечто подобное можно сделать на практике.
А еще есть две других больших проблемы. Первая — это средний возраст спутников на орбите. Массовые устройства можно обновить или в конце концов заменить, со спутниками ситуация сильно сложнее. Вторая — это общая новизна задачи. Вопрос безопасности софта для объектов на орбите не то, чтобы очень популярный и хорошо изученный.
Из плюсов — даже взломав спутник, сделать с ним что-то совсем ужасное довольно сложно. Да, в космосе есть ядерные реакторы, но нет оружия. Падение его на Землю тоже не выглядит ужасной перспективой. Но потеря данных, и конфиденциальных — вполне возможна.
Мы когда — то уже писали обо всей этой истории: 24 февраля 2022 используя слитые данные от VPN, неизвестными был получен доступ сначала к сети управления спутниковым интернетом ViaSat, и с помощью этой же уязвимости (или слитых учетных записей) к самим модемам конечных пользователей.
Теперь техническую возможность подтвердили сотрудники французского оборонного концерна Thales — они взломали испытательный орбитальный наноспутник. В общем, теперь классика из кино в стиле "дай нам картинку с взломанного спутника" уже не только часть серии фильмов о Джеймсе Бонде. И хотя работа проводилась на тестовом стенде на конференции в Париже, нет особых сомнений, что нечто подобное можно сделать на практике.
А еще есть две других больших проблемы. Первая — это средний возраст спутников на орбите. Массовые устройства можно обновить или в конце концов заменить, со спутниками ситуация сильно сложнее. Вторая — это общая новизна задачи. Вопрос безопасности софта для объектов на орбите не то, чтобы очень популярный и хорошо изученный.
Из плюсов — даже взломав спутник, сделать с ним что-то совсем ужасное довольно сложно. Да, в космосе есть ядерные реакторы, но нет оружия. Падение его на Землю тоже не выглядит ужасной перспективой. Но потеря данных, и конфиденциальных — вполне возможна.
Telegram
3side кибербезопасности
Взлом спутников 24 февраля
Тут в октябре вышла интереснейшая публикация одного из университетов США, о том, каким образом возможно была проведена атака на клиентов спутникового интернета ViaSat. Я попробую простым языком и без политики объяснить вам, что…
Тут в октябре вышла интереснейшая публикация одного из университетов США, о том, каким образом возможно была проведена атака на клиентов спутникового интернета ViaSat. Я попробую простым языком и без политики объяснить вам, что…
Простым языком про ИБ
Тут Антон записался в подкасте от чудесных ребят из команды "Серёжа и микрофон"(Их же подкаст БИГ НАМБРЗ). Вроде бы получилось достаточно интересно, просто и понятно. Мы вообще стараемся активно участвовать в такого рода движухах — это ведь не только про узнаваемость Антона и нашей компании, это еще и про популяризацию ИБ. А для нас это тоже важно.
https://vk.com/wall-189047791_582
Подкаст, к сожалению, эксклюзив для ВК, но это не помешало ему собрать 700К+ просмотров!
P.S.: а еще один из основателей 3side при просмотре с ностальгией вспоминал Илью Огурцова из "Реутов ТВ" ))
Тут Антон записался в подкасте от чудесных ребят из команды "Серёжа и микрофон"(Их же подкаст БИГ НАМБРЗ). Вроде бы получилось достаточно интересно, просто и понятно. Мы вообще стараемся активно участвовать в такого рода движухах — это ведь не только про узнаваемость Антона и нашей компании, это еще и про популяризацию ИБ. А для нас это тоже важно.
https://vk.com/wall-189047791_582
Подкаст, к сожалению, эксклюзив для ВК, но это не помешало ему собрать 700К+ просмотров!
P.S.: а еще один из основателей 3side при просмотре с ностальгией вспоминал Илью Огурцова из "Реутов ТВ" ))
VK
Серёжа и микрофон. Подкаст. Запись со стены.
Дополнительный выпуск этой недели с белым хакером Антоном Бочкаревым про безопасность в сети, истори... Смотрите полностью ВКонтакте.
В России критически не хватает специалистов по ИБ
Тут "Зарплата.ру" вместе со Skillfactory провели опрос — выяснилось, что практически каждый третий руководитель считает, что в 3 квартале 2023 года он будет нуждаться в специалистах по ИБ. В первую очередь — в мидлах и начальниках отделов (для малого бизнеса это по-факту квази-CISO). Всего в России не хватает порядка 30 тысяч ИБ-специалистов.
Тут, правда, есть один неприятный момент — такого количества кибербезопасников, особенно опытных, в России чисто физически нет, и в ближайшее время не появится. Рынок растет со скоростью 30-40% в год, при этом людей на рынке физически стало меньше, если не говорить о выпускниках курсов, а они без дополнительной подготовки практически бесполезны.
И вот при классическом подходе проблема решается года за 3-4, и это при том, что опытные специалисты не продолжат уезжать. А с учетом разницы в уровне зарплат между IT и ИБ и даже между российским и не-российским ИБ, с учетом наличия Эмиратов, Саудовской Аравии, крупных международных компаний ... если честно, у нас вообще есть ощущение, что ИБ-специалистов на рынке в ближайшие годы радикально больше не станет.
А будет происходить еще большее расслоение между крупным бизнесом, который заткнет проблему деньгами "потому что может" и МСБ, который традиционно будет пытаться влезть в очень ограниченный бюджет. В который влезть практически невозможно. И нам очень хочется написать что-то в духе "мы — единственный доступный для МСБ способ получить качественные услуги по ИБ за вменяемые деньги", но мы об этом и так много раз писали.
В общем, поглядим что будет на рынке, но пока есть ощущение, что проблема с людьми — она на годы.
Тут "Зарплата.ру" вместе со Skillfactory провели опрос — выяснилось, что практически каждый третий руководитель считает, что в 3 квартале 2023 года он будет нуждаться в специалистах по ИБ. В первую очередь — в мидлах и начальниках отделов (для малого бизнеса это по-факту квази-CISO). Всего в России не хватает порядка 30 тысяч ИБ-специалистов.
Тут, правда, есть один неприятный момент — такого количества кибербезопасников, особенно опытных, в России чисто физически нет, и в ближайшее время не появится. Рынок растет со скоростью 30-40% в год, при этом людей на рынке физически стало меньше, если не говорить о выпускниках курсов, а они без дополнительной подготовки практически бесполезны.
И вот при классическом подходе проблема решается года за 3-4, и это при том, что опытные специалисты не продолжат уезжать. А с учетом разницы в уровне зарплат между IT и ИБ и даже между российским и не-российским ИБ, с учетом наличия Эмиратов, Саудовской Аравии, крупных международных компаний ... если честно, у нас вообще есть ощущение, что ИБ-специалистов на рынке в ближайшие годы радикально больше не станет.
А будет происходить еще большее расслоение между крупным бизнесом, который заткнет проблему деньгами "потому что может" и МСБ, который традиционно будет пытаться влезть в очень ограниченный бюджет. В который влезть практически невозможно. И нам очень хочется написать что-то в духе "мы — единственный доступный для МСБ способ получить качественные услуги по ИБ за вменяемые деньги", но мы об этом и так много раз писали.
В общем, поглядим что будет на рынке, но пока есть ощущение, что проблема с людьми — она на годы.
Известия
ИБ не ведают: бизнесу не хватает специалистов по кибербезопасности
Треть российских компаний собираются искать сотрудника в этой сфере
К сожалению, всякое бывает. Не надо так делать.
Telegram
Information Security Memes
Взломали sk.ru (Сколково). Слили всё что можно, пошифровали всё что можно. Есть одно но... 🤷