У нас для вас две новости. И обе отличные!

Первая: открыт сбор докладов на SOC Forum 2024. Заявки принимаем с 30 июля до 12 сентября.

Вторая: мы улучшили личный кабинет. Больше не нужно ждать заветного письма из Хогвартса с одобрением доклада на почте — на сайте можно сделать все и сразу:

· подать заявку на один или несколько докладов;
· отследить статус заявки;
· узнать важные новости для спикеров.

Уже ждем ваши доклады!

Несмотря на то, что почти всю жизнь мой work/life баланс в плачевном состоянии (хочется выразить глубокую благодарность всем членам моей семьи за терпение), мне все-таки удавалось принимать участие в жизни собственных детей, а поскольку в этом у меня было несколько попыток, позвольте мне считать себя экспертом в детской психологии и воспитании.

Детский коллектив, из насколько бы гениальных детей он ни состоял, устроен так, что если найдется хотя бы один разгильдяй\безобразник, то весь коллектив непременно скатится до его уровня. В общем, если все серьезно занимаются, но найдется кто-то, кто балуется и не слушает, очень скоро все будут баловаться и не слушать. Вполне возможно, отсюда исходит традиция удалять из класса тех, кто нарушает рабочую обстановку. Один способен подорвать и полностью уничтожить работу всего класса...

Как ни прискорбно это отмечать, но рабочим коллективам, состоящим из уже взрослых людей, свойственна эта же, описанная мною применительно к детям, проблема. В статье, да и вообще, в любой литературе обычно пишут о том, как важно мотивировать лидеров, поддерживать и всячески культивировать их мотивацию. А где-то пишут, что их мотивация будет заряжать остальных и, даже если есть разгильдяи, они непременно включатся в работу, пойдут в гору. Да, такое бывает, но чаще - наоборот, так как идти вниз лидеру проще, чем идти в гору разгильдяю, а закоренелому разгильдяю пойти в гору не суждено никогда, и не надо тешить себя надеждами.

Чем дольше разгильдяй остается в периметре коллектива, тем больше его негативное влияние на всех. Банально, коллеги смотрят на то, как ему все сходит с рук и мотивация пропадает, может, даже и на подсознательном уровне. Ситуация, очевидно, ухудшается еще больше, когда разгильдяй завязан в какие-либо производственные процессы - как бы не напрягались исполнители на всех других этапах, весь процесс будет работать в темпе разгильдяя.

А что с этим делать? Да, то же, что и учитель в классе - удалять! Разгильдяев надо быстро распознавать и увольнять, пока их влияние не заразило остальных и не погубило всю команду. Если нам, менеджерам, взбередет в голову удерживать и сохранять разгильдяя, то мы будем терять истинно мотивированных коллег, которые не смогли изменить своим приципам и скатиться до уровня разгильдяев, которые не смогли начать работать "в привычном темпе", толочь в ступе воду, даже если это соответствует каким-либо "лучшим практикам". Задача менеджера - обеспечение комфортной рабочей среды, нацеленной на достижение результата, где лидеры будут мотивировать, а чтобы они их мотивационное влияние работало, не должно быть разгильдяев-демотиваторов!

#управление

В нашем с вами канале есть раздел #книги, поэтому уместно здесь рассказывать и о книгах про книги, тем более, что предмет данного поста - весьма неплохая подборка литературы по различным направлениям как организации производства и управления, так и самоорганизации и саморазвития.

Как изменить себя к лучшему. 99 книг Библиотеки Сбера представляет собой сборник коротких статей о, наверно, самых известных книжках в своих областях. Если нам с вами когда-либо захочется погрузиться в ту или иную область, и мы будем подбирать себе литературу, начать имеет смысл с выбора из этих 99.

Сразу скажу, что я их все не читал, а какие-то, типа Шваба или рассуждения о том "почему одни страны богатые, а другие бедные", я и вовсе не планирую читать, но есть и книжки, очень хорошие, о которых мы писали. Как из песни не выкинуть слов, так и из списка Сбера не выкинить книжки, такой уж он есть, этот Сбер...

Наверно, я что-нибудь нарушу, если поделюсь своей электронной версией книги, поскольку с удивлением заметил, что это издание продается (когда читал пару лет назад, искренне думал какой Сбер молодец, что сделал такую замечательную подборку общедоступной бесплатно!), но даже дилетант Google без труда сможет найти эту книгу самостоятельно.

А в этой заметке я приведу список книг, о которых можно почитать в этой "Библиотеке Сбера". Итак, поехали!

1. 7 навыков высокоэффективных людей. Мощные инструменты развития личности. Стивен Кови
2. От хорошего к великому. Почему одни компании совершают прорыв, а другие нет. Джим Коллинз
3. Жалоба – это подарок. Обратная связь с клиентом – инструмент маркетинговой стратегии. Джанелл Барлоу, Клаус Мёллер
4. Дао Toyota. 14 принципов менеджмента ведущей компании мира. Джеффри Лайкер
5. Искусство результативного управления. Ларри Боссиди, Рэм Чаран
6. Развитие лидеров. Как понять свой стиль управления и эффективно общаться с носителями иных стилей. Ицхак Адизес
7. Управление стрессом. Как найти дополнительные 10 часов в неделю. Дэвид Льюис
8. Когда гений терпит поражение. Взлет и падение компании Long-Term Capital Management. Роджер Ловенстайн
9. Догнать зайца. Как лидеры рынка выигрывают в конкурентной борьбе и как великие компании могут их настичь. Стивен Спир
10. 5S для офиса. Как организовать эффективное рабочее место. Томас Фабрицио, Дон Тэппинг
11. Черный лебедь. Под знаком непредсказуемости. Нассим Николас Талеб
12. Экономика впечатлений. Работа – это театр, а каждый бизнес – сцена. Б. Джозеф Пайн II, Джеймс Х. Гилмор
13. Эмоциональный интеллект. Почему он может значить больше, чем IQ. Дэниел Гоулман
14. Бережливое производство + шесть сигм в сфере услуг. Майкл Джордж
15. Менеджмент. Природа и структура организаций глазами гуру. Генри Минцберг
16. Любовь, любовь, любовь. О разных способах улучшения отношений, о приятии других и себя. Лиз Бурбо
17. Не стать заложником. Сохранить самообладание и убедить оппонента. Джордж Колризер
18. Викиномика. Как массовое сотрудничество изменяет все. Дон Тапскотт, Энтони Д. Уильямс
19. После меня – продолжение… Акин Онгор
20. Рефрейминг организации. Компания как фабрика, семья, джунгли и храм. Ли Болмэн, Терренс Дил
21. Управление результативностью. Система оценки результатов в действии. Майкл Армстронг, Анжела Бэрон
22. Цель. Процесс непрерывного совершенствования. Элияху Голдратт, Джефф Кокс
23. Краудсорсинг. Коллективный разум – будущее бизнеса. Джефф Хау
24. Wiki-правительство. Как технологии могут сделать власть лучше, демократию – сильнее, а граждан – влиятельнее. Бет Симон Новек
25. Переговоры. Полный курс. Гэвин Кеннеди
26. Результативность. Секреты эффективного поведения. Робин Стюарт-Котце
27. Танец перемен. Новые проблемы самообучающихся организаций. Питер Сенге, Ричард Росс, Смит Брайан, Джордж Рот, Арт Клейнер, Шарлотта Робертс
28. Сингапур. Восьмое чудо света. Юрий Сигов
29. Теряя невинность. Как я построил бизнес, делая все по-своему и получая удовольствие от жизни. Ричард Брэнсон
30. Критическая цепь. Элияху Голдратт
31. Deadline. Роман об управлении проектами. Том ДеМарко

32. Новая цель. Как объединить бережливое производство, шесть сигм и теорию ограничений. Джефф Кокс, Ди Джейкоб, Сьюзан Бергланд
33. Гении и аутсайдеры. Почему одним все, а другим ничего? Малкольм Гладуэлл
34. Управление бизнес-процессами. Практическое руководство по успешной реализации проектов. Джон Джестон, Йохан Нелис
35. Как гибнут великие. И почему некоторые компании никогда не сдаются. Джим Коллинз
36. Командный подход. Создание высокоэффективной организации. Джон Катценбах, Дуглас Смит
37. Поток. Психология оптимального переживания. Михай Чиксентмихайи
38. Богатство семьи. Как сохранить в семье человеческий, интеллектуальный и финансовый капиталы. Джеймс Хьюз-мл.
39. Лидер без титула. Современная притча об истинном успехе в жизни и бизнесе. Робин Шарма
40. Победить с помощью инноваций. Практическое руководство по изменению и обновлению организации. Майкл Ташмен, Чарльз О’Райли III
41. Мегапроекты. История недостроев, перерасходов и прочих рисков строительства. Бент Фливбьорг, Нильс Брузелиус, Вернер Ротенгаттер
42. Больше, чем эффективность. Как самые успешные компании сохраняют лидерство на рынке. Скотт Келлер, Колин Прайс
43. Умение слушать. Ключевой навык менеджера. Бернард Феррари
44. Жизнь на полной мощности. Управление энергией – ключ к высокой эффективности, здоровью и счастью. Джим Лоэр, Тони Шварц
45. Сила воли. Как развить и укрепить. Келли Макгонигал
46. Великие по собственному выбору. Джим Коллинз, Мортен Хансен
47. На этот раз все будет иначе. Восемь столетий финансового безрассудства. Кармен М. Рейнхарт, Кеннет С. Рогофф
48. Искусство системного мышления. Необходимые знания о системах и творческом подходе к решению проблем. Джозеф О’Коннор, Иан Макдермотт
49. Банк 3.0. Почему сегодня банк – это не то, куда вы ходите, а то, что вы делаете. Бретт Кинг
50. Ускорение перемен. Джон П. Коттер
51. Почему одни страны богатые, а другие бедные. Происхождение власти, процветания и нищеты. Дарон Аджемоглу, Джеймс А. Робинсон
52. Будущее разума. Митио Каку
53. Как работает Google. Эрик Шмидт, Джонатан Розенберг
54. Принцип пирамиды Минто. Золотые правила мышления, делового письма и устных выступлений. Барбара Минто
55. Практическая мудрость. Правильный путь к правильным поступкам. Барри Шварц, Кеннет Шарп
56. Креативная компания. Как управлять командой творческих людей. Эд Кэтмелл, Эми Уоллес
57. Прыгни выше головы! 20 привычек, от которых нужно отказаться, чтобы покорить вершину успеха. Маршалл Голдсмит
58. Просто о больших данных. Джудит Гурвиц, Алан Ньюджент, Ферн Халпер, Марсия Кауфман
59. Кратко. Ясно. Просто. Алан Сигел, Айрин Этцкорн
60. Scrum. Революционный метод управления проектами. Джефф Сазерленд
61. Взаимодействие в команде. Как организации учатся, создают инновации и конкурируют в экономике знаний. Эми Эдмондсон
62. Эффективное правительство для нового века. Реформирование государственного управления в современном мире. Раби Абучакра, Мишель Хури
63. Четвертая промышленная революция. Клаус Шваб
64. Умные граждане – умное государство. Экспертные технологии и будущее государственного управления. Бет Симон Новек
65. Открывая организации будущего. Фредерик Лалу
66. Позитивная организация. Освобождение от стереотипов, принуждения, консерватизма. Роберт Куинн
67. Выбирать сильнейших. Как лидеру принимать решения о людях. Клаудио Фернандес-Араос
68. Сердце компании. Почему организационное здоровье определяет успех в бизнесе. Патрик Ленсиони
69. Блокчейн. Схема новой экономики. Мелани Свон
70. Университет третьего поколения. Управление университетом в переходный период. Йохан Г. Виссема
71. Huawei. Лидерство, корпоративная культура, открытость. Тянь Тао, Давид де Кремер, У Чуньбо
72. Ищи в себе. Неожиданный путь к достижению успеха, счастья и мира во всем мире. Тан Чад-Мень
73. Отношение определяет результат. Дов Сайдман
74. Синдром «шахты». Как преодолеть разобщенность в жизни и обществе. Джиллиан Тетт
75. Бережливые инновации. Как делать лучше меньшим. Нави Раджу, Джайдип Прабху
76. Просто об Agile. Марк Лейтон, Стивен Остермиллер
77. Введение в критическое мышление и теорию креативности. Джо Лау

78. Семь этюдов по физике. Карло Ровелли
79. Лидер и племя. Пять уровней корпоративной культуры. Дэйв Логан, Джон Кинг, Хэли Фишер-Райт
80. Технологии Четвертой промышленной революции. Клаус Шваб
81. Мои годы в General Motors. Альфред Слоун
82. Конец традиционной власти. Армия и церковь, корпорация и государство: что изменилось в управлении ими. Мойзес Наим
83. Действуй как лидер, думай как лидер. Эрминия Ибарра
84. Эмоциональная гибкость лидера. Как soft-навыки позволяют достигать высоких результатов. Керри Флеминг
85. Принципы. Жизнь и работа. Рэй Далио
86. Проект «Феникс». Роман о том, как DevOps меняет бизнес к лучшему. Джин Ким, Кевин Бер, Джордж Спаффорд
87. Банковский менеджмент, ориентированный на доход. Измерение доходности и риска в банковском бизнесе. Хеннер Ширенбек, Михаэль Листер, Штефан Кирмсе
88. Талант побеждает. О новом подходе в реализации HR-потенциала. Рэм Чаран, Доминик Бартон, Деннис Кэри
89. 21 урок для XXI века. Юваль Ной Харари
90. Как сохранить здравый ум. Филиппа Перри
91. Agile. Майк Кон
92. Платформа. Практическое применение революционной бизнес-модели. Алекс Моазед, Николас Джонсон
93. Цифровая трансформация Китая. Опыт преобразования инфраструктуры национальной экономики. Ма Хуатэн, Мэн Чжаоли, Ян Дели, Ван Хуалей
94. Цифровая трансформация бизнеса. Питер Вайл, Стефани Ворнер
95. Как жаль, что мои родители об этом не знали (и как повезло моим детям, что теперь об этом знаю я). Филиппа Перри
96. Безграничный разум. Учиться, учить и жить без ограничений. Джо Боулер
97. Сила в спокойствии. Достижение гармонии с помощью трансцендентальной медитации. Боб Рот
98. Кибербезопасность: правила игры. Как руководители и сотрудники влияют на культуру безопасности в компании. Эллисон Сэрра
99. От носорога к единорогу. Как провести компанию через трансформацию в цифровую эпоху и избежать смертельных ловушек. Виктор Орловский, Владимир Коровкин

#саморазвитие

Контроли ИБ - это инструменты CISO для управления рисками ИБ. Рисками можно управлять по-разному - можно принять и ничего не делать, можно и застраховаться, но наиболее частый сценарий - снижение ущерба, тут мы и используем контроли (security controls, наиболее полный, на мой взгляд, каталог контролей NIST SP 800-53)
Котролей можно придумать великое множество - это и какие-то специализированные средства, типа EPP-EDR, какие-то внутренние бизнес-процессы, типа контроля доступа и т.п. Все делать самому невозможно и, наверно, неразумно (аутсорсинг - критерий зрелости рынка предложений), поэтому проведя анализ CISO совместно с Бизнесом и ИТ принимают решение что делать самим, а что купить в виде услуги. Любое предложение MSSP - это такой же контоль безопасности, как межсетевой экран или сканер уязвимостей.

Для любого контроля безопасности принципиально понимать логичную последовательность: сначала возникает проблема\риск, а затем их влияние минимизируются контролями. Покупать контроли впрок - дело неблагодарное, так как при отсутствии потребности нет возможности понять критерии успеха контроля, без чего невозможно оценить эффективность и результативность контроля, не говоря уже о каких-либо производных, типа ROI. Итак, сначала потребность, затем - контроль, а не наоборот. Я согласен с тем, что надо объяснять необходимость тех или иных контролей, но это уходит в плоскость маркетинга\рекламы и образовательных программ, для меня же, работающего в R&D и отвечающего за delivery, мир устроен именно так: если CISO не видит потребность в контроле, значит у него нет проблемы, которую контроль адресует, а значит ему контроль не нужен. Ну а доказывать необходимость контроля тоже может оказаться невежеством, поскольку я не на месте CISO и не располагаю достаточной информацией: может, для него весь риск, который адресуется контролем - нематериален, может, CISO внедрил множество других превентивных (и риски, адресуемые предлагаемыми мною контролями, не реализуются или не принесут ущерба) или компенсирующих контролей, а может, посмотрев на историю с Crowdstrike, CISO решил, что ущерб от выхода из стороя СЗИ в его случае значительно превышает потенциальный ущерб взлома.

С учетом сказанного, вопросы типа зачем мне MDR если у меня есть EPP, меня ставят в тупик: если есть ощущение, что EPP закрывает все сценарии атак и чего-то большего не требуется - это, вполне себе, позиция. Но на всякий случай я обычно рекомендую провести пентест и посмотреть сколько времени потребуется аудиторам для обхода EPP...

#vCISO #пятница

Дорогие мои подписчики!

Уже буквально через несколько часов поезд Москва-Мурманск увезет меня до станции Апатиты 1, откуда начнется мой поход - сплав по реке Умба. Нас 12 человек, мы идем на 3-х каяках, двух катах-двушках и одном кате-четверке. Не ожидаю, что во время путешествия будет связь, поэтому писать не смогу, но:
- постараюсь вести небольшой дневник, которым, если там будет что-то интересное, обязательно поделюсь
- запишу тренировки Рафтинг, поэтому, кто следит за мной в Strava, маршрут сможет отследить там

Пока делюсь с вами видео, где товарищ идет практически тем же маршрутом, а в комментарии к этой заметке приложу одно из описаний маршрута от других туристов.

#здоровье

Для тех, кто не любит смотреть видео, предпочитает читать статьи, по мотивам этого доклада вышла статья на Хабре:

https://habr.com/p/833260/

#mdr #phd2

Сегодня в поезде Мурманск - Москва, изучал интересный подход к обеспечению ИБ - Automated Moving Target Defense (AMTD).

Традиционно, мы превентивно управляем угрозами путем сокращения поверхности потенциальной атаки: выключаем все лишние службы и блокируем все ненужные сетевые взаимодействия, следуя принципу минимума полномочий, управляем уязвимостями, реализуем эшелонированный подход, чтобы атакующему требовалось как можно больше шагов/времени до получения кочей от королевства... Но можно делать и кое-что ещё: можно динамически менять поверхности атаки, чтобы компрометируемая система менялась быстрее, чем атакующий может найти, спланировать и реализовать сценарий компрометации. Первое попавшееся более-менее полное описание привожу.

Идея кажется не новой, поскольку ASLR существует с начала 2000-х , однако широкого распространения, как части EPP/XDR, подход пока не получил (ну или я что-то не знаю, напишите в комментариях), хотя коллеги по индустрии на этом бодро хайпуют, рассказывая о давно уже неновых технологиях, и даже не особо релевантных, типа Adaptive Protection, что может создать у читателя немного некорректное мнение о AMTD.

Самые эффективные механизмы защиты - встроенные, навесные работают несравненно хуже и нередко расширяют поверхность атаки (хотя, любой новый функционал расширяет поверхность атаки). Я уже рассуждал о нативной поддержке эшелонированности и принципа минимума полномочий в контейнерных средах, вот и сейчас задумался о том что динамическая природа контейнеров прекрасно сочетается с AMTD.

#mdr

В 1861 году в Карлсруэ Дмитрий Иванович Менделеев презентовал свой Периодический закон, который всем известен в своем представлении в виде Таблицы Менделеева. Таблица - отличный инструмент систематизации информации, позволяющий увидеть ситуацию всю и сразу, "сверху", с "высоты птичьего полета". В итоге мы получили возможность предсказывать отсутствующие на момент ее составления химические элементы, что мы и наблюдали упражняясь, например, с радиактивными веществами, получая новые химические элементы и находя для них пустующую клеточку в Таблице Д.И. Менделеева.

Таблички также любил и Эдгар Кодд, предложивший в 1985 году правила, послужившие основой для реляционных баз данных, где главный элемент представления данных - таблица. В таблицах реляционных БД можно более-менее оптимально (без дублирования) хранить связанные данные.

Где-то в 2013 свою таблицу ATT&CK предложила MTRE, и она тоже всем понравилась, за счет все тех же возможностей по систематизации всего сразу в одном месте: ранее разрозненные знания были собраны в одно представление, этим стало удобно пользоваться.

Сейчас, когда атаки с использованием генеративных ИИ на подъеме назрела необходимость их систематизации. И вот, на мой взгляд, неплохая попытка это сделать - Generative AI Misuse: A Taxonomy of Tactics and Insights from Real-World Data.
Не могу профессионально судить (машобуч и ИИ для меня, скорее, увлечение) насколько качественно авторы проработали вопрос, но, как минимум, почитать, потыкать ссылки на реальные примеры, очень даже небесполезно. В перспективе, думаю, будет еще много подобных попыток систематизации, пока какие-нибудь MITRE или NIST не сделают самый правильный вариант.

#ml

Есть такая старая атака, когда провоцируется аутентефикация учетной записи с мощными полномочиями на скомпрометированном ресурсе, и таким образом перехватывается аутентификационный материал. Такой сценарий я использовал для машинки Querier на HTB, когда запускал xp_dirtree на свой респондер и перехватывал Net-NTLMv2 от сервисной учетной записи SQL Server. В одной из лабораторок курса Security operations and threat hunting, мы также перехватывали Net-NTLMv2, а затем хантили этот сценарий.

Похожая схема - когда злоумышленник компрометирует рабочую станцию пользователя или сервер и провоцирует подключение к ней админа, например, для какого-либо обслуживания. В начале 2000-х, когда я работал в заказчике на одном из пентестов был именно этот сценарий: подломили сервер, запустили там WCE и ждали, когда придет админ починить (а чтобы он пришел быстрее - опускали и поднимали продуктивные службы). Пришел аж админ домена...

Противостоять таким сценариям пытаются "широкими" ограничениям, типа, заводятся учетки с правами "Админ на серверах", "Админ на пользовательских АРМ" и т.п. Но такая схема тоже так себе, поскольку мне, будучи админом на своем АРМ совсем несложно стать админом на всех пользовательских АРМ, просто пригласив ко мне хелпдеск. Ну и, конечно же, это может быть выполнено и без моего ведома, если моя рабочая станция подломана.

Что же с этим делать? Решение здесь, вроде, простое, но не очень удобное: ходить на систему с полномочиями только на эту систему. Т.е., чтобы при входе на подломанную систему не происходило расширение полномочий. Технически это может быть сделано через вход с помощью специального локального адамина со сменой его пароля после каждой сессии, или через динамическое назначение полномочий непосредственно при входе. Модные PAM это все умеют.

Ну а тогда, в начале 2000-х, получив такой сценарий повышения через вход админа на подломанный пользовательский десктоп, мы написали небольшую систему, которая постоянно ходила по десктопам и меняла пароли локальных админов, а при необходимости подключения, авторизованный индивид заходил на Web-страничку, указывал имя десктопа и получал текущий пароль локального админа, от которого он далее мог производить свои работы по обслуживанию. Позднее, MS выпустила свой LAPS и необходимость в нашей небольшой самописке отпала.

А как ваши админы и хелпдеск подключаются к системам, чтобы их поадминистрировать?

#vCISO

Профессиональная этика

Истинный профессионал всегда этичен в работе, а этичность действий вообще - один из весомых критериев профессионализма. Именно поэтому изучающие боевые искусства изучают и этические моменты, типа как не применять свои умения против неравного противника, а в объеме знаний CISSP целый домен посвящен именно этике. Профессиональный offensive-эксперт, этичный хакер, тоже должен быть этичен, и грань эта проходит как раз там, где одновременно и достигаются цели анализа защищенности, и минимизируется побочка для клиента. Для понимания, вот лишь несколько примеров:
- этичный хакер работает в рамках согласованного объема работ, не ломает системы за рамками,
- не дампит весь домен, а не более того, что требуется для дальнейшего развития атаки в частности, и достижения целей анализа вообще
- получив высокие полномочия не шарится по персональным файлам пользователей, не читает их почту, соцсети
- не заливает шеллы без паролей (тем более, доступные из Интернета), а после окончания работ все внимательнейшим образом вычищает (отчасти для этого все действия должны документироваться), работы аудиторов не должны приводить к расширению поверхности атаки
- строго следует правилам игры, например, если мы играем в Red teaming и аудитора поймали за руку и уточняют детали, он не врет
- и многое-многое другое...

Отсутствие этики в действиях равносильно отсутсвию профессионализма.

В истории есть масса примеров, когда много шума и бесчеловечность скрывали отсутствие базы.
Например, в XIII веке, быстрое продвижение монголо-татарских завоевателей объяснялось отчасти как раз не тем, что они выдающиеся воины, а тем, что русские доселе не видели такой жестокости и пребывали в некотором шоке. Именно поэтому небезызвестный Евпатий Коловрат с "малою дружиною" профессиональных военных вполне себе эффективно и результативно крошил во много раз превосходящие силы врага. Как известно, монголы так ничего и не смогли сделать с неболшим войском Евпатия, в итоге их закидали камнями из катапульт и осадных орудий, с которыми монголы успели к тому времени ознакомиться в Китае.

Как видите, чрезмерная жестокость, и неэтичность в общем случае идут рука об руку с непрофессионализмом.
А профессионал, напротив, как правило, поступает этично.

#управление #история

Инструменты рансомварщиков - https://github.com/BushidoUK/Ransomware-Tool-Matrix/blob/main/Tools/AllTools.csv

Мне репозиторий показался полезным, как минимум, для того, что он содержит список инструментов, использование которых полезно в телеметрии размечать, а если они не используются в сети легально, то это вполне себе хороший индикатор.

Что сразу бросилось в глаза:
- очень немного LOLbins-ов, подавляющее большинство - специализированные инструменты, использование которых нечасто встречается в рамках ИТ-сопровождения, тем более, в ходе работы обычного пользователя
- самые длинные столбики у RMM, Credential Theft и Discovery. Credential Theft - надо просто все блокировать с алертом на попытку использования, даже более-менее легальные procdump и nirsoft на офисных компах смотрятся крайне подозрительно. Если же требуется какое-либо использование утилит из списка, надо четко определить их список и регламент использования: кто, когда, при каких условиях. Аналогично с легализованными в компании RMM, остальные - блокировать, а попытки использования отстреливать алертами. Про Discovery много писал, но здесь помогут канарейки, трогание которых создает алерты, ну или смотреть комбинации, как правило, атакующий дискаверит более активно, чем ИТ траблшутит, да и скоуп, обычно, разный. Но ради справедливости стоит отметить, что, без хорошего situational awareness обнаруживать Discovery с допустимым уровнем фолсы непросто.

Если будут еще какие-либо интересные наблюдения по репозиторию, пишите в комментариях. Много и лишних знаний не бывает!

#MDR

Мы стараемся регулярно делать упражнения, а, может, даже и заниматься спортом, чтобы сохранять физическую форму. Для меня это еще и способ отдохнуть (мы отдыхаем переключаясь на совсем другие занятия), так как любые физические нагрузки - отличная альтернатива моей сидячей работе... но об этом как-нибудь в другой раз..
Обнаруживать и расследовать атаки, а также отрабатывать взаимодействие разных команд при реагировании на инциденты тоже надо тренировать! Continuous red teaming или что-то вроде "непрерывного анализа защищенности" - отличный инструмент для этого. Но, как любой другой отличный инструмент, при неправильном использовании несет новые риски. В частности, внутренний анализ защищенности может интерферировать с реальной атакой, и это негативно влияет на расследование атаки. Для минимизации рисков внутренние анализы защищенности надо немного подрегулировать - порассуждал об этом в новой замете и предложил некоторые пункты в Регламент проведения внутренних анализов защищенности. Как обычно, обратная связь приветствуется в комментариях!

#MDR #vCISO

Социалочка на сообщения

Последнее время сильно повысилась интенсивность разводов, когда звонят:
– товарищи майоры с просьбой помочь в расследовании,
– сотрудники операторов связи с просьбой продлить договор,
– сотрудники [центро]банка с информацией, что со счетов воруют деньги
– ...
Часто цель – вынудить перевести деньги злоумышленникам, или получить доступ куда-то, обычно, в онлайн-банк, или в Госуслуги. Как правило, такие операции защищаются вторым фактором, поэтому злоумышленник просит сообщить ему код из SMS. При этом, факт того, что злоумышленник знает, что сейчас должно прийти сообщение, сам по себе является немаловажным фактором убедительности просьбы злоумышленника и легитимизации всей ситуации. Не смотря на многообразие объяснений и обоснований мошенника, финальная фраза просьбы обычно звучит примерно так: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста».

Казалось бы для защиты от подобных сценариев развода достаточно выработать простое правило: «Никогда никому не сообщайте свои коды из SMS», что, в целом, выглядело бы логично, так как SMS – это наш одноразовый пароль, а понимать то, что сообщать пароли никому не надо, мы уже давно, вроде бы, научились.

Но, к сожалению, полно легальных ситуаций, когда нам придется сообщать пароль из SMS. Вот лишь несколько. При списании баллов лояльности сотрудник АЗС просит назвать код из SMS. Некоторое время назад в отделении Сбербанка я оформлял ипотеку, и там мне снова приходили сообщения и сотрудник банка спрашивала у меня коды из SMS, причем это повторялось несколько раз, с разными работниками банка. И ребята на заправке, и ребята в банке использовали уже известную нам фразу: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста». Триггерясь на фразу, перешагивая через собственные опасения, я сообщал эти коды сотрудникам. Разница только в том, что на момент операции я лично видел сотрудника перед собой. Но, во-первых, не велика проблема, так как я не исключаю возможность существования схем развода, когда кто-то представится сотрудником\работником и попросит назвать код из SMS, да хоть даже и в отделении Сбербанка (они огромные, там куча людей, а сотрудники ходят с планшетами, почему бы кому-то не подойти с планшетом и, представившись сотрудником, не спросить код из SMS?)..., а, во-вторых, у меня был опыт ипотечной сделки, когда я покупал квартиру в Кисловодске, физически находясь в Москве, и в этом случае, увидеть физически сотрудника кисловодского отделения Сбера у меня не было возможности. А с учетом современного развития машинного обучения, даже увидев кого-то по телесвязи, не стоит доверять, что это реальный персонаж, а не продукт нейросети.

В общем, каких-то однозначных способов отличия легитимной просьбы «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста» от мошеннической, найти не так-то просто, что и создает почву для роста числа и результативности таких атак.
Что можно предложить:
– Анализировать ситуацию, точно понимать необходимость и точно понимать последствия сообщения SMS. Не будет ничего зазорного, если вы уточните зачем код из SMS и оцените фактическую адекватность объяснения и то, как это было сказано
– Всегда внимательно читайте само SMS. Коды подтверждения входа никогда не надо никому сообщать и фраза «никому не сообщайте этот код» явно присутствует в сообщении. Для тех же кодов, которые надо сообщать сотруднику, обычно, явно указано в SMS «сообщите сотруднику». Если кто-то из уважаемых поставщиков еще не ввел в свои сообщения такую элементарную защиту, указав, нужно ли код кому-то сообщать, то пожалуйста, реализуйте!

Если есть еще идеи как отличить легальную просьбу сообщить код из SMS от нелегальной, пишите в комментариях. Всем хороших выходных!

#socialengineering #финансы #пятница

На понравившимся мне AM Live про защиту от ВПО ребята подняли вопрос о процессно-методологической организации чего-либо. Действительно, не так много хороших докладов о практике построения процессов, о методологии, причем не в общих словах обо всем, и не о процессе построения процесса - таких, как раз, хватает, а именно конкретики, которую можно взять и с незначительными модификация попробовать применить у себя. Конференции пестрят докладами как кто-то успешно что-то заломал или что-то отреверсил - все это, безусловно, очень интересно, но зачастую очень узко и, как следствие, полезность для большинства слушателей (представителей корпоративной ИБ или работников поставщиков услуг), к сожалению, невелика. Я не раз подчеркивал значимость систематических исследований в сравнении с ad-hoc, пусть даже и достаточно глубокими, как раз за счет наличия обширной процессной составляющей. Цель процесса - давать предсказуемый результат с заданным качеством, что приципиально, поскольку любой процесс не висит в воздухе - выход из него является входом в другой процесс, который едва ли сможет стабильно хорошо работать, если ему на вход передается что-то непредсказуемое...

В общем, вот мы и договорились до доклада, который был бы интересен мне.
Докладчик: организатор\менеджер\работник, вовлеченный в организацию работы\процесс, в составе какого-либо предприятия, успешность которого может быть несложно проверена. Ну, например, если говорить о SOC, то это может быть руководитель или методолог успешного коммерческого или внутреннего SOC
Доклад: рассказ о каком-либо процессе SOC, его конкретной, с описанием конкретных проблем и решений, его конкретных метрик качества и каким образом технически они измеряются. Применительно к SOC, например, это мог бы быть доклад про контроль качества работы аналитиков, о работе над ошибками, или об оценке загрузки команды, или о работе по разработке правил обнаружения, в общем, любой процесс, но из которого можно было бы взять конкретные вещи и внедрить у себя.

Ну а в продолжении темы, затронутой Теймуром, про Detection Engineering, у меня есть что сказать в следующей заметке....

#vCISO #управление #MDR

Про методологические аспекты процессов вокруг Detection Engineering-а есть вот такая книжка 2023 года - Practical Threat Detection Engineering, Megan Roddie, Jason Deyalsingh, Gary J. Katz.

К ее минусам я бы отнес то, что она начинается "от печки": что такое MITRE ATT&CK, Пирамида боли, типы кибератак (причем, не самая удачная классификация), есть разделы про разворачивание ELK и т.п. Но это, одновременно, и плюс, так как может вполне эффективно восприниматься широким кругом читателей, а те, для кого все эти понятия не новы - могут смело пролистывать большую часть книги.

Но, вместе с тем, важные методологические моменты там вполне прилично освещены, типа, как приоритезировать разработку детектирующей логики, как поддерживать качество (здесь я впервые встретил понятие "Detection drift", которе ранее встречал в основном, применительно к машинному обучению), приведены кое-какие метрики качества, которые действительно полезно контролировать на практике.

В общем, для новичков книжка обеспечит достаточное погружение в тему, далее можно уже самому "читать Википедию", а для матерых может быть как раз тем недостающим систематизатором\методологом, позволяющим упорядочить имеющиеся познания и придать академической уверенности в действиях, которые ранее базировались исключительно на разрешении практических потребностей

Книжка несложно находится в выдаче любого поисковика, поэтому, не думаю, что привнесу в наш дивный новый мир много дополнительной энтропии, если просто выложу ее...

#книги #MDR