В новой статье рассуждал о стратегии и проактивности - о том, что заработать (или сэкономить) в моменте недальновидно.

Любопытно, что более 10 лет назад я писал о недальновидности в управлении ИБ, но сейчас уже все чаще пишу про управление персоналом. Это неслучайно, как историю творят люди, так и успех корпораций формируют конкретные работники

#управление

Для всех, кто в отрасли ИБ и ИТ известно слово "импортозамещение"! Но есть одно, что импортозаместить не получится - это английский язык.

На то много причин, как минимум:
- инфраструктурные технологии - сетевые протоколы, операционные системы (включая отечественные), средства виртуализации, языки программирования и среды разработки и пр. - разработаны, поддерживаются и развиваются англоязычным обществом, а, следовательно, вся документация на английском
- внешние и внутренние (даже внутри нашего многонационального подразделения официальный язык - английский) коммуникации надо вести на английском

Поэтому я никогда не видел проблемы в отсутствии профессиональных курсов для ИТ- и ИБ-специалистов на русском языке (а те, что я видел были ужасны), мы все равно использовали бы американизмы типа "айпишник" или "хеш-функция". В общем, надо страдать не из-за отсутствия курсов на русском, а из-за незнания английского. Ну а какие-то личные находки при изучении языков я описал здесь.

Видимо, у ЛК примерно такая же логика, поэтому все курсы, даже те, что читаются русскоязычными парнями, вроде меня, - на английском языке.

Но мы подготовили для них русское описание.

Вы спросите зачем? Да, английский нужен ИТ-шнику, но, вполне возможно, лицу, принимающему решение чему учиться ИТ-шнику, можно обойтись и только знанием русского. Теперь же ЛПР может ознакомиться с тем, что читает ЛК, и по-русски, ну а обучаемый ИТ-шник, уверен, не испытает больших сложностей, проходя курс по-английски.

#kaspersky #саморазвитие

Утром в рабочем режиме читал статью "STUBborn: Activate and call DCOM objects without proxy" и все-таки решил ее здесь прикопать. Во-первых, там много полезного для DFIR, во-вторых, статья содержит массу ссылок на дополнительные материалы по теме COM и DCOM

#MDR

26 ноября я буду в гостях у Клавдия в замечательной Беларуси, на A1 Tech day, рассказывать об ожиданиях Бизнеса от CISO и как последнему их оправдать.

Вспомню своё прошлое - корпоративного менеджера по ИБ и Заказчика решений, подмешаю свое настоящее - исполнителя требований ИБ со стороны операционки, разработки, консалтинга и Поставщика решений. Постараюсь, чтобы было интересно!

Будете на мероприятии, найдём возможность обсудить то, что вас волнует!

Все правильно пишет Саша о том, что политика США никак не меняется от смены президента. И демократов и республиканцев спонсируют одни и те же олигархи, учредители ФРС, и если президент (наемный управляющий) решит заниматься самодеятельностью, его постигнет участь JFK.

Однако, балканизация рынка, его замыкание на конкретном регионе, несет массу проблем (о чем я еще подготовлю более развернутый анализ), как минимум:
- повышение стоимости для потребителя - на широком рынке лучше работает economy of scale
- снижение качества - вместо множества производителей со всего мира на локальном рынке мы будем иметь только ограниченное количество отечественных игроков - это снижает конкуренцию, а, следовательно, и качество

Все то же мы уже наблюдаем в нашем автопроме, когда Лада стоит дороже Тойоты, а объяснения, приводимые отечественными производителями (вот сессия про NGFW с теми же вопросами, как и про Ладу Весту: почему так плохо и так дорого) ровно такие же, как и у АвтоВАЗ-а.

#мир

Елена Съянова. Десятка из колоды Гитлера

Исторические события формируют их участники, поэтому, изучая биографии не последних людей своего времени, их мировоззрение, можно лучше понять произошедшее, а так как описываемые события были относительно недавно, несложно провести параллели с современностью.

Мне, например, было любопытно узнать, что из ближайшего окружения Гитлера не все закончили Нюрнбергским процессом, что пережившим далее предложили работу консультантами в американских спецслужбах, как людям, имеющим опыт войны с русскими на их территории - в этом усмотрел оправдание их деятельности во времена Третьего рейха.

Но история всегда повторяется. Несмотря на то, что с точки зрения любого законодательства НСД - преступление, в условиях балканизации все чаще просматривается концепция "правильного НСД" и "неправильного НСД", своего рода, оправдания кибертерроризма...

Почти 8 лет назад я уже писал об кибероружии массового поражения, пришло время проанализировать тему кибертерроризма - печальная тенденденция налицо.

#книги #история #мир

28 ноября я планирую быть у друзей в BI.zone на митапе про SOC-и с докладом.

Будет возможность, приходите, пообщаемся!

Все 7 способов дампа памяти LSASS в одном инструменте. Очень удобно, в том числе и для исследований
https://github.com/Offensive-Panda/ShadowDumper

#MDR

В прошлой жизни, ЕМНИП году в 2003-2005, для контроля неавторизованных изменений у меня был скрипт, который по расписанию по LDAP дампил весь домен AD в реляционную базу. Далее я сравнивал текущий дамп с предыдущими и находил различия, можно было отслеживать динамику. В основном я фокусировался на членстве в группах, находя таким образом предоставления доступа, которые не были согласованы с Безопасностью. Сейчас, конечно, есть еще масса других, более интересных, атрибутов объектов LDAP, которые имеет смысл отслеживать, в том числе и для обнаружения атак.

Мой друг и коллега, Саша Родченко из нашей команды Detection Engineering разработал инструмент и выложил его в общий доступ. Enjoy!

#MDR

В новой статье КПЭ операционного аналитика продолжу делиться опытом процессной организации SOC.

Надеюсь, каждый сможет найти в статье почву для идей к реализации в своих операционных подразделениях. Традиционно, вопросы и предложения приветствуются в комментариях.

#vCISO #MDR

В заметке я уже коснулся темы кибертерроризма, но не пояснил что я имею в виду.

В новой статье я поделился своим отношением к кибератакам на объекты гражданской инфраструктуры и пониманием хактивизма, порассуждал о том, что если мы себя называем людьми (хотя, в литературе можно встретить мысль о том, что человек - самое жестокое животное в отношении к себе подобным), нам следует оставаться людьми и в случае конфликтов создавать и соблюдать правила, минимизирующие ущерб, в том числе и киберпространстве.

#мир

Maintenance и Freezing

Я для себя четко различаю maintenace и freezing применительно к функционалу или компоненту информационной системы, однако, при общении с командами разработки заметил, что встречается несколько иное видение. Пользуясь преимуществом автора этого блога, поделюсь своим мнением.

Любой функционал создается для решения определенной задачи (ни что не делается бесцельно). И этот функционал должен сохранять эффективность и результативность, одним словом, адекватность, поставленной перед ним изначальной задачи на протяжении всего своего жизненного цикла. Ни что не стоит на месте - и задача меняется во времени, и наше понимание проблемы со временем тоже углубляется, - поэтому функционал во времени должен изменяться, чтобы сохранять свою адекватность решаемой задаче в объеме нашего современного понимания проблематики. Вот это я считаю maintenance - поддержка, сопровождение решения с точки зрения потребителя.

Понятно, что топор за время претерпел множество изменений, как раз для сохранения адекватности поставленным перед ним задачам в условиях совершенствования нашего понимания этих задач: он перестал быть каменным, а топорище больше не крепится веревкой. Понятно, что для таких радикальных изменений, исследования топора (== анализ адекватности его конструкции поставленным задачам в современных условиях) не приостанавливались, как и связанные с его производством конструкторская и технологическая работы, поэтому наш современный топор не каменный, выглядит современно и не утратил свою адекватность поставленным задачам.

Однако, в девелоперских конторах под maintenace могут понимать то, что функционал поддерживается исключительно инфраструктурно: работает, не падает, а если в нем находят баги, их исправляют. При подобном подходе мы бы до сих пор пользовались каменным топором. В моем понимании - это Freezing, а не Maintenance, тем более, что эта инфраструктурная работа не несет прямой ценности для потребителя. Я уже писал о том, что успешные компании должны мыслить с позиции потребителя, да и все книжки про Agile, и прочие прогрессивные методы, пишут что нужно постоянно обеспечивать конвейер доставки ценности, ценности для потребителя. Однако, все еще встречается логика с позиции инженера-разработчика.

В целом, я прекрасно понимаю инженерную позицию. Например, за 10+ лет работы в прошлой жизни у меня накопилось такое количество хвостов и хвостиков, которые нуждались, пусть даже в незначительном, но внимании, что меня уже не хватало ни на что, и я помирал под придавившим меня бесконечным operations, тогда как позиция уже давно была менеджерская и работать надо было не с железками, а с людьми.... Но это совсем уже другая история, а пока давайте всегда думать о нашей работе с позиции потребителя, никогда не называть заморозку сопровождением, а в сопровождение закладывать сохранение адекватности изначально поставленной задаче и современных методов и технологий.

#dev #управление #пятница

Много уже написано о двояком применении LLM: с одной стороны пользу невозможно переоценить, а с другой стороны уже сейчас попадаются вредоносные рассылки, созданные LLM. В таких условиях очень важна возможность как-то уметь распознавать LLM-созданный текст.

И вот, по-моему, первая публикация на тему водяных знаков в LLM-генеренном тексте.

Если кратко, то идея следующая: LLM выбирает между токенами, частично основываясь на криптографическом ключе. Тогда некто, знающий ключ, может этот факт обнаружить.

Сложности здесь, наверно, можно выделить две:
- какое количество текста требуется для работы механизма,
- насколько устойчив получившийся водяной знак к редактированию после генерации текста.

Реализация Google выглядит довольно бодро: водяной знак обнаруживается уже в тексте размером в 200 токенов.

Идея с вотермаркированием LLM-созданных текстов выглядит перспективно - подтверждение авторства важно для безопасности.

#ml

Помню несколько лет назад, около 2016, и даже раньше, много было разговоров о законности ответного взлома атакующих (hack-back), или "активной защиты".

И вот сейчас, в эпоху ИИ, мы снова возвращаемся к подходу, но уже LLM ломает ломающую нас LLM.

Ребята из George Mason University разработали систему, распознающую LLM-driven атаку и атакующую в обратную через prompt injection. Систему авторы назвали Mantis, она поднимается как хонипот-приманка. Ребята тестировали свое изделие на GPT-4 и GPT-4-o и утверждают 95%-ную эффективность.

Upon detecting an automated cyberattack, Mantis plants carefully crafted inputs into system responses, leading the attacker’s LLM to disrupt their own operations (passive defense) or even compromise the attacker’s machine (active defense).

Валить инфраструктуру атакующих не стоит, но обнаруживать LLM-driven атаки точно надо, что, очевидно, можно с помощью тех же подходов.

Лендинг исследования

PDF

Проект Mantis

#ml

На днях общался с одним белорусским изданием.

Какие основные мысли я хотел донести.

1. Ранее я уже писал о том, что люди определяют работу бизнес-процессов компаний, и поэтому людей будут атаковать. В этом интервью я снова коснулся вопроса защиты корпоративных устройств за пределами корпоративного сетевого периметра, или, не дай Бог, домашних устройств, обрабатывающих корпоративную информацию. Этим действительно надо заниматься, - инциденты, когда корпоративные сети атакуют через домашние ПК, или корпоративные ПК в домашних сетях, - не редки на практике.

2. Были вопросы про эффективность антивирусов, однако, в печатную версию нашего общения попало далеко не все. В целом, я не сказал ничего нового, относительно этого своего общения с CyberMedia.

3. Были вопросы про мошенничество. В целом, надо всегда помнить одно: сколько бы мы об этом не говорили, и как бы мы к этому не готовились, насколько адекватными мы бы себя не считали, - никогда нельзя исключать возможность быть пойманным, поэтому исчерпывающий список назвать невозможно, но про некоторые схемы я проводил вебинар, его можно посмотреть здесь .

#vCISO #управление

Некоторое время назад мы касались темы автомобильной безопасности, и, судя по комментариям, она вызвала большой интерес.

Но время не стоит на месте и наши современные автомобили все больше напоминают гибридную компьютерную сеть, а в обращение входит термин Software-Defined Vehicles (SDV).

Вот на глаза попался, скорее академический (но на первый взгляд я не заметил в нем гипербол) труд коллег по безопасности SDV (PDF). Тем, кто сочиняет модели нарушителей для современных автомобилей, а также придумывает контроли безопасности, работа может быть полезна в качестве справочника.

#vCISO #automotive

В рамках подготовки к выступлению вспомнились два, не лишенных изъянов, но, в целом, не самых плохих документа от Gartner.

1. The CISO’s Guide to Your First 100 Days (доступен во вложении). Здесь все хорошо с методологической точки (теоретической) зрения, но есть сложности с практической реализуемостью в обозначенные в документе сроки. Абсолютно правильно, что надо выбрать какую-то конкретную область и по ней показать "quick win". Дока может быть полезна для новых CISO в качестве плана на ближайшее время: за 100 дней описанное там для крупного предприятия сделать невозможно, но можно выбрать что-то, как из меню + можно сузить объем анализа, например, начать с критических бизнес-процессов, или с наиболее вероятных векторов атак. Также, нужно быть готовым к тому что понять зрелость за 4 недели не получится и надо будет выискивать компромиссы, да и сама методика оценки "зрелости" в доке тоже не приводится (в общем, проблем немало 😕 ).

2. Презентация Treat Cybersecurity as a Business Investment for Better Outcomes. В ней правильно утверждается, что CISO, будучи экспертом, должен давать Бизнесу опции, из которых последний будет выбирать что для него допустимо, исходя из остаточного риска (кстати, о допустимом ущербе я немного рассуждал здесь), - сложно спорить с этой очевидностью, однако, не стоит ожидать, что Бизнес всегда способен объективно оценить какой остаточный риск для него действительно допустим, тем более, если этот риск выражен не в деньгах, а для CISO оценка рисков не исключает допущений и предположений (в общем, здесь тоже все нездорово)

#vCISO #управление

Работа SOC напрямую зависит от работы аналитиков. Усталость, утомленность аналитиков негативно влияет на результат, ребята ошибаются.

Организация сменной работы - самый эффективный инструмент снижения влияния физической усталости аналитиков на работу всего подразделения, поэтому переоценить важность этого вопроса невозможно.

За время работы нашего SOC с 2016 мы прошли долгий путь (часть его я прошел еще в прошлой жизни, поэтому в 2016 мы стартовали не с самых ужасных графиков), а в 2023 году, на SOC Forum, мой коллега и друг, Альберт Гонебный, сделал замечательный доклад о том, как нам удалось выработать сменный график, как нам кажется, наиболее комфортный для команды - "От ночных недосыпов к work-life balance, или как организовать комфортный график дежурств для аналитиков"

Слайды доступны во вложении.
Ссылка на видео.

#MDR #управление