В прошлой жизни, ЕМНИП году в 2003-2005, для контроля неавторизованных изменений у меня был скрипт, который по расписанию по LDAP дампил весь домен AD в реляционную базу. Далее я сравнивал текущий дамп с предыдущими и находил различия, можно было отслеживать динамику. В основном я фокусировался на членстве в группах, находя таким образом предоставления доступа, которые не были согласованы с Безопасностью. Сейчас, конечно, есть еще масса других, более интересных, атрибутов объектов LDAP, которые имеет смысл отслеживать, в том числе и для обнаружения атак.
Мой друг и коллега, Саша Родченко из нашей команды Detection Engineering разработал инструмент и выложил его в общий доступ. Enjoy!
#MDR
Мой друг и коллега, Саша Родченко из нашей команды Detection Engineering разработал инструмент и выложил его в общий доступ. Enjoy!
#MDR
Telegram
purple shift
В прошлом посте мы рассказали, как детектировать атаки на основе компрометации групповых политик (GPO). А теперь о том, как обеспечить проактивный мониторинг групповых политик в SOC.
Во-первых, не всегда попадаются хосты с включенным расширенным аудитом…
Во-первых, не всегда попадаются хосты с включенным расширенным аудитом…
🔥7❤1
В новой статье КПЭ операционного аналитика продолжу делиться опытом процессной организации SOC.
Надеюсь, каждый сможет найти в статье почву для идей к реализации в своих операционных подразделениях. Традиционно, вопросы и предложения приветствуются в комментариях.
#vCISO #MDR
Надеюсь, каждый сможет найти в статье почву для идей к реализации в своих операционных подразделениях. Традиционно, вопросы и предложения приветствуются в комментариях.
#vCISO #MDR
Дзен | Статьи
КПЭ операционного аналитика
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Работа операционной команды по части обработки алертов, как правило, хорошо логгируется, что позволяет вычислять различные метрики, на
🔥6🙏1
В заметке я уже коснулся темы кибертерроризма, но не пояснил что я имею в виду.
В новой статье я поделился своим отношением к кибератакам на объекты гражданской инфраструктуры и пониманием хактивизма, порассуждал о том, что если мы себя называем людьми(хотя, в литературе можно встретить мысль о том, что человек - самое жестокое животное в отношении к себе подобным) , нам следует оставаться людьми и в случае конфликтов создавать и соблюдать правила, минимизирующие ущерб, в том числе и киберпространстве.
#мир
В новой статье я поделился своим отношением к кибератакам на объекты гражданской инфраструктуры и пониманием хактивизма, порассуждал о том, что если мы себя называем людьми
#мир
Дзен | Статьи
Кибертерроризм
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: По плодам их узнаете их Мф.7:16 Война - это ужасно. Погибают люди, уничтожаются результаты их труда.
🔥10👍1
Maintenance и Freezing
Я для себя четко различаю maintenace и freezing применительно к функционалу или компоненту информационной системы, однако, при общении с командами разработки заметил, что встречается несколько иное видение. Пользуясь преимуществом автора этого блога, поделюсь своим мнением.
Любой функционал создается для решения определенной задачи (ни что не делается бесцельно). И этот функционал должен сохранять эффективность и результативность, одним словом, адекватность, поставленной перед ним изначальной задачи на протяжении всего своего жизненного цикла. Ни что не стоит на месте - и задача меняется во времени, и наше понимание проблемы со временем тоже углубляется, - поэтому функционал во времени должен изменяться, чтобы сохранять свою адекватность решаемой задаче в объеме нашего современного понимания проблематики. Вот это я считаю maintenance - поддержка, сопровождение решения с точки зрения потребителя.
Понятно, что топор за время претерпел множество изменений, как раз для сохранения адекватности поставленным перед ним задачам в условиях совершенствования нашего понимания этих задач: он перестал быть каменным, а топорище больше не крепится веревкой. Понятно, что для таких радикальных изменений, исследования топора (== анализ адекватности его конструкции поставленным задачам в современных условиях) не приостанавливались, как и связанные с его производством конструкторская и технологическая работы, поэтому наш современный топор не каменный, выглядит современно и не утратил свою адекватность поставленным задачам.
Однако, в девелоперских конторах под maintenace могут понимать то, что функционал поддерживается исключительно инфраструктурно: работает, не падает, а если в нем находят баги, их исправляют. При подобном подходе мы бы до сих пор пользовались каменным топором. В моем понимании - это Freezing, а не Maintenance, тем более, что эта инфраструктурная работа не несет прямой ценности для потребителя. Я уже писал о том, что успешные компании должны мыслить с позиции потребителя, да и все книжки про Agile, и прочие прогрессивные методы, пишут что нужно постоянно обеспечивать конвейер доставки ценности, ценности для потребителя. Однако, все еще встречается логика с позиции инженера-разработчика.
В целом, я прекрасно понимаю инженерную позицию. Например, за 10+ лет работы в прошлой жизни у меня накопилось такое количество хвостов и хвостиков, которые нуждались, пусть даже в незначительном, но внимании, что меня уже не хватало ни на что, и я помирал под придавившим меня бесконечным operations, тогда как позиция уже давно была менеджерская и работать надо было не с железками, а с людьми.... Но это совсем уже другая история, а пока давайте всегда думать о нашей работе с позиции потребителя, никогда не называть заморозку сопровождением, а в сопровождение закладывать сохранение адекватности изначально поставленной задаче и современных методов и технологий.
#dev #управление #пятница
Я для себя четко различаю maintenace и freezing применительно к функционалу или компоненту информационной системы, однако, при общении с командами разработки заметил, что встречается несколько иное видение. Пользуясь преимуществом автора этого блога, поделюсь своим мнением.
Любой функционал создается для решения определенной задачи (ни что не делается бесцельно). И этот функционал должен сохранять эффективность и результативность, одним словом, адекватность, поставленной перед ним изначальной задачи на протяжении всего своего жизненного цикла. Ни что не стоит на месте - и задача меняется во времени, и наше понимание проблемы со временем тоже углубляется, - поэтому функционал во времени должен изменяться, чтобы сохранять свою адекватность решаемой задаче в объеме нашего современного понимания проблематики. Вот это я считаю maintenance - поддержка, сопровождение решения с точки зрения потребителя.
Понятно, что топор за время претерпел множество изменений, как раз для сохранения адекватности поставленным перед ним задачам в условиях совершенствования нашего понимания этих задач: он перестал быть каменным, а топорище больше не крепится веревкой. Понятно, что для таких радикальных изменений, исследования топора (== анализ адекватности его конструкции поставленным задачам в современных условиях) не приостанавливались, как и связанные с его производством конструкторская и технологическая работы, поэтому наш современный топор не каменный, выглядит современно и не утратил свою адекватность поставленным задачам.
Однако, в девелоперских конторах под maintenace могут понимать то, что функционал поддерживается исключительно инфраструктурно: работает, не падает, а если в нем находят баги, их исправляют. При подобном подходе мы бы до сих пор пользовались каменным топором. В моем понимании - это Freezing, а не Maintenance, тем более, что эта инфраструктурная работа не несет прямой ценности для потребителя. Я уже писал о том, что успешные компании должны мыслить с позиции потребителя, да и все книжки про Agile, и прочие прогрессивные методы, пишут что нужно постоянно обеспечивать конвейер доставки ценности, ценности для потребителя. Однако, все еще встречается логика с позиции инженера-разработчика.
В целом, я прекрасно понимаю инженерную позицию. Например, за 10+ лет работы в прошлой жизни у меня накопилось такое количество хвостов и хвостиков, которые нуждались, пусть даже в незначительном, но внимании, что меня уже не хватало ни на что, и я помирал под придавившим меня бесконечным operations, тогда как позиция уже давно была менеджерская и работать надо было не с железками, а с людьми.... Но это совсем уже другая история, а пока давайте всегда думать о нашей работе с позиции потребителя, никогда не называть заморозку сопровождением, а в сопровождение закладывать сохранение адекватности изначально поставленной задаче и современных методов и технологий.
#dev #управление #пятница
Telegram
Солдатов в Телеграм
Интерфейс пользователя должен быть удобным! Но как это измерить?
То, что дизайнеры в прошлом художники (или творческие люди в общем случае), как бы, выглядит логично, но не более чем то, что продуктовые стратеги - разработчики.
Лично для меня "интерфейс…
То, что дизайнеры в прошлом художники (или творческие люди в общем случае), как бы, выглядит логично, но не более чем то, что продуктовые стратеги - разработчики.
Лично для меня "интерфейс…
🔥7🤣2❤1
Много уже написано о двояком применении LLM: с одной стороны пользу невозможно переоценить, а с другой стороны уже сейчас попадаются вредоносные рассылки, созданные LLM. В таких условиях очень важна возможность как-то уметь распознавать LLM-созданный текст.
И вот, по-моему,первая публикация на тему водяных знаков в LLM-генеренном тексте.
Если кратко, то идея следующая: LLM выбирает между токенами, частично основываясь на криптографическом ключе. Тогда некто, знающий ключ, может этот факт обнаружить.
Сложности здесь, наверно, можно выделить две:
- какое количество текста требуется для работы механизма,
- насколько устойчив получившийся водяной знак к редактированию после генерации текста.
Реализация Google выглядит довольно бодро: водяной знак обнаруживается уже в тексте размером в 200 токенов.
Идея с вотермаркированием LLM-созданных текстов выглядит перспективно - подтверждение авторства важно для безопасности.
#ml
И вот, по-моему,
Если кратко, то идея следующая: LLM выбирает между токенами, частично основываясь на криптографическом ключе. Тогда некто, знающий ключ, может этот факт обнаружить.
Сложности здесь, наверно, можно выделить две:
- какое количество текста требуется для работы механизма,
- насколько устойчив получившийся водяной знак к редактированию после генерации текста.
Реализация Google выглядит довольно бодро: водяной знак обнаруживается уже в тексте размером в 200 токенов.
Идея с вотермаркированием LLM-созданных текстов выглядит перспективно - подтверждение авторства важно для безопасности.
#ml
Nature
Scalable watermarking for identifying large language model outputs
Nature - A scheme for watermarking the text generated by large language models shows high text quality preservation and detection accuracy and low latency, and is feasible in large-scale-production...
🔥6👍1
Помню несколько лет назад, около 2016, и даже раньше, много было разговоров о законности ответного взлома атакующих (hack-back), или "активной защиты".
И вот сейчас, в эпоху ИИ, мы снова возвращаемся к подходу, но уже LLM ломает ломающую нас LLM.
Ребята из George Mason University разработали систему, распознающую LLM-driven атаку и атакующую в обратную через prompt injection. Систему авторы назвали Mantis, она поднимается как хонипот-приманка. Ребята тестировали свое изделие на GPT-4 и GPT-4-o и утверждают 95%-ную эффективность.
Валить инфраструктуру атакующих не стоит, но обнаруживать LLM-driven атаки точно надо, что, очевидно, можно с помощью тех же подходов.
Лендинг исследования
PDF
Проект Mantis
#ml
И вот сейчас, в эпоху ИИ, мы снова возвращаемся к подходу, но уже LLM ломает ломающую нас LLM.
Ребята из George Mason University разработали систему, распознающую LLM-driven атаку и атакующую в обратную через prompt injection. Систему авторы назвали Mantis, она поднимается как хонипот-приманка. Ребята тестировали свое изделие на GPT-4 и GPT-4-o и утверждают 95%-ную эффективность.
Upon detecting an automated cyberattack, Mantis plants carefully crafted inputs into system responses, leading the attacker’s LLM to disrupt their own operations (passive defense) or even compromise the attacker’s machine (active defense).
Валить инфраструктуру атакующих не стоит, но обнаруживать LLM-driven атаки точно надо, что, очевидно, можно с помощью тех же подходов.
Лендинг исследования
Проект Mantis
#ml
🔥8👍2
На днях общался с одним белорусским изданием.
Какие основные мысли я хотел донести.
1. Ранее я уже писал о том, что люди определяют работу бизнес-процессов компаний, и поэтому людей будут атаковать. В этом интервью я снова коснулся вопроса защиты корпоративных устройств за пределами корпоративного сетевого периметра, или, не дай Бог, домашних устройств, обрабатывающих корпоративную информацию. Этим действительно надо заниматься, - инциденты, когда корпоративные сети атакуют через домашние ПК, или корпоративные ПК в домашних сетях, - не редки на практике.
2. Были вопросы про эффективность антивирусов, однако, в печатную версию нашего общения попало далеко не все. В целом, я не сказал ничего нового, относительно этого своего общения с CyberMedia.
3. Были вопросы про мошенничество. В целом, надо всегда помнить одно: сколько бы мы об этом не говорили, и как бы мы к этому не готовились, насколько адекватными мы бы себя не считали, - никогда нельзя исключать возможность быть пойманным, поэтому исчерпывающий список назвать невозможно, но про некоторые схемы я проводил вебинар, его можно посмотреть здесь .
#vCISO #управление
Какие основные мысли я хотел донести.
1. Ранее я уже писал о том, что люди определяют работу бизнес-процессов компаний, и поэтому людей будут атаковать. В этом интервью я снова коснулся вопроса защиты корпоративных устройств за пределами корпоративного сетевого периметра, или, не дай Бог, домашних устройств, обрабатывающих корпоративную информацию. Этим действительно надо заниматься, - инциденты, когда корпоративные сети атакуют через домашние ПК, или корпоративные ПК в домашних сетях, - не редки на практике.
2. Были вопросы про эффективность антивирусов, однако, в печатную версию нашего общения попало далеко не все. В целом, я не сказал ничего нового, относительно этого своего общения с CyberMedia.
3. Были вопросы про мошенничество. В целом, надо всегда помнить одно: сколько бы мы об этом не говорили, и как бы мы к этому не готовились, насколько адекватными мы бы себя не считали, - никогда нельзя исключать возможность быть пойманным, поэтому исчерпывающий список назвать невозможно, но про некоторые схемы я проводил вебинар, его можно посмотреть здесь .
#vCISO #управление
Onlíner
Эмоциональные качели, манипуляции, гипноз. Эксперт рассказал, как работают интернет-мошенники
Интернет-среда давно превратилась во вторую версию реального мира: бывает, что в сети человек проводит больше времени, чем вне ее. И в мире виртуальном функционируют те же правила, что и в «обычном»: с незнакомцами вести себя осторожно, не поддаваться на…
👍7🔥2
Некоторое время назад мы касались темы автомобильной безопасности, и, судя по комментариям, она вызвала большой интерес.
Но время не стоит на месте и наши современные автомобили все больше напоминают гибридную компьютерную сеть, а в обращение входит термин Software-Defined Vehicles (SDV).
Вот на глаза попался, скорее академический (но на первый взгляд я не заметил в нем гипербол) труд коллег по безопасности SDV (PDF). Тем, кто сочиняет модели нарушителей для современных автомобилей, а также придумывает контроли безопасности, работа может быть полезна в качестве справочника.
#vCISO #automotive
Но время не стоит на месте и наши современные автомобили все больше напоминают гибридную компьютерную сеть, а в обращение входит термин Software-Defined Vehicles (SDV).
Вот на глаза попался, скорее академический (но на первый взгляд я не заметил в нем гипербол) труд коллег по безопасности SDV (PDF). Тем, кто сочиняет модели нарушителей для современных автомобилей, а также придумывает контроли безопасности, работа может быть полезна в качестве справочника.
#vCISO #automotive
arXiv.org
Contextualizing Security and Privacy of Software-Defined Vehicles:...
The growing reliance on software in vehicles has given rise to the concept of Software-Defined Vehicles (SDVs), fundamentally reshaping the vehicles and the automotive industry. This survey...
🔥5
747118-cisos-guide-to-your-first-100-days.pdf
402 KB
В рамках подготовки к выступлению вспомнились два, не лишенных изъянов, но, в целом, не самых плохих документа от Gartner.
1. The CISO’s Guide to Your First 100 Days (доступен во вложении). Здесь все хорошо с методологической точки(теоретической) зрения, но есть сложности с практической реализуемостью в обозначенные в документе сроки. Абсолютно правильно, что надо выбрать какую-то конкретную область и по ней показать "quick win". Дока может быть полезна для новых CISO в качестве плана на ближайшее время: за 100 дней описанное там для крупного предприятия сделать невозможно, но можно выбрать что-то, как из меню + можно сузить объем анализа, например, начать с критических бизнес-процессов, или с наиболее вероятных векторов атак. Также, нужно быть готовым к тому что понять зрелость за 4 недели не получится и надо будет выискивать компромиссы, да и сама методика оценки "зрелости" в доке тоже не приводится (в общем, проблем немало 😕 ) .
2. Презентация Treat Cybersecurity as a Business Investment for Better Outcomes. В ней правильно утверждается, что CISO, будучи экспертом, должен давать Бизнесу опции, из которых последний будет выбирать что для него допустимо, исходя из остаточного риска (кстати, о допустимом ущербе я немного рассуждал здесь), - сложно спорить с этой очевидностью, однако, не стоит ожидать, что Бизнес всегда способен объективно оценить какой остаточный риск для него действительно допустим, тем более, если этот риск выражен не в деньгах, а для CISO оценка рисков не исключает допущений и предположений(в общем, здесь тоже все нездорово)
#vCISO #управление
1. The CISO’s Guide to Your First 100 Days (доступен во вложении). Здесь все хорошо с методологической точки
2. Презентация Treat Cybersecurity as a Business Investment for Better Outcomes. В ней правильно утверждается, что CISO, будучи экспертом, должен давать Бизнесу опции, из которых последний будет выбирать что для него допустимо, исходя из остаточного риска (кстати, о допустимом ущербе я немного рассуждал здесь), - сложно спорить с этой очевидностью, однако, не стоит ожидать, что Бизнес всегда способен объективно оценить какой остаточный риск для него действительно допустим, тем более, если этот риск выражен не в деньгах, а для CISO оценка рисков не исключает допущений и предположений
#vCISO #управление
🔥5
Gonebny-Timesheets-SOCF2023.pdf
1.7 MB
Работа SOC напрямую зависит от работы аналитиков. Усталость, утомленность аналитиков негативно влияет на результат, ребята ошибаются.
Организация сменной работы - самый эффективный инструмент снижения влияния физической усталости аналитиков на работу всего подразделения, поэтому переоценить важность этого вопроса невозможно.
За время работы нашего SOC с 2016 мы прошли долгий путь(часть его я прошел еще в прошлой жизни, поэтому в 2016 мы стартовали не с самых ужасных графиков ), а в 2023 году, на SOC Forum, мой коллега и друг, Альберт Гонебный, сделал замечательный доклад о том, как нам удалось выработать сменный график, как нам кажется, наиболее комфортный для команды - "От ночных недосыпов к work-life balance, или как организовать комфортный график дежурств для аналитиков"
Слайды доступны во вложении.
Ссылка на видео.
#MDR #управление
Организация сменной работы - самый эффективный инструмент снижения влияния физической усталости аналитиков на работу всего подразделения, поэтому переоценить важность этого вопроса невозможно.
За время работы нашего SOC с 2016 мы прошли долгий путь
Слайды доступны во вложении.
Ссылка на видео.
#MDR #управление
👍11❤6🔥1
На днях мне попался документ про фингерпринтинг (наверно, можно по-русски сказать "профилирование") браузеров. Документ не очень относится и к моей профессиональной деятелности, и к увлечениям, тем не менее, мне он показался интересным, и я его дочитал до конца. В этой заметке поделюсь посетившими меня мыслями.
0. Сводную табличку со всеми, упомянутыми в статье, методами профилирования и их свойствами, я вывел в картинке к заметке.
1. Вспомнился классический документ Федора про фингерпринтинг TCP/IP реализаций в разных ОС. И вот теперь мы поднялись на уровень приложения.
2. Построение системы безопасной аутентификации возможно только в ущерб приватности. Это еще один принципиальный постулат, аналогичный тому, что невозможно построить ML-модель, которую не сможет обмануть человек. Принцип в полной мере работает и в реальной жизни: предъявляя паспорт на входе вахтеру, который записывает его данные в свой журнальчик входов\выходов, я повергаю риску компрометации свои паспортые данные. Причем, чем более безопасный механизм аутентификации мне надо построить, тем больше своей приватности мне надо передать: чем более точно проверяющему надо определить меня, тем большую частью себя мне надо поделиться с проверяющим. Приложенная картинка с разбиранием приватности ради безопасности - прекрасная иллюстрация этого принципа. В этой связи, любой механизм профилирования всегда будет иметь "privacy impact", и поэтому доносимый статьей "мессидж" выглядит как очевидная очевидность. Тем не менее, статья содержит неплохой обзор того, что в принципе может собираться при профилировании.
3. Все это профилирование - лишнее подтверждение, что для важных рабочих задач следует пользоваться одним браузером, а для всякой ерунды - другим, может, и в incognito mode, в надежде на то, что в этом режиме "всякая ерунда" получит меньшую часть меня в свое распоряжение.
0. Сводную табличку со всеми, упомянутыми в статье, методами профилирования и их свойствами, я вывел в картинке к заметке.
1. Вспомнился классический документ Федора про фингерпринтинг TCP/IP реализаций в разных ОС. И вот теперь мы поднялись на уровень приложения.
2. Построение системы безопасной аутентификации возможно только в ущерб приватности. Это еще один принципиальный постулат, аналогичный тому, что невозможно построить ML-модель, которую не сможет обмануть человек. Принцип в полной мере работает и в реальной жизни: предъявляя паспорт на входе вахтеру, который записывает его данные в свой журнальчик входов\выходов, я повергаю риску компрометации свои паспортые данные. Причем, чем более безопасный механизм аутентификации мне надо построить, тем больше своей приватности мне надо передать: чем более точно проверяющему надо определить меня, тем большую частью себя мне надо поделиться с проверяющим. Приложенная картинка с разбиранием приватности ради безопасности - прекрасная иллюстрация этого принципа. В этой связи, любой механизм профилирования всегда будет иметь "privacy impact", и поэтому доносимый статьей "мессидж" выглядит как очевидная очевидность. Тем не менее, статья содержит неплохой обзор того, что в принципе может собираться при профилировании.
3. Все это профилирование - лишнее подтверждение, что для важных рабочих задач следует пользоваться одним браузером, а для всякой ерунды - другим, может, и в incognito mode, в надежде на то, что в этом режиме "всякая ерунда" получит меньшую часть меня в свое распоряжение.
👍8🔥1🖕1
Вчера с супругой попробовали новый формат культурного досуга. Собираемся узким кругом друзей и знакомых в хорошем кафе и приглашаем интересных спикеров, а после небольшой лекции - обсуждение услышанного.
Вчера нашим гостем была Дарья, дипломированный искусствовед и философ, а тема - современное искусство. Замечу, что к выбору темы я приложился сам, поскольку этот предмет нередко вызывает у меня негативные эмоции, что я пытаюсь объяснить тем, что просто не разбираюсь в вопросе.
В новой статье я делюсь идеями, обсуждаемыми после лекции, которые мне показались интересными.
#искусство
Вчера нашим гостем была Дарья, дипломированный искусствовед и философ, а тема - современное искусство. Замечу, что к выбору темы я приложился сам, поскольку этот предмет нередко вызывает у меня негативные эмоции, что я пытаюсь объяснить тем, что просто не разбираюсь в вопросе.
В новой статье я делюсь идеями, обсуждаемыми после лекции, которые мне показались интересными.
#искусство
Дзен | Статьи
Современное искусство
Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Совершенство достигнуто не тогда, когда нечего добавить, а когда нечего убрать.
🔥13❤1🤮1🤡1🍌1🖕1
Мой друг и коллега, Саша Родченко, из нашей команды Detection Engineering MDR, в этом году на BH MEA будет рассказывать об ошибках атакующих, за которые их ловит SOC.
Но это не все!
Мой, не менее друг и коллега Амджед, из нашей команды Compromise Assessment, расскажет об анализе артефактов Google Drive, о чем можно почитать анонс в канале Управления Сервисов.
#MDR #kaspersky
Но это не все!
Мой, не менее друг и коллега Амджед, из нашей команды Compromise Assessment, расскажет об анализе артефактов Google Drive, о чем можно почитать анонс в канале Управления Сервисов.
#MDR #kaspersky
Blackhatmea
Black Hat MEA Cybersecurity Event | 2-4 December 2025
Black Hat is one of the world’s largest infosec events, bringing together global CISOs, elite ethical hackers & 45,000+ visitors in Riyadh, Saudi Arabia
🔥11👍3🙏1
Всем привет! Как обещал, сегодня я в Минске у друзей из А1 Беларусь, на A1 Tech Day.
Есть возможность/желание, пишите, пересечемся.
Есть возможность/желание, пишите, пересечемся.
👍17🔥6❤4
2024-11-A1_Minsk_Soldatov-v2.pdf
3 MB
Выкладываю презентацию с мероприятия.
Вынужден сознаться, что мультик из слайдов 7-10 я уже рассказывал на митапе пентестеров, но иллюстрированный здесь вопрос, на мой взгляд, очень важен, а так как нет видео записи, позволю себе по этой теме написать еще и заметку, так как подобного объяснения, за почти уже год, как я рассказал эту концепцию, не виделдаже у Гартнера .
Если по презентации что-то еще не ясно\спорно, пишите вопросы в комментариях, непонятные моменты распишу в новых заметках.
#vCISO
Вынужден сознаться, что мультик из слайдов 7-10 я уже рассказывал на митапе пентестеров, но иллюстрированный здесь вопрос, на мой взгляд, очень важен, а так как нет видео записи, позволю себе по этой теме написать еще и заметку, так как подобного объяснения, за почти уже год, как я рассказал эту концепцию, не видел
Если по презентации что-то еще не ясно\спорно, пишите вопросы в комментариях, непонятные моменты распишу в новых заметках.
#vCISO
🔥12👍1
Следует поблагодарить Дэна за подробные разъяснения, а мне ничего не остается, кроме как его процитировать.
Проголосовать можно и за наш канал по ссылке
https://t.iss.one/boost/soldatov_in_telegram
Проголосовать можно и за наш канал по ссылке
https://t.iss.one/boost/soldatov_in_telegram
Telegram
Топ кибербезопасности Батранкова
Я не публикую рекламу, при этом у меня спросили - как появляется реклама в моем канале. Рассказываю. )
1. Телеграм сам показывает рекламу в каналах с аудиторией более 1000 подписчиков.
2. Я, как владелец канала, не могу контролировать или отключать рекламу…
1. Телеграм сам показывает рекламу в каналах с аудиторией более 1000 подписчиков.
2. Я, как владелец канала, не могу контролировать или отключать рекламу…
Вчера мне довелось побывать в Государственной Думе. В зале ЛДПР состоялся круглый стол "Практика противодействия кибератакам", аудитория - представители отрасли, как поставщики решений, так и их потребители. Хочется выразить слова благодарности компании Angara security, персонально Сергею Петровичу Шерстобитову и Тимуру Зиннятуллину, и за организацию мероприятия и за возможность принять участие - чем плотнее экспертное сообщество будет работать с законодательной властью, тем эффективнее и результативнее будут наши общие усилия по противодействию кибератакам и кибертерроризму.
Мне выпал вопрос: "Как нам, как представителям индустрии, вести себя в разгар кибервойны, как выстраивать отношения со всеми вовлеченными сторонами, включая государство? Как разделять зоны ответственности, особенно между Заказчиками и Подрядчиками?". Так как записи нет тезисно отвечу на него здесь.
0. Поскольку наше общение происходило в стенах ГД, я выделю кратко инициативы, которые можно было бы рассмотреть с позиции государственного регулирования отрасли.
1. Для того, чтобы быть эффективными и результативными, нам надо быть организованными, аналогично корпоративной бизнес-функции ИБ, тем более, что государственная система управления ИБ (СУИБ) во многом похожа на СУИБ крупной корпорации.
2. Стандартизация. Под типовые элементы инфраструктуры должны быть разработаны профили защиты, и эти профили должны быть обязательны для исполнения в ГИС и КИИ. Пример из жизни - NIST SP 800-53 - исчерпывающий каталог контролей, обязательный для исполнения в американских ГИС.
3. Потребовав исполнение профилей защиты, результат необходимо обязательно проверять.
3.1. На госпредприятиях есть "мероприятия по оценке защищенности" (МОЗ) по сценарию пентест, можно дополнительно ввести оценки соответствия - по каждому обязательному контролю убедиться, что он внедрен и работает с предполагаемым качеством.
3.2. Контроли необходимо обложить метриками и результаты их измерения собирать. По истории измерений метрик можно анализировать тенденции. Отчетность по измерению метрик работы контролей можно поднять на уровень федеральных координационных центров - как мы собираем информацию об инцидентах в НКЦКИ, можно собирать и данные о метриках контролей безопасности.
3.3. Выработанные профили защиты необходимо регулярно проверять, для получения уверенности, что наши наборы контролей отвечают современному ландшафту угроз.
4. Эксплуатация доверительных отношений по данным статистики инцидентов за 2023 и 2024 входит в топ 5 векторов проникновения в сети, поэтому требования по контролям пп.2-3 необходимо распространить на подрядчиков, в целом, это должно стать квалификационным требованием. Это можно сделать, например, лицензированием, а подтверждать соответствие, например, могут лицензированные аудиторы\ пентестеры.
5. Если мы говорим о ПО, то здесь также поможет сертификация. Только сертифицировать надо не конкретные образцы ПО, а процесс разработки - представляется эффективнее сертифицировать конвейер, чем каждое изделие, выходящее с него.
По разделению ответственности - вопрос стандартный. Владельцем ГИС и КИИ следует рассматривать Государство, поэтому видится правильным, что Государство выдвигает требования по обеспечению их безопасности и постоянно контролирует результат. Важный момент здесь - адекватность требований, в противном случае, сами эти требования будут стимулировать их невыполнение. Адекватность может валидироваться экспертным сообществом, ну или возродить институт специализированных НИИ, как в СССР, однако верификация идей НИИ на производстве - обязательна.
А по распределению задач на предприятии я уже давно писал. Если коротко, то чем больше корпоративной специфики тем эффективнее делать самому, а стандартные вещи - в аутсорсинг.
#управление #РФ #vCISO
Мне выпал вопрос: "Как нам, как представителям индустрии, вести себя в разгар кибервойны, как выстраивать отношения со всеми вовлеченными сторонами, включая государство? Как разделять зоны ответственности, особенно между Заказчиками и Подрядчиками?". Так как записи нет тезисно отвечу на него здесь.
0. Поскольку наше общение происходило в стенах ГД, я выделю кратко инициативы, которые можно было бы рассмотреть с позиции государственного регулирования отрасли.
1. Для того, чтобы быть эффективными и результативными, нам надо быть организованными, аналогично корпоративной бизнес-функции ИБ, тем более, что государственная система управления ИБ (СУИБ) во многом похожа на СУИБ крупной корпорации.
2. Стандартизация. Под типовые элементы инфраструктуры должны быть разработаны профили защиты, и эти профили должны быть обязательны для исполнения в ГИС и КИИ. Пример из жизни - NIST SP 800-53 - исчерпывающий каталог контролей, обязательный для исполнения в американских ГИС.
3. Потребовав исполнение профилей защиты, результат необходимо обязательно проверять.
3.1. На госпредприятиях есть "мероприятия по оценке защищенности" (МОЗ) по сценарию пентест, можно дополнительно ввести оценки соответствия - по каждому обязательному контролю убедиться, что он внедрен и работает с предполагаемым качеством.
3.2. Контроли необходимо обложить метриками и результаты их измерения собирать. По истории измерений метрик можно анализировать тенденции. Отчетность по измерению метрик работы контролей можно поднять на уровень федеральных координационных центров - как мы собираем информацию об инцидентах в НКЦКИ, можно собирать и данные о метриках контролей безопасности.
3.3. Выработанные профили защиты необходимо регулярно проверять, для получения уверенности, что наши наборы контролей отвечают современному ландшафту угроз.
4. Эксплуатация доверительных отношений по данным статистики инцидентов за 2023 и 2024 входит в топ 5 векторов проникновения в сети, поэтому требования по контролям пп.2-3 необходимо распространить на подрядчиков, в целом, это должно стать квалификационным требованием. Это можно сделать, например, лицензированием, а подтверждать соответствие, например, могут лицензированные аудиторы\ пентестеры.
5. Если мы говорим о ПО, то здесь также поможет сертификация. Только сертифицировать надо не конкретные образцы ПО, а процесс разработки - представляется эффективнее сертифицировать конвейер, чем каждое изделие, выходящее с него.
По разделению ответственности - вопрос стандартный. Владельцем ГИС и КИИ следует рассматривать Государство, поэтому видится правильным, что Государство выдвигает требования по обеспечению их безопасности и постоянно контролирует результат. Важный момент здесь - адекватность требований, в противном случае, сами эти требования будут стимулировать их невыполнение. Адекватность может валидироваться экспертным сообществом, ну или возродить институт специализированных НИИ, как в СССР, однако верификация идей НИИ на производстве - обязательна.
А по распределению задач на предприятии я уже давно писал. Если коротко, то чем больше корпоративной специфики тем эффективнее делать самому, а стандартные вещи - в аутсорсинг.
#управление #РФ #vCISO
🔥20👍6👏1🙏1