0-Day не так важны или почему знать TTP важнее

Цель безопасника не предотвратить все, что может плохого произойти в его владениях, но помешать хакеру быть успешным. 8 с половиной лет назад я подхватил на свой компьютер троянца и это несмотря на наличие у меня постоянно обновляемого антивируса. Только установленный у меня Cisco Security Agent смог зафиксировать и заблокировать непонятное сетевое соединение с компа с внешним узлом в Украине. Я так и не понял, как и где я подцепил заразу и проведенное расследование не смогло ответить на этот вопрос. Но!.. И ущерба мне нанесено никакого не было,...

Подробнее…

Как связать этапы Kill Chain и защитные меры?

Концепция Kill Chain интересна не только и не столько сама по себе, сколько возникающей вокруг нее обвязкой. Это и возможность использовать семь этапов реализации атаки для оценки эффективности SOC, и возможность связать каждый этап цепочки с мерами защиты.  Это ровно то, что в свое время постоянно спрашивали применительно к методике моделирования угроз ФСТЭК, которую обещают выпустить в 1-м квартале 2017-го года. Можно ли увязать угрозы...

Подробнее…

Матрица ATT&CK для описания всех возможных методок атак

Продолжая начатую вчера тему убийственной цепочки, хотел бы привести пример еще одной интересной классификации, которая имеет более практическое применение и может быть использована при моделировании угроз, при котором так важна систематизация имеющейся информации о методах, используемых злоумышленниками. Речь идет о матрице ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), разработанной американской корпорацией MITRE, известной...

Подробнее…

Kill chain для внутреннего нарушителя

Вчерашняя заметка, как справедливо отметили коллеги в комментариях, ориентирована на внешнего нарушителя и не очень хорошо подходит для описания нарушителя внутреннего. Это и так и не так одновременно. Все зависит от того, о каком нарушителе мы ведем речь. Если это обычный сотрудник, который решил поживиться ценной информацией перед своим увольнением, приведенная Lockheed Martin схема будет избыточной. А вот если мы говорим о специально внедренном...

Подробнее…

Убийственная цепочка или что такое Kill Chain

Участвуя в различных мероприятиях и рассказывая о том, почему абсолютное большинство организаций ломают и какова тактика современных киберпреступников, постоянно приходится видеть, что многие специалисты по ИБ рассматривают многие атаки или заражения своих компьютеров, как нечто точечное, возникшее как будто бы из ниоткуда. Вот была чистая и нескомпрометированная сеть и вдруг раз и заражение. Из пустоты возникает программа-вымогатель, которая осуществляет...

Подробнее…

ЦБ требует от страховщиков заняться защитой от DDoS-атак

ЦБ подготовил требования к работе сайтов страховщиков и Российского союза автостраховщиков (РСА), направленные на обеспечение бесперебойности работы при продажах электронных полисов ОСАГО, и которые вступают в силу с 1 января 2017 года (именно тогда можно будет приобретать ОСАГО в электронном виде). Данный проект НПА продолжает серию документов Банка России по регулированию вопросов обеспечения бесперебойности функционирования различных систем. У ЦБ, например, уже был документ по обеспечению беспоробойного функционирования платежных систем....

Подробнее…

Немножко последних изменений по ИБ в госорганах

Лето красное прошло, и уж половина осени позади, а я так и не удосужился написать про некоторые нормативные акты, которые не то, чтобы очень уж серьезно меняют ландшафт законодательства по ИБ в России, но и умолчать о них я не могу. Итак, по порядку: Министерство связи и массовых коммуникаций РФ опубликовало проект постановления правительства «О внесении изменений в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся...

Подробнее…

Тройка интересных переводов по безопасности критических инфраструктур

Сначала думал закинуть эти ссылки в Twitter, но подумал, что эти документы достойны заметки в блоге. Все-таки не часто иностранцы переводят на русский язык свои документы, да еще и по информационной безопасности. И если производители еще могут пойти на это и часто делают, то от национальных регуляторов такое видеть очень показательно. Итак, первый документ - от Schneider Electric. 110 страниц подробных рекомендаций по кибербезопасности промышленных...

Подробнее…

Куда делся Havex?

Помните фильм "Комедия строго режима"? Есть там такой смешной фрагмент:    Так вот он мне напомнил ситуацию с нашумевшим в свое время вредоносным кодом Havex, участвующим в кампании Dragonfly, направленной против промышленных систем. Данная кампания датируется концом 2010-го - началом 2011-го года, но публично о ней заговорили только в июне 2014-го года, когда финская F-Secure опубликовала у себя в блоге заметку о вредоносном коде Havex,...

Подробнее…

Атрибуция кибератак

Вчера мне довелось выступать на мероприятии, организованном Российским советом по международным делам в партнерстве с Институтом "Восток-Запад". Тема была выбрана непростая - "Сотрудничество России и США по противодействию киберпреступности и защите критической инфраструктуры", что на фоне субботнего выступления Лаврова выглядело достаточно странно. Ну о каком сотрудничестве можно вести речь, когда США постоянно и бездоказательно обвиняют Россию...

Подробнее…

Что я жду от Думы №7?

Дума №6 закончила свою работу и бывшие народные избранники со спокойной совестью разъехались по домам. Новые депутаты, “бьющие копытом” в своем желании помочь простому российскому гражданину жить лучше и безопаснее, скоро приступят к своим прямым обязанностям. Их яркой законотворческой деятельности нам осталось ждать совсем недолго - скоро они получат свои удостоверения и пропуска, обкатают служебные и пока еще неимпортозамещенные автомобили, обживут новую жилплощадь. И вот тогда мы столкнемся с целоя плеядой законопроектов, которые должны превратить...

Подробнее…

Чеклист проверки этичности любого действия

Закончим неделю очередной, на этот раз краткой, заметкой об этике. В книжке "Этика для каждого" (Ethics 4 Everyone) есть простой чеклист для проверки этичности своих поступков (проверять лучше ДО, а не ПОСЛЕ). Достаточно ответить себе на ряд вопросов: Это законно? Это согласуется с нашими правилами и процедурами? Это согласуется с ценностями нашей компании? Это соответствует нашим заявленным обязательствам? Будет ли у меня чувство вины, если...

Подробнее…

Об этике CISO да и вообще любого специалиста по ИБ

В упомянутом вчера материале Reuters говорится, что, согласно неназванным источникам, запрос спецслужб вызвал отторжение у ряда высокопоставленных сотрудников Yahoo, некоторые из которых покинули компанию. Одним из них был Алекс Стамос, руководившей службой ИБ Yahoo. После Yahoo Стамос перешел на аналогичную должность в Facebook. Я не раз слушал Стамоса (и у нас в Cisco на внутренних мероприятиях, и на публичных конференциях) и могу сказать, что...

Подробнее…

Что скрывается за кейсом Yahoo?

Два года назад я опубликовал заметку с интригующим названием на грани фола - "Сказ про вампира-педераста, задушенного импотентом из спецназа". В ней я уже обращался к этой теме, но поскольку мало что меняется, то я решил вновь вернуться к теме проверки "фактов", появляющихся в СМИ. Тогда я писал про российскую прессу, сегодня речь пойдет про иностранную. Итак, эксклюзив в Reuters о том, что Yahoo по требованию неназванных американских спецслужб сканировала электронную почту своих пользователей. Наши СМИ сразу подхватывают эту новость и перепечатывают...

Подробнее…

Кибербезопасность в повседневной жизни (презентация)

Как-то летом... Нет, я не заглядывал в чужой сад и было это не на рассвете. Но летом. Пригласили меня в одну уважаемую организацию прочитать лекцию для рядовых сотрудников о том, как обезопасить себя в Интернет от различного вида угроз: от подглядывания, от подсматривания, от кражи учеток и паролей, от кражи денег, от перехвата почты, от блокирования телефона и много чего другого. Я все тянул с выкладыванием этой презентации, думал найду время, чтобы записать по ней видео, а не просто голые слайды выкладывать. С июля так и не нашел - много командировок...

Подробнее…

В каких случах необходимо обязательное уведомление об инцидентах ИБ?

На сегодняшний день существует всего три сценария, предусматривающих обязательное уведомление об инцидентах информационной безопасности в российских организациях: Первые два касаются участников НПС и вполне успешно реализуются на практике. Третий сценарий, о котором я уже когда-то писал, до сих пор выывает множество вопросов. Я так и не нашел пока еще ни одной организации, которая бы отсылала в Минэнерго, МВД, ФСБ и МЧС информацию об инцидентах...

Подробнее…

Кибербезопасность промышленного Интернета вещей (презентация)

В прошлую среду открывал поток по Industrial Internet of Things на форуме "Интернет вещей". Обычно с безопасности такие мероприятия не начинаются (зачем пугать раньше времени), но тут все было по-другому :-) Так что не знаю, с каким ощущением останутся участники мероприятия, услышавшие, что с безопасностью в Интернете вещей все не очень хорошо и нас еще ждут различные потрясения, если они, разработчики, не задумаются об этой задаче. Кибербезопасность промышленного Интернета вещей from Aleksey Lukatskiy Но, видимо, я озадачил некоторых,...

Подробнее…