Интересное исследование F6 про утечки информации через облачные песочницы ⏳ Я про такое писал больше двух лет назад в контексте подключения ChatGPT к SIEM и иным средствам защиты. Передавать во внешние сервисы ИИ возможно, однако надо знать не только зачем мы это делаем, но и что конкретно мы передаем и кто получает доступ к этой информации, осознанно и случайно 🤔 С песочницами, как и другими облачными средствами защиты, немного иная ситуация - мы, рассматривая их именно как решение по ИБ, забываем про то, что это обычное облако со всеми его достоинствами и недостатками 🛡

⚠️ А у вас в согласии на обработку персональных данных указаны облачные песочницы, через которые вы пропускаете прилетающие файлы? Ну и остальные 11 вопросов, которые я задавал применительно к ChatGPT, не забудьте 🤔

Но я бы хотел подсветить и другие риски работы с публичными, особенно зарубежными, песочницами 🔦 Речь не только об утечке ПДн (а это уже под оборотные штрафы прекрасно попадает), конфигурационных данных, что облегчает будущие атаки, или коммерческой тайны, которую могут мониторить конкуренты. Это еще и возможность злоумышленникам понять, что их инструмент спалился 😱, и поменять техники и тактики. Кстати, если выяснится, что компания сама загрузила в публичную песочницу файл с ПДН или иного вида тайной, то будет сложнее отбиться в суде в случае утечки, т.к. налицо факт халатного обращения с данными. А тут еще и клиенты с партнерами: “Вы серьезно? Вы нашу внутреннюю переписку в Any.Run загружали?!” 👮

Кроме того, государственные спецслужбы 🦅 могут мониторить загружаемое в песочницы из определенного региона, собирая данные об инфраструктуре, уровне зрелости защиты, используемом ПО. Нельзя сказать, что это прям такая секретная информация и ее нельзя получить еще откуда-то, но зачем расширять число источников такой информации? 🤔

Как ответ на такую проблему, стоит подготовить некую политику / чеклист на тему работы с публичными песочницами. Завтра опубликую пример такого документа ☑️ Но чтобы моя заметка не смотрелась как реклама отечественных песочниц (any.run, кстати, почему-то скрывают свое "российское" происхождение), хочу еще раз подчеркнуть, что вопрос передачи чувствительной информации касается любого внешнего сервиса, а не только зарубежных 🕊

#утечка #средствзащиты

Добьем тему с квантами... Много лет назад, когда Брюс Шнайер выпустил свой классический труд "Прикладная криптография" 🔐, он придерживался идеи, что криптография является краеугольным камнем ИБ и без нее прожить нельзя. После он прозрел и от своей навязчивой идеи отказался, заявив, среди прочего, что очень важно не только иметь стойкую математику, но и уметь ее грамотно реализовывать, а также окружение, в котором СКЗИ работает 🔑

И вот интересный кейс, который показывает, что и в квантовой криптографии ⚛️ не надо слепо полагаться на физику процесса; следует думать о том, как его правильно внедрять, настраивать и эксплуатировать. И хотя к 2024 году в России обещали построить 7000 км квантовых сетей 🚂, пока нам еще рано думать о массовом применении этого способы защиты коммуникаций и есть возможность подготовиться, разработать соответствующую дорожную карту. Такую, как недавно опубликовала коалиция постквантовой криптографии (PQCC) 🛤

Ну а после исследования Google о сокращении в 20 раз времени взлома RSA-2048, о котором я уже писал вчера, надеемся, что это пока все теория. Но то, что число исследований в области квантов и постквантов растет, это точно. Продолжаем наблюдать и не расслабляемся - в отличие от NGFW, заменить везде криптографию будет гораздо сложнее 🛠

#pqc #криптография

Ну что, отгремел PHDays и можно больше времени уделять длинному формату текстов, а не только коротким заметкам в Telegram-канале, в котором я вчера написал про исследование F6 о рисках утечки персональных данных и иной защищаемой информации через публичные песочницы ⏳ В блоге подробнее расписал то, что должно быть сделано для безопасной работы с этими средствами защиты и что включать в соответствующую политику 📝

#средствазащиты #soc #облака

Описанный выше футуристический сценарий 🔮 не такой уж и футуристический, если на него посмотреть внимательно. Многое из описанного уже либо произошло, либо происходит, либо произойдет вот-вот. Не зря авторы взяли не очень дальний горизонт событий - всего лишь 2027 год. На таком интервале не так уж и сложно делать технологические прогнозы 🔮 Поэтому интересны рекомендации, которые дают авторы на основе своего сценария: 🧠
1️⃣Модель-центрированная ИБ. Защита должна строиться не только вокруг данных и инфраструктуры, но и самих весов, логов, инфраструктуры и окружения обучения 🛡
2️⃣Red Team против ИИ. Требуются регулярные тесты моделей на устойчивость к манипуляциям, попытки jailbreak’а, ложные цели 🤕
3️⃣Управление доступом и слежение. Нужен контроль над тем, кто имеет доступ к весам, моделям, API и датасетам. Физическая и логическая сегментация ⛔️
4️⃣ИИ против ИИ. Предполагается использование менее мощных ИИ-моделей для надзора, оценки, аудита и мониторинга более мощных моделей 😵
5️⃣Геополитическое сотрудничество и контроль. Пора сесть за стол переговоров для обсуждения международных соглашений по контролю ИИ и их "ядерной" аналогии ⏱

Как по мне, так первые три пункта применимы к любому объекту защиты 🛡 - что модель ИИ, что персданные, что АСУ ТП. Четвертый пункт более специфичный, а пятый - просто дань моде и страхам перед неизвестным. Никто договариваться ни о чем не будет - все будут стараться развивать свое, если смогут. Американцы при этом будут давить всех, но с тем же Китаем у них это не очень получится 🐲

#ии

Краткая версия заметки в блоге про облачные песочницы в форме памятки ☑️

#облака #средствазащиты #soc

Новость о вариантах смены пароля на Госуслугах 🔢 обретает определенность. Во втором пакете законопроектов о кибермошенничестве предусмотрено всего 4 варианта (закрытый список) смены пароля на портале:
1️⃣ С использованием ЕБС 🎭
2️⃣ Посредством официального сайта банка в сети Интернет или банковского мобильного приложения, с использованием которых клиентам - физическим лицам предоставляется возможность открывать счета (вклады) в рублях и (или) получать кредиты в рублях 🏦
3️⃣ Посредством личной явки в многофункциональный центр предоставления государственных и муниципальных услуг 🏛
4️⃣ С использованием многофункционального сервиса обмена сообщениями, то есть этого самого супераппа, основным кандидатом на которого является VK MAX 📱 и законопроект о котором был вчера принят сразу в двух чтениях (видимо, торопятся к выборам 2026 года).

Никаких приложений для многофакторной аутентификации нет и в помине 🤦‍♂️ Я уже не удивляюсь, если честно. К списку странных государственных ИТ-инициатив добавилась еще одна. Ее авторы, как это часто бывает, мало понимают психологию поведения пользователей, а также не очень разбираются в вопросах ИБ. Кто вообще придумал, что для смены пароля надо использовать не легковесное приложение а-ля Яндекс.Ключ, Duo Mobile, PingID, MobilePASS или Google Authenticator, а тяжеловесный мессенджер, да еще и от частной компании? И кто будет нести ответственность в случае компрометации ЕСИА? 🤔

Похоже иным способом загнать людей в этот мессенджер не получается и используется классическая стратегия "не мытьем так катаньем" 🤔 После блокирования одной американской соцсети перейти на VK удалось не только лишь всем. Юзабилити невысокое, изобилие неотключаемой рекламы, мошеннические посты с нулевой реакцией администрации... Теперь это все перекочует в мессенджер... А жаль 😭

#аутентификация #суверенитет

Есть о чем подумать на праздниках... 🤔 По данным свежего исследования IANS и Artico Search, даже шестизначные оклады и щедрые опционы не всегда делают CISO счастливыми ☹️ Среди более чем 860 опрошенных руководителей ИБ-служб в США, работающих в компаниях с выручкой свыше $1 млрд:
➡️ Медианная компенсация составила $532000 в год (включая бонусы и опционы).
➡️ Самые высокооплачиваемые (в топ-1%) зарабатывают до $5 млн, управляют командами из 200+ человек и бюджетами с 7–8 нулями.
➡️ Компенсация американских CISO включает в среднем $300 000 в виде ежегодных опционов, у топов — миллионы 🤑

Но не надо завидовать заокеанским коллегам 😔 Оказалось, что :
➡️ Только 55% CISO из компаний с выручкой $20 млрд+ довольны своей компенсацией. Ну зажрались же...
➡️ В компании с выручкой $1–2 млрд удовлетворенность еще ниже — и именно эти CISO чаще жалуются на отсутствие доступа к совету директоров (24% говорят, что почти не взаимодействуют с ним) 😫
➡️ 58% CISO вообще довольны своим бюджетом на ИБ. Хуже всего ситуация снова в сегменте $1–2 млрд - только 51% довольны ресурсами 😕

Авторы ежегодного отчета дают 3️⃣ совета тем, кто хочет карьерного роста:
6️⃣ Расширяйте зону ответственности — возьмите на себя управление цифровыми рисками, третьими сторонами или комплаенсом (с умом и ресурсами) 💪
2️⃣ Развивайте soft skills — общение, влияние, умение продвигать себя в организации 🥵
3️⃣ Стройте карьеру стратегически — оценивайте предложения не только по зарплате и названию должности, но и по потенциальному влиянию и возможностям роста 🏝

Вывод прост — даже $5M не гарантируют счастья, если вы не обладаете влиянием и ресурсами в компании, а также пониманием, как встроить безопасность в бизнес-стратегию 🤓 Упс, Forrester писал недавно о том же самом. Карьера CISO сегодня — это больше не про технологии, это про влияние, коммуникации и участие в управлении корпоративными трансформациями.

#ciso #зарплата #отчет

А это из того же отчета IANS распределение 📊 статей бюджета ИБ в зависимости от масштаба компании. Интересно - чем крупнее компания, тем меньше облачных сервисов и аутсорсинга и больше on-prem и железа 🐳

Средний размер бюджета на ИБ составляет 0,35% от дохода компании. Теперь вам есть, с чем сравнить свою бюджет. Ну если вдруг вы любите что-то с чем-то сравнивать... 🤏

#бюджет #ciso

По мотивам взлома компании Victoria's Secret придумал новый модный аксессуар в их коллекцию! И геополитически актуально на фоне регулярных обвинений России во взломах всего и вся! 🛍

Если меня читают представители сего модного дома нижнего белья, прошу связаться со мной для оформления договора выплаты авторских отчислений. Если кто-то увидит на улице такую сумку, знайте, - это моя идея! 💡

#юмор #творчество

Есть дети? 👶 Или вы сами деть?! Думаете о личной кибербезопасности? Вас попросили провести в школе у ребенка урок по этой теме? А вот вам карточки в помощь! Они были опубликованы в последнем выпуске Positive Research к Дню защиты детей и доступны не только в бумажной, но и цифровой форме 🃏 Там их больше, чем показано ☝️

#awareness