VulnCheck выпустила обзор по уязвимостям 😵 за прошлый год. Интересно, что публикации об уязвимостях нередко придерживают до крупных мероприятий по кибербезопасности, например, RSA Conference (почему-то перед BlackHat такого не наблюдается). Но наиболее полезное наблюдение - почти 24% трендовых уязвимостей (из каталога CISA KEV) эксплуатировались в день или за день до опубликования CVE (в 2023-м число таких уязвимостей было 27%) 🗡

Задавать вам вопрос, а как у вас выстроен процесс управления уязвимостями, я не буду. Если это 0Day и она начинает эксплуатироваться до публикации CVE, то как бы вы не управляли, вы вряд ли сможете найти 🔍 то, о чем не знаете ни вы, ни ваш сканер уязвимостей. И останется вам только заниматься харденингом инфры - сегментацией, настройкой правил контроля доступа на периферийных устройствах, усилением сетевых устройств и операционных систем... 🤔

#уязвимость #тенденции #харденинг

В начале февраля 2025 года правительство Таиланда 🇹🇭 предприняло решительные меры против мошеннических операций, расположенных в приграничных районах Мьянмы 🇲🇲 (я, кстати, должен был туда недавно лететь в командировку, но ограничился только Малайзией). Ссылаясь на угрозу национальной безопасности и значительный ущерб, нанесенный стране, Национальный совет безопасности Таиланда совместно с другими государственными органами принял решение отключить ✂️ электроэнергию, интернет и газоснабжение в пяти городах Мьянмы, прилегающих к северной границе Таиланда 🚠

Эти районы, включая города Мьявади и Тачилек, известны как центры деятельности преступных синдикатов, которые насильно привлекают тысячи людей к участию в онлайн-мошенничествах, таких как фиктивные романтические схемы 💋, ложные инвестиционные предложения и незаконные азартные игры. Эти мошеннические операции ежегодно приносят миллиарды долларов за счет обмана жертв по всему миру, при этом многие работники этих “фабрик мошенничества” оказываются в условиях виртуального рабства 🤕

Заместитель премьер-министра Таиланда Анутин Чарнвиракул отметил, что в контракте на поставку электроэнергии 🔋 предусмотрен пункт, позволяющий прекратить поставки по соображениям национальной безопасности. Он подчеркнул, что, хотя годовой доход от продажи электроэнергии в эти районы составлял около 600 миллионов бат (примерно 17,8 миллиона долларов), ущерб от мошеннических операций значительно превышает эту сумму 🤑

Данное решение последовало после визита в Таиланд заместителя министра общественной безопасности Китая Лю Чжунъи, в ходе которого обсуждалось сотрудничество в борьбе с мошенническими сетями, многие из которых, как полагают, управляются гражданами Китая 🐉 Кроме того, недавний случай с китайским актером Ван Сином, который был похищен и вынужден работать в одном из таких центров, привлек международное внимание к проблеме торговли людьми и онлайн-мошенничеств 👮

Отключение основных услуг, таких как электроэнергия и интернет, демонстрирует не только серьезность намерений 💪 таиландского правительства в борьбе с киберпреступностью и торговлей людьми, но и показывает, что борьба с киберпреступностью выходит на новый уровень. Если раньше многие стеснялись даже говорить хотя бы о контратаках на инфраструктуры мошенников и только США ✈️ позволяли себе постулировать право нанесения удара обычными вооружениями в ответ на кибератаку, то теперь градус противостояния существенно вырос и одно государство просто вырубает электричество у другого. Правда, остается открытым вопрос о том, как эти меры повлияют на невинных жителей затронутых районов, не связанных с мошенническими операциями? 🤔 Недопустимо!

#интернет

⚠️ Ой вы гой еси, честной народ, послушайте весть великую и дивную!

Как на дали широкие, под небесами ясными, соберутся витязи и бояре киберопричные, да во двор ФСТЭКовский на конференцию знатную. Там слово держать будут, да опытом делиться, заступы крепкие киберпространства выковывать!

Прежде всего возвестит сей сбор первый заместитель директора ФСТЭК России – с речью напутственной выступит, укажет путь праведный, что государству и народу во благо.

Затем поведают знатные чародеи системного софта о том, как ныне живет и куда грядет Центр исследований безопасности системного программного обеспечения. Сказы их мудры, наполнят ум слушающих силой и разумением.

Не обойдут стороной и темные тучи киберугроз да тенденции их коварного роста. Ибо дабы подступам вражеским противостоять, ведать надобно, откуда они восстают и куда ведут.

Слово ляжет и о строгих заветах оберегания информации, что хранится в государственных системах, да иных хоромах и чертогах, на благо державы стоящих.

Потом разъяснят, како в жизнь эти требования воплощать и укреплять сети мощными преградами.

Услышат участники и о всем новейшем в создании сертифицированных средств защиты – куды ведет их тропа развития в нынешних многотрудных временах.

Глаголать будут про современные подходы к разметке данных в области информационной безопасности, дабы крепка была защита, а порядок очевиден каждому.

Дойдут они и до искусства строить и хоронить API, да хранить границы межсетевые в сетях промышленных, обретая мудрую меру меж защитой, надежностью и доступностью.

Явят воям и науку совершенствования сертификации средств обороны: как держать щиты непробиваемыми да держать умы чистыми.

Возгласят также о сокрытии утечек: что не только беду несет, но и доверие подтачивает, сей яд социальной жизни.

Поделятся ведуны-разработчики, как создавать ПО высоко уровня зрелого, поведают и о практиках, что служили делу разработки ОС SberLinux и системного софта. Ибо безмятежен путь лишь тому, кто изучил все тайны своего оружия.

Услышат и о глубоком исследовании компилятора clang в составе NGFW, дабы приоткрыть завесу требовательных норм и взыскательной практики.

Выскажут мудрые советники слово о новых методах автоматизации управления учетными записями – покажут пути светлые, что грозят испытаниями, но и возможностями богаты.

Поведают о новой редакции Методики выявления уязвимостей и недекларированных возможностей – да будут врагам ходы перекрыты и лазейки замурованы!

А напоследок, когда все думы и речи будут сказаны, соберутся витязи кибергрядущего воедино да подведут итоги славного ратного дела – и повезут домой силы новые, знания бесценные, да опыт невиданной мощи.

Так приходите же, о люди добрые, на сию конференцию, в палаты ФСТЭКовские! Да услышите сами, да наберетесь мудрости, да обретете доспехи от киберугроз! Слава защите русской, да крепкому цифровому щиту державы! 🇷🇺

#ФСТЭК #конференция

Я тут формирую программу PHD3 🏟 (вы, кстати, еще можете податься на CFP) и пересматриваю прошлогодние эфиры и выступления. Наткнулся на дискуссию, на которой представители НКЦКИ 🇷🇺 объявили о желании создать сервис скорой помощи для пострадавших от инцидентов и бесплатно помогать всем тем, кто не смог выстоять в неравной борьбе с хакерами 🚑

Параллельно я имел дискуссию с CISO одной из российских компаний, которая высказала мысль, что ИБ-компании, занимающиеся мониторингом Даркнета, отслеживающие инциденты ИБ 🔓 или собирающие телеметрию со своих продуктов, должны бесплатно сообщать пострадавшим о том, что их атакуют, атаковали или планируют атаковать 📩 Ну и третья история, с которой я столкнулся в среду уже в физическом мире - скорая медицинская помощь, приехавшая по звонку к больному человеку, отказалась вести его в больницу несмотря на все очевидные показания (формально я понимаю, почему, но по сути меня это триггернуло) 😷

И все эти три истории навели меня на одну мысль, которая крутится у меня в голове уже несколько дней, но которая не имеет однозначного ответа для меня. Должна ли скорая помощь 🚨 помогать всем, кто в ней нуждается, и делать это бесплатно? В обычной медицине я раньше думал, что должна, пока не столкнулся с ситуацией, когда она отказалась это делать. А что насчет ИБ? Ведь, с одной стороны, аналогия прямая, а с другой - мы не так часто видим примеры, когда компании помогают бесплатно.

Вот в 🟥 я знаю, что такое практикуется в ряде случаев, но утверждать, что так происходит всегда - я не могу. Мы все-таки коммерческая компания, а расследование и реагирование требует ресурсов, которые стоят денег. С другой стороны, не помогать нуждающимся - это плохо 👎 (даже если они сами накосячили и не соблюдали данные тобой же рекомендации). Или должна быть градация - вот такие услуги ИБшной помощи предлагаются бесплатно, а вот за сверх установленного лимита надо платить? Или все должно быть за деньги 🤑 Или если коммерческая компания, то за деньги, а если государственная (тот же НКЦКИ), то бесплатно? В общем нет у меня однозначного ответа на этот вопрос. Может на PHD3 его поднять и подискутировать?..

#Философия #управлениеинцидентами

Согласно данным ФСТЭК, по результатам проверок в 2019-2024 годах, более 73 процентов выявленных нарушений
требований о защите информации 🛡 связаны с непринятием технических мер и наличием недостатков в системах защиты информационных систем государственных органов и организаций. Более 40 процентов проверенных информационных систем имеют критические уязвимости, которые могут быть использованы нарушителями с минимальными навыками 👺

В 2019 - 2024 годах в рамках осуществления ФСТЭК России государственного контроля за состоянием защиты информации в государственных органах и организациях к административной ответственности за нарушение требований было привлечено 😡 93 гражданина, 142 должностных лица (работника) и 80 юридических лиц. При этом с 2019 года значительно возросло количество привлеченных к ответственности должностных лиц и юридических лиц (если в 2019 году - 27 должностных лиц и 9 юридических лиц, то в 2023 году - 42 должностных лица и 39 юридических лиц) 👩🏼‍⚖️

Но так как число наказаний растет, а ситуация не сильно меняется, государство решило усилить ответственность 🧑‍⚖️ за нарушения правил ИБ путем увеличения штрафов по ст.13.12 КоАП, а также увеличить срок давности по этой статей до 1 года вместо 60 дней. За нарушение требований по защите информации штраф для юрлиц увеличен до 100 тысяч рублей, для должностных - до 50 тысяч. Аналогичные верхние границы штрафов и за нарушение требований по защите гостайны, а также за использование несертифицированных средств защиты, если они подлежат обязательной сертификации 🤑

Не мог сказать, что для юрлиц штраф значительный 🤏, но для должностных лиц, если это не руководители организаций, штраф одного порядка с месячной зарплатой (или около того) и может быть существенным ударом по кошельку. Для юрлиц, конечно же, нет. Тут и с оборотными штрафами по линии персданных нет уверенности, что они повлияют в лучшую сторону. А уж 100 тысяч... Несерьезно, как мне кажется 😂 Да и правоприменение еще покажет, что к чему.

#регулирование

В январе 2025 года Apple 📱 получила от британского правительства техническое предписание (Technical Capability Notice) в рамках Закона о следственных полномочиях (Investigatory Powers Act 2016), схожего по сути с российским законом об оперативно-разыскной деятельности. Этот документ обязывает компанию предоставить правоохранительным органам 🚓 полный доступ к зашифрованным данным в облачном хранилище iCloud. Причем требование распространяется на всех пользователей по всему миру, а не только на граждан Великобритании 🇬🇧

По информации источников, Apple может отказаться от предоставления зашифрованного хранения данных в Великобритании, чтобы не нарушать свои обязательства перед пользователями ⛈ Однако это не решит проблему глобального доступа к данным, требуемого британскими властями. Я отмечу три важных момента относительно требований Короны:
1️⃣ Ранее ни одно называющее себя демократическим государство не требовало полного доступа к облачному хранилищу всех пользователей без исключений 🤔
2️⃣ Закон делает незаконным даже сам факт упоминания о таком предписании.
3️⃣ Открытие "черного хода" ставит под угрозу данные миллионов пользователей, так как подобные механизмы могут быть использованы злоумышленниками 🥷

Реакция не последовала себя долго ждать:
1️⃣ Сенатор США Рон Уайден назвал требование Британии угрозой национальной безопасности США 😱
2️⃣ Глава Signal Мередит Уиттакер заявила, что этот шаг сделает Великобританию изгоем в технологическом мире 👮

Пока непонятно, чем это все закончится, но последствия могут быть так себе:
1️⃣ Если Apple подчинится требованиям Великобритании, другие страны, включая Китай (может и Россия), могут потребовать аналогичный доступ 👀
2️⃣ Google, Meta и другие крупные игроки тоже могут столкнуться с подобными запросами 🫴
3️⃣ Apple может полностью убрать поддержку зашифрованного хранения из iCloud, чтобы не создавать лазейки для одного государства, но это ударит по безопасности пользователей.
4️⃣ Apple может уйти из Великобритании (да и фиг с ней) 👋

Это конфликт в очередной раз продемонстрировал классическую борьбу двух основополагающих принципов: государственный контроль vs. право пользователей на приватность. Какой из них победит, пока остается вопросом... Эдвард Сноуден за чашкой чая с русскими баранками с любопытством наблюдает за ситуацией, говоря про себя: "А я же говорил..." 🙂

ЗЫ. Думаю, англичане получат по сусалам от Трампа, который и им пригрозит ростом пошлин, и подданные Ее Величества пойдут на попятную.

#регулирование

Иногда читаешь новости и вообще не понимаешь, что имел ввиду автор 🤦‍♂️ Что за проект какой-то мировой ИБ? Слова все понятные, но смысл как-то не улавливается. Ладно, если бы речь шла о мировой стабильности... Потом погружаешься глубже и только из цитаты одного из инициаторов проекта понимаешь, что речь идет не о мировой ИБ, а о международной. Ну ОК, чуть понятнее. Но дальше снова непонятно 🤔

Инициатор проекта сообщает, что Россия подготовила проект концепции конвенции о МИБ 🤔 Вообще, вот такие вот обороты про "проект концепции конвенции" - это высший пилотаж канцеляризма, когда надо сказать, что ничего нет, но не хочется в этом признаваться. Концепция конвенции - это и есть проект, который еще пилить и пилить, согласовывать и согласовывать. А тут еще и проект концепции. На техническом языке - это даже не альфа версия, а скорее POC 🤷‍♀️

Но дело даже не в этом, а в том, что благодаря России ООН в 2023 году уже приняла проект резолюции по МИБ. Что же тогда мы опять подали? 🤔 Или те, кто писал статью и репостил ее приняли за новое уже давно сделанное? В общем, ничего не понятно, но очень интересно. Надеюсь, Олег Шакиров в своем канале приоткроет завесу тайну над всеми этими хитросплетениями ✍️

ЗЫ. Но уровень написания текстов в СМИ упал катастрофически, конечно 😢 То слова пропущенные, то склонения и спряжения хромают, то и вовсе грамматические ошибки в тексте. Куда смотрит ChatGPT?

#регулирование

Подогнали очередной рейтинг зарплат ИБшников 🤑 Опирается на несколько тысяч открытых вакансий и результаты опросов (преимущественно по США). В тройку лидеров входят:
1️⃣ Директор по безопасности - $257500
2️⃣ ИТ-директор - $232825
3️⃣ Инженер по приватности - $200000.

Если убрать руководящие позиции из Топ3, то получится, что прайвасисты получают больше всех 🏆 В России это, скорее всего, не так. Хотя там явно не занимались приведением всех ИБшных позиций к единому знаменателю. Те же Privacy Officer и Privacy Manager, то есть позиции по статусу выше, чем инженер, получают вдвое меньше. А в США 🇺🇸 надо еще учитывать и штат, в котором работает ИБшник (зарплаты между Калифорнией и каким-нибудь Колорадо могут сильно отличаться) ⚖️

Меньше всех получает аналитик SOC - 106-я позиция рейтинга с годовой зарплатой в $72220 долларов (везде значения указаны медианные), что в пересчете на рубли составляет "каких-то" 600 тысяч рублей в месяц 🤏 Но в любом случае, сырые данные тоже выложены, - можно самому покопаться в них и провести свой анализ по различным срезам 🪣 А можно и свою зарплату указать, чтобы попортить сервису статистику 😂

#экономика #тенденции

Ну и снова про Doom 🎮, но теперь уже внутри PDF (работает только в браузерах на основе Chromium). На этот раз это не про геймификацию, а про демонстрацию того, что можно засунуть в файл, который как бы "просто документ" и "там ничего не может быть этакого". Но нет, может 😷 VirusTotal не ругается на файл, если что.

#malware

В результате недавней реструктуризации технологического подразделения Medibank 🇦🇺, компания рассталась с Алексеем Лоизу, занимавшим должность главного директора по информационной безопасности (CISO) на протяжении трех лет. Лоизу присоединился к Medibank в январе 2022 года, за десять месяцев до крупной утечки данных, затронувшей 9,7 миллиона текущих и бывших клиентов 🔓 После инцидента он возглавил масштабную программу повышения уровня кибербезопасности в компании, бюджет которой превысил 126 миллионов австралийских долларов (порядка 85 миллионов долларов США) и завершение которой ожидается к середине 2025 года 🛡

В своем сообщении на LinkedIn Лоизу отметил, что за время его работы команда успешно 💪 справлялась со сложными задачами в области безопасности, выстраивала устойчивые системы и продвигала культуру непрерывного обучения и инноваций. Теперь на должность CISO назначен Кристоф Штрицик из Origin Energy, который приступит к своим обязанностям 24 марта. Medibank подчеркнула его опыт в различных секторах, включая финансовые услуги, энергетику и консалтинг, а также участие в различных консультативных группах по безопасности и регулированию 😕

И хотя все делают хорошую мину при плохой игре, понятно, что старого CISO "ушли" 🛍 именно за прошлый инцидент, который он допустил. Но руководство Medibank решило не менять коней на переправе и дать Лоизу исправить свой факап. Ведь утечка в Medibank произошла из-за того, что служба ИБ компании не обратила внимание на сигналы тревоги, которые ей слали агенты EDR, установленные на ПК сотрудников 🤌 Об этом говорится в материалах суда. В очередной раз эта история подсказывает нам, что наличие эффективных средств защиты не гарантирует защиты и их не только надо уметь настраивать, но и иметь выстроенные процессы SecOps 🎮

Однако, интересно, на что будут потрачены 126 миллионов долларов? 🫵 Ведь даже имеющиеся технологии позволили бы предотвратить утечку, если бы на сигналы тревоги от EDR ИБ среагировала. Эти десятки миллионов долларов пойдут на выстраивание процессов SecOps? Oh my gosh, как говорят англосаксы 🧐

ЗЫ. Если есть антикризисные управляющие, то должны быть и антикризисные CISO? Или это vCISO?

#CISO #инцидент #утечка

Помните историю 2017-го года, когда хакер из Anonymous 🥷 опубликовал в Интернете фотку груди своей девушки с издевательском текстом? По этой фотке, которая в метаданных хранила GPS-координаты места съемки хакера и вычислили 👮

Но технологии на месте не стоят 🚶 Создана нейросеть GeoSpy AI, которая распознает снимки и находит координаты, по которым сделана фотография. Раньше, этот метод осуществлялся преимущественно вручную, пусть и с использованием ряда средств автоматизации. Теперь задачу упростили донельзя 📸 Да, это не панацея и не каждую фото можно так легко "распознать", но то ли еще будет... Теперь, если вам есть что скрывать, стоит 100 раз подумать, стоит ли выкладывать фото в соцсети. Хотя мы уже столько всего навыкладывали, что наш цифровой след замести уже не удастся 👣

#osint #ии

ЗЫ. Спасибо подписчику за присланную ссылку на видео.