Что-то забыл я написать про новую методику моделирования угроз, про которую прочитал 7-го марта 💐, но потом закрутился и забыл, пока в скринах не наткнулся. Итак, консалтинговая и исследовательская ИБ-компания Trail of Bits анонсировала создание собственной методики, так как им не подошло ничего из десятков существующих подходов 🆕 Назвали ее TRAIL и да, это аббревиатура от Threat and Risk Analysis Informed Lifecycle.

За основу взяли скоростной скоростную оценку рисков от Mozilla 📱, дополнили методикой моделирования угроз NIST SP800-154 и отшлифовали защитными мерами из NIST SP800-53. Ключевое отличие от остальных подходов - скорость и некоторое упрощение для быстрого получения результатов. Фокус TRAIL - на разработке; в остальных сферах применить методику будет сложновато 🧑‍💻 Но адаптировать вполне.

Авторы дают много ссылок, в том числе и на свой репозиторий 📱 с примерами уже разработанных моделей, а также описывают, как сделать процесс оценки угроз не разовым и детерминистским, а непрерывным (ФСТЭК, кстати, в своей методике требует, по сути, тоже непрерывного процесса) ⌛ Правда, полноценного руководства по моделированию Trail of Bits не приводят (возможно, пока). Без этого ценность анонса не очень высока.

#модельугроз #безопаснаяразработка #devsecops

Уже завтра, буду на московской "Территории безопасности"... (специально выделил про Москву, так как сейчас я в Питере). В 10.00 модерирую пленарную секцию "Экзамен на киберустойчивость. Как проверить, что ты защищен?" 🤔 Буду конкурировать с Рустемом Хайретдиновым, Алексеем Волковым и Львом Палеем (они в параллель ведут свои пленарки на мероприятии, которое собрало в одном месте 4 разных конференции на 4 разные темы) за внимание аудитории 🤗 Но вы-то 🫵 знаете, куда приходить и где будет интересно ☺️ А после обеда, в 15.30 буду проводить мастер-класс "Формирование чек-листа с требованиями по ИБ к подрядчикам" ✔️ Приходите, скучно точно не будет!

ЗЫ. После "Территории безопасности" умчу опять в Питер, уже на "Киберконтур 2025". Вот такая вот непростая судьба спикера...

Прислал мне 1-го апреля коллега новость, которую я не стал сразу постить, не проверив (все-таки новости от 1-го апреля имеют определенный душок), но теперь можно. В США разворачивается таинственная история с "похищением" или задержанием 🤕 профессора в области кибербеза, криптографии и защиты данных Сяофэна Вана и его жены Няньли Ма. Они оба были увезены в неизвестном направлении сотрудниками ФБР 🇺🇸, которые, наряду с представителями полиции, Минюста и других уполномоченных органов, отказались отвечать на вопросы СМИ по данному делу 👮‍♀️

Особую пикантность делу добавляет тот факт, что профессор Ван был деканом в Индианском университете, который потихоньку подчистил все данные о профессоре и его жене со своего сайта 👩‍🎓 При этом, согласно принятым в США правилам, штатного профессора с такой должности нельзя удалить за 1 день, как было сделано в случае с Ваном, - эта процедура занимает гораздо больше времени 👨‍🎓

Комментаторы к статье на ArsTechnica и на Reddit связывают происходящее с национальностью Вана и его жены 🇨🇳 и говорят, что в последнее время американское правительство достаточно пристально стало присматриваться к американизированным китайцам, особенно в научной среде 🔬 ВУЗ, кстати, тоже отказывается комментировать свои действия и местонахождение своего профессора, отправляя всех на три буквы, то есть в ФБР.

У меня же эта история вызвала ассоциации с фильмом "Индиана Джонс и королевство хрустального черепа" 💀, в котором профессора Джонса агенты ФБР подозревают в шпионаже в пользу Советского Союза, что вынуждает его покинуть университет, в котором он проработал 25 лет. И хотя гонения на Джонса были связаны с процветавшим в то время в США маккартизмом, история с Ваном имеет, как мне кажется, ровно ту же природу, но с поправкой на смену главного врага с СССР на Китай 🇷🇺

В интересное время живем...

#геополитика #суверенитет

Интересно, в чём смысл таких сообщений в чатах? Их много стало. Ни тебе криптоскама ❗️, ни эскортниц, ни подработок… В профиле автора тоже ничего крамольного и никаких ссылок 🤔 Или просто расчет на интересующихся, которых уже можно разводить точечно и эффективнее («сам же пришел»)?

#фишинг

Дмитрий тут написал у себя, что очень плохо, когда ВУЗы перестают учить студентов на базе Windows 📱 Александр пишет, что нет, все правильно, долой супостатов. А я обращу внимание на другой аспект этой проблемы. В борьбе за суверенитет, у нас многие забыли, что заниматься надо не импортозамещением, а ростом экспортопригодности своих решений 🪟 Тогда запрещать не надо будет - пользователи сами будут переходить на отечественное, которое лучше (в реальности, а не на словах) иностранных аналогов.

А пока мы зарываем голову в песок, блокируя использование всего иностранного ⛔️ А я задам сакраментальный вопрос - а как потом проводить наступательные разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету? Можно возразить, что и не надо искать. Надо выстроить железный занавес и жить в своем уютном ламповом мирке, в котором нет места иностранщине ☕️ Вот только как быть тем, кто стремиться нести свет российских технологий зарубеж, начиная с дружественных и заканчивая не очень странами?

Все эти страны, практически без исключения, импортозамещением не страдают, так как не могут себе позволить развивать с нуля ИТ-отрасль (даже если бы и хотели). И они используют иностранные ИТ-продукты, которые мы смело отметаем 📱 И как российской компании с международными амбициями в таком случае себя вести? И это я еще не вспоминаю про дурацкий запрет, который вступает в силу с 1 сентября, который запрещает российским компаниям любую рекламу в запрещенных и заблокированных в России соцсетях и ресурсах 📱 И вот что мне делать, если я 2-го сентября захочу через LinkedIn или иную какую экстремистскую соцсеть пригласить иностранных коллег на стенд 🟥 на конференции GITEX в Дубае?

Ох, как прав был Лавров... Заставь дураков Богу молиться... 🤦‍♂️ Вместо того, чтобы развивать свое, запрещают чужое. Это же проще - росчерк пера ✍️ и можно отчитываться.

#суверенитет

Сегодня выступаю 🗣 на "Территории безопасности" в рамках конференции "PRO безопасность подрядчиков", рассказывая про составление чеклиста по безопасности (от) подрядчиков ✔️ Сваял небольшую презентацию (всего 90 слайдов) и по традиции сделал небольшую выжимку из нее в качестве примера.

Кто будет на мероприятии, приходите в 15.30 на мое выступление. Кого не будет... жаль. Я не знаю, будут ли презентации выкладываться на сайт. В прошлом году они были доступны только участникам или за деньги 🤷‍♀️

#supplychain #чеклист

Вышла новая версия SANS Vulnerability Management Maturity Model 2.0 и калькулятор 🧮 для ее использования, в котором есть вопросы, на которые вы отвечаете "Да/Нет/Не знаю" и на выходе получаете свой уровень зрелости по пятибалльной шкале ↗️

#оценказащищенности #оценказрелости

За какие-то смешные 400 баксов продается доступ в неназванную американскую AI Cyber Threat Intelligence компанию 🏷

Я про это сегодня в докладе говорил, что взломать могут и ИБ-компании и их тоже нужно контролировать, выстраивая стратегию нулевого доверия к люьым подрядчикам, особенно работающих в области кибербезопасности 🤔

#инцидент #threatintelligence #ии