Пост Лукацкого

Эль «Майский баг» 🥂 К вечеру пятницы готов. А ты? 🫵

Я в курсе по измерению 🧮 эффективности ИБ, рассказывая про средства для этого, всегда говорю, что большинство специалистов по ИБ идет по пути наименьшего сопротивления, используя инструментарий, который всегда под рукой 🕯 И вот свежая статистика, которая доказывает это. В Топ10 инструментов, с помощью которых CISO собирают данные для своей отчетности, входят:
1️⃣ Сканеры безопасности - 67,3%
2️⃣ SIEM - 65,3%
3️⃣ Отчеты ИТ и ИБ-команд - 63,3%
4️⃣ Отчеты аудита и соответствия - 61,2%
5️⃣ Пентесты - 59,2%
6️⃣ Метрики повышения осведомленности - 59,2%
7️⃣ Результаты расследований инцидентов - 49%
8️⃣ Исследования Threat Intelligence - 44,9%
9️⃣ Обратная связь и средства генерации отчетов - 24,5%
1️⃣0️⃣ Опросы сотрудников - 14,3%.

А так как ни один из указанных инструментов не позволяет сформировать отчет 📊 для топ-менеджмента "от и до", то CISO жаждут всесторонний инструмент, который бы позволял им выстроить и автоматизировать процесс регулярной подготовки отчетов по ИБ для разных задач 📎 Про требования к такому продукту я расскажу уже завтра или в понедельник.

Как CISO измеряют эффективность своей программы ИБ? Финансовый показатель (стоимость защиты vs размера потенциальных потерь) находится на втором месте с конца по популярности, опережая только % систем с актуальной базой антивирусных сигнатур. На первых 8 местах этой десятки:
1️⃣ Динамика инцидентов ИБ
2️⃣ Временной интервал между обнаружением и устранением уязвимостей
3️⃣ % кликов по фишинговым сообщениям
4️⃣ Медианное время реагирования на инциденты (MTTR)
5️⃣ Медианное время обнаружения инцидента (MTTD)
6️⃣ % сотрудников, прошедших тренинги ИБ
7️⃣ Число проведенных оценок рисков
8️⃣ Число заблокированных угроз (это почти как "нейтрализовано 600 миллионов DDoS-атак").

Провели мы тут мероприятие закрытое "СМИшно об ИБ", для которого подготовили прикольный плакат с разъяснением типовых ИБшных терминов на "журналистском" языке 😂 Весь выкладывать не буду, но фрагмент не могу не выложить!

Проводили тут бизнес-завтрак с финансовыми директорами в Кибердоме. Говорили о наболевшем, о том, как CFO смотрят на кибербез и его финансирование 🤑 Дискуссия началась с фразы, которая прозвучала на жалобу, что ИБ мало выделяют ресурсов:

Как объясняют, так и получают!

И статистика сегодня и вчера это лишний раз доказывает. "Финикам" не интересны все эти ландшафты угроз, политики ИБ, оценки уязвимостей, временные параметры инцидентов и т.п. Они далеки от всего этого. Вопросы возврата инвестиций, которые им интересны, используются всего в 18% случаев, а воздействия на бизнес и того реже - в 12% случаев. О чем же пишут CISO, когда используют бизнес-фокус в своих отчетах? ✍️
1️⃣ Снижение рисков (количественная оценка)
2️⃣ Способствование бизнес-инициативам
3️⃣ Метрики воздействия на бизнес (ущерб)
4️⃣ Снижение издержек и экономия
5️⃣ Рост лояльности заказчиков и снижение их текучки
6️⃣ Эффективность реагирования на инциденты
7️⃣ Рост продуктивности
8️⃣ Влияние на стоимость киберстрахования
9️⃣ Рост зрелости.

Это соотносится с тем, что звучало у нас на бизнес-завтраке ☕️

Мне кажется, хакерам 🥷 сопредельного государства надо быть благодарным за то, что они улучшают имидж ФСБ, делая своими "письмами/приказами" эту структуру более открытой и повернутой лицом к бизнесу. Я бы хакерам грамоту от имени директора ФСБ выдал. Но так как они не очень любят шумиху и официоз, то они могут и сами эту грамоту приобрести; на Авито 😂

ЗЫ. На фото фейк, если вы не понял. Спасибо подписчику, приславшему этот не очень качественный образчик хакерских проделок. Прежний и то выглядел профессиональнее.

Какие данные CISO включают в свои отчеты 📈 для руководства компании? Я про это делал целую серию заметок в блоге (первая, вторая, третья, четвертая, пятая, шестая). А тут вот новые данные подогнали. В отчеты включают следующие данные (по убыванию популярности):
1️⃣ Результаты оценки рисков (ох уж эта приверженность CISO рискам...)
2️⃣ Анализ ландшафта угроз
3️⃣ Статус соответствия требованиям законодательства
4️⃣ Результаты реагирования на инциденты
5️⃣ Результаты оценки уязвимостей и пентестов
6️⃣ Политики ИБ и средства защиты
7️⃣ Возврат инвестиций
8️⃣ Анализ воздействия на бизнес (BIA).

Как по мне, так последние два пункта, ненабравшие даже 20% каждый, являются основными при общении с топ-менеджерами. А все остальное - это сопутствующие данные, которые только помогают отвечать на второстепенные вопросы. А тут они в основе отчетности CISO для топ-менеджеров 📊 Отсюда и результат - CISO не находится на одном уровне иерархии с другими людьми уровня CxO, а подчиняется кому-то из них 😭

Еще несколько лет назад считалось, что в большинстве случаев CISO подчиняется CIO, а ИБ рассматривается как функция ИТ. Но вот свежее исследование показывает, что все немного не так 🤷

CISO подчиняется ИТ уже не в 3/4 случаев, а всего в одной четверти. В каждом пятом случае подчинение идет сразу под генерального директора 🧐 Еще в 16% главный ИБшник рапортует техническому директору. Но в почти 40% случаев CISO находится по финансовым директоров, главным юристом и даже CPO, а также иными топ-менеджерами 😕

CrowdStrike направил пострадавшим от пятничного сбоя письмо с промо-кодом на карточку Uber Eats (сервис доставки еды) 🍔 стоимостью 10 долларов в качестве извинений за ту головную боль, которую принес инцидент. Но случился очередной конфуз - некоторые карты оказались недействительными, а в качестве причины было написано, что "карта была отменена выпустившей стороной и больше не действительна" 👋

А пока одно подразделение CrowdStrike готовится разгребать еще и этот удар по репутации, другое наконец-то пояснило, что же все-таки произошло и почему обновление контента обнаружения накрыло несколько миллионов компьютеров синевой. Если кратко, то ситуация такова ✍️

У CrowdStrike есть два вида обновления - Sensor Content и Rapid Response Content. Sensor Content содержит различные функции для обнаружения угроз и реагирования на них 🛡 Он включается в обновления сенсоров CrowdStrike и содержит модели машинного обучения, разработанные для длительного использования и обнаружения широкого спектра угроз и их семейств. Все функции проходят тщательную оценку, включающую автоматизированное и ручное тестирование, а также проверку и развертывание в тестовом окружении 👨‍💻

Процесс начинается с автоматизированного тестирования, включая юнит-тестирование, интеграционное тестирование, тестирование производительности и стресс-тестирование 🔄 Затем обновления выпускаются поэтапно: сначала тестируются внутри компании, затем у ранних пользователей, и наконец становятся доступными всем клиентам. Клиенты могут выбирать, какую версию сенсора (N, N-1 или N-2) установить через политику обновлений 🆕

Rapid Response Content используется для сопоставления поведенческих шаблонов на сенсоре. Это бинарный файл. Он позволяет выявлять и предотвращать угрозы без изменения кода сенсора и поставляется как экземпляры шаблонов, которые соответствуют конкретным поведениям чего-то вредоносного для наблюдения за ним, его обнаружения или предотвращения 🔓

Rapid Response Content обновляется через конфигурационные файлы системы Falcon. Экземпляры шаблонов создаются, проверяются и развертываются на сенсорах через так называемые файлы каналов. Сенсор интерпретирует (вот это самое важное) эти файлы для обнаружения и предотвращения вредоносной активности 🗡

19 июля 2024 года было развернуто два новых экземпляра шаблонов. Из-за ошибки в валидаторе контента один из экземпляров был принят, несмотря на наличие "проблемных данных". Это вызвало ошибку чтения памяти, выход за ее границы, что и привело к сбою операционной системы Windows (BSOD) 🪟

Ну вот что за шовинизм в ПП-1272 о заместителях руководителей организаций, ответственных за кибербезопасность, и разработанного во исполнение 250-го Указа Президента? 👵 Почему вдруг в тексте появляется слово "он", хотя речь идет о лице, то есть должно быть "оно"? Это что, теперь, если буквально трактовать Постановление Правительства, женщина не может быть замом гендира по ИБ? Непорядок! 💍

Компания CHEQ выпустила отчет о фальшивом трафике, который показывает, насколько серьезной становится эта проблема. И это несмотря на наличие средств класса NTA, которые помогают детектировать 👀 различные классы атак, необнаруживаемые традиционными периметровыми или хостовыми средствами ИБ.

Согласно исследованию CHEQ, в 2023 году 17,9% всего наблюдаемого трафика было фейковым 🤖 или инициировано различными средствами автоматизации, что на 58% больше по сравнению с 11,3% в предыдущем году. Другие источники, учитывающие весь "автоматизированный" трафик (боты, кликеры, краулеры, скрипты для автоматизации и т.п.), оценивают объем нежелательного трафика еще выше — до 50% от общего объема. Такой трафик можно разделить на три категории:
1️⃣ боты, которые составляют 49,1% фальшивого трафика 🤖
2️⃣ подозрительный трафик - 42,3%
3️⃣ вредоносный трафик - 8,6%.

CHEQ предупреждает, что в 2024 году киберпреступники и мошенники 🥷 больше не ограничиваются простыми ботами и фермами кликов. Они используют высокоразвитых ботов, способных имитировать человеческое поведение, избегать обнаружения и совершать различные злонамеренные действия, такие как сбор данных без разрешения, увеличение метрик вовлеченности, мошенничество и компрометация безопасности и целостности множества веб-сайтов, мобильных приложений и API. Искусственный интеллект 🧠 только усугубляет угрозу и создает дополнительные проблемы для команд безопасности. ИИ позволяет ботам становиться более сложными и труднодетектируемыми, увеличивая объем генерируемого трафика и позволяет ботам адаптироваться к защитным мерам, тем же WAF или API Security Gateway 🛡

Советы CHEQ для снижения опасности этой проблемы просты:
1️⃣ Разработать и применить на каждом интерфейсе управляемых сетевых устройств политику для трафика (traffic policy)
2️⃣ Внедрить процедуры и инструменты для мониторинга и контроля трафика на внешних интерфейсах, направляющегося к МСЭ, в ДМЗ, к web-серверам, IoT-устройствам и беспроводным устройствам.
3️⃣ По умолчанию запретить весь трафик и разрешить только отдельные протоколы и межузловые взаимодействия в соответствие с установленными правилами и исключениями из них
4️⃣ Внедрить процедуры и инструменты, обнаруживающие любой несанкционированный обмен трафиком с внешними системами
5️⃣ Подключать сеть организации к внешним сетям только через пограничные устройства, позволяющие фильтровать трафик (явно не упоминается NGFW, так тут может быть и Zero Trust, SASE и SSE)
6️⃣ Ограничение числа внешних соединений и мониторинг входящего и исходящего трафика
7️⃣ Реализация на всех внешних управляемых интерфейсах механизмов контроля доступа, обнаружения вторжений и т.п.
8️⃣ Реализация подсетей для публично доступных компонентов
9️⃣ Обеспечение целостности и конфиденциальности для трафика
1️⃣0️⃣ Документируйте каждое исключение в политике управления трафиком с указанием бизнес-потребности, мерами контроля и длительностью действия исключения
1️⃣1️⃣ Обновляйте все сетевые компоненты как можно раньше
1️⃣2️⃣ Обеспечьте не менее одного тренинга в год для персонала, реализующего предыдущих 11 пунктов

Компания Dragos опубликовала исследование нового, уже 9-го специализированного вредоносного ПО для промышленных сетей 🏭, которой она назвала FrostyGoop. Это первый вредонос, который использует Modbus TCP для реализации недопустимых событий (обнаруженный в 2022-м году PIPEDREAM также использовать Modbus TCP, но для инвентаризации промышленных устройств) 🪫

Служба безопасности Украины сообщила, что нынешней зимой это вредоносное ПО было задействовано в кибератаке, которая привела к двухдневному отключению отопления и электричества в 600 домах во Львове, управляемых контроллерами ENCO 🔋 Общее число пострадавших составило около 100 тысяч человек. Несмотря на заявления СБУ Львовтеплоэнерго поспешил сообщить, что "последствия были быстро нейтрализованы и работа сервисов восстановлена" (а что еще могла сказать пострадавшая компания?).

По данным Dragos, которая никак не атрибутирует данный вредонос (хотя и неявно намекает), антивирусы его не детектируют и настойчиво рекомендуется использовать системы мониторинга безопасности в промышленных сетях и АСУ ТП 🔍

Microsoft пошла в атаку и обвинили Еврокомиссию 🇪🇺 в том, что это именно из-за нее произошел коллапс с обновлением CrowdStrike 🤦‍♂️ Связано это с соглашением об интероперабельности, которое было заключено в декабре 2009-го года между гигантом из Редмонда и Еврокомиссией и которое требовало обеспечить равные права на доступ к ядру ОС Windows 🪟 конкурирующих продуктов, включая и средства защиты. Речь идет о следующем пункте:

"Microsoft гарантирует на постоянной и своевременной основе, что API в операционной системе Windows Client PC и операционной системе Windows Server, которые вызываются программными продуктами безопасности Microsoft, документируются и доступны для использования сторонними программными продуктами безопасности, которые работают на операционной системе Windows Client PC и/или операционной системе Windows Server."

С этим свежим заявлением Microsoft есть три интересных нюанса:
1️⃣ Все-таки это было обновление контента обнаружения или ядра, которое повлияло на ядро ОС? 🤔 Каким образом, если это "просто" сигнатура? Если же CrowdStrike все-таки залил обновление ПО, затрагивающее ядро, то почему они его не согласовали с вендором, как того требуют правила? 🤔
2️⃣ Apple в 2020-м году, ссылаясь на требования безопасности запретила разработчикам доступ к ядру macOS, что вызвало большие нарекания со стороны многих вендоров хостовых средств ИБ. И значит ли это, что Еврокомиссия может и от Apple 🍏 потребовать подписания схожего соглашения? По крайней мере в части возможности использования на iPhone других маркетплейсов Евросоюз добился.
3️⃣ Почему Microsoft не разработала для средств защиты иной API, который мог бы позволять видеть 🖥 многое на уровне ядра, не затрагивая его самого? Не захотела заморачиваться, а теперь просто переводит стрелки?..

Генерального директора CrowdStrike вызвали в Конгресс США 🇺🇸 дать пояснения по поводу случившегося в прошлую пятницу 🫵 Можно было бы предположить, что американцы усилят контроль за технологическими компаниями, от которых стало зависеть очень многое, но до того ли им будет в условиях предвыборной гонки? 🏎

За всей этой историей с CrowdStrike затерялась новость, что Wiz, стартап по облачной безопасности, которого хотел купить Google 🌐 за 20+ миллиардов долларов, отклонил предложение американского ИТ-гиганта, решив самостоятельно выходить на IPO вместо продажи стратегическому инвестору 👎 Смелые и амбициозные ребята!