3side кибербезопасности

100 000 за удачное письмо — первая выплата по кибериспытаниям!

Тут случилось уникальное по меркам российского ИБ событие — один из исследователей смог провести успешную фишинговую атаку на инфраструктуру Innostage, которая находится на кибериспытаниях, и теперь получит выплату в 100 000 рублей. Это много — особенно по меркам bug bounty. А главный "приз" — 5 млн рублей — будет выплачен тому, кто сможет реализовать недопустимое событие — вывести деньги со счетов компании.

И мы очень рады, что процесс кибериспытаний, к организации которого мы приложили руку, не просто стартовал, а дошел до первой выплаты. Причем выплаты именно за фишинг — потому что изначальная философия кибериспытания звучала так: "white как black", то есть исследователям должны быть доступны все инструменты настоящих черных хакеров.

Мы активно участвовали в разработке самой методики кибериспытаний, привлекали экспертов из комьюнити для максимально объективного взгляда, и сейчас активно поддерживаем, участвуем в экспертном совете!

Мы очень надеемся, что кибериспытания не только изменят российский ИБ-рынок, но станут массовым и эффективным способом построения защиты и демонстрации защищенности инфраструктуры российских и не только компаний. А еще — существенно поднимут величину выплат за серьезные уязвимости.

А что у нас с безопасностью?

Фундаментальный вопрос, который задается в разных формулировках и может значит очень разное.
Но иногда, лучшим на него ответом будет не уровень защищенности компании, а оценка способности защищаться.

В докладе "Психологический возраст кибербезопасности" на SPB Highload 2024, я рассказал наш подход к этому вопросу.

- Мы рассмотрели плюсы и минусы классических подходов к аудиту.
- Подсветили наше виденье того, когда и какие аудиты нужны.
- Предложили иной путь, путь оценки через "Киберзрелость" - оценку того, насколько ваш подход к информационной безопасности серьезен и насколько вы способны защищаться.

Также в докладе была указана ссылка на анкету базовой самооценки, они всем доступна для скачивания!

Смотреть доклад тут.

О безопасности на конференциях

Об этом поговорили с Security Media, рассказал об интересных случаях и даже упомянул товарища, который целенаправленно ходит на ИБ конференции без билетов)

https://securitymedia.org/articles/interview/anton-bochkarev-tretya-storona-lyubaya-konferentsiya-uyazvima-poetomu-vsegda-nuzhno-byt-nacheku.html

Еще одна статья о противодействии мошенничеству

В этот раз давали комментарии профильному изданию по кибербезопасности SecurityMedia!

https://securitymedia.org/info/otvetit-nelzya-ignorirovat-opasnosti-telefonnogo-moshennichestva-i-kak-im-protivostoyat.html

Любой человек уязвим

Этот тезис не преувеличение, и вот еще одно ему доказательство. Сотрудник прокуратуры, который в 2015 году рассказывал про то, как избежать мошенничества, продал свою Audi Q7 и перевел все свои накопления мошенникам. Они просто ему звонили от имени разных служб, перебирая таким образом сценарии. Самым успешным оказался звонок от "РосФинМониторинга".

Мы все ждем когда какого-либо известного коллегу из кибербезопасности разведут, чтоб закрепить мой тезис. Надеюсь журналисты и это не упустят и подсветят!

"Так безопасно?" №12: Как войти в кибербезопасность? Часть 2.

В предыдущей части я рассказывал о том, как научиться тому, что поможет вам работать в сфере кибербезопасности. В этом посте мы обсудим нюансы и ограничения, которые накладывает эта область.

Кибербезопасность — это сфера, где особое внимание уделяется репутации специалистов. Фактически, это люди, которым доступны все секреты компании и максимальные права и привилегии в инфраструктуре. Такой высокий уровень доверия можно заслужить только при наличии безупречной репутации и биографии. Это касается всех, от инженера по безопасности в крупном банке до специалиста по анализу защищённости в компании-подрядчике.

Мы, Третья сторона, не исключение. Мы тщательно проверяем репутацию и биографию наших исполнителей, иногда даже более тщательно, чем в банках и компаниях, занимающихся информационной безопасностью. Это связано с тем, что потенциальный репутационный ущерб в нашем случае может быть особенно значительным. Ведь мы стартап, и цена ошибки на старте выше.

Что может помешать вам получить работу в сфере кибербезопасности? На какие “красные флаги” обращают внимание компании при рассмотрении кандидатов?

1. Судимости. Люди с судимостями считаются менее надёжными, чем остальные. Считается, что если человек однажды переступил закон, то он может сделать это снова, если представится удобный случай. С подозрением также относятся к административным правонарушениям, особенно если они связаны с политикой. Даже если компания не интересуется политическими взглядами своих сотрудников, подобные случаи могут указывать на импульсивность и несерьёзность.

2. Участие в киберпреступлениях, продажа баз данных и данных платёжных карт на форумах, объявления о криминальных услугах, хактивизм. Как и в первом пункте, хоть и без уголовного дела, это может свидетельствовать о возможном повторном нарушении закона, отсутствии моральных принципов, ненадёжности и несерьёзности. Сейчас не начало 2000-х, когда репутация «чёрной шляпы» считалась бонусом при приёме на работу. Сейчас единичный «чёрный» эпизод может навсегда закрыть вам путь на легальную сторону!

3. Зависимости: наркотики, включая лёгкие, азартные игры, злоупотребление алкоголем. Человек с зависимостями ненадёжен, особенно если его зависимости заметны. В таком случае он, вероятно, уже начинает терять контроль над своей жизнью, а это недопустимо для работы в нашей сфере.

4. Крупные долги и банкротство. Обычно это указывает на зависимости или проблемы с законом. Если такая ситуация уже в прошлом и произошла не из-за вышеперечисленных причин, стоит объяснить это на собеседовании.

Добавлю, что ситуация не так строга, как может показаться. Например, нарушения правил дорожного движения обычно не вызывают большого внимания, как и административные правонарушения, связанные с распитием алкоголя в публичных местах.

Прежде чем начать свой путь в кибербезопасности, важно понимать, что здесь легко потерять свою карьеру. Негативная информация на нашем небольшом рынке распространяется быстро. Что же делают специалисты в таких случаях?

Я лично не знаю таких случаев, но слышал, что некоторые специалисты переходят в IT, где требования к репутации и биографии не так строги. Они становятся разработчиками или системными администраторами.

В следующей части я расскажу вам о специализациях «атакующей» и «защищающей» сторон, управлении в области кибербезопасности и исследовательских направлениях!

#3side_так_безопасно

Обнаруженная критическая уязвимость в VEEAM снова показывает, что возможно все.

Забавно, но один наш бывший друг, работая в VEEAM, утверждал, что подобное невозможно в принципе. И приводил три основных пункта:

1. У нас такое качество кода/разработки и ревью, что любые серьезные уязвимости никогда не пройдут.
2. Пентесты/внешние исследователи не нужны, у нас разрабы сами умеют проверять свой код!
3. Ты просто не сталкивался с высокой культурой работы с кодом, поэтому и думаешь, что тут что-то такое могут найти! В самом VEEAM проблем нет, только если проблемы с настройкой серверов, но они на стороне клиента, или нашего облака.

И вот оно как обернулось, уязвимость к тому же поражает своей простотой! Злоумышленник отправляет данные для входа, указывая,что проверять их нужно у него же! А сервис VEEAM это принимает за чистую монету и не проверяет, куда его отправили, возвращается к злоумышленнику же с вопросом "этого можно пускать?". Вот так можно выписать себе же доступ к системе.

Хочется спросить — ну и где были все эти опытнейшие разработчики с высочайшей культурой работы с кодом? А ситуация, на самом деле, очень простая: все ошибаются. Чем меньше степеней защиты, тем больше шансов, что критическая ошибка уйдет в релиз — это, в общем, правда жизни.

А нам вспоминается прикол с одного из мест работы одного из фаундеров 3side, когда очень опытный разраб, отвечая на вопрос о том, почему он заливает изменения сразу в прод, с лицом опытного сапера ответил: "меня учили не ошибаться". Место работы, кстати, считалось "системно значимым" — если вы понимаете, о чем мы. Такие дела.

Шифровальный блицкриг - захват сети за 2 дня

Американские исследователи из Mandiant (приобретена Google в 2022 году) выкатили очень серьезное исследование тенденций мирового рынка кибервымогателей. Само исследование по ссылке, а пока ключевые выводы:

- количество инцидентов растет, количество известных утечек очень существенно растет, появляется большое количество ранее неизвестных семейств криминального ПО

- в трети случаев, шифрование было запущено в течение 48 часов после получения атакующими первоначального доступа. То есть за 2 суток успевают разломать все и получить нужные права.

- В 76% случаев запуск шифровальщиков происходит во внерабочее время, самое “горячее” время, 3 часа ночи.

- бум шифровальщиков начался после 2019 года, количество утечек резко возросло в 2023 году.

- с 2022 года атакующие стали уделять гораздо больше внимания всем остальным ОС - Linux, VMware ESXi. Плюс Unix, MacOS и прочие - хоть Windows и все еще доминирует.

- 15% запусков шифровальщиков происходят в течение дня после начала атаки, еще треть - в течение 2 суток.

А теперь важно: далеко не факт, что на такие атаки SOC вообще полноценно отреагирует, а третья линия может просто не успеть подключиться. Про подобную тактику мы рассказывали тут. Грубо говоря, взлом происходит "с пятницы на воскресенье", пока основные линии SOC еще не включились в работу.

Но нашим ощущениям, запуск за сутки после получения первичного доступа - это скорее запуск шифрования “на удачу”, без поиска бекапов, и поиска наиболее критичных данных для компании. Ведь по ощущениям, и развить атаку до прав администратора дома, и саботировать бекапирование, и выделить самые критичные данные за одни сутки - крайне сложно.

Вывод: мы считаем, что проблема кибервымогателей становится все более массовой, а схема RaaS от разделения ролей приходит к максимизации "покрытия" числа жертв с упором на скорость атаки. Интересная тенденция - и, как мы и говорили, скоро МСП+ станут типичной целью.