ФСТЭК выложила проект ГОСТа по мониторингу ИБ - https://t.co/MABIsGZgdu
— Alexey Lukatsky (@alukatsky) August 11, 2020

Какой забавный ролик про то, каким сетям 5G можно доверять ;-)

Ну все, разобрались теперь. В Беларуси не Интернет отключили, а GPS

Прошел сегодня живой эфир AM Live, посвященный корпоративной многофакторной аутентификации, который мне довелось модерировать и за приглашение на которой хочу сказать спасибо Илья Шабанов. Что могу сказать - получить задорно. Это первый для меня опыт комбинированного мероприятия, когда аудитория участвует онлайн, а все спикеры собрались оффлайн в одном месте. Совершенно иные ощущения. Драйв есть и живость в общении. В чистом онлайн этого не хватает все-таки, хотя и из него можно выжать немало. Но вернемся к эфиру.

Надо отметить, что аутентификация - это один из столпов ИБ и за 2 с небольшим часа рассказать о нем невозможно. А учитывая, что у нас из 5 участников трое (Аладдин Р.Д., Актив и Thales), немного утрируя, представляли вендоров токенов, то понятно, что мы так или иначе скатывались именно к токенам, как к второму фактору. Ни тебе push, ни SMS, ни приложение... Либо PKIный токен (с криптографией), либо OTP, который почему-то отечественные вендора зачморили немного. Но и такой поворот темы тоже оказался интересен - явно видны разные течения в MFA. Для отечественных вендоров на первое место выходят безопасность и регуляторика, а для западных - удобство. Немного нас рассудил, как мне кажется, Александр Санин, который как раз делился независимым взглядом на то, что действительно сейчас интересует корпоративных пользователей в качестве инструмента MFA. А это не токены, которые так превозносились отечественными вендорами, а тот же OTP, немного биометрии (хотя все остальные ее замочили) и, даже, ЕСИА и Facebook (!). И это, кстати, было необычно слышать, что кто-то использует ЕСИА или соцсеть в качестве инструмента аутентификации.

Не буду пересказывать все, что мы говорили, и что оставили за кадром. Упомяну только тему грид-аутентификации, о которой упомянул, но не стал раскрывать Сергей из Thales, и тему непрерывного мониторинга аутентифицируемых сущностей с помощью ML, которая позволяет снизить риски от подмены второго фактора (этакая MFA UEBA). Помимо этого эфира были еще отдельные интервью с каждым из участников и я надеюсь они тоже будут выложены. А там есть местами просто бомбические перлы, которые их авторы в запале высказывали, но потом просили Илью удалить из финальной версии. Если он не побоится и выложить авторскую, а не цензурированную версию, то баттл продолжится в онлайне 🙂

В любом случае получилось неплохо. 25-го августа будет по сути продолжение этого эфира, посвященное теме Identity Management.

Новый отчет АНБ и CISA о русских хакерах- https://t.co/cWA7yabdNt В ГРУ, видимо, работают исконные знатоки русской речи, если они используют слово "дроворуб", которое-то и произнести тяжело, а уж назвать им вредонос? Почему не более привычный "топор" или "колун"?
— Alexey Lukatsky (@alukatsky) August 13, 2020

И это если не обращать внимание на отсутствие списка IP-адресов C2, которых в отчете нет, а также на ссылку на газету ВашингтонПост, которая якобы ранее атрибутировала схожую кампанию и связала ее с ГРУ. Газета... У АНБ и CISA видимо нет иных достоверных источников для атрибуции
— Alexey Lukatsky (@alukatsky) August 13, 2020

Ну а чо, ФСБ можно все секретить, что не гостайна, а МинОбороны нельзя? Они тоже решили все закрыть, что не гостайна https://t.co/vyw5ijMGSi Хотя могли бы вновь законопроект о служебной тайне внести в ГД, но нет... Осталось Минкульту еще засекретить все сведения о культуре...
— Alexey Lukatsky (@alukatsky) August 14, 2020

А ведь ФСТЭК у нас под МинОбороны ходит...
— Alexey Lukatsky (@alukatsky) August 14, 2020

Вчера на баттле AM-Live по MFA услышал историю, как один госорган хотели нагнуть за нецелевое расходование бюджетных средств за то, что он купил токены для MFA. Ибо не написано в нормативке нигде, что надо использовать MFA и токены....
— Alexey Lukatsky (@alukatsky) August 14, 2020

А потом мы удивляемся, что у нас с ИБ в госорганах так все непросто. Да они, в массе своей, боятся просто покупать что-то, что не прописано в нормативке и не имеет сертификата. Лучше вообще ничего не делать, так как за инциденты ИБ у нас не наказывают
— Alexey Lukatsky (@alukatsky) August 14, 2020

Вчерашний батл, который я модерировал

MITRE Shield - новый проект MITRE, направленный на формирование базы знаний по технологиям активной защиты. В отличие от IDS, FW, AV и т.п., которые относятся к пассивной ИБ, активная включает в себя NTA, UEBA, EDR, обманки и тп, требующее участия человека https://t.co/ZrKjZPigHu
— Alexey Lukatsky (@alukatsky) August 15, 2020

Почему атрибуция киберпреступников сложна или как сложить пазл из артефактов? https://t.co/qSp8qMUJWK
— Alexey Lukatsky (@alukatsky) August 15, 2020

Cisco названа компанией Forrester лидером рынка корпоративных межсетевых экранов - https://t.co/0Fm93CpNRW (по ссылке можно скачать отчет со всеми деталями)
— Cisco Russia&CIS (@CiscoRussia) August 17, 2020

Однако, Мейл.ру сделал интересный инструмент под названием "Диктор". Озвучка нужного текста, подложка в виде студии и вложение текста в уста диктора (пока только женского пола). Очень хорошо подойдет для проведения киберучений https://t.co/Cta8NLCR5q
— Alexey Lukatsky (@alukatsky) August 18, 2020

Проект ГОСТа по ГосСОПКЕ: качество ниже плинтуса. Большинство терминов не совпадает ни с уже принятыми законами, ни с нормативкой ФСТЭК, ни с нормативкой ФСБ, ни даже с принимаемыми сейчас проектами других ГОСТов по ИБ схожей тематики (при одном исполнителе). Заслал отзыв :-(
— Alexey Lukatsky (@alukatsky) August 19, 2020

Проголосовал против проекта ГОСТа по мониторингу ИБ :-( Сырой он еще. А самое главное, что он не учитывает ключевых элементов процесса мониторинга ИБ - обогащения, контроля качества, эскалации, разработки use case и playbook, приоритизации. Да и про реагирование там ни слова :-(
— Alexey Lukatsky (@alukatsky) August 19, 2020