Size: a a a

Пост Лукацкого

2021 June 28
Пост Лукацкого
Очередные бандлы с книгами по ИБ - можно купить три за 1 евро или целых 24 за 15 евро
https://www.humblebundle.com/books/cybersecurity-2021-packt-books
источник
2021 June 29
Пост Лукацкого
Ранжирование угроз и их техник: практичный подход https://t.co/Ifwn2hYbbZ
— Alexey Lukatsky (@alukatsky) Jun 29, 2021
источник
Пост Лукацкого
Модельер угроз! Как звучит, а?! https://t.co/VCbBkjJOjC
— Alexey Lukatsky (@alukatsky) Jun 29, 2021
источник
2021 June 30
Пост Лукацкого
Сегодня про ранжирование защитных мер и тоже с практичной точки зрения https://t.co/T0WFP5n8SD
— Alexey Lukatsky (@alukatsky) Jun 30, 2021
источник
Пост Лукацкого
Эксперт-криминалист Виталий Вехов по радио заявил, что в мошеннические колл-центры и «службы безопасности Сбербанка» персданные россиян поставляют спецслужбы стран НАТО! Вот оно как!
— Alexey Lukatsky (@alukatsky) Jun 30, 2021
источник
Пост Лукацкого
Данные ПЦР-теста - это сведения о состоянии здоровья, то есть спецкатегория ПДн. Письменное согласие на обработку ПДн и все такое… А вот QR-код относится к сведениям о состоянии здоровья?
— Alexey Lukatsky (@alukatsky) Jun 30, 2021
источник
Пост Лукацкого
Формулирование словоформ из чиновничьего мыслепотока вызывает большие сомнения в понимании представителями регуляторов темы регулирования их области в рамках сферы их компетенций https://t.co/l9q3aHOSFq
— Alexey Lukatsky (@alukatsky) Jun 30, 2021
источник
2021 July 01
Пост Лукацкого
Выбор защитных мер: финальный подсчет рейтинга. А завтра уже объединим три последних заметки в единую картинку https://t.co/JMjQxyNloM
— Alexey Lukatsky (@alukatsky) Jul 1, 2021
источник
Пост Лукацкого
Модерировал я вчера эфир AM Live про тестирование на проникновение, всю запись которого можно посмотреть на Youtube (https://youtu.be/JDPYRHLfKEA). Пересказывать ее нет смысла, но по уже сложившейся традиции, некоторые наблюдения, замечания, тезисы с эфира я опишу:

1. Четкого определения пентеста, а точнее его отличий от redteaming, так и нет. Ну разве что, пентест - это всегда люди (в отличие от сканера безопасности или решений BAS) и почти всегда это технические вектора атаки (у redteaming вектора могут быть и физические - флешку подбросить, телефон в кафе хакнуть, охрану обойти и т.п.).

2. Пентест сложно формализуем и поэтому пока никакой искусственный интеллект ему не угрожает. Поэтому и решения BAS (а про них спрашивали часто) пентест не заменят, хотя могут помочь автоматизировать некоторые типовые и простые сценарии.

3. Большинство слушателей эфира (а был поставлен рекорд за все время проекта - больше 2000 просмотров в прямом эфире) по-прежнему, в основном (48%), используют сканеры уязвимостей, как основной метод анализа защищенности. Red team на втором месте; пентесты (14%) - на четвертом.

4. Нахождение уязвимостей или успешного вектора атак - не является самоцелью и может быть ситуация (хотя такого почти никто и не припомнит), что ничего найдено не будет. Чем уже scope, тем выше вероятность ничего не найти.

5. Для многих профессиональных пентестеров одной из проблем являются "мамкины хакеры", которые демпингуют и за пентест выдают запуск обычного сканера. Однако на вопрос: "Как отделить хорошего пентестера от новичка?" четкого ответа так и не последовало. Да, участники говорили , что надо смотреть профиль компании и все такое, но четких критериев "хороший/плохой" так и не было. Вообще прозвучало, что в нашем регионе не больше 70-80, а если поднатужиться, то не больше 200-300 квалифицированных пентестеров.

6. Участие в CREST является интересным мерилом качественного пентестера, так как хотя бы подтверждает выстроенные процессы (но такая позиция была только у одного участика, компания которого сейчас как раз подалась в CREST).

7. Сертификация пентестеров - это все фигня, хотя сегодня популярной является OSCP. Время GPEN от SANS прошло. CEH - это отстой. Остальные сертификации не упоминались.

8. Своими силами проводить пентесты можно (так делает 37% слушателей), но глаз быстро замыливается и поэтому лучше привлекать внешние команды, которые еще и ротировать (сами компании тоже внутри себя ротируют специалистов).

9. Пентестерам хотелось бы интересных проектов, но почему-то многие заказчики приходят с желанием пентеста по требованиям ЦБ или ФСТЭК. И это скучно. Кто-то отказывается от такого (могут себе позволить). Слушатели же утверждают, что на их первое обращение к пентестам полияли не регуляторика, не инцидент, не интегратор предложил попробовать, а бизнес (41%). Инцидент - это вторая с конца причина обращения к пентестам в первый раз.

10. Пентест отличается от сканирования или краудсорсингового Bug Bounty тем, что выдается рекомендации по устранению выявленных проблем. Не детальные, но либо архитектурные, либо на уровне типов средств защиты. Это, кстати, очень важно, но про это редко говорят, упоминая пентесты, которые часто воспринимаются просто как "мы вас взломаем". Рекомендации по нейтрализации, наряду с executive summary и списком findings - это основа любого отчета по пентесту.

11. MITRE ATT&CK и тем более ТТУ ФСТЭК в отчетах не требуют.

12. Длительность самого пентеста (хотя все зависит от scope, конечно) обычно занимает 3-4 рабочих недели. Еще недели 2-3 занимает написание отчета. Самое длительное в пентесте - подписание NDA и договора. Может и 2-3 месяца процедура длиться. Чем крупнее заказчик, тем дольше процедура.

13. Нерешенная проблема - LoA (Letter of Authorization), которое дает право на проведение пентеста, но юридически этот документ очень специфичен и статус его висит в воздухе, а разделить ответственность и четко прописать весь scope, особенно для облаков и иных разделяемых сред или холдинговых структур, ооооочень сложно. Все ходят под статьей.
YouTube
Тестирование на проникновение (пентесты)
#ТестированиеНаПроникновение #Пентест #PenetrationTesting
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 30 июня 2021 года, на которой эксперты поговорили о тестировании на проникновение (пентест, Penetration Testing).

Модератор:
• Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Участники:
• Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон
• Омар Ганиев, генеральный директор DeteAct
• Вячеслав Васин, руководитель отдела технического аудита, Group-IB
• Александр Колесов, руководитель отдела анализа защищенности Solar JSOC, «Ростелеком-Солар»
• Сергей Зеленский, руководитель лаборатории практического анализа защищенности, «Инфосистемы Джет»
• Александр Зайцев, руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского»

0:00 -- Интро
0:46 — Представление участников
2:00 — Что такое пентест и чем он отличается от других форм анализа защищённости
17:40 — Помогут ли регулирующие документы от государства компаниям…
источник
Пост Лукацкого
Пожалуй, вкратце, это все. Остальное рекомендую смотреть в эфире (https://youtu.be/JDPYRHLfKEA). А там есть, над чем залипнуть. Это и инструменты автоматизации, и методики проведения пентестов, и отличие непрерывного пентеста от регулярного, и частота проведения пентестов, и disclosure выявленных уязвимостей, и пентест умных лампочек, и, конечно, же нетолерантные White Box и Black Box пентесты.
YouTube
Тестирование на проникновение (пентесты)
#ТестированиеНаПроникновение #Пентест #PenetrationTesting
Запись прямого эфира онлайн-конференции AM Live (https://www.anti-malware.ru), проходившей 30 июня 2021 года, на которой эксперты поговорили о тестировании на проникновение (пентест, Penetration Testing).

Модератор:
• Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Участники:
• Артём Мелёхин, старший менеджер по технологической поддержке продаж, Мегафон
• Омар Ганиев, генеральный директор DeteAct
• Вячеслав Васин, руководитель отдела технического аудита, Group-IB
• Александр Колесов, руководитель отдела анализа защищенности Solar JSOC, «Ростелеком-Солар»
• Сергей Зеленский, руководитель лаборатории практического анализа защищенности, «Инфосистемы Джет»
• Александр Зайцев, руководитель центра компетенции по анализу защищенности, «Лаборатория Касперского»

0:00 -- Интро
0:46 — Представление участников
2:00 — Что такое пентест и чем он отличается от других форм анализа защищённости
17:40 — Помогут ли регулирующие документы от государства компаниям…
источник
Пост Лукацкого
The EU Digital COVID Certificate contains a QR code with a digital signature to protect it against falsification.

У нас же все как обычно - никто не захотел связываться с фсбшными требованиями
источник
Пост Лукацкого
источник
2021 July 02
Пост Лукацкого
TARA - методология моделирования угроз и защитных мер от MITRE. Как у ФСТЭК, но всё-таки не как у ФСТЭК https://t.co/0h94FMn1PN
— Alexey Lukatsky (@alukatsky) Jul 2, 2021
источник
Пост Лукацкого
Надвигается инфосекбикинигейт ;-) Я в ФБ поддержал ;-) https://t.co/URN2HK40Mr
— Alexey Lukatsky (@alukatsky) Jul 2, 2021
источник
2021 July 03
Пост Лукацкого
Табличка к последним 4-м заметкам с ранжированием угроз и защитных мер и их маппингом
источник
Пост Лукацкого
RT @TAdviser: Google выпустила бесплатный инструмент для проверки открытого ПО на дыры и устаревший код https://t.co/JJUIaLhNuu
— Alexey Lukatsky (@alukatsky) Jul 3, 2021
источник
Пост Лукацкого
Cyber42, Code42, Unit 42, Fortytwo Security, Access42, NSC42… ИБшники любят использовать ответ на главный вопрос жизни, вселенной и всего такого в названиях своих подразделений ;-)
— Alexey Lukatsky (@alukatsky) Jul 3, 2021
источник
Пост Лукацкого
Хотя вот Александр Гостев подсказывает, что 42 имеет и иной смысл - https://t.co/JuUWuCrQTv?amp=1 😊
источник
2021 July 04
Пост Лукацкого
Больше ста лет назад даже консервативные экономисты-государственники понимали пагубность протекционизма при неразвитых экономических и политических институтах – банках, специальном образовании, не скованной административными путами предпринимательской инициативе, при развитом потребительском спросе.
В 1900 году экономист Сергей Шарапов в статье «Что такое истинный протекционизм? Был-ли он когда-нибудь у нас?» писал:

«За последние годы в Россию ввозится множество велосипедов. За этот поистине глупый и безполезный предмет, способствующий только общественному одичанию, Россия переплатила за границу за последние годы, без преувеличения, десятки миллионов рублей. Отчего бы эту дрянь, раз уже публика её требует, не делать дома? Хорошо. Наложим солидную пошлину, дадим русскому производителю все преимущества перед иностранным фабрикантом. Тот довольствуется 10%, наш пусть наживает рубль на рубль, т.е. 100%.

Но вот протекционная пошлина наложена, а русских велосипедов нет, как нет. Цена на них в России стоит чуть не вдвое выше, чем в Америке, а между тем русских фабрик не открывается, и потребитель только несёт налог без всякой пользы для «отечественной промышленности».
В чём же дело? Отчего цель не достигнута? Да именно от того, что пошлина ещё не есть протекционизм. Чтобы велосипеды стали выделывать в России, и не какие-нибудь, а хорошие, способные вполне заменить заграничные, нужно много условий, среди которых пошлина далеко не главное.

Чтобы делать велосипеды хорошо и дёшево, нужно все их части делать не вручную, а машинами. Машины эти специальные и страшно дороги. Значит, нужен очень большой основной капитал. Затем, нужен дорогой специальный материал, который надо выписывать из-за границы и платить за него высокую пошлину. Затем производство должно быть массовое, товару должно быть налицо столько, чтобы не было ни малейшей задержки в требованиях. Значит, нужен огромный оборотный капитал, дешёвый и очень широкий кредит, иначе изготовленный товар сам себя съест процентами. Далее, нужна педантическая аккуратность при приёмке и браковке товара. Небольшая партия плохо исполненного заказа может подорвать безповоротно доверие к фирме, которая ради создания и поддержания своей репутации должна быть готова на большие убытки и затраты. А реклама? У нас даже понятия не имеют о тех баснословных суммах, какие затрачиваются в Западной Европе и особенно Америке на рекламу.

Когда вы всё это сообразите, когда вдумаетесь в эту сумму неблагоприятных для нашей промышленности условий, вы себе легко объясните, почему, несмотря на возможность нажить более, чем рубль на рубль, охотников заводить велосипедные фабрики у нас нет и быть не может. И сколько вы пошлину не возвышайте, это делу не поможет. Пошлина эта будет только налог и ничего, кроме непомерного вздорожания данного товара, не вызовет».
источник
2021 July 05
Пост Лукацкого
ФСТЭК утвердила требования к средствам удаленной работы - https://t.co/KTj3RVxEA8 Сами требования непубличные, однако я про них уже писал - https://t.co/jMBu9HT1ZQ
— Alexey Lukatsky (@alukatsky) Jul 5, 2021
источник