Всем привет 🙂

Завтра в нашем чате обещает появиться Алексей Лукацкий, так что готовьте вопросы.

А пока напомню, особенно новым участникам, что уже 25 июля в Сочи стартует наша профессиональная конференция по управлению информационной безопасностью КОД ИБ ПРОФИ.

Будет 2 дня насыщенной учебы и 2 дня незабываемых приключений 👍.

☑ Программный директор - Алексей Лукацкий (Cisco)
☑ 2 потока лекций и мастер-классов + 1 поток для ворк-шопов и киберучений
☑ Спикеры-практики из Яндекса, Сбербанка, BI.ZONE и др. компаний
☑ Активный нетворкинг с директорами по ИБ со всей России и стран СНГ
А еще:
⛵ Морская регата на яхтах
🚠 Подъем в горы и прогулка по живописным местам Кавказских гор.

Обязательно присоединяйтесь! Все подробности на сайте конференции: https://sochi.codeib.ru/?utm_source=Telegram&utm_medium=Codeibcommunity&utm_campaign=15July

Тем кто быстро умеет принимать решение - можем дать приятную скидку 😉 Пишите @Nataly999

Под рутом работать не кошерно.

Только если это не чужая система.

он удаляет из /dev без sudo, поэтому root. *оффтоп

Сегодня в нашем чате Алексей Лукацкий - программный директор конференции Код ИБ ПРОФИ, известный блогер и бизнес-консультант по безопасности Cisco

📢 Тема дня: Моделирование угроз: как сделать хорошо себе и регулятору?

Ждем от Алексея небольшую вводную, а вы готовьте вопросы.

Поехали?

На сочинском "Код ИБ. Профи" я буду проводить практический мастер-класс по моделированию угроз. Но до него еще почти 10 дней и поэтому мне сейчас хотелось бы немного коснуться тех изменений и тенденций, которые происходят в этом вопросе. Так уж сложилось, что мы часто рассматриваем моделирование угроз как нечто незыблемое и редкое, что уже давно не соответствует действительности. Мир меняется, должны менять и мы свои взгляды. Что же поменялось за последнее время в области моделирования угроз? Попробую тезисно сформулировать ключевые изменения:
- Угрозы эволюционируют
- Инструментарий спецслужб утекает
- Supply Chain
- Гибкая разработка
- Размытость границ
- Искусственный интеллект
- API.
Вот такой небольшой список того, что сегодня влияет на моделирование угроз и недооценка чего приводит к успешным проникновениями в корпоративные и ведомственные сети. Вот про это мы и будем говорить на сочинском "Коде ИБ. Профи" через 10 дней. И будем пробовать на практике учесть все эти нюансы, создавая модели угроз для одной из нескольких систем, которые будут предложены на выбор участникам.

А соц.инженерия? Это же основа всех угроз.
Из количества расследуемых уголовных дел, у меня только одно было с внешним проникновением в защищенный контур. Все остальные - это люди внутри :)

Превалирует соц.инженерия или продажа/предательство?

А социнженерия тоже будет рассматриваться, но она не является чем-то новым. Она как была лет пять назад популярной, так и осталась

Люди внутри - это разве социалка? Это инсайдеры. А если инцидент происходит по причине того, что сотрудник открыл вредоносный аттач или кликнул по фишинговой ссылке, то это все равно атака не изнутри, а снаружи

А там есть что-то новое?)

Вообще в моделях

Я говорю о воздействии на сотрудника, который в защищенном контуре. Шантаж по фото и видео, воздействие на сотрудника, когда он осознает свои противоправные действия, и открывает доступ для подключения из-вне.
Продажа/предательство - в основном уже после увольнения. Люди уходят и уходят данные. На моей практике не было нарушения защищенного контура, после ухода специалиста. Просто была продажа корпоративных данных, без вреда инфраструктуре.

Вопрос с подвохом 😊 Если ни разу не моделировал, то там все новое 😊 А если моделировал, то зависит от того, какая модель лежала в основе. Кто обычные дерево атак задействует, а кто-то PASTA или ATASM задействует. И в каждой модели есть какая-то изюминка, котоую можно выцепить для использования в своей практике. Ну и учет всяких SCRUM/Agile тоже влияет и вносит в процесс коррективы

И еще из соц.инженерии - это корпоративный сегмент. Когда я прозвоном по отделам, уже знал как зовут каждого ключевого сотрудника и его должностные обязанности. Провели модель атаки на ритейлерскую сеть. И мы получили доступ к всей локальной сети. Благо это было тестовое мероприятие, которое инициировала самостоятельно служба безопасности.

Разные кейсы бывают. Вот на днях Magecart заломала несколько тысяч сайтов, а Equifax в позапрошлом году через дыру в портале хакнули. Никакой социалки

Красивый ответ, впрочем, как всегда ❤️

Это уже данные после официального расследования? Все мои уголовные дела начинались с того, что это внешняя атака, дыры в защите и коде. А в дальнейшем, оказывалось, что это и не дыры были. И код рабочий.

Хороший пример. Для этого и моделируются угрозы. Мы про нее знаем - значит мы начинаем прорабатывать мероприятия по нейтрализации. Но социалка - это то, что лежит на поверхности. Мой любимый пример. Безопасник решил, что пароли - это немодно и небезопасно (у нас, кстати, будет от Microsoft доклад на эту тему) и внедрил токены для доступа в сеть. Все классно, но более 50% сотрудников - женщины. Им эти токены девать некуда (карманов-то нет). И теперь токены лежат на столах сотрудников - бери не хочу. Это к вопросу о всестороннем моделировании угроз

Мерси :-)