Привет, друзья. Мы много говорили, как мошенники охотятся за инфоповодами. А тут как раз приоткрылись границы и на носу сезон праздничных путешествий – самое то, чтобы наводнить интернет фишингом под видом продажи билетов.
По просьбе «Коммерсанта» сегодня изучили тему. Бума не увидели, зато обратили внимание: фишеры сколотили полноценный бизнес с рекламой и «горячей линией». Рассказываем

Коллеги, с 1 апреля! Никаких подколок, у нас все серьезно: собрали нелепейшие факапы в ИБ за год, чтобы научиться на чужих ошибках и, не приведи гугл, не повторить подвиги героев дайджеста.

(На самом деле, нет – в подборке весело. Развлекайтесь: https://bit.ly/3wjxsWI)

Мы ну очень много успели обсудить за неделю, самое время передохнуть. Но без чтива на выходные вас не оставим – будет и чем скрасить апрельскую хмарь, и с чем понежиться на первом ласковом солнышке. И все про ИБ, чтоб оставаться в тонусе. Выбирайте:

Устаревший код, единомания и безалаберность сотрудников. Алексей Дрозд рассказывает про вечные беды в ИБ в пересчете на 2021-й.

Обезличить до неузнаваемости. Законодатели и рынок пытаются понять, нужна ли данным анонимность и когда ПДн требуется такая защита.

В большинстве компаний не знают, где и какие файлы хранятся; как тогда их защищать? Продолжаем разбираться, что за зверь – DCAP, и в каких ситуациях он нужен бизнесу.

Коллеги, привет. На первых полосах СМИ опять новости об утечках. По порядку разбираем, где и что «убежало», ну и по классике – что делать и кто виноват: https://bit.ly/3umlny3

Тема импортозамещения в ИБ не отпускает. Вчера встречались с директорами по безопасности промышленных компаний, ФСТЭКом и Минпромторгом – зашла речь о требованиях 187-ФЗ по защите КИИ и в частности о необходимых для этого инструментах. Мнения разделились.

Часть ИБ-профи уверены: импортозамещение, особенно в вопросах КИИ, приведет к ровно противоположным результатам – отечественные решения слабее и заставят компании технологически откатиться назад. Самое больное место – межсетевые экраны, MDM, песочницы.

Другие считают, что сильных инструментов хватает, проблема в совместимости – не все ИБ-решения «дружат» между собой и с отечественными ОС. Тем более, что системное ПО российского производства хоть качественное, но часто есть риск прекращения его поддержки со стороны разработчиков. А если «ляжет» ОС или СУБД, то за ними вся инфраструктура и в том числе защита.

Третьи и рады бы импортозамещаться и активно внедрять ИБ-инструменты, но ограничены «рекомендательным» характером регуляторики. Наиболее строгие требования ФСТЭК предъявляет к госсектору, список необходимых классов ПО для безопасности там шире и организации обязаны иметь их на вооружении. В бизнесе же зачастую сложно обосновать перед руководством закупку софта – коллеги из ФСТЭК поделились, что получают от компаний откровенные просьбы ужесточить требования для «частников».

В результате импортозамещение идет со скрипом, хотя по закону дедлайны по полной замене софта отечественными аналогами почти вышли, только 13% организаций в госсекторе и 7% в коммерческом заявляют, что заместили большую часть ПО.

Проблемы повсеместные: такие же жалобы озвучивают и в производстве, и в логистике, и в финансах. Вот, например, обстоятельная дискуссия экспертов по банковской безопасности на страницах NBJ – ищут ответ, можно ли защитить компанию российскими средствами без жертв, какое ПО на уровне, а где без западных аналогов не обойтись.

И все-таки – на чьей стороне правда?

Коллеги, пришло время запасаться чтивом на выходные. Без лишних слов – поехали:


👾 В даркнете продали доступ к коммутатору одного из мобильных операторов. Теперь хакеры смогут перехватывать SMS с кодами подтверждений из банков. Эксперты разбираются, насколько велика угроза.


👾 Перед атаками на бизнес злоумышленники «пробивают» его IT-спецов на сайтах по поиску работы – под видом заинтересованных HR-ов задают вопросы и те на «интервью» сами выдают все про уязвимости внутренних систем. Что? Да! И вот как это работает.


👾 Взломы банков для хакеров становятся дорогим удовольствием – в отрасли уровень защиты от киберугроз выше, чем в любой другой. А поток утечек все не иссякает. Можно ли в принципе победить проблему?

На выходных опять обсуждали крупную «утечку», на этот раз из Clubhouse (помните, был такой?) – в открытый доступ попали данные 1,3 млн аккаунтов пользователей. В базе содержатся имя пользователя, ссылка на аватар, ID профиля в Clubhouse, Twitter и Instagram, а также идентификатор аккаунта, который пригласил пользователя в соцсеть. Набор скромный, больше того – доподлинно известно, что утечки как таковой не было и база собрана методом парсинга профилей через API. Коллеги уже высказали скепсис, мол, было бы из-за чего переживать. А мы задумались и нашли минимум три способа, как злоумышленники могут использовать «безобидную» базу во вред юзерам.

1️⃣ Данными профилей Clubhouse могут обогатить ранее слитые базы. Ведь чем полней «цифровой след» пользователя, тем он полезнее для злоумышленников – и дороже в даркнете. Укомплектованный «профиль» могут использовать для целевой атаки из всех орудий, чтобы скомпрометировать человека, получить доступ к его счетам и всем дополнительным факторам верификации сделок, навредить другим способом.

2️⃣ Даже открытая информация – благодатная почва для социальной инженерии. Мошенники получают еще одну точку подхода к потенциальной цели, не говоря уже об очередном удобном инфоповоде для эксплуатации (все ведь помнят, как полюбилась социнженерам роль «безопасников», спасающих несчастных жертв утечки). Как минимум, попади база в руки спамерам, пользователей ждет вал недобросовестной рекламы.

3️⃣ Могут развернуться адресные схемы угона Clubhouse-аккаунтов. Это в России соцсеть взорвала эфир на неделю, в мире она не теряет популярности как рекламная площадка, в том числе для крупных брендов, там крутятся немалые деньги. Мошенники могут попытаться украсть доступ к «прокачанным» комнатам и сообществам, чтобы требовать у владельцев выкуп – по аналогии с каналами в Telegram. Пару лет назад их воровали, присылая авторам ТЗ на рекламу с зашитым вирусом, который вычитывал пароли. Выкупы, помнится, исчислялись миллионами.

Кажется, эти риски неизбежны, если человек хоть раз зашел в интернет и зарегистрировал хоть один публичный профиль. Но полезно хотя бы знать, откуда ждать беды (да, мы опять про ликбез в коллективе - расскажите бухгалтерии, спокойней будет).

Привет, друзья! Мы с традиционным пятничным чтивом – и приятным бонусом. На этой неделе снова говорим о вечном в ИБ, обсуждаем новые технологии и исследование об утечках в финсекторе:

Детектор лжи дали коллекторам для работы. Но доверять машине на 100% никто не готов

Число утечек из российских финансовых организаций увеличилось более чем на треть. Виной всему сотрудники, которые хотят подзаработать

Во всех странах мира компании конкурируют за право распоряжаться данными. Кто защитит «новую нефть»?

Ну и бонус: мы тут запартнерились с Huawei и вместе выпустили готовое решение для аудита и защиты данных в системах хранения OceanStore. Если вы их используете или планируете внедрить в компании, загляните к нам на вебинар – вместе с коллегами расскажем, зачем в СХД нужна дополнительная защита и как это работает на практике. Будет много полезного: https://bit.ly/3tr2iKW

Друзья, привет. Помните, мы рассказывали про моментальные блокировки в DLP, которые не тормозят легитимные процессы, не грузят систему и вообще делают жить ИБшника легче и веселей? Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев решил не рассказывать, а показывать – тут разбирает по косточкам, как это устроено, откуда растут ноги (спойлер: из DCAP) и как выглядит в деле: https://bit.ly/3efoUry

Коллеги, привет. Продолжаем разбираться с человеческим фактором – ведь ИБ без кадровых рисков никуда. Классическое средство от них – полиграф (ага, мы помним, многие из вас им пользуются). Но если подумать: проверка – это дикий стресс-тест для сотрудников, порой одного слуха про «детектор лжи» в коллективе достаточно, чтобы окрестить безопасников инквизицией и ни в какую не идти на диалог. Стоит оно того? И с достоверностью все неоднозначно: говорят, если наловчиться, полиграф можно обмануть, плюс есть риски промахнуться с интерпретацией результатов.

На дорожку перед выходными предлагаем посмотреть на проблему с двух сторон:

👉 Тут – про проверки на полиграфе глазами сотрудников и работодателей.

👉 Тут – экспертный разбор, как работает полиграф, какие у него ограничения и не пора ли отказаться от него в пользу других инструментов (Спойлер: не пора, главное учесть нюансы).

Коллеги, физкульт-привет. Попалась на глаза новость из Екатеринбурга. Там возбудили уголовное дело о разглашении комтайны – сотрудник местной торговой сети перед увольнением слил данные о работодателе конкуренту. История примечательная по двум причинам.

Во-первых, сам факт возбуждения дела – исключительный случай, только 12% работодателей идут на принцип и разбираются с виновниками сливов в суде. Процедура и правда сложная: компаниям нужно доказать, что слитые данные конфиденциальные, что режим комтайны оформлен и соблюдался, что работник об этом знал, что украл данные именно он, что доказательства получены законно…

Во-вторых, интересен подход следствия к оценке ущерба. После того, как к инсайдеру наведались полицейские и обрисовали картину ближайшего будущего (штраф до миллиона, исправительные работы или до 3 лет тюрьмы), тот отправил экс-работодателю письмо с извинениями. Осознал, мол, раскаивается. И это «зачли» как возмещение вреда деловой репутации! То есть теперь при любом исходе дела компания не сможет рассчитывать на материальную компенсацию. Ведь даже в случае обвинительного приговора (за утечки это не редкость, хотя чаще дела прекращают с уплатой судебного штрафа), деньги виновники отдают государству.

Так стоит ли упорствовать и добиваться суда, если можно уволить виновника «по-тихому»? Мы-то однозначно за то, что стоит. Расскажите, как поступили бы вы.

Коллеги поделились исследованием – оказалось, 30% ИБ-специалистов открывают фишинговые рассылки. По крайней мере, столько клюнули на удочку в процессе учений, которые проводили в компаниях независимые аудиторы. Как такое могло произойти? Ну, во-первых, все мы люди – а уверенность в том, что знаешь угрозы на зубок, может подвести. Во-вторых, никто не отменял служебную необходимость «узнать врага в лицо», подозрительные письма могут открывать, чтобы исследовать. Ну и не стоит забывать, что ИБ-шники – лакомая цель для мошенников, потому что имеют внутри инфраструктуры максимальные полномочия и доступ к данным. Они знают наши повадки, могут персонализировать атаки и маскировать с учетом специфики нашей работы. Куда деваться? Быть еще бдительней. Хорошо, что паранойя – стойкий вид профдеформации.

Друзья, мы уходим на выходные, но не оставим вас без полезного контента. Перед длинными праздниками несем вам ворох материалов по прикладным вопросам ИБ:

🔸  Как вычислить группы риска в коллективе

🔸  Как обеспечить комплексную защиту от внутренних угроз

🔸  Как работает проактивная защита файлов  

🔸  Что и как угрожает вашей компании – полная библиотека внутренних рисков

С праздниками!

Традиционно собрали дайджест ярких ИБ-инцидентов минувшего месяца, и в нем слишком много фейков. Главный тренд месяца – псевдоутечки и паника в СМИ. А еще дипфейк-уход от налогов, традиционные шифровальщики с нетривиальными последствиями и немного уязвимостей в ИИ. Наслаждайтесь: https://bit.ly/3vneFbJ

Ну что, сезон «давайте уже после майских» объявляем открытым. Тем более мошенники не дремлют: эксперты из ИБ-фирмы Secure Anchor выяснили, что за 4 месяца с начала года число дипфейк-атак с подделкой голоса выросло на 60%! Исследователи проанализировали похожие инциденты в 17 компаниях, куда под личиной «начальства» дозвонились фишеры, в среднем каждая потеряла по 175 тыс. долларов. И говорят, это не предел, ведь новый ИИ позволяет создать достоверную подделку, «прослушав» всего 45 минут записей голоса-образца. Звучит впечатляюще, но стоит ли опасаться? Разобрался наш начИБ Алексей Дрозд: https://bit.ly/3ocAVT3

Коллеги, с пятницей! По традиции делимся ссылками на интересное чтиво и полезные материалы, которые собрали для вас за неделю:

Карта, чтобы сориентироваться при выборе ИБ-инструментов – гайд по поставщикам и классам решений

Дискуссия, платить ли выкуп после атаки шифровальщиков – и есть ли от них защита

Авторская колонка о том, как утечки клиентских данных перерастают в фишинг – и почему бизнес платит дважды

И еще кое-что. Помните, мы рассказывали, как строим отраслевые ИБ-сообщества? Мы начали в апреле и провели две конференции для директоров по ИБ в промышленности и логистике. Теперь на очереди финсектор. 1 июня приглашаем на конференцию руководителей отделов по безопасности банков, страховых и лизинговых компаний, чтобы в узком кругу обсудить, что наболело, и сообща найти решения. Нетворкинг за ужином и тет-а-тет с регуляторами прилагаются: https://bit.ly/3bruab4

Привет, друзья. На прошлой неделе мы наблюдали эпичную сагу: триумф и крах шифровальщиков в атаках на критическую инфраструктуру. Сначала хакеры из DarkSide спровоцировали локальный топливный кризис в США, остановив трубопровод компании Colonial Pipeline – в стране взлетели цены на бензин, к АЗС образовались километровые очереди, во Флориде даже пришлось ввести режим ЧС. По неподтвержденным данным, компании пришлось заплатить вымогателям 5 млн долларов, чтобы восстановить работу. Но уже через пару дней хакеры сами пожаловались на недоступность своих серверов, а чуть позже заявили о роспуске группировки – все из-за пристального внимания спецслужб.
Теперь в даркнете раскол. Крупные теневые форумы отказываются продвигать рекламу шифровальщиков и встречают шквальное недовольство сообщества. Другие группировки сворачивают MaaS-кампании, опасаясь, что заказчики тоже решат атаковать КИИ. Но вряд ли это означает полный отказ от атак на подобные объекты. Тут эксперты рассуждают, куда теперь повернутся атаки (ведь умная инфраструктура повсюду вплоть до ваших квартир) и как этого избежать: https://bit.ly/3oobDBI

Коллеги, мы к вам с интересной темой! Их много, им не важно местоположение, их сложно поймать, а ущерб от них постоянно растет – вы сами знаете, кто это. Кибермошенничество – это бизнес, в котором есть своя система распределения обязанностей и прибылей. Например, те, кто организуют атаки на бизнес, довольствуются только 60%-80% от выкупа, а оператор программы-вымогателя получает от 20% до 40% «роялти». А рядовые исполнители, то есть все, кроме организатора, и вовсе являются разменной монетой. Интернет-мошенничество – захватывающая высокооплачиваемая работа или монотонная рутина с высокими рисками за копейки? Разбираемся: https://bit.ly/3wjQwTW