Всем хорошей субботы! Давайте договоримся хотя бы сегодня ничего не усложнять 🍩

ЗЫ: видео от мастера усложнений Джозефа

Александр Скакунов🔸#cyberjoke

🌳 Хакерское мышление. Каршеринг и таксисты

Эту историю я подслушал в интервью глубоко уважаемого мной Рустэма Хайретдинова.

Когда в Сочи появился каршеринг и дотянул свою железную руку до аэропорта, то таксисты почувствовали, что их бизнес-слоган «до центра не дорого» перестает работать. И они применили то, что в нашей среде называется «хакерское мышление»: они садились на этот каршеринг, отвозили машины на 3 км от аэропорта и возвращались караулить туристов. И когда те просили их довезти до ближайшей машины каршеринга, то они ставили цену за 3 км = цене до центра. Формально они ничего не нарушали. Владельцы каршеринга просто не были готовы к подобному хаку. Дальше бобмил начали банить, но это уже другая история.

Я разделяю мнение автора этой истории. Хакерское мышление - это умение находить и эксплуатировать недокументированные возможности в широком понимании.

Чем сложнее система, тем таких возможностей больше. Хорошая защита предполагает анализ поведения пользователей в частности и мониторинг состояния системы в целом. Зная состояние нормы, вы можете обнаружить отклонения поведении пользователей или состоянии бизнес-процесса, и вовремя на него среагировать. Даже не зная какой именно сценарий атаки хакера вам посчастливилось наблюдать.

А умение мыслить нестандартно и находить интересные решения там, где система их явно не предлагает, сделала многих из нас в какой-то степени хакерами жизни, хакерами многочисленных кризисных ситуации. Один из моих любимых принтов на майках гласит как раз h@ck the cri$is

Александр Скакунов🔸#CyberBiz #хакерскоемышление

В ИТ-среде слово backup железно ассоциируется с резервной копией. А если смотреть боевики без перевода, то там так кричат лихие парни, требующие прикрытия тыла.

Так что любимая жена, она же надежный тыл - ваш основной 💯 бекап. У кого она есть, и у кого любимая, конечно. Мы вчера отметили очередную годовщину свадьбы. Приятно ощущать, что с основным бекапом у меня все настолько великолепно! Чего и вам желаю ) 💕

P.S.: на фото счастливый я в день подписания акта о вводе нашего обоюдного backup в режим промышленной эксплуатации.

Александр Скакунов🔸#savlife

Бэнкси в России 👉

Хороших выходных :)

Александр Скакунов🔸#cyberjoke

📞 Garther: тренд на Human-Centric Security and Privacy

Вицепрезидент Gartner с легко запоминающейся фамилией Chandrasekaran, под занавес лета, опубликовал очередной аналитический отчет про ожидания рынка (читай хайпа) от новых технологий.

Там, как водится, много про ИИ, но и про кибербез есть. Держите цитату: 

Практики безопасности слишком часто основываются на предположении, что люди могут вести себя полностью безопасным и защищённым образом. Однако, когда сотрудникам приходится выбирать между безопасностью и выполнением бизнес-задач, они часто выбирают выполнение бизнес-задач, иногда обходя чрезмерно строгие меры безопасности.

Да, кэп! Даже не будучи VP Gartner до этого вывода можно дойти самостоятельно. И в своей практике мы решаем подобные конфликты интересов бизнес-пользователей за счет поиска разумного компромисса между безопасностью и удобством работы. Ок, и стоимостью системы безопасности.  И это всегда непросто, найти его, этот компромисс. 

Но ребята из Gartner предсказывают развитие Human-Centric Security and Privacy. В вольном переводе это Человеко-ориентированная Безопасность и конфиденциальность (приватность). 

Это когда:

организации станут более устойчивыми,

используя методы обеспечения безопасности и конфиденциальности, которые создают культуру взаимного доверия

и осведомлённости о разделяемых рисках между командами.

Вот, блин, не хотел про Дурова писать, но дайте этот отчет французским жандармам прочитать кто-нибудь. А то культура взаимного доверия в опасности. Как и разработчики популярных методов обеспечения безопасности. 

Александр Скакунов🔸#тыцпиздыц #Gartner

🌳 Машинист, котенок и пульс

Эту историю мне рассказал мой старинный друг, давно и профессионально занимающийся системами локомотивами в целом и темами транспортной безопасности в частности. Фамилия у него не Андерсон, так что это не сказка, а быль, хотя ссылки на первоисточник не будет.

Для контроля бдительности машиниста используют различные способы. В частности, чтобы доказать, что он не спит, ему предлагается периодически дотянуться до нескольких кнопок внутри кабины, расположенных таким образом, что надо сильно постараться достать из обеими руками, совершив практически гимнастическую растяжку.

Практика применения показала, что со временем машинисты научились это делать если не в глубокой фазе сна, то и уж точно не в яркой фазе бодрствования. Короче говоря, инструмент изжил себя.

И ему на смену пришли пульсометры, отправляющие сигнал куда надо. Замедление пульса свидетельствует о наступившем не вовремя забытии. И тогда уже вступают в действия силы, позволяющие вырвать машиниста из цепких объятий Морфея.

На помощь машинистам пришли котята. Кто-то первый додумался, что у 2-3 месячного котенка пульс совпадает с бодрым 30-60 летним машинистом, а сил для игр и роста у котенка на пятерых дядек. Так что, надев пульсометр на котенка, можно спокойно поспать. Кто додумался первый был человек участливый, и долго в себе не держал.

И скоро сервис по продаже котят вошел в портфель услуг станционных бабулек наравне с беляшами из матерей этих котят и пирожками из порошковой картошки.

Как дальше развивалось противостояние контроллеров и контролируемых мне не известно, да это и не важно.

О чем это я? Когда в предмете контроля лежит конфликт интересов, когда вместо сокращения времени работы машиниста ему запрещают спать, всегда найдется котенок и станет на защиту угнетаемых. Выигравших нет. Ставьте достижимые SLA, с которыми не номинально, а по существу согласны исполнители.

Всем безопасности и котиков в ленту.

Александр Скакунов🔸#CyberBiz #SLA

🌳 Управляемого вам стресса, друзья!

Вернулся с поездки на Алтай, где привелось побывать первый раз. Ехал послушать и поговорить про кибербез, а в довесок стал соучастником тренинга по управлению стрессом. Не уменьшению стресса, прошу заметить, а именно управлению им. Простой опрос показал, что уровень окружающего стресса и умение с ним справляться не обязательно идут рука об руку. Ваш кэп. И если на внешнюю турбулентность мы влиять, зачастую, не можем, то стрессоустойчивость, как навык, может быть натренирован. Должен быть, как по мне. И вот подумалось, что в первый день осени, за день до нового сезона стресс-тестирования, будет не лишним поделиться несколькими запомнившимися мыслями.

1️⃣Стресс - это не обязательно плохо. Первое свидание, выигрыш в лотерею, подобранный ключ шифрования, позволивший вылечить взломанную хакерами инфраструктуру. Да мало ли где вы ловите эйфорию, это все тоже стресс. Стресс нужен и важен, неустраним и неминуем.

2️⃣Умейте вовремя распознать провокацию, желание вовлечь вас в конфликт, сложить в вас, как в пустой контейнер, пакет с чужим мусором. Ну и шлите лесом, игнорируйте, не вовлекайтесь, не тратье время и нервы.

3️⃣Степень вашей хрупкости в части восприимчивости к стрессу - ваш выбор. От самонакрутки со сваливанием в истерику и панические атаки, до спокойного восприятия без включения внутреннего суетолога. Вы сами управляете тем, как реагировать. Или можете управлять.

4️⃣Почаще выключайте автопилот. Механическое проживание часов/дней.../жизни - это страшнее любого стресса. Это жесть вообще! Просто оглянитесь, сфокусируйтесь на том, что вы делаете прямо сейчас и присутствуйте здесь и сейчас. Это ценно не только вам, но и вашим близким. 

Всяких штук интересных больше накопилось, но я все-же за то, чтобы вы до конца дочитывали ). Несмотря на то, что внешних стрессов избежать невозможно, хочется, чтобы мы стрессовали как можно больше по радостным поводам, и как можно меньше по грустным. Или, как писали братья Стругацкие: 

Народу не нужны нездоровые сенсации, народу нужны здоровые сенсации. 

Лето, спасибо, было круто! Возвращайся )

Александр Скакунов🔸#CyberBiz #стопстресс

📎Новая опасная консолидация рынка

Производителей реально качественных ИИ-моделей можно перечислить на пальцах одной руки. Окей, на второй руке тоже можно с натяжкой еще пальцы позажимать, но чемпионских генеративных моделей реально #хрен-да -маленько. А сервисов на из основе тысячи, десятки тысяч, скоро будут сотни тысяч. Это 100500 вариаций на тему интеллектуальных помощников, редакторов и создателей текстов, составителей резюме встречи, цензоров корпоративных договоров, и т.д. и т.п.

Владельцы всех этих прикладных сервисов представляют зачастую очень нехитрую интеграцию со сторонней GPT-моделью, как технологическую революцИИю. И если рассматривать происходящие в этих сервисах изменения, то они не так уж неправы. Просто тот факт, что вся обрабатываемая с применением этих ИИ-плюшек информация стекается в тех самых GPT-монополистов, не особо афишируется. И эти талые воды информации спускаются с многочисленных корпоративных гор и маленьких частных холмиков в частные озера данных. Которые такими темпами уже давно не озера, а вполне себе моря со всеми предпосылками разрастания до океанов. Океанов, правила пользования которыми будут диктовать их владельцы 🤹

К чему я это? Когда вам будут предлагать ИИ-сервис, то уточните в чьё море будет сливаться ваша информация и какая именно. Расставайтесь с вашей чувствительно информацией осознанно. Да простит меня каждый, кому я омрачил его беззаботное бирюзовое плавание в псевдонейтральных ИИ-водах.

P.S. Цифры исследования с картинки любезно предоставлены ChatGPT, и запрос касался глобального рынка. Даже ссылочка есть, где подробнее почитать. На российском картинка похожая, только игроки другие.

Александр Скакунов🔸#приплылИИ

Ну и пятничное продолжение предыдущей темы 🔼

Всем хороших выходных 🍩

Александр Скакунов🔸#cyberjoke

🌳 Про своевременность. Внедрить нельзя заменить

Много лет тому назад, столько, что срок давности позволяет мне про это писать с юмором и без подробностей, делали мы большой-большой проект по безопасности. Для огромной такой компании огромный такой проект. И все там было столь основательно, что уму не растяжимо. Дорого и богато. А главное - унифицировано.

Создавались такие комплексы решений, которые точно заработают, будут совместимы и взаимодополняемы, необходимы и достаточны. Что уж, практически идеальные такие комплексы, хоть и дороговатые порой. Создавались старательно и без спешки. Потом так же без суеты бюджетировались, комплектовались, закупались, поставлялись по длинной цепочке производителей-дистрибьютеров-реселлеров-партнеров-неравнодушных.

И к моменту, когда надо было внедрять, проектную команду ждал сюрприз. Часть средств защиты, столь старательно запроектированных и даже купленных, уже не производилось. Ну т.е. их в принципе уже сняли с производства. Как в таких случая говорят, продукт подошел к фазе цикла End of всё. Дальше случался инсайд уровня «концепция меняется», с повторным проектированием, согласованием и вот этим вот всем. Все это время система защиты не работала.

Сейчас у крупных компаний нет столько времени на раскачку. Цена промедления стала кратно, на порядок выше. Все ли побороли силу инерции и ту бюрократию, которая даже при наличии бюджета и воли к реализации инициатив, приводит к незакрытой дыре в кибербезопаности на протяжении месяцев, а порой и годов? Да я вас умоляю. И главное, многие верят в тот самый бумажный план, по которому можно всегда сказать, что лед тронулся, и вот мы с неизбежностью и вскоре что-то очень полезное реализуем. Есть большие шансы с таким подходом не успеть, и с вашей компанией кто-то злой реализует что-то другое, совершенно вами незапланированное.

Владельцы бизнеса, вас уже ребята из ИТ и Герман Оскарович научили в Agile. Вот растяните Agile на кибербезопасность, реально. Порционно, спринтами, рывками и челночным бегом, но сегодня ей занимайтесь, завтра можно не успеть. Не время глобальных марафонов, «концепция меняется» слишком быстро, вам надо уметь группироваться и перегруппировываться. Ищите тех специалистов, кто помогает вам решать задачи безопасности своевременно.

P.S.: перечитал, кажется это похоже на продажу страха. Но нет, это не она, публикую✅

Александр Скакунов🔸#CyberBiz

📞 Кибервойна приходит в offline

Я даже не знаю чему больше удивляться. Скоординированной ли хакерской атаке со стороны Израильской спец службы Моссад на пейджеры ливанской Хезболла, или самому факту того, что в 2024 году кто-то использует для связи пейджеры.

Боевики Хезболлы используют пейджеры как низкотехнологичные средства связи, пытаясь избежать израильского отслеживания их местонахождения. В итоге жахнули около пяти тысяч устройств через backdoor атаку. Пример того, как средство защиты приватности для одних может стать средством атаки для других.

Крупная гибридная атака, на которой видна тонкая грань между кибервойной и физическим воздействием.

Сразу что-то захотелось телефон из кармана переложить куда подальше.

Александр Скакунов🔸#тыцпиздыц

🌳 Туалет в пустыне или как не пр0ср@ть инвестиции

Анекдот про мужика, который организовал в пустыне платный туалет, а на вопрос «а вокруг тебя тогда что?» отвечал, что вокруг бесплатный, выдает мой возраст) Как и знанием мема с объездными дорогами и закрытым шлагбаумом в чистом поле.

Эти истории объединяет бессмысленность и неэффективность.

Проводя аналогии, хакеры не будут ломать шлагбаум, они пройдут сбоку. А клиенты и сотрудники не оценят платный туалет в пустыне и найдут то, что называется workaround.

Про туалет в пустыне еще можно поспорить, т.к. вроде же сервис. Но с учетом пропускной способности этого центра прибыли, я бы не рекомендовал инвестиции в такую бизнес-модель.

Несмотря на иллюстративный абсурд обеих примеров, их реализация в корпоративной безопасности цветет и пахнет по сей день.

Ниже несколько примеров того, как делать не надо 👇

1️⃣ Купить дорогие средства защиты сетевого периметра (NGFW и пр.) и забыть, что больше половины вашего трафика вообще не проходит через этот шлагбаум.

2️⃣ Купить систему контроля доступа привилегированных пользователей (админов), но у части из них оставить права на доступ напрямую, а также пускать в обход этого шлагбаума сотрудников подрядчика или еще кого, на кого денег при закупке лицензий не хватило.

3️⃣ Раздать всем аппаратные токены с криптографическими ключами, и прописать настройки так, чтобы «бизнесу было удобно»: чтобы PIN-код не вводить, а сам токен-свисток не вынимался из ПК.

К чему я это? Недейственные полумеры в безопасности похожи по эффекту на дырявый презерватив: вы и деньги на него потратите, и ощущения сомнительные, и толку ноль. Аккуратнее с этими кондомами, пожалуйста!

Александр Скакунов🔸#CyberBiz

🎙️ Догоняя лето, поехал делать SAF.Talks

Всем привет! Я на пару недель улетел догонять лето и делать для нашего международного бизнеса небольшое камерное мероприятие в Дубай: SAF.Talks.

И хотя Telegram - это территория текста, я решил смонтировать ролик про свой отлёт. В первую очередь, чтобы проверить, что могу и в таком формате выразить мысль ✅

Хотя последнее время у меня непреодолимое желание (где это возможно) избавиться от слайдов, и на мероприятиях полностью сосредоточиться на живом диалоге. Продолжаю в этой части эксперименты и буду делиться наблюдениями.

P.S. +40 это жарко, конечно 😮

Александр Скакунов🔸#saf #savlife