Все 3 дня буду на SOC-форуме. 🛡

Пишите - обсудим насущное ☕️

#SOC

📌 Как не захлебнуться в веб-трафике на старте внедрения DLP?

Обычно при запуске проекта ставится само ПО, агенты, и события льются рекой - все счастливы.☀️

Через неделю открываем статистику и с ужасом понимаем, что 90% всех событий это какие-то странные события веб-трафика.⁉️

⭐️Этот трафик - веб-телеметрия: сайты собирают информацию о вас, о сервисах, ошибках и т.д.

В чем проблема?
⛔️ Искажение статистики по количеству событий по каналам перехвата: почта, веб, мессенджеры и т.д.
⛔️ Наполнение хранилища DLP мусорными событиями
⛔️ Очень тяжело анализировать настоящие инциденты из-за большого количества «мусора».

Добро пожаловать в мир не настроенных СЗИ. 🌛

💡Что делать?
На старте проекта потратьте 5 минут и добавьте на сервере DLP URL телеметрии в исключения из обработки.

Поверьте, это решит основную проблему искажения статистики и поможет сэкономить место в хранилище на боевом внедрении. 🔝

🖥 Список URL для исключения (тык для копирования):
clients2.google.com
clients4.google.com
update.googleapis.com
*.crash-reports.google.com
*.gvt1.com
safebrowsing.googleapis.com
safebrowsing.google.com
clients6.google.com
chrome-sync.sandbox.google.com
incoming.telemetry.mozilla.org
content-signature-2.cdn.mozilla.net
telemetry.mozilla.org
firefox.settings.services.mozilla.com
crash-stats.mozilla.com
aus1.mozilla.org
aus2.mozilla.org
safebrowsing.googleapis.com
location.services.mozilla.com
config.edge.microsoft.com
g.msn.com
pipe.aria.microsoft.com
browser.events.data.msn.com
assets.msn.com
edgeupdates.microsoft.com
clients2.google.com
safebrowsing.googleapis.com
metrics.yandex.ru
mc.yandex.ru
clck.yandex.ru
crash.yandex.ru
yastatic.net
*.yandex.net
update.browser.yandex.ru
browser.download.yandex.ru
yandex.ru/dl
safer.yandex.ru
check.yandex.ru
sync.yandex.ru

#полезноеDLP #DLP #настройкаDLP #заметкиархитектора

🎮Синергия

Сегодня поговорим о Синергии — том самом волшебном единороге, которого все ищут, но никто не видел. А именно, о скрещивании Информационной Безопасности (ИБ) и Экономической Безопасности (ЭБ). 😵

На самом деле, тема эта стара как мир, но почему-то до сих пор вызывает кучу вопросов у топов.

📎Секрет Полишинеля: ИБ в представлении бизнеса — это расходный центр. ЭБ по определению — это контролирующий орган. И их «синергия» чаще всего выглядит как попытка посадить двух козлов в одну лодку и заставить грести в одном направлении.

😀 3 аксиомы хаоса:
💱Акционерная ценность vs. Ненужные траты:
ИБ: Приходит и говорит: «Нужно $5 млн на SOC, DLP, WAF, XDR и 10 аттестованных спецов. Иначе риски...»
ЭБ/Бизнес: Считает чистую прибыль и говорит: «Давайте купим один антивирус за $500 и назовём это 'минимизацией рисков'. А ваши $5 млн лучше пойдут в резерв. Вот это — реальная экономическая безопасность!»
🟢Итог синергии: ИБ ужимается, ЭБ довольна, а бизнес не защищён, но сэкономил. Win-win, как говорится.
🔝Процессная бюрократия vs. Скорость инноваций:
Бизнес: «Нам срочно нужно внедрить новый облачный сервис, который сэкономит нам 10% на логистике. Запуск — завтра!»
ИБ: «Отлично! Сначала дайте нам 3 месяца на аудит, оценку рискови разработку 15 регламентов (привет, паперсекам!).»
🟢Итог синергии: Бизнес запускает сервис «как есть», чтобы не терять деньги. ИБ потом полгода героически «догоняет» и пытается «защитить» то, что уже стало дырявым решетом. Формально — все при деле. Фактически — полный провал.
🔍Анализ рисков vs. Анализ потерь:
ЭБ: Фокусируется на прямых потерях: украденные деньги, украденные активы, нецелевое использование средств. Считает всё в деньгах по факту.
ИБ: Фокусируется на вероятности реализации угроз, а потенциальный ущерб считает по методике N \times P (где N — урон, P — вероятность), что для финансистов выглядит как шаманство с бубном.
🟢Итог синергии: Вместо того чтобы выработать единый, понятный для бизнеса язык оценки, они продолжают говорить на разных диалектах. ИБ пугает «высокой вероятностью», ЭБ ждёт, пока что-то реально украдут, чтобы начать действовать.😮

А вот и всё, и не будет никакого вывода. 🔜
Живите с этим и хорошей среды!

#ИБ #ЭБ #Синергия #БизнесИБезопасность

💬Пока вы гадаете, как подружить ИБ с ЭБ и почему заседание называется «антипленарное», у меня появились ответы сразу на два этих вопроса!

▶️ Смотреть АНТИПЛЕНАРКУ

#ИБ #ЭБ #антипленарка #пленарканаоборот

☄️Deloitte возвращает деньги австралийскому правительству за отчёт стоимостью $440K из-за галлюцинаций GPT-4o

Если вкратце, то Deloitte подготовили отчёт с ошибками:
❌ три несуществующие академические ссылки
❌ выдуманная цитата из решения Федерального суда
❌ неправильно написанное имя судьи.

😂Deloitte признали использование ИИ в отчёте и даже исправили его, но:

Вместо того чтобы заменить одну галлюцинированную ссылку на реальную, они заменили её на пять-шесть-семь-восемь новых. Это говорит о том, что исходное утверждение в отчёте вообще не базировалось ни на каком конкретном источнике.

😡Заявление сенатора-лейбориста Деборы О'Нил:

У Deloitte проблемы с человеческим интеллектом. Это было бы смешно, если бы не было так печально. Частичный возврат выглядит как частичное извинение за работу ниже стандарта. Возможно, вместо большой консалтинговой фирмы покупателям лучше оформить подписку на ChatGPT.

😳 Для Deloitte это особенно неловкая ситуация, потому что компания зарабатывает часть годовой выручки на консультациях по ИИ, хвастается широким использованием технологии и при этом подчёркивает необходимость человеческой проверки любого вывода ИИ.

Когда пользуешься искусственным интеллектом, главное не забывать про настоящий 🧠

➡️ ЧИТАТЬ ОРИГИНАЛ

#ИИ #ИИневсегдаинтеллект #оффтоп

🩸
Когда спрашивают, как DLP перехватывает http(s)?

#DLP #memes #пятничное

Жуликам придется искать другую работу, потому что мы открываем доступ к фрод-рулетке «Ловушка для мошенников» для всех 📱 

Как это работает: фрод-рулетка в реальном времени перехватывает звонки мошенников и анонимно перенаправляет их на подготовленных пользователей.

Как играть: задача — как можно дольше удерживать афериста на связи. Он будет думать, что общается с очередной жертвой, тогда как жертвой (как минимум кражи времени) будет он сам. Каждый день вы можете сразиться с мошенником несколько раз, ожидание звонка — до 5 минут.

Главное правило: мошенник не должен знать, что попал в игру. Чем естественнее вы себя ведете, тем дольше удержите его на линии.

Как помогает бороться с мошенниками: за время тестового запуска игроки приняли больше 3 млн звонков и удерживали преступников на линии 44 тысячи часов. Теперь, когда играть могут все, в ловушку попадет еще больше аферистов.

➡️ Запустить фрод-рулетку и переиграть мошенника: https://u.tbank.ru/roulette

С Днём Защиты информации! 🛡

Разбирал завалы на выходных и наткнулся на этот раритет, аж олдскулы свело. 👾

Удивительно, как некогда единственный рубеж защиты информации теперь где-то пылится. Да, много времени прошло и сколько всего поменялось - задумался...
У меня вообще с этим диском забавная история связана. Расскажу как-нибудь. 🥸

А какие эмоции вы испытываете от таких находок?

#раритет #день_защиты_информации #30_ноября

👻 Атака Scattered Lapsus$ Hunters на облачную экосистему. Не зря многие недоверяют облаку 💭

Анализ вектора атаки
1️⃣Злоумышленники скомпрометировали инфраструктуру Salesloft — поставщика решений для чат-ботов. Это позволило им получить критические токены авторизации.
2️⃣Используя полученные токены, хакеры получили несанкционированный доступ к приложению Gainsight, которое интегрируется с CRM-платформой Salesforce.
3️⃣Доступ к Gainsight потенциально открыл им путь к данным более 200 корпоративных клиентов, которые использовали связанные инстансы Salesforce для клиентской поддержки.

💬Хакеры заявили о краже данных таких крупных игроков, как Atlassian, CrowdStrike, DocuSign, GitLab, LinkedIn и Verizon.

⚠️Похоже на классический путь атаки на цепочку поставок! Компрометация слабого доверенного кусочка, потом развитие атаки 😵

Реакция и превентивные меры
✅Gainsight подтвердила инцидент и привлекла Google Mandiant для расследования.
✅Salesforce отреагировала отзывом активных токенов доступа у приложений, подключенных через Gainsight.
Это подтверждает, что скомпрометирован был именно механизм авторизации через сторонние приложения.
✅CrowdStrike сообщила о сохранности клиентских данных, но подтвердила увольнение сотрудника, что намекает на возможный инсайд или неправомерную передачу информации на одном из этапов атаки.
*Это как взлома не было, но пароли на всякий случай поменяйте 😂
✅DocuSign отключила интеграции с Gainsight в превентивных целях, демонстрируя осознание риска, связанного с «цепью доверия».

🟢Не забывайте проводить аудит всех токенов авторизации и их срока действия, а так же уровня доступа, предоставляемого сторонним приложениям, - и будете в безопасности (правда, только для этого кейса 🙂)!

#всембезопасности

📱 Вход в приложение «Госуслуги» можно подтвердить разными способами

Двухфакторная аутентификация эффективно защищает информационные ресурсы от несанкционированного доступа. На Госуслугах можно выбрать один из нескольких вариантов подтверждения входа.

Из-за растущего числа случаев мошенничества, когда пользователи Госуслуг непреднамеренно передают СМС-коды для входа на портал, было принято решение постепенно отказаться от подтверждения входа на портал через СМС — пока это решение касается только входа на «Госуслуги» через мобильные устройства.

Варианты второго фактора защиты
➖ с помощью одноразового кода в мессенджере МАХ
➖ с помощью одноразового кода из специального приложения
➖ по биометрии
➖ СМС — только для пользователей десктопной версии Госуслуг

Преимущества кода в МАХ
Этот способ имеет дополнительную защиту от социальной инженерии — перед получением кода чат-бот задаст вопросы, которые помогут выявить злоумышленника. Если ответы вызовут подозрение — он не выдаст код и предупредит об опасности. Подключить в качестве второго фактора защиты одноразовый код в МАХ можно на баннере при входе на портал или в приложение «Госуслуги».

В разделе «Безопасность» можно выбрать другие варианты дополнительной защиты вместо кода в Max — одноразовый код из приложения на вашем устройстве или вход по биометрии.

❗️ Обратите внимание, вводить логин, пароль и второй фактор защиты при каждом входе в мобильное приложение «Госуслуги» не нужно — сессия длится 6 месяцев.

🟪 Подписывайтесь на Минцифры в MAX

@mintsifry #госуслуги

🇪🇺 ЕС оштрафовал X* (Twitter*) на €140 млн

Еврокомиссия вынесла первое серьезное решение в рамках Digital Services Act (DSA), оштрафовав соцсеть Илона Маска на 140 млн евро.
Интересный прецедент: регулятор фактически признал текущую бизнес-модель платформы незаконной в Европе.

Три главные причины штрафа:
❌ Введение в заблуждение («Синие галочки»): Синюю (верификацию АКА доверенный аккаунт) галочку можно просто купить.
ЕС считает это манипуляцией, которая снижает бдительность пользователей к мошенникам.
❌Непрозрачность рекламы: Отсутствие доступного репозитория рекламных объявлений, что мешает отслеживать дезинформацию.
❌Блокировка исследователей: X закрыла доступ к данным, необходимым для независимого аудита рисков.

Вот так, манипулируешь ожиданием пользователей и получаешь штраф. ⚠️

А вы учли это в своей модели угроз? 🥸

*Признаны экстремистскими организациями и запрещены на территории РФ

#штрафы

🤪Поговорили о предновогодних разводах в мессенджерах и не только.

Без моих комментариев статья тоже не обошлась. 😏

Если коротко, то:
🎁 Фейковые скидки на фейковых сайтах
🔒Фейковые билеты на «Щелкунчика»
⛔️ Подарки в Telegram
🥶«Срочные задачи, ааааа»

↪️ Читать статью про предновогодние схемы мошенников!

#статья #известия #мошенники

Расписал некоторые схемы мошенничества на живых примерах!

Без воды, без лишних слов - чистый концентрат. 🤤

↪️ Читаем

#статья #мошенничество

⚠️ МВД пресекло серию киберкраж

👮‍♀️Полиция задержала участников межрегиональной группы, которую считают причастной к более чем 600 эпизодам хищений средств с банковских карт.

📈По данным МВД, ущерб превышает 200 млн рублей.

⚙️Метод кражи
Злоумышленники распространяли вредоносные приложения через WhatsApp и Telegram, маскируя их под программы банков и госорганов.

🔗Сценарий: после звонка «из банка» жертву просили установить «официальное» приложение и для подтверждения поднести карту к телефону и ввести PIN-код. После этого мошенники получали доступ к средствам на счёте и могли снимать наличные в любом регионе.

⚠️ Напоминаю: официальные службы никогда не просят установить программы через мессенджеры или вводить PIN-код вне банкомата!

#мошенничество

☄️17 декабря в 11:00 буду модерировать вебинар «От хаоса к контролю: как за неделю закрыть основные риски в СУБД с помощью Гарда DBF»

О чем поговорим?
🟢 Как хаос мешает защищать СУБД?
🟢 Почему энтропия - это неизбежно, но управляемо?
🟢 Как обуздать хаос и превратить его в сильную силу?

➡️Регистрируйтесь, если любите зарубы!

#вебинар

Готовимся к #вебинару 🎙