3side кибербезопасности

MaxPatrol SIEMтеперь бесплатен, но за обучениеИИ Наконец один из ведущих SIEM продуктов России теперь можно использовать свободно. Достаточно его скачать с официального сайта и развернуть. Это ведь так просто? Условия просты - все написанные вами правила и сработки по ним будут аккумулироваться в PT, на этих данных будет обучаться ИИ! В целом это отличная возможность для многих компаний сэкономить несколько своих годовых бюджетов и начать заниматься кибербезом всерьез. Готовы ли вы делиться своими данными для повышения качества продукта и повышения защищенности страны? Либо предпочтете заплатить за приватную версию? Именно сегодня 1 апреля в качестве шутки, у вас появился выбор!

Mosmetro[.]ru взлом или не взлом? Сегодня многие каналы написали, что сайт Мосметро был якобы взломан и дефейснут. Демонстрировали факт перенаправления на сайт Железной Дороги Украины, однако тут не все так просто. Скриншот 1. Если мы открываем сайт вне РФ (например через VPN), с DNS Google (8.8.8.8). Действительно видим сайт не тот что нужно, именно это и распространили в СМИ. Скриншот 2. Если мы в тот же момент времени открываем сайт изнутри РФ, без использования VPN с тем же самым DNS Google (8.8.8.8). Сайт открывается нормально. Почему так? Отдаются разные IP адреса. В первом случае, не те, что должны. Addresses: 2606:4700:3030::6815:2001 2606:4700:3030::6815:5001 2606:4700:3030::6815:7001 2606:4700:3030::6815:1001 2606:4700:3030::6815:4001 2606:4700:3030::6815:6001 2606:4700:3030::6815:3001 104.21.96.1 104.21.112.1 104.21.32.1 104.21.48.1 104.21.64.1 104.21.16.1 104.21.80.1 Во втором случае, верный Address: 178.178.127.20 Что это значит? Сам сайт взломан не был, случилась какая-то подмена DNS, но не во всех источниках. Подозреваю, что отравление кэша на CDN серверах. Оплаты на карты же могут не работать по иным причинам, например, из-за DDOS. Либо на них также повлияла подмена DNS на CDN. Говорить о "взломе Мосметро" из-за текущей ситуации явно не стоит.

Представляем первый рейтинг Топ — 43 лучших каналов в тематике ИБ в российском Telegram. Основной критерий ранжирования в рейтинге — качество контента в канале и содержание. Каналы по шкале от 1 до 10 в нашем закрытом опроснике оценивала фокус группа из…

🤩Фреймворк Команда Secure-t подготовила первый фреймворк «Как построить процесс повышения осведомлённости сотрудников в области информационной безопасности». Этот фреймворк — настоящий must-have для компаний, которые хотят минимизировать риски кибератак и…

🤩Фреймворк Команда Secure-t подготовила первый фреймворк «Как построить процесс повышения осведомлённости сотрудников в области информационной безопасности». Этот фреймворк — настоящий must-have для компаний, которые хотят минимизировать риски кибератак и повысить устойчивость своих сотрудников к современным угрозам. Это лишь один из элементов нашей комплексной стратегии по формированию киберкультуры. 😇Что внутри? Примеры документов, которые нужно принять: приказы, регламенты, программы обучения. Пошаговое описание процесса организации обучения: от разработки программы до контроля эффективности. Метрики, которые помогут оценить успешность обучения и изменения в поведении сотрудников. Перечень актуальных тем для обучения, включая защиту от фишинга, дипфейков и работу с персональными данными. График мероприятий и годовой план обучения. 😇Для кого это? Для всех, кто заботится о безопасности своей компании: руководителей, HR-специалистов, специалистов по ИБ и всех, кто хочет сделать свою организацию более защищённой. 😇Бонусы в конце фреймворка: бесплатная памятка по ИБ для сотрудников и стратегия по внедрению киберкультуры в коммерческих организациях. Мы гордимся этим документом и уверены, что он станет полезным инструментом для вашей компании. Скачивайте, внедряйте, делитесь с коллегами! И помните: осведомлённость сотрудников — это первый шаг к защите от киберугроз. Ссылка на скачивание фреймворка!

Lockbit vsЛАНИТ, случайный слив информации по расследованию В одном из публичных ТГ каналов одного из подразделений ЛАНИТа, был опубликован пост с файлом сбора обратной связи по текущему процессу восстановления, после взлома 21 февраля. Канал позиционируется как "для сотрудников", но почему-то открыт на чтение всем желающим. В файле были указаны данные: - ФИО пользователей рабочих станций. - Подразделении. - Статусы пройденных проверок ("заражен", "чисто" и пр.). - Обнаруженные подозрительные файлы. - Решение по работе с рабочей станцией. Всего в файле более 250 рабочих станций и пользователей. Сам файл расположен на Google.Docs и открыт всем желающим по ссылке. Вскоре пост в канале был удален, но ссылка на файл осталась актуальной даже на момент публикации поста. Из файла очевидно, что зашифрованы данные были именно нашумевшим шифровальщиком LockBit, даже на представленном скриншоте с замазанными данными это заметно. Что можно сказать? Слив файла показывает отношение к ИБ в компании и после инцидента.

#созвон_сообщества Запись созвона На созвоне разобрали чем отличается нашумевшее в последнее время "Кибериспытание" от багбанути и привычных нам редтимов, что оно дает исследователям, заказчикам, и на что опирается публичная методика. Смотреть на: - 📹Youtube - 💳Boosty - 📺VK - 📺Rutube 👀@ever_secure

Конспирология вокруг Garantex Множество каналов написали сегодня как по запросу правительства США были заморожены кошельки российской криптобиржи Garantex, а теперь и на месте сайта расположена заглушка, что домен был изъят. Ситуация понятная, не будем на ней останавливаться. Мы тут исключительно про технику. А остановился вот на чем, я с удивлением обнаружил среди своих знакомых тех, кто начали сомневаться, что это все действительно так! Начали говорить о "фальсификации самой биржей", даже заглушку на домене якобы разместили они сами! Ну вот смотрите, если сделать запрос к DNS Google(8.8.8.8) "nslookup garantex.org", запрос вовсе будет отклонен. Ведь А-записи просто нет! Через сторонние сервисы видно, что домен теперь в зоне ответственности usssdomainseizure.com, и заглушка открывается вообще без А-записи. Что руками обычного владельца домена сделать невозможно. К тому же, смотрим IP-адрес с которого нам отдают заглушку - 12.97.28.149. Что на нем помимо заглушки Garantex? Пачка также изъятых доменов, откройте любой. Сам же IP принадлежит американскому провайдеру AT&T без указания финального владельца) Поэтому не плодите, пожалуйста, конспирологию. А то видимо скоро кто-то докопается до http://garantex.ru и средство от тараканов тоже в эту "теорию", впишет!

мы в эфире!!! подключайтесь Zoom

Сколько должен стоить ИБ-продукт для МСБ? (важный текст, много цифр) Мы тут много думали, а сколько вообще реально может стоить ИБ-продукт, кратно повышающий защиту МСБ от шифрования и утечек? Подчеркнем: речь не идет о построении полноценной комплексной защиты, это гарантированно 10+ млн рублей и в текущих реалиях для небольших компаний не имеет особого смысла. Почему? У нас, если что, с вероятностью ключевая ставка будет 20+% до конца года — бизнес эти деньги потратит на оборотку и будет прав. Ущерб для МСБ от утечек оценить сложно, а вот о шифровальщиках можно поговорить: за последние пару лет появилось много данных. Например, тут Инностейдж пишет: "Тренд 1. Сохранение фокуса хакеров на среднем и малом бизнесе. В частности, в 2023 г. 43% утечек произошло у среднего бизнеса, 38% — у малого, 19% — у крупного." То есть угроза есть. Идем дальше: F6 (ex-F.A.C.C.T.): "... на протяжении 2024-го специалисты F6 зафиксировали более 500 атак с использованием шифровальщиков в России — рост почти в полтора раза по сравнению с 2023 годом. «Суммы первоначального выкупа за расшифровку данных в 2024 году для малого бизнеса составляли от 100 000 до 5 млн рублей ($1000-50 000)...". Что видим на выходе: рост числа атак и количественная оценка — можно считать ее "оценкой снизу". Подчеркнем, 500 — это только по данным одной (!) ИБ-компании, пусть и флагмана и это только те, у кого были деньги и желание на то, чтобы разбираться. А сколько просто заплатило выкуп? А сколько пошло не в F6 а в условный PT или Бизон? А вот тут сотрудник (вероятно) Позитива пишет: "В 2023 году количество атак с целью получения выкупа выросло на 160%, а средняя цена за дешифровку данных составила 53 млн руб. Для сегмента небольших компаний, по моим оценкам, средняя сумма примерно в 10 раз меньше". Такую же цифру дает Касперский: "В России каждая пятая атака нацелена на компании из сектора среднего бизнеса. При этом при удачной попытке мошенникам удается присвоить себе в среднем пять миллионов рублей". Подведем итоги: на рынке есть оценка выкупа в 3-5 млн рублей. Ущерб от шифрования (в случае неуплаты выкупа) оценим в такую же величину — там простой бизнеса и стоимость восстановления. Ситуации, когда выкуп был уплачен, а данные не были восстановлены, оставим за скобками. В итоге предположим, что одна успешная атака с шифрованием без учета утечек обходится компании в 3 млн рублей. С утечками сложнее — закон там только ввели, так что будем делать допущения. Вероятность атаки тоже ненулевая — в России по данным ФНС около 200К малых предприятий и около 20К средних, и шансы стать жертвой кибератаки — это уже не доли процента, а проценты. Для оценки цены посмотрим на аналогичный продукт — страхование. В целом, ИБ на рынке страхует много кто (Ингосстрах, СОГАЗ, Альфа-Страхование, Ренессанс Страхование, Сбербанк Страхование, ПСБ), часть из них точно будут работать с МСБ и малыми чеками. Средний страховой тариф на рынке находится в интервале 2-5%. Для МСБ оценим тариф в 4%. И вот считаем: в среднем ущерб от атаки шифровальщика может быть в районе 3-5 млн рублей, с учетом известной риск-премии получаем где-то 10-15К рублей стоимости полиса в месяц. Как ни странно, бьется со стоимостью бэкапирования. С утечками сложнее, но представим себе ущерб в 2 млн, страховку под 4% и получим в итоге еще 6-7К Ну и вот мы определили плюс минус адекватную стоимость продукта — 20-30К рублей в месяц для достаточно простой инфраструктуры. Терабайты бэкапов, понятно, обойдутся дороже. Все, что будет сильно дороже, небольшие компании просто не купят. Продукт должен и радикально сокращать вероятность утечки, и минимизировать ущерб от возможного шифрования. По-сути, существенно увеличивая стоимость атаки.

А теперь мы IT-компания! Такая вот маленькая ачивка получена. Можно было зарегистрироваться и год назад, но с учетом льгот от Иннополиса это не имело особого смысла. А сейчас уже и расходы на разработку, и полноценная команда, и в перспективе регистрация ПО, да много чего. Так что пора..

О том, почему шифровальщик — это вершина айсберга далеко за пределами ИБ К нам в прошлом месяце обратилось аж пять (!) ранее незнакомых нам человек с вопросом о том, можно ли расшифровать зашифрованные данные. К сожалению, обычно в таких случаях мы можем оказать только моральную поддержку — в случае с МСП+ с их минимальным чеком за расшифровку, нам даже не к кому их отправить, не те деньги. Причем в 3 случаях это был классический подтвержденный рансом с выкупом. О результатах (платили или нет) умолчим, но вообще говоря шифрование — это только вершина айсберга. Проблема немного шире. Однажды мы видели, как в качестве выкупа хакеры попросили 10 000 рублей. Нет, не долларов. Рублей. Да, компанию похоже атаковал школьник — и он достиг некоторых проблем. Возможно и шифрования настоящего там и не было. Так вот, проблема в том, что угроза потери данных — она вообще не только про ИБ. Она про инфру, про кривые руки, про конкурентов, про обиженных сотрудников, да про что угодно. Мы считаем, что продукт 4security (если удастся выдержать его ценник) станет своего рода необходимым гигиеническим минимумом для бизнеса. И нет, мы не собираемся конкурировать с другими ИБ-продуктами. Мы решаем другую задачу — простой комплексной защиты. А то практика показывает, что даже нормально настроить бэкап у нас могут не только лишь все.