3side кибербезопасности

Отличный разбор решения заданий SEQuest от нашего финалиста! Он сделал упор на осторожную и скрытную тактику, за что ему большое уважение от организаторов)

"Так безопасно?" №12: Как войти в кибербезопасность? Часть 2. В предыдущей части я рассказывал о том, как научиться тому, что поможет вам работать в сфере кибербезопасности. В этом посте мы обсудим нюансы и ограничения, которые накладывает эта область. Кибербезопасность — это сфера, где особое внимание уделяется репутации специалистов. Фактически, это люди, которым доступны все секреты компании и максимальные права и привилегии в инфраструктуре. Такой высокий уровень доверия можно заслужить только при наличии безупречной репутации и биографии. Это касается всех, от инженера по безопасности в крупном банке до специалиста по анализу защищённости в компании-подрядчике. Мы, Третья сторона, не исключение. Мы тщательно проверяем репутацию и биографию наших исполнителей, иногда даже более тщательно, чем в банках и компаниях, занимающихся информационной безопасностью. Это связано с тем, что потенциальный репутационный ущерб в нашем случае может быть особенно значительным. Ведь мы стартап, и цена ошибки на старте выше. Что может помешать вам получить работу в сфере кибербезопасности? На какие “красные флаги” обращают внимание компании при рассмотрении кандидатов? 1. Судимости. Люди с судимостями считаются менее надёжными, чем остальные. Считается, что если человек однажды переступил закон, то он может сделать это снова, если представится удобный случай. С подозрением также относятся к административным правонарушениям, особенно если они связаны с политикой. Даже если компания не интересуется политическими взглядами своих сотрудников, подобные случаи могут указывать на импульсивность и несерьёзность. 2. Участие в киберпреступлениях, продажа баз данных и данных платёжных карт на форумах, объявления о криминальных услугах, хактивизм. Как и в первом пункте, хоть и без уголовного дела, это может свидетельствовать о возможном повторном нарушении закона, отсутствии моральных принципов, ненадёжности и несерьёзности. Сейчас не начало 2000-х, когда репутация «чёрной шляпы» считалась бонусом при приёме на работу. Сейчас единичный «чёрный» эпизод может навсегда закрыть вам путь на легальную сторону! 3. Зависимости: наркотики, включая лёгкие, азартные игры, злоупотребление алкоголем. Человек с зависимостями ненадёжен, особенно если его зависимости заметны. В таком случае он, вероятно, уже начинает терять контроль над своей жизнью, а это недопустимо для работы в нашей сфере. 4. Крупные долги и банкротство. Обычно это указывает на зависимости или проблемы с законом. Если такая ситуация уже в прошлом и произошла не из-за вышеперечисленных причин, стоит объяснить это на собеседовании. Добавлю, что ситуация не так строга, как может показаться. Например, нарушения правил дорожного движения обычно не вызывают большого внимания, как и административные правонарушения, связанные с распитием алкоголя в публичных местах. Прежде чем начать свой путь в кибербезопасности, важно понимать, что здесь легко потерять свою карьеру. Негативная информация на нашем небольшом рынке распространяется быстро. Что же делают специалисты в таких случаях? Я лично не знаю таких случаев, но слышал, что некоторые специалисты переходят в IT, где требования к репутации и биографии не так строги. Они становятся разработчиками или системными администраторами. В следующей части я расскажу вам о специализациях «атакующей» и «защищающей» сторон, управлении в области кибербезопасности и исследовательских направлениях! #3side_так_безопасно

☄️ Приглашаем на наш вебинар «Serverless: трюки и советы на практике» совместно с Yandex Cloud 16 июля в 19:00 по Алматы вы погрузитесь в тему Serverless и на практике узнаете возможности бессерверной архитектуры. ➖Yandex Cloud в Казахстане. Расскажем, что из себя представляют сервисы Yandex Cloud на базе дата-центра в Казахстане, а также о планах по дальнейшему развитию платформы. Обсудим, какие преимущества и возможности может дать партнерство с Yandex Cloud локальному бизнесу. ➖Serverless подход к архитектуре. Разберем основы и принципы Serverless: какие задачи он решает, и как его применение позволяет оптимизировать процессы разработки и развертывания приложений. ➖ Способы применения Serverless: для чего подходит, а для чего не годится. Проанализируем различные сценарии, рассмотрим, кому подходит этот подход, а кому — нет. Обсудим плюсы и минусы и разберем, что такое cloud native. Поделимся рекомендациями по выбору подходящей архитектуры в зависимости от специфики задач. ➖Воркшоп по сервисам Яндекса для Serverless. Проведем практическую работу с триггерами для Yandex Cloud Functions, показывая, как эффективно использовать их для автоматизации процессов. Поделимся методами оборачивания всего этого в инфраструктуру как код (IaC), чтобы обеспечить повторяемость и управляемость настроек. 👉Регистрируйтесь здесь Ссылку пришлем в день вебинара. Поделитесь с коллегами и приходите сами. До встречи 🤝 @DevOpsKaz

Обнаруженная критическая уязвимость в VEEAM снова показывает, что возможно все. Забавно, но один наш бывший друг, работая в VEEAM, утверждал, что подобное невозможно в принципе. И приводил три основных пункта: 1. У нас такое качество кода/разработки и ревью, что любые серьезные уязвимости никогда не пройдут. 2. Пентесты/внешние исследователи не нужны, у нас разрабы сами умеют проверять свой код! 3. Ты просто не сталкивался с высокой культурой работы с кодом, поэтому и думаешь, что тут что-то такое могут найти! В самом VEEAM проблем нет, только если проблемы с настройкой серверов, но они на стороне клиента, или нашего облака. И вот оно как обернулось, уязвимость к тому же поражает своей простотой! Злоумышленник отправляет данные для входа, указывая,что проверять их нужно у него же! А сервис VEEAM это принимает за чистую монету и не проверяет, куда его отправили, возвращается к злоумышленнику же с вопросом "этого можно пускать?". Вот так можно выписать себе же доступ к системе. Хочется спросить — ну и где были все эти опытнейшие разработчики с высочайшей культурой работы с кодом? А ситуация, на самом деле, очень простая: все ошибаются. Чем меньше степеней защиты, тем больше шансов, что критическая ошибка уйдет в релиз — это, в общем, правда жизни. А нам вспоминается прикол с одного из мест работы одного из фаундеров 3side, когда очень опытный разраб, отвечая на вопрос о том, почему он заливает изменения сразу в прод, с лицом опытного сапера ответил: "меня учили не ошибаться". Место работы, кстати, считалось "системно значимым" — если вы понимаете, о чем мы. Такие дела.

Шифровальный блицкриг - захват сети за 2 дня Американские исследователи из Mandiant (приобретена Google в 2022 году) выкатили очень серьезное исследование тенденций мирового рынка кибервымогателей. Само исследование по ссылке, а пока ключевые выводы: - количество инцидентов растет, количество известных утечек очень существенно растет, появляется большое количество ранее неизвестных семейств криминального ПО - в трети случаев, шифрование было запущено в течение 48 часов после получения атакующими первоначального доступа. То есть за 2 суток успевают разломать все и получить нужные права. - В 76% случаев запуск шифровальщиков происходит во внерабочее время, самое “горячее” время, 3 часа ночи. - бум шифровальщиков начался после 2019 года, количество утечек резко возросло в 2023 году. - с 2022 года атакующие стали уделять гораздо больше внимания всем остальным ОС - Linux, VMware ESXi. Плюс Unix, MacOS и прочие - хоть Windows и все еще доминирует. - 15% запусков шифровальщиков происходят в течение дня после начала атаки, еще треть - в течение 2 суток. А теперь важно: далеко не факт, что на такие атаки SOC вообще полноценно отреагирует, а третья линия может просто не успеть подключиться. Про подобную тактику мы рассказывали тут. Грубо говоря, взлом происходит "с пятницы на воскресенье", пока основные линии SOC еще не включились в работу. Но нашим ощущениям, запуск за сутки после получения первичного доступа - это скорее запуск шифрования “на удачу”, без поиска бекапов, и поиска наиболее критичных данных для компании. Ведь по ощущениям, и развить атаку до прав администратора дома, и саботировать бекапирование, и выделить самые критичные данные за одни сутки - крайне сложно. Вывод: мы считаем, что проблема кибервымогателей становится все более массовой, а схема RaaS от разделения ролей приходит к максимизации "покрытия" числа жертв с упором на скорость атаки. Интересная тенденция - и, как мы и говорили, скоро МСП+ станут типичной целью.

3side кибербезопасности pinned «FAQ о канале Уважаемые подписчики, вас стало уже достаточно много, и большинство из вас не застали становление нашего канала. Поэтому у многих возникают закономерные вопросы: - Что это за канал? Это корпоративный канал компании по кибербезопасности 3side…»

SEQuest - социальный redteam фестиваля PHDays! Мы это сделали! Первый конкурс по социальной инженерии в истории PHDays, да и любых конференций по кибербезопасности. Крутых технических конкурсов всегда было достаточно, как и в этом году — $natch. AI CTF, Web3 Hack, IDS Bypass и легендарная 2drunk2hack. Но раньше не было ни одного ИБ-шного конкурса, где бы не требовались бы технические навыки. Есть такая штука — социотехническое тестирование, в котором большую роль играет социальная инженерия. Идея была в том, чтобы оценить "устойчивость" организации к попыткам не технологических, а социальных атак. Почему мы называем это redteam? Потому что это и был классический redteam — противодействие нашим участникам со стороны организаторов фестиваля было полностью настоящим, а скрытность давала преимущества. А после сдачи каждого задания, сторону защиты оперативно информировали и дообучали. Делать что-то впервые всегда особенно сложно. Например, мы пытались предугадать, сколько же будет участников? Думали 30-40 человек, оказалось более 200! Думали, что хотя бы одно задание решит человек 10, на деле их было более 30. Одни задания мы считали более сложными, чем другие, но в реальности все было ровно наоборот. В итоге, все задания были решены, но ни один участник не решил их все! Правила в ходе конкурса старались дополнять по-минимуму, бОльшую часть узких мест они закрывали и в первоначальной редакции, добавлялись лишь нюансы, хоть и важные. С верификацией решений тоже вышло все прозрачно, хоть и из-за количества участников у стенда регулярно набиралась очередь. Обратная связь от участников и комьюнити получилась шикарная, конкурс и ожидаемо привлёк к себе внимание и получил восторженные отзывы. В целом можем сказать, что первый блин ну точно не комом, хотя нам совершенно точно есть куда расти и есть над чем работать. От себя хотим сказать огромное спасибо организаторам фестиваля за терпение и поддержку, участникам за участие, волонтерам за помощь и всем причастным просто за то, что вы есть! А подробный разбор заданий, и способов успешного их решения участниками будет в отдельной статье!

Есть ли DevSecOps в Самаре? На Positive Tech Day 18 июня он точно появится!🙂 В Самаре впервые пройдет конференция Positive Tech Day от Positive Technologies, на которой соберутся топовые эксперты компании по безопасной разработке — они выступят на треке «DevSecOps на Волге», где расскажут об Application Security. Так что если у вас еще не было планов на июнь — сохраняйте дату, приходите бесплатно послушать доклады и задать вопросы! Будет полезно как новичкам, так и тем, что уже давно в теме. 🤔На «DevSecOps на Волге» вы узнаете: • из чего состоит практика безопасной разработки и как ее внедрить; • как защитить конвейер CI/CD и ничего не испортить; • как выбирать и применять AppSec-инструменты; • как выстроить взаимодействие между людьми, чтобы DevSecOps работал. Участие бесплатное по предварительной регистрации.

Отвечавшего за ИБ экс-заместителя губернатора Смоленской области мошенники развели на 6,5 млн рублей В этой новости "прекрасно" все. Но мы скорее бы хотели подчеркнуть одну вещь — если сейчас "топов" и прочих ЛПР разводят скорее ради денег, то скорее они могут стать вполне привычным вектором атаки на бизнес. Если не на инфраструктуру, то на критические процессы внутри компании. И осталось до этого момента год-два. Почему даже связанные с ИБ люди становятся жертвами атак? Да тут много причин — и "правило 7%", и просто человеческая природа. Тем более, безопасники могут быть особенно подвержены эффекту сверхуверенности, что раз мы понимаем что это и как работает, то на нас уж оно точно не сработает! На деле, же все иначе чем больше этот эффект проявлен у человека, тем выше вероятность того, что он станет жертвой мошенника. Почему? Он будет нечувствителен к контексту. Одно из проявлений такого эффекта: опытные водители в два раза чаще попадают в аварии по сравнению с теми, кто имеет более низкий стаж и возраст. Опытные пловцы чаще тонут. Здесь та же самая история.

Как за 10 лет киберкриминал создал разумный и эффективный рынок нелегальных услуг? Прочитали тут небольшую гостевую лекцию для одного чудесного ВУЗа. О том, какие бывают хакеры, что такое RAAS, как работает криминальная индустрия и что со всем этим делать. Постарались достаточно коротко и интересно. Ну, и немного про актуальную повестку)

TGStat ответственнее Telegram Помните вот этот пост и статью на Habr, о том, что некоторые возможности Telegram позволяют очень эффективно проводить фишинг в мессенджере? В качестве примера, в этой статье я продемонстрировал перехват аккаунта на популярном сайте аналитики для Telegram-каналов TGstat. Тогда я осознанно не высказывал никаких претензий к создателям сайта, ведь как по мне, основной фикс должен был быть на стороне мессенджера, а сайт использовал лишь не совсем безопасные функции. Но Telegram отказались что-либо исправлять и вводить дополнительные меры защиты. А вот TGstat отреагировали на статью! И теперь их бот высвечивает предупреждение, указывает имя аккаунта, под которым происходит вход, чтобы пользователь точно знал, что происходит. А также бот требует не только переход по ссылке, как раньше, но и нажатия кнопки внутри него. Это значительно усложняет фишинг, команде TGstat мое большое уважение! Они оказались ответственнее, чем мессенджер, который постоянно трубит, что безопасность - его главный приоритет.

Мы еще опубликуем подробный отчет о phdays, но пока можем сказать, что это было потрясающе масштабно. SEQuest прошел не без проблем, но мы точно увидели, как должно выглядеть «кибериспытание» для социо-инженера.