3side кибербезопасности

Утечки закончились, утекать больше нечему — дальше атаки на инфраструктуру. Как мы уже писали раньше, эффект (и медийный, и финансовый) от каждой следующей утечки данных в России будет падать. Не до нуля, так как данные все равно устаревают, но со скандалами середины прошлого года это не сравнится. Когда куча крупных компаний уже протекла, удивить чем-то новым тяжело. Мы предполагаем, что в ближайшие пару месяцев злоумышленники перейдут от похищения клиентских данных к атакам непосредственно на инфраструктуру компаний. Тут можно вспомнить кейс rutube как эталонный пример такого рода атаки. Первые неприятные звоночки уже были — протек Уралхим, причем в сети оказались не только базы данных сотрудников (с логинами и паролями, ага), но и некоторая внутренняя информация. И есть очень большой вопрос, как долго злоумышленники были в системе и каких результатов они могли добиться. Мы убеждены, что теперь главной целью атак станет не кража данных, а нарушение работы инфраструктуры. А это может быть куда страшнее.

Ценность утечек падает — кажется, уже утекло слишком много. Тут Роскомнадзор приводит "волшебную" статистику — в 2022 году произошло около 150 крупных утечек персональных данных. По другим данным — больше 300 баз и больше миллиарда строчек данных. Получается и смешно, и грустно — каждая дополнительная утечка уже имеет меньшую ценность, так как в значительной степени содержит уже слитую информацию. Как говорится утекло так много, что утекать больше нечему. Ну, или почти нечему. По некоторым данным, на Россию пришлось около трети (!) всех сливов баз ПД. Но самое прекрасное во всей этой истории — это реакция регулятора и правоохранительных органов. Сам РКН пишет, что по результатам рассмотрения материалов суды назначили штрафы на общую сумму около ... 1 млн рублей. Мы очень надеемся, что речь идет о каких-то судебных штрафах для злоумышленников, иначе выглядит совсем грустно. О чем это говорит? О том, что на сегодня ответственности за утечки данных в России практически нет. Понятно, что актуализированная информация будет представлять ценность, как и финансовая информация, но в остальном все плохо. Созданный РКН Центр правовой помощи гражданам в цифровой среде в текущей ситуации является бесполезным паллиативом — величину штрафа определяет совсем не РКН, а действующее законодательство. До тех пор, пока в России не будет системной борьбы с утечками, персональными данными россиян будут торговать у каждого забора. Такие дела.

А еще теперь нас зовут читать лекции!) Для авторского курса CTO (технических директоров) Дмитрия Симонова (https://l.dsimonov.consulting/yRVIKe) мы начали читать лекции про баланс ИБ и IT в компании. Назвали просто — "построение баланса IT и ИБ и пять стадий принятия кибербезопасности". Тема важная — мы часто видели, как в компании, особенно молодой, обе функции перетягивают одеяло на себя. IT часто видит в ИБ не помощника, а конкурента, и это огромная проблема. Эффективная защита инфраструктуры строится только на поисках баланса и взаимном уважении. С каждой проблемой можно работать. Где-то считают, что ИБ-функция вообще не нужна и угрозы никогда не реализуются. Где-то IT обвиняет ИБ в лоббировании и уже реализовавшихся проблемах. Где-то спорят за бюджеты и закрывают реальные проблемы кучей бумаг. И каждая ситуация требует своего решения. К слову, напоминаем, что средний ущерб от ransome - атак составляет порядка 100К долларов для среднего бизнеса и от миллиона — для энтерпрайза. И это явно больше, чем ИБ-бюджет. ИБ (как и любое управление рисками) требует разумного баланса между расходами и потенциальным ущербом ... и мы рассказываем, как его достичь.

Дорогие дамы! С праздником! Так исторически сложилось, что профессии часто делились на "мужские" и "женские". Цифровая эпоха, ковид и удаленка постепенно меняют сложившуюся ситуацию там, где ее можно менять. И многие профессии уже перестают быть мужскими или женскими. С каждым годом в ИБ все больше девушек, и это здорово, и мы этому рады. Хотя на наш взгляд, самое правильное деление в профессии — не на мужчин и женщин, молодых и возрастных или москвичей и людей из регионов. Главное — деление на профессионалов и всех остальных. Так вот. Дорогие девушки. Мы рады, что среди вас есть много чудесных профи, с которыми очень приятно работать. С праздником! P.S. были рады зарегистрировать дам - настоящих профи кибербеза у нас на площадке!

Вообще, термину "медовая ловушка" не один десяток лет. В свое время ею пользовались по-моему все спецслужбы мира, от КГБ и Штази до Моссада, так что в этой истории нет вообще ничего удивительного. Если не углубляться в исторические подробности, то и сейчас этот подход тоже прекрасно работает. Причем цели воздействия могут быть совершенно разными - тут и компромат, и шантаж, и просто влияние на человека, и доступ к конфиденциальной информации жертвы. Совсем редко - угроза личной безопасности. Когда-то давно один хороший человек сказал нам, что в большей безопасности себя могут чувствовать взрослые мужчины, не состоящие в браке и не имеющие сексуальных девиаций, вступающие в связь с совершеннолетним партнером противоположного пола. Реальность сложнее - их просто чуть сложнее шантажировать. Так что если вы считаете, что красивая женщина (или красивый мужчина) проявляет к вам интерес потому, что вы успешны, харизматичны и обаятельны ... наверное, все так и есть. Просто будьте осторожнее.

Иногда о проблемах стоит не только писать, но и рассказывать лично! Подписчики из Санкт-Петербурга, приходите 2 марта в IT-бар Failover Bar, Антон будет рассказывать о том, как работают колл-центры «служб безопасности» и их методики развода. При желании, можно и про 3side поговорить. Адрес: В.О. 7-я линия 42, доклад в 20:00

Как мы подбираем исполнителей Небольшой пост о том, как наша Площадка ищет людей, которые решают проблемы. Вне зависимости от того, как мы узнали об исполнителе (он пришел к нам сам, его порекомендовали или мы давно его знаем), для того, чтобы мы предложили заказчику его услуги, есть один главный критерий и несколько критериев второстепенных. Главный критерий — на наш взгляд, он должен быть профессионалом в той области, в которой будет делаться проект. Мы проверяем 2 главных аспекта — профессионализм и репутацию. То есть у человека должен должен быть опыт успешных проектов, и по рынку по нему не должно быть сомнительных историй. Проверяется это достаточно легко, и такие возможности у нас есть — мир ИБ вообще очень маленький и тесный. А дальше — это вопрос бюджета, сроков и пожеланий заказчика. Наше главное отличие от рынка — в том, что работая с нами, заказчик может выбрать конкретного исполнителя из списка с конкретными условиями. Возможны ситуации, что мы можем найти только одного исполнителя (как правило, при ограниченных бюджетах\сроках (такой случай у нас был), но как правило, варианты есть. В общем, мы стараемся быть максимально гибкие во всем, кроме одного. Мы не работаем с людьми, в которых мы не уверены.

Самозанятый или ИП VS ООО — кого выбрать? Дисклеймер: данный пост описывает ситуацию с видами работ, не требующими получения исполнителем лицензии. Найм самозанятого в рамках российского законодательства для некоторых задач невозможен. Мы тут столкнулись с интересной ситуацией — мы искали человека под задачу, связанную с "бумажной безопасностью". И у нас появились варианты: или предложить заказчику работу с самозанятым (качественно, но дешевле, гибче и ощутимо оперативнее) или подобрать юрлицо (тоже качественно, но дороже, дольше и больше формальностей). Решение осталось на стороне заказчика, но мы хотели бы сказать пару слов. Мы привыкли к тому, что работа с ООО (или любым другим подобным контрагентом) дает больше гарантий и некоторую "стабильность" в плане результатов. Проблема в том, что на рынке услуг ИБ ситуация несколько иная — при работе с ООО качество этих работ может быть весьма ... случайным, скажем так. И совершенно не связанным с запрошенной ценой. Нет, мы ни коим образом не говорим вам "не работайте с ООО, они отдадут заказ на субподряд и вас обманут", это не так, и мы знаем на рынке множество очень достойных и проверенных организаций, с некоторыми из которых мы активно сотрудничаем. Вопросов нет. Более того, для лицензируемых работ привлечение контрагента-юрлица это вообще единственный простой выход. Мы строим 3side для того, чтобы изменить эту ситуацию на рынке. Мы не делаем принципиальной разницы между исполнителями-физлицами и исполнителями-юрлицами. Мы одинаково проверяем их. Мы во всех случаях знаем, кто будет делать работу. Если у нас есть сомнения — мы найдем вам другого человека или другую команду, которая решит ваши проблемы. В общем, выбирать на проект самозанятого или юрлицо — личное дело каждого. Мы не делим исполнителей на самозанятых, ИП, ООО, и как-то еще. Для нас есть один критерий, и он очень простой. Исполнитель достаточно профессионален, чтобы сделать свою работу. А вот уж с кем комфортнее по деньгам, срокам, условиям и налогам — это выбор заказчика.

"Так безопасно?" №7: Альтернативные клиенты VK безопасны? Ответ – по нашему мнению нет, пользоваться ими крайне не рекомендуем. Вопрос этот становится все более популярен из-за введения самим VK спорных нововведений по ленте рекомендаций/дизайну/функциям. Но достаточно безопасной альтернативы нет и вот почему. Как работают альтернативные клиенты? На вашем токене. Это не логин и пароль от социальной сети, а специальный «ключ» позволяющий от вашего имени делать определенные действия в соцсети. Обычно он выпускается с ограничениями, но для полноценной работы альтернативного клиента ему нужен токен без ограничений, своего рода «генеральная доверенность» на ваш аккаунт. Вы доверяете компаниям/командам, о которых не знаете ничего. Они занимаются безопасностью? Альтернативные клиенты разрабатывают относительно небольшие компании/команды, которым гораздо сложнее выделять ресурсы на функционирование процессов по безопасности. У самого ВК процессы построены, довольно большие и авторитетные команды, включая тех кто обрабатывает запросы по BugBounty. А что у альтернативных клиентов? Никто не знает, они просят лишь поверить, что у них все хорошо и о безопасности они вообще думают. Как они хранят ваши токены и все данные, которые через них проходят? В 2019 году был скандал, один из альтернативных клиентов VK стал сохранять аудиосообщения своих пользователей у них же в открытом разделе «Документы», по которому можно проводить поиск. Достаточно было провести поиск по названию «audiocomment.3g», чтоб прослушать все сообщения пользователей этого альтернативного клиента. Сам VK оперативно закрыл, хоть и не свою брешь, запретив искать по этому названию. А как альтернативные клиенты хранят и ЧТО они хранят внутри себя? Неизвестно, доступ есть ко всему. Нужно лишь довериться и тут. На чем строится доверие к ним в целом? Лишь на том, что пользуются ими многие, но они ничего не заметили. Это, мягко говоря, не аргумент. Резюме. Мы крайне не рекомендуем пользоваться альтернативными клиентами. Альтернативные клиенты могут быть гораздо более легкой целью для атак политических хактивистов, мошенников и киберкринала. В том числе и злонамеренные действия владельцев альтернативных клиентов исключать нельзя. #3side_так_безопасно

Вам звонят из банка/полиции/ФСБ, просят что-то сжечь?! Что происходит? Типичная ситуация, с неизвестных номеров звонили уже почти каждому. Чего хотят? Они хотят денег, а если получится, то еще и подставить вас под преступление ради их ценностей. Кто они?…

Новые номера телефонов 3side Друзья, предыдущий опрос был не просто так. Мы тут подумали, и решили немного поменять телефонные номера, раз уж появилась возможность сделать это просто и достаточно недорого. В общем, теперь наши новые номера выглядят так: 8 800 222 1337 8 931 622 1337 Старый номер некоторое время тоже будет доступен. Если кому-то интересно, что это такое — 1337 это отсылка к Leet, популярному в начале 90ых среди IT и ИБ специалистов языку. Мы рады, что для достаточно большого числа наших подписчиков эти цифры что-то значат. К нашему огромному удивлению, несколько клиентов действительно начинали общение с нами по телефону. Уже потом была телега и все остальное, но начиналось все — со звонка.