3side кибербезопасности

Управление ИБ в компании — это не сложно и не дорого Чем больше мы общаемся с совершенно разными людьми (из стартапов, традиционного бизнеса, из разных индустрий) тем чаще мы встречаемся с двумя очень популярными мифами. 1) Информационная безопасность — это дорого. На самом деле, правильный вариант этой фразы звучит как "ИБ может быть очень дорогим". А может быть и нет. А может быть вам не нужно ИБ за 20 миллионов рублей даже если у вас есть на него деньги. У нас был очень разный опыт общения с заказчиками (и потенциальными заказчиками), и мы можем точно сказать одно. Зачастую на рынке взаимосвязь между стоимостью услуги и её ценностью для бизнеса если и не отсутствует, то бывает достаточно неочевидной. Это не значит, что сделают плохо. Это значит, что даже дорогая и классно сделанная услуга зачастую этому конкретному заказчику просто не нужна. 2) ИБ — это сложно.В реальности нет, ИБ — это так же про бизнес, как программа управления логистикой или трекинг грузовиков. Здесь нет вообще ничего такого, что нельзя было бы понять. Всё интуитивно просто, а главное — ИБ всегда "закрывает" те или иные угрозы бизнесу. В общем, ничего сложного или страшного здесь нет. Будут вопросы - пишите) А завтра у нас выйдет большой лиебез про самый знаменитый в истории слив данных. Там тоже очень и очень поучительная история.

"Так безопасно?" №4: Как техдиру говорить про кибербезопасность и деньги? По результатам вчерашнего поста про управление рисками, у нас возник один небольшой спор с коллегами о том, как техдир должен обосновывать свои расходы. Эта история не совсем про наш бизнес, но мы попробуем ответить (тем более, что бэкграунд у Артёма всё равно в финансах). Самое главное — ваш CEO\CFO мыслит в других категориях. С CTO наверное проще, но если у вашей компании есть отдельный CTO и вертикаль под ним — то, наверное, какие-то понятия о безопасности у вас есть. А если есть CISO то вообще прекрасно и говорить придется уже ему. Начать в любом случае надо с того, чтобы перевести возможную угрозу в разряд денег. Просто говорить "нас могут взломать" — недостаточно, потому что сразу возникнет здравый вопрос "и чем нам это грозит"? Хорошо бы сразу понимать, в какие конкретно потери эта история может вылиться. Потому что говорить "наша база клиентов утечет к конкурентам" — это одно, а "если наши продажи упадут на 10%, то нас зашифруют и будут потери от простоя на XXX рублей" — это другое. Никто не любит абстракции, все любят бабки. Сделать такую "бизнесовую" оценку для человека из IT/ИБ может быть тяжело, но если вы доросли до Head of что-нибудь, то вам рано или поздно придётся вгружаться в бизнесовую составляющую. Это в любом случае полезно. Второй момент — это правильно оценивать ваши возможности и реальность угроз. Потому что если вы понимаете, что проблема реальна, жопа (извините) полная, то лучше уже сейчас идти к тому, кто распоряжается деньгами и говорить "есть проблема". Нет, конечно, конкретная стратегия зависит от того места, где вы работаете — но общая идея именно такая. CTO, который "обо всём предупреждал" лучше CTO, который молчал. Кстати, именно таким CTO мы иногда продаём расследование инцидентов. В общем, главное — это интерпретировать проблему в деньгах. Идея, вроде бы, совсем очевидная, но мы часто видим колоссальную пропасть в мышлении "чуваков из IT/ИБ" и "людей, которые распоряжаются деньгами".

Тут вышло интервью с Антоном для казанского Enter "Миссия компании — сделать услуги по кибербезопасности прозрачными, надежными и доступными малому бизнесу. Проблема современного информационного рынка в том, что из-за цепочки посредников клиент до конца не понимает, кто будет выполнять заказ. Мы решили эту проблему и создали первый в России агрегатор услуг по кибербезопасности." И ещё пара слов о том, как мы дошли до жизни такой, какой продукт мы создаём и самое главное — для кого мы это делаем.

Управление рисками и кибербезопасность Риск-менеджмент — это такая довольно важная штука для практически любого бизнеса. Рисков бывает куча типов, у всех свои ключевые риски, и здесь главная идея — не уход от риска в целом, а разумное снижение вероятности его наступления. То есть мы не пытаемся любой ценой минимизировать вероятность наступления негативного события — мы определяем баланс между последствиями и стоимостью снижения вероятности их наступления. Грубо говоря, существуют бизнес, для которого борьба с киберрисками бессмысленна. Самый простой пример — это палатка с шаурмой у вокзала. А бывает и совсем наоборот — вспоминаем историю про заправку. В общем, самое главное в этом вопросе — разумность и взвешенность. По нашему опыту — к нам часто приходят уже после того, как проблемы в сфере безопасности реализовались. Не всегда катастрофическим образом, но "звонок" прозвенел и бизнес понял, что вот сейчас у него будет проблема. Можно считать, что это нормально ... но это нехорошо. В идеале, картина должна быть совсем другой. Самый главный вопрос, который рано или поздно может (и должен?) задать себе любой CEO или CTO звучит так: "что я потеряю, если риск реализуется и сколько стоит защита". И управление рисками ИБ в любой компании начинается с ответа на этот вопрос. Ответ может быть "ничего не потеряю", или может быть "я потеряю бизнес". Самое главное — чтобы ситуация должна быть управляемой. А про методы количественной оценки риска мы ещё поговорим.

Минцифры провело исследование уровня грамотности россиян в сфере ИБ — результаты ... не обнадёживают Собственно говоря, суть исследования — оценить знания жителей России в сфере возможных угроз и способов защиты от них. Причем судя по описанию, вопросы покрывали достаточно актуальные: от антивирусного ПО до социальной инженерии. Итоговый результат оценили в 48,2 пункта (наверное, это не очень хорошо), но нам интереснее другое. А именно — ответы на конкретные вопросы. И вот тут картина не очень хорошая: 41% россиян вообще не смогли назвать ни одной возможной угрозы. То есть возможность отправить деньги мошенникам (социальная инженерия) либо не рассматривается ими именно как угроза в сфере ИБ, либо просто не рассматривается. При том, что 16% назвали как раз телефонное мошенничество. В общем, или всё очень плохо, или проблема в разной трактовке понятия ИБ. Ожидаемо, лучше всех себя показала категория 25-34 года, для более возрастных респондентов картина хуже. Для возраста 13-17 лет угрозы ожидаемо другие (там в первую очередь история про соцсети). Причем слово "фишинг" знакомо только 14% респондентов — и вот это уже реальная проблема. Ну, или тоже явление понятное, а слова такого умного не знают. Всё может быть. Что характерно, россияне прекрасно понимают свои проблемы: тот же 41% респондентов оценил себя на 1-3 балла. Правда, если вопрос задавали в конце, то множество ответов "не знаю" могли как-то повлиять на мнение респондентов. Резюмируя: с ИБ картина примерно такая же, как с финансовой грамотностью, которую ЦБ долго пропагандировал а потом плавно решил дрейфовать в сторону застрахованных счетов. В любом случае, рассказывать про ИБ важно, даже если повышение этой самой грамотности происходит не самыми быстрыми темпами. Круто, что Минцифры это делает — реально важная работа.

«10 миллионов рублей за багбаунти!» - громкое заявление ради пиара Positive Technologies заявили, что готовы заплатить столько за кражу денег со счетов в рамках багбаунти. Что тут не так? Это не уязвимость, это полноценный redteam-проект, использующий целую…

«10 миллионов рублей за багбаунти!» - громкое заявление ради пиара Positive Technologies заявили, что готовы заплатить столько за кражу денег со счетов в рамках багбаунти. Что тут не так? Это не уязвимость, это полноценный redteam-проект, использующий целую цепочку уязвимостей. Поэтому это не относится к багбаунти! Подобный проект требует бОльших ресурсов, наприме привлечения команды с разными специализациями: - Специалист по web-уязвимостям. - Специалист по инфраструктурным уязвимостям. - Специалист по работе со счетами. Это не работа для глубоких профессионалов одной области чаще всего зарабатывающих на платформах поиска уязвимостей. И заплатят только по факту, то есть если противодействием вам нарушили работу в середине, или система противодействия мошенничеству не дала провести операцию в самом конце - вы провели бесплатный redteam, спасибо. Вы поработали бесплатно, денег заработать не удалось. И для такой работы это совсем не те деньги, чтобы так рисковать. В классических redteam платят деньги за любой качественный проект, а не только «если получилось». Багбаунти формат создает еще дополнительные ограничения в рамках платформы для исполнителей. За "новый формат багбаунти" нам пытаются выдать redteam на максимально невыгодных исполнителю условиях. Да и клиентов, которые согласятся на подобное, тоже думаю будет немного. Так что, я уверен, что это просто громкие слова, только хайп.

В прошлый четверг мы с Антоном Бочкаревым провели #ИБшныйДвиж на тему «OSINT: Насколько стало легче искать людей в 2022 году» Поговорили о распространенных инструментах поиска, о том, какими из них может воспользоваться несвязанный с ИБ человек, а какими пользуются настоящие профессионалы. Вот подборка инструментов от Антона, которые мы успели обсудить: — Поиск по утечкам: СДЭК, Гемотест, Яндекс.Еда, базы ГИБДД. — Система быстрых платежей: при вводе номера адресата можно и посмотреть имя, отчество и первую букву фамилии. — Сервис Saverudata (работает с VPN). — Боты в Телеграм: Universalsearchrobot (канал Howtofind). — Maltego, Shodan. — Поисковые системы. — ТГ-канал Howtofind. — ТГ-канал OSINT mindset. — ТГ-канал osint_club_channel. Посмотреть обсуждение полностью можно на нашем You-Tube канале «Полосатый ИНФОБЕЗ».

Выложили запись нашего небольшого диалога про OSINT!

Почему простые мошенничества тоже опасны Один мой товарищ, мне рассказал о двух очень показательных историях с мошенничеством персонала. С подобным может столкнуться любой бизнес, совершенно в любой сфере. Бензозаправка. Одинокая заправка на трассе с крайне ограниченным выходом в интернет. Бензин наливается, данные записываются в базу на сервер, который по совместительству - рабочее место оператора-кассира. Раз в несколько дней это уходит в головной офис по слабому интернету. Да база защищена паролем и работает под другим пользователем, да и знаете оператор-кассир, согласившийся работать в таком удаленном месте, живет тут в селе неподалеку. Он явно не хакер, что он может сделать? А оказывается, может скрутить счетчик налитого бензина прямо в оперативной памяти, и этот бензин продать на сторону! Без знаний в IT? Чем и как? ArtMoney! Известная многим геймерам программа, которая позволяет накрутить себе денег в компьютерной игре. По факту она просто ищет нужные числа в памяти игры и меняет их. Так и делал оператор, просто менял количество налитого бензина, только не в игре, а в памяти базы данных. Сам он догадался или прочитал где-то, неизвестно. Поймали на сверке, но далеко не сразу, не могли понять, как он это делает. Ресторан. У известной CRM для ресторанного бизнеса была проблема - возможность загрузившись с внешней флешки редактировать базу данных, она была не зашифрована. Ну и что? Официанты же и менеджеры не хакеры! А им и не надо ими быть, ведь на мошеннических форумах активно и недорого продавалась инструкция по обогащению с помощью этой уязвимости. Часть персонала ресторана, обладая минимальными техническими знаниями, в течение дня записывали солидную часть заказов на определённый стол. А вечером после ухода управляющей просто-напросто "обнуляли" этот стол в базе данных и перепечатывали чеки, забирая всю выручку с этого стола. Все по инструкции, работали так более полугода. Вскрылось это случайно, благодаря установке системы электронных чеков, о которой сотрудники не подумали. Подтвердили камерами. Прибыль ресторана, после увольнения участников, увеличилась вдвое, ведь эта схема в месяц приносила сотни тысяч рублей. Противодействие мошенничеству со стороны клиентов/сотрудников/партнеров важная часть безопасности любого бизнеса. Важно анализировать бизнес-процессы, предотвращать появление подобных схем и выявлять уже действующие. В целом, этим возможно заниматься и самостоятельно, но гораздо проще и эффективнее обратиться к профессионалам. Через нас это получится, скорее всего и дешевле.

Услуга: базовый аудит информационной безопасности В каком случае она имеет смысл: если вы раньше не занимались вопросами ИБ и не представляете, на сколько ваш бизнес уязвим. Сколько это стоит: от 50 тысяч рублей, в зависимости от сложности структуры и глубины анализа Что вы получаете: опытного аудитора, который внимательно оценит ситуацию с безопасностью в вашей компании и ваши риски, построит дорожную карту дальнейших работ и даст рекомендации, что можно улучшить. Опираясь на отчет аудитора, вы сможете самостоятельно или при помощи сторонних специалистов выстроить дальнейшие планы. #3side_услуги

Всем привет! Завтра Антон участвует в небольшом видео-интервью про OSINT, кто хочет — присоединяйтесь. OSINT - поиск по открытым источникам, то есть с использованием привычной нам информации. Соцсетей, различных реестров, специальных сервисов и некоторых других утекших источников. При некотором умении и правильном подходе, при помощи OSINT можно получить ОЧЕНЬ много разной информации об интересующем объекте. В общем, будем обсуждать, что именно изменилось в 2022 году в этой сфере, как искать и где искать даже без специальных навыков.