? Дроны после начала СВО стали чётко ассоциироваться с ударными беспилотниками, а после попаданий по нефтебазам и увеличения инцидентов с участием дронов тема защиты промышленной инфраструктуры от дронов стала весьма актуальной. Появилось ряд коммерческих решений, а Kaspersky предложил типизацию угроз, идущих от дронов. В докладе так же можно обзорно узнать про методы обнаружения и нейтрализации, доступные в коммерческом секторе.

? Однако дрон это не всегда ударный вариант из новостей про СВО (критический уровень угрозы), но и модифицированные гражданские варианты (угрозы 1-3), которые могут применятся не только для нанесения физического ущерба. Например, в книге был рассмотрен метод доставки дроном устройств для взлома беспроводных сетей через физический периметр безопасности. Полезной нагрузкой тут будет выступать мини-компьютер с соответствующим ПО для взлома беспроводных сетей и модулем 3G/LTE для связи с опорным сервером злоумышленника.

Одна из стандартных организационных мер — это не доступность сети за периметром объекта, а защищенность самой сети Wi-Fi на этом считают завершенной, особенно если это какой-то технический сегмент, а не корпоративный/гостевой. Где-то на служебной парковке, козырьке около окна и т.п. вполне может незаметно сесть дрон и устройство, доставленное дроном, станет мостом между сетью предприятия и злоумышленником. Не уверен, что служба безопасности уследит за подлетающим миниатюрным дроном по данным визуального контроля.

Сегодня, 13 ноября, ГК ICL запустила один из крупнейших в России заводов по поверхностному монтажу печатных плат и сборке готовых изделий ?

Несмотря на площадь более 8 000 кв. метров, конвейерных линий производства техники на 1 000 000 единиц готовой продукции и цеха по монтажу печатных плат, способного производить 300 000 материнских плат, наиболее зрелищным и близким моему сердцу, после ухода IKEA, выглядит новая тестовая лаборатория.

Стенд для проверки кабелей питания на изгиб нужно подсказать внедрить Apple?, а устройства для проверки USB портов и тестирования клавиатуры выглядят так сурово, что мысли об их наличии любого инженера заставят работать лучше?

Telegram

Айрат Хайруллин

Планы воплощаются в жизнь. Запустили новый завод ICL в Лаишевском районе Татарстана - сборку вычислительной техники и поверхностного монтажа материнских плат. Строительство было начато в прошлом году, и компания справилась с запуском за короткое время. На…

Вот и реализация УБИ.221 по искажению («отравлению») обучающих данных на практике. Обычно для обучения ИИ используются общедоступные наборы данных, в том числе изображения. Инструмент Nightshade позволяет вносить изменения в пиксели изображения таким образом, что глаза человека их не воспринимают, но если такое изображение будет включено в обучающий набор ИИ, это может привести к хаотичным, а судя по примерам на иллюстрации даже предсказуемым изменениям модели. При этом изменения затронут не только целевое понятие (prompt), но и исказят связанные с ним.

В новом методе интересно то, что если обычное «отравление» текстовых обучающих данных путём замены информации на общедоступных сайтах или подмену битых ссылок из источников модели ещё можно перепроверить, то по изображению будет сложно понять, что оно "отравленное" до обучения модели.

Цель у разработчиков инструмента, конечно, благая - защита авторских прав и борьба с компаниями, которые используют работы художников для обучения моделей без разрешения правообладателей. Только метод был выбран разрушительный и его нужно будет учитывать при моделировании сценариев реализации угроз для систем, использующих искусственный интеллект.

Прочитал книгу «Хакерство. Физические атаки с использованием хакерских устройств» пентестера Андрея Жукова.
Приобрести её сподвигли настальгия по первым книгам серии «глазами хакера», прочтенным ещё в начале 2000-х и тема физических атак, которая мне интересна.

С ностальгией я угадал, стиль изложения, примеры из компьютерных книг и листинги кода вернули меня во времена книги “Delphi глазами хакера”. Чувствуется, что автор горит своим делом и, как мне кажется, некоторые моменты описывает просто just for fun.

Со вторым ожиданием оказалось, что ключевым в названии является «с использованием хакерских устройств». Автор подробно описывает как злоумышленник или хактевист может сделать устройство для атаки из простого телефона или одноплатника, да и по сути из любого подручного технического средства. Подробно описаны атаки на беспроводные сети, закрепление в сети с помощью закладок, но от «физических атак» тут скорее необходимость присутствия на объекте, а далее атаки мало чем отличаются от обычных.
При этом почерпнул для себя несколько неочевидных векторов атак, которые обязательно нужно учитывать, и в каждой главе описаны меры защиты, хотя менее подробно чем атаки.

Описанное в книге можно найти и в статьях в интернете, но автор проделал большую работу, структурировал информацию и проверил на тестовых стендах и коммерческих пентестах. Если вам интересна тема наступательной безопасности - к прочтению рекомендую.

? Решения класса Deception (обмана) — это системы цифровой имитации ложных элементов ИТ-инфраструктуры. Платформа автоматически распространяет по сети два типа сущностей.
Приманки — это ложные артефакты "внутри" реальной инфраструктуры: учётные записи, DNS-записи, сохранённые SSH-сессии, записи реестра, документы и т.д.
Ловушки - виртуальные элементы инфраструктуры "рядом" с существующими сервисами: сетевые устройства, МСЭ, сервера приложений, ПЛК, принтеры и т.д. Приманки связаны и указывают на ловушки, причём имитируется даже постоянное сетевое взаимодействие между ними. Основная задача, чтобы злоумышленник не догадался, что перед ним ложная инфраструктура.

? Цель Deception- обнаружение злоумышленников, проникших в корпоративную сеть на самых ранних этапах атаки и в самый сложный для обнаружения момент при горизонтальном передвижении (lateral movement). Внутри сети хакер маскируется под легитимную активность, использует скомпрометированные существующие учетные записи и повторяет поведение сотрудников, поэтому его сложно определить обычными средствами NTA и SIEM.
Для обнаружения хакеру не обязательно дойти до ловушки, сам факт обращения к приманке тоже является признаком атаки, так как они не используются в обычном бизнес-процессе.
Дополнительная цель - замедление продвижения атакующего внутри сети. Приманки заставляют злоумышлиника тратить время на ложный след, запутывая среди виртуальных объектов.

Преимущество Deception перед другими технологиями заключается в обнаружении APT, 0-day атак, которые сложно детектировать другими средствами. Отсутствует необходимость писать правила корреляции, сигнатуры, собирать IoC - т.е. заранее продумывать от каких атак и векторов мы защищаемся.

Это позволяет внедрить Deception на начальных этапах построения системы защиты, но классически считается, что в организации уже должен быть SIEM, NTA, EDR, SOAR и отличным дополнением ? станет Deception. Технически нет ограничений на внедрение без данных продуктов, но я считаю, что их наличие в первую очередь показывает зрелось команды информационной безопасности в организации. С результатами форензики, собранными ловушками, нужно работать, проводить расследование и реагировать. Без должного уровня подготовки персонала, применение ловушек может стать бессмысленным.

Российские #решенияИБ класса Deception, представленные на рынке:
? R‑Vision TDP? Гарда Лабиринт (Bastion Security Platform)? Xello Deception? AVSOFT LOKI

Сегодня участвуем в форуме GIS DAYS 2023 в Москве. На стенде представлено наше решение в виде ПАК с продуктами Газинформсервис и оборудованием ICL Техно, а так же интегрированы российские продукты наших партнеров.

Рынок импортозамещения сегодня в большинстве представлен одиночными решениями и стартапами, зрелость которых ещё не достигла целевых значений. Использование таких точечных историй несет массу рисков для конечных потребителей и серьёзную нагрузку на специалистов заказчика по тестированию и сопровождению, уже начиная с этапа выбора решения. Помочь в решении задачи могут программного-аппаратные комплексы.

О ПАК говорят и государство, и регуляторы - даже в реестре Минцифры появился соответствующий раздел.

Это интегрированные решения выполняющие конкретную прикладную задачу, объединяющие вычислительное и коммутационное оборудование, системы хранения данных с программными продуктами: операционными системами, базами данных, прикладными решениями, средствами защиты информации.

В первую очередь так закрывается вопрос работоспособности и совместимости. Дополнительно получаем выполнение гарантийных обязательств из единого окна и соответствие требованиям регуляторов (не нужно подбирать и комбинировать непонятные варианты из реестров Минпромторга и Минцифры). Тем самым перекладывая возможные риски с заказчика на исполнителя - производителя и поставщика комплекса.

Для меня ПАК подразумевает не просто совместимость оборудования, а оптимизацию целевого программного продукта под работу на конкретном железе в основе комплекса. В результате продукт должен выдавать в несколько раз большую производительность в составе ПАК, чем если его установить как ПО на любое другое доступное железо. При сопоставимой цене, это должно дать эффект уплотнения использования железа в наше не простое время дефицита высокопроизводительных серверных мощностей и сократить затраты на импортозамещение.
К этому и будем стремиться. ?

Прочитал, а точнее послушал на литрес, книгу «Системное управление на практике: 50 историй из опыта руководителей для развития управленческих навыков» (Евгений Севастьянов).

Во многих кейсах узнавал себя и порадовался, что часто моё интуитивное решение совпадало с мнением автора. Из актуальных примеров применение принципа "расширять зону твердого" при внедрении новых процессов - разбивать большую задачу на маленькие шаги, каждый из которых будет приносить ощутимый результат. Сейчас мы как раз стараемся описать чек-листы и инструкции на процессы, которые чаще всего вызывают вопросы у сотрудников, и сразу ввести их в жизнь, а не описать всеобъемлющий регламент с бесконечным согласованием по подразделениям.

В книге часть кейсов разобрана применительно как к действиям руководителя, так и рядовых сотрудников, поэтому будет полезна даже если вы не на руководящей позиции.

Мне нравится формат книг в виде сборника практических советов для изучения именно в аудиоформате. Удобно слушать по несколько историй в момент коротких поездок или выполнения домашних дел. Отсутствие сюжета и жёсткой связи в содержании даёт возможность включить случайную главу и, возможно, применить к текущей ситуации и решить актуальный вопрос.

Классикой и эталоном в этом жанре являются книги Максима Батырева "45 татуировок менеджера. Правила российского руководителя" и "45 татуировок продавана. Правила для тех, кто продает и управляет продажами." Конечно, это не фундаментальная теория как у Адизеcа, но ценность именно в российском управленческом опыте и реальных принципах применимых в бизнесе от малого до корпораций.

Кстати, автор Евгений Севастьянов ведёт телеграмм-канал, там и нашлась ссылка на книгу.

Модная теперь фраза - "Мы строим экосистему кибербезопасности". Вот только по своей сути и определению экосистема - это взаимодействие поставщиков, клиентов и конкурентов для закрытия потребности одной из сфер жизни. В нашем случае информационной безопасности компании. Совместно используемые компоненты экосистемы должны давать синергетический эффект, усиливая общий результат, а не просто быть продуктами от одного производителя.

Что же произошло на российском рынке? На партнерской конференции Кода Безопасности Павел Коростелёв в первом докладе отлично подчеркнул тренд, а затем все следующие выступающие от имени других вендоров подхватили его мысль.

1️⃣ В основном наши вендоры выпускали просто продукты, выполняющие набор функций безопасности.
2️⃣ Как только произошли февральские события с уходом ключевых западных игроков, вендоры начали строить собственные закрытые экосистемы либо за счёт своей разработки, либо путём покупки отдельных нишевых игроков. В основном всё сводилось к продаже роудмапов и не зашло заказчикам, много лет применяющим зрелые иностранные продукты.
3️⃣ Поняв, что в одиночку разработать все требуемые продукты невозможно, теперь производители перешли к тактике создания всевозможных партнёрств и открытых экосистем путём интеграции продуктов разных производителей между собой.

С открытой экосистемой можно выбрать продукты разных производителей, наиболее подходящих для решения задач конкретного заказчика. Главное, чтобы вместе они давали тот самый синергетический эффект, а не оставались просто набором продуктов.

В целом такой подход мне видится более правильным. За прошедшие полтора года стало очевидно, что в одиночку вытянуть отрасль никому не получится. Нужно консолидировать усилия и дружить в разных формах.

Лет 10 назад прикручивал ГОСТ к SSL/TLS VPN порталу Check Point Mobile Access и с тех пор запомнил факт о лицензировании КриптоПро, который потребовался в новых условиях повсеместного внедрения ГОСТ шифрования и оказался не таким очевидным.

Для работы с защищёнными соединениями не требуется покупка лицензии КриптоПро CSP. Например, это указано на странице браузера Chromium-GOST. После истечения 90-дневного ознакомительного периода КриптоПро CSP продолжит работать без ключа лицензии.
Будут работать режимы не требующие использования закрытого ключа (подписи) пользователя, т.е. проверка электронной подписи, TLS соединения без аутентификации.

Кроме посещения сайтов с серверными ГОСТ сертификатами, это позволяет использовать шлюз Крипто Про NGate в режиме портального доступа (т.е. опубликовать свои внутренние сайты и веб-порталы) с аутентификацией по логину и паролю используя только конкурентную лицензию на соединения шлюза NGate и не устанавливая платную лицензию Крипто Про CSP на компьютеры пользователей.

Если необходимо предоставить при проверке доказательство, что КриптоПро CSP без ввода ключа является лицензионным и его можно использовать - есть соответствующее письмо от производителя.

Посмотрел выпуск "Полный ИБец" и вспомнилось, что у меня был небольшой, но тоже опыт почти физического пентеста. Я вёл проект по внедрению МСЭ и проводил обследование сетевой инфраструктуры на объектах одной из крупнейших нефтегазовых компаний.

Для этого нужно было обследовать типовую АЗС ⛽️, а коллеги из ИБ со стороны заказчика решили совместить мои и свои задачи - «Тебя никто здесь не знает, уверенно проходи через стойку администратора, за ней дверь, там компьютер и сервер. Главное иди уверенно, проверим реакцию». Так я сделал, уверенным шагом прошёл мимо охранника, администратора и под видом системного администратора сел за компьютер, чтобы обслуживать. Как я это пояснял и что говорил сотрудникам АЗС, сейчас не помню, но факт в том, что за компьютером оказался, а за мной вошли сотрудники ИБ заказчика с вопросом: «Кого и на каких основаниях вы пропустили? Берите листочки и пишите объяснительную».

Ещё пару лет назад был запрос от заказчика провести физический пентест как часть комплексной услуги – скопировать пропуск, пройти через охрану в гостевую зону и попробовать проникнуть в сеть. Проработка такого кейса вызвала множество вопросов, и один из основных, волнующих меня как руководителя – это безопасность сотрудника. Видимо для подобной услуги действительно нужно нанимать бывших разведчиков.

С тех пор, отвечая на вопрос об услуге пентеста, я вношу оговорку о том, что мы не делаем – физическое проникновение и физическая социалка. Это включает уговаривание конкретного человека с встречей в оффлайне и в целом даже онлайн целевая социалка на конкретного сотрудника вызывает у меня этические вопросы.

?В интервью же приведены отличные примеры подобных пентестов. В том числе иллюстрируется связь между физической безопасностью и информационной – для достижения цели методы комбинируются. Чтобы проникнуть на объект, можно взломать сеть и открыть шлагбаум. Чтобы скопировать данные из ИТ-системы, можно взломать СКУД и физически дойти до серверной. Хотя обеспечение физической защиты серверных является доменом как стандартов по ИБ, так и требований регуляторов.

В целом я вижу новый тренд ? За последние годы ИБ из наложенного средства превратилась в неотъемлемую часть ИТ. Отделы ИБ и ИТ объединяются при выполнении задач бизнеса, и порой уже сложно отличить на уровне какой команды внедряется мера ИБ в компании. Все решения принимаются с учётом мнений обеих сторон.

Предполагаю, что то же самое произойдет и с кибер- и физической безопасностью. Учитывая всеобщее признание влияния кибербезопасности на реализацию недопустимых событий, связанных с реальным миром и критическими процессами, у физической (ТСБ) безопасности и кибербезопасности теперь одинаковые цели. А значит, нам придётся найти общий язык и объединиться для решения задач бизнеса.

? Рекомендую посмотреть интервью. Слушается легко и с интересом благодаря историям, связанным с реальным и понятным всем физическим миром, а не стандартами, процессами, техниками атак и другими терминами из ИБ.

YouTube

Полный Ибец: Егор “R00t_Owl” - Тесты на физическое проникновение [s1e5]

В этом выпуске у нас особенно интересный гость. Егор, ведущий специалист отдела анализа защищенности в компании Информзащита, рассказывает о том как попал в очень интересную сферу пентеста, о своих достижениях, каверзных ситуациях, техниках и девайсах, которые…