Вернулся с Underconf 2, прекрасной ламповой ИБ-конференции. Окунулся в атмосферу мероприятий 90-х, без огромных бюджетов, без засилья спонсоров, создаваемые на энтузиазме. И с массой положительных эмоций 🙂

И вот, что я подумал 🤔 Все мероприятия по ИБ, которые мне доводится посещать, можно условно разделить на 4 типа:
1️⃣ Бесплатно для участников, засилье спонсоров, рекламные доклады, генеральские пленарки и вот это вот все. Полезного контента около нуля (исключения только подтверждают правило). Идти имеет смысл ради нетворкинга (шатанов на таких тусовках тоже масса и они вполне гармонично вписываются в атмосферу).
2️⃣ Вендорские семинары и конфы. Ну тут, вроде, все и так понятно.
3️⃣ Платные для участников (перелет и проживание за деньги или «представителям ИБ-компаний за 35000 рублей» не в счет). Тут обычно качественный контент, но мероприятия вообще не массовые. Спонсоры тут редки и нужны только для поддержания базового или среднего уровня организации (а не оплаты участия «генералов»). Рекламы около нуля. И контент, и нетворкинг на уровне.
4️⃣ «Митапы». Обычно проводятся одной компанией или при ее поддержке. Очень душевно, мало людей, на энтузиазме обычно одного человека, который хочет сделать хорошо. И контент, и нетворкинг недурны.

В последнее время все больше хочется именно третьих или четвертых, чтобы была ощутимая польза, а не вот это вот все 🙄 Но у нас такое, к сожалению, огромная редкость. Тем приятнее было в воскресный день посетить Underconf 2, начавшийся с 8.30 утра 😨, который, я надеюсь, продолжит существовать и дальше. Енот, спасибо за приглашение!!! 🤝

Ну а мы готовимся уже к PHDays, в котором пытаемся вобрать лучшее от всех форматов, но без ламповости; при таких масштабах это прям невыполнимая задача; как мне кажется.

ЗЫ. А часть докладов я бы даже пересмотрел 👀 Может в канале выложат ссылки.

#мероприятие

6 августа 2025 года Национальный центр кибербезопасности Великобритании (NCSC) 🇬🇧 официально выпустил новую версию Cyber Assessment Framework v4.0 (CAF v4.0), своей рамочной модели ИБ, предназначенной для организаций, особенно тех, кто работает в критически важных секторах (энергетика, транспорт, здравоохранение, цифровая инфраструктура и др.). Этот фреймворк помогает оценивать и управлять киберрисками, выстраивать киберустойчивость и соответствовать нормативным требованиям (например, европейским NIS и NIS2). Новая версия ориентирована на то, чтобы "поднять планку" ожиданий – не просто адаптировать старые требования, а переместить акцент с реактивных мер к более проактивной, интеллектуальной защите.

Из нововведений:
1️⃣ Понимание угроз (новый элемент A2.b "Understanding Threat"). Теперь организациям требуется не просто учитывать актуальные угрозы, но документировать методы анализа угроз, моделировать возможные сценарии атак (например, с помощью "деревьев атак") и демонстрировать четкое понимание мотивов, методов и возможностей злоумышленников. Напоминает отечественную методику оценки угроз ФСТЭК, но не столь детально. Это изменение переводит моделирование угроз из "фоновой" задачи в одну из ключевых составляющих оценки ИБ.

2️⃣ Безопасная разработка и поддержка ПО (новый элемент A4.b "Secure Software Development and Support"). CAF v4.0 требует, чтобы программное обеспечение (как внутренней разработки, так и внешних поставщиков) строилось и обслуживалось с учетом безопасных практик: отслеживание происхождения компонентов, анализ кода (статический/динамический), проверка надежности каналов обновлений, контроль уязвимостей библиотек и зависимостей. Поставщики должны иметь возможность показать, что используют признанные методологии безопасной разработки (например, NIST SSDF, Microsoft SDL).

3️⃣ Усиление мониторинга и охоты за угрозами (C1 и C2). В разделе мониторинга (C1) добавлены требования по оценке поведения пользователей и систем, интеграции данных TI и использованию обнаружения аномалий, а не просто сигнатурных подходов. В разделе threat hunting (C2) появились требования к документированному, повторяемому и улучшаемому подходу: охота за угрозами должна быть основана на данных TI, она должна документироваться, и ее результаты должны трансформироваться в автоматические детекты там, где это возможно. Таким образом, CAF v4.0 подталкивает организации от пассивного к активному поиску скрытых атак, даже тех, которые не попадают под стандартные индикаторы компрометации.

4️⃣ Усиление требований к планированию реагирования и восстановления (D1 и др.). План реагирования на инциденты теперь должен опираться на глубокое понимание инфраструктуры и зависимостей, быть адаптивным, регулярно пересматриваться и включать взаимодействие с поставщиками. Также отмечается, что существует интеграция ИИ-рисков в разные части фреймворка, поскольку технологии автоматизации и ИИ все больше входят в область как защиты, так и атак.

5️⃣ Интеграция рисков, связанных с ИИ и автоматизацией. CAF v4.0 не создает отдельный раздел только для ИИ, но включает требования, чтобы новые и автоматизированные технологии учитывались при управлении рисками, контролировались и проектировались с учетом безопасности (например, предотвращение использования ИИ как вектора атаки).

6️⃣ Уточнение и расширение индикаторов хорошей практики (Indicators of Good Practice, IGP). CAF v4.0 добавляет множество новых IGP, порядка 108 новых элементов – то есть фреймворк стал более детализированным. Эти индикаторы помогают организациям оценивать, достигнут ли тот или иной уровень (achieved / partially achieved / not achieved) по каждому из достигаемых результатов фреймворка. На второй картинке как раз показан пример IGP и можно сразу понять, достигнут у вас уровень зрелости по этому направлению или нет. Вот эти IGP прям хорошая идея для многих регуляторных документов, ибо четко дает понять, выполнен то или иное требование или нет 🤔

#регулирование #framework

Вы же знаете, как я люблю моделирование угроз? 💋 Поэтому на вчерашнем Underconf 2 я не мог пройти мимо карточной игры, посвященной этому важному процессу, с которого должна начинаться любая ИБ. Это была карточная игра Elevation of Privilege, первоначально разработанная Адамом Шостаком (известный гуру моделирования угроз и ИБ-геймификации), а сейчас переведенная на русский язык коллегами из Ever Secure и которая позволяет проверить свой проект на предмет учета угроз по методике STRIDE. Вешаете на доску архитектуру своей проектируемой или спроектированной системы и вперед, начинаете в игровой форме 🕹 задавать себе важные вопросы, подсвечивающие то, что вы могли упустить и что может привести к реализации негативных, а местами и катастрофических, последствий.

Жду, когда коллеги выпустят эту колоду в мир и ее можно будет купить. Главное, успеть, это сделать, чтобы не попасть в лист ожидания, как с книгой "На⭐️уй безопасность" тех же авторов ⏳

ЗЫ. Кстати, хотите почувствовать себя багхантером? Найдите на одной из фотографию явную ошибку 🤔

#модельугроз #геймификация