Варианты тем дебатов по ИБ

1. Безопасность vs. Приватность
- должно ли государтсво встраивать бэкдоры в криптографию (или депонировать ключи)?
да: так как можно бороться с терроризмом, мошенничеством и т.п.
нет: так как теряется тайна личных переписок
- анонимность в интернете - это хорошо или плохо? (тема полуфинала)
да: так как это способтсвует свободе слова
нет: так как за базар надо отвечать

2. Безопасность vs. Требовния правообладателя: можно ли нарушать лицензионное соглашение для целей исследования безопасности (дело Майкла Линна из ISS против Cisco, Дима Скларов из Элкомсофта против Adobe)
да, так как это повышает качество продукта и защищает наши права, права потребителей
нет, так как закон нарушать нельзя, ибо правообладатель не разрешил явно

3. Отрицательная мотивация
- Стоит ли увольнять CISO из-за инцидентов ИБ
да: за прохую работу надо платить
нет: у него появился бесценный опыт
- Вообще, если сотрудник допустил ошибку и расследование показало, что злого умысла не было, его стоит наказывать? (тема полуфинала)
да: так как за все надо платить и это будет ему уроком
нет: так как были объективные причины, и виной всему обстоятельства, а наказине демотиврует и мы получим худший результат

4. Open-source проекты безопаснее проприетарных
да: так как открыт код для аудита
нет: так как код изучают и атакующие, не всегда понятно кто туда что коммитит, история знает случаи закладок (хотя и в проприетарных тоже)

5. Чем строже compliance, тем выше безопасность => государство должно ужесточать требования
да: стандарты дисциплинируют и задают базовый уровень, а ответственность стимулирует исполнять
нет: compliance != безопасность и появляюется новый вид апродуктивной деятельности - обход комплаенса, к тому же может создаваться опасная иллюзия безопасности, как раз из-за комплаенса

6. Этичен ли hack-back?
да: если меня атаковали, я имею права на активную защиту (в том числе 3rd party инфраструктуру, которая использовалась злоумышленниками)
нет: так как это может вести к злоупотреблениям и основаниям для хакерских атак

7. Этично ли нанимать на работу хакеров (с темным прошлым или настоящим)?
да: они супер-профессионалы
нет: они прежде всего криминальные элементы

8. Уничтожит ли сильный искусственный интелект (AGI) Человечество? (тема финала)
да, потому что
нет, будучи инструментом, он всегда останется инструментом


#vCISO

Kaspersky Cyber Insights 2025

В завершающей заметке по теме (слайды) делюсь ссылками на записи выступлений, доступные на Brighttalk.

У меня профессионально исковерканный субъективный взгляд, но все равно, приведу личные рекомендации, что можно посмотреть:
Kaspersky SOC in 2025: Key Observations and Findings
Know Your Adversary with the Threat Landscape
AI-Related Threat Landscape: 2025 and Beyond
Panel Beyond the Perimeter: Practical Strategies to Leverage Threat Intelligence for Proactive Cybersecurity

#MDR #vCISO

Понятно очевидное желание обнаружения атаки на как можно более ранних стадиях. Но принципиальная проблема в том, что для того, чтобы вредоносную активность обнаружить она должна проявиться. Т.е. сначала мы наблюдаем какие-то техники атакующего, а затем, собственно, за эти самые техники мы его детектим. При этом, не умаляется возможность предотвращения атак на ранних стадиях, поскольку мы не стремимся к полному отсутствию вредоносной активности, но к тому, чтобы эта вредоносная активность не успевала нам нанести ущерб прежде чем мы ее обнаружим, локализуем и остановим.

Видимо, все это и имеет в виду уважаемый Gartner, в своем "новом" документе "Emerging Tech: Top Use Cases in Preemptive Cyber Defense" от 13 августа 2024 (вторник, не пятница), но его чтение мне заметно подняло настроение, о чем не могу не написать в пятницу.

#MDR #vCISO #пятница

Профессиональный нетворкинг

В любом деле важен нетворкинг! Особенно он важен для людей со схожими проблемами и задачами.... В общем, посещение конференций дело крайне полезное, именно как площадок для формирования профессиональных связей.

Наверно, можно ходить по конференции и со всеми знакомиться, обмениваться контактами, но, во-первых, для этого надо обладать неплохими софтскилами, чтобы не достать своих собеседников и не быть отправленным туда, куда нам никому не хочется.... ну, разве что, мы не ставим перед собой цель прокачивания именно навыков коммуникации.

Лично для себя я уже давно выбрал способ лучше - выступление с докладом. Рассказать о себе со сцены сразу двум сотням слушателей значительно более эффективно, чем к каждому из них подойти и рассказать о себе одно и то же примерно 200 раз (едва ли у нас хватит фантазии для каждого из двухсот придумать уникальную историю, да и "гении никогда не повторяются!" ). Непосредственно со сцены у нас есть несколько десятков минут, чтобы заинтересовать слушателей свой персоной, и тогда уже они сами потянутся к нам и наша цель нетворкинга будет выполнена. Хорошему человеку, тем более профессионалу всегда есть что интересного рассказать! В общем, регистрируйтесь, не упускайте возможность!

И еще некоторый небольшой инсайд. ЛК - замечательный организатор мероприятий, за 10 лет работы не перестаю в этом убеждаться: все будет удобно, комфортно, интересно, весело, вкусно!

#vCISO #саморазвитие #kaspersky

P&L атаки

Есть такой старый постулат, что все наши усилия в ИБ должны повысить стоимость атаки настолько, чтобы атакующему было неинтересно нас атаковать, чтобы P&L проекта атаки был отрицательным. Я не раз писал о том, что это утрверждение уже давно работает крайне плохо, однако, до сих пор в маркетинговых листовках и публикациях такое утверждение можно встретить. Вероятно, это объясняется тем, что никакие контроли безопасности (== никакие инвестиции в ИБ) не исключат полностью возможность атаки, и, как будто, порог нерентабельности атаки выглядит логичным компромиссом для объема инвестиций в эту бездонную бочку с названием "корпоративная ИБ".

В современных условиях "нерентабельность атаки" представляет собой не столько порог инвестиций в ИБ, а, скорее, создает состояние гонки, поскольку, как бы мы не напрягались, атаки все равно будут, только ущерб от них будет еще выше! Логика здесь следующая: чем лучше защищена инфраструктура, тем дороже атака - нужны серьезные исследования, разработка эксплоитов, инструментов атаки, возможно, лабораторные испытания этих инструментов, насколько успешно они обходят используемые СЗИ, в общем, чем выше безопасность, тем дороже атака - это полностью укладывается в постулат, с чего мы начали. Однако, атаки все равно будут, а раз они дорогие, то для обеспечения положительного P&L, профит от атаки должен быть еще больше. Профит атаки, как минимум, косвенно, отражается на ущербе для жертвы - высокий профит для атакующего означает большой ущерб для жертвы. В итоге получаем, вероятно, не очень очевидную, тем более, непопулярную, закономерность: чем больше мы инвестируем в ИБ, чем лучше защищена наша инфраструктура, тем больший ущерб мы получим от компьютерной атаки. И даже хуже: если инцидент все-таки дошел до ущерба, то все наши инвестиции в ИБ, будучи несостоятельными, тоже превращаются в ущерб...

В общем, повышением уровня безопасности мы в немалой степени сами провоцируем рост ущерба.

#vCISO #пятница

Building a Successful Career in AI Cybersecurity

SANS выпустил документ, подчеркивающий важность вполне себе глубокого погружения нас, безопасников в машобуч, и представляющий собой руководство по построению карьеры на стыке искусственного интеллекта и кибербезопасности.

Ключевые выводы из доки
1. Конвергенция AI и Cybersecurity:
Документ подчеркивает, что искусственный интеллект и машинное обучение (ML) кардинально меняют ландшафт ИБ. AI используется как для усиления защиты, так и в качестве инструмента атак

2. п. 1 объясняет растущий спрос на специалистов:
Возникает новая категория ролей, таких как "Инженер по безопасности AI/ML" или "Специалист по безопасности данных", которые требуют уникального сочетания навыков ИБ и Машобуча.

3. Из доки можно выделить необходимые навыки и знания:
Технические навыки (Hard Skills):
- Понимание основ машинного обучения и data science.
- Знание языков программирования (Python, R) и умение работать с данными.
- Опыт работы со специализированными фреймворками и библиотеками (TensorFlow, PyTorch, scikit-learn).
- Глубокие знания в области ИБ
- Понимание облачных платформ (AWS, Azure, GCP) и их систем безопасности.

Soft Skills:
- Критическое и аналитическое мышление.
- Решение сложных проблем.
- Коммуникация (способность объяснять сложные концепции AI нетехническим специалистам).
- Любознательность и постоянное стремление к обучению.

4. Рекомендации по построению карьеры:
- Начните с основ: Получите прочную базу в классической ИБ (сертификаты типа CISSP, SSCP, CCSP очень приветствуются).
- Освойте Data Science: Изучите математику, статистику и основы машинного обучения через онлайн-курсы (Coursera, edX) или практические проекты.
- Получайте практический опыт: Применяйте свои знания в реальных проектах, участвуйте в соревнованиях по анализу данных (например, на Kaggle) или в открытых source-проектах.
- Вступайте в профессиональные сообщества, посещайте конференции и общайтесь с экспертами в этой области.

С развитием технологий и ужесточением регулирования спрос на экспертов, способных обеспечивать безопасность, надежность и этичность AI-систем, будет только расти.

Документ позиционирует карьеру в сфере AI Cybersecurity как одну из самых перспективных и востребованных в технологической индустрии. Это поле требует непрерывного обучения, но предлагает уникальную возможность быть на передовой борьбы с киберугрозами нового поколения и формировать будущее цифровой безопасности.

#ml #саморазвитие #vCISO

npm debug and chalk packages compromised

Очередной эпичный supply chain через node.js

Разборы доступны здесь:
раз
два

История

а вот совсем недавно рассуждали 😢

#dev #vCISO #MDR

Потенциал злоумышленника

Один мой старый приятель, тоже безопасник, поинтересовался вопросом оценки потенциала атакующего - нет ли каких-то общеизвестных\широкопризнанных фреймворков на этот счет. Может, плохо искали, но мы ничего не нашли, а значит, это повод задуматься о вопросе. Поток своего сознания на этот счет я изложил в статье.

Следующим шагом, конечно же, надо пособирать все эти capabilities атакующего в эксельку-калькулятор и предложить свою CMM для атакующего (по аналогии с этой). Если для такого калькулятора найдется производственная необходимость, обязательно этим займусь и поделюсь!

Ну а пока:
- подписывайте какие еще capabilities атакующего, помимо перечисленных в статье, следует учесть в калькуляторе
- пишите ваше обоснование производственной необходимости подобного калькулятора и нужна ли нам CMM для атакующего - это добавит мотивации инвестировать время в разработку такого калькулятора (пока особого практического смысла я не придумал)

#vCISO

Продвинутая криптография

В апреле пролетала интересная статья (PDF), но только сейчас добрался о ней рассказать.

Итак, что же NCSC считает "продвинутой криптографией":
- Гомоморфное шифрование (Homomorphic encryption) - вычисления непосредственно над зашифрованными данными
- Конфиденциальный поиск (Private information retrieval) - запрос к базе данных без раскрытия самого запроса владельцу базы
- Многосторонние вычисления (Multiparty computation) - совместное вычисление результата без раскрытия входных данных друг другу
- Доказательства с нулевым разглашением (Zero-knowledge proofs) - доказательство обладания секретом без его раскрытия
- Приватное пересечение множеств (Private set intersection) - определение общих элементов множеств данных без раскрытия множеств.
- Шифрование на базе атрибутов (Attribute-based encryption) - расшифрование возможна только для тех, кто обладает определённым набором атрибутов.

В статье также дается мой любимый тезис, что любая технология - это способ решения задачи, но задача - первична, т.е. сначала надо поставить задчу\проблему, а потом уже искать решение, которое может быть, в том числе, в виде нашей любимой технологии. Поэтому, не надо стремиться использовать "продвинутые" методы, ибо в большинстве случаев можно обойтись типовыми. Тезис применим к любой автоматизации.

Общий вывод: сначала "традиционная" криптография. Она стандартизирована, хорошо изучена, высокопроизводительна, часто имеет аппаратное ускорение, в общем, зрелая. Advanced Cryptography - это возможное решение для специфических сценариев, где традиционные методы неприменимы, например, из-за сложных моделей доверия, однако эти технологии незрелы, ресурсоемки и несут дополнительные риски, поэтому их внедрение требует тщательной оценки рисков и внимательности\аккуратности при внедрении.

А вообще, за публикациями NCSC полезно следить, как и за публикациями NSA.

#crypto #vCISO

Promptware: в полку warezz прибавление

Совсем недавно мы рассуждали об атаках на агентские системы и вот снова, почти, о том же.

Исследование (прямая ссылка на PDF) показывает, что promptware - специально сконструированные вредоносные промты - представляет серьёзную угрозу для пользователей LLM-ассистентов (на примере Gemini от Google). Атаки используют непрямые инъекции промтов через письма, календарные приглашения и общие документы, что позволяет злоумышленникам нарушать конфиденциальность, целостность и доступность систем. Приведены примеры запуска атак через приглашения в календаре или письма с вредоносным промтом в заголовке, а для активации требуется минимальное взаимодействие с пользователем, например, невинный запрос "Какие у меня встречи?", т.е. практически Zero touch. Также авторы показали, что promtware позволяет осуществлять горизонтальные перемещение в скомпрометированной системе, выходя за пределы LLM-приложения.

Авторы продемонстрировали 14 сценариев атак против трёх версий Gemini (веб, мобильная, Google Assistant), которые классифицировали по пяти типам угроз:
- Кратковременное отравление контекста (Short-term Context Poisoning)
- Постоянное отравление памяти (Permanent Memory Poisoning)
- Неправильное использование инструментов (Tool Misuse)
- Автоматический вызов агентов (Automatic Agent Invocation)
- Автоматический вызов приложений (Automatic App Invocation)
в результате которых удалось реализовать спам, фишинг, утечку данных, видеозапись пользователя, управление умным домом (открытие окон, включение котла), в общем, все что угодно. По мнению авторов 73% угроз оцениваются как высококритические.

В статье также предложен фреймворк TARA (Threat Analysis and Risk Assessment) на основе стандарта ISO/SAE 21434 и предложена оценка рисков по классике - на основе вероятности сценария атаки и влияния\ущерба от него.

Среди методов противодействия упоминаются:
- Изоляция контекста между агентами
- Валидация ввода/вывода
- A/B-тестирование
- Подтверждение действий пользователем
- Обнаружение подозрительных артефактов (URL)
однако, как мы знаем, митигационные меры не избавляют от риска, но снижают его уровень до низкого или среднего.

Ну что можно сказать?!
1. Promptware — практичная и опасная угроза, требующая срочного внимания, возможно, это новая область для систем обнаружения: мы научились находить SQL-инъкции, пора повышать уровень
2. Пока не видно вала публикаций на эту тему, как будто, индустрия пока не дооцениват риск атак на LLM-системы, а вендоры ИБ пока не осознали перспективность этого рынка
3. Если смотреть предлагаемые меры защиты, то можно обнаружить сходство с классикой: валидация пользовательского ввода, сегментация\изоляция, минимум полномочий и т.п. Соответственно, все эти меры надо сразу интегрировать в приложения, ибо навесная безопасность работает плохо, а это открывает новое важной и перспективное направление - безопасная архитектура LLM-систем, похожие эксперты упоминались здесь .

#ml #vCISO