Полешук в мире ИБ

MITRE ATT&CK обновился до версии v17: ключевые изменения

Фреймворк MITRE ATT&CK обновлён до версии 17. Обновление затронуло не только структуру, но и расширило охват техник, особенно в области виртуализации, облачных сервисов и сетевых устройств. Эти изменения важно учитывать специалистам по кибербезопасности при построении моделей угроз и защите инфраструктуры.

🟣Основные изменения
🟡VMware ESXi добавлен в домен Enterprise
Ранее гипервизоры не имели отдельного представления в Enterprise-матрице. Теперь для них создана полноценная структура TTPs, что отражает растущую актуальность виртуализации как объекта атак.
🟡Mitigations переработаны
Механизмы защитных мер в домене Enterprise описаны более чётко и последовательно. Это упростит их интеграцию в практику безопасности, однако, как и прежде, эффективность зависит не от описания, а от фактического внедрения.
🟡“Network” переименован в “Network Devices”
Фокус сместился с абстрактных сетевых атак на конкретные типы устройств, такие как маршрутизаторы и коммутаторы. Это позволит точнее моделировать угрозы на уровне инфраструктуры.

🟡Новые техники в Enterprise-домене
🟣Cloud Application Integration — использование возможностей облачных платформ для интеграции с внешними сервисами.
🟣Hypervisor CLI — выполнение команд через интерфейс командной строки гипервизора.
🟣Email Bombing / Email Spoofing — перегрузка почтовых систем и подмена адреса отправителя.
🟣Bind Mounts / Extended Attributes — сокрытие артефактов в файловой системе.
🟣Input Injection / Overwrite Process Arguments — вмешательство во ввод данных и маскировка процессов.
🟣Compression / Junk Code Insertion / SVG Smuggling — обфускация и сокрытие вредоносного кода.
🟣IDE Tunneling / Remote Access Hardware / Remote Desktop Software — использование легитимных средств для организации удалённого доступа.
🟣vSphere Installation Bundles / Systemctl / JamPlus — эксплуатация системных и доверенных компонентов для закрепления и выполнения кода.
🟣Browser / IDE Extensions — внедрение вредоносных расширений в распространённые программные среды.
🟣Malicious Copy and Paste / Virtual Machine Discovery / Wi-Fi Networks — новые векторы атак, включая манипуляции с буфером обмена и эксплуатацию беспроводных сетей.

🟣Упрощение структуры техник
🟡Hijack Execution Flow: DLL. Техники DLL Side-Loading и DLL Search Order Hijacking объединены в одну, что устраняет дублирование и упрощает навигацию в матрице.

Версия v17 — это не просто обновление, а расширение охвата понимания защиты в актуальных для современного ИТ-ландшафта направлениях. Специалистам, опирающимся на фреймворк при анализе угроз, стоит обновить свои модели и средства защиты.

Если вы до сих пор не используете MITRE ATT&CK в своей практике… возможно, стоит пересмотреть этот подход.

Ко мне пришла еще одна аллегория после театра. Более жёсткая. Более едкая. Я хотел промолчать. Но я же не бабка из “Стального горла”, чтобы молчать, когда горит. Так что… поговорим про «Звёздную сыпь».

Про сифилис.Булгаков не щадит — и правильно делает. Я тоже не стану щадить.

Мужчина приходит к врачу.
Диагноз ясен, решение есть, шанс спастись — реальный.
Но он:

«Да ну, вы что, это ж… стыдно!»
«А если кто узнает?»
«А вдруг само пройдёт?..»

Он не лечится. И не один.
Потому что «на базаре обсудят», «в деревне засмеют», «не позорь семью».

Теперь перенесём в мир кибербезопасности.

MITM. Компрометация. Фишинг. Первые симптомы — на лице, в логах, в почте, в телеметрии.
И что делает компания?
Правильно. Начинает болеть молча. Потому что:

«Слушай, не поднимай панику. А вдруг это просто глюк?»
«Не лезь — если всплывёт, будет скандал»
«Репутация важнее. Потерпим»
«А если мы сами что-то неправильно настроили? Лучше не лезь вообще»

И начинается корпоративный сифилис.
Тот, который нельзя антивирусом вылечить.
Тот, что начинается с одного заражённого отдела, а заканчивается поставщиками, клиентами, репутацией на кладбище.

И главное — никто не наказывает тех, кто знал и молчал.
У нас за правду — выговор, а за молчание — премия.
У нас главное — не лечить, а скрыть, пока не посинеет.
А специалистов, которые били в колокола, обвиняют в «нагнетании», «паранойе» и «неконструктивности».

Но давайте называть вещи своими именами.
Это не лояльность. Это трусость.
Это не осторожность. Это соучастие.
Это — сифилис. Цифровой. Корпоративный.

Булгаков это знал.
Сифилис — не только про тело. Это болезнь страха. Болезнь молчания. Болезнь привычки «терпеть» до последнего, пока не отвалится критический бизнес-функционал.

И вот стоишь ты — ИБ-шник с отчётом в руках, с графиками, с планом спасения.
А напротив — корпоративная толпа.
Смотрят. Молчат. Боятся.
Потому что главное — не лечиться. Главное — чтобы никто не узнал, как всё уже гниёт.

Я снова рекомендую «Записки юного врача».
Это не просто спектакль. Это пособие по цифровой эпидемиологии - пособие по киберэтике для живых, пока ещё не сгнивших.

Lux perpetua luceat ei

В этот Светлый Понедельник, когда весь христианский мир празднует Воскресение, для католиков по всему миру этот день стал одновременно и прощанием. Сегодня Папа Франциск покинул Папский престол.

Сложно подобрать слова, когда уходит тот, кто был не просто духовным лидером, а голосом доброты, человечности и веры в лучшее. Папа Франциск говорил просто — но его слова проникали в самое сердце. Он умел быть рядом с миром, даже находясь на вершине иерархии. Он обнимал забытых, мыл ноги заключённым, не избегал трудных тем, принимая их с честностью и открытостью. Он стал живым доказательством того, что сила Костёла — в милосердии, а не в догме.

Его понтификат был не про власть, а про служение. Не про страх, а про любовь. Он не боялся быть неидеальным. Не боялся меняться. Не боялся задавать вопросы, на которые раньше Церковь предпочитала молчать.

Теперь наступил Sede Vacante. Пусть в этот особый период мы останемся сильными, останемся вместе и продолжим верить в лучшее — так, как учил нас он.

Хрыстос Уваскрос!
Сапраўды Уваскрос!

Пасха — праздник, в котором много света, надежды и тепла. Это напоминание о том, что свет сильнее тьмы, а добро — это не наивность, а выбор.

Даже если вы далеки от религии, этот день будто специально создан, чтобы напомнить: жизнь продолжается. Свет возвращается. Добро не исчезает, если мы им делимся.

Это праздник, когда можно быть рядом с родными. Просто посидеть вместе, помолчать, обняться, улыбнуться.

Пусть в ваших домах будет уютно. Пусть в сердцах будет спокойно. И пусть каждый найдёт кусочек тепла, который согреет — и которым захочется поделиться.

З светлай Пасхай, сябры!
Беражыце сябе і тых, каго кахаеце, няхай у сэрцы будзе супакой, а ў доме — любоў

חג פסח שמח!
חירות, שלום ואור לכם ולמשפחתכם.

Вчера оказался в совершенно особом пространстве — спектакль «Записки юного врача» в Театре кукол. Я под сильнейшим впечатлением.
Булгаков — гений. А этот спектакль — разрез скальпелем по душе. Без анестезии. С точностью хирурга и сотрясающим гротеском, который оставляет тебя — зрителя — на операционном столе один на один с собственной совестью.

Гротеск, в котором нет ни грамма фальши.
Игра актёров — будто кровь течёт по сцене, а ты чувствуешь её пульс в собственных висках.
Музыкальное и световое оформление — не фон, а адреналин.
Это тот редкий случай, когда театр перестаёт быть зрелищем и становится исповедью.
Ты не просто смотришь — ты тонешь в боли, абсурде и вечных вопросах, на которые до сих пор нет ответа.

Всем, кто любит литературу и театр, — не просто рекомендую, а назначаю, как врач.
Курс: три вечера подряд.
При необходимости — повторить. Пожизненно.

---
В кибербезопасности мы — как врачи.
Гениальность Булгакова в том, что он писал о них, а попал в нас.

Вот сцена из рассказа «Стальное горло».
Ребёнок умирает. Молодой врач знает, что делать. Есть шанс, но он сложный. Ответственность огромна. Решение — одно.
И тут начинается хор. До боли знакомый всем, кто работает в ИБ:
— «А давайте подождём»
— «А может, само рассосётся»
— «Ну, у нас же в прошлом году такого не было — и всё обошлось»

И выходит она — бабка.
Не медик. Не специалист.
Живёт в прошлом, лезет в настоящее, мешает будущему.

В бизнесе такие бабки — это те, кто:

— «А мы и без шифрования жили»
— «Вы опять пугаете своим ИБ»
— «На нас-то кому нападать, у нас же ничего нет»

Она — не персонаж. Она — корпоративная форма токсичной инерции.
Рядом с ней — ещё один типаж: вечно кивающий, безликий, без воли и мнения.
Он не принимает решений — он живёт за счёт чужих. И именно из-за таких двоих страдают третьи.

В сцене врач спасает ребёнка — вовремя, но ценой боли.
Потому что решение принято слишком поздно.

В ИБ мы часто спасаем бизнес точно так же — вырывая угрозу из глотки, когда уже горит.
И потом нас спрашивают:
— «А нельзя было по-другому?»
Нет.
Нельзя.
Из-за вас.
Из-за бабок. Из-за безликих. Из-за страха перед действием.

Булгаков это предвидел.
Только вместо дифтерии — фишинг, малварь и шифровальщики.
Вместо врачей — мы.
И, как и тогда, многие до сих пор верят в компрессы из «авось».

Я благодарю актёров.
За честность. За боль. За смелость сказать со сцены то, что в совещалках страшно даже подумать.

Потому что в ИБ, как и в медицине, лучше резать, чем гнить.
И лучше услышать правду на сцене, чем однажды увидеть её на руинах своего бизнеса.

Компании осознали важность SOC только тогда, когда это стало модным

Читал книгу по SOC, где автор называет 2020 год переломным моментом в кибербезопасности. Внезапно всем понадобился круглосуточный мониторинг, а специалистов катастрофически не хватало. Забавно, ведь я предлагал прошлому руководству в компании внедрить такой сервис еще до того, как это стало мейнстримом.

Но, как обычно, инициативу сочли «избыточной». Вместо того чтобы автоматизировать 80% рутинных задач и сосредоточиться на развитии команды, компания предпочла классическую схему: узнаем проблему клиента - разрабатываем решение для него - внедряем - настраиваем - повторяем. И так бесконечно.

Прошло время — и вот та же компания открывает собственный Центр кибербезопасности и заявляет про услугу (но хоть честно написали, что мол «мы молодые, зеленые но голодные и амбициозные»). Оказывается, когда SOC стал мейнстримом (и потенциальным источником дохода), идея внезапно оказалась гениальной. Теперь можно закупать дорогие продукты, нанимать специалистов и продавать услуги клиентам. Только как показывает опыт FIRST окупаемость коммерческого ЦКБ 2-3 года - это без регулярных операционных расходов.

Вывод прост: в бизнесе важны не столько инновации, сколько правильный момент. Если предложение опережает время — его отклонят. Если запаздывает — проиграете конкурентам. А если попадает в тренд — можно неплохо заработать, даже если до этого годами считали идею бесполезной.

Так что если вас не слушают — возможно, вы просто родились не в том году.

P.S. Чертовски приятно опережать время, идти вперед и думать на 2-3 года вперед, пока другие ждут окупаемость прошлого😉

Анализ киберугроз за первый квартал 2025 года: ключевые тактики и техники злоумышленников

По итогам анализа данных из более чем десятка источников угроз, включая как открытые, так и закрытые TI-каналы, представляю свой анализ актуальных методов, техник и тактик, используемых злоумышленниками в первом квартале 2025 года.

Основные наблюдения:
🟣Фишинг (T1566) остаётся самым распространённым способом первоначального доступа в корпоративные сети. Используются вложения в письмах (T1566.001), ссылки на фальшивые сайты (T1566.002), а также звонки сотрудникам с элементами социальной инженерии (T1566.004)
🟣Шифрование данных с вымогательством (ransomware) остаётся одним из главных инструментов для получения прибыли. Зафиксировано более 2000 инцидентов, о которых злоумышленники отчитались на DLS-порталах в даркнете
🟣Эксплуатация уязвимостей в публичных сервисах (T1190) продолжает активно использоваться. Наличие ошибок в веб-приложениях позволяет злоумышленникам проникать внутрь инфраструктуры
🟣Использование валидных учётных данных (T1078) остаётся высокоэффективным. В равной степени злоумышленники эксплуатируют как облачные (T1078.004), так и локальные (T1078.003) учётные записи
🟣Нарушение доступности сервисов (T1498) через сетевые атаки, включая DDoS, активно применяется хактивистами и другими группами для перегрузки инфраструктуры и выведения сервисов из строя

Типовой сценарий атаки:
🟣Разведка (Reconnaissance)
Сбор информации о компании через открытые источники, социальные сети, проверку доступных портов и утечек данных.
🟣Первичный доступ (Initial Access)
Фишинговая кампания с вредоносными вложениями или эксплуатация известных уязвимостей в публичных сервисах.
🟣Выполнение кода (Execution)
Запуск скриптов (PowerShell, JavaScript), использование техники DLL Side-Loading (T1574.002) под видом легитимного ПО.
🟣Повышение привилегий (Privilege Escalation)
Использование локальных уязвимостей (T1068) или злоупотребление захваченными токенами доступа (T1134).
🟣Доступ к учётным данным и эксфильтрация информации (Credential Access & Exfiltration)
Извлечение паролей из браузеров (T1555.003), кража SSH-ключей (T1552.004), эксфильтрация через C2-каналы (T1041) или облачные сервисы (T1567).
🟣Завершающая стадия: воздействие (Impact)
Шифрование данных с последующим вымогательством (T1486) или проведение сетевых атак для отказа в обслуживании (T1498).

Рекомендации по защите:
🟣Регулярное обучение сотрудников методам противодействия фишингу
🟣Актуализация программного обеспечения и устранение известных уязвимостей
🟣Обязательное использование многофакторной аутентификации для всех систем и сервисов
🟣Организация эффективного мониторинга и реагирования на инциденты
🟣Поддержание актуальных резервных копий критически важной информации

Данный сценарий может быть использован в качестве основы для проведения киберучений

Иногда важно не скрывать сложности, а признавать их. Когда все вокруг фокусируются на успехах, иногда нужно просто остановиться и честно сказать: «Вот что мы прошли, вот что получилось».
Я всегда уважал компании, которые не боятся быть откровенными — делиться не только победами, но и уроками. Мое искреннее уважение к 🤟Positive Technologies - они именно такие.

2024-й для них был не самым лёгким, но вместо того чтобы уходить от реальности, они открыто рассказали о своих вызовах и о том, что собираются делать, чтобы выйти на новый уровень. Это требует не только стратегического мышления, но и силы духа. Такие компании — пример того, как нужно вести бизнес в условиях неопределенности.

Что особенно ценно — они не просто показали цифры, а пояснили свои шаги:
— приостановили набор сотрудников,
— сократили несрочные расходы,
— усилили фокус на ключевых продуктах,
— вложили почти вдвое больше в разработку новых решений,
— и открыто признали: в этом году не будет дивидендов — сначала нужно поправить здоровье компании.

В мире, где многие прячут проблемы за красивыми словами, честность становится важнейшим конкурентным преимуществом. И даже если сейчас не всё идеально, важно понимать, что каждый шаг вперёд строится на этом доверии и готовности меняться.

Он с самого детства любил строить. Не абы как — с увлечением, с внутренним чувством миссии, со страстью. Каждый раз, оказавшись у воды, он вгрызался ладонями в мокрый песок, выравнивал площадку и возводил башни. Они были не идеальны, но в его глазах — величественны. Это были замки будущего короля.

Он не думал о волне. И не думал о том, что другой ребёнок, такой же босоногий и шумный, может просто подбежать и всё разрушить. Он ведь строил, а значит, по логике его мира, никто не имел права это тронуть.
Он смотрел на руины, как на предательство Вселенной, но каждый раз начинал всё заново.
Точно так же. На том же месте.

Прошли годы. Вместо песка — листья, вместо замков — воображаемые бизнесы. Он собирал их, аккуратно складывал, гордился собой: вот маркетинг, вот финансы, вот логистика. Он даже присел на скамейку, разложив всё перед собой.
Но стоило ему отвлечься, как налетел ветер и уничтожил все, или кто-то просто мимо проходил и подхватил парочку листьев с собой — и снова: растерянность, обида, взгляд в никуда.
Как так?
Почему это со мной?

Потом он вырос. Купил себе машину. Красивую, чёрную иномарку. Но не застраховал — зачем тратить деньги на то, чего может никогда не случиться? Ведь он аккуратный. Он осторожный. Он умнее.
Первая авария вышла банальной: кто-то выехал не глядя. Металл, стекло, крики. Шок. Потерянность. Ремонт за свой счёт.
И — как всегда — недоумение.
Разве это справедливо?

А потом он стал богатым. У него бизнес. Люди. Деньги. Дом с прозрачными стенами — и не в переносном смысле. Он по-прежнему создает — красиво, амбициозно.
Но без фундамента.
Без защиты.
Без плана на случай, если вдруг кто-то захочет забрать или разрушить.
А кто-то, конечно же, захочет это сделать просто потому что…
Он снова будет сидеть — взрослый, успешный, потерявшийся и смотреть в пустоту.

Может быть, дело не в глупости. И не в наивности.
Он просто не хочет защищаться.
Может быть, быть жертвой — это тоже выбор.
Приятный, тёплый, с понятным сценарием: ты старался, а мир — плохой.
Можно не думать о рисках, не напрягаться, не взрослеть.

Просто снова сесть на песок
и начать строить.

С 1 мая в Минске вводятся новые правила для самокатов: ограничение скорости до 20 км/ч, запрет на проезд в определённых зонах и штрафы до 145 рублей.

Потому что, конечно же, главная угроза городской безопасности — это не личные электросамокаты, гоняющие 40 км/ч без каких-либо ограничений, не электромотоциклы с прямотоком, и уж точно не пешеходы, упорно игнорирующие велодорожки. Нет.

Это, конечно, шеринговые самокаты, которые можно ограничить по скорости, маршруту, времени суток, возрасту и вообще по гороскопу, если очень захотеть. Самое время задушить именно их. Вместо того чтобы развивать рынок, заняться экологией, стимулировать обновление парка, внедрять технологий безопасности и встраивать в транспортную систему — "гениитальные" законодатели, как обычно, решили вопрос по классике: “Запретим, потому что можем”. В результате операторам станет невыгодно работать, пользователи получат меньше нормальной техники, а город — больше дикого транспорта, который невозможно контролировать. Гениально! Браво!

И, конечно, никто не решает вечную проблему минского тротуара: пешеход идёт там, где ему удобно, и плевать он хотел на знаки, разметку и здравый смысл.

Эти полумеры не решают ничего — они просто создают видимость бурной деятельности. Хайп, возможно, упадёт, но бардак только усилится. Зато можно будет с гордостью отчитаться, что “приняли меры”.

Ну а то, что в итоге всё станет только хуже — не беда. Главное, что запретили.