Полешук в мире ИБ

Состояние кибербезопасности в ЕС: новый отчет от ENISA

ENISA, Европейское агентство по кибербезопасности, опубликовало ежегодный отчет, который отражает текущее состояние кибербезопасности в Европейском Союзе. Этот документ охватывает широкий спектр вопросов: от оценки уровня угроз до анализа реализации стратегий и выработки рекомендаций для повышения защиты.

🔥ТОП-3 киберугроз в ЕС
🔴Уязвимости в цепочках поставок. Атаки через уязвимые компоненты и обновления программ остаются одной из главных угроз. Это стратегическое направление требует внимания как от крупных компаний, так и от малых предприятий, где уровень защиты зачастую ниже.
🔴Низкая осведомленность населения. Большинство граждан ЕС не знают, как защитить себя от киберпреступлений. Это приводит к увеличению количества атак на физические лица и организации.
🔴Недооценка инцидентов. Количество зарегистрированных инцидентов остаётся значительно ниже реального. Особенно это заметно среди малых предприятий, где отсутствуют ресурсы для своевременной отчётности и анализа.

✴️Интересные факты и цифры из отчета
🔵Реализация NIS2. 62% стран ЕС завершили создание списков критически важных объектов. Однако для полноценной гармонизации подходов на уровне Союза предстоит ещё многое сделать.
🔵Образование и кадры. Спрос на специалистов по кибербезопасности превышает их доступность. Только 37% стран имеют политику раскрытия уязвимостей, что тормозит внедрение лучших практик.
🔵Управление цепочками поставок. 77% крупных компаний ЕС имеют политику управления рисками третьих сторон, в то время как среди малых предприятий этот показатель составляет всего 53%.
🔵Осведомлённость граждан. Многие жители ЕС плохо информированы о киберугрозах и способах защиты, что подчёркивает необходимость программ по повышению кибергигиены.

🧷Отчет ENISA даёт ясную картину: киберугрозы усложняются, но Европейский Союз демонстрирует прогресс в выстраивании защиты. Для дальнейшего улучшения необходимы системные инвестиции в образовательные программы, развитие цепочек поставок и повышение осведомлённости.

Google Cloud Security, ранее известная как Mandiant, выпустила отчёт, в котором поделилась своими прогнозами относительно развития кибербезопасности к 2025 году. Особое внимание в отчёте уделено роли искусственного интеллекта (AI) и машинного обучения (ML) в сфере кибербезопасности.

Вот некоторые из ключевых моментов, которые стоит ожидать в ближайшие годы:
1️⃣Злоумышленники продолжат использовать инструменты на основе ИИ. Языковые модели будут применяться для разработки и масштабирования фишинговых, вишинговых и других атак с использованием социальной инженерии.

2️⃣Дипфейки станут популярным инструментом кибершпионов и киберпреступников. Они будут использоваться для кражи личных данных, мошенничества и обхода требований безопасности.

3️⃣Информационные операции будут всё чаще использовать инструменты ИИ. Специалисты по информационным операциям будут создавать более убедительный контент и ненастоящие личности.

4️⃣ИИ станет важным инструментом для автоматизации и оптимизации работы в сфере безопасности. Он поможет сократить трудозатраты и улучшить качество расследований.

🔤Однако, несмотря на все преимущества, которые может принести ИИ, безопасность всё ещё будет требовать участия человека. Специалисты будут использовать ИИ для анализа данных и выявления приоритетных угроз.

Таким образом, можно сделать вывод, что ИИ станет важным инструментом для сферы кибербезопасности. Он поможет специалистам более эффективно бороться с угрозами и сократить трудозатраты. Однако, чтобы оставаться на шаг впереди злоумышленников, необходимо постоянное развитие и обучение специалистов в области кибербезопасности.

Важно отметить, что это лишь прогноз, и будущее может принести неожиданные изменения. Тем не менее, уже сейчас можно сказать, что сфера кибербезопасности будет продолжать развиваться и меняться под влиянием технологий.

Дорогие читатели,

Спасибо, что читаете, обсуждаете и делитесь моими публикациями. Мне важно, что вы находите мои мысли интересными, даже если мы порой не соглашаемся. Однако хочу внести ясность по нескольким пунктам:

1️⃣Мой канал — это личное пространство
Здесь я делюсь своим мнением, идеями и взглядами, которые не связаны с моим текущим или прошлыми работодателями.

2️⃣Информация о работодателе
Я более не публикую пресс-релизы, инсайды, анонсы или любые новости, связанные с моим текущим работодателем и не комментирую никакие инфоповоды. Эти задачи выполняют пресс-службы или официальные представители компании. Такой подход исключит возможность использования моего канала как инструмента давления на компанию, коллег или партнеров. Особенно для тех, кто предпочитает действовать мерзкими и скрытыми методами, распространяя дискредитирующие слухи за чужой спиной. Надеюсь, теперь никто не будет путать личный блог с корпоративной трибуной или местом для интриг.

3️⃣Прозрачность изменений
За время существования канала мне пришлось удалить целых три поста. Да, три. Если когда-либо появится новая версия поста (исключая замену орфографических, грамматических, пунктуационных, лексических и логических ошибок) или я вдруг удалю старый, считайте это сигналом о том, что кто-то где-то очень постарался повлиять на контекст. Конечно же, не по моей инициативе. Я делаю это исключительно ради вашей уверенности в том, что мой канал остаётся островком открытости и честности.

4️⃣Реакция на критику
Если вас задевает какой-либо мой пост — отпишитесь. Моя цель не в том, чтобы угождать всем, а в том, чтобы честно и искренне делиться мыслями.

Ценю ваше внимание и вашу энергию. Как сказал однажды Оскар Уайльд:

“Я слышал столько клеветы в Ваш адрес, что у меня нет сомнений: Вы — прекрасный человек.”

Помните: это личный канал, и всё здесь — моё мнение

Друзья!

После старта розыгрыша я заметил аномальный рост числа подписчиков. Анализ показал, что это боты. Видимо, в Telegram есть уязвимость, которая позволяет ботнетам находить каналы с конкурсами, массово подписываться и пытаться “выиграть”. Цель, скорее всего, банальна — продать “звёзды” владельцу ботнета или заработать деньги на обмане.

Я искренне уважаю каждого из вас, кто читает канал и участвует в активностях, и хочу извиниться, если это недоразумение задело кого-то из вас. Если случайно кто-то из настоящих подписчиков попал под автоматическую блокировку, пожалуйста, дайте знать, всё исправим!

Особая благодарность разработчику tguard.pro — этот бот помог быстро справиться с накруткой. Сейчас канал снова работает стабильно.

Спасибо, что вы со мной. Берегу каждого из вас и надеюсь, что мы всегда будем на одной волне!

“Благими намерениями вымощена дорога в ад”

Сегодня я хотел сделать что-то важное для команды менеджеров: показать каждому, что мы можем больше, чем нам кажется. Что сложные задачи — это не преграда, а возможность раскрыть свои сильные стороны. Но вместо этого услышал, что слишком сложно, что нет времени, что термины запутанные, что я требую многого и слишком оторван от реальности.

Мне сказали, что со мной тяжело говорить. Что я технократ, для которого все просто, а для других — это гора, на которую невозможно подняться. Это было неожиданно и больно.

Я стараюсь быть честным. Возможно, я действительно переоценил готовность команды или недостаточно объяснил свои идеи. Но знаете, что больше всего задело? Не сами слова, а их смысл — отказ даже попробовать. Отказ поверить в себя. Отказ выйти за рамки привычного.

Я обижен. Но не потому, что меня не поняли, а потому, что так легко можно отказаться от того, что ведет вперед. Потому что мы живем в мире, где знание — это сила, где готовность учиться — это ключ к успеху.

И даже сейчас, чувствуя эту тяжесть, я знаю: я не сдамся. Я верю в то, что важно вдохновлять и помогать расти, даже если это требует усилий. Даже если путь будет долгим и трудным.

Как же полтора часа утром могут угробить настроение на весь день...🥺

Киберсилы ВСУ: новый проект закона в Верховной Раде

В Верховной Раде Украины зарегистрирован проект закона о создании Киберсил Вооруженных Сил Украины. На данный момент документ находится на стадии ознакомления депутатов.

Что предполагает закон
Киберсилы будут выполнять следующие задачи:
🔴 киберразведка
🔴 проведение специальных операций в киберпространстве (звучит загадочно, но ясно одно — критически важную инфраструктуру защищать нужно лучше)
🔴 сдерживание агрессии в мирное время, включая “психологические операции”
🔴 обеспечение кибербезопасности в системах управления технологическими процессами
🔴 взаимодействие с НАТО и международными организациями

Интересные факты из проекта
🟠сотрудничество с волонтёрами и ИТ-компаниями. Решения о кибероперациях могут приниматься с их участием
🟠создание кадрового резерва. Будут формировать запас специалистов для будущих операций
🟠финансирование через пожертвования. Киберсилы смогут принимать финансовую помощь
🟠высокая зарплата. Военнослужащие Киберсил получат коэффициент 1.8 от базового оклада других должностей

Бонусы за успехи
Каждый, кто успешно проведёт кибероперацию, может рассчитывать на выплату:
💰400 прожиточных минимумов за операцию по приказу Президента Украины (примерно 28 000💵)
💰100 прожиточных минимумов за операцию по приказу командования ВСУ (примерно 7 000💵)
💰25 прожиточных минимумов за операцию по приказу Командующего Киберсилами (примерно 1 800💵)

💡Если закон примут, с 1 января 2026 года Украина получит полноценные Киберсилы ВСУ, которые дополнят работу ИТ-Армии.

✨ Сочельник и Рождество: время света, мира и любви

Сочельник и Рождество — это не просто праздники, это время глубокого осмысления, тихой радости и ожидания чуда. Эти дни напоминают нам о том, как важно находить свет даже в самые тёмные времена, сохранять веру и делиться теплом с окружающими.

Сочельник — вечер, когда весь мир замирает в ожидании рождения чего-то нового и прекрасного. Это время, чтобы остановиться, заглянуть в себя, вспомнить о тех, кто рядом, и подарить им свое внимание и любовь. За семейным столом, в тёплом кругу близких, мы чувствуем ту самую магию, которую трудно объяснить словами.

Рождество же приходит, чтобы наполнить наши сердца светом и надеждой. Это праздник, который символизирует рождение добра, любви и гармонии. Он напоминает, что даже маленький жест доброты может стать началом большого чуда.

В этот особенный период хочется пожелать вам мира в душе и гармонии в сердце. Пусть в вашем доме всегда звучит смех, глаза близких сияют радостью, а каждый день приносит вдохновение и свет. Желаю, чтобы любовь окружала вас повсюду, а удача всегда шла рука об руку с вашими мечтами.

Пусть Рождество подарит новые силы для свершений, теплые воспоминания, которые останутся с вами надолго, и ощущение, что всё в этом мире возможно.

С Рождеством Христовым и светлым Сочельником! 🎄

С любовью к каждому и с благодарностью, что вы рядом,
Ваш Киберполешук 🤭

🎄Новогодние дежурства: мысли и наблюдения

Во многих компаниях с круглосуточным графиком рано или поздно встает вопрос: кто же те люди, которые встретят Новый год на работе?

Из личного опыта могу сказать, что после нескольких лет службы Новый год для меня перестал быть символом волшебства и превратился в обычный день. Моими главными праздниками всегда были Сочельник и Рождество 25 декабря. Дежурства в новогодние дни и участие в группах немедленного реагирования стали для меня привычным делом, со своей особенностью и опытом, который есть с чем сравнить.

🎅Дежурить с 31 декабря на 1 января — не самое худшее испытание. Более того, у меня сложилось впечатление, что даже воры и злодеи в эту ночь предпочитают отдыхать с близкими. Смены обычно проходили спокойно и без происшествий. А после завершения дежурства я мог спокойно отправиться домой, выспаться 1 января и воспользоваться выходными 2–3 числа (эти дни полагались за переработку в рамках охраны труда). Форс-мажоры, безусловно, возможны, но их вероятность невелика. Чаще всего я находился в режиме усиления, а не выполнял роль основного исполнителя, что значительно снижало уровень напряжения в такие смены.

🔴Совсем другое дело — смена с 1 на 2 января.
Во-первых, если 2 января рабочий день, то ты оказываешься «героем на все фронты»: разгребаешь последствия дежурств 31 декабря и 1 января за других, а заодно выполняешь свои собственные задачи, которых по "закону подлости" всегда уйма и их не ожидал и не предвидел.
Во-вторых, такой график лишает тебя даже короткой радости встречи Нового года. Полночь без шампанского и праздничных тостов, пойти спать в 0:15 а впереди 24 часа работы — это психологически не сложно, но нужно уметь быть собраным.

Добавим к этому сложности с вызовом подкрепления: кто-то недоступен (телефон разрядился), кто-то за городом, а кто-то вовсе занят другими делами.

🎄Дежурить в новогоднюю ночь не так обидно и даже более ответственно, чем начинать смену утром 1 января. Главное преимущество такого дежурства — уверенность, что в следующем году тебя точно не включат в список дежурных на эти даты.

#post

CISA (Агентство кибербезопасности и инфраструктуры США) подготовило рекомендации, которые помогают защитить ваши данные и коммуникации от киберугроз. Вдохновившись материалом я написал простые, но эффективные советы для всех — от обычных пользователей до руководителей бизнеса как держать устройство в безопасности.

📱Общие рекомендации

🔸Переходите на зашифрованные мессенджеры
Используйте приложения с End-to-End шифрованием, такие как Signal или Telegram. Они защищают ваши сообщения и звонки от перехвата. Также там можно устанавливать таймер исчезающих сообщений, что добавляет уровень конфиденциальности.

🔸Используйте FIDO для двухфакторной аутентификации
🔸Что это? Аппаратные ключи (например, YubiKey или Google Titan Key), которые подключаются к вашему устройству через USB, NFC или Bluetooth и подтверждают вашу личность.
🔸Почему это важно? Только FIDO устойчив к фишингу, тогда как SMS или приложения с кодами могут быть подделаны.
🔸Как начать? Зарегистрируйте FIDO-ключи для важнейших аккаунтов (например, Google, Apple, Microsoft) и отключите менее надежные методы аутентификации

🔸Откажитесь от SMS как второго фактора
Если FIDO недоступен, установите приложения для аутентификации, такие как Google Authenticator, Microsoft Authenticator. Они безопаснее SMS, хотя все же уступают FIDO.

🔸Держите пароли под контролем
Используйте менеджеры паролей для создания и хранения сложных комбинаций. Защитите главный пароль надежной фразой, например: “S1@dkajaBul0cH|

Утро началось со свежего кофе и маршмеллоу и чтения закона. А вот что можно почитать вечером с печеньками ☕️

🟢Вчера Лаборатория Касперского опубликовала совместное исследование K2 Кибербезопасность, а сегодня — статью о методах, которые используют Cyber Anarchy Squad. Важно взять на заметку: в конце января 2025 года эта информация станет особенно полезной.

🔵Jet CSIRT подвели итоги уходящего года в аналитическом отчёте. В нём — детализированный разбор ключевых трендов и новых угроз. Полезный материал для тех, кто планирует стратегию защиты на 2025 год.

🟣Алексей Лукацкий, бизнес-консультант по информационной безопасности, и Елена Бастанжиева, директор по развитию бизнеса PT в России и СНГ, делятся экспертным взглядом на то, что ждёт рынок российской информационной безопасности в следующем году.

И ещё — ночью, когда все уснут…🐉
Самое время покопаться в зарубежных источниках. Да, там всё ещё много рекламы и общих слов, но иногда попадается действительно стоящая информация.

1 марта 2025 года - новый Приказ №66

☕️Утро началось с прогулки на свежем воздухе, чашки кофе с маршмеллоу и чтения обновленного Приказа ОАЦ №259.

Вот мои мысли.

Положительные изменения:
🟢теперь четко определено, что подразумевается под “открытыми каналами передачи данных” – это “сети электросвязи общего пользования”
🟢появилось уточнение: положения не распространяются на системы, обрабатывающие только общедоступные персональные данные или данные, обезличенные методами, соответствующими требованиям
🟢для систем классов «3-ин», «3-спец», «3-бг», «3-дсп» и «3-юл» разрешено взаимодействие с любыми информационными системами (ссылки на Приложение 4 в старой редации потеряли актуальность)
🟢введено требование о централизованном сборе данных о DNS-запросах с хранением в течение не менее одного месяца
🟢ежегодное тестирование на проникновение теперь обязательно для оценки защищенности информационных систем
🟢появилось требование по обнаружению и реагированию на угрозы безопасности конечных узлов (ключевое - реагирования, так что отправим на покой антивирус в конце концов - да здравствует EDR!)
🟢установлено обязательное обновление или замена активов и средств защиты после истечения их срока эксплуатации
🟢исключено требование об обязательном ежегодном внутреннем и внешнем аудите на уязвимости (но это имеет свои нюансы)
🟢упрощены или удалены ранее обязательные требования, связанные с установкой оборудования в защищенных помещениях и контролем параметров их настройки
🟢централизованный сбор сведений о событиях безопасности стал обязательным для всех классов типовых информационных систем, хотя использование SIEM по-прежнему необязательно
🟢при проектировании и создании систем защиты информации взаимодействие между системами теперь должно осуществляться через защищенные каналы передачи данных
🟢введены четкие разграничения между системами 4-XX (без подключения к Интернету) и 3-XX (с подключением)
🟢добавлены подробные требования по отображению логической и структурной схем
🟢для систем «3-бг» и «3-дсп» теперь обязательно проведение тестирования на проникновение. Это, вероятно, сократит случаи избыточных решений “на всякий случай”

Недостатки:
🟣по-прежнему отсутствуют четкие критерии соответствия требованиям, аналогичные PCI DSS
🟣в пунктах 7.5–7.7 говорится об обязательном резервном копировании, но ничего не сказано о тестировании и восстановлении из копий (по сути, копии делаются “для галочки”)
🟣формы документов разрабатываются владельцем системы с учетом его специфики. Предполагаю, что цель - исключить злоупотребления маркетингом (ребят в стиле “мы быстрее и дешевле но давайте к нам”). Однако ограничения в 180 дней на аудит остаются неизменными
🟣аттестация все еще требует выявления всех уязвимостей, без учета удобства или влияния на бизнес-процессы. Это может привести к чрезмерным требованиям к обновлениям, не всегда оправданным.

✏️Новый приказ стал более понятным, структурированным и детализированным. Однако некоторые важные аспекты, такие как тестирование резервных копий и проработка критериев соответствия требованиям, остаются нерешенными. Улучшения очевидны, но пространство для совершенствования еще есть.

Уроки архитектуры для информационной безопасности

В XVIII-XIX веках помещения пороховых мельниц строили по одному интересному принципу: три стены возводились из камня, а четвёртая — из лёгких материалов, таких как дерево или солома. Почему? Всё дело в безопасности. Если порох случайно взрывался, каменные стены защищали окружающие здания и людей, а лёгкая стена давала взрывной волне возможность “уйти за реку” — буквально уносила её энергию в сторону реки, минимизируя ущерб. Эта история — не просто инженерная находка прошлого, но и метафора для построения грамотной архитектуры информационной безопасности.

Мир информационной безопасности полон “взрывов” — утечек данных, вирусов, DDoS-атак, компрометации учетных записей. Они происходят по разным причинам: неосторожность сотрудников, уязвимости в системах или действия злоумышленников. Но как пороховые мастера предвидели взрывы и минимизировали их последствия, так и специалисты по ИБ проектируют системы, чтобы минимизировать ущерб от инцидентов.

Лёгкие стены в ИБ: что это такое?

1️⃣Сегментация сети
Представьте, что сеть вашей компании разбита на несколько зон:
🔵Внешний периметр — это то, что доступно извне (например, веб-серверы).
🔵Внутренние сервисы — такие как корпоративная почта, CRM или ERP.
🔵Критичные данные — базы данных или финансовые системы.

Если злоумышленник скомпрометирует одно из приложений на внешнем периметре, сегментация не даст ему проникнуть дальше. Это как если бы взрывная волна “упёрлась” в лёгкую стену, не повредив внутренние зоны.

2️⃣Демилитаризованная зона (DMZ)
DMZ в ИБ работает по тому же принципу, что и лёгкая стена. Это изолированная зона, где размещаются сервисы, взаимодействующие с внешним миром, например, веб-приложения. Если атака произойдёт, “взрывная волна” будет нейтрализована в этой зоне, не затронув критичные системы компании.

3️⃣Управление доступом
“Лёгкая стена” здесь — это ограничение прав доступа. Сотрудники получают только те привилегии, которые необходимы для их работы. Даже если учётная запись будет взломана, злоумышленник не сможет пробиться “за каменные стены” и добраться до ключевых ресурсов.

4️⃣Резервное копирование
Резервные копии — это как эвакуационный выход из горящего здания. Если что-то пошло не так, данные можно восстановить и продолжить работу, минимизировав последствия “взрыва”.

Каждый из этих методов создаёт своего рода “лёгкую стену”, которая принимает на себя удар и позволяет защитить остальное. Такие меры не только сдерживают угрозы, но и помогают компании пережить инциденты с минимальными потерями.

Что будет, если все стены “каменные”?

Это может звучать странно, но без “лёгкой стены” ущерб от инцидентов может быть намного выше. Когда взрывная волна не имеет выхода, она уничтожает всё на своём пути:
🔘Шифровальщик проникающий в сеть, может зашифровать все системы, если нет сегментации.
🔘Массовый DDoS может обрушить всю инфраструктуру, если нет изолированного внешнего периметра.
🔘Утечка данных становится катастрофической, если нет разграничения прав доступа.

〰️
“Лёгкая стена” в ИБ — это грамотное проектирование системы, при котором атака может произойти, но её последствия останутся локальными. Мы не можем предотвратить все “взрывы”, но можем контролировать их последствия.

Аналогия с пороховыми мельницами напоминает: иногда важно не только усилить защиту, но и предусмотреть, как безопасно “выпустить пар”.

#post

Как не превратить мониторинг в паранойю

Ревность — штука хитрая. И в жизни, и в информационной безопасности она начинается с малейших сомнений. Ну, знаете, эти “а кто тебе звонил?”, “почему логон в три ночи?” или “что это за IP-шник 185.***?”. И вроде бы поисковые действия начинаются с благих намерений: всё проверить, всё выяснить. Но вот когда ревность перерастает в манию, начинаются проблемы.

В реальной жизни такой подход заканчивается прочёсыванием телефона, допросами с пристрастием и следственными экспериментами: “а кто лайкнул?” или “а что за обед за двоих в чеке?”. В ИБ — это включение режима «смотрим ВСЁ». Терабайты логов? Скачай. Анализируй каждый пакет, каждый сигнал, каждую цифру.

Что в итоге?

Вместо реальной угрозы ты находишь:
👀Лайк троюродной сестры на фото трёхлетней давности.
👀Пинг принтера, который, как оказалось, вообще не в сети.
👀Атака, которая… о, подожди, это был внутренний тест на бдительность.

Когда ревность или подозрение переходят в манию, ты не только не находишь настоящего врага, но и изматываешь себя в первую очередь. Это тот случай, когда мониторинг превращается в самоистязание. И, конечно, ещё и изматываешь тех, кто рядом — попробуй после таких поисков объяснить, почему босс не может зайти в CRM (ты ж заблокировал на всякий случай).

Вывод?

Контролировать — это хорошо. Но не забывай, что:
💖Если ты ищешь проблему, не факт, что она есть. Иногда всё работает просто потому, что настроено правильно.
💖Ворота всегда должны быть закрыты, но не заперты в стиле “никто не выйдет, пока не выясним, кто и зачем пришёл”.
💖Ревность к системам не делает их безопаснее, как и слежка за человеком не делает отношения крепче.

Короче, ищи реальные инциденты, а не фантомы. А если чувствуешь, что начинаешь сходить с ума — лучше съешь шоколадку. Она, в отличие от безумного мониторинга, точно поднимет настроение🍫

#post