Чуть больше года назад, пребывая в прекрасном расположении духа, я возвращался из отпуска — четырнадцатичасовой перелет завершался и ничего не предвещало беды. Самолет приземлился, я на автомате отключаю авиарежим на телефоне и моментально замечаю получение нескольких писем на почту и парочки смсок. Глаза выхватывают ключевые слова "госуслуги", "двухфакторная аутентификация отключена", "произошла смена номера телефона"👀
Пульс резко участился, мозг начал усиленно придумывать возможные сценарии, где я, специалист по защите информации, мог допустить оплошность и попасться на удочку злоумышленников. На секунду закралось, что я стал жертвой сложной операции спецслужб — откуда могли знать, что я именно в тот момент буду находиться без связи длительное время? Но осознание того, что я нафиг не сдался ЦРУ и АНБ (или ФСБ), быстро вернуло мне здравомыслие😅

За последующие считанные минуты я быстро смог восстановить пароль от учетной записи на госуслугах, привязать свой номер телефона и включить обратно второй фактор. Далее начал с замиранием сердца изучать какие же операции были выполнены за длительное отсутствие "на земле" — не увидел ничего криминального, разве что направление какого-то заявления в Пенсионный фонд (ПФР)... И тут я вспоминаю, что полгода назад обращался за определенными компенсациями в ПФР, а сейчас наступил регламентный срок предоставления услуги (правда не таких итогов я ожидал😑).

Собрав всю информацию в кучку, я направляю обращение в поддержку госуслуг и относительно оперативно получаю информацию о событиях входа и сброса второго фактора: "сброс настроек был произведен оператором-администратором ПФР"🧐
Параллельно со мной связывается сотрудник ПФР, который обслуживал меня полгода назад, и сообщает, что мое заявление обработано и отправлено в ПФР для окончательных расчетов. Но на тот момент меня интересовал другой вопрос — почему кто-то "трогал" мою учетку на госуслугах?🤬
Как оказалось причиной всему была... клиентоориентированность🤨 Да, сотрудник ПФР пытался дозвониться до меня, но не смог — мало того, что я был в самолете, так еще он звонил в вайбер, в который я захожу раз в год. В итоге он решил проявить инициативу и отправить заявление на госуслугах вместо меня, ускорив процесс👍
Обладая необходимыми правами, он отключил второй фактор, привязал свой номер телефона, сбросил пароль и отправил заявление. Профит!
Дальнейшее общение с ним показало, что это довольный частый кейс, когда сотрудники ПФР сбрасывают пароли* и помогают гражданам ускорить процесс оказания услуг, выполняя за них операции на госуслугах, так как уровень цифровой грамотности в российской глубинке довольно низкий (да, это было в маленьком провинциальном городке).

*Но есть нюанс — сброс пароля от учетки госуслуг производится только по письменному заявлению.
p.s. Да, меня попросили написать заявление задним числом и прислать скан🙂

Какие же выводы можно сделать?
➡️Второй фактор не панацея
➡️У многих сотрудников гос.органов есть права, позволяющие сбросить настройки безопасности вашей учетной записи на госуслугах
➡️Не летайте далеко в отпуск😄

Свежая кривая хайпа по технологиям безопасности приложений (Application Security) от Gartner🔔
Традиционно очень много текста, а почитать можно тут.

Кратко из того, что бросилось в глаза:
🔼Ожидаемый ажиотаж вокруг безопасности ИИ, ассистентов для написания кода и технологий анализа достижимости (Reachability Analysis).
🔽Software Bill of Materials (SBOM) и Application Security Posture Management (ASPM) пошли на спад.
❓ Policy-as-Code неожиданно заявлена как инновация, хотя как минимум три года уже на слуху...
💬 DevSecOps вышел на плато продуктивности... Здесь традиционный спор, а технология ли это? В моём понимании это всё же методология и практики🤔

#hypercycle #appsec #gartner

А в июне Gartner ещё и SOAR похоронил😮
Видимо XDR постарался? Теперь ждём AI SOAR?😄

#gartner #soar #hypecycle #itsm

Примерно с прошлой недели в NVD для уязвимостей стали публиковать базовые оценки по CVSS 4.0ℹ️
Получается, что теперь в каталоге NVD предусмотрено шесть возможных базовых оценок🙄

А вот тут уже сравнили базовые оценки по CVSS 4 и CVSS 3 для тысячи уязвимостей👍
В среднем получается, что оценка по CVSS 4 выше на 1,7 балла по сравнению с CVSS 3. Правда, пока это абсолютно ни о чем не говорит🙃

#cvss #nvd

На что потратить бюджет CISO?🧐

Попытка построить универсальную карту приоритетов для CISO в зависимости от эффективности и стоимости мер защиты💲
Конечно, вся универсальность разбивается о специфику бизнеса, его цели, используемые технологии и присущие угрозы, но как идею и/или ориентир можно попробовать использовать.
p.s. В комментариях к посту-первоисточнику оставили довольно много комментариев, где можно почерпнуть полезную информацию в части критериев определения приоритетов.
Источник: Mads Bundgaard Nielsen.

#ciso #budget #controls #cost

Нашел интересную классификацию CISO 💯

Можно оценить "размер" роли CISO по следующим критериям:
➡️Фактическая должность
➡️Размер команды и бюджета
➡️Подчиненность
➡️Навыки
➡️Послужной список
➡️Стаж работы
➡️Полномочия (область влияния и управления)
➡️Зарплата (правда с прицелом на рынок ОАЭ)
➡️Варианты карьерного роста

Источник.

#ciso #taxonomy

Интересный подход к управлению уязвимостями от DigitalOceanℹ️
В оригинальной статье есть несколько ссылок на схожие подходы, основанные на "долге по безопасности", которые применяются в Carta и Twilio 📌

#vulnerability #prioritization #vm

У нас есть Ransomwatch и RansomLook, а теперь ещё будет Ransomware.Live, чтобы мы могли узнавать ещё больше новостей о шифровальщиках, их жертвах и переписках с ними, а также могли любоваться статистикой и инфографикой🙂

#ransomware