Машинное обучение в обнаружении

Есть масса применений машобуча в ИБ и нередко на маркетинговых мероприятиях можно услышать об успехах применения машинного обучения без учителя для обнаружения: есть некоторый движок, выполняющий профилирование, который затем выдает статистические отклонения. Проблема тут в том, что "статистическое отклонение" - это не всегда "инцидент", и окончательное решение принимает человек. Понятие инцидента - не простое, поэтому построить классификатор, который будет выдавать не статистическое отклонение, а инцидент невозможно без анализа обратной связи от пользователя (варианты решения этой задачи с помощью LLM пока не будем рассматривать, но и там проблем немало, ибо закономерность сохраняется: чем сложнее система, тем сложнее ей пользоваться). А это уже вопрос, решаемый в рамках машинного обучения с учителем, однако, в этом случае, для получения удовлетворительных результатов, нам нужны размеченные данные, типа, вот это статистическое отклонение - инцидент, а вот это статистическое отклонение - не инцидент. Кроме того, на практике нередки и false negative (пропуски), т.е. Модель надо подкрутить так, чтобы в сценариях прошлых промахов она, таки, выдавала статистическое отклонение, которое будет интерпретировано пользователем как инцидент. Чем размеченных данных будет больше, тем лучше, а если данных будем мало, построение такого классификатора под большим вопросом.

Таким образом, налицо двухходовочка:
- Unsupervised ML поможет найти статистическое отклонение - здесь будет много False positives, но практика показывает, что будут и False negative (собственно, этот объем False* и является основным аргументов скептиков относительно пригодности ML в ИБ вообще, сравнивающих ML-вердикты с выдачей ГПСЧ)
- Supervised ML теоретически можно обучить распознавать среди статистических отклонений инциденты, но в этом случае нужны большие размеченные данные, как например, в случае Автоаналитика

В нашем случае упомянутая двухходовочка для обнаружения горизонтальных перемещений в сети реализована одной Моделью без учителя. Но для поддержания удовлетворительного качества работы, все ее False* разбираются с участием аналитиков команды SOC, после чего Модель дорабатывается: начинает ловить прошлые пропуски и не генерить статистическое отклонение в определенных сценариях, не являющихся инцидентом.

Итого, нам всем нужно понимать:
1. Статистическое отклонение, выдаваемое Моделью без учителя - это еще не Инцидент
2. Для того, чтобы Модель научилась выдавать не статистические отклонения, а инциденты, обязательна обратная связь от пользователя, разметка данных пользователями
3. Чтобы обучить Модель на размеченных данных, их должно быть много
4. Нужно заниматься постоянным тюнингом Модели без учителя, выдающей статистические отклонения, чтобы она выдавала бизнес-значимые статистические отклонения, т.е. инциденты
5. В "коробочных" on prem решениях есть проблемы с получением обратной связи от пользователя и ее анализом, чтобы подстраивать и переобучать Модель, т.е. пп. 2-4 нереализуемы

В итоге получаем, что более-менее рабочим сценарием является портирование обученных моделей из облачных сервисов в on prem решения. Как, в частности, мы и сделаем с моделью обнаружения горизонтальных перемещений, которая из MDR когда-то станет доступна в KUMA. В этом случае постоянство качества Модели будет обеспечиваться ее постоянным тюнингом в рамках сервиса в предположении, что в пользовательской инфраструктуре демонстрируемые ею статистические отклонения будут интерпретировать как инциденты по тем же правилам, что и в MDR. Это очередная прекрасная демонстрация как правильно выкристаллизовывать облака в on prem, а никак не наоборот!

#MDR #vCISO #ml

Одним из элементов интерьера кофейни с лучшим кофе в Кисловодске "Мастерская кофе" являются лыжи.

Поначалу мне это казалось нелепостью, поскольку в Кисловодске снег обычно не лежит более одного дня, редкой зимой бывает до недели, но его глубины точно недостаточно для лыжных пробежек. Однако, по крайней мере в нашем доме, практически в каждой семье есть санки и снегокаты....

Однажды, после утренней пробежки, выполняя свой стандартный ритуал Большого Американо в Мастерской кофе в районе Центрального рынка, мне открылась вся глубина лыж и снегокатов в Кисловодске. Это - олицетворение очень трудно досягаемой цели, мечты, надежды, которая, несмотря на всю свою призрачность никогда не умирает и на протяжении всей нашей жизни продолжает согревать и мотивировать не сдаваться, не отпускать руки, ждать, надеяться и верить!

#пятница #здоровье

AI Agents vs. Prompt Injections

Мой приятель и замечательный человек Владислав Тушканов, руководитель группы исследований и разработки технологий машинного обучения (Центр исследования технологий искусственного интеллекта), человек, который внимательнейшим образом выслушивает все мои бредовые идеи по автоматизации нашей работы с использованием машобуча, с которым у нас длиннющий бэклог и громадье совместных планов, [... и много чего... еще] дает вебинар, подробности в канале у Влада.

#ml

Первый вредоносный MCP-сервер в мире

А вот и вредоносные MCP поспели!
The Register
Dark Reading
Оригнальная публикация от KOI

Понятно, что не все что скачивается с Github безопасно, однако, в свете последних тенденций атака отдает новизной.
Как и ожидалось, новый слой абстрации, в данном случае MCP, расширяет поверхность атаки.

#ml #vCISO

Расписание против аналитика: когда график диктует ошибки

На PHD в 2023 году я немного коснулся темы метрик, используемых в нашем SOC. За годы работы мы накопили массу статистик и значений метрик, которые также можно анализировать и обнаруживать интересные и полезные зависимости, помимо стандартной задачи - предсказания загрузки команды в зависимости от объема. Отрадно, что молодому поколению аналитиков тема анализа тенденций в работе операционного подразделения также интересна как и мне, и мы имеем в некотором смысле продолжение моего достаточно общего доклада про метрики, но на сей раз от моего коллеги - Даниила Малий. Даниил взял не все собираемые нами показатели, а только те, что используются в KPI для оценки эффективности и результативности работы ребят, с фокусом именно на ошибки и попытался найти зависимости количества ошибок от режима работы аналитика при сменном графике и времени суток, от уже обработанного объема (от продолжительности работы в смене), от скорости расследования алертов и их критичности, и многого другого.

Формальное описание доклада:

Название: Расписание против аналитика: когда график диктует ошибки
Краткое описание: График работы напрямую влияет на то, как SOC-аналитики принимают решения. Ошибки распределяются неравномерно: они зависят от времени суток, сменности и даже от последовательности задач. Исследуя долгосрочные выгрузки, можно выявить чёткие закономерности и использовать их для оптимизации процессов.

Доклад был подан на SOC Forum (логично, ибо доклад про SOC, от аналитика SOC) , попал в секцию "ИБ и бизнес", но не прошел отбор. С одной стороны, немного жаль, что крутой (на мой субъективный взгляд) доклад не войдет в программу, а, с другой стороны, это должно означать, что в программу вошли еще более крутые докалды доклады! Ну, как минимум, в эту секцию. Поэтому, для себя я уже решил однозначно выделить время и посмотреть, надеюсь, запись будет.

Я тоже член Экспертного комитета, правда, в секциях "SOC-практикум", "Defence" и "Тренды и аналитика угроз", и мой выбор, моя оценка докладов - это отражение меня. Фактически, то, что попадет в программу характеризует экспертность Экспертного комитета, конечно же, с субъективной точки зрения зрителя.

Ах да, забыл, доклад Даниила Малий мы подали в итоге на Zero Nights, посмотрим, получится ли попасть в программу там. Если никуда не пройдет, запишем вебинар и поделимся им в этом канале :) Так сказать, сами себе оркестр 🤣

#MDR #vCISO

Когда все твои запросы на ресурсы безуспешны, создается ощущение собственной ненужности, неважности, бесполезности работы, опускаются руки и хочется уйти на пенсию...

Но как пели Томас и Дитер:

Baby, don't, don't give up
If your heart is broken make a brand new start
Baby, don't, don't give up
Count to ten, start again

А на самом деле, ситуация ровно обратная и, тем более, не стоит рефлексировать и останавливаться!

Об этом рассуждал в новой статье.

#управление

ENISA THREAT LANDSCAPE 2025

Агентство Европейского союза по кибербезопасности (ENISA) опубликовало отчет "Обзор угроз ENISA 2025". В отчете анализируется почти 4900 киберинцидентов, коснувшихся европейских организаций в период с июля 2024 года по июнь 2025 года.

Основные тенденции:
1. Фишинг — главный вектор атаки (60%): Остается основным методом первоначального проникновения. Эволюционирует за счет таких техник, как ClickFix, фишинг-as-a-service (PhaaS, например, Darcula), и квишинг (QR-код фишинг).
2. Цепочки поставок и доверительные отношения. Злоумышленники все чаще атакуют сторонних поставщиков услуг (IT-компании, Телекомы) и цепочки поставок (вредоносные пакеты npm, расширения браузеров) для усиления эффекта атак.
3. Атаки на мобильные устройства: угрозы для Android-устройств растут, включая шпионские программы (KoSpy, BoneSpy), банковские трояны (Medusa) и эксплуатацию уязвимостей в телекоммуникационной инфраструктуре (SS7, Diameter).
4. Конвергенция групп угроз: Стираются границы между хактивизмом, киберпреступностью и спонсируемыми государствами группировками.
5. Ожидаемое использование ИИ: ИИ активно используется для создания более убедительных фишинговых писем (более 80% фишинга используют ИИ), генерации качественных подделок (deepfakes), разработки вредоносного ПО и обхода обнаружения. Также наблюдаются атаки на сам ИИ - джейлбрейки, отравление модели и атаки на цепочку поставок моделей ИИ.

Чаще всего ломают:
- Государственное управление - 38,2%
- Транспорт - 7,5%
- Цифровая инфраструктура и услуги - 4,8%
- Финансы - 4,5%
- Производство - 2,9%

Основные типы угроз:
1. Киберпреступность - 13,4% инцидентов
2. Государственные группы - 7,2%
3. Хактивизм - 79%
4. Манипулирование информацией (Foreign information manipulation and interference, FIMI) - остальное


Оригинальная ссылка на документ

Суммаризацию можно также почитать здесь:
State-aligned cyber threats against EU intensify, ENISA warns

Many Attacks Aimed at EU Targeted OT, Says Cybersecurity Agency

#MDR #vCISO

В продолжении темы DLL-Hijacking, спешу поделиться статьей по теме, для тех, кто не хочет смотреть видео (или здесь)

Также интересный материал от коллег, но уже более прикладной.

#ml #MDR

State of Cybersecurity 2025: Глобальный обзор ISACA

Опубликован ежегодный отчет ISACA, основанный на опросе 3800+ киберспециалистов по всему миру. Кратко прескажу о чем там. Кстати, сама же ISACA выпустила дайджест, который можно быстро просмотреть, если нет возможности читать весь отчет. И отчет и дайджест прикладываю.

Кадровый вопрос
- Критическая нехватка: 55% команд не укомплектованы. Хуже всего ситуация в компаниях среднего размера (500-4999 сотрудников).
- Долгий найм: Заполнение вакансий среднего и высшего уровня занимает 3-6 месяцев (39%) или даже больше полугода (25%).
- Новый идеальный кандидат: Адаптивность (61%) впервые обогнала практический опыт (60%) как главный критерий при найме. Компании ищут гибких, бысто адаптирующихся, быстро обучающихся специалистов, а не просто готовых технических экспертов.
- Стресс и выгорание: 66% специалистов считают свою работу более стрессовой, чем 5 лет назад. Главные причины:
-- Усложнение угроз (63%).
-- Завышенные ожидания и объем работы (50%).
-- Дисбаланс между работой и личной жизнью (50%).
- Парадокс удержания: Несмотря на стресс, только 50% компаний испытывают трудности с удержанием персонала — это самый низкий показатель с 2020 года ("Эра Большого Удержания"). Люди уходят из-за высокого стресса, ограниченных возможностей для роста и, кто бы сомневался, предложений от других компаний.
- Сокращение льгот: Работодатели сокращают инвестиции в сотрудников: оплата сертификатов упала на 11 п.п. (с 65% до 54%), компенсация обучения — на 5 п.п.

Тревожные тенденции
- Старение персонала: Самая большая возрастная группа - 45-54 года (35%), а молодежи (до 35 лет) становится меньше. Надвигается кризис преемственности и нехватки опытных руководителей.
- Растущий разрыв в навыках:
-- Софт-скиллы — главный пробел (59%, +8 п.п.). На первом месте: критическое мышление (57%), коммуникация (56%), решение проблем (47%).
-- Технические навыки: Самые большие пробелы — облачные вычисления (37%), безопасность данных (33%), LLM SecOps (33%).
- Слабая подготовка новичков: Только 27% опрошенных согласны, что выпускники вузов готовы к работе. Основные пробелы у джунов: реагирование на инциденты, безопасность данных, обнаружение угроз.

Операционка и бюджетирование
- Бюджетный пессимизм: Лишь 41% ждут роста бюджетов (в 2024 было 47%, -6 п.п.). 18% прогнозируют сокращение.
- Поддержка совета директоров — ключевой фактор успеха: Там, где Совет адекватно приоритезирует инвестиции в кибербезопасность (56%):
-- на 95% выше вероятность, что стратегия безопасности совпадает с бизнес-целями.
-- Команды чувствуют себя увереннее (56% против 21%).
-- Бюджеты реже считают недостаточными (35% против 74%).
-- Лучше удерживают персонал (48% против 64%).
- Оценка рисков: 11% компаний проводят ее ежемесячно (+3 п.п.). Главные препятствия: нехватка времени (35%) и персонала (30%).

Риски и угрозы
- Рост атак: 35% компаний сообщают о росте числа кибератак (небольшое снижение в сравнении с 2024).
- Основные векторы атак: Социальная инженерия (44%), уязвимости (37%), вредоносное ПО и инсайдеры (по 26%).
- Низкая уверенность: Лишь 41% полностью или очень уверены в способности своей команды обнаруживать и реагировать на угрозы.
- Проблема недостаточной отчетности: 56% респондентов считают, что компании замалчивают киберинциденты.

Искусственный интеллект
- ИИ в защите: Растет использование ИИ для автоматизации обнаружения угроз (32%), защиты конечных точек (30%) и облегчения рутинных задач (28%).
- Безопасники подключаются: активно участвуют в жизненном цикле ИИ:
-- 40% (+11 п.п.) вовлечены в разработку и внедрение ИИ-решений.
-- 47% (+12 п.п.) участвуют в создании политик использования ИИ.
- ИИ и зрелость: компании, не проводящие оценку рисков, в 44% случаев не используют ИИ для безопасности, что говорит о взвешенном подходе к новым рискам.

Выводы и рекомендации
- Инвестируйте в адаптивность и софт-скиллы, технических знаний уже недостаточно.
- Начните планирование преемственности работников сейчас, стареющая рабочая сила — это бомба замедленного действия.
- Боритесь с выгоранием. Гибкий график и перераспределение нагрузки — обязательное условие, а не опция.
- Вовлекайте безопасников во все инициативы, связанные с ИИ, так как без их участия безопасность ИИ-проектов под угрозой.
- Работайте с советом директоров. Умение донести ценность кибербезопасности на языке бизнеса — критически важный навык для лидеров.
- Будущее за гибкими, хорошо коммуницирующими командами, которые действуют как стратегические партнеры бизнеса в эпоху ИИ и неопределенности.

#vCISO

п. Котел 3-4 к.с.

В отличие от п. Яма п. Котел выглядит жутковато.

В районе порога река зажата скалистыми берегами, на момент нашего путешествия вода была невысокая, поэтому справа русло забито камнями и непроходимо для нашего К4, но для каяка такая возможность есть - это было подтверждено на практике одним из участников нашей экспедиции. В левой части русла расположен мощный дугообразный слив высотой около 2 м, образующий мощную бочку - котел. За счет дугообразной геометрии котла бочка образуется сливами с трех сторон, что создает мощные противотоки внутри котла - в общем, падать в эту бочку нет никакого желания, да и геометрия дна не просматривается, там вполне могут быть острые камни (один из них явно виден прямо посередине).

Просматривать порог следует с ЛБ, а на подходе к нему от удобного причала можно встретить много образцов народного творчества, вроде музыкального инструмента из обломков рам катов и множества табличек с названиями городов туристов - от Чикаго и Штутгарта до Южно-Сахалинска и Владивостока.

Проходили п. Котел вплотную к ЛБ, все прошло по плану, опасность упасть в котел нас миновала, хотя риск такой был, и, по-моему, часть правого баллона свисала (я сидел на левом, поэтому не уверен). Пассажир, конечно же, шел берегом.

#здоровье

Forrester об MDR
(вложение, reprint)

Я стараюсь почитывать подобные публикации от аналитических агенств, чтобы понимать современные тенденции, анализировать адекватность своего решения и, возможно, корректировать наш бесконечный бэклог.

Forrester пишет, что MDR - это еще не прошлое и что он продолжает эволюционировать, и если раньше провайдеры больше фокусировались (и мерились этим) на реагировании, то сегодня мы должны быть максимально проактивными и нести доказательную бизнес-пользу для корпоративной безопасности:

An MDR provider’s ability to positively influence the security of its customers now matters as much as its ability to find threats

Вот на что стоит обращать внимание при выборе MDR-услуг в 2025 году:

1. Detection as Code — основа масштабирования
Скорость и качество обнаружения угроз теперь определяются подходом "обнаружение как код" (Detection as Code), что означает:
- Использование программных методов для создания и развёртывания детекторов
- Автоматизированное тестирование для повышения точности и снижения "шума"
- Возможность быстро адаптироваться к новым тактикам злоумышленников
Примеры: Red Canary, CrowdStrike.

2. Улучшение корпоративной безопасности (Security Posture) - новая задача MDR
Клиенты ожидают, что MDR-провайдеры будут не только искать угрозы, но и помогать улучшать корпоративную ИБ:
- Обнаружение проблемных мест в ИБ
- Максимальная контекстная адаптация под технологический стек, индустрию, регион заказчика и предоставление бенчмаркинг для возможности сравнения (а, может, и самосравнения)
- Предоставление рекомендаций по улучшению программ корпоративной ИБ
Примеры: eSentire, Arctic Wolf.

3. Генеративный ИИ: выгода не только для провайдера, но и для заказчика
Провайдеры активно внедряют GenAI для повышения эффективности своей работы, но важно понимать: транслирует ли провайдер выгоду от ИИ клиентам, например, в виде улучшенных процессов или снижения стоимости, или просто MDR становится более маржинальным. Если честно, мне удивительно видеть намеки от глобального агенства, что автоматизация (ИИ - это именно автоматизация!) должна снижать стоимость😂
Пример: ReliaQuest (использует ИИ-агенты).

4. Широта покрытия (Detection Surface)
Современный провайдер должен обнаруживать угрозы не только на эндпоинтах, но и: в облачных средах, контролировать идентификационные данные (Identity), собирать данные из множества источников, ну, видимо, как минимум, из сети (упоминается XDR)
Пример: CrowdStrike, Expel.

5. Опыт, экспертность аналитиков, их глубокое понимание особенностей, контекста, клиента, а также прозрачность, точнее, проверямость предоставляемых данных в отчетности.

6. Экосистемность и гибкость. Здесь имеется в виду возможность интеграции MDR с используемом у заказчика стеком технологий.

7. Гибкость ценообразования и комплектации услуг (например, Falcon Flex от CrowdStrike).

Лидеры (Leaders): Expel, CrowdStrike, Red Canary.
Сильные игроки (Strong performers): ReliaQuest, Binary Defense, eSentire.
Претенденты (Contenders): Arctic Wolf, Secureworks, SentinelOne, Rapid7.

Итого: Современный MDR-провайдер должен обладать не только превосходными возможностями по обнаружению угроз, но вносить значительный вклад в усовершенствование корпоративной системы управления ИБ.

#MDR #vCISO

Как эффективно управлять инцидентами ИБ?

21.10.2025 в 11:00 MSK
Зарегистрироваться!

Безопасность - это процесс, операционный процесс обеспечения уровня ИБ. Можно много говорить о необходимости проактивных подходов к управлению ИБ, и даже стремиться интегрировать проактивность в операционные сервисы, управлять поверхностью атаки и вообще заниматься анализом рисков, однако, в Darkest hour рядом должны оказаться профессионалы, которые спасут ситуацию. Управление инцидентами - базовый процесс операционной безопасности и в предстоящем стриме 21.10.2025 в 11:00 MSK о нем будут рассуждать самые что ни на есть истинные практики, мои замечательные коллеги, чьим знакомством я горжусь, - Вадим Нерсесов и Сергей Голованов.

Вадим - руководитель операционной команды анатиков, отвечающей за delivery MDR, чья команда каждый день обнаруживает инциденты по всему миру. Благодаря усилиям команды Вадима инциденты не доходят до этапа ущерба корпоративным бизнес-процессам (поэтому статистика инцидентов MDR сильно отличается от статистик инцидентов, построенных, например, на данных проектов по реагировнию на инциденты, DFIR, - но об этом поговорим в другой раз), поэтому предприятия заказчиков продолжают работать в штатном режиме.

Сергей - абсолютный практик в DFIR, на счету которого тысячи интереснейших кейсов, и, уверен, не нуждается в дополнительном представлении, да мне и не хватит одной заметки, чтобы более-менее полно описать биографию Сережи.

Замечу еще, что сочетание спикеров позволит прекрасно раскрыть тему с разных сторон, так как если команды заказчика и Вадима успешно работают, то инцидент удается своевременно обнаружить и предотвратить развитие, а до участия Сергея, как правило, не доходит. А с другой стороны, если Сергей привлекается, то ситуация уже запущена настолько, что инструментальное реагирование MDR не будет достаточно результативным.

Подключайтесь на стрим, будет интересно!

#vCISO #MDR

Mind the Gap: Time-of-Check to Time-of-Use Vulnerabilities in LLM-Enabled Agents

Работа (pdf, abstract) - первое системное исследование уязвимостей типа Time-of-Check to Time-of-Use (TOCTOU) в агентах на основе больших языковых моделей (LLM), возникающих из-за временного разрыва между последовательными вызовами инструментов, когда злоумышленник может изменить состояние системы после его проверки агентом.

В статье приведен TOCTOU-Bench - первый бенчмарк для оценки уязвимостей TOCTOU, содержащий 66 реалистичных пользовательских задач. Анализ показал, что 56 из них потенциально уязвимы.

Также в статье приведен список мер защиты (в целом, ничего инновационного в них я не заметил):
- Переформулирование промптов (Prompt Rewriting) - изменяет пользовательские запросы, чтобы снизить вероятность создания планов с TOCTOU.
- Мониторинг целостности состояния (State Integrity Monitoring, SIM) - автоматическое обнаружение потенциально уязвимых последовательностей вызовов инструментов с помощью конечного автомата.
- Объединение инструментов (Tool Fuser) - уязвимые пары инструментов объединяются в один атомарный вызов, устраняя временное окно для атаки.

Как отмечал SANS мы получаем много направлений для развития на стыке разных областей знаний, TOCTOU - очередной пример на стыке безопасности ИИ и системной безопасности. Здесь же хочу провести параллели в мою, когда-то горячо любимую, криптографию, а именно с side-channel атаками:
- Использование непреднамеренного канала информации/влияния. В криптографии атакующий использует не саму математическую уязвимость алгоритма (например, факторизацию числа или дискретное логарифмирование), а побочные эффекты его физической реализации: время выполнения, энергопотребление, акустические эмиссии, электромагнитное излучение и т.п. В LLM-агентах атакующий использует не прямую уязвимость в LLM (например, инъекцию промпта), а архитектурную особенность ее работы - временной разрыв (temporal gap) между проверкой и использованием - это и есть "побочный канал"
- Обход прямых защитных механизмов. В случае криптографии защита, как правило, криптографически стойка для атаки "в лоб", но для атаки через побочный канал криптостойкость вообще не важна. А в LLM-агентах используемые механизмы защиты (guardrails, контроль ввода/вывода, sandboxing) предполагают, что вызовы инструментов атомарны и состояние между ними стабильно, однако, TOCTOU-атака обходит это предположение, атакуя сам процесс между вызовами.
- Необходимость специализированных методов защиты. В криптографии для защиты от side-channel атак нужны специальные методы: алгоритмы с постоянным временем выполнения, маскирование, аппаратная изоляция и т.п. А в LLM-агентах, как показано в статье, для защиты от TOCTOU нужны специальные методы, адаптированные под агентскую архитектуру: мониторинг целостности состояния (аналог детекторов аномалий), слияние инструментов (аналог создания защищенных примитивов).

В общем, все новое - это хорошо забытое старое. Наверно, это неплохо, так как подобные параллели упрощают придумывание методов защиты от новых модных атак.

#ml #crypto

Новые способы достижения целей ИБ

Нам, безопасникам, всегда не хватает бюджета на обеспечение безопасности! Мы постоянно ходим к топам и разными способами доказываем необходимость инвестиций не только в функциональность, но и в безопасность. Однако, к сожалению, безопасность часто является костом, проигрывающим приоритезационные войны с конкурентно важным и хорошо маркетируемым функционалом. Безопасник остается ни с чем, а когда, обозначенные им риск реализуются - он несет за это полную ответственность.

Особенно настойчивых требователей внимания к ИБ, видимо, увольняют, возможно, так и было с Аттауллой Баигом, бывшим руководителем службы безопасности WhatsApp, который подал в суд на Meta (а еще здесь и здесь), обвиняя компанию в игнорировании серьезных уязвимостей ИБ и конфиденциальности, подвергающих рискам миллиарды пользователей приложения.

Ключевые обвинения со стороны Аттауллы Баига:
- Неограниченный доступ к данным: тысячи сотрудников Meta и WhatsApp имеют доступ к конфиденциальным данным пользователей, включая профили, местоположение, контакты и членство в группах
- Массовый взлом аккаунтов: компания не решает проблему взлома более 100 000 аккаунтов ежедневно
- Игнорирование предложений по безопасности: руководство отвергало и блокировало предложения Баига по улучшению безопасности
- Нарушение соглашения с FTC: эти действия нарушают соглашение о конфиденциальности, достигнутое Meta с Федеральной торговой комиссией (FTC) в 2019 году.

После попыток сообщить о проблемах Марку Цукербергу и другим руководителям, Баиг столкнулся с преследованием со стороны начальства и был уволен в феврале.

Компания отвергла все обвинения, заявив, что Баиг был уволен за неудовлетворительную работу, а его искаженные заявления порочат работу команды, а представитель WhatsApp даже подчеркнул, что безопасность является их приоритетом.

Следует заметить, что это не первое дело против Meta. В статье упоминаются и другие инциденты, включая разоблачения Фрэнсис Хауген о вреде для подростков и недавние заявления сотрудников о рисках для детей в продуктах виртуальной реальности.

Сам Робин Гуд Баиг утверждает, что хочет призвать Meta к ответу и защитить интересы пользователей, которых, по его словам, компания рассматривает как "цифры на приборной панели".

В общем, следим за ситуацией, возможно, это создаст прецедент для аргументации CISO вроде:

Не получится договориться на защите бюджета, поговорим в суде!

#vCISO #пятница

CTEM Is Not a Tool, It’s a Program

Продолжим тему CTEM, так как вышел свеженький документ по теме от Gartner:

Enterprises fail to reduce threat exposure through self-assessment of risks due to unrealistic, siloed and tool-centric approaches to adopting cybersecurity programs.

Чтобы нам не повторить неудачный опыт упомянутых выше организаций, Gartner предлагает читать его доку (reprint, и вложение)

#vCISO