Пост Лукацкого
Уникальный контент про кибербезопасность от Алексея Лукацкого (@alukatsk) - мысли, полезные ссылки, комментарии к текущим событиям, юмор и мемасики.
Канал личный - мой работодатель никак не влияет на то, что здесь публикуется.
Рекламу не размещаю!!!
Канал личный - мой работодатель никак не влияет на то, что здесь публикуется.
Рекламу не размещаю!!!
Рэйтынг TGlist
0
0
ТыпПублічны
Вертыфікацыя
Не вертыфікаваныНадзейнасць
Не надзейныРазмяшчэннеРосія
МоваІншая
Дата стварэння каналаЛип 31, 2017
Дадана ў TGlist
Січ 31, 2025Прыкрепленая група
Дискуссии у Лукацкого
110
Апошнія публікацыі ў групе "Пост Лукацкого"
07.04.202513:23
Ну и еще про цитаты и обучение (обещаю, на сегодня это все) 🤓 Есть еще одна фраза, которую часто произносят, не понимая ее контекста:
Я когда начинал выступать с презентациями и лекциями принимал ее на свой счет. А потом уже, имея за спиной под тысячу выступлений (сейчас их за три уже) разобрался, что Бернард Шоу говорил ее в совершенно ином контексте 🤓 Он имел ввиду революционеров, которые не к месту поучают других людей. В начале 20-го века это было (осталось только дописать "как сейчас помню" 👴🏻) достаточно большой проблемой - революционеров было пруд пруди, все стремились свергнуть правительства и начать жить по-новому, но вот как достичь этого "по-новому" никто не знал, но учил 🤓
Потом уже, занимаясь изучением принципов донесения материала до аудитории, я узнал, что преподавание - это отличный способ самому разобраться в материале, в котором вы изначально не очень сильны 🧑🎓 Когда вы готовитесь, а потом доносите изученное и опробированное до слушателей, запоминается гораздо больше, чем если просто прочитать книжку или даже сделать какие-то самостоятельные упражнения 🧑🎓
Ну и завершить очередной рефлексии пост хочется другой цитатой, от основателя известной сети клиник Мейо, Чарльза Мейо. Он как-то сказал: 🤓
По сути, Мейо подтвердил то, что написано в предыдущем абзаце. Преподавая, ты постоянно учишься. А постоянно учась, ты становишься лучше в своей профессии. Выводы каждый сделает сам!
#обучение
"Тот, кто может, делает. Тот, кто не может, учит".
Я когда начинал выступать с презентациями и лекциями принимал ее на свой счет. А потом уже, имея за спиной под тысячу выступлений (сейчас их за три уже) разобрался, что Бернард Шоу говорил ее в совершенно ином контексте 🤓 Он имел ввиду революционеров, которые не к месту поучают других людей. В начале 20-го века это было (осталось только дописать "как сейчас помню" 👴🏻) достаточно большой проблемой - революционеров было пруд пруди, все стремились свергнуть правительства и начать жить по-новому, но вот как достичь этого "по-новому" никто не знал, но учил 🤓
Потом уже, занимаясь изучением принципов донесения материала до аудитории, я узнал, что преподавание - это отличный способ самому разобраться в материале, в котором вы изначально не очень сильны 🧑🎓 Когда вы готовитесь, а потом доносите изученное и опробированное до слушателей, запоминается гораздо больше, чем если просто прочитать книжку или даже сделать какие-то самостоятельные упражнения 🧑🎓
Ну и завершить очередной рефлексии пост хочется другой цитатой, от основателя известной сети клиник Мейо, Чарльза Мейо. Он как-то сказал: 🤓
"Самое безопасное для пациента — это находиться в руках человека, занимающегося преподаванием медицины. Чтобы быть учителем медицины, врач всегда должен быть учеником".
По сути, Мейо подтвердил то, что написано в предыдущем абзаце. Преподавая, ты постоянно учишься. А постоянно учась, ты становишься лучше в своей профессии. Выводы каждый сделает сам!
#обучение
07.04.202509:30
Не устаревает до сих пор 😏
Хотя в тех редких случаях, когда я был преподом в ВУЗе и принимал экзамены, я все-таки спрашивал и, иногда, заваливал студентов, которые болт клали на предмет. Но вот не ходить на лекции разрешал 🤔
Но тогда не было ИИ, а сейчас он есть 🫡 Так что конкуренция за место под солнцем усилилась и те, кто постоянно не учатся, обречены на то, что будут выброшены на свалку истории 💀
#обучение
Смотрю, как студенты понтуются, кто из них больше ни фига не делал и всё сдал.
Эх...
Когда я был студентом, я сдавал право одной очень милой женщине. Она была практикующим юристом, и я ожидал, что такой специалист меня сейчас будет гонять от и до по всему конспекту.
Она посмотрела на меня и, ничего не спрашивая, поинтересовалась:
- Оценку вам какую ставить?
- Э... Пять хотелось бы
- Отлично, - сказала она, и стала писать в зачётке
- А вы что, даже ничего спрашивать не будете? - удивился я.
Она оторвалась от заполнения зачётки, внимательно посмотрела на меня и сказала:
- Запомните, молодой человек, чем меньше вы знаете, тем более ценна я как специалист.
Эта фраза мне запомнилась на всю жизнь и больше я не страдал фигнёй во время занятий.
И сейчас самое время мне, уже доценту и одновременно практикующему проектировщику зданий, повторить то же самое:
Господа студенты, не учитесь, пожалуйста! Старайтесь как можно больше получить на халяву! Чем меньше вы знаете по окончании института, тем более ценен я как специалист и тем большую зарплату я могу потребовать за свои услуги!
Хотя в тех редких случаях, когда я был преподом в ВУЗе и принимал экзамены, я все-таки спрашивал и, иногда, заваливал студентов, которые болт клали на предмет. Но вот не ходить на лекции разрешал 🤔
Но тогда не было ИИ, а сейчас он есть 🫡 Так что конкуренция за место под солнцем усилилась и те, кто постоянно не учатся, обречены на то, что будут выброшены на свалку истории 💀
#обучение
07.04.202504:40
Легонькая статья о том, как общаться с топ-менеджерами про кибербезопасность, в которой приводится магическое число советов, то есть семь, которым надо следовать, когда вы хотите купить новые решения по ИБ: 🧐
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.
#ciso #топменеджмент
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.
#ciso #топменеджмент
Пераслаў з:
Религия, культура и Оксана сбоку
06.04.202517:29
"Волк и семеро козлят" в стиле киберпанк 😊 Оригинал - тут
06.04.202517:29
Подписчик прислал (спасибо ему) 🙂 Надо сказать, что искусственные интеллект сегодня существенно облегчил донесение сложных концепций ИБ простым языком; да еще и с хорошей визуализацией. Грех ими не пользоваться. Тем более, когда это бесплатно 🤖
#awareness #ии
#awareness #ии
06.04.202511:49
Меня иногда на мероприятиях представляют как блогера ✍️, что меня, конечно, не раздражает, но иногда да. Блогер - это профессия, которая в классификатор внесена (или будет внесена скоро); в раздел рекламной деятельности. То есть блогер - это индивидуум, который за свою работу бабки получает. И не эпизодически, а вот цель у него такая. И он ради нее все и делает. И бусты сюда же относятся 🤑
Если ты завел канал ради бабок, так и пиши честно ✍️ Хочу, мол, бабла за то, что свое время трачу на репост чужих новостей для вас олухов и дармоедов. А если я пересказал вам публично доступный документ, который любой GPT или NotebookLM автоматически разложит в майндкарту, то будьте добры вдвойне бабла отсыпать 🤑
И это будет честно и понятно. Правда, тогда ты и ответственность должен нести за оплачиваемую тебе работу. Но тут блогер вдруг вспоминает 👨💻, что он вообще-то в другом месте работает, а канал это так, для души и претензии к качеству и частоте публикаций не принимаются. Ну так, глядь, ты либо крестик сними, либо трусы надень. Просто делишься своим мнением, которое интересно еще кому-то кроме тебя? Прекрасно. Деньги только за это брать не надо ❌ Делишься своим трудом? Бери бабки, но и отвечай соответственно.
А я не блогер - я по любви. То есть не профессионал, а любитель 🫰 Денег не беру и не планирую. А если вдруг решу, то так честно и напишу, но только брать деньги буду пост-фактум. Нравится? Платишь за результат 🤑 Не нравится? Не плати, но и не читай тогда. Но пока не планирую. Вот книгу допишу, опубликую для всех и предложу заплатить только если понравилось или было полезно ✍️
Вот о чем я думаю в воскресенье после активной недели с несколькими мероприятиями, прошедшими в двух столицах. Правда, есть еще одно, что меня сейчас волнует, а именно, чем нудисты на пляже очки протирают. Но это к ИБ уже не относится 🏝
Если ты завел канал ради бабок, так и пиши честно ✍️ Хочу, мол, бабла за то, что свое время трачу на репост чужих новостей для вас олухов и дармоедов. А если я пересказал вам публично доступный документ, который любой GPT или NotebookLM автоматически разложит в майндкарту, то будьте добры вдвойне бабла отсыпать 🤑
И это будет честно и понятно. Правда, тогда ты и ответственность должен нести за оплачиваемую тебе работу. Но тут блогер вдруг вспоминает 👨💻, что он вообще-то в другом месте работает, а канал это так, для души и претензии к качеству и частоте публикаций не принимаются. Ну так, глядь, ты либо крестик сними, либо трусы надень. Просто делишься своим мнением, которое интересно еще кому-то кроме тебя? Прекрасно. Деньги только за это брать не надо ❌ Делишься своим трудом? Бери бабки, но и отвечай соответственно.
А я не блогер - я по любви. То есть не профессионал, а любитель 🫰 Денег не беру и не планирую. А если вдруг решу, то так честно и напишу, но только брать деньги буду пост-фактум. Нравится? Платишь за результат 🤑 Не нравится? Не плати, но и не читай тогда. Но пока не планирую. Вот книгу допишу, опубликую для всех и предложу заплатить только если понравилось или было полезно ✍️
Вот о чем я думаю в воскресенье после активной недели с несколькими мероприятиями, прошедшими в двух столицах. Правда, есть еще одно, что меня сейчас волнует, а именно, чем нудисты на пляже очки протирают. Но это к ИБ уже не относится 🏝
06.04.202506:40
Я на выступлении про чеклист ✔️ по безопасности подрядчиков на "Территории безопасности" упоминал кейс, который сейчас очень ярко иллюстрирует Oracle. Напомню, что их взломали (дважды за неделю, но второй кейс сейчас не так интересен), но они пошли в отказ, заявив "ви фсё врёте" 🫢 И формально они правы, так как искусно манипулируют словами. Хакеры заявили о взломе Oracle Cloud. ИТ-гигант выпускает заявление, что нет, Oracle Cloud никто не ломал. Потом выясняется, что и правда, сломали Oracle Cloud Classic (всего одно слово разницы), которая тоже принадлежит компании Ларри Эллисона. Но PR отрабатывает первое заявление, игнорируя все последующие уточнения 🤐
Схожая история бывает и у компаний, которые хостят часть своих систем на внешних площадках (SaaS-платформы, веб-хостинги, файлохранилища, промо-сайты и т.п.). И когда их ломают, они сразу же переводят стрелки, - это не нас взломали, это их, и показывают пальцем на нерадивых подрядчиков 🫵 Но, господа, это же откровенный звиздеж. Это ваша система. Вы ее владелец. Вы определяете цели ее функционирования, ее наполнение, обновление ее контента. Да, для экономии вы переложили часть технических функций на подрядчика. Но это же не меняет того, что система ваша 🫵
Если вы не установили требований к подрядчикам и не контролировали их исполнение, то кто же в этом виноват, кроме вас самих? 🫵 Да, подрядчик тоже накосячил и да, он может понести ответственность, но только субсидиарную и только если вы докажете, что он не выполнял установленные вами требования. А если требований не было, то звиняйте, это целиком ваша вина, ваша ответственность и перекладывать ее на кого-то еще - некомильфо (хотя и понятно желание свалить всю вину на других) 🤠
Сюда бы я отнес и историю с тестовыми стендами, как в истории с тем же Phishman, которого недавно взломали. Это же тоже некая манипуляция словами. Мол - это не прод, а это тестовый стенд. Это не реальные данные, а синтетические. Ущерба нет, значит и инцидента нет. Ну такое себе оправдание, если честно 🤔
#инцидент #антикризис #supplychain
Схожая история бывает и у компаний, которые хостят часть своих систем на внешних площадках (SaaS-платформы, веб-хостинги, файлохранилища, промо-сайты и т.п.). И когда их ломают, они сразу же переводят стрелки, - это не нас взломали, это их, и показывают пальцем на нерадивых подрядчиков 🫵 Но, господа, это же откровенный звиздеж. Это ваша система. Вы ее владелец. Вы определяете цели ее функционирования, ее наполнение, обновление ее контента. Да, для экономии вы переложили часть технических функций на подрядчика. Но это же не меняет того, что система ваша 🫵
Если вы не установили требований к подрядчикам и не контролировали их исполнение, то кто же в этом виноват, кроме вас самих? 🫵 Да, подрядчик тоже накосячил и да, он может понести ответственность, но только субсидиарную и только если вы докажете, что он не выполнял установленные вами требования. А если требований не было, то звиняйте, это целиком ваша вина, ваша ответственность и перекладывать ее на кого-то еще - некомильфо (хотя и понятно желание свалить всю вину на других) 🤠
Сюда бы я отнес и историю с тестовыми стендами, как в истории с тем же Phishman, которого недавно взломали. Это же тоже некая манипуляция словами. Мол - это не прод, а это тестовый стенд. Это не реальные данные, а синтетические. Ущерба нет, значит и инцидента нет. Ну такое себе оправдание, если честно 🤔
#инцидент #антикризис #supplychain
05.04.202517:31
А что, вайб кибербеза еще не придумали?
#мем
#мем
05.04.202512:03
Приложение "Турецких авиалиний" ✈️ понимает пароли не более 6 знаков максимум и это должны быть только цифры!!! Вспоминая регулярно обновляемую табличку от Hive Systems, определяем, что такой пароль ломается за 1 секунду. И если кто-то получит доступ к приложению, то он может списать все бонусные мили, купить на них на любое имя билет, заказать себе гостиницу и т.п. ✈️ То есть ущерб можно нанести несопоставимый с затратами разработчиков на снятие ограничения на максимальную длину пароля (про включение MFA уже и не говорю).
#аутентификация
#аутентификация
05.04.202506:48
05.04.202506:48
Давно «подзабытый», но все еще активно используемый Fast Flux (быстрая смена DNS-записей для ухода от обнаружения вредоносных ресурсов, C2-доменов, фишинговых сайтов и т.п.) вдруг попал в прицел спецслужб 🇺🇸 альянса "пяти глаз", которые выпустили соответствующий бюллетень на эту тему. Достаточно неплохой обзор, включая и методы обнаружения 🖥
#malware #ttp
#malware #ttp
Пераслаў з:
Вредные советы по ИБ 🌦
04.04.202517:38
Если как-то вас взломали,
Много данных увели,
Не спешите признаваться,
Что вам, в общем, все равно.
Подготовьтесь хорошенько,
Помолчите, денька два.
А потом всем обьявите,
Что критичных данных нет.
Много данных увели,
Не спешите признаваться,
Что вам, в общем, все равно.
Подготовьтесь хорошенько,
Помолчите, денька два.
А потом всем обьявите,
Что критичных данных нет.
04.04.202517:38
поставил патч - тебя не хачат
не ставил - хакнут в тот же миг
просты законы у природы
и ими можно управлять
ЗЫ. А вам еще один канал для поднятия настроения 👇
#юмор
не ставил - хакнут в тот же миг
просты законы у природы
и ими можно управлять
ЗЫ. А вам еще один канал для поднятия настроения 👇
#юмор
04.04.202513:12
Один из трех основных способов взлома компаний 🔓 - это использование утекших учеток и паролей (помимо социальной инженерии и уязвимостей на публично доступных ресурсах). И пароли для доступа могут быть взяты не только из различных утечек, которые циркулируют на черном и не очень рынке. Есть и другие источники, например, хранящиеся в открытом виде пароли на компьютере, в различных приложениях и файлах 🔻 Особенно у админов и разрабов.
Когда спрашивают, а как PT Dephaze 😈 осуществляет свое продвижение по корпоративной сети, автоматически переходя от узла к узлу в рамках автоматического пентеста, ответ простой - он с помощью встроенного ИИ-агента ищет в указанных на картинке локациях и найдя учетки в открытом виде 🫢, использует их для расширения плацдарма и развития контролируемой атаки. Так что стоит провести с админами небольшую работу по тому, как правильно хранить секреты на своем рабочем месте и подкрепить это средствами автоматизации. Ну и в отношении подрядчиков вписать это в соответствующую политику ИБ 🤔
#оценказащищенности #аутентификация
Когда спрашивают, а как PT Dephaze 😈 осуществляет свое продвижение по корпоративной сети, автоматически переходя от узла к узлу в рамках автоматического пентеста, ответ простой - он с помощью встроенного ИИ-агента ищет в указанных на картинке локациях и найдя учетки в открытом виде 🫢, использует их для расширения плацдарма и развития контролируемой атаки. Так что стоит провести с админами небольшую работу по тому, как правильно хранить секреты на своем рабочем месте и подкрепить это средствами автоматизации. Ну и в отношении подрядчиков вписать это в соответствующую политику ИБ 🤔
#оценказащищенности #аутентификация
04.04.202509:23
В понедельник, в Москве, пройдет конференция "Защита данных" (если вдруг кому надо, то промокод для бесплатной регистрации - ИББ25), на которой, как это ни странно, не будет ни слова сказано о безопасности подрядчиков. А зачем, если я почти все уже сказал в своей презентации на мероприятия "Территория безопасности 2025" 🛡
И так как данные нередко утекают именно через контрагентов и партнеров, то по договоренности с организаторами конференции "PRO безопасность подрядчиков" выкладываю свою презентацию про формирование чеклиста по тому, какие требования к подрядчикам устанавливать и как их контролировать ✔️ Надеюсь, она хорошо дополнит программу понедельничной конференции.
ЗЫ. Есть подозрение, что выделенных мне 40 минут было недостаточно для раскрытия темы. Так что проведу скоро расширенный вебинар с бОльшим погружением в тему и конкретными примерами ⏳ Анонс, конечно же, будет тут, в канале 🤠
ЗЫ. Кстати, на конференции "Защита данных" будут рассказывать о "единой платформе с нулевым уровнем доверия" 🤔 Ох уж этот беспощадный нейминг и бездумный перевод на русский язык англоязычных терминов. Что "цепочка поставок" (supply chain), что "горизонтальное перемещение" (lateral movement), что вот теперь "платформа с нулевым уровнем доверия" (zero trust platform). Копирайтер не понимает разве, что словосочетание "платформа с нулевым уровнем доверия", кардинально меняет смысл и звучит негативно? 🤔
#чеклист #supplychain
И так как данные нередко утекают именно через контрагентов и партнеров, то по договоренности с организаторами конференции "PRO безопасность подрядчиков" выкладываю свою презентацию про формирование чеклиста по тому, какие требования к подрядчикам устанавливать и как их контролировать ✔️ Надеюсь, она хорошо дополнит программу понедельничной конференции.
ЗЫ. Есть подозрение, что выделенных мне 40 минут было недостаточно для раскрытия темы. Так что проведу скоро расширенный вебинар с бОльшим погружением в тему и конкретными примерами ⏳ Анонс, конечно же, будет тут, в канале 🤠
ЗЫ. Кстати, на конференции "Защита данных" будут рассказывать о "единой платформе с нулевым уровнем доверия" 🤔 Ох уж этот беспощадный нейминг и бездумный перевод на русский язык англоязычных терминов. Что "цепочка поставок" (supply chain), что "горизонтальное перемещение" (lateral movement), что вот теперь "платформа с нулевым уровнем доверия" (zero trust platform). Копирайтер не понимает разве, что словосочетание "платформа с нулевым уровнем доверия", кардинально меняет смысл и звучит негативно? 🤔
#чеклист #supplychain
Рэкорды
07.04.202523:59
29.3KПадпісчыкаў31.03.202523:59
100Індэкс цытавання20.02.202506:42
8.7KАхоп 1 паста22.02.202507:00
7KАхоп рэкламнага паста21.09.202423:59
5.68%ER20.02.202506:42
30.63%ERRПераслаў з:
Разговор с футурологом
13.03.202512:06
🤔 Когда ИИ помогает хакерам проникнуть в компанию через... HR?
История, которая заставляет задуматься: стартап Vidoc Security, занимающийся автоматизированным поиском уязвимостей в коде, дважды чуть не нанял несуществующих людей.
Компания, основанная двумя этичными хакерами, привлекла инвестиции и начала активно расширять команду, но в процессе найма столкнулась с изощренной попыткой проникновения.
⚡️Как это было
Первый случай выглядел почти идеально — кандидат блестяще прошел технические интервью, показал глубокое понимание технологий и произвел отличное впечатление на команду.
Единственное, что настораживало — несоответствия в биографии: он утверждал, что из Польши, но не говорил по-польски, причем серьезные сомнения в его личности появились только на финальном этапе.
Через два месяца история повторилась. Но теперь команда была готова и смогла получить доказательства использования ИИ-фильтров во время видеоинтервью. Кандидат отказался выполнить простую просьбу — закрыть лицо рукой.
⚡️Зачем и в чем подвох?
Возникает логичный вопрос — зачем кому-то прикладывать столько усилий для трудоустройства? Создавать фальшивые документы, применять ИИ для маскировки, разрабатывать убедительную легенду — это явно не поведение обычного соискателя.
Есть гипотеза, что это целенаправленная попытка хакеров внедриться в организацию. Выбор цели не случаен — молодой стартап в сфере кибербезопасности, работающий полностью удаленно, с доступом к чувствительному коду клиентов и, возможно, не самыми строгими процессами проверки.
Уровень подготовки атакующих впечатляет. Они демонстрировали реальные глубокие технические знания, использовали качественные поддельные документы, применяли передовые технологии маскировки и создали убедительную цифровую личность. После первой неудачи последовала вторая попытка — предположительно теми же людьми, судя по схожести голосов.
Методичность атаки проявляется в деталях — изучение локальных площадок для поиска работы, создание правдоподобных профилей из Восточной Европы, глубокое понимание процессов найма и их уязвимых мест.
⚡️Опять новая реальность!
Мы не первый год говорим о том, что современные технологии ИИ открывают новые возможности для социальной инженерии, а традиционные проверки перестают работать: поддельные документы выглядят идеально, цифровой след безупречен, а собеседование по видео больше не гарантирует, что вы общаетесь с реальным человеком.
🎯 Парадокс в том, что все эти проверки — не компетенция HR. Понятное дело, что в любой компании даже HR-специалист должен быть немного специалистом по информационной безопасности — но насколько глубоким?
Как дальше будет выглядеть процесс найма? Что требовать от кандидата — закрыть лицо рукой, спеть песню, совершить прыжок с переворотом?
P.S.: Вы уверены, что ваш последний кандидат — настоящий? 😂
P.P.S.: А может это просто очень талантливый пиар молодого стартапа? 🤔
@yusufovruslan
История, которая заставляет задуматься: стартап Vidoc Security, занимающийся автоматизированным поиском уязвимостей в коде, дважды чуть не нанял несуществующих людей.
Компания, основанная двумя этичными хакерами, привлекла инвестиции и начала активно расширять команду, но в процессе найма столкнулась с изощренной попыткой проникновения.
⚡️Как это было
Первый случай выглядел почти идеально — кандидат блестяще прошел технические интервью, показал глубокое понимание технологий и произвел отличное впечатление на команду.
Единственное, что настораживало — несоответствия в биографии: он утверждал, что из Польши, но не говорил по-польски, причем серьезные сомнения в его личности появились только на финальном этапе.
Через два месяца история повторилась. Но теперь команда была готова и смогла получить доказательства использования ИИ-фильтров во время видеоинтервью. Кандидат отказался выполнить простую просьбу — закрыть лицо рукой.
⚡️Зачем и в чем подвох?
Возникает логичный вопрос — зачем кому-то прикладывать столько усилий для трудоустройства? Создавать фальшивые документы, применять ИИ для маскировки, разрабатывать убедительную легенду — это явно не поведение обычного соискателя.
Есть гипотеза, что это целенаправленная попытка хакеров внедриться в организацию. Выбор цели не случаен — молодой стартап в сфере кибербезопасности, работающий полностью удаленно, с доступом к чувствительному коду клиентов и, возможно, не самыми строгими процессами проверки.
Уровень подготовки атакующих впечатляет. Они демонстрировали реальные глубокие технические знания, использовали качественные поддельные документы, применяли передовые технологии маскировки и создали убедительную цифровую личность. После первой неудачи последовала вторая попытка — предположительно теми же людьми, судя по схожести голосов.
Методичность атаки проявляется в деталях — изучение локальных площадок для поиска работы, создание правдоподобных профилей из Восточной Европы, глубокое понимание процессов найма и их уязвимых мест.
⚡️Опять новая реальность!
Мы не первый год говорим о том, что современные технологии ИИ открывают новые возможности для социальной инженерии, а традиционные проверки перестают работать: поддельные документы выглядят идеально, цифровой след безупречен, а собеседование по видео больше не гарантирует, что вы общаетесь с реальным человеком.
🎯 Парадокс в том, что все эти проверки — не компетенция HR. Понятное дело, что в любой компании даже HR-специалист должен быть немного специалистом по информационной безопасности — но насколько глубоким?
Как дальше будет выглядеть процесс найма? Что требовать от кандидата — закрыть лицо рукой, спеть песню, совершить прыжок с переворотом?
P.S.: Вы уверены, что ваш последний кандидат — настоящий? 😂
P.P.S.: А может это просто очень талантливый пиар молодого стартапа? 🤔
@yusufovruslan
Пераслаў з:Религия, культура и Оксана сбоку
06.04.202517:29
"Волк и семеро козлят" в стиле киберпанк 😊 Оригинал - тут
03.04.202504:40
Дмитрий тут написал у себя, что очень плохо, когда ВУЗы перестают учить студентов на базе Windows 📱 Александр пишет, что нет, все правильно, долой супостатов. А я обращу внимание на другой аспект этой проблемы. В борьбе за суверенитет, у нас многие забыли, что заниматься надо не импортозамещением, а ростом экспортопригодности своих решений 🪟 Тогда запрещать не надо будет - пользователи сами будут переходить на отечественное, которое лучше (в реальности, а не на словах) иностранных аналогов.
А пока мы зарываем голову в песок, блокируя использование всего иностранного ⛔️ А я задам сакраментальный вопрос - а как потом проводитьнаступательные разведывательные операции в киберпространстве, если не останется тех, кто знает, как выглядит Windows? 🪟 А дыры искать в зарубежных продуктах как, если прописывают требования по их запрету? Можно возразить, что и не надо искать. Надо выстроить железный занавес и жить в своем уютном ламповом мирке, в котором нет места иностранщине ☕️ Вот только как быть тем, кто стремиться нести свет российских технологий зарубеж, начиная с дружественных и заканчивая не очень странами?
Все эти страны, практически без исключения, импортозамещением не страдают, так как не могут себе позволить развивать с нуля ИТ-отрасль (даже если бы и хотели). И они используют иностранные ИТ-продукты, которые мы смело отметаем 📱 И как российской компании с международными амбициями в таком случае себя вести? И это я еще не вспоминаю про дурацкий запрет, который вступает в силу с 1 сентября, который запрещает российским компаниям любую рекламу в запрещенных и заблокированных в России соцсетях и ресурсах 📱 И вот что мне делать, если я 2-го сентября захочу через LinkedIn или иную какую экстремистскую соцсеть пригласить иностранных коллег на стенд 🟥 на конференции GITEX в Дубае?
Ох, как прав был Лавров... Заставь дураков Богу молиться... 🤦♂️ Вместо того, чтобы развивать свое, запрещают чужое. Это же проще - росчерк пера ✍️ и можно отчитываться.
#суверенитет
А пока мы зарываем голову в песок, блокируя использование всего иностранного ⛔️ А я задам сакраментальный вопрос - а как потом проводить
Все эти страны, практически без исключения, импортозамещением не страдают, так как не могут себе позволить развивать с нуля ИТ-отрасль (даже если бы и хотели). И они используют иностранные ИТ-продукты, которые мы смело отметаем 📱 И как российской компании с международными амбициями в таком случае себя вести? И это я еще не вспоминаю про дурацкий запрет, который вступает в силу с 1 сентября, который запрещает российским компаниям любую рекламу в запрещенных и заблокированных в России соцсетях и ресурсах 📱 И вот что мне делать, если я 2-го сентября захочу через LinkedIn или иную какую экстремистскую соцсеть пригласить иностранных коллег на стенд 🟥 на конференции GITEX в Дубае?
Ох, как прав был Лавров... Заставь дураков Богу молиться... 🤦♂️ Вместо того, чтобы развивать свое, запрещают чужое. Это же проще - росчерк пера ✍️ и можно отчитываться.
#суверенитет
02.04.202504:40
Рафик Риман выпустил очередную карту знаний и навыков 🗺, которыми, по его мнению, должен обладать CISO. Так как карту осилить может не только лишь каждый, выделено 6 фокусных направлений:
1️⃣ Защита GenAI 🧠 В прошлом году Рафик обращал внимание на то, что CISO должен заняться GenAI, а в этом уже и защитить его. Как по мне, так это скорее должна была быть прошлогодняя рекомендация, а в этом надо уже говорить об ИИ-агентах, о которых Рафик почему-то молчит.
2️⃣ Консолидация средств защиты либо через экосистемный подход (все от одного вендора), либо через зоопарк лучших решений, но при наличии у них нормального развитого API.
3️⃣ Закрытие технического долга ИБ перед бизнесом в виде непатченных дыр и недочетов в архитектуре 🏗
4️⃣ Шифровальщики и киберустойчивость. Что шифровальщики делают в рекомендациях на 25-26-й годы не очень понятно, ну да ладно.
5️⃣ Содержательные метрики. У каждого понятие свое, но мысль Рафика в том, что надо уходить от операционных метрик к тому, что показывает результат для бизнеса. Плюсую 👍
6️⃣ Цифровая гигиена, но не в привычном смысле, а на более продвинутом уровне, - защита API, полная видимость, уменьшение поверхности атаки, снижение сложности, управление подрядчиками. Ну тоже как бы не этого года рекомендация, а прошедших пары лет 🤔
В комментариях к посту с анонсом, среди восторженных восклицаний, пришел один человек и написал: ✍️
Переводить, как мне кажется, не нужно - все и так понятно. Год от года карта усложняется 🗺 и в ней все сложнее разобраться и реализовать все написанное. Соглашусь с этим тезисом, но с другой стороны я не вижу варианта решения этой проблемы 🤷♀️ В сферу внимания CISO попадает все больше направлений, а значит и знаний должно быть больше.
У Адизеса, в его книгах по типам руководителей, эта проблема очень хорошо описана (правда, в другом контексте) 🧐 Нет руководителя, который бы включал в себя все свойства, которые должны быть. Это значит, что хороший руководитель должен распознать свои сильные стороны, а слабые усилить за счет подчиненных. Так, наверное, и с картой Римана, - не можешь сам, ищи подчиненных, которые "закроют" нужные темы и при этом которым ты доверяешь 🤔
Из этого следует, наверное, интересный вывод 🤔 CISO в некрупной компании, у которого нет в подчинении десятков и сотен людей, вынужден разбираться во всех этих самостоятельно, а значит он, по идее, на голову выше CISO крупной компании (с точки зрения хардскиллов, как минимум). По мере "взросления" и попадания во все более крупные компании, хардскиллы 🤔 уходят и им на смену приходят софтскиллы - компромиссы, умение выстраивать диалоги с бизнесом, командообразование и т.п. Ну или не приходит и тогда большой начальник большой только по должности, но не по знаниям/навыкам/уважению... 😱 Собственно, как и "маленький" CISO не обязательно знает всю карту Римана - он вполне может быть занят операционкой и на все остальное у него просто не хватает времени.
#ciso #тенденции
1️⃣ Защита GenAI 🧠 В прошлом году Рафик обращал внимание на то, что CISO должен заняться GenAI, а в этом уже и защитить его. Как по мне, так это скорее должна была быть прошлогодняя рекомендация, а в этом надо уже говорить об ИИ-агентах, о которых Рафик почему-то молчит.
2️⃣ Консолидация средств защиты либо через экосистемный подход (все от одного вендора), либо через зоопарк лучших решений, но при наличии у них нормального развитого API.
3️⃣ Закрытие технического долга ИБ перед бизнесом в виде непатченных дыр и недочетов в архитектуре 🏗
4️⃣ Шифровальщики и киберустойчивость. Что шифровальщики делают в рекомендациях на 25-26-й годы не очень понятно, ну да ладно.
5️⃣ Содержательные метрики. У каждого понятие свое, но мысль Рафика в том, что надо уходить от операционных метрик к тому, что показывает результат для бизнеса. Плюсую 👍
6️⃣ Цифровая гигиена, но не в привычном смысле, а на более продвинутом уровне, - защита API, полная видимость, уменьшение поверхности атаки, снижение сложности, управление подрядчиками. Ну тоже как бы не этого года рекомендация, а прошедших пары лет 🤔
В комментариях к посту с анонсом, среди восторженных восклицаний, пришел один человек и написал: ✍️
This is really #horrifying. And I can understand nobody wants to be a CISO seeing this. I think your knowledge of the function of security management could be used to do the oposite. I'm thinking of Steve Jobs: "Simple can be harder than complex:
You have to work hard to get your thinking clean to make it simple. But it's worth it in the end because once you get there, you can move mountains." I think he's right: it's much harder to make something simple than making it complex - as in your scheme. Nevertheless, I recommend you give it a try.
Your knowledge of security management should have to be sufficient to deliver that.
Переводить, как мне кажется, не нужно - все и так понятно. Год от года карта усложняется 🗺 и в ней все сложнее разобраться и реализовать все написанное. Соглашусь с этим тезисом, но с другой стороны я не вижу варианта решения этой проблемы 🤷♀️ В сферу внимания CISO попадает все больше направлений, а значит и знаний должно быть больше.
У Адизеса, в его книгах по типам руководителей, эта проблема очень хорошо описана (правда, в другом контексте) 🧐 Нет руководителя, который бы включал в себя все свойства, которые должны быть. Это значит, что хороший руководитель должен распознать свои сильные стороны, а слабые усилить за счет подчиненных. Так, наверное, и с картой Римана, - не можешь сам, ищи подчиненных, которые "закроют" нужные темы и при этом которым ты доверяешь 🤔
Из этого следует, наверное, интересный вывод 🤔 CISO в некрупной компании, у которого нет в подчинении десятков и сотен людей, вынужден разбираться во всех этих самостоятельно, а значит он, по идее, на голову выше CISO крупной компании (с точки зрения хардскиллов, как минимум). По мере "взросления" и попадания во все более крупные компании, хардскиллы 🤔 уходят и им на смену приходят софтскиллы - компромиссы, умение выстраивать диалоги с бизнесом, командообразование и т.п. Ну или не приходит и тогда большой начальник большой только по должности, но не по знаниям/навыкам/уважению... 😱 Собственно, как и "маленький" CISO не обязательно знает всю карту Римана - он вполне может быть занят операционкой и на все остальное у него просто не хватает времени.
#ciso #тенденции
07.04.202509:30
Не устаревает до сих пор 😏
Хотя в тех редких случаях, когда я был преподом в ВУЗе и принимал экзамены, я все-таки спрашивал и, иногда, заваливал студентов, которые болт клали на предмет. Но вот не ходить на лекции разрешал 🤔
Но тогда не было ИИ, а сейчас он есть 🫡 Так что конкуренция за место под солнцем усилилась и те, кто постоянно не учатся, обречены на то, что будут выброшены на свалку истории 💀
#обучение
Смотрю, как студенты понтуются, кто из них больше ни фига не делал и всё сдал.
Эх...
Когда я был студентом, я сдавал право одной очень милой женщине. Она была практикующим юристом, и я ожидал, что такой специалист меня сейчас будет гонять от и до по всему конспекту.
Она посмотрела на меня и, ничего не спрашивая, поинтересовалась:
- Оценку вам какую ставить?
- Э... Пять хотелось бы
- Отлично, - сказала она, и стала писать в зачётке
- А вы что, даже ничего спрашивать не будете? - удивился я.
Она оторвалась от заполнения зачётки, внимательно посмотрела на меня и сказала:
- Запомните, молодой человек, чем меньше вы знаете, тем более ценна я как специалист.
Эта фраза мне запомнилась на всю жизнь и больше я не страдал фигнёй во время занятий.
И сейчас самое время мне, уже доценту и одновременно практикующему проектировщику зданий, повторить то же самое:
Господа студенты, не учитесь, пожалуйста! Старайтесь как можно больше получить на халяву! Чем меньше вы знаете по окончании института, тем более ценен я как специалист и тем большую зарплату я могу потребовать за свои услуги!
Хотя в тех редких случаях, когда я был преподом в ВУЗе и принимал экзамены, я все-таки спрашивал и, иногда, заваливал студентов, которые болт клали на предмет. Но вот не ходить на лекции разрешал 🤔
Но тогда не было ИИ, а сейчас он есть 🫡 Так что конкуренция за место под солнцем усилилась и те, кто постоянно не учатся, обречены на то, что будут выброшены на свалку истории 💀
#обучение
25.03.202509:39
Тот редкий случай, когда я выступал не на тему кибербеза, а про то, как выступать на тему кибербеза 🗣 Для внутренних целей запилил мини-курс по тому, как готовиться к выступлению, как готовить презентацию, как выступать и работать с аудиторией. Подсобрал немного лайфхаков, оформил их в презентацию и поделился в режиме диалога с коллегами 📈 Вроде получилось недурственно. Как минимум, мне самому понравилось - подсобрал вместе свои наработки в этой сфере. Если вдруг случится небывалое и я покину кибербез 😲, смогу заняться преподаванием на курсах по Presentation Skills.
Презой делиться не буду - слишком много там внутренней кухни 🟥 про то, как выступать перед разными целевыми аудиториями и спикерам из разных подразделений и разного уровня иерархии, про то, как это все соотносится с проводимыми нами мероприятиями, с примерами удачных и неудачных выступлений и презентаций и т.п. Но если вдруг мне понадобится где-то читать такое же для другой аудитории - добавить туда другой специфики будет несложно 🙂
Презой делиться не буду - слишком много там внутренней кухни 🟥 про то, как выступать перед разными целевыми аудиториями и спикерам из разных подразделений и разного уровня иерархии, про то, как это все соотносится с проводимыми нами мероприятиями, с примерами удачных и неудачных выступлений и презентаций и т.п. Но если вдруг мне понадобится где-то читать такое же для другой аудитории - добавить туда другой специфики будет несложно 🙂
11.03.202504:40
США 🇺🇸 (спокойно, но твердо): Мы прекратили передачу Украине данных разведки для наведения HIMARS.
Украина 🇺🇦 (в панике): Но без них это просто дорогая груда металла! Мы рассчитывали на вас!
США 🇺🇸 (сдержанно): Мы пересматриваем стратегию поддержки.
Украина 🇺🇦 (раздраженно): А что насчет F-16? Вчера они вдруг перестали работать!
США 🇺🇸 (уклончиво): Технические сложности случаются.
Европа 🇪🇺 (в шоке): Подождите… Мы тут изучили поставляемые нам F-35 и обнаружили, что в них встроен дистанционный “kill switch”! Вы можете просто отключить наши истребители по своему желанию?!
США 🇺🇸 (невозмутимо): Мы обеспечиваем контроль над критическими технологиями.
Европа 🇪🇺 (возмущенно): Но мы же союзники! Мы вам доверяли! Мы думали, что такие вещи применимы только к “странам-изгоям”, но не к нам!
США 🇺🇸 (молчат).
Россия 🇷🇺 (ухмыляясь): Ну что, теперь поняли? Мы вас предупреждали.
Китай 🇨🇳 (со спокойной улыбкой): Интересно… Значит, ваш “партнер” может отключить вашу армию одним нажатием кнопки? Как удобно.
Иран 🇮🇷 (саркастично): А мы-то думали, что это только у нас санкции и кибератаки. Оказывается, даже союзники США ходят по тонкому льду.
Северная Корея 🇰🇵 (с презрительной усмешкой): Ха! Вы называете это “суверенитетом”? Наш Великий Лидер давно предупреждал об империалистических уловках Запада!
Страны третьего мира (переговариваясь между собой): Так вот почему они так настаивали, чтобы мы покупали только их оружие… Значит, если мы не будем им нравиться, они просто “выключат” нашу армию?
Некоторые африканские страны (со скепсисом): Может, пора пересмотреть, кого считать надежным партнером?
Латиноамериканские страны (раздумывая): Пожалуй, начнем закупать вооружение у тех, кто не имеет привычки его “отключать”.
США 🇺🇸 (все так же молчат).
ЗЫ. Все совпадения случайно и вообще этот канал про кибербезопасность.
#суверенитет
Украина 🇺🇦 (в панике): Но без них это просто дорогая груда металла! Мы рассчитывали на вас!
США 🇺🇸 (сдержанно): Мы пересматриваем стратегию поддержки.
Украина 🇺🇦 (раздраженно): А что насчет F-16? Вчера они вдруг перестали работать!
США 🇺🇸 (уклончиво): Технические сложности случаются.
Европа 🇪🇺 (в шоке): Подождите… Мы тут изучили поставляемые нам F-35 и обнаружили, что в них встроен дистанционный “kill switch”! Вы можете просто отключить наши истребители по своему желанию?!
США 🇺🇸 (невозмутимо): Мы обеспечиваем контроль над критическими технологиями.
Европа 🇪🇺 (возмущенно): Но мы же союзники! Мы вам доверяли! Мы думали, что такие вещи применимы только к “странам-изгоям”, но не к нам!
США 🇺🇸 (молчат).
Россия 🇷🇺 (ухмыляясь): Ну что, теперь поняли? Мы вас предупреждали.
Китай 🇨🇳 (со спокойной улыбкой): Интересно… Значит, ваш “партнер” может отключить вашу армию одним нажатием кнопки? Как удобно.
Иран 🇮🇷 (саркастично): А мы-то думали, что это только у нас санкции и кибератаки. Оказывается, даже союзники США ходят по тонкому льду.
Северная Корея 🇰🇵 (с презрительной усмешкой): Ха! Вы называете это “суверенитетом”? Наш Великий Лидер давно предупреждал об империалистических уловках Запада!
Страны третьего мира (переговариваясь между собой): Так вот почему они так настаивали, чтобы мы покупали только их оружие… Значит, если мы не будем им нравиться, они просто “выключат” нашу армию?
Некоторые африканские страны (со скепсисом): Может, пора пересмотреть, кого считать надежным партнером?
Латиноамериканские страны (раздумывая): Пожалуй, начнем закупать вооружение у тех, кто не имеет привычки его “отключать”.
США 🇺🇸 (все так же молчат).
ЗЫ. Все совпадения случайно и вообще этот канал про кибербезопасность.
#суверенитет
07.04.202504:40
Легонькая статья о том, как общаться с топ-менеджерами про кибербезопасность, в которой приводится магическое число советов, то есть семь, которым надо следовать, когда вы хотите купить новые решения по ИБ: 🧐
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.
#ciso #топменеджмент
1️⃣ Говорите о ценности для бизнеса, а не фичах. Операционная эффективность, экономия, конкурентные преимущества, удовлетворенность клиентов... Но точно не про сертификаты ФСТЭК, пропускную способность и количество сигнатур.
2️⃣ Нарисуйте четкую картину того, что поставлено на карту 🎨
3️⃣ Превратите метрики в истории о том, что волнует топов. Не цифры убеждают, а истории, захватывающие внимание и основанные на цифрах.
4️⃣ Успех редко достигается в одиночку. Найдите тех, с кем создадите альянс, - финансы, риски, ИТ... Больше голосов - меньше шансов, что вас не заметят 🤝
5️⃣ Безопасность как катализатор инноваций.
6️⃣ Говорите о стоимости, но в контексте получаемой ценности. Просто цифры затрат не помогут решить вашу задачу ⚖️
7️⃣ Фокусируйтесь на легкости внедрения и уменьшении страха топ-менеджеров, что этот процесс может привести к простоям, трате лишних ресурсов и т.п.
#ciso #топменеджмент
Увайдзіце, каб разблакаваць больш функцый.