20-річчя OWASP і до чого тут українська компанія BSG

Нестримної гордості пост. Цього року Open Web Application Security Project (OWASP) виповнюється 20 років і наша компанія BSG є спонсором цієї історичної події.

Місія нашої компанії – допомагати нашим клієнтам розробляти безпечні та надійні системи. Для цього ми діємо безпосередньо – надаючи консалтингові послуги світового класу, і опосередковано – сприяючи розвитку професії та галузі кібербезпеки. І сьогодні я з гордістю повідомляю, що BSG є спонсором святкування 20-ї річниці OWASP – віртуальної глобальної події, що відбудеться 24 вересня 2021 року.

Продовжити читання “20-річчя OWASP і до чого тут українська компанія BSG”

Кіберзлочинність стала темою переговорів на вищому рівні

Тема розгулу російських ransomware-банд стала однією з центральних на саміті США-Росія. Але це навряд чи щось змінить і ось чому.

Ще зо п‘ять років тому, я б цьому не повірив, але все змінюється. Загроза криптовимагачів та інших кіберзлочинців для Штатів дуже серйозна, а Росіянам на це дуже наплювати. Як наслідок, саміт є, а толку немає. Поясню чому.

Спочатку про фактаж. Саміт відбувся, лідери двох країн зустрілися та обмінялися думками. За результатами обговорення, були сформульовані наступні дії. План такий: доручити експертам з обох сторін пропрацювати проблему, дійти згоди, та домовитися про план співпраці.

Тепер стисло: як каже Костя Корсун, зібралися, побалакали, розійшлися. Практичного результату ноль. Єдиний корисний наслідок – це демонстрація важливості проблеми.

Продовжити читання “Кіберзлочинність стала темою переговорів на вищому рівні”

Кібератака на Kaseya: неПетя для США

Кібератака криптоздирників REvil на компанію Kaseya та її клієнтів – це найбільша операція кібервимагачів в історії та справжній «notPetya moment» для США.

Пам‘ятаєте, я колись казав, що кібератака на Colonial Pipeline стала «моментом неПетя» для сполучених штатів? Я помилявся. Цим моментом стала кібератака на компанію Kaseya.

Kaseya виробляє програму для віддаленого контролю за великими флотиліями комп‘ютерів у гігантських територіально розподілених ІТ-інфраструктурах (VSA). Користуються нею великі транснаціональні корпорації та MSP (Managed Service Providers) – компанії, які надають послуги ІТ-адміністрування меншим організаціям.

Продовжити читання “Кібератака на Kaseya: неПетя для США”

Вимкніть Printer Spooler сервіс у Windows

У MS Windows знайдено критичну вразливість (CVE-2021-1675 aka #PrintNightmare), яка дозволяє віддаленому зловмиснику виконувати довільний код з найвищими привілеями. Якщо у вас Windows, все кидайте та вимкніть вразливий сервіс.

У MS Windows знайдено критичну вразливість (CVE-2021-1675 aka #PrintNightmare), яка дозволяє віддаленому зловмиснику виконувати довільний код з найвищими привілеями. Деталі вразливості та код її експлуатації “випадково витікли” в публічний доступ. А у Microsoft налажали з класифікацією вразливості та її виправленням. Отже, патч не працює, навіть якщо ви його встановили. Тому якщо у вас Windows, все кидайте та вимкніть вразливий сервіс згідно з інструкціями за цим посиланням.

Оновлено 2 липня: Вичерпний пост з рекомендаціями щодо швидких фіксів за допомогою скотчу та суперклею: https://www.lares.com/blog/detection-and-mitigation-advice-for-printnightmare/.

Страхові як регулятори ринку кібербезпеки

На мою думку, найбільше шансів на врегулювання повного фіаско ринку кібербезпеки є в… страхових компаній. Пояснюю, чому.

Financial Times розмістив цікавенний матеріал для тих, хто розуміється на кібербезпеці як бізнесі. Йдеться про зрушення на ринку страхування ризиків кібербезпеки. Мовляв, раніше страхові любили кіберстраховку, бо її всі купували, але нею ніхто не користувався. А зараз, якщо ви слідкуєте за новинами, все змінилося.

Я давно кажу, точніше повторюю за експертами з цих питань, що в недалекому майбутньому регулювати ринок продуктів та послуг з кібербезпеки будуть страхові компанії. Щоправда, допоки кіберінциденти ставалися порівняно нечасто та призводили для незначних втрат, це було неочевидно. Тепер, здається, в це увірували фінансові аналітики та андеррайтери страхових компаній, і я думаю, що скоро все зміниться. Страхові внески за полісами страхування кібер-ризиків невпинно лізуть вгору – лише за останній рік ціни виросли на майже 18 відсотків. До того ж збільшення кількості інцидентів криптоздирництва змусило багато страхових вийти з цього бізнесу, а скорочення пропозиції на ринку невблаганно збільшує ціни.

Для великих корпорацій це чималі витрати, і зменшити їх можна лише одним способом: продемонструвавши експертам страхових компаній впроваджені та дієві заходи кібербезпеки, перевірені незалежними аудиторами та пентестерами. В якийсь момент баланс між витратами (не потенційними – в наслідок кібератаки, а реальними – у вигляді страхових внесків) та інвестиціями в кібербезпеку стане таким, що спонукатиме компанії нарешті розпочати витрачати на безпеку розумно та оптимально.