Часть 2
🛡 Защита и мониторинг:
Telegram: EDR-мониторинг (file.path:"Telegram\\tdata" AND event.action:("file_copy","file_move")). Ложные срабатывания возможны при обновлениях и резервных копиях — используйте исключения.

📍 Что важно:
Контекст: кто инициировал копирование, какие процессы запущены.
Исключения: Telegram-обновления и легитимный бэкап.
Дополнительный анализ: запуск Telegram с необычных путей или под нештатными пользователями.

Slack: регулярные аудиты OAuth-приложений, защита от фишинга и контроль браузеров.

⚠️ Обязательно используйте многофакторную аутентификацию (MFA), шифруйте трафик (HTTPS) и контролируйте время жизни сессий.

🎯 Привязка к MITRE ATT&CK
(Смотреть картиночку)

📈 Основные тенденции, что говорят вендоры:
📌 🔥 Рост атак на мессенджеры:
Согласно отчету Group-IB за 2023 год, 19% всех APT-групп использовали Telegram как C2-канал или канал доставки команд.
Источник → Group-IB Hi-Tech Crime Trends 2023

📌 🎯 Slack под ударом OAuth-фишинга:
По данным Proofpoint, в 2022–2023 гг. наблюдался рост атак на Slack OAuth-приложения на 85%, особенно в цепочках BEC-атак. Источник → Proofpoint Threat Report 2023

📌 🧵 Telegram как канал для утечек:
Специалисты Check Point и Kaspersky фиксировали утечку корпоративных данных через Telegram,Источник → Check Point Report: Telegram used for InfoStealer exfiltration (2023)

🧠 Обучение пользователей: фишинг в чате как он есть
Обучение сотрудников — один из самых мощных инструментов снижения риска. Особенно, когда злоумышленники используют знакомые интерфейсы, как Slack или Telegram.

🎣 Пример фишинга в Slack
Сценарий:
Внутри Slack появляется «системное» уведомление от якобы службы безопасности:

👮‍♀️ Security Notification:
Unusual login detected. Please verify your account immediately to avoid being locked out.
🔗 Verify Now

⚠️ Отличить тяжело:
Имя бота может быть slack-support, Security или IT Helpdesk
Аватарка — иконка Slack
Сообщение отправлено через интеграцию или Slackbot

💬 Берегите чаты и данные! Да хранит нас первая линия SOC без людей😂 🔐

🔥 Корпоративные чаты глазами SOC: Telegram и Slack под прицелом

Часть 1:
Корпоративные и не очень мессенджеры — это не только удобство и скорость работы, но и привлекательная мишень для атак. Сегодня посмотрим на угрозы для Telegram Desktop и Slack с конкретными примерами и советами по защите.

📌 Telegram Desktop: уязвимая папка tdata

Самый опасный сценарий — кража папки tdata. В ней хранятся сессии и ключи авторизации. Получив её, злоумышленник запускает ваш Telegram без уведомлений о новой сессии!

🛠 Пример атаки: вредонос Telegrab (или другие) автоматически собирал данные папки.

Как устроена папка tdata в Telegram Desktop
Папка tdata — это сердце клиента Telegram Desktop. Именно в ней хранятся все ключи, сессии и кэш, обеспечивающие бесшовную авторизацию пользователя. Понимание структуры tdata помогает как защищаться, так и анализировать компрометации.

🔍 Что внутри tdata?
tdata/
├── D877F783D5D3EF8C/
│ └── user_data, settings, кеш сообщений
├── map*.json
├── *.key
├── emojis, themes, temp-files

🔐 Ключевые файлы:
D877F783D5D3EF8C/ — основная директория, где Telegram хранит данные аккаунта (номер, имя, ID, чаты, контакты). Название папки — это хеш ID API Telegram.
map0.json / map1.json — указатели Telegram, связывающие ключи с сессионными данными. Именно с них Telegram начинает восстановление сессии.
*.key — ключи для расшифровки данных, зашифрованных в сессии.
emoji/, themes/ — интерфейс и визуальные настройки клиента.
temp/ и кэш — временные файлы, изображения и вложения.

⚠️ Другие риски для тг:
Фейковые клиенты Telegram
Перехват SMS-кодов
ФейкБосс (Про эту писал ранее)

📌 Slack: фишинг и OAuth-токены
В Slack основные угрозы — это перехват OAuth-токенов и фишинг через поддельные приложения. Злоумышленники получают доступ к переписке и даже отправляют сообщения от вашего имени!

🛠 Пример атаки: EvilSlackbot отправлял фишинговые сообщения в Slack от имени бота.

⚠️ Дополнительные векторы:
Скомпрометированные сторонние приложения
Вредоносные браузерные расширения

📊 Сравниваем риски:
(Смотреть картиночки)

Всем привет! Ну кажется погода стала походить на весеннюю😅 и это значит что скоро майские праздники, но помимо уничтожения шашлычков 🍢 в беседках и нормального открытия мото-сезона 🏍 (а я жду не дождусь уже 🥹 ) в мае произойдет еще одно важное изменение, связанное с утечками ПДн и штрафами для компаний 🙈. Как именно это будет работать, особо-то никто и не знает, но по случайности меня пригласили как раз-таки сходить и послушать об этом, к коллегам на мероприятие "Шапка-невидимка для чувствительных данных", регистрация там открытая, кому интересно, вот ссылка : https://qsoft-security.ru/

п.с. не реклама, т.к. сам иду 😁 приходите вместе послушаем к чему готовиться и позадаем вопросы, ну и конечно нетворкинг - практически всегда штука полезная 🫡

Пиу пиу! 🧑‍💻 Исправляюсь по поводу регулярности постов, был и правда жаркий период и в рабочих и личных делах, много всего и сразу, ну в прочем как обычно 😅 Конечно тянуть две презы подряд сложнова-то, но можно 🫡

Во-первых, канал пробил первую сотню 1️⃣0️⃣ 0️⃣подписчиков 🥹 (надеюсь не последнюю). Теперь цель пробить тракторное число, ведь права тракториста машиниста у меня есть 😅😂 Надо сказать спасибо мероприятиям и конференциям, первое это коллегам из BiZone 🦬, за их закрытое мероприятие, было как обычно стильно, вкусно, интересно 🫶 Теперь практикуюсь по утрам стоять на гвоздях 🧘 Фоточек и записи не будет)

Во-вторых за CISO Forum, спасибо организатором что позвали выступить, был интересный опыт и формат 👍 Сказали запись будет, но не много позже. Презентацию выложу сразу в канал в этом посте, потому что коллеги просили поделиться)

Отдельно хочу сказать спасибо коллегам из нашего DevRel за сопровождение и помощь, Лена, обнял 🤗

Всем приветики! Сижу я тут готовлюсь значит к выступлению на киса ��CISO-Forum, и в процессе подготовки, я вдруг задумался: а помните ли вы те дикие 90-е, когда компьютеры были больше похожи на громоздкие железные монстры, а кибербезопасность – на дикий запад без правил? 😁🔒

Вот и не помню, но когда пришло время наводить порядок в процессах - родилась история одного из самых важных стандартов в мире IT – ISO/IEC 27001. Давайте быстренько погрузимся в эту историю, как будто читаем детектив с щепоткой юмора, коротая минутки в метро 😁

Все началось с британского стандарта BS 7799 – настоящего пионера в мире информационной безопасности, который появился, когда интернет только начинал проникать в офисы, а модемы печатали жужжащий «уу-уу». Тогда компании, словно герои в антиутопии, поняли: "Надо что-то делать, пока хакеры не нарушат три столпа иб развалят нам кабину!" И вот BS 7799 стал первым шагом к систематизации защиты данных – своего рода спасательным кругом в бурном море киберугроз.
В 2005 году, когда мир начал понимать, что беспорядок в IT – это не шутки, международное сообщество решило: «Давайте сделаем это правильно!» Так из британского опыта родился ISO/IEC 27001, который стал настоящим маст-хэвом для всех, кто заботится о безопасности информации. Представьте: вместо хаотичных методов защиты, теперь компании получили четкий план действий, словно рецепт от шеф-повара, где каждый ингредиент (то есть мера защиты) важен и должен быть идеально подобран. 🎯💡

ISO/IEC 27001 – это, можно сказать, компас в мире хаотичных киберугроз. Он требует создания системы управления информационной безопасностью (ISMS), что позволяет не просто реагировать на инциденты, а предвидеть их и предотвращать. Для SOC (Security Operations Center) это как перейти от работы в суматохе к отлаженному процессу шоу с блэкджеком, где каждый сигнал тревоги – это заранее прописанная сцена, а не паническая попытка спасти положение в последнюю секунду. 💻🚀

Но давайте будем честными: IT-отделы раньше действительно боролись с хаосом, как герои немых 😁боевиков, где вместо спецэффектов – коды ошибок и вирусы. Сегодня, благодаря стандарту, даже самые уставшие сисадмины могут наконец вздохнуть свободно уволиться перед аудитом (ну, или почти свободно, ведь всегда найдется что-то, что не так). А руководители, наблюдая за стабильной работой систем, могут смело выпить утренний кофе, не опасаясь, что их данные внезапно исчезнут в мире хакерских фантазий. ☕️😎 [Подробнее об истории ISO/IEC 27001 можно почитать на Википедии]

Конечно, как и мы, стандарт не стоит на месте. Его обновляли и совершенствовали – в 2013 году и даже позже – чтобы отразить новые реалии цифрового мира. Это не просто документ, а целая концепция подходов к кибер безопасности 🔐

ISO/IEC 27001 появился как ответ на необходимость систематизации защиты данных в эпоху, когда киберугрозы подстерегали на каждом шагу. Он эволюционировал из BS 7799, став ориентиром для SOC и других направлений ИБ. И я думаю вот почему:
• Стандартизация процессов.
Когда все операции задокументированы и отлажены в рамках ISMS, ложные срабатывания уходят в прошлое, а аналитики работают по чётко прописанным сценариям. В теории, конечно, идеально – но, будем честны, иногда инструкциям стоит задать вопрос: «А точно ли это сработает в реальном мире?»
• Повышение качества коммуникации.
Формализованные процедуры превращают технический шум в понятный язык для бизнеса. Теперь, когда каждый знает свою роль, можно даже поверить, что вместо вечных споров о том, кто виноват, царит некая согласованность. Хотя всегда остаётся доля сомнения, что кому-то всё равно придётся объяснять, почему снова всё пошло не так.
• Интеграция с другими стандартами.
Компании, объединившие ISO/IEC 27001 с ISO 9001 или ISO 22301, получают комплексный взгляд на риски и процессы. Всегда иронично все выглядит блестяще на бумаге, хотя реальность порой подбрасывает свои сюрпризы.

В итоге, ISO/IEC 27001 не творит чудес и не превращает SOC в супергероев, но, по крайней мере, помогает навести порядок в будничном хаосе. Да хранят нас стандарты ИБ 🙏