Завтра на PHDays под модераторством Виктора Гордеева с коллегами по сфере информационной безопасности обсудим проблемы организации работы с подрядчиками и, конечно, возможные решения этих вопросов💬
Эта тема действительно сложная и дискуссионная, так как найти и сохранить баланс между потребностями бизнеса и обеспечением информационной безопасности становится ещё более трудной задачей, поскольку есть третья сторона – подрядчик, у которого есть свои цели и потребности🤑
Заодно проверим, насколько работают рекомендации и советы по организации работы с подрядчиками, про которые очень хорошо рассказал Алексей Лукацкий на мастер-классе на одной из последних конференций по ИБ🙂
Приходите послушать или смотрите прямую трансляцию😉
#ciso #подрядчики #tprm #phdays
Эта тема действительно сложная и дискуссионная, так как найти и сохранить баланс между потребностями бизнеса и обеспечением информационной безопасности становится ещё более трудной задачей, поскольку есть третья сторона – подрядчик, у которого есть свои цели и потребности
Заодно проверим, насколько работают рекомендации и советы по организации работы с подрядчиками, про которые очень хорошо рассказал Алексей Лукацкий на мастер-классе на одной из последних конференций по ИБ
Приходите послушать или смотрите прямую трансляцию
#ciso #подрядчики #tprm #phdays
Please open Telegram to view this post
VIEW IN TELEGRAM
Свежее исследование "Different Seas, Different Phishes" о нашем любимом: фишинговых симуляциях и попытках найти закономерности в поведении сотрудников🎣
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
🎯 Сценарии целевого фишинга (ожидаемо) повышали кликабельность на 22% по сравнению со сценариями массового фишинга.
🤑 Сценарии типа "Не упусти выгоду" демонстрировали на 18% более высокую вовлеченность, чем сценарии компрометации аккаунта, что подчеркивает эффективность страха упущенной выгоды (FOMO, привет!) по сравнению со страхом угрозы безопасности.
🧐 Повышение сложности шаблона давало лишь 6% роста кликабельности, что указывает на главенствующую роль психологического фактора и фактора контекста.
Межотраслевые и внутриорганизационные различия:
⛏ Организации сектора промышленности и производства показали на 41% меньше уровень кликабельности, чем сфера услуг, что связано с автоматизированными процессами и меньшей зависимостью от почтовых коммуникаций.
👨💻 Отделы маркетинга и продаж продемонстрировали более чем в два раза большую подверженность фишинговым симуляциям по сравнению с финансовым департаментом. Это различие может объясняться несколькими факторами: сотрудники финансовых департаментов, возможно, более осторожны с электронной почтой из-за характера их работы с конфиденциальной финансовой информацией, в то время как сотрудники отделов продаж и маркетинга могут быть более склонны к активному взаимодействию с внешними контактами и новыми возможностями.
👨💻 Менеджеры среднего звена на 15% чаще взаимодействовали с фишинговыми письмами, чем топ-менеджеры, что опровергает стереотип о большей уязвимости высшего руководства.
Рекомендации ИБ-специалистам:
➡️ При построении системы защиты необходимо учитывать коммуникационные паттерны и рабочие процессы свойственные конкретной индустрии.
➡️ При проведении тренингов также необходимо учитывать специфику работы различных департаментов, в т.ч. нюансы коммуникаций с "внешним миром".
➡️ Использование фишинговых симуляций с прогрессивно увеличивающейся персонализацией позволяет точнее оценивать реальную уязвимость организации, чем статичные тесты на базе шаблонных сценариев.
Также, авторы исследования подсветили, что в публичных отчетах вендоров решенийsecurity awareness human risk management сообщается о более высоких показателей кликов, что может свидетельствовать о предвзятой оценке, направленной на увеличение продаж их продуктов😏
#awareness #phishing #training #risk #hrm #simulation
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
Межотраслевые и внутриорганизационные различия:
Рекомендации ИБ-специалистам:
Также, авторы исследования подсветили, что в публичных отчетах вендоров решений
#awareness #phishing #training #risk #hrm #simulation
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Что могут красть инфостилеры и сколько это стоит на теневых маркетах🛍
➡️ Инфостилеры являются самым популярным (по продажам) типом вредоносного ПО в дарквебе, что не удивительно: медианная цена составляет всего 400 долларов, функционал по сбору различных учетных данных широк (см. первый скрин) и постоянно дорабатывается, а потенциальный "выхлоп" может приводить к компрометации крупных компаний и получению прибыли как от очевидной продажи доступов в инфраструктуру жертвы, так и непосредственно от самого выкупа в случае реализации негативного воздействия (например, шифрования корпоративных данных).
➡️ Стоимость украденных учетных данных может сильно варьироваться как от типа (vpn-данные, sso-токены и т.п.), принадлежности физ.лицу или юр.лицу, так и от объема закупаемых данных, качества их обработки и платной подписки.
Например, в исследовании KELA приводится информация о том, что отдельную запись учетных данных можно купить за 5$. При этом, можно воспользоваться платными подписками на логи инфостилеров, начиная со 150$ за доступ к файлам ULP (url/login/pass), заканчивая "вечными" подписками за 8000$.
Согласно исследованию Positive Technologies, медианная цена на учетные данные достигает 1150$. На втором скрине (неизвестного мне исследования) можно увидеть разброс цен от 10$ до 250$ за разные типы учетных данных.
➡️ Бонус: на третьем скрине статистика по департаментам, сотрудники которых чаще остальных "ловят" инфостилеры. Ранее уже публиковал эту информацию из предыдущего исследования KELA, но здесь уже более расширенный вариант.
#infostealer #vpn #market #credentials
Например, в исследовании KELA приводится информация о том, что отдельную запись учетных данных можно купить за 5$. При этом, можно воспользоваться платными подписками на логи инфостилеров, начиная со 150$ за доступ к файлам ULP (url/login/pass), заканчивая "вечными" подписками за 8000$.
Согласно исследованию Positive Technologies, медианная цена на учетные данные достигает 1150$. На втором скрине (неизвестного мне исследования) можно увидеть разброс цен от 10$ до 250$ за разные типы учетных данных.
#infostealer #vpn #market #credentials
Please open Telegram to view this post
VIEW IN TELEGRAM
Совет по стандартам безопасности индустрии платёжных карт (PCI SSC) недавно опубликовал инфографику, иллюстрирующую процесс управления уязвимостями в рамках стандарта PCI DSS💳
Схема процесса сопровождается также небольшой статьей, разъясняющей ключевые требования стандарта PCI DSS в части приоритизации и устранения уязвимостей🛠
Пожалуй, главное, что подчеркивают авторы в статье: не обязательно "принимать на веру" установленные внешними источниками уровни критичности уязвимостей (по CVSS, EPSS и т.п.), а даже рекомендуется пересматривать или дополнять эти оценки, учитывая контекст: возможность эксплуатации уязвимости в конкретной инфраструктуре и негативное влияние на бизнес-процессы. Главное, чтобы в организации была установлена прозрачная методика оценки рисков и приоритизации, а сами уязвимости устранялись в установленные сроки: для "критичных" – за месяц в соответствии с требованиями стандарта, для остальных – как сами решите.
#cvss #epss #vm #vulnerability #pcidss #prioritization
Схема процесса сопровождается также небольшой статьей, разъясняющей ключевые требования стандарта PCI DSS в части приоритизации и устранения уязвимостей
Пожалуй, главное, что подчеркивают авторы в статье: не обязательно "принимать на веру" установленные внешними источниками уровни критичности уязвимостей (по CVSS, EPSS и т.п.), а даже рекомендуется пересматривать или дополнять эти оценки, учитывая контекст: возможность эксплуатации уязвимости в конкретной инфраструктуре и негативное влияние на бизнес-процессы. Главное, чтобы в организации была установлена прозрачная методика оценки рисков и приоритизации, а сами уязвимости устранялись в установленные сроки: для "критичных" – за месяц в соответствии с требованиями стандарта, для остальных – как сами решите.
#cvss #epss #vm #vulnerability #pcidss #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
Скомпрометированные учетные записи остаются наиболее распространенным способом проникновения в организации за последнее десятилетие, медианные потери ($) от инцидента кибербезопасности с 2008 года выросли в 15 раз, а вероятность того, что организация станет жертвой злоумышленников выросла в 4 раза😱
Вот такими выводами делится с нами Cyentia Institute в недавно опубликованном исследовании "Information Risk Insights Study 2025", представляющем собой комплексный анализ тенденций в области кибербезопасности за период с 2008 по 2024 год, основанный на изучении более 150 000 киберинцидентов.
А ещё:
🔊 Инциденты кибербезопасности не просто стали обходиться дороже, но и стали оказывать более значительное влияние на операционную деятельность – доля потерь от инцидентов выросла в 8 раз относительно годовой выручки организаций, хотя медианные потери (пока) не превышают 1% от выручки.
В то же время существует сегмент "хвостовых потерь" (выше 95 персентиля) – в таких организациях случались "экстремальные" финансовые потери, которые превышали годовую выручку💲
🔊 Вторжение (system intrusion) стабильно удерживает первую строчку среди категорий инцидентов, а шифровальщики захватили вторую строчку топа, начав резкий взлет с 2019 года. С 2022 года топ-3 достигли DDoS-атаки. Из нисходящих трендов можно отметить заметное падение кол-ва инцидентов, связанных с непреднамеренными случаями раскрытия информации или мисконфигов, приводящих к компрометации систем.
🔊 Среди техник получения первоначального доступа в системы жертв действующие учетные записи сотрудников и фишинг, конечно же, находятся в топе, а тройку лидеров замыкает эксплуатация уязвимостей в веб-приложениях.
Но и здесь можно найти интересные наблюдения: использование скомпрометированных учетных записей в атаках резко растет для крупнейших корпораций, в то время как для остальных организаций наблюдается тенденция к снижению.
В то же время использование фишинга и веб-уязвимостей наиболее распространено среди инцидентов, затрагивающих небольшие компании.
🔊 Отдельно стоит отметить, что атаки на цепочку поставок занимают последнюю строчку в топе исследования, но авторы подчеркивают, что причина может крыться в том, что компании редко указывают эту технику как начальную фазу атаки в своих публичных отчетах🤔
Это довольно странно, учитывая тот факт, что согласно данным сервиса Feedly в 2024 году компрометация цепочки поставок заняла уверенное третье место среди техник получения первоначального доступа.
#iris #ttp #research #incident #phishing #credentials #ddos #vulnerability
Вот такими выводами делится с нами Cyentia Institute в недавно опубликованном исследовании "Information Risk Insights Study 2025", представляющем собой комплексный анализ тенденций в области кибербезопасности за период с 2008 по 2024 год, основанный на изучении более 150 000 киберинцидентов.
А ещё:
В то же время существует сегмент "хвостовых потерь" (выше 95 персентиля) – в таких организациях случались "экстремальные" финансовые потери, которые превышали годовую выручку💲
Но и здесь можно найти интересные наблюдения: использование скомпрометированных учетных записей в атаках резко растет для крупнейших корпораций, в то время как для остальных организаций наблюдается тенденция к снижению.
В то же время использование фишинга и веб-уязвимостей наиболее распространено среди инцидентов, затрагивающих небольшие компании.
Это довольно странно, учитывая тот факт, что согласно данным сервиса Feedly в 2024 году компрометация цепочки поставок заняла уверенное третье место среди техник получения первоначального доступа.
#iris #ttp #research #incident #phishing #credentials #ddos #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Решил причесать свою подборку полезных и интересных (на мой вкус) ресурсов на тему управления уязвимостями и разместил в открытом доступе🆓
Это пока первая редакция, но в любом случае планирую постоянно обновлять подборку ссылок на вышеуказанной странице😉
p.s. Агрегаторы трендовых/обсуждаемых уязвимостей, которые собирал на телетайпе, есть в этой подборке, но статью пока тоже продолжу обновлять параллельно.
Там, кстати, есть несколько изменений:
🟢 Добавлен ресурс Talkback.sh — отличный агрегатор новостей на тему ИБ, где также есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости.
🟢 Добавлен ресурс CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.
🟢 Ресурс Cytidel Top Trending закрыт.
#cve #vm #bookmarks #prioritization #trends #cvss #epss
Это пока первая редакция, но в любом случае планирую постоянно обновлять подборку ссылок на вышеуказанной странице
p.s. Агрегаторы трендовых/обсуждаемых уязвимостей, которые собирал на телетайпе, есть в этой подборке, но статью пока тоже продолжу обновлять параллельно.
Там, кстати, есть несколько изменений:
#cve #vm #bookmarks #prioritization #trends #cvss #epss
Please open Telegram to view this post
VIEW IN TELEGRAM
Модель зрелости использования обманных систем🕸
Довольно неплохой фреймворк от компании DECEPTIQ: для каждого уровня зрелости есть описание, стратегии развития и ключевые метрики для отслеживания. Бонусом идёт опросник для определения текущего уровня зрелости, а в конце авторы развенчивают распространенные мифы, связанные с внедрением обманных систем.
Помимо вышеуказанного фреймворка можно еще посмотреть "канареечную" модель зрелости от Tracebit: она попроще и ограничивается уровнем использования приманок (ханитокенов, "канареек").
#ddp #deception #honeytoken #canary #maturity #framework
Довольно неплохой фреймворк от компании DECEPTIQ: для каждого уровня зрелости есть описание, стратегии развития и ключевые метрики для отслеживания. Бонусом идёт опросник для определения текущего уровня зрелости, а в конце авторы развенчивают распространенные мифы, связанные с внедрением обманных систем.
Помимо вышеуказанного фреймворка можно еще посмотреть "канареечную" модель зрелости от Tracebit: она попроще и ограничивается уровнем использования приманок (ханитокенов, "канареек").
#ddp #deception #honeytoken #canary #maturity #framework
Please open Telegram to view this post
VIEW IN TELEGRAM