Компания Microsoft выпустила интересную аналитику о "поведенческих паттернах" работников на основе телеметрии использования продуктов семейства Microsoft 365, констатируя, что рабочий день становится "бесконечным":
1️⃣ Проверкой рабочей почты в 6 утра занимается около 40% пользователей, а к 10 вечера почти треть активных работников снова открывают почту для прочтения писем. По выходным каждый пятый проверяет почту до полудня, 5% — в воскресенье вечером.
2️⃣ Среднестатистический работник получает 117 электронных писем в день, большинство из которых просматриваются менее чем за 60 секунд.
3️⃣ Половина всех встреч проходит между 9–11 утра и 13–15 дня. Больше всего встреч назначают на вторник, а меньше всего — в пятницу. Именно в эти периоды наблюдаются естественные всплески производительности работников, но большое количество встреч, писем и сообщений отвлекает их и приводит к потере концентрации и расфокусу.

❓Причем тут ИБ, скажете вы?
🟠Как минимум, обладая такой информацией об активности пользователей, злоумышленники могут планировать фишинговые атаки — если посмотреть крупные исследования о фишинге, то можно увидеть, что авторы очень часто указывают данные о "популярных" часах, в которые чаще всего рассылаются фишинговые письма.
🟠Если вернуться к первому пункту, то с точки зрения защиты можно подумать о том, работает ли ваш SOC в 6 утра и на сколько быстро готовы сотрудники ИБ реагировать на инциденты в такую рань?🥱
Также можно провести киберучения в разное время суток и проанализировать как сотрудники реагируют на получение подозрительных писем в зависимости от фаз рабочего дня👨‍💻
🟠Во втором пункте говорится об огромном кол-ве получаемых писем и довольно коротком времени их чтения — менее 60 секунд. Хотя, ещё несколько лет назад в аналогичных исследованиях заявляли, что на одно письмо вообще уходит не более 9 секунд, а для того, чтобы попасться на фишинг достаточно одной минуты.
🟠Казалось бы, что большое кол-во писем и их стремительное прочтение должно приводить к тому, что и полученное фишинговое письмо может "утонуть в почтовом болоте", но удачно подобранный психологический вектор, например, связанный со срочностью и важностью, в письме, присланном в наиболее загруженные периоды (см. пункт 3) работы, может сработать, т.к. сотрудник будет невнимателен и рассеян😴

#phishing #фишинг #psychology #training

Компания Pillar Security опубликовала разработанный совместно с коллегами по цеху фреймворк SAIL (Secure AI Lifecycle), представляющий собой процессно-ориентированное руководство по разработке и развертыванию безопасных ИИ-приложений🧠

По факту фреймворк представляет собой матрицу рисков, сгруппированных по семи этапам разработки и развертывания ИИ-приложений. Для каждого риска есть описание, пример небезопасной реализации, затрагиваемые компоненты ИИ-приложения, меры митигации и связанные требования/меры из фреймворков NIST AI RMF, ISO 42001, OWASP и DASF.

В размещённой на сайте брошюре можно найти разбор пары кейсов атак и примеры выборы мер митигации из фрейворка SAIL, а в самом последнем приложении — ссылки на полезные руководства и фреймворки в области ИИ.

#ai #framework #risk #sail #lifecycle

А вот ещё один новый ресурс, посвященный безопасности ИИ-агентов, от активного участника проектов OWASP🧠

Agentic Security Hub включает в себя:
➡️Описание ключевых компонентов ИИ-агентов
➡️Описание и сравнение архитектур ИИ-агентов.
➡️Реестр угроз с описанием векторов атак.
➡️Реестр защитных мер.
➡️Опросник по стандарту OWASP AISVS (AI Security Verification Standard).
➡️Опросник самооценки по OWASP Securing Agentic Applications guide для формирования модели угроз и рекомендаций по защитным мерам.
➡️Маппинг мер фреймворка NIST AI RMF на OWASP AISVS.
➡️База уязвимостей Agentic Vulnerability Database (AVD) – правда пока раздел в разработке и в базе есть только три записи про уязвимости ИИ-агентов.

Все разделы связаны друг с другом кросс-ссылками, а часть имеет также инструменты для визуализации.
Также есть библиотека полезных ресурсов, содержащая на текущий момент ссылки на 219 различных документов по теме безопасности ИИ.

#ai #framework #controls #aisvs #archirecture #owasp #avd

🧮System Security Context Vector (SSCV) Framework

Ещё одна методика приоритизации устранения уязвимостей🤪 Скоро закончатся уникальные аббревиатуры под названия каждой новой методики😂
В рамках данного подхода вычисляется контекстная оценка риска (CRS) на основе базовой оценки уязвимости по CVSS 3.1 и с учетом контекста (защищенности) рассматриваемой ИТ-системы.
Контекст (защищенность) ИТ-системы вычисляется на основе значений 6 метрик (критериев):
1️⃣ Актуальность версии операционной системы (Operating System Currency)
2️⃣ Доступность ИТ-системы по сети (Network Exposure)
3️⃣ Используемые механизмы контроля доступа (Access Control)
4️⃣ Тип защиты конечных точек (Endpoint Protection)
5️⃣ Категория обрабатываемых данных (Data Sensitivity Level)
6️⃣ Статус установки патчей (Patch Status)

Из основных плюсов:
🔗Понятные критерии контекста.
🔗Возможность автоматизации подсчета метрик и оценки CRS.
🔗Подробное руководство и калькулятор расчета оценки.
Из явных минусов:
🔗Не учитывается бизнес-критичность ИТ-системы.
🔗В расчете присутствуют нормализующие и корректирующие коэффициенты, что не очень прозрачно.
🔗Нет статистических данных, позволяющих оценить корректность расчета на больших количествах уязвимостей, и математических обоснований использования рекомендованных коэффициентов (из предыдущего пункта).

Ссылки:
📥Официальный сайт
📥Github

#cvss #sscv #prioritization #vm #vulnerability #context

🛡 Application Attack Matrix — созданная сообществом MITRE-подобная матрица тактик, техник и процедур используемых злоумышленниками при атаках на веб-приложения.

🟡Матрица включает 41 технику, сгруппированную по 7 тактикам, которые, в свою очередь, организованы по 4 фазам атак на веб-приложения.
🟡В качестве основной причины создания отдельной матрицы заявляется то, что MITRE ATT&CK фокусируется на техниках, покрывающих инфраструктуру и конечные точки/технологии (ОС, сети, облака, мобильные устройства и контейнеры), "не заглядывая" на уровень веб-приложений. При этом в самой матрице описано половина техник, присутствующих в "материнской" матрице.
🟡Для каждой (ну почти) техники есть описание, возможные подтехники, примеры процедур, меры противодействия, методы обнаружения.
🟡Есть разбор (довольно неплохой) 24 "громких" атак (Regression,PyLoose, XZ-Utils Backdoor, и т.п.).
🟡Авторы обещают поддерживать и развивать проект.

#mitre #matrix #appsec #application #ttp #mitigation