Тем временем Forrester констатировал, что "классическое" повышение осведомлённости, базирующееся на использовании решений SA&T (Security Awareness and Training), мертво — наступила эра решений HRM (Human Risk Management)🤔
На скриншотах можно увидеть сценарии использования решений HRM и описание функциональности, которые я стащил отсюда😅

В общем-то, проблемы и недостатки классического "аварнесса" очевидны — "человек не исправим", а если служба ИБ ещё зациклится на классических метриках типа "сколько кликнуло по ссылке/сколько ввело учётные данные/сколько обучилось", то можно пошатнуть психологическое здоровье сотрудников компании🫠
Ок, что тогда делать? Приходим к мысли формирования группы повышенного риска — тоже очевидная вещь, которой скоро будет десяток лет. А дальше? Дальше надо ставить особо доверчивых сотрудников "на карандаш" — т.е. как минимум сообщать коллегам из SOC, чтобы их взяли под особый контроль, и применять более "жесткие" политики средств защиты и мониторинга. HRM-платформы призваны решить проблемы, связанные с более точным определением уровней риска, групп риска и интеграции с различными техническими средствами защиты, с целью автоматизации реагирования на "приоритетные риски", рождаемые невнимательными сотрудниками.

А в целом, интеграция решений класса SA&T или HRM в единую систему защиты всегда неизбежна, хотя бы для того, чтобы нормально сформировать группы риска, учитывающие различные критерии поведения сотрудников💯
#hrm #awareness #riskmanagement #training

Компания Edgescan пару недель назад опубликовала ежегодное (уже девятое) исследование с аналитикой на тему управления уязвимостями в организациях, которые используют её решения.

Из основных выводов:
➡️Среднее время устранения критических (по уровню CVSS) веб-уязвимостей составляет 35 дней, а критических уязвимостей хоста, доступного из сети Интернет – 61 день.
➡️В инфраструктуре организаций до сих пор находятся уязвимости, выявленные в ещё в 2015 году.
➡️В топ-3 веб-уязвимостей входят SQL-инъекции, хранимые XSS и неограниченная загрузка файла с опасным типом.

Для себя ещё выделил информацию (на скринах) об уязвимостях, в отношении которых были приняты риски, и статистику по наиболее встречающимся уязвимостям в разрезе сфер функционирования организаций🧐
#cve #vulnerability #research #cvss

Встречаем и изучаем очередное исследование "2024 Verizon Data Breach Investigations Report (DBIR)". По традиции много букв, цифр и статистики по итогам анализа более 30 тысяч инцидентов ИБ.

Инфографика после титульной страницы, иллюстрирующая векторы и каналы атак, как бы намекает, что в мире всё стабильно😁

Очень сложно выделить что-то крайне интересное и полезное, поэтому остановлюсь только на "тревожном" выводе Verizon, что пользователи попадают в ловушку фишингового письма менее чем за 60 секунд:

...the median time to click on a malicious link after the email is opened is 21 seconds and then only another 28 seconds for the person caught in the phishing scheme to enter their data. This leads to an alarming finding: The median time for users to fall for phishing emails is less than 60 seconds.

Не совсем понятно их удивление и настороженность – как будто обычные легитимные письма мы читаем дольше😐
Если поискать аналитику по работе с корпоративной почтой, то можно узнать, что ежегодно время на прочтение одного письма уменьшается и, по состоянию на 2023, составляет в среднем 9 секунд😐

А в целом, читайте отчет и черпайте для себя полезную информацию👍
#dfir #breach #phishing #research

Компания Bitsight, взяв каталог CISA KEV и информацию об устранении уязвимостей у своих "клиентов" (ещё и посканив немного сеть Интернет), выдала отчет с аналитикой по уязвимостям из CISA KEV и тому как организации их устраняют (или не устраняют☺️).

На самом деле аналитики и статистики там довольно много, но особенно приковывает внимание информация о времени устранения уязвимостей😐
#cve #cisa #kev #priortization #research