Как-то пропустил, что летом SANS опубликовал (нужен vpn) ежегодное исследование о состоянии программ повышения осведомленности в области информационной безопасности🕐
Я ознакомился и могу сказать, что то ли я старею, то ли SANS халтурит🤔

Давайте начнем с главных выводов:
➡️"Чем больше ваша команда (прим. - по security awareness, далее буду сокращать до SA), тем более зрелой является ваша SA-программа".
Ну, как бы нет, ребят, оно так не работает... Довольно спорная корреляция, которая не часто встречается в реальности. Причем, далее по тексту сам SANS это и опровергает🤔 Зачем тогда это декларировать в начале отчета?
➡️"Оплата труда SA-специалистов очень сильно отличается от региона, опыта, отрасли и зрелости SA-программы"🗿
Ну, эээ, да... Неужели это тянет на новизну? Кажется, кому-то стоит почитать хотя бы школьный курс экономики📕
➡️"Большинство SA-специалистов счастливы, работая в своем направлении, но кто-то хотел бы сменить место работы"
Я в целом рад, что это так, но тянет ли это на главный вывод в отчете? Неужели не нашлось чего-то более интересного в опросах?🙂

Я заглянул глубже в документ и еще больше забрюзжал...
🔘"Сравнение уровней зрелости SA-программ — большинство опрошенных сообщили, что достигли среднего уровня зрелости (по модели SANS), т.е. процесс постоянен, разнообразен и изменения (риски и поведение) отслеживаются."
В целом добавить нечего, достижение среднего уровня реально и возможно без особых затрат ресурсов.
🔴"Основные человеческие риски (см. скрин № 3):
- социальная инженерия
- пароли/аутентификация
- обнаружение и оповещение (прим. - передача информации об инциденте от сотрудника в службу ИБ)
- ИИ-инструменты"
Ладно, здесь согласен с тем, что информация полезна и соответствует действительности. Тема искуственного интеллекта врывается в топ и здесь стоит не забывать, что сотрудникам необходимо рассказывать о возможных рисках использования ИИ-инструментов📌
🔘"Основные причины сложности развития SA-программ — нехватка времени, персонала, денег"😑
Мне кажется, что это универсальные ответы на любой аналогичный вопрос. Однако, в отчете всё же подсветили, что есть еще проблемы с выстраиванием коммуникаций внутри организации и отсутствие поддержки со стороны руководства.
🟣"Название вашей SA-программы".
Смотрим на первую картинку в посте и любуемся какие слова есть в названии программ🧐
SANS радуется, что в названии нет слов "юридический", "приватность" и "соответствие". Что ж, давайте и мы порадуемся😅
Ладно, они также сказали, что можно не волноваться за название программы. Ок, мы и не собирались...
🟡"Кому подчиняются SA-специалисты".
Очевидные варианты, конечно же, что службе ИБ или службе ИТ. На третьем месте "кому-то другому". Далее менее очевидные, но действительно встречающиеся в жизни — операционный блок, юристы/комплаенс, рисковики, коммуникации, кадровики. Ну, я здесь за традиционные ценности, конечно😄
⚫️"Главные противники внедрения и развития SA-программы".
Смотрим внимательно на второй скрин в посте. Вот действительно интересная для меня информация. Судя по данным опроса, вершину топа захватили менеджеры средней руки, блокируя все попытки повысить осведомлённость сотрудников организации🤬
А там еще и финансисты подступают! Ох, эта битва будет легендарной🙂
На самом деле, это важно знать кто противится и с кем надо наладить отношения, но в жизни "противники" могут очень сильно отличаться в зависимости от специфики, размера и структуры бизнеса.

Второй раздел исследования посвящен "созреванию" SA-программы, а если быть точнее, то необходимому для развития кол-ву FTE и советам как выбить себе штат.
Советы нормальные, ничего против не имею. Про FTE писал еще в начале поста — очень много специфики, но SANS подсчитал, что для зрелой программы надо от 1,8 до 4,18 "землекопов"🗃

Третий раздел, который про зарплаты и карьеру, оставлю без комментариев, — очень уж много специфики и очевидного💯

На этом всё, далее изучайте документ сами🙂

#awareness #riskmanagement

Кстати, приближается месяц повышения осведомлённости в ИБэ, т.е. октябрь🔔
И всё тот же институт SANS объявил, что в этом году необходимо уделить внимание вопросу безопасного использования искусcтвенного интеллекта📚
Для этого был подготовлен набор материалов, среди которых можно найти шаблон политики использования ИИ в организации, видеоролик об использовании ИИ и набор инфографики, демонстрирующий преимущества и риски использования ИИ. Можно взять за основу для разработки своих обучающих плакатов.
p.s. Ниже прикрепил архив с этими материалами без "тяжелого" видеоролика и фонов для зума.

#awareness #ai #training #infographics

Gartner констатирует, что многие организации продолжают использовать одинаковый набор мер для защиты серверной инфраструктуры и конечных устройств, несмотря на подверженность их разным угрозам, различия в бизнес-критичности и ценности этих активов⚠️

Чтобы грамотно и последовательно запланировать внедрение соответствующих мер защиты, Gartner предлагает воспользоваться их "пирамидой приоритизации" (🖥 см. первый скрин).
В целом, всё довольно правильно расписано: такие базовые вещи как харденинг, управление конфигурациями, уязвимостями и модное управление экспозициями (exposure management), приправленное инструментами по управлению доступом (PAM, MFA и пр.), должно применяться в первую очередь и везде независимо от типа актива (сервер или ноутбук сотрудника). Далее же идёт логичное разделение, но, конечно же, все нюансы учесть сложно, поэтому вышеуказанная пирамида не идеал и задает лишь основное направление при типовом использовании актива. Например, на следующем (после базового) уровне для конечных устройств рекомендуется внедрение защиты от вредоносного ПО, в то время как для серверов это самый последний шаг. Однако, если сервер выполняет роль файловой шары, то, конечно же, мы не будем откладывать внедрение антивирусного ПО на потом💻

В то же время, Gartner напоминает о необходимости повсеместного контроля и уменьшения поверхности атаки, а также выдает рекомендации по использованию соответствующих мер для разного типа активов (🖥 см. второй скрин).

Источник: Prioritize Security Controls for Enterprise Servers and End-User Endpoints by Gartner.

#controls #gartner

"Парольная" выдалась неделька😁

1️⃣Команда исследователей из Proton заглянула (нужен VPN) ещё раз в дарквеб и посмотрела что там по личным данным депутатов и иных сотрудников правительств (USA, FR, GB, EU) есть интересного. Оказывается, много чего, в т.ч. и почтовые переписки с паролями💬
Депутаты тоже люди и не брезгуют регистрацией в различных сервисах и социальных сетях, указывая рабочую почту.
p.s. Русский след тоже упомянули👀

2️⃣ Уже много кто написал про внесение изменений (ещё не утверждённые) в стандарт NIST Special Publication 800-63-4, где торжественно повторили, что не надо заставлять периодически менять пароли (надо только по запросу или при компрометации), а ещё запретили требовать использование различных категорий символов в паролях, запретили банальные контрольные вопросы (типа "как зовут твою собаку?") и запретили запрещать использование пробела в паролях🥳

3️⃣ Всё было бы хорошо с вышеуказанными изменениями в требованиях к паролям, если бы не человеческая природа и поведение🫤
В свежем ежегодном исследовании "Oh, Behave!" от Cybsafe убеждаемся, что в мире всё стабильно: второй год подряд процент опрошенных, включающих в свои пароли личную информацию, такую ​​как имена членов семьи или домашних животных, увеличивается.
Более того, 40% участников исследования используют в качестве пароля одно словарное слово или чьё-то имя😭
p.s. Напомню, что в документе по результатам исследования "Oh, Behave!" можно узнать как различные поколения людей относятся к рискам и правилам кибербезопасности. В этом году также добавили раздел про использование искусственного интеллекта. Ниже прикрепил сам документ.

#password #breach #behave #awareness

Ещё одна база инцидентов в закладки 📌

Ресурс API Security Threat Landscape представляет собой таблицу, содержащую данные об инцидентах, связанных с успешными атаками на API🛠
В этой базе вы сможете найти информацию о выявленных уязвимостях и дефектах, векторах атак, а также о связанных APT-группировках и многом другом. Правда, инцидентов не сильно много: записей чуть более 30, а самая ранняя датируется ноябрем 2021 года.

Кроме того, на гитхабе авторы ресурса представили матрицу угроз для API, в которой описаны тактики, техники злоумышленников и меры защиты от них📝

#api #threat #matrix