В продолжение темы сопоставления тактик, техник и процедур Mitre ATT&CK, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей🕐

Ещё один подход к маппингу представлен в интересном инструменте CVE2CAPEC: здесь уже выстраивается цепочка CVE-CWE-CAPEC-TTPs Mitre ATT&CK. То есть конкретная уязвимость связывается с присущими ей дефектами CWE, которые, в свою очередь, сопоставляются с шаблонами атак CAPEC, а те — с техниками из Mitre ATT&CK.

Честно говоря, результаты маппинга данных подходов абсолютно не совпадают друг с другом, и это ожидаемо, так как в подходе NopSec анализируется описание CVE из базы NVD, и на основе этой информации производится маппинг на техники злоумышленников, а в проекте CVE2CAPEC — основываясь на информации о связанных дефектах CWE и техниках из базы CAPEC🤨
В итоге в обоих случаях мы имеем неполную картину, но, как минимум, уже понимаем, что эти подходы можно попробовать комбинировать для более точного маппинга.

#cve #cwe #capec #ttp

Пять коммуникативных тактик, мотивирующих сотрудников серьезнее относиться к киберрискам💡

В новом исследовании Gartner подчеркивает, что традиционные методы информирования сотрудников о киберрисках и правилах реагирования на них оказываются неэффективными:
большинство сотрудников не осознают личные последствия, возникающие в результате их неправильного поведения в контексте киберрисков🤔

Чтобы повысить эффективность коммуникаций Gartner предлагают следующие рекомендации по изменению стиля общения:
➡️Тесно увязывайте действия с влиянием, а не последствиями.
Важно акцентировать внимание на позитивном влиянии действий сотрудников на безопасность компании, а также использовать примеры для подражания, что поможет изменить культурные установки в коллективе.
Пример: "Ребята внедрили полный цикл тестирования приложения с использованием только синтетических данных".
➡️Отталкивайтесь от существующих корпоративных ценностей.
Формировать или изменять убеждения проще, если они связаны с уже устоявшимися взглядами и поведением сотрудников.
Пример: "Не имеет значения, что именно программа-вымогатель стала причиной того, что мы не достигли своей цели." (все сотрудники понимают, что недостижение цели равно потере прибыли и потенциальных бонусов в виде премий).
➡️Усиливайте последствия за счет предполагаемого социального давления.
Можно использовать феномен социального давления, который побуждает нас не причинять вред другим.
Пример: "Утечка персональных данных может разрушить жизнь человека".
➡️Сделайте это личным.
Восприятие риска меняется, когда можно представить последствия, которые могут затронуть нас.
Пример:"Если вы считаете, что смена пароля доставляет вам много хлопот, то попробуйте изменить свою личность".
➡️Сделайте это веселым (увлекательным).
Юмор способствует более глубокому сосредоточению и долгосрочному удержанию информации.
Пример: использование мемов и слоганов, высмеивающих пренебрежение правилами кибергигиены.

#awareness #gartner #hrm

Не знаю, с какой целью была создана эта подборка архетипов CISO, но она выглядит интересно как с точки зрения юмора, так и с практической точки зрения. По количеству архетипов даже на подход Кэрол Пирсон накладывается👍
Здесь, например, можно выделить архетип "Славного Малого", напоминающего "Title-Only CISO", который тихо управляет средствами защиты, или "Business CISO" в роли "Любовника", который умеет "залить мёд в уши" и легко защищает бюджет у финансового директора.😏

Шутки шутками, но бизнесу в разные периоды времени, в зависимости от поставленных целей, может потребоваться разный тип CISO. Эту тему, кстати, поднимали в дискуссии на PHDays 2, говоря о том, что цели для CISO ставит именно бизнес и цели эти могут быть крайне противоположными.

#ciso #business #archetype #taxonomy

Кстати, Черная пятница на носу🏷
Репы с подборкой скидок прошлых лет обновлены, поэтому можно посмотреть и прикупить что-нибудь, если есть возможность оплачивать на зарубежных ресурсах🤑

Свежее исследование на тему кибермошенничества от Rambler&Co и Okko👀

Результаты получились интересные и немного противоречивые📊:
➡️70% опрошенных сталкивались с различными видами кибермошенничества. В 75% случаях это были телефонные звонки.
➡️Злоумышленники охотятся за номерами банковских карт и иной информацией о банковских счетах, логинами, паролями, паспортными данными, а также пытаются получить доступ к личным устройствам россиян.
➡️При этом более 60% опрошенных считают, что их не так уж просто обмануть, и им нечего бояться🤔
И в целом россияне рассчитывают только на свои силы в защите от мошенников (видимо, государству и компаниям есть над чем работать).
➡️15% пострадавших от кибермошенничества заявили об ущербе на сумму более полумиллиона рублей⚠️
Большинство пострадавших сообщили о потерях в диапазоне 50-100 тысяч рублей, в то время как 13% опрошенных указали на понесённый моральный ущерб😞

p.s. Напомню, что коллегами в 2023 году проводилось почти аналогичное исследование среди пользователей ресурсов медиахолдинга Rambler&Co.

Агрегаторы трендовых/обсуждаемых уязвимостей📣

🟠Top CVE Trends & Expert Vulnerability Insights — новый агрегатор с "термометром хайповости" для топ-10 обсуждаемых в соц.сетях уязвимостей за сутки.
🟠Cytidel Top Trending — тоже относительно новый агрегатор трендовых уязвимостей за сутки. Есть счетчик упоминаний на различных ресурсах (новостные порталы, ti-отчеты). Ранее упоминал его в канале.
🟠CVE Crowd — агрегатор, собирающий информацию о популярных уязвимостях из соц.сетей типа Fediverse (Mastodon в основном). Ранее упоминал его в канале.
🟠Feedly Trending Vulnerabilities — подборка обсуждаемых уязвимостей от TI-портала Feedly. Из интересного функционала можно выделить временную шкалу, демонстрирующую "важные" моменты жизненного цикла уязвимости (первое публичное упоминание, добавление в различные каталоги т .п.).
🟠CVEShield — уже ветеран среди агрегаторов, который также ранжирует трендовые уязвимости по упоминанию в различных источниках. Ранее упоминал его в канале.
🟠CVE Radar — агрегатор от компании SOCRadar. Создавался в поддержку проекта CVETrends, закрытого из-за изменения политики доступа к API сети X.
🟠Vulners — в разделе поиска можно найти дашборд "Discussed in social networks". В целом, на сайте есть много интересных топов/фильтров, например, Daily Hot, Security news, Blogs review.
🟠Vulmon Vulnerability Trends — тренды от поисковика Vulmon. Из плюсов: можно посмотреть популярное за предыдущие дни.
🟠SecurityVulnerability Trends — видимо какой-то новый агрегатор, т.к. в тренде только одна свежая уязвимость, но выглядит неплохо по функционалу, надеюсь будет развиваться.

#cve #trends #vulnerability #prioritization

Ещё одна интересная аналитика о том как утечки данных повлияли на крупные компании в денежном выражении💵

В исследовании "2024 True Cost of a Security Breach" от Extrahop были проанализированы последствия девяти кибератак на крупные компании, в результате которых были зафиксированы утечки данных клиентов.
Помимо очевидного анализа влияния на курс акций, в документе приведена информация о влиянии кибератак на прибыль компании, а также информация о зафиксированных расходах, связанных с простоем бизнеса, судебными издержками, штрафами, страховыми выплатами и т.п. Ну и краткая информация о самих утечках, конечно же, есть.

Главные выводы от авторов исследования:
➡️Цена акций компаний падают в среднем на 7% через месяц после публичного признания утечки данных.
➡️Итоговые затраты на устранение последствий кибератак могут превысить 10% годовой прибыли.

#costs #breach #business #stock

Artificial Intelligence Vulnerability Scoring System🧮

У традиционной системы оценки уязвимостей CVSS нашли уже много недостатков и ограничений. Пришло время теперь напомнить, что она не учитывает специфику уязвимостей, присущих системам искусственного интеллекта и машинного обучения😑
Поэтому появился проект Artificial Intelligence Vulnerability Scoring System, призванный устранить ограничения CVSS и учесть специфичные метрики для оценки уязвимостей систем AI/ML.

Подробного описания проекта пока нет, но в репозитории можно ознакомиться с составом предлагаемых метрик, их весами, значениями и методикой расчета.
Большая часть метрик представляет собой хорошо знакомые традиционные критерии из CVSS версии 3.0 и 4.0.
Из ИИ-специфичных метрик предлагают учитывать следующие:
🟢Model Robustness
🟢Data Sensitivity
🟢Ethical Impact
🟢Decision Criticality
🟢Adaptability

#cvss #aivss #ai #ml

"Газпром" — второй по популярности бренд в мире! Но есть нюанс...🧐

Ещё летом было опубликовано интересное исследование "Phishing Landscape 2024" консалтинговой компании Interisle, в котором проанализированы тенденции и тренды, используемые злоумышленниками при проведении фишинговых атак.
Безусловно, сразу же бросилось в глаза, что бренд "Газпрома" пользовался особой популярностью у злоумышленников в 2023-2024 годах. Его популярность была настолько велика, что он потеснил таких гигантов, как Microsoft, Meta (деятельность которой запрещена на территории РФ) и Apple с USPS, уступив лишь бренду запрещенной в РФ социальной сети. В отчете, кстати, есть разбор фишинговых атак с использованием популярных брендов.

Что там ещё интересного у фишеров:
➡️Использование названий брендов в доменных именах фишинговых сайтов значительно уменьшилось и составило менее 5% от общего кол-ва проанализированных вредоносных сайтов. Причина банальна: компании стали чаще пользоваться услугами или самостоятельно мониторить сеть Интернет для выявления сайтов, имитирующих легитимные ресурсы, поэтому фишерам приходится обходиться без упоминаний бренда в названии веб-ресурсов.
➡️Применение технологии IPFS (распределенная система для хранения и доступа к файлам, веб-сайтам, приложениям и данным) увеличилось на 1300%. Использование IPFS для размещения вредосного контента позволяет злоумышленникам оптимизировать и скрывать свои ресурсы, что ведет к банальной экономии средств для организации атак.
➡️Фишеры продолжают массово регистрировать большое кол-во доменных имен, а четыре из пяти крупнейших хостинг-провайдеров, используемых фишерами для проведения фишинговых атак, находятся в США😑
Да, в отличии от коллег из Европы и Азии, где действуют более строгие правила регистрации клиентов и, соответственно, наблюдается более низкий уровень фишинговой активности, американские провайдеры не спешат что-то менять.
➡️Новые международные домены верхнего уровня (new gTLD) пользуются особой популярностью: доменные зоны как .lol, .bond, .support, .top, .sbs стали любимыми площадками фишеров.
Что уж говорить про сервисы, предоставлящие возможность зарегистрировать свою страничку на фирменных поддоменах😅 Да, например, blogspot.com и github.io отметились двукратным ростом обнаруженных на них фишинговых страниц.

#phishing #brand #tld

Всего 1% пользователей стоит за 44% всех кликов по фишинговым письмам, а на 5% пользователей приходится 83,4% всех кликов📊

Mimecast и Cyentia Institute представили совместное исследование о подверженности сотрудников трем "грехам человеческим": кликам на фишинговые письма, загрузке и запуску вредоносного ПО, а также посещению запрещенных политикой организации сайтов.
Этот отчет выделяется тем, что авторы анализируют не только результаты фишинговых киберучений, но и реальные фишинговые атаки, что позволяет более объективно оценить уровень риска и эффективность регулярного обучения сотрудников.

Основные выводы исследования:

🟡Результаты фишинговых киберучений почти полностью не совпадают с результатами реальных атак.
🟡Около 5% сотрудников ответственны за 75% всех случаев реализации рисков КБ.
🟡Регулярное обучение (курсы, киберучения) позволяет снизить уровень реализации рисков КБ на 25%.

Эти выводы в очередной раз доказывают, что не стоит надеяться на классический подход в обучении сотрудников: схема "учения ради обучения" и наоборот не работает. Безусловно, регулярное обучение сотрудников важно и отказываться от него нельзя, но следует понимать, что этот процесс позволит лишь условно ограничить "поверхность атаки", уменьшая количество сотрудников, которые кликнут по ссылке из фишингового письма или наоборот, увеличивая число тех, кто сообщит о подозрительных письмах.
Кстати, в свежем исследовании известной компании Know4Be говорится как раз о том, что регулярное обучение сотрудников в течение более года позволяет снизить процент попадающихся на учебный фишинг примерно до 5%. Однако, мы-то с вами уже знаем, что эти 5% сотрудников могут не являться теми самыми 5%, которые попадаются на реальные фишинговые письма😑
Здесь можно словить чувство разочарования и отчаяния😅

Таким образом, полагаться исключительно на результаты киберучений и обучений нельзя. Необходимо расширять область анализа и подключать новые источники информации, чтобы более точно выявлять сотрудников, подверженных рискам кибербезопасности, и ставить их на особой контроль.

#awareness #phishing #hrm #know4be #mimecast #training #riskmanagement

Альтернативный топ наиболее опасных дефектов программного обеспечения от Vulncheck🔝

Исследователи VulnCheck пересмотрели рейтинг MITRE из 25 наиболее опасных уязвимостей программного обеспечения (CWE) за 2024 год, используя подход, ориентированный на учет фактов реальной эксплуатации уязвимостей: вместо простого подсчета CVE, берется информация об известных эксплуатируемых уязвимостях (из каталога Vulncheck KEV) и анализируется соотношение кол-ва эксплуатируемых CVE к общему кол-ву CVE в разрезе дефектов CWE. Конечный топ формируется на основе кол-ва эксплуатируемых уязвимостей, связанных с определенными дефектами CWE.
Основной вывод исследования заключается в том, что список MITRE, хотя и важен, чрезмерно фокусируется на количестве уязвимостей, игнорируя реальный контекст эксплуатации.

Главные выводы:
➡️Рейтинг MITRE во многом основывается на количестве CVE, что не всегда отражает реальный уровень опасности.
➡️Некоторые CWE с высоким количеством CVE имеют низкий уровень эксплуатации (например, CWE-352, CWE-89), в то время как некоторые CWE с меньшим количеством CVE имеют высокий уровень эксплуатации (например, CWE-77, CWE-94).
➡️Существуют CWE, которые не вошли в топ-25 MITRE, но имеют значительное количество эксплуатируемых уязвимостей:
🟢Improper Access Control (CWE-284)
🟢Type Confusion (CWE-843)
🟢Authentication Bypass Using an Alternate Path or Channel (CWE-288)
🟢Heap-based Buffer Overflow (CWE-122)
🟢Buffer Copy without Checking Size of Input (CWE-74)

Помимо разбора интересных отклонений от топа MITRE в исследовании есть аналитика по вендорам: можно посмотреть тепловую древовидную карту дефектов CWE, которые активно используются в широко распространенных продуктах.

#vm #cve #mitre #kev #cwe #vulnerability #vulncheck