Свежее исследование на тему кибермошенничества от Rambler&Co и Okko👀

Результаты получились интересные и немного противоречивые📊:
➡️70% опрошенных сталкивались с различными видами кибермошенничества. В 75% случаях это были телефонные звонки.
➡️Злоумышленники охотятся за номерами банковских карт и иной информацией о банковских счетах, логинами, паролями, паспортными данными, а также пытаются получить доступ к личным устройствам россиян.
➡️При этом более 60% опрошенных считают, что их не так уж просто обмануть, и им нечего бояться🤔
И в целом россияне рассчитывают только на свои силы в защите от мошенников (видимо, государству и компаниям есть над чем работать).
➡️15% пострадавших от кибермошенничества заявили об ущербе на сумму более полумиллиона рублей⚠️
Большинство пострадавших сообщили о потерях в диапазоне 50-100 тысяч рублей, в то время как 13% опрошенных указали на понесённый моральный ущерб😞

p.s. Напомню, что коллегами в 2023 году проводилось почти аналогичное исследование среди пользователей ресурсов медиахолдинга Rambler&Co.

Агрегаторы трендовых/обсуждаемых уязвимостей📣

🟠Top CVE Trends & Expert Vulnerability Insights — новый агрегатор с "термометром хайповости" для топ-10 обсуждаемых в соц.сетях уязвимостей за сутки.
🟠Cytidel Top Trending — тоже относительно новый агрегатор трендовых уязвимостей за сутки. Есть счетчик упоминаний на различных ресурсах (новостные порталы, ti-отчеты). Ранее упоминал его в канале.
🟠CVE Crowd — агрегатор, собирающий информацию о популярных уязвимостях из соц.сетей типа Fediverse (Mastodon в основном). Ранее упоминал его в канале.
🟠Feedly Trending Vulnerabilities — подборка обсуждаемых уязвимостей от TI-портала Feedly. Из интересного функционала можно выделить временную шкалу, демонстрирующую "важные" моменты жизненного цикла уязвимости (первое публичное упоминание, добавление в различные каталоги т .п.).
🟠CVEShield — уже ветеран среди агрегаторов, который также ранжирует трендовые уязвимости по упоминанию в различных источниках. Ранее упоминал его в канале.
🟠CVE Radar — агрегатор от компании SOCRadar. Создавался в поддержку проекта CVETrends, закрытого из-за изменения политики доступа к API сети X.
🟠Vulners — в разделе поиска можно найти дашборд "Discussed in social networks". В целом, на сайте есть много интересных топов/фильтров, например, Daily Hot, Security news, Blogs review.
🟠Vulmon Vulnerability Trends — тренды от поисковика Vulmon. Из плюсов: можно посмотреть популярное за предыдущие дни.
🟠SecurityVulnerability Trends — видимо какой-то новый агрегатор, т.к. в тренде только одна свежая уязвимость, но выглядит неплохо по функционалу, надеюсь будет развиваться.

#cve #trends #vulnerability #prioritization

Ещё одна интересная аналитика о том как утечки данных повлияли на крупные компании в денежном выражении💵

В исследовании "2024 True Cost of a Security Breach" от Extrahop были проанализированы последствия девяти кибератак на крупные компании, в результате которых были зафиксированы утечки данных клиентов.
Помимо очевидного анализа влияния на курс акций, в документе приведена информация о влиянии кибератак на прибыль компании, а также информация о зафиксированных расходах, связанных с простоем бизнеса, судебными издержками, штрафами, страховыми выплатами и т.п. Ну и краткая информация о самих утечках, конечно же, есть.

Главные выводы от авторов исследования:
➡️Цена акций компаний падают в среднем на 7% через месяц после публичного признания утечки данных.
➡️Итоговые затраты на устранение последствий кибератак могут превысить 10% годовой прибыли.

#costs #breach #business #stock

Artificial Intelligence Vulnerability Scoring System🧮

У традиционной системы оценки уязвимостей CVSS нашли уже много недостатков и ограничений. Пришло время теперь напомнить, что она не учитывает специфику уязвимостей, присущих системам искусственного интеллекта и машинного обучения😑
Поэтому появился проект Artificial Intelligence Vulnerability Scoring System, призванный устранить ограничения CVSS и учесть специфичные метрики для оценки уязвимостей систем AI/ML.

Подробного описания проекта пока нет, но в репозитории можно ознакомиться с составом предлагаемых метрик, их весами, значениями и методикой расчета.
Большая часть метрик представляет собой хорошо знакомые традиционные критерии из CVSS версии 3.0 и 4.0.
Из ИИ-специфичных метрик предлагают учитывать следующие:
🟢Model Robustness
🟢Data Sensitivity
🟢Ethical Impact
🟢Decision Criticality
🟢Adaptability

#cvss #aivss #ai #ml

"Газпром" — второй по популярности бренд в мире! Но есть нюанс...🧐

Ещё летом было опубликовано интересное исследование "Phishing Landscape 2024" консалтинговой компании Interisle, в котором проанализированы тенденции и тренды, используемые злоумышленниками при проведении фишинговых атак.
Безусловно, сразу же бросилось в глаза, что бренд "Газпрома" пользовался особой популярностью у злоумышленников в 2023-2024 годах. Его популярность была настолько велика, что он потеснил таких гигантов, как Microsoft, Meta (деятельность которой запрещена на территории РФ) и Apple с USPS, уступив лишь бренду запрещенной в РФ социальной сети. В отчете, кстати, есть разбор фишинговых атак с использованием популярных брендов.

Что там ещё интересного у фишеров:
➡️Использование названий брендов в доменных именах фишинговых сайтов значительно уменьшилось и составило менее 5% от общего кол-ва проанализированных вредоносных сайтов. Причина банальна: компании стали чаще пользоваться услугами или самостоятельно мониторить сеть Интернет для выявления сайтов, имитирующих легитимные ресурсы, поэтому фишерам приходится обходиться без упоминаний бренда в названии веб-ресурсов.
➡️Применение технологии IPFS (распределенная система для хранения и доступа к файлам, веб-сайтам, приложениям и данным) увеличилось на 1300%. Использование IPFS для размещения вредосного контента позволяет злоумышленникам оптимизировать и скрывать свои ресурсы, что ведет к банальной экономии средств для организации атак.
➡️Фишеры продолжают массово регистрировать большое кол-во доменных имен, а четыре из пяти крупнейших хостинг-провайдеров, используемых фишерами для проведения фишинговых атак, находятся в США😑
Да, в отличии от коллег из Европы и Азии, где действуют более строгие правила регистрации клиентов и, соответственно, наблюдается более низкий уровень фишинговой активности, американские провайдеры не спешат что-то менять.
➡️Новые международные домены верхнего уровня (new gTLD) пользуются особой популярностью: доменные зоны как .lol, .bond, .support, .top, .sbs стали любимыми площадками фишеров.
Что уж говорить про сервисы, предоставлящие возможность зарегистрировать свою страничку на фирменных поддоменах😅 Да, например, blogspot.com и github.io отметились двукратным ростом обнаруженных на них фишинговых страниц.

#phishing #brand #tld

Альтернативный топ наиболее опасных дефектов программного обеспечения от Vulncheck🔝

Исследователи VulnCheck пересмотрели рейтинг MITRE из 25 наиболее опасных уязвимостей программного обеспечения (CWE) за 2024 год, используя подход, ориентированный на учет фактов реальной эксплуатации уязвимостей: вместо простого подсчета CVE, берется информация об известных эксплуатируемых уязвимостях (из каталога Vulncheck KEV) и анализируется соотношение кол-ва эксплуатируемых CVE к общему кол-ву CVE в разрезе дефектов CWE. Конечный топ формируется на основе кол-ва эксплуатируемых уязвимостей, связанных с определенными дефектами CWE.
Основной вывод исследования заключается в том, что список MITRE, хотя и важен, чрезмерно фокусируется на количестве уязвимостей, игнорируя реальный контекст эксплуатации.

Главные выводы:
➡️Рейтинг MITRE во многом основывается на количестве CVE, что не всегда отражает реальный уровень опасности.
➡️Некоторые CWE с высоким количеством CVE имеют низкий уровень эксплуатации (например, CWE-352, CWE-89), в то время как некоторые CWE с меньшим количеством CVE имеют высокий уровень эксплуатации (например, CWE-77, CWE-94).
➡️Существуют CWE, которые не вошли в топ-25 MITRE, но имеют значительное количество эксплуатируемых уязвимостей:
🟢Improper Access Control (CWE-284)
🟢Type Confusion (CWE-843)
🟢Authentication Bypass Using an Alternate Path or Channel (CWE-288)
🟢Heap-based Buffer Overflow (CWE-122)
🟢Buffer Copy without Checking Size of Input (CWE-74)

Помимо разбора интересных отклонений от топа MITRE в исследовании есть аналитика по вендорам: можно посмотреть тепловую древовидную карту дефектов CWE, которые активно используются в широко распространенных продуктах.

#vm #cve #mitre #kev #cwe #vulnerability #vulncheck

Государственное управление, информационные технологии и связь, коммунальное хозяйство, транспорт и складирование, финансы и страхование — наиболее страдающие от киберинцидентов отрасли экономики РФ по количеству подтвержденных кибератакℹ️.

Если верить статистике Центра международных исследований в области безопасности в Мэриленде, приведенной в документе "Cybersecurity Economics for Emerging Markets", то Россия входит в пятерку стран, наиболее подверженных кибератакам, за период с 2014 по 2023 гг. по отраслям экономики, указанным в заголовке поста.
Может, не всё так и плохо: вон, США везде в топе😄
А если смотреть на кол-во инцидентов, приходящихся на 1000 человек населения, то совсем всё неплохо — нас в топах нет😁

Сам документ, изданный Всемирным Банком примечателен тем, что для анализа ландшафта киберугроз использовались обширные данные об киберинцидентах, собранных с помощью инструментов ИИ. Исследование связывает киберриски с экономическими последствиями, выявляя существенные потери ВВП и проблемы рынка кибербезопасности в развивающихся странах🥱.
Звучит, может, не очень интересно, но можно почерпнуть полезную информацию, а если заглянуть в раздел приложений, то можно найти аналитику по влиянию крупных киберинцидентов на стоимость акций компаний💵

#breach #costs #stock #economics

Не являюсь поклонником подведения итогов, но созерцая результаты статистики канала за 2024 год, хочу сказать спасибо всем подписчикам и коллегам за Ваше признание, поддержку и советы🥰
Канал подрос (и я тоже😅), появился в подборке популярных каналов по кибербезопасности и даже залетел в один уважаемый топ🙏

Всем ещё раз спасибо и с наступающими праздниками!🎄

Перенёс в статью на телетайп и обновил список агрегаторов трендовых/обсуждаемых уязвимостей.

Новое в подборке:
🟠CVESky — агрегатор обсуждаемых уязвимостей в децентрализованной сети микроблогов BlueSky. Есть топы за каждый день, а для уязвимостей приводится описание, оценка CVSS, наличие эксплойта, вхождение в каталог CISA KEV, а также ссылки на ресурсы, где можно почитать подробнее про уязвимость, в т.ч. ссылка на ресурс с таймлайном жизни уязвимости.
🟠Vulnerability-lookup — ресурс Люксембургского CERT, где помимо общей информации об уязвимостях есть информация об упоминании в социальных сетях и иных ресурсах, а также топы уязвимостей по упоминаниям за неделю. Статистику можно скачивать по API.

#cve #trends #vulnerability #prioritization

400 евро за ip-адрес и кукисы💸

Еврокомиссию, высший орган исполнительной власти Европейского союза, ответственный за подготовку законопроектов (в т.ч. GDPR), впервые оштрафовали за нарушение собственных же требований по защите персональных данных😅

Суть дела:
🟢Гражданин Германии подал иск против Европейской Комиссии, утверждая, что при посещении веб-сайта "Конференции о будущем Европы" его персональные данные (ip-адрес и кукисы браузера) были переданы компаниям Meta Platforms, Inc. (признана в РФ экстремистской) и Amazon CloudFront в нарушение установленных требований законодательства ЕС.
🟢Заявитель воспользовался возможностью входа на сайт конференции по кнопке "Войти с помощью Facebook" (социальная сеть Facebook запрещена на территории РФ).
🟢Заявитель утверждал, что при передаче информации возник риск того, что к его персональным данным получат доступ службы безопасности и разведки США🕵️‍♂️

Итоги судебного разбирательства:
🟢Суд установил, что на момент передачи данных не было решения Еврокомиссии о том, что США обеспечивают адекватный уровень защиты персональных данных граждан ЕС. Комиссия также не предоставила доказательств наличия соответствующих гарантий, таких как стандартные положения о защите данных или договорные положения.
🟢Суд установил, что Еврокомиссия нарушила условия, установленные законодательством ЕС, для передачи персональных данных из организации ЕС в третью страну, но только в отношении передачи информации в сторону Meta Platforms, Inc. (признана в РФ экстремистской), т.к. передача данных в сторону Amazon не подтвердилась (кэширующий сервер CDN был размещен на территории Германии).
🟢Суд постановил, что Комиссия должна выплатить истцу 400 евро в качестве компенсации за нематериальный ущерб, связанный с "неопределенностью в отношении обработки его персональных данных, в частности, его IP-адреса".💰

Что ж, интересный прецедент получился: с одной стороны, показательно, что орган, фактически создавший GDPR, не уследил за своими ресурсами и позволил себе нарушить требования по защите персональных данных, а с другой стороны – не специально ли гражданин сначала зарегистрировался, чтобы потом подать иск и получить более крупную компенсацию?🤔

OWASP Non-Human Identities Top 10 - 2025🤖

В конце прошлого года OWASP опубликовал новый проект, в котором были описаны и проранжированы основные риски, связанные с использованием не-человеческих идентификаторов в процессах разработки ПО.
Под "не-человеческими идентификаторами" (машинными идентификаторами или программными учетными данными) понимаются токены, ключи API, сервисные/технические учетные записи, используемые приложениями, службами, процессами и т.д.
Не-человеческие идентификаторы (далее — НЧИ), которые часто используются для автоматизации процессов, доступа к ресурсам и взаимодействия между системами, являются привлекательной мишенью для злоумышленников, если не управляются должным образом.

Перечень рисков был был сформирован на основе анализа реальных киберинцидентов, опросов, баз данных уязвимостей и других источников, с использованием методологии OWASP Risk Rating:
🔴Некорректный (ненадлежащий) вывод из эксплуатации НЧИ — риск заключается в том, что злоумышленник может использовать НЧИ, извлеченные из устаревших или уже неиспользуемых служб, сервисов или функционала ПО.
🔴Утечка секретов — раскрытие секретов, используемых НЧИ, может привести к несанкционированному доступу. Например, когда секреты передаются и хранятся в открытом виде.
🔴Использование уязвимых сторонних компонент с НЧИ — создает риск раскрытия НЧИ при возможной компрометации стороннего ПО или наличия уязвимостей в нем.
🔴Небезопасная аутентификация — использование устаревших, слабых механизмов аутентификации позволяет извлекать секреты НЧИ.
🔴Использование НЧИ с избыточными привилегиями — НЧИ, имеющие больше прав доступа, чем им необходимо для выполнения своих задач, представляют повышенный риск, так как их компрометация может привести к большему ущербу (компрометации большей части инфраструктуры).
🔴Небезопасные конфигурации облачных развертываний — при интеграциях конвейера разработки с облачными сервисами существует риск компрометации среды разработки, связанный с возможным раскрытием учетных данных, с помощью которых настраивается эта интеграция.
🔴Долгоживущие секреты — отсутствие ротации или слишком большой срок жизни секретов увеличивает риск их компрометации, позволяя злоумышленнику использовать, например, специфичные атаки или сохранять длительный доступ к скомпрометированной инфраструктуре.
🔴Изоляция сред — использование одних и тех же НЧИ в различных окружениях может позволить злоумышленнику успешно перемещаться между средами разработки (например, из среды тестирования в прод).
🔴Переиспользование НЧИ — использование одних и тех же НЧИ для разных целей увеличивает поверхность атаки и риск компрометации нескольких приложений, сервисов, служб.
🔴Использование НЧИ человеком — создает значительные риски безопасности, связанные с возможным повышением привилегий НЧИ, увеличением поверхности атаки (например, кража секретов НЧИ у сотрудника с помощью атак социальной инженерии), затруднение аудита доступов и расследования потенциальных инцидентов (из-за смешения автоматических операций с ручными).

Для каждого риска приводится подробное описание, сценарии возможных атак, меры митигации, аналитика на основе реальных инцидентов и ранжирование по уровню критичности (в разрезе сложности эксплуатации злоумышленником, влияния, распространенности атак и сложности их обнаружения).

#owasp #nhi #identities #risk #secrets

Ассоциация британских страховщиков разработала мини-фреймворк для "правильного" анализа крупных киберинцидентов с точки зрения страхования и перестрахования.
Цели документа:
🟠Повышение осведомленности о киберрисках и их компонентах.
🟠Определение риск-аппетита и улучшение решений в области страхования киберрисков.
🟠Улучшение коммуникаций между участниками процесса страхования.
🟠Единый подход к определению крупных киберинцидентов.
🟠Понять как заработать больше денег на клиентах

Для достижения заявленных целей предлагается "раскладывать" крупный киберинцидент на семь основных компонент:
🟢Кто (атрибуция) – атрибуция важна для оценки источника потерь, создания картины угроз и понимания первопричины киберсобытия.
Также отмечается, что события могут быть идентифицированы как незлонамеренные: например, в 2024 году было несколько киберинцидентов, связанных со сбоями в средствах защиты информации (самый громкий, конечно, кейс CrowdStrike).
🟢Что (причина потерь) – определение объединяющего фактора (общей причины, события или риска), который привел к возникновению киберинцидента. С точки зрения страхования это важно для возможности агрегирования убытков, когда множественные претензии объединяются по одному событию (причине), что влияет на страховые выплаты.
🟢Где (страховой след) – определение масштаба киберсобытия с учетом цифровой экосистемы, географии, типа технологии и отраслевого сектора.
🟢Когда (начало и продолжительность) – звучит понятно, но на деле определение временных окон очень сложно, т.к. почти всегда сложно определить когда начался киберинцидент и закончился ли он. В документе приводятся подходы для определения временных рамок инцидентов.
🟢Как (механизм распространения) – данный компонент описывает механизм распространения вредоносных файлов, кода или активности во время киберинцидента. Понимание этого механизма важно для определения масштаба потенциального ущерба, возможности агрегирования убытков и оценки эффективности мер управления рискам.
🟢Почему (мотив) – помогает понять причины и цели кибератаки, что важно для определения потенциальных последствий, объема страхового покрытия и разработки мер реагирования.
🟢Влияние (убыток) – помогает количественно оценить серьезность киберсобытия с точки зрения финансовых потерь и определить, является ли событие значительным с точки зрения страхования и экономики. Этот компонент также учитывает различные типы убытков и их изменчивость в зависимости от других компонентов.

Примечательно, что для каждого компонента приводятся пояснения на примерах реальных инцидентов (Colonial Pipeline, NotPetya, CrowdStrike и другие громкие кейсы).

#insurance #loss #breach