Warning: Undefined array key 0 in /var/www/tgoop/function.php on line 65

Warning: Trying to access array offset on value of type null in /var/www/tgoop/function.php on line 65
- Telegram Web
Telegram Web
Свежее исследование "Different Seas, Different Phishes" о нашем любимом: фишинговых симуляциях и попытках найти закономерности в поведении сотрудников🎣
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.

Эффективность различных параметров фишинга:
🎯 Сценарии целевого фишинга (ожидаемо) повышали кликабельность на 22% по сравнению со сценариями массового фишинга.
🤑 Сценарии типа "Не упусти выгоду" демонстрировали на 18% более высокую вовлеченность, чем сценарии компрометации аккаунта, что подчеркивает эффективность страха упущенной выгоды (FOMO, привет!) по сравнению со страхом угрозы безопасности.
🧐 Повышение сложности шаблона давало лишь 6% роста кликабельности, что указывает на главенствующую роль психологического фактора и фактора контекста.

Межотраслевые и внутриорганизационные различия:
Организации сектора промышленности и производства показали на 41% меньше уровень кликабельности, чем сфера услуг, что связано с автоматизированными процессами и меньшей зависимостью от почтовых коммуникаций.
👨‍💻 Отделы маркетинга и продаж продемонстрировали более чем в два раза большую подверженность фишинговым симуляциям по сравнению с финансовым департаментом. Это различие может объясняться несколькими факторами: сотрудники финансовых департаментов, возможно, более осторожны с электронной почтой из-за характера их работы с конфиденциальной финансовой информацией, в то время как сотрудники отделов продаж и маркетинга могут быть более склонны к активному взаимодействию с внешними контактами и новыми возможностями.
👨‍💻 Менеджеры среднего звена на 15% чаще взаимодействовали с фишинговыми письмами, чем топ-менеджеры, что опровергает стереотип о большей уязвимости высшего руководства.

Рекомендации ИБ-специалистам:
➡️При построении системы защиты необходимо учитывать коммуникационные паттерны и рабочие процессы свойственные конкретной индустрии.
➡️При проведении тренингов также необходимо учитывать специфику работы различных департаментов, в т.ч. нюансы коммуникаций с "внешним миром".
➡️ Использование фишинговых симуляций с прогрессивно увеличивающейся персонализацией позволяет точнее оценивать реальную уязвимость организации, чем статичные тесты на базе шаблонных сценариев.

Также, авторы исследования подсветили, что в публичных отчетах вендоров решений security awareness human risk management сообщается о более высоких показателей кликов, что может свидетельствовать о предвзятой оценке, направленной на увеличение продаж их продуктов😏

#awareness #phishing #training #risk #hrm #simulation
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍113🔥2👀1
Что могут красть инфостилеры и сколько это стоит на теневых маркетах🛍

➡️Инфостилеры являются самым популярным (по продажам) типом вредоносного ПО в дарквебе, что не удивительно: медианная цена составляет всего 400 долларов, функционал по сбору различных учетных данных широк (см. первый скрин) и постоянно дорабатывается, а потенциальный "выхлоп" может приводить к компрометации крупных компаний и получению прибыли как от очевидной продажи доступов в инфраструктуру жертвы, так и непосредственно от самого выкупа в случае реализации негативного воздействия (например, шифрования корпоративных данных).

➡️Стоимость украденных учетных данных может сильно варьироваться как от типа (vpn-данные, sso-токены и т.п.), принадлежности физ.лицу или юр.лицу, так и от объема закупаемых данных, качества их обработки и платной подписки.
Например, в исследовании KELA приводится информация о том, что отдельную запись учетных данных можно купить за 5$. При этом, можно воспользоваться платными подписками на логи инфостилеров, начиная со 150$ за доступ к файлам ULP (url/login/pass), заканчивая "вечными" подписками за 8000$.
Согласно исследованию Positive Technologies, медианная цена на учетные данные достигает 1150$. На втором скрине (неизвестного мне исследования) можно увидеть разброс цен от 10$ до 250$ за разные типы учетных данных.

➡️Бонус: на третьем скрине статистика по департаментам, сотрудники которых чаще остальных "ловят" инфостилеры. Ранее уже публиковал эту информацию из предыдущего исследования KELA, но здесь уже более расширенный вариант.

#infostealer #vpn #market #credentials
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥4👏1
Совет по стандартам безопасности индустрии платёжных карт (PCI SSC) недавно опубликовал инфографику, иллюстрирующую процесс управления уязвимостями в рамках стандарта PCI DSS💳
Схема процесса сопровождается также небольшой статьей, разъясняющей ключевые требования стандарта PCI DSS в части приоритизации и устранения уязвимостей🛠

Пожалуй, главное, что подчеркивают авторы в статье: не обязательно "принимать на веру" установленные внешними источниками уровни критичности уязвимостей (по CVSS, EPSS и т.п.), а даже рекомендуется пересматривать или дополнять эти оценки, учитывая контекст: возможность эксплуатации уязвимости в конкретной инфраструктуре и негативное влияние на бизнес-процессы. Главное, чтобы в организации была установлена прозрачная методика оценки рисков и приоритизации, а сами уязвимости устранялись в установленные сроки: для "критичных" – за месяц в соответствии с требованиями стандарта, для остальных – как сами решите.

#cvss #epss #vm #vulnerability #pcidss #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
👍92
Скомпрометированные учетные записи остаются наиболее распространенным способом проникновения в организации за последнее десятилетие, медианные потери ($) от инцидента кибербезопасности с 2008 года выросли в 15 раз, а вероятность того, что организация станет жертвой злоумышленников выросла в 4 раза😱
Вот такими выводами делится с нами Cyentia Institute в недавно опубликованном исследовании "Information Risk Insights Study 2025", представляющем собой комплексный анализ тенденций в области кибербезопасности за период с 2008 по 2024 год, основанный на изучении более 150 000 киберинцидентов.

А ещё:
🔊Инциденты кибербезопасности не просто стали обходиться дороже, но и стали оказывать более значительное влияние на операционную деятельность – доля потерь от инцидентов выросла в 8 раз относительно годовой выручки организаций, хотя медианные потери (пока) не превышают 1% от выручки.
В то же время существует сегмент "хвостовых потерь" (выше 95 персентиля) – в таких организациях случались "экстремальные" финансовые потери, которые превышали годовую выручку💲
🔊Вторжение (system intrusion) стабильно удерживает первую строчку среди категорий инцидентов, а шифровальщики захватили вторую строчку топа, начав резкий взлет с 2019 года. С 2022 года топ-3 достигли DDoS-атаки. Из нисходящих трендов можно отметить заметное падение кол-ва инцидентов, связанных с непреднамеренными случаями раскрытия информации или мисконфигов, приводящих к компрометации систем.
🔊Среди техник получения первоначального доступа в системы жертв действующие учетные записи сотрудников и фишинг, конечно же, находятся в топе, а тройку лидеров замыкает эксплуатация уязвимостей в веб-приложениях.
Но и здесь можно найти интересные наблюдения: использование скомпрометированных учетных записей в атаках резко растет для крупнейших корпораций, в то время как для остальных организаций наблюдается тенденция к снижению.
В то же время использование фишинга и веб-уязвимостей наиболее распространено среди инцидентов, затрагивающих небольшие компании.
🔊Отдельно стоит отметить, что атаки на цепочку поставок занимают последнюю строчку в топе исследования, но авторы подчеркивают, что причина может крыться в том, что компании редко указывают эту технику как начальную фазу атаки в своих публичных отчетах🤔
Это довольно странно, учитывая тот факт, что согласно данным сервиса Feedly в 2024 году компрометация цепочки поставок заняла уверенное третье место среди техник получения первоначального доступа.

#iris #ttp #research #incident #phishing #credentials #ddos #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍42🤔1
Решил причесать свою подборку полезных и интересных (на мой вкус) ресурсов на тему управления уязвимостями и разместил в открытом доступе🆓
Это пока первая редакция, но в любом случае планирую постоянно обновлять подборку ссылок на вышеуказанной странице😉

p.s. Агрегаторы трендовых/обсуждаемых уязвимостей, которые собирал на телетайпе, есть в этой подборке, но статью пока тоже продолжу обновлять параллельно.
Там, кстати, есть несколько изменений:
🟢Добавлен ресурс Talkback.sh — отличный агрегатор новостей на тему ИБ, где также есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости.
🟢Добавлен ресурс CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.
🟢Ресурс Cytidel Top Trending закрыт.

#cve #vm #bookmarks #prioritization #trends #cvss #epss
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥53
Модель зрелости использования обманных систем🕸

Довольно неплохой фреймворк от компании DECEPTIQ: для каждого уровня зрелости есть описание, стратегии развития и ключевые метрики для отслеживания. Бонусом идёт опросник для определения текущего уровня зрелости, а в конце авторы развенчивают распространенные мифы, связанные с внедрением обманных систем.

Помимо вышеуказанного фреймворка можно еще посмотреть "канареечную" модель зрелости от Tracebit: она попроще и ограничивается уровнем использования приманок (ханитокенов, "канареек").

#ddp #deception #honeytoken #canary #maturity #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
👍81🥴1
Компания Microsoft выпустила интересную аналитику о "поведенческих паттернах" работников на основе телеметрии использования продуктов семейства Microsoft 365, констатируя, что рабочий день становится "бесконечным":
1️⃣ Проверкой рабочей почты в 6 утра занимается около 40% пользователей, а к 10 вечера почти треть активных работников снова открывают почту для прочтения писем. По выходным каждый пятый проверяет почту до полудня, 5% — в воскресенье вечером.
2️⃣ Среднестатистический работник получает 117 электронных писем в день, большинство из которых просматриваются менее чем за 60 секунд.
3️⃣ Половина всех встреч проходит между 9–11 утра и 13–15 дня. Больше всего встреч назначают на вторник, а меньше всего — в пятницу. Именно в эти периоды наблюдаются естественные всплески производительности работников, но большое количество встреч, писем и сообщений отвлекает их и приводит к потере концентрации и расфокусу.

Причем тут ИБ, скажете вы?
🟠Как минимум, обладая такой информацией об активности пользователей, злоумышленники могут планировать фишинговые атаки — если посмотреть крупные исследования о фишинге, то можно увидеть, что авторы очень часто указывают данные о "популярных" часах, в которые чаще всего рассылаются фишинговые письма.
🟠Если вернуться к первому пункту, то с точки зрения защиты можно подумать о том, работает ли ваш SOC в 6 утра и на сколько быстро готовы сотрудники ИБ реагировать на инциденты в такую рань?🥱
Также можно провести киберучения в разное время суток и проанализировать как сотрудники реагируют на получение подозрительных писем в зависимости от фаз рабочего дня👨‍💻
🟠Во втором пункте говорится об огромном кол-ве получаемых писем и довольно коротком времени их чтения — менее 60 секунд. Хотя, ещё несколько лет назад в аналогичных исследованиях заявляли, что на одно письмо вообще уходит не более 9 секунд, а для того, чтобы попасться на фишинг достаточно одной минуты.
🟠Казалось бы, что большое кол-во писем и их стремительное прочтение должно приводить к тому, что и полученное фишинговое письмо может "утонуть в почтовом болоте", но удачно подобранный психологический вектор, например, связанный со срочностью и важностью, в письме, присланном в наиболее загруженные периоды (см. пункт 3) работы, может сработать, т.к. сотрудник будет невнимателен и рассеян😴

#phishing #фишинг #psychology #training
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Компания Pillar Security опубликовала разработанный совместно с коллегами по цеху фреймворк SAIL (Secure AI Lifecycle), представляющий собой процессно-ориентированное руководство по разработке и развертыванию безопасных ИИ-приложений🧠

По факту фреймворк представляет собой матрицу рисков, сгруппированных по семи этапам разработки и развертывания ИИ-приложений. Для каждого риска есть описание, пример небезопасной реализации, затрагиваемые компоненты ИИ-приложения, меры митигации и связанные требования/меры из фреймворков NIST AI RMF, ISO 42001, OWASP и DASF.

В размещённой на сайте брошюре можно найти разбор пары кейсов атак и примеры выборы мер митигации из фрейворка SAIL, а в самом последнем приложении — ссылки на полезные руководства и фреймворки в области ИИ.

#ai #framework #risk #sail #lifecycle
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2
А вот ещё один новый ресурс, посвященный безопасности ИИ-агентов, от активного участника проектов OWASP🧠

Agentic Security Hub включает в себя:
➡️Описание ключевых компонентов ИИ-агентов
➡️Описание и сравнение архитектур ИИ-агентов.
➡️Реестр угроз с описанием векторов атак.
➡️Реестр защитных мер.
➡️Опросник по стандарту OWASP AISVS (AI Security Verification Standard).
➡️Опросник самооценки по OWASP Securing Agentic Applications guide для формирования модели угроз и рекомендаций по защитным мерам.
➡️Маппинг мер фреймворка NIST AI RMF на OWASP AISVS.
➡️База уязвимостей Agentic Vulnerability Database (AVD) – правда пока раздел в разработке и в базе есть только три записи про уязвимости ИИ-агентов.

Все разделы связаны друг с другом кросс-ссылками, а часть имеет также инструменты для визуализации.
Также есть библиотека полезных ресурсов, содержащая на текущий момент ссылки на 219 различных документов по теме безопасности ИИ.

#ai #framework #controls #aisvs #archirecture #owasp #avd
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥42
Gartner опубликовал свежую кривую хайпа технологий, используемых для операций ИБ – Hype Cycle for Security Operations 2025🔥
Для наглядности также приложил версию 2024 года.

Пожалуй, главным изменением по сравнению с 2024 годом является "объявление смерти" для решений класса EASM (External Attack Surface Management) и CAASM (Cyber Asset Attack Surface Management) до выхода на плато продуктивности. ⚰️
В целом, это было довольно ожидаемо, учитывая, что на пике сейчас решения класса TEM (Threat Exposure Management) и EAP (Exposure Assessment Platforms), которые объединили в себе функционал вышеуказанных решений.
С таким подходом к выделению отдельных решений с узким функционалом и количеством акронимов (и аббревиатур) можно каждый год что-то "рожать и хоронить"😵

Также стоит обратить внимание, что сервисы Digital Risk Protection (DRP) тоже "приказали долго жить": видимо TI-продукты и сервисы поглотили их функционал.

#gartner #easm #caasm #ctem #eap #secops #drp
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥93👍2👀1
🧮System Security Context Vector (SSCV) Framework

Ещё одна методика приоритизации устранения уязвимостей🤪 Скоро закончатся уникальные аббревиатуры под названия каждой новой методики😂
В рамках данного подхода вычисляется контекстная оценка риска (CRS) на основе базовой оценки уязвимости по CVSS 3.1 и с учетом контекста (защищенности) рассматриваемой ИТ-системы.
Контекст (защищенность) ИТ-системы вычисляется на основе значений 6 метрик (критериев):
1️⃣ Актуальность версии операционной системы (Operating System Currency)
2️⃣ Доступность ИТ-системы по сети (Network Exposure)
3️⃣ Используемые механизмы контроля доступа (Access Control)
4️⃣ Тип защиты конечных точек (Endpoint Protection)
5️⃣ Категория обрабатываемых данных (Data Sensitivity Level)
6️⃣ Статус установки патчей (Patch Status)

Из основных плюсов:
🔗Понятные критерии контекста.
🔗Возможность автоматизации подсчета метрик и оценки CRS.
🔗Подробное руководство и калькулятор расчета оценки.
Из явных минусов:
🔗Не учитывается бизнес-критичность ИТ-системы.
🔗В расчете присутствуют нормализующие и корректирующие коэффициенты, что не очень прозрачно.
🔗Нет статистических данных, позволяющих оценить корректность расчета на больших количествах уязвимостей, и математических обоснований использования рекомендованных коэффициентов (из предыдущего пункта).

Ссылки:
📥Официальный сайт
📥Github

#cvss #sscv #prioritization #vm #vulnerability #context
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
2025/07/10 09:59:46
Back to Top
HTML Embed Code: