Свежее исследование "Different Seas, Different Phishes" о нашем любимом: фишинговых симуляциях и попытках найти закономерности в поведении сотрудников🎣
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
🎯 Сценарии целевого фишинга (ожидаемо) повышали кликабельность на 22% по сравнению со сценариями массового фишинга.
🤑 Сценарии типа "Не упусти выгоду" демонстрировали на 18% более высокую вовлеченность, чем сценарии компрометации аккаунта, что подчеркивает эффективность страха упущенной выгоды (FOMO, привет!) по сравнению со страхом угрозы безопасности.
🧐 Повышение сложности шаблона давало лишь 6% роста кликабельности, что указывает на главенствующую роль психологического фактора и фактора контекста.
Межотраслевые и внутриорганизационные различия:
⛏ Организации сектора промышленности и производства показали на 41% меньше уровень кликабельности, чем сфера услуг, что связано с автоматизированными процессами и меньшей зависимостью от почтовых коммуникаций.
👨💻 Отделы маркетинга и продаж продемонстрировали более чем в два раза большую подверженность фишинговым симуляциям по сравнению с финансовым департаментом. Это различие может объясняться несколькими факторами: сотрудники финансовых департаментов, возможно, более осторожны с электронной почтой из-за характера их работы с конфиденциальной финансовой информацией, в то время как сотрудники отделов продаж и маркетинга могут быть более склонны к активному взаимодействию с внешними контактами и новыми возможностями.
👨💻 Менеджеры среднего звена на 15% чаще взаимодействовали с фишинговыми письмами, чем топ-менеджеры, что опровергает стереотип о большей уязвимости высшего руководства.
Рекомендации ИБ-специалистам:
➡️ При построении системы защиты необходимо учитывать коммуникационные паттерны и рабочие процессы свойственные конкретной индустрии.
➡️ При проведении тренингов также необходимо учитывать специфику работы различных департаментов, в т.ч. нюансы коммуникаций с "внешним миром".
➡️ Использование фишинговых симуляций с прогрессивно увеличивающейся персонализацией позволяет точнее оценивать реальную уязвимость организации, чем статичные тесты на базе шаблонных сценариев.
Также, авторы исследования подсветили, что в публичных отчетах вендоров решенийsecurity awareness human risk management сообщается о более высоких показателей кликов, что может свидетельствовать о предвзятой оценке, направленной на увеличение продаж их продуктов😏
#awareness #phishing #training #risk #hrm #simulation
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
Межотраслевые и внутриорганизационные различия:
Рекомендации ИБ-специалистам:
Также, авторы исследования подсветили, что в публичных отчетах вендоров решений
#awareness #phishing #training #risk #hrm #simulation
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Что могут красть инфостилеры и сколько это стоит на теневых маркетах🛍
➡️ Инфостилеры являются самым популярным (по продажам) типом вредоносного ПО в дарквебе, что не удивительно: медианная цена составляет всего 400 долларов, функционал по сбору различных учетных данных широк (см. первый скрин) и постоянно дорабатывается, а потенциальный "выхлоп" может приводить к компрометации крупных компаний и получению прибыли как от очевидной продажи доступов в инфраструктуру жертвы, так и непосредственно от самого выкупа в случае реализации негативного воздействия (например, шифрования корпоративных данных).
➡️ Стоимость украденных учетных данных может сильно варьироваться как от типа (vpn-данные, sso-токены и т.п.), принадлежности физ.лицу или юр.лицу, так и от объема закупаемых данных, качества их обработки и платной подписки.
Например, в исследовании KELA приводится информация о том, что отдельную запись учетных данных можно купить за 5$. При этом, можно воспользоваться платными подписками на логи инфостилеров, начиная со 150$ за доступ к файлам ULP (url/login/pass), заканчивая "вечными" подписками за 8000$.
Согласно исследованию Positive Technologies, медианная цена на учетные данные достигает 1150$. На втором скрине (неизвестного мне исследования) можно увидеть разброс цен от 10$ до 250$ за разные типы учетных данных.
➡️ Бонус: на третьем скрине статистика по департаментам, сотрудники которых чаще остальных "ловят" инфостилеры. Ранее уже публиковал эту информацию из предыдущего исследования KELA, но здесь уже более расширенный вариант.
#infostealer #vpn #market #credentials
Например, в исследовании KELA приводится информация о том, что отдельную запись учетных данных можно купить за 5$. При этом, можно воспользоваться платными подписками на логи инфостилеров, начиная со 150$ за доступ к файлам ULP (url/login/pass), заканчивая "вечными" подписками за 8000$.
Согласно исследованию Positive Technologies, медианная цена на учетные данные достигает 1150$. На втором скрине (неизвестного мне исследования) можно увидеть разброс цен от 10$ до 250$ за разные типы учетных данных.
#infostealer #vpn #market #credentials
Please open Telegram to view this post
VIEW IN TELEGRAM
Совет по стандартам безопасности индустрии платёжных карт (PCI SSC) недавно опубликовал инфографику, иллюстрирующую процесс управления уязвимостями в рамках стандарта PCI DSS💳
Схема процесса сопровождается также небольшой статьей, разъясняющей ключевые требования стандарта PCI DSS в части приоритизации и устранения уязвимостей🛠
Пожалуй, главное, что подчеркивают авторы в статье: не обязательно "принимать на веру" установленные внешними источниками уровни критичности уязвимостей (по CVSS, EPSS и т.п.), а даже рекомендуется пересматривать или дополнять эти оценки, учитывая контекст: возможность эксплуатации уязвимости в конкретной инфраструктуре и негативное влияние на бизнес-процессы. Главное, чтобы в организации была установлена прозрачная методика оценки рисков и приоритизации, а сами уязвимости устранялись в установленные сроки: для "критичных" – за месяц в соответствии с требованиями стандарта, для остальных – как сами решите.
#cvss #epss #vm #vulnerability #pcidss #prioritization
Схема процесса сопровождается также небольшой статьей, разъясняющей ключевые требования стандарта PCI DSS в части приоритизации и устранения уязвимостей
Пожалуй, главное, что подчеркивают авторы в статье: не обязательно "принимать на веру" установленные внешними источниками уровни критичности уязвимостей (по CVSS, EPSS и т.п.), а даже рекомендуется пересматривать или дополнять эти оценки, учитывая контекст: возможность эксплуатации уязвимости в конкретной инфраструктуре и негативное влияние на бизнес-процессы. Главное, чтобы в организации была установлена прозрачная методика оценки рисков и приоритизации, а сами уязвимости устранялись в установленные сроки: для "критичных" – за месяц в соответствии с требованиями стандарта, для остальных – как сами решите.
#cvss #epss #vm #vulnerability #pcidss #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
Скомпрометированные учетные записи остаются наиболее распространенным способом проникновения в организации за последнее десятилетие, медианные потери ($) от инцидента кибербезопасности с 2008 года выросли в 15 раз, а вероятность того, что организация станет жертвой злоумышленников выросла в 4 раза😱
Вот такими выводами делится с нами Cyentia Institute в недавно опубликованном исследовании "Information Risk Insights Study 2025", представляющем собой комплексный анализ тенденций в области кибербезопасности за период с 2008 по 2024 год, основанный на изучении более 150 000 киберинцидентов.
А ещё:
🔊 Инциденты кибербезопасности не просто стали обходиться дороже, но и стали оказывать более значительное влияние на операционную деятельность – доля потерь от инцидентов выросла в 8 раз относительно годовой выручки организаций, хотя медианные потери (пока) не превышают 1% от выручки.
В то же время существует сегмент "хвостовых потерь" (выше 95 персентиля) – в таких организациях случались "экстремальные" финансовые потери, которые превышали годовую выручку💲
🔊 Вторжение (system intrusion) стабильно удерживает первую строчку среди категорий инцидентов, а шифровальщики захватили вторую строчку топа, начав резкий взлет с 2019 года. С 2022 года топ-3 достигли DDoS-атаки. Из нисходящих трендов можно отметить заметное падение кол-ва инцидентов, связанных с непреднамеренными случаями раскрытия информации или мисконфигов, приводящих к компрометации систем.
🔊 Среди техник получения первоначального доступа в системы жертв действующие учетные записи сотрудников и фишинг, конечно же, находятся в топе, а тройку лидеров замыкает эксплуатация уязвимостей в веб-приложениях.
Но и здесь можно найти интересные наблюдения: использование скомпрометированных учетных записей в атаках резко растет для крупнейших корпораций, в то время как для остальных организаций наблюдается тенденция к снижению.
В то же время использование фишинга и веб-уязвимостей наиболее распространено среди инцидентов, затрагивающих небольшие компании.
🔊 Отдельно стоит отметить, что атаки на цепочку поставок занимают последнюю строчку в топе исследования, но авторы подчеркивают, что причина может крыться в том, что компании редко указывают эту технику как начальную фазу атаки в своих публичных отчетах🤔
Это довольно странно, учитывая тот факт, что согласно данным сервиса Feedly в 2024 году компрометация цепочки поставок заняла уверенное третье место среди техник получения первоначального доступа.
#iris #ttp #research #incident #phishing #credentials #ddos #vulnerability
Вот такими выводами делится с нами Cyentia Institute в недавно опубликованном исследовании "Information Risk Insights Study 2025", представляющем собой комплексный анализ тенденций в области кибербезопасности за период с 2008 по 2024 год, основанный на изучении более 150 000 киберинцидентов.
А ещё:
В то же время существует сегмент "хвостовых потерь" (выше 95 персентиля) – в таких организациях случались "экстремальные" финансовые потери, которые превышали годовую выручку💲
Но и здесь можно найти интересные наблюдения: использование скомпрометированных учетных записей в атаках резко растет для крупнейших корпораций, в то время как для остальных организаций наблюдается тенденция к снижению.
В то же время использование фишинга и веб-уязвимостей наиболее распространено среди инцидентов, затрагивающих небольшие компании.
Это довольно странно, учитывая тот факт, что согласно данным сервиса Feedly в 2024 году компрометация цепочки поставок заняла уверенное третье место среди техник получения первоначального доступа.
#iris #ttp #research #incident #phishing #credentials #ddos #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Решил причесать свою подборку полезных и интересных (на мой вкус) ресурсов на тему управления уязвимостями и разместил в открытом доступе🆓
Это пока первая редакция, но в любом случае планирую постоянно обновлять подборку ссылок на вышеуказанной странице😉
p.s. Агрегаторы трендовых/обсуждаемых уязвимостей, которые собирал на телетайпе, есть в этой подборке, но статью пока тоже продолжу обновлять параллельно.
Там, кстати, есть несколько изменений:
🟢 Добавлен ресурс Talkback.sh — отличный агрегатор новостей на тему ИБ, где также есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости.
🟢 Добавлен ресурс CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.
🟢 Ресурс Cytidel Top Trending закрыт.
#cve #vm #bookmarks #prioritization #trends #cvss #epss
Это пока первая редакция, но в любом случае планирую постоянно обновлять подборку ссылок на вышеуказанной странице
p.s. Агрегаторы трендовых/обсуждаемых уязвимостей, которые собирал на телетайпе, есть в этой подборке, но статью пока тоже продолжу обновлять параллельно.
Там, кстати, есть несколько изменений:
#cve #vm #bookmarks #prioritization #trends #cvss #epss
Please open Telegram to view this post
VIEW IN TELEGRAM
Модель зрелости использования обманных систем🕸
Довольно неплохой фреймворк от компании DECEPTIQ: для каждого уровня зрелости есть описание, стратегии развития и ключевые метрики для отслеживания. Бонусом идёт опросник для определения текущего уровня зрелости, а в конце авторы развенчивают распространенные мифы, связанные с внедрением обманных систем.
Помимо вышеуказанного фреймворка можно еще посмотреть "канареечную" модель зрелости от Tracebit: она попроще и ограничивается уровнем использования приманок (ханитокенов, "канареек").
#ddp #deception #honeytoken #canary #maturity #framework
Довольно неплохой фреймворк от компании DECEPTIQ: для каждого уровня зрелости есть описание, стратегии развития и ключевые метрики для отслеживания. Бонусом идёт опросник для определения текущего уровня зрелости, а в конце авторы развенчивают распространенные мифы, связанные с внедрением обманных систем.
Помимо вышеуказанного фреймворка можно еще посмотреть "канареечную" модель зрелости от Tracebit: она попроще и ограничивается уровнем использования приманок (ханитокенов, "канареек").
#ddp #deception #honeytoken #canary #maturity #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Microsoft выпустила интересную аналитику о "поведенческих паттернах" работников на основе телеметрии использования продуктов семейства Microsoft 365, констатируя, что рабочий день становится "бесконечным":
1️⃣ Проверкой рабочей почты в 6 утра занимается около 40% пользователей, а к 10 вечера почти треть активных работников снова открывают почту для прочтения писем. По выходным каждый пятый проверяет почту до полудня, 5% — в воскресенье вечером.
2️⃣ Среднестатистический работник получает 117 электронных писем в день, большинство из которых просматриваются менее чем за 60 секунд.
3️⃣ Половина всех встреч проходит между 9–11 утра и 13–15 дня. Больше всего встреч назначают на вторник, а меньше всего — в пятницу. Именно в эти периоды наблюдаются естественные всплески производительности работников, но большое количество встреч, писем и сообщений отвлекает их и приводит к потере концентрации и расфокусу.
❓ Причем тут ИБ, скажете вы?
🟠 Как минимум, обладая такой информацией об активности пользователей, злоумышленники могут планировать фишинговые атаки — если посмотреть крупные исследования о фишинге, то можно увидеть, что авторы очень часто указывают данные о "популярных" часах, в которые чаще всего рассылаются фишинговые письма.
🟠 Если вернуться к первому пункту, то с точки зрения защиты можно подумать о том, работает ли ваш SOC в 6 утра и на сколько быстро готовы сотрудники ИБ реагировать на инциденты в такую рань?🥱
Также можно провести киберучения в разное время суток и проанализировать как сотрудники реагируют на получение подозрительных писем в зависимости от фаз рабочего дня👨💻
🟠 Во втором пункте говорится об огромном кол-ве получаемых писем и довольно коротком времени их чтения — менее 60 секунд. Хотя, ещё несколько лет назад в аналогичных исследованиях заявляли, что на одно письмо вообще уходит не более 9 секунд, а для того, чтобы попасться на фишинг достаточно одной минуты.
🟠 Казалось бы, что большое кол-во писем и их стремительное прочтение должно приводить к тому, что и полученное фишинговое письмо может "утонуть в почтовом болоте", но удачно подобранный психологический вектор, например, связанный со срочностью и важностью, в письме, присланном в наиболее загруженные периоды (см. пункт 3) работы, может сработать, т.к. сотрудник будет невнимателен и рассеян😴
#phishing #фишинг #psychology #training
Также можно провести киберучения в разное время суток и проанализировать как сотрудники реагируют на получение подозрительных писем в зависимости от фаз рабочего дня
#phishing #фишинг #psychology #training
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Pillar Security опубликовала разработанный совместно с коллегами по цеху фреймворк SAIL (Secure AI Lifecycle), представляющий собой процессно-ориентированное руководство по разработке и развертыванию безопасных ИИ-приложений🧠
По факту фреймворк представляет собой матрицу рисков, сгруппированных по семи этапам разработки и развертывания ИИ-приложений. Для каждого риска есть описание, пример небезопасной реализации, затрагиваемые компоненты ИИ-приложения, меры митигации и связанные требования/меры из фреймворков NIST AI RMF, ISO 42001, OWASP и DASF.
В размещённой на сайте брошюре можно найти разбор пары кейсов атак и примеры выборы мер митигации из фрейворка SAIL, а в самом последнем приложении — ссылки на полезные руководства и фреймворки в области ИИ.
#ai #framework #risk #sail #lifecycle
По факту фреймворк представляет собой матрицу рисков, сгруппированных по семи этапам разработки и развертывания ИИ-приложений. Для каждого риска есть описание, пример небезопасной реализации, затрагиваемые компоненты ИИ-приложения, меры митигации и связанные требования/меры из фреймворков NIST AI RMF, ISO 42001, OWASP и DASF.
В размещённой на сайте брошюре можно найти разбор пары кейсов атак и примеры выборы мер митигации из фрейворка SAIL, а в самом последнем приложении — ссылки на полезные руководства и фреймворки в области ИИ.
#ai #framework #risk #sail #lifecycle
Please open Telegram to view this post
VIEW IN TELEGRAM
А вот ещё один новый ресурс, посвященный безопасности ИИ-агентов, от активного участника проектов OWASP🧠
Agentic Security Hub включает в себя:
➡️ Описание ключевых компонентов ИИ-агентов
➡️ Описание и сравнение архитектур ИИ-агентов.
➡️ Реестр угроз с описанием векторов атак.
➡️ Реестр защитных мер.
➡️ Опросник по стандарту OWASP AISVS (AI Security Verification Standard).
➡️ Опросник самооценки по OWASP Securing Agentic Applications guide для формирования модели угроз и рекомендаций по защитным мерам.
➡️ Маппинг мер фреймворка NIST AI RMF на OWASP AISVS.
➡️ База уязвимостей Agentic Vulnerability Database (AVD) – правда пока раздел в разработке и в базе есть только три записи про уязвимости ИИ-агентов.
Все разделы связаны друг с другом кросс-ссылками, а часть имеет также инструменты для визуализации.
Также есть библиотека полезных ресурсов, содержащая на текущий момент ссылки на 219 различных документов по теме безопасности ИИ.
#ai #framework #controls #aisvs #archirecture #owasp #avd
Agentic Security Hub включает в себя:
Все разделы связаны друг с другом кросс-ссылками, а часть имеет также инструменты для визуализации.
Также есть библиотека полезных ресурсов, содержащая на текущий момент ссылки на 219 различных документов по теме безопасности ИИ.
#ai #framework #controls #aisvs #archirecture #owasp #avd
Please open Telegram to view this post
VIEW IN TELEGRAM
Gartner опубликовал свежую кривую хайпа технологий, используемых для операций ИБ – Hype Cycle for Security Operations 2025🔥
Для наглядности также приложил версию 2024 года.
Пожалуй, главным изменением по сравнению с 2024 годом является "объявление смерти" для решений класса EASM (External Attack Surface Management) и CAASM (Cyber Asset Attack Surface Management) до выхода на плато продуктивности.⚰️
В целом, это было довольно ожидаемо, учитывая, что на пике сейчас решения класса TEM (Threat Exposure Management) и EAP (Exposure Assessment Platforms), которые объединили в себе функционал вышеуказанных решений.
С таким подходом к выделению отдельных решений с узким функционалом и количеством акронимов (и аббревиатур) можно каждый год что-то "рожать и хоронить" 😵
Для наглядности также приложил версию 2024 года.
Пожалуй, главным изменением по сравнению с 2024 годом является "объявление смерти" для решений класса EASM (External Attack Surface Management) и CAASM (Cyber Asset Attack Surface Management) до выхода на плато продуктивности.
В целом, это было довольно ожидаемо, учитывая, что на пике сейчас решения класса TEM (Threat Exposure Management) и EAP (Exposure Assessment Platforms), которые объединили в себе функционал вышеуказанных решений.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM