📉 Базовые меры защиты стали вдвое менее эффективными, чем пять лет назад.

Наткнулся на небольшую брошюрку одной страховой компании, в которой на основе анализа кибератак за пятилетний период (2019-2023гг.) и используемых злоумышленниками техник (по MITRE ATT&CK), оценили эффективность базовых мер защиты.
В контексте исследования эффективность рассчитывалась в виде метрики "уровень защиты" — доли наблюдаемых в реальных условиях техник кибератак, которые мера способна нейтрализовать, а в качестве "базовых" контролей выступали обязательные меры, которые требуют страховые компании для выдачи страховых свидетельств (страховок):
🔗Резервное копирование и безопасное хранение резервных копий (Backups)
🔗Многофакторная аутентификация для удаленного доступа (MFA)
🔗Управление привилегированными учетными записями (PAM)
🔗Обнаружение и реагирование на конечных устройствах (EDR)
🔗Тренинги по повышению осведомленности (Security Awareness Trainings)
🔗Фильтрация почтового трафика (Email Security Filtering)

Если верить данным исследования, то совокупный уровень защиты упал с 96% до 48% всего за 5 лет: период падения пришелся как раз на момент когда страховщики стали требовать внедрения базовых мер повсеместно.
Можно сделать вывод, что навязанная стандартизация защитных мер привела не к повышению уровня защищенности организаций, а скорее к предсказуемости системы защиты для злоумышленников😐

Авторы же исследования делают следующие выводы:
➡️Резкое снижение эффективности базовых мер защиты демонстрирует высокую изменчивость ландшафта киберугроз.
➡️ Тенденции показывают, что злоумышленники активно диверсифицируют свои методы для обхода контролей, которые становятся все более распространенными, отчасти из-за минимальных требований со стороны киберстраховщиков, которые повышают общий базовый уровень безопасности, но делают его предсказуемым.

И рекомендации:
➡️Отслеживать актуальные векторы атак и руководствоваться данными киберразведки.
➡️Формировать индивидуальный профиль мер защиты, с учетом уникальных характеристик организации (отрасль, размер, география) и соответствующего профиля угроз.

Если отбросить ограничения методики расчета эффективности мер и явный, по моему мнению, маркетинговый прогрев (на покупку услуг Threat Intelligence, а может и потенциальное включение TI в перечень обязательных условий выдачи страховки), то в исследовании описаны выводы полезные, хоть и очевидные: бесцельное внедрение любых мер защиты без предварительного моделирования угроз и формирования профиля угроз с учетом нюансов и характеристик организации обречено на низкую эффективность по умолчанию и TI здесь выступает если и не в роли базового инструмента, так в качестве инструмента, позволяющего перейти на более высокий уровень защиты.

#ti #mfa #pam #backup #edr #awareness #controls #ttp #mitre #insurance

Cloud Security Alliance обновила свое руководство по моделированию угроз для облачных сред🛡

Новая версия учитывает специфику ИИ-систем, которые активно внедряются и размещаются в облачных средах.
В документе:
🔗описаны различные фреймворки, используемые для идентификации, анализа и приоритизации угроз , в т.ч. узкоспециализированные для ИИ-систем (PLOT4AI, MAESTRO, NIST AI RMF).
🔗описан жизненный цикл процесса моделирования угроз без привязки к фреймворкам, нюансы моделирования угроз для облачных сред, метрики и модель зрелости процесса.
🔗приведено руководство по созданию моделей угроз и пример моделирования.
🔗представлен обзор инструментов и платформ моделирования угроз, в т.ч. ИИ-инструменты (KaliGPT, SecML и т.п.).

p.s. Напоминаю, что вообще есть большой гайд по различным фреймворкам и инструментам моделирования угроз, который периодически обновляется.

#cloud #threat #modeling #ai #framework

Еще одна визуализация приоритетов внедрения защитных мер от Mads Bundgaard Nielsen, учитывающая относительную эффективность и сопутствующие расходы. На этот раз анализировался набор мер из фреймворка CIS Controls, опираясь на результаты работ по исследованию эффективности внедряемых мер (например, раз и два).

Лично меня удивило, что реагирование на инциденты (17) и восстановление данных (11) остаются низко- и среднеэффективными мерами соответственно 🤷
Это может означать, что по результатам исследований, на которые опирался автор визуализации, были сделаны выводы о том, что в организациях имеются соответствующие инструменты, но процессы незрелые. Если привести пример с восстановлением данных, то, скорее всего, у многих делаются резервные копии, но спасает это немногих от успешных атак шифровальщиков, т.к. успешность и скорость восстановления данных из этих копий никто не проверяет (это в лучшем случае, если бэкап тоже незашифровали😁).

В комментариях к посту автора также удивляются, что инвентаризация активов (1,2) незаслуженно считается не очень эффективной мерой. Однако здесь скорее недопонимание методик исследований: да, инвентаризация активов — это базовая и важная мера, но ее внедрение само по себе не гарантирует снижение возможных потерь от кибератак.

#ciso #budget #controls #cost #effectiveness #cis

Про эффект Даннинга-Крюгера в кибербезопасности

Компания Immersive Labs, специализирующаяся на проведении киберсимуляций и учений, в своем недавнем исследовании рассматривает проблему избыточной самоуверенности организаций в области кибербезопасности. Выяснилось, что 71% респондентов считают свои программы кибербезопасности "чрезвычайно зрелыми" или даже более, однако результаты реальных симуляций показывают, что точность принятия критических решений составляет всего 22%.

Этот парадокс можно охарактеризовать как эффект Даннинга-Крюгера: представители организаций наивно полагают, что их системы полностью защищены, хотя на самом деле это не так. Проблему также усугубляет использование "ложных" метрик: топ-менеджмент часто видит "зеленые" дашборды, основанные на активности (например, процент прохождения тренингов по кибербезопасности или посещаемость учений), что создает иллюзию готовности организации к отражению кибератак.

Для преодоления этого эффекта предлагается три ключевых шага:
1️⃣Использование симуляций "высокого давления" (Cyber Drills), чтобы обеспечить необходимый уровень стресса для системы и персонала.
2️⃣Неудачные учения должны рассматриваться не как провал, а как успешное выявление критичных пробелов и возможность для роста.
3️⃣Вместо "ложных" метрик необходимо отслеживать и презентовать такие показатели, как точность принятия критических решений, скорость принятия решений, а также метрики обнаружения и реагирования, например, время локализации инцидента.

Что еще может являться фактором стагнации уровня защищенности и усиливать эффект Даннинга-Крюгера:
🔗Тренинги не покрывают актуальные векторы атак, а команды тренируются отражать уже давно известные атаки, оставаясь уязвимыми для новых. К тому же, довольно часто программы обучения чрезмерно концентрируются на базовых вещах, не фокусируясь на более сложных темах.
🔗Бизнес не участвует в киберучениях, что негативно влияет на координацию между ИТ/КБ с бизнес-командами во время кризисной ситуации, а большинство антикризисных планов существуют в теории и никогда не проверялись на практике.
🔗Некорректное использование фреймворков, заключающееся в чрезмерной ориентации на соответствие требованиям (NIST, ISO), в ущерб моделям, основанным на реальных угроз (Mitre Attt&ck). Или же перекос в сторону отработки начальных этапов цепочки атаки ("первоначальный доступ"), игнорируя, например, этапы сбора данных и эксфильтрации.

#psychology #metrics #awareness #simulation

Vulnerability-Lookup выпустили небольшое исследование, в котором проанализировали эффективность и нюансы различных источников информации об эксплуатации уязвимостей.

Помимо очевидного вывода о том, что социальные сети Fediverse и BlueSky полезны для раннего обнаружения уязвимостей и следов их эксплуатации, так как именно здесь исследователи первыми делятся находками, а такие TI-источники, как MISP и The Shadowserver Foundation, предоставляют проверенную и обогащённую контекстом (индикаторами компрометации) информацию, но не очень оперативно, можно кратко описать выводы по приведенным в отчете источникам:
➡️BlueSky — еженедельные колебания активности на платформе отражают естественные циклы вовлеченности пользователей, включая всплески, связанные с публикацией значимой информации об угрозах. Постоянный поток данных свидетельствует о росте значимости Bluesky как источника первичных разведданных.
➡️Fediverse — пики активности, как правило, коррелируют со всплесками обсуждений, инициированных информацией о вендоре уязвимого ПО, высокой степени серьезности уязвимости или появлением данных о возможности ее эксплуатации. Активность варьируется между различными серверами сети, что указывает на неоднородную вовлеченность сообществ в обсуждение вопросов ИБ.
➡️Платформа Gist —резкие еженедельные всплески активности на этой платформе часто совпадают с публикацией новых PoC, утечками данных или конфигурационных файлов, а иногда такая активность наблюдается еще до официальной публикации информации об уязвимости и присвоения ей номера CVE.
➡️MISP — динамика активности более плавная. Всплески, как правило, указывают на скоординированную реакцию сообщества на крупные инциденты или уязвимости, когда множество участников обмениваются проверенными данными.
➡️The Shadowserver Foundation — стабильный и высокоценный поток данных о реальной эксплуатационной активности, который является ключевым для оценки рисков и приоритизации задач по устранению уязвимостей.
➡️Metasploit — пики активности тесно связаны с реальными кампаниями по эксплуатации или выпуском новых модулей для Metasploit. Такая активность является сильным индикатором практической возможности эксплуатации той или иной уязвимости.

Ключевой вывод:

для формирования полной и объективной картины угроз необходимо комбинировать данные из всех типов источников, а в качестве потенциального направления для дальнейшего развития можно рассмотреть внедрение системы весовых коэффициентов для сообщений об угрозах в зависимости от их источника. Такой подход позволит автоматически приоритизировать данные и повысить точность и релевантность.

#vm #trends #ti #vulnerability #prioritization #cve

Свежее исследование на тему влияния "экстремальных" кибератак на рыночную капитализацию публичных компаний в период с 2000 по 2021 годы🆕
В рамках данной работы авторы оценили среднесрочные и долгосрочные (периоды в 1 и 2 года после инцидента соответственно) экономические последствия "экстремальных" кибератак (превышающие пороговые значения значимости инцидентов, например, прямые убытки в размере более 10 млн $).

Приведу кратко основные выводы:
🔗Негативные последствия кибератак не являются временными, а сохраняются и усугубляются в течение длительного времени.
🔗В течение первого года после экстремальной кибератаки рыночная стоимость пострадавших компаний в среднем оказывалась на 8,9% ниже, чем ожидалось.
🔗Через два года после инцидента среднее отставание от ожидаемых показателей рыночной стоимости увеличивается до 14%.
🔗Финансовые последствия со временем становятся все более серьезными, что опровергает предположение о том, что рост числа кибератак приведет к тому, что рынок станет менее чувствительным к ним.
🔗Многие компании, столкнувшиеся с серьезным киберинцидентом, впоследствии были поглощены по значительно сниженной оценке (Yahoo, AOL, Mandiant, LinkedIn, Heartland Payment Systems).
🔗Ransomware-атаки оказывают рыночное воздействие в 23 раза более серьезное, чем утечки данных, а кибератаки с использованием вредоносного ПО (malware) демонстрируют наиболее выраженный негативный эффект, приводя к снижению рыночной стоимости примерно на 45% (но есть нюансы, связанные с ограниченной выборкой).
🔗В рамках оценки эффективности компаний до и после инцидента был зафиксирован неожиданный эффект — небольшое улучшение показателей после кибератаки. Это может быть связано с усилением внутреннего контроля, проведение аудитов и расследований, связанных с повышенным вниманием руководства.

#costs #breach #business #stock #market #ransomware

Малый и средний бизнес всё чаще перекладывает финансовые издержки, возникшие в результате кибератак, на своих клиентов💸

В рамках исследования ITRC почти 40% опрошенных компаний, пострадавших от кибератак, сообщили о повышении цен на свои товары и услуги для компенсации последствий инцидентов. Это негативно сказывается как на потребителях, так и на экономике государств: с одной стороны, клиенты оказываются дважды пострадавшими (например, от утечки данных, при кибератаке на компанию и от повышения цен на товары и услуги), а на макроэкономическом уровне — от разгона инфляции и последующего замедления экономического роста.

Помимо вышеуказанного в качестве покрытия убытков бизнес использует следующие источники:
🟠Страховые выплаты — по киберстраховке.
🟠Денежные резервы — компании тратят собственные накопления.
🟠Кредитные линии и займы — используют существующие кредиты или берут новые займы.
🟠Сокращение расходов и персонала — многие организации идут на общее сокращение издержек, а часть вынуждена проводить сокращение штата.
🟠Привлечение инвестиций — поиск дополнительного финансирования у инвесторов.

При этом сам бизнес выделяет следующие статьи расходов, формирующих финансовые издержки после кибератак:
🟢Прямая кража денежных средств злоумышленниками.
🟢Расходы на реагирование и восстановление.
🟢Репутационные издержки.
🟢Штрафы и санкции.
🟢Услуги для пострадавших клиентов.
Косвенные финансовые потери:
🟢Потеря выручки (прямое падение доходов после кибератаки).
🟢Текучка кадров (рост числа увольнений сотрудников после инцидента, что влечет доп.расходы на поиск и обучение новых сотрудников).
🟢Сложности со страхованием (трудности с получением и/или продлением полиса киберстраховки после инцидента).

#costs #breach #business #stock #market #insurance

В этом году не пришлось долго думать о выдающихся достижениях, так как главное событие в моей жизни — это рождение дочери, которое затмило всё остальное☺️

Если оглянуться на ИБ-деятельность, то здесь удалось выполнить программу-минимум (для себя):
1️⃣С работы не выгнали —всё ещё достоин😁
2️⃣Продолжил вести канал — уже не так активно, как в предыдущие пару лет, но немного подросли по аудитории и, надеюсь, по качеству контента.
3️⃣Отметился на конференции PHDays — подискутировали с коллегами насчет организации безопасной работы с подрядчиками.
4️⃣Поучаствовал в исследовании на тему защиты данных. Даже удостоился отдельного блока с цитатой😎
5️⃣Присоединился к команде Inseca в качестве эксперта на курсе Vulnerability management🤝

Поэтому хочу сказать большое спасибо всем читателям канала, коллегам по работе и ИБ-сфере, а также поздравить с наступающими праздниками!🎄

Очередная MITRE-подобная матрица, но на этот раз не про тактики и техники злоумышленников, а про признаки и симптомы "чрезмерной рабочей занятости", которая приводит к снижению продуктивности, эффективности и может привести в том числе к выгоранию🫠

Все "техники" (они же симптомы) сгруппированы в пять "тактик", которые представляют собой стадии "проникновения" информационного шума и плохих практик в рабочий процесс. Для каждой "тактики" приведены защитные стратегии, призванные разгрузить рабочее время от информационного шума.
Всего имеем 16 техник-симптомов:
🟠Перегрузка встречами (календарь забитый встречами, не оставляющими времени на подготовку к ним)
🟠Почтовая бомбардировка (переполненный почтовый ящик, постоянно отвлекающий на себя)
🟠Внедрение срочности (маркировка всех задач как срочных или высокоприоритетных, что убивает весь смысл приоритизации)
🟠Режим многозадачности (попытки выполнения нескольких задач одновременно)
🟠Переключение контекста (быстрое переключение между несвязанными задачами, что мешает концентрации и вдумчивой работе)
🟠Реактивный режим (работа в режиме постоянного "тушения пожаров" вместо проактивного планирования и предупреждения проблем)
🟠Культура "Всегда на связи" (ожидание круглосуточной доступности и мгновенных ответов на сообщения)
🟠Театр продуктивности (демонстративная занятость ценится выше, чем фактические результаты)
🟠Использование практики FOMO (страх упустить что-то важное поддерживает вовлеченность в несущественные активности)
🟠Эрозия границ (постепенное размывание границ между работой и личной жизнью)
🟠Путаница в приоритетах (различие между важным и срочным становится невозможно определить)
🟠Избегание делегирования (убежденность в том, что все необходимо делать самостоятельно)
🟠Стратегическая слепота (неспособность видеть общую картину или долгосрочные цели)
🟠Снижение качества решений (принятие поспешных решений на основе неполной информации)
🟠Уничтожение творческого потенциала (отсутствие ментального пространства для инноваций и глубоких размышлений)
🟠Эрозия отношений (поверхностные взаимодействия приходят на смену значимым человеческим связям).

Шутки шутками, а вот длинные выходные хорошее время, чтобы проанализировать свой тайм-менеджмент, взглянуть на что тратится ценное рабочее время и попробовать что-то изменить в наступившем году🫡

#mitre #psychology #fomo #timemanagement

Ближе к концу прошедшего года Международный союз электросвязи (МСЭ) выпустил отчет, посвященный созданию глобальной культуры кибербезопасности и защите информационных и коммуникационных сетей.

Документ интересен прежде всего обзором национальных инициатив стран-участниц МСЭ по кибербезопасности, в частности: лучших практик повышения осведомленности, стратегий устранения дефицита профильных специалистов, мер по защите детей в цифровой среде, борьбы с кибермошенничеством, безопасности IoT-устройств и 5G-сетей, а также роли национальных CIRT в обеспечении устойчивости критической инфраструктуры.
Из отечественных инициатив и мероприятий отмечены следующие:
🔗 Программа «Кибергигиена» — трехлетняя инициатива под эгидой Минцифры, направленная на разные возрастные группы в рамках борьбы с кибербуллингом, кибермошенничеством, защите паролей и мобильных устройств.
🔗Кампания по цифровой грамотности — проект в рамках программы «Цифровая экономика», использующий анимационные видео для обучения школьников и учителей защите данных и безопасности в цифровой среде.
🔗Создание Национального координационного центра по компьютерным инцидентам (НКЦКИ) для повышения уровня безопасности критической информационной инфраструктуры.
🔗Внедрение платформы «Антифрод» для верификации вызовов, запрет на аренду виртуальных мобильных номеров для борьбы со смишингом и уголовное преследование кибермошенников.
🔗Указ Президента РФ от 01.05.2022 № 250, устанавливающий строгие требования к квалификации и опыту руководителей подразделений информационной безопасности.

Если посмотреть опыт других стран, то можно заметить, что все движутся примерно в одном направлении: программы повышения осведомленности, подготовки кадров, сертификация по требованиям безопасности, борьба с кибермошенничеством, создание специализированных CERT/CIRT.

Для себя отметил несколько интересных инициатив/мероприятий:
🔗Бразильская программа «Hackers do Bem» («Хакеры во благо») направленная на подготовку 30 000 специалистов для восполнения дефицита на рынке труда. Программа включает пятиуровневое обучение, от базовых концепций до специализированных профилей («Red Team», «Blue Team», «DevSecOps»), и завершается шестимесячной стажировкой.
🔗Для помощи организациям в планировании бюджета Национальный орган по кибербезопасности (NCA) Саудовской Аравии разработал инструмент оценки затрат на внедрение базовых мер кибербезопасности.
🔗Регулятор связи Великобритании Ofcom в добровольном порядке реализует с операторами схему TBEST, которая имитирует кибератаку для выявления уязвимостей в сетях и улучшения их защиты.
🔗Национальный CIRT Литвы не только реагирует на инциденты, но и активно управляет уязвимостями, сканируя литовские интернет-ресурсы и информируя операторов критической инфраструктуры о потенциальных угрозах.

#awareness #smishing #смишинг #мошенничество #кадры #cirt #cert

О, моя подборочка ресурсов на тему VM засветилась😊
Кстати, на выходных добавил пару новых ресурсов👍

#cve #vm #bookmarks #prioritization #trends #cvss #vulnerability

Google в лице Mandiant неожиданно пошарила всему миру радужные таблицы с NetNTLMv1-хэшами🤝

Если верить авторам, то эти таблицы позволят подобрать пароль менее чем за 12 часов на обычном ширпотребном железе стоимостью не более 600$⚡️
Конечно же, датасет выложен для помощи исследователям и специалистам по ИБ, что может помочь обосновать отказ от использования "древнего" протокола в корпоративной сети, но думаю и скрипт-кидди заинтересуются. Для матерых злоумышленников вряд ли это будет полезно, т.к. у них уже давно всё есть😄

Подробнее про таблицы можно почитать в блоге Google Cloud, а сам датасет можно найти на портале Google Research.

#mandiant #hash #ntlm #rainbowtables #research #bruteforce

Так, управлять кластерами кубера и убивать вирусню алмазным мечом в Minecraft мы уже умеем👷
Пришло время геймифицировать управление ИИ-агентами: энтузиасты придумали интерфейс в стиле пошаговой стратегии Warcraft для управления жизненным циклом ИИ-агентов👾
Автор проекта заявляет, что интерфейс позволит полноценно управлять задачами агентов, количество которых может достигать двух сотен!
Правда пока потестить новый Warcraft Agentcraft дано не всем, но можно записаться в очередь на получение инвайта для раннего доступа🙂

Нужно больше золота памяти — Зиккурат ИИ сам себя не построит😄

#ai #gamification #humor