🛡 Если захотите позалипать на красивое, то вот обновил подборку интерактивных карт киберугроз.
Изменений за пару лет немного: несколько ресурсов закрылись, несколько новых появилось. Из совсем свежего можно выделить GreyNoise Threat Map (для большего эффекта можно включить музыкальное сопровождение на сайте).

#map #cyberattack #visualization #relax

Когда сказали усилить контроль за подрядчиками😅

#жизненное #humor #бестпрактикс

📉 Базовые меры защиты стали вдвое менее эффективными, чем пять лет назад.

Наткнулся на небольшую брошюрку одной страховой компании, в которой на основе анализа кибератак за пятилетний период (2019-2023гг.) и используемых злоумышленниками техник (по MITRE ATT&CK), оценили эффективность базовых мер защиты.
В контексте исследования эффективность рассчитывалась в виде метрики "уровень защиты" — доли наблюдаемых в реальных условиях техник кибератак, которые мера способна нейтрализовать, а в качестве "базовых" контролей выступали обязательные меры, которые требуют страховые компании для выдачи страховых свидетельств (страховок):
🔗Резервное копирование и безопасное хранение резервных копий (Backups)
🔗Многофакторная аутентификация для удаленного доступа (MFA)
🔗Управление привилегированными учетными записями (PAM)
🔗Обнаружение и реагирование на конечных устройствах (EDR)
🔗Тренинги по повышению осведомленности (Security Awareness Trainings)
🔗Фильтрация почтового трафика (Email Security Filtering)

Если верить данным исследования, то совокупный уровень защиты упал с 96% до 48% всего за 5 лет: период падения пришелся как раз на момент когда страховщики стали требовать внедрения базовых мер повсеместно.
Можно сделать вывод, что навязанная стандартизация защитных мер привела не к повышению уровня защищенности организаций, а скорее к предсказуемости системы защиты для злоумышленников😐

Авторы же исследования делают следующие выводы:
➡️Резкое снижение эффективности базовых мер защиты демонстрирует высокую изменчивость ландшафта киберугроз.
➡️ Тенденции показывают, что злоумышленники активно диверсифицируют свои методы для обхода контролей, которые становятся все более распространенными, отчасти из-за минимальных требований со стороны киберстраховщиков, которые повышают общий базовый уровень безопасности, но делают его предсказуемым.

И рекомендации:
➡️Отслеживать актуальные векторы атак и руководствоваться данными киберразведки.
➡️Формировать индивидуальный профиль мер защиты, с учетом уникальных характеристик организации (отрасль, размер, география) и соответствующего профиля угроз.

Если отбросить ограничения методики расчета эффективности мер и явный, по моему мнению, маркетинговый прогрев (на покупку услуг Threat Intelligence, а может и потенциальное включение TI в перечень обязательных условий выдачи страховки), то в исследовании описаны выводы полезные, хоть и очевидные: бесцельное внедрение любых мер защиты без предварительного моделирования угроз и формирования профиля угроз с учетом нюансов и характеристик организации обречено на низкую эффективность по умолчанию и TI здесь выступает если и не в роли базового инструмента, так в качестве инструмента, позволяющего перейти на более высокий уровень защиты.

#ti #mfa #pam #backup #edr #awareness #controls #ttp #mitre #insurance

Cloud Security Alliance обновила свое руководство по моделированию угроз для облачных сред🛡

Новая версия учитывает специфику ИИ-систем, которые активно внедряются и размещаются в облачных средах.
В документе:
🔗описаны различные фреймворки, используемые для идентификации, анализа и приоритизации угроз , в т.ч. узкоспециализированные для ИИ-систем (PLOT4AI, MAESTRO, NIST AI RMF).
🔗описан жизненный цикл процесса моделирования угроз без привязки к фреймворкам, нюансы моделирования угроз для облачных сред, метрики и модель зрелости процесса.
🔗приведено руководство по созданию моделей угроз и пример моделирования.
🔗представлен обзор инструментов и платформ моделирования угроз, в т.ч. ИИ-инструменты (KaliGPT, SecML и т.п.).

p.s. Напоминаю, что вообще есть большой гайд по различным фреймворкам и инструментам моделирования угроз, который периодически обновляется.

#cloud #threat #modeling #ai #framework

Еще одна визуализация приоритетов внедрения защитных мер от Mads Bundgaard Nielsen, учитывающая относительную эффективность и сопутствующие расходы. На этот раз анализировался набор мер из фреймворка CIS Controls, опираясь на результаты работ по исследованию эффективности внедряемых мер (например, раз и два).

Лично меня удивило, что реагирование на инциденты (17) и восстановление данных (11) остаются низко- и среднеэффективными мерами соответственно 🤷
Это может означать, что по результатам исследований, на которые опирался автор визуализации, были сделаны выводы о том, что в организациях имеются соответствующие инструменты, но процессы незрелые. Если привести пример с восстановлением данных, то, скорее всего, у многих делаются резервные копии, но спасает это немногих от успешных атак шифровальщиков, т.к. успешность и скорость восстановления данных из этих копий никто не проверяет (это в лучшем случае, если бэкап тоже незашифровали😁).

В комментариях к посту автора также удивляются, что инвентаризация активов (1,2) незаслуженно считается не очень эффективной мерой. Однако здесь скорее недопонимание методик исследований: да, инвентаризация активов — это базовая и важная мера, но ее внедрение само по себе не гарантирует снижение возможных потерь от кибератак.

#ciso #budget #controls #cost #effectiveness #cis

Про эффект Даннинга-Крюгера в кибербезопасности

Компания Immersive Labs, специализирующаяся на проведении киберсимуляций и учений, в своем недавнем исследовании рассматривает проблему избыточной самоуверенности организаций в области кибербезопасности. Выяснилось, что 71% респондентов считают свои программы кибербезопасности "чрезвычайно зрелыми" или даже более, однако результаты реальных симуляций показывают, что точность принятия критических решений составляет всего 22%.

Этот парадокс можно охарактеризовать как эффект Даннинга-Крюгера: представители организаций наивно полагают, что их системы полностью защищены, хотя на самом деле это не так. Проблему также усугубляет использование "ложных" метрик: топ-менеджмент часто видит "зеленые" дашборды, основанные на активности (например, процент прохождения тренингов по кибербезопасности или посещаемость учений), что создает иллюзию готовности организации к отражению кибератак.

Для преодоления этого эффекта предлагается три ключевых шага:
1️⃣Использование симуляций "высокого давления" (Cyber Drills), чтобы обеспечить необходимый уровень стресса для системы и персонала.
2️⃣Неудачные учения должны рассматриваться не как провал, а как успешное выявление критичных пробелов и возможность для роста.
3️⃣Вместо "ложных" метрик необходимо отслеживать и презентовать такие показатели, как точность принятия критических решений, скорость принятия решений, а также метрики обнаружения и реагирования, например, время локализации инцидента.

Что еще может являться фактором стагнации уровня защищенности и усиливать эффект Даннинга-Крюгера:
🔗Тренинги не покрывают актуальные векторы атак, а команды тренируются отражать уже давно известные атаки, оставаясь уязвимыми для новых. К тому же, довольно часто программы обучения чрезмерно концентрируются на базовых вещах, не фокусируясь на более сложных темах.
🔗Бизнес не участвует в киберучениях, что негативно влияет на координацию между ИТ/КБ с бизнес-командами во время кризисной ситуации, а большинство антикризисных планов существуют в теории и никогда не проверялись на практике.
🔗Некорректное использование фреймворков, заключающееся в чрезмерной ориентации на соответствие требованиям (NIST, ISO), в ущерб моделям, основанным на реальных угроз (Mitre Attt&ck). Или же перекос в сторону отработки начальных этапов цепочки атаки ("первоначальный доступ"), игнорируя, например, этапы сбора данных и эксфильтрации.

#psychology #metrics #awareness #simulation

Vulnerability-Lookup выпустили небольшое исследование, в котором проанализировали эффективность и нюансы различных источников информации об эксплуатации уязвимостей.

Помимо очевидного вывода о том, что социальные сети Fediverse и BlueSky полезны для раннего обнаружения уязвимостей и следов их эксплуатации, так как именно здесь исследователи первыми делятся находками, а такие TI-источники, как MISP и The Shadowserver Foundation, предоставляют проверенную и обогащённую контекстом (индикаторами компрометации) информацию, но не очень оперативно, можно кратко описать выводы по приведенным в отчете источникам:
➡️BlueSky — еженедельные колебания активности на платформе отражают естественные циклы вовлеченности пользователей, включая всплески, связанные с публикацией значимой информации об угрозах. Постоянный поток данных свидетельствует о росте значимости Bluesky как источника первичных разведданных.
➡️Fediverse — пики активности, как правило, коррелируют со всплесками обсуждений, инициированных информацией о вендоре уязвимого ПО, высокой степени серьезности уязвимости или появлением данных о возможности ее эксплуатации. Активность варьируется между различными серверами сети, что указывает на неоднородную вовлеченность сообществ в обсуждение вопросов ИБ.
➡️Платформа Gist —резкие еженедельные всплески активности на этой платформе часто совпадают с публикацией новых PoC, утечками данных или конфигурационных файлов, а иногда такая активность наблюдается еще до официальной публикации информации об уязвимости и присвоения ей номера CVE.
➡️MISP — динамика активности более плавная. Всплески, как правило, указывают на скоординированную реакцию сообщества на крупные инциденты или уязвимости, когда множество участников обмениваются проверенными данными.
➡️The Shadowserver Foundation — стабильный и высокоценный поток данных о реальной эксплуатационной активности, который является ключевым для оценки рисков и приоритизации задач по устранению уязвимостей.
➡️Metasploit — пики активности тесно связаны с реальными кампаниями по эксплуатации или выпуском новых модулей для Metasploit. Такая активность является сильным индикатором практической возможности эксплуатации той или иной уязвимости.

Ключевой вывод:

для формирования полной и объективной картины угроз необходимо комбинировать данные из всех типов источников, а в качестве потенциального направления для дальнейшего развития можно рассмотреть внедрение системы весовых коэффициентов для сообщений об угрозах в зависимости от их источника. Такой подход позволит автоматически приоритизировать данные и повысить точность и релевантность.

#vm #trends #ti #vulnerability #prioritization #cve

Свежее исследование на тему влияния "экстремальных" кибератак на рыночную капитализацию публичных компаний в период с 2000 по 2021 годы🆕
В рамках данной работы авторы оценили среднесрочные и долгосрочные (периоды в 1 и 2 года после инцидента соответственно) экономические последствия "экстремальных" кибератак (превышающие пороговые значения значимости инцидентов, например, прямые убытки в размере более 10 млн $).

Приведу кратко основные выводы:
🔗Негативные последствия кибератак не являются временными, а сохраняются и усугубляются в течение длительного времени.
🔗В течение первого года после экстремальной кибератаки рыночная стоимость пострадавших компаний в среднем оказывалась на 8,9% ниже, чем ожидалось.
🔗Через два года после инцидента среднее отставание от ожидаемых показателей рыночной стоимости увеличивается до 14%.
🔗Финансовые последствия со временем становятся все более серьезными, что опровергает предположение о том, что рост числа кибератак приведет к тому, что рынок станет менее чувствительным к ним.
🔗Многие компании, столкнувшиеся с серьезным киберинцидентом, впоследствии были поглощены по значительно сниженной оценке (Yahoo, AOL, Mandiant, LinkedIn, Heartland Payment Systems).
🔗Ransomware-атаки оказывают рыночное воздействие в 23 раза более серьезное, чем утечки данных, а кибератаки с использованием вредоносного ПО (malware) демонстрируют наиболее выраженный негативный эффект, приводя к снижению рыночной стоимости примерно на 45% (но есть нюансы, связанные с ограниченной выборкой).
🔗В рамках оценки эффективности компаний до и после инцидента был зафиксирован неожиданный эффект — небольшое улучшение показателей после кибератаки. Это может быть связано с усилением внутреннего контроля, проведение аудитов и расследований, связанных с повышенным вниманием руководства.

#costs #breach #business #stock #market #ransomware

Малый и средний бизнес всё чаще перекладывает финансовые издержки, возникшие в результате кибератак, на своих клиентов💸

В рамках исследования ITRC почти 40% опрошенных компаний, пострадавших от кибератак, сообщили о повышении цен на свои товары и услуги для компенсации последствий инцидентов. Это негативно сказывается как на потребителях, так и на экономике государств: с одной стороны, клиенты оказываются дважды пострадавшими (например, от утечки данных, при кибератаке на компанию и от повышения цен на товары и услуги), а на макроэкономическом уровне — от разгона инфляции и последующего замедления экономического роста.

Помимо вышеуказанного в качестве покрытия убытков бизнес использует следующие источники:
🟠Страховые выплаты — по киберстраховке.
🟠Денежные резервы — компании тратят собственные накопления.
🟠Кредитные линии и займы — используют существующие кредиты или берут новые займы.
🟠Сокращение расходов и персонала — многие организации идут на общее сокращение издержек, а часть вынуждена проводить сокращение штата.
🟠Привлечение инвестиций — поиск дополнительного финансирования у инвесторов.

При этом сам бизнес выделяет следующие статьи расходов, формирующих финансовые издержки после кибератак:
🟢Прямая кража денежных средств злоумышленниками.
🟢Расходы на реагирование и восстановление.
🟢Репутационные издержки.
🟢Штрафы и санкции.
🟢Услуги для пострадавших клиентов.
Косвенные финансовые потери:
🟢Потеря выручки (прямое падение доходов после кибератаки).
🟢Текучка кадров (рост числа увольнений сотрудников после инцидента, что влечет доп.расходы на поиск и обучение новых сотрудников).
🟢Сложности со страхованием (трудности с получением и/или продлением полиса киберстраховки после инцидента).

#costs #breach #business #stock #market #insurance

В этом году не пришлось долго думать о выдающихся достижениях, так как главное событие в моей жизни — это рождение дочери, которое затмило всё остальное☺️

Если оглянуться на ИБ-деятельность, то здесь удалось выполнить программу-минимум (для себя):
1️⃣С работы не выгнали —всё ещё достоин😁
2️⃣Продолжил вести канал — уже не так активно, как в предыдущие пару лет, но немного подросли по аудитории и, надеюсь, по качеству контента.
3️⃣Отметился на конференции PHDays — подискутировали с коллегами насчет организации безопасной работы с подрядчиками.
4️⃣Поучаствовал в исследовании на тему защиты данных. Даже удостоился отдельного блока с цитатой😎
5️⃣Присоединился к команде Inseca в качестве эксперта на курсе Vulnerability management🤝

Поэтому хочу сказать большое спасибо всем читателям канала, коллегам по работе и ИБ-сфере, а также поздравить с наступающими праздниками!🎄