Vulnerability-Lookup выпустили небольшое исследование, в котором проанализировали эффективность и нюансы различных источников информации об эксплуатации уязвимостей.

Помимо очевидного вывода о том, что социальные сети Fediverse и BlueSky полезны для раннего обнаружения уязвимостей и следов их эксплуатации, так как именно здесь исследователи первыми делятся находками, а такие TI-источники, как MISP и The Shadowserver Foundation, предоставляют проверенную и обогащённую контекстом (индикаторами компрометации) информацию, но не очень оперативно, можно кратко описать выводы по приведенным в отчете источникам:
➡️BlueSky — еженедельные колебания активности на платформе отражают естественные циклы вовлеченности пользователей, включая всплески, связанные с публикацией значимой информации об угрозах. Постоянный поток данных свидетельствует о росте значимости Bluesky как источника первичных разведданных.
➡️Fediverse — пики активности, как правило, коррелируют со всплесками обсуждений, инициированных информацией о вендоре уязвимого ПО, высокой степени серьезности уязвимости или появлением данных о возможности ее эксплуатации. Активность варьируется между различными серверами сети, что указывает на неоднородную вовлеченность сообществ в обсуждение вопросов ИБ.
➡️Платформа Gist —резкие еженедельные всплески активности на этой платформе часто совпадают с публикацией новых PoC, утечками данных или конфигурационных файлов, а иногда такая активность наблюдается еще до официальной публикации информации об уязвимости и присвоения ей номера CVE.
➡️MISP — динамика активности более плавная. Всплески, как правило, указывают на скоординированную реакцию сообщества на крупные инциденты или уязвимости, когда множество участников обмениваются проверенными данными.
➡️The Shadowserver Foundation — стабильный и высокоценный поток данных о реальной эксплуатационной активности, который является ключевым для оценки рисков и приоритизации задач по устранению уязвимостей.
➡️Metasploit — пики активности тесно связаны с реальными кампаниями по эксплуатации или выпуском новых модулей для Metasploit. Такая активность является сильным индикатором практической возможности эксплуатации той или иной уязвимости.

Ключевой вывод:

для формирования полной и объективной картины угроз необходимо комбинировать данные из всех типов источников, а в качестве потенциального направления для дальнейшего развития можно рассмотреть внедрение системы весовых коэффициентов для сообщений об угрозах в зависимости от их источника. Такой подход позволит автоматически приоритизировать данные и повысить точность и релевантность.

#vm #trends #ti #vulnerability #prioritization #cve

Свежее исследование на тему влияния "экстремальных" кибератак на рыночную капитализацию публичных компаний в период с 2000 по 2021 годы🆕
В рамках данной работы авторы оценили среднесрочные и долгосрочные (периоды в 1 и 2 года после инцидента соответственно) экономические последствия "экстремальных" кибератак (превышающие пороговые значения значимости инцидентов, например, прямые убытки в размере более 10 млн $).

Приведу кратко основные выводы:
🔗Негативные последствия кибератак не являются временными, а сохраняются и усугубляются в течение длительного времени.
🔗В течение первого года после экстремальной кибератаки рыночная стоимость пострадавших компаний в среднем оказывалась на 8,9% ниже, чем ожидалось.
🔗Через два года после инцидента среднее отставание от ожидаемых показателей рыночной стоимости увеличивается до 14%.
🔗Финансовые последствия со временем становятся все более серьезными, что опровергает предположение о том, что рост числа кибератак приведет к тому, что рынок станет менее чувствительным к ним.
🔗Многие компании, столкнувшиеся с серьезным киберинцидентом, впоследствии были поглощены по значительно сниженной оценке (Yahoo, AOL, Mandiant, LinkedIn, Heartland Payment Systems).
🔗Ransomware-атаки оказывают рыночное воздействие в 23 раза более серьезное, чем утечки данных, а кибератаки с использованием вредоносного ПО (malware) демонстрируют наиболее выраженный негативный эффект, приводя к снижению рыночной стоимости примерно на 45% (но есть нюансы, связанные с ограниченной выборкой).
🔗В рамках оценки эффективности компаний до и после инцидента был зафиксирован неожиданный эффект — небольшое улучшение показателей после кибератаки. Это может быть связано с усилением внутреннего контроля, проведение аудитов и расследований, связанных с повышенным вниманием руководства.

#costs #breach #business #stock #market #ransomware

Малый и средний бизнес всё чаще перекладывает финансовые издержки, возникшие в результате кибератак, на своих клиентов💸

В рамках исследования ITRC почти 40% опрошенных компаний, пострадавших от кибератак, сообщили о повышении цен на свои товары и услуги для компенсации последствий инцидентов. Это негативно сказывается как на потребителях, так и на экономике государств: с одной стороны, клиенты оказываются дважды пострадавшими (например, от утечки данных, при кибератаке на компанию и от повышения цен на товары и услуги), а на макроэкономическом уровне — от разгона инфляции и последующего замедления экономического роста.

Помимо вышеуказанного в качестве покрытия убытков бизнес использует следующие источники:
🟠Страховые выплаты — по киберстраховке.
🟠Денежные резервы — компании тратят собственные накопления.
🟠Кредитные линии и займы — используют существующие кредиты или берут новые займы.
🟠Сокращение расходов и персонала — многие организации идут на общее сокращение издержек, а часть вынуждена проводить сокращение штата.
🟠Привлечение инвестиций — поиск дополнительного финансирования у инвесторов.

При этом сам бизнес выделяет следующие статьи расходов, формирующих финансовые издержки после кибератак:
🟢Прямая кража денежных средств злоумышленниками.
🟢Расходы на реагирование и восстановление.
🟢Репутационные издержки.
🟢Штрафы и санкции.
🟢Услуги для пострадавших клиентов.
Косвенные финансовые потери:
🟢Потеря выручки (прямое падение доходов после кибератаки).
🟢Текучка кадров (рост числа увольнений сотрудников после инцидента, что влечет доп.расходы на поиск и обучение новых сотрудников).
🟢Сложности со страхованием (трудности с получением и/или продлением полиса киберстраховки после инцидента).

#costs #breach #business #stock #market #insurance

В этом году не пришлось долго думать о выдающихся достижениях, так как главное событие в моей жизни — это рождение дочери, которое затмило всё остальное☺️

Если оглянуться на ИБ-деятельность, то здесь удалось выполнить программу-минимум (для себя):
1️⃣С работы не выгнали —всё ещё достоин😁
2️⃣Продолжил вести канал — уже не так активно, как в предыдущие пару лет, но немного подросли по аудитории и, надеюсь, по качеству контента.
3️⃣Отметился на конференции PHDays — подискутировали с коллегами насчет организации безопасной работы с подрядчиками.
4️⃣Поучаствовал в исследовании на тему защиты данных. Даже удостоился отдельного блока с цитатой😎
5️⃣Присоединился к команде Inseca в качестве эксперта на курсе Vulnerability management🤝

Поэтому хочу сказать большое спасибо всем читателям канала, коллегам по работе и ИБ-сфере, а также поздравить с наступающими праздниками!🎄

Очередная MITRE-подобная матрица, но на этот раз не про тактики и техники злоумышленников, а про признаки и симптомы "чрезмерной рабочей занятости", которая приводит к снижению продуктивности, эффективности и может привести в том числе к выгоранию🫠

Все "техники" (они же симптомы) сгруппированы в пять "тактик", которые представляют собой стадии "проникновения" информационного шума и плохих практик в рабочий процесс. Для каждой "тактики" приведены защитные стратегии, призванные разгрузить рабочее время от информационного шума.
Всего имеем 16 техник-симптомов:
🟠Перегрузка встречами (календарь забитый встречами, не оставляющими времени на подготовку к ним)
🟠Почтовая бомбардировка (переполненный почтовый ящик, постоянно отвлекающий на себя)
🟠Внедрение срочности (маркировка всех задач как срочных или высокоприоритетных, что убивает весь смысл приоритизации)
🟠Режим многозадачности (попытки выполнения нескольких задач одновременно)
🟠Переключение контекста (быстрое переключение между несвязанными задачами, что мешает концентрации и вдумчивой работе)
🟠Реактивный режим (работа в режиме постоянного "тушения пожаров" вместо проактивного планирования и предупреждения проблем)
🟠Культура "Всегда на связи" (ожидание круглосуточной доступности и мгновенных ответов на сообщения)
🟠Театр продуктивности (демонстративная занятость ценится выше, чем фактические результаты)
🟠Использование практики FOMO (страх упустить что-то важное поддерживает вовлеченность в несущественные активности)
🟠Эрозия границ (постепенное размывание границ между работой и личной жизнью)
🟠Путаница в приоритетах (различие между важным и срочным становится невозможно определить)
🟠Избегание делегирования (убежденность в том, что все необходимо делать самостоятельно)
🟠Стратегическая слепота (неспособность видеть общую картину или долгосрочные цели)
🟠Снижение качества решений (принятие поспешных решений на основе неполной информации)
🟠Уничтожение творческого потенциала (отсутствие ментального пространства для инноваций и глубоких размышлений)
🟠Эрозия отношений (поверхностные взаимодействия приходят на смену значимым человеческим связям).

Шутки шутками, а вот длинные выходные хорошее время, чтобы проанализировать свой тайм-менеджмент, взглянуть на что тратится ценное рабочее время и попробовать что-то изменить в наступившем году🫡

#mitre #psychology #fomo #timemanagement

Ближе к концу прошедшего года Международный союз электросвязи (МСЭ) выпустил отчет, посвященный созданию глобальной культуры кибербезопасности и защите информационных и коммуникационных сетей.

Документ интересен прежде всего обзором национальных инициатив стран-участниц МСЭ по кибербезопасности, в частности: лучших практик повышения осведомленности, стратегий устранения дефицита профильных специалистов, мер по защите детей в цифровой среде, борьбы с кибермошенничеством, безопасности IoT-устройств и 5G-сетей, а также роли национальных CIRT в обеспечении устойчивости критической инфраструктуры.
Из отечественных инициатив и мероприятий отмечены следующие:
🔗 Программа «Кибергигиена» — трехлетняя инициатива под эгидой Минцифры, направленная на разные возрастные группы в рамках борьбы с кибербуллингом, кибермошенничеством, защите паролей и мобильных устройств.
🔗Кампания по цифровой грамотности — проект в рамках программы «Цифровая экономика», использующий анимационные видео для обучения школьников и учителей защите данных и безопасности в цифровой среде.
🔗Создание Национального координационного центра по компьютерным инцидентам (НКЦКИ) для повышения уровня безопасности критической информационной инфраструктуры.
🔗Внедрение платформы «Антифрод» для верификации вызовов, запрет на аренду виртуальных мобильных номеров для борьбы со смишингом и уголовное преследование кибермошенников.
🔗Указ Президента РФ от 01.05.2022 № 250, устанавливающий строгие требования к квалификации и опыту руководителей подразделений информационной безопасности.

Если посмотреть опыт других стран, то можно заметить, что все движутся примерно в одном направлении: программы повышения осведомленности, подготовки кадров, сертификация по требованиям безопасности, борьба с кибермошенничеством, создание специализированных CERT/CIRT.

Для себя отметил несколько интересных инициатив/мероприятий:
🔗Бразильская программа «Hackers do Bem» («Хакеры во благо») направленная на подготовку 30 000 специалистов для восполнения дефицита на рынке труда. Программа включает пятиуровневое обучение, от базовых концепций до специализированных профилей («Red Team», «Blue Team», «DevSecOps»), и завершается шестимесячной стажировкой.
🔗Для помощи организациям в планировании бюджета Национальный орган по кибербезопасности (NCA) Саудовской Аравии разработал инструмент оценки затрат на внедрение базовых мер кибербезопасности.
🔗Регулятор связи Великобритании Ofcom в добровольном порядке реализует с операторами схему TBEST, которая имитирует кибератаку для выявления уязвимостей в сетях и улучшения их защиты.
🔗Национальный CIRT Литвы не только реагирует на инциденты, но и активно управляет уязвимостями, сканируя литовские интернет-ресурсы и информируя операторов критической инфраструктуры о потенциальных угрозах.

#awareness #smishing #смишинг #мошенничество #кадры #cirt #cert

О, моя подборочка ресурсов на тему VM засветилась😊
Кстати, на выходных добавил пару новых ресурсов👍

#cve #vm #bookmarks #prioritization #trends #cvss #vulnerability

Google в лице Mandiant неожиданно пошарила всему миру радужные таблицы с NetNTLMv1-хэшами🤝

Если верить авторам, то эти таблицы позволят подобрать пароль менее чем за 12 часов на обычном ширпотребном железе стоимостью не более 600$⚡️
Конечно же, датасет выложен для помощи исследователям и специалистам по ИБ, что может помочь обосновать отказ от использования "древнего" протокола в корпоративной сети, но думаю и скрипт-кидди заинтересуются. Для матерых злоумышленников вряд ли это будет полезно, т.к. у них уже давно всё есть😄

Подробнее про таблицы можно почитать в блоге Google Cloud, а сам датасет можно найти на портале Google Research.

#mandiant #hash #ntlm #rainbowtables #research #bruteforce

Так, управлять кластерами кубера и убивать вирусню алмазным мечом в Minecraft мы уже умеем👷
Пришло время геймифицировать управление ИИ-агентами: энтузиасты придумали интерфейс в стиле пошаговой стратегии Warcraft для управления жизненным циклом ИИ-агентов👾
Автор проекта заявляет, что интерфейс позволит полноценно управлять задачами агентов, количество которых может достигать двух сотен!
Правда пока потестить новый Warcraft Agentcraft дано не всем, но можно записаться в очередь на получение инвайта для раннего доступа🙂

Нужно больше золота памяти — Зиккурат ИИ сам себя не построит😄

#ai #gamification #humor