SANS 2022 Security Awareness Report: Human Risk Remains the Biggest Threat to Your Organization’s Cybersecurity | SANS Institute
https://www.sans.org/press/announcements/sans-2022-security-awareness-report-human-risk-remains-biggest-threat-organizations-cybersecurity/
Key Findings:
Workforce: More than 69% of security awareness professionals are spending less than half their time on security awareness. The data shows that security awareness responsibilities are very commonly assigned to staff with highly technical backgrounds who may lack the skills needed to effectively engage their workforce in simple-to-understand terms.
US Compensation: The average salary reported was $110,309 USD for security training professionals, an increase from 2021. However, those dedicated full-time to awareness were paid on average only $86,626, while those who are part-time averaged $117,584 – $30,000 difference. This difference is because people dedicated part-time to security awareness have their compensation based on their other responsibilities, which are usually more technically focused.
Global Compensation: Security awareness professionals in Australia/New Zealand had the highest average annual compensation ($121,236), while South America had the lowest ($56,960). In North America, the higher the maturity level of an organization’s security awareness program, the higher the salary for the awareness professionals who work there.
Top Reported Challenges: The three top reported challenges for building a mature awareness program were all related to a lack of time: specifically Lack of time for project management, limits on training time to engage employees, and a lack of staffing.
Pandemic Impacts: The top two reported impacts were the challenge of a more distracted and overwhelmed workforce and a working environment where human-based cyber-attacks have become more frequent and effective.
Program Maturity by Region: Consistent across all global regions is that current programs' most common maturity levels are compliance-focused and awareness/behavior change.
Successful Program Indicators: Strong leadership support, increased team size, and a higher training frequency topped the charts as key enablers to program success.
https://www.sans.org/press/announcements/sans-2022-security-awareness-report-human-risk-remains-biggest-threat-organizations-cybersecurity/
Key Findings:
Workforce: More than 69% of security awareness professionals are spending less than half their time on security awareness. The data shows that security awareness responsibilities are very commonly assigned to staff with highly technical backgrounds who may lack the skills needed to effectively engage their workforce in simple-to-understand terms.
US Compensation: The average salary reported was $110,309 USD for security training professionals, an increase from 2021. However, those dedicated full-time to awareness were paid on average only $86,626, while those who are part-time averaged $117,584 – $30,000 difference. This difference is because people dedicated part-time to security awareness have their compensation based on their other responsibilities, which are usually more technically focused.
Global Compensation: Security awareness professionals in Australia/New Zealand had the highest average annual compensation ($121,236), while South America had the lowest ($56,960). In North America, the higher the maturity level of an organization’s security awareness program, the higher the salary for the awareness professionals who work there.
Top Reported Challenges: The three top reported challenges for building a mature awareness program were all related to a lack of time: specifically Lack of time for project management, limits on training time to engage employees, and a lack of staffing.
Pandemic Impacts: The top two reported impacts were the challenge of a more distracted and overwhelmed workforce and a working environment where human-based cyber-attacks have become more frequent and effective.
Program Maturity by Region: Consistent across all global regions is that current programs' most common maturity levels are compliance-focused and awareness/behavior change.
Successful Program Indicators: Strong leadership support, increased team size, and a higher training frequency topped the charts as key enablers to program success.
www.sans.org
SANS 2022 Security Awareness Report: Human Risk Remains the Biggest Threat to Your Organization’s Cybersecurity | SANS Institute
With an unprecedented number of employees now working in hybrid or fully remote environments, compounded by an increase in cyber threats and a more overwhelmed, COVID-19 information fatigued workforce, there has never been a more critical time to effectively…
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Если вы используете
1) Service Mesh Security Best Practices - From Implementation to Verification
2) A beginner’s guide to following Istio’s security best practices
Service Mesh Istio или планируете, то перед вами рано или поздно станет вопрос ее безопасности и организации безопасности с ее помощи (если захотите). И как раз для вас на последнем IstioCon 2022 была два доклада на данную тему:1) Service Mesh Security Best Practices - From Implementation to Verification
2) A beginner’s guide to following Istio’s security best practices
👍1
Forwarded from Yandex Cloud
Yandex Scale 2022 — регистрация открыта!
Каждый год мы проводим Yandex Scale — наше главное мероприятие. Мы встречаемся, чтобы открыто говорить о современных облачных технологиях и ваших задачах, которые они помогают решить. Вместе с вами ищем новые возможности для роста бизнеса и, конечно, обсуждаем новости платформы.
В этом году Yandex Scale пройдёт 23 сентября — офлайн в кинотеатре Октябрь и онлайн на сайте конференции.
Регистрируйтесь и добавляйте событие в календарь, чтобы ничего не пропустить →
А следить за новостями удобно в официальном канале конференции @yandexscale.
#yacloud_news
Каждый год мы проводим Yandex Scale — наше главное мероприятие. Мы встречаемся, чтобы открыто говорить о современных облачных технологиях и ваших задачах, которые они помогают решить. Вместе с вами ищем новые возможности для роста бизнеса и, конечно, обсуждаем новости платформы.
В этом году Yandex Scale пройдёт 23 сентября — офлайн в кинотеатре Октябрь и онлайн на сайте конференции.
Регистрируйтесь и добавляйте событие в календарь, чтобы ничего не пропустить →
А следить за новостями удобно в официальном канале конференции @yandexscale.
#yacloud_news
Forwarded from Dan Belgrad
Коллеги, начали готовить для вас целый трек докладов по безопасности на Scale! Регистрируйтесь уже сейчас!
1/ Ransomware tip: Never upload ransomware samples to VirusTotal.
Why not? Because in most cases, the ransomware creates a readme along the encrypted file, which includes information about how to enter the chat for negotiations with the attackers.
2/ The chat could leak the negotiations with the attackers (including sensitive information) or even the paid amount of ransom.
Sometimes, the chats are still online weeks after the attack. Again, just don't upload samples to VT, even weeks or months after a ransomware attack.
#Stephan_Berger
Why not? Because in most cases, the ransomware creates a readme along the encrypted file, which includes information about how to enter the chat for negotiations with the attackers.
2/ The chat could leak the negotiations with the attackers (including sensitive information) or even the paid amount of ransom.
Sometimes, the chats are still online weeks after the attack. Again, just don't upload samples to VT, even weeks or months after a ransomware attack.
#Stephan_Berger
Forwarded from WTF_HR
Пятничное - эпизод из цикла "бывает только в кино".
Есть такая популярная криптоигра - Axie Infinity. Популярна она так потому, что создана по принципу play-to-earn, то есть за определенные действия в игре можно заработать - и некоторые даже зарабатывают себе там на жизнь. Как иак вышло, нам, грустным занудам, неведомо, но нас никто из многих тысяч игроков, оставляющих и зарабатывающих там миллионы криптодолларов, не спросил.
Дело, впрочем не в этом. А в том что игру эту недавно взломали, и увели оттуда аж полмиллиарда долларов в криптоэквиваленте. Причём выводили деньги в полном соответствии с условиями платформы, по которым за вывод суммы через блокчейн должны проголосовать пятеро валидаторов - пользователей с правами подтверждения транзакций.
В ходе расследования очень быстро стало ясно, что доступ к кошельком этих самых валидаторов кто-то получил через внутренние системы компании, и осталось понять, как этот кто-то туда проник.
И, прошерстив переписку работников компании, расследователи выяснили, что вирус-троян, открывший злоумышленникам двери в системы компвнии, проник в них через... предложение о работе.
В общем, на одного из старших инженеров через LinkedIn вышли некие рекрутеры и предложили ему работу вот прямо по его специальности за очень приличные деньги.
Далее последовали интервью с "нанимающими менеджерами", фидбеки от рекрутеров, следующие интервью и весь приличествующий случаю бардак в стиле "у нас тут внезапно ещё начальник продуктового департамента хочет с вами поговорить, а то он на этой позиции основной смежник". В общем, социальная инженерия 80lvl, и бедный сеньор ничего не заподозрил.
Не заподозрил он ничего и тогда, когда ему прислали ПДФку с красивым во всех отношениях оффером. А зря, потому что в этой самой ПДФке и сидел троян, который позволил хакерам получить доступ к четырём из пяти валидаторов. К пятому доступ был получен через сообщество участников игровой экосистемы, и это тоже забавная история, но уже совсем не про HR.
А про HR ещё вот что. Расследователи пошли к LinkedIn, который, конечно же повёл себя в стиле "мы лишь информационный сервис, а за ваши сломанные в аварии ноги должен платить таксопарк". Но попутно выяснилось, что количество разных там хакерских групп и прочих злобных персонажей, которые орудуют на LinkedIn и притворяются рекрутерами, исчисляется в мире чуть ли не сотнями. И работают эти группы, конечно, на правительства разных там недемократических и нксвободных стран, а на правительства демократических и свободных - нет, потому что это низко.
И вот ей-богу, нам кажется, что как минимум некоторые из известных публичных рекрутеров тоже только притворяются, а на самом деле бог его знает, чем заняты. Остерегайтесь, в общем, товарищи инженеры, кто знает, чего вам в офферах могут теперь прислать.
Ну и да, этот отличный повод не общаться с рекрутерами с рабочего компа не тянет на полноценный сценарий фильма. Но на параллельный сюжетец в каком нибудь очередном "146 друзей Оушенв - вполне".
Хороших выходных!
Есть такая популярная криптоигра - Axie Infinity. Популярна она так потому, что создана по принципу play-to-earn, то есть за определенные действия в игре можно заработать - и некоторые даже зарабатывают себе там на жизнь. Как иак вышло, нам, грустным занудам, неведомо, но нас никто из многих тысяч игроков, оставляющих и зарабатывающих там миллионы криптодолларов, не спросил.
Дело, впрочем не в этом. А в том что игру эту недавно взломали, и увели оттуда аж полмиллиарда долларов в криптоэквиваленте. Причём выводили деньги в полном соответствии с условиями платформы, по которым за вывод суммы через блокчейн должны проголосовать пятеро валидаторов - пользователей с правами подтверждения транзакций.
В ходе расследования очень быстро стало ясно, что доступ к кошельком этих самых валидаторов кто-то получил через внутренние системы компании, и осталось понять, как этот кто-то туда проник.
И, прошерстив переписку работников компании, расследователи выяснили, что вирус-троян, открывший злоумышленникам двери в системы компвнии, проник в них через... предложение о работе.
В общем, на одного из старших инженеров через LinkedIn вышли некие рекрутеры и предложили ему работу вот прямо по его специальности за очень приличные деньги.
Далее последовали интервью с "нанимающими менеджерами", фидбеки от рекрутеров, следующие интервью и весь приличествующий случаю бардак в стиле "у нас тут внезапно ещё начальник продуктового департамента хочет с вами поговорить, а то он на этой позиции основной смежник". В общем, социальная инженерия 80lvl, и бедный сеньор ничего не заподозрил.
Не заподозрил он ничего и тогда, когда ему прислали ПДФку с красивым во всех отношениях оффером. А зря, потому что в этой самой ПДФке и сидел троян, который позволил хакерам получить доступ к четырём из пяти валидаторов. К пятому доступ был получен через сообщество участников игровой экосистемы, и это тоже забавная история, но уже совсем не про HR.
А про HR ещё вот что. Расследователи пошли к LinkedIn, который, конечно же повёл себя в стиле "мы лишь информационный сервис, а за ваши сломанные в аварии ноги должен платить таксопарк". Но попутно выяснилось, что количество разных там хакерских групп и прочих злобных персонажей, которые орудуют на LinkedIn и притворяются рекрутерами, исчисляется в мире чуть ли не сотнями. И работают эти группы, конечно, на правительства разных там недемократических и нксвободных стран, а на правительства демократических и свободных - нет, потому что это низко.
И вот ей-богу, нам кажется, что как минимум некоторые из известных публичных рекрутеров тоже только притворяются, а на самом деле бог его знает, чем заняты. Остерегайтесь, в общем, товарищи инженеры, кто знает, чего вам в офферах могут теперь прислать.
Ну и да, этот отличный повод не общаться с рекрутерами с рабочего компа не тянет на полноценный сценарий фильма. Но на параллельный сюжетец в каком нибудь очередном "146 друзей Оушенв - вполне".
Хороших выходных!
The Block
How a fake job offer took down the world’s most popular crypto game
An engineer’s interest in joining what turned out to be a fictitious company led to March’s $540 million Axie Infinity hack.
Forwarded from Пост Лукацкого
Сегодня выпущена MITRE ATT&CK 11.3, в которую официально включены техники для мобильных платформ
👍1
Forwarded from Пост Лукацкого
Проект национального стандарта ГОСТ Р "Защита информация. Идентификация и аутентификация. Уровни доверия аутентификации" от ТК362
fstec.ru
Проект национального стандарта ГОСТ Р - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
Forwarded from Пост Лукацкого
Проект национального стандарта ГОСТ Р "Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения" от ТК362
👍1
Forwarded from k8s (in)security (Дмитрий Евдокимов)
Свежая серия постов на тему матрицы угроз для
1) MITRE ATT&CK Matrix for Kubernetes - вводная статья
2) MITRE ATT&CK Matrix for Kubernetes: Tactics & Techniques Part 1 - рассматриваются стадии
3) MITRE ATT&CK Matrix for Kubernetes: Tactics & Techniques Part 2 - рассматриваются стадии
4) MITRE ATT&CK Matrix for Kubernetes: Tactics & Techniques Part 3 - рассматриваются стадии
На самом деле авторы ошиблись, добавив в название MITRE ATT&CK, ведь само описание делают на базе матрицы от
P.S. Аккуратно - на картинке есть опечатки!
Kubernetes! Серия состоит из 4 частей:1) MITRE ATT&CK Matrix for Kubernetes - вводная статья
2) MITRE ATT&CK Matrix for Kubernetes: Tactics & Techniques Part 1 - рассматриваются стадии
initial access, execution, persistence и privilege escalation.3) MITRE ATT&CK Matrix for Kubernetes: Tactics & Techniques Part 2 - рассматриваются стадии
defense evasion, credential access и discovery.4) MITRE ATT&CK Matrix for Kubernetes: Tactics & Techniques Part 3 - рассматриваются стадии
lateral movement, collection и impact.На самом деле авторы ошиблись, добавив в название MITRE ATT&CK, ведь само описание делают на базе матрицы от
Microsoft (которая по мне более правильная и полная).P.S. Аккуратно - на картинке есть опечатки!
Forwarded from Листок бюрократической защиты информации
Интересное мнение, которое, пожалуй, стоит учитывать и при разработке внутренних регламентирующих документов по ИБ.
Forwarded from Ivan Begtin (Ivan Begtin)
Те кто когда-либо читали законы, постановления, указы и приказы на регулярной основе, наверняка, замечали что удивительно что все они написаны текстами, а не наборами инструкций.
В мире есть какое-то число инициатив по систематизации нормативных документов, таких как gitLaws или Akomo Ntoso, но в целом прогресс невелик. Отчасти от того, что есть значительное число юристов которые в результате потеряют работу, отчасти от объективной сложности применения чётких правил к нечёткой области деятельности, а отчасти поскольку законы создаются в рамках государственной модели, а многие конституции написаны так что парламенты имеют право принимать любые законы (!).
Иначе говоря есть две противоположные позиции. Одна в том что все НПА поддаются декомпозиции в чёткие правила, а другая в том что нельзя лезть с автоматизацией туда где нужно помнить о гибкости.
Лично я считаю что истина где-то посередине и истина в том что если делать платформу по разработке НПА, она должна более напоминать nocode/low-code платформы чем git или программный код в чистом виде.
Дело в том что явной автоматизации поддаются до 95-99% всех нормативных документов. Какие-нибудь распоряжения о назначении или увольнении и многие типовые указы, распоряжения и тд. Законы, также, вполне чётко могут быть разделены на новеллы и изменения накладываемые автоматически.
При этом, при подготовке любого НПА технологически должно быть возможно:
а) Иметь возможность готовить НПА в режиме конструктора норм.
б) Включить режим ручного написания текста, а не конструктор норм.
в) Иметь сервис способный автоматически проверять корректность/четкость/понятность норм и восстанавливать структурированные нормы из вручную написанного текста.
При это важно помнить что написание правил и законов - это основная функция госаппарата. Лично мне неизвестны чиновники ни в одной стране кто с энтузиазмом воспринимал бы идеи по контролю за их работой. Поэтому никто и не финансирует такие проекты по настоящему, не применяет языковые модели вроде GPT-3 к анализу новых НПА и корпусов законов.
Тем не менее я придерживаюсь мнения что рано или поздно автоматизация в этой области произойдёт. Эволюция правовых систем в новом поколении будет применять обратную реконструкцию норм из текстов в утилитарных целях - лоббирование, судебные разбирательства и тому подобное.
#legaltech #government #laws
В мире есть какое-то число инициатив по систематизации нормативных документов, таких как gitLaws или Akomo Ntoso, но в целом прогресс невелик. Отчасти от того, что есть значительное число юристов которые в результате потеряют работу, отчасти от объективной сложности применения чётких правил к нечёткой области деятельности, а отчасти поскольку законы создаются в рамках государственной модели, а многие конституции написаны так что парламенты имеют право принимать любые законы (!).
Иначе говоря есть две противоположные позиции. Одна в том что все НПА поддаются декомпозиции в чёткие правила, а другая в том что нельзя лезть с автоматизацией туда где нужно помнить о гибкости.
Лично я считаю что истина где-то посередине и истина в том что если делать платформу по разработке НПА, она должна более напоминать nocode/low-code платформы чем git или программный код в чистом виде.
Дело в том что явной автоматизации поддаются до 95-99% всех нормативных документов. Какие-нибудь распоряжения о назначении или увольнении и многие типовые указы, распоряжения и тд. Законы, также, вполне чётко могут быть разделены на новеллы и изменения накладываемые автоматически.
При этом, при подготовке любого НПА технологически должно быть возможно:
а) Иметь возможность готовить НПА в режиме конструктора норм.
б) Включить режим ручного написания текста, а не конструктор норм.
в) Иметь сервис способный автоматически проверять корректность/четкость/понятность норм и восстанавливать структурированные нормы из вручную написанного текста.
При это важно помнить что написание правил и законов - это основная функция госаппарата. Лично мне неизвестны чиновники ни в одной стране кто с энтузиазмом воспринимал бы идеи по контролю за их работой. Поэтому никто и не финансирует такие проекты по настоящему, не применяет языковые модели вроде GPT-3 к анализу новых НПА и корпусов законов.
Тем не менее я придерживаюсь мнения что рано или поздно автоматизация в этой области произойдёт. Эволюция правовых систем в новом поколении будет применять обратную реконструкцию норм из текстов в утилитарных целях - лоббирование, судебные разбирательства и тому подобное.
#legaltech #government #laws
https://www.nccoe.nist.gov/news-insights/hybrid-satellite-networks-hsn-cybersecurity-draft-annotated-outline
Hybrid Satellite Networks (HSN) Cybersecurity Draft Annotated Outline
Hybrid Satellite Networks (HSN) Cybersecurity Draft Annotated Outline