Наиболее часто используемые критерии для приоритизации рисков кибербезопасности📊

Если посмотреть на результаты опроса специалистов насчет приоритизации из небольшого исследования про управление киберрисками от Qualys, то можно заметить, что большинство (зарубежных) компаний отказались от использования оценки CVSS как единственного критерия ранжирования рисков: 68% опрошенных заявили, что используют несколько критериев для оценки рисков или количественную оценку.
При этом наиболее популярными критериями ранжирования киберрисков стали:
1️⃣Критичность уязвимости
2️⃣Потенциальное влияние на бизнес
3️⃣Стоимость и критичность активов
4️⃣Соответствие нормативным требованиям
5️⃣Вероятность компрометации

Это свидетельствует о том, что специалисты стали чаще учитывать бизнес-контекст для приоритизации киберрисков. Примечательно, что в целом только 13% опрошенных сообщили о применении количественной оценки киберрисков, что указывает на то, что для многих это по-прежнему является сложной задачей🤔

Также стоит отметить, что наиболее распространенными критериями классификации активов и определения их ценности являются:
🔗Критичность для бизнес-операций
🔗Категория обрабатываемых данных
🔗Оценочная стоимость актива

Однако частота пересмотра классификации активов остается довольно низкой: большинство компаний обновляет данные ежегодно или реже, например, только после значительных изменений в рассматриваемых системах.

#risk #vulnerability #vm #prioritization #value #assessment #cvss

📥Фреймворк психологии кибербезопасности

Пожалуй, интересное с точки зрения психологии принятия решений исследование и модель, призванная попытаться разрешить (или хотя бы понять) проблему человеческого фактора в кибербезопасности.
Да, конечная цель утопична ибо это попытка победить подсознательное: сам автор исследования подчеркивает, что большинство решений в области безопасности происходят на подсознательном уровне за 300-500 миллисекунд до того, как мы их осознаем, но выявление групповых факторов (подверженности персонала) и расчет оценки риска может позволить улучшить систему защиты организации.

Сама модель представляет собой 100 индикаторов поведения, сгруппированных по 10 категориям:
🔗Подчинение авторитету — когда люди слепо выполняют указания начальства или тех, кто представляется авторитетом.
🔗Временные уязвимости — поспешные решения под давлением времени.
🔗Социальное влияние — склонность делать то, что делают другие.
🔗Эмоциональные уязвимости — решения под влиянием страха, стресса или других эмоций.
🔗Когнитивная перегрузка — когда слишком много информации мешает принимать правильные решения.
🔗Групповая динамика — как поведение группы влияет на безопасность.
🔗Стрессовые реакции — как стресс влияет на решения по безопасности.
🔗Бессознательные процессы — скрытые мотивы и страхи.
🔗ИИ-специфичные предрассудки — новые уязвимости при работе с искусственным интеллектом. Например, излишнее доверие рекомендациям генеративных ИИ.
🔗Критические состояния — когда несколько факторов действуют одновременно.

Все группы индикаторов соотносят с научными работами и подходами известных психологов и экономистов: например, с теорией групповой динамики Уильяма Биона, в рамках которой описаны три базовых допущения, которые бессознательно принимаются группой людей при столкновении с тревогой. В контексте кибербезопасности эти допущения проявляются как уязвимости групповой динамики:
🟠"Зависимость" — чрезмерная зависимость от поставщиков безопасности и поиска серебряной пули (технологии, дающей 100% защиту).
🟠"Бей-беги" — агрессивная защита периметра при игнорировании внутренних угроз.
🟠"Объединение" — постоянное приобретение новых инструментов без устранения фундаментальных уязвимостей.

Как видите, речь здесь не только про поведение рядовых сотрудников, нажимающих на ссылки в фишинговых письмах, но и ИБ-специалистов и руководство в том числе.

p.s. Такими темпами придется скоро психолога в SOC брать😄

#awareness #framework #psychology

🛡Злоумышленники активно ищут и эксплуатируют уязвимости не только в широко распространенных продуктах, но и в менее известных программных решениях.

Согласно свежему исследованию Instinkt Group в первой половине 2025 года были проэксплуатированы уязвимости 81 вендора ПО. Хотя, продукты Microsoft доминировали по количеству эксплуатируемых уязвимостей, авторы подчеркивают, что всё чаще злоумышленники целенаправленно ищут уязвимости в менее популярных и менее распространенных продуктах, предполагая, что организации могут откладывать установку исправлений или не покрывать мониторингом такие системы и ПО.

Другие выводы и показатели за первое полугодие 2025:
➡️Активно эксплуатировались 161 уязвимость, причем 42% из них имели общедоступные PoC.
➡️69% эксплуатируемых уязвимостей не требовали аутентификации, а почти одна треть позволяла удаленное выполнение кода (RCE).
➡️17% эксплуатируемых уязвимостей относились к продуктам Microsoft, и столько же — к периметровым сетевым устройствам (SSL-VPN, firewalls, Citrix, Palo Alto, Fortinet, Ivanti и т.д.).
➡️Самые распространённые дефекты CWE — Cross-Site Scripting (CWE-79), SQL Injection (CWE-89), а также Cross-Site Request Forgery (CWE-352), generic Injection flaws (CWE-74), и Missing Authorization (CWE-862).
➡️151 из 161 эксплуатированной уязвимости применялись для развертывания вредоносного ПО, а 73 — для установки программ-вымогателей.

p.s. Так как Instinkt Group является подразделением Recorded Future, то на всякий случай напоминаю, что данная организация признана на территории РФ нежелательной🤷‍♂️

#cve #trends #prioritization #cwe #vm

Набрел на пару интересных ресурсов на тему фишинговых атак ClickFix:
1️⃣ClickGrab Threat Intelligence — небольшой TI-портал, собирающий информацию о вредоносных ресурсах, подготовленных для атак типа ClickFix, а также инструмент для определения вредоносных сайтов, описание используемых злоумышленниками техник и набор рекомендаций и полезных ресурсов.
2️⃣ClickFix Attack Educator — представляет собой интерактивный мини-симулятор, наглядно демонстрирующий на трех кейсах как работает данный тип атаки, а также набор памяток и чек-листов о том как распознать и как действовать.
Написано простым английским языком, поэтому легко переводится на русский язык и можно использовать в своих целях, если ещё за год не успели сделать свои памятки и инструкции🙂

#phishing #clickfix #ti #report #awareness

🗂Матрица техник злоумышленников, направленных на эксплуатацию человеческого фактора.

Human Threat Map – интересный проект, представляющий собой структурированную карту методов, с помощью которых злоумышленники эксплуатируют человеческие слабости👨‍💻
Выглядит всё это как MITRE-подобная матрица:
🔗более 80 техник разбиты на 9 тактик (этапов атаки).
🔗техники можно сгруппировать по доменам безопасности.
🔗для каждой техники есть описание, сценарии человеческого поведения/рисков, которые способствуют возникновению угрозы, а также ссылки на ресурсы с описанием реальных инцидентов, связанных с этими угрозами.

Пробежавшись по техникам, можно оценить на сколько хорошо вы покрываете организационными и техническими мерами конкретные сценарии эксплуатации человеческого фактора, выявить актуальные векторы атак, создать соответствующие сценарии обучения и приоритизировать защитные меры.
Подробнее о проекте можно почитать в блоге авторов ресурса.

#awareness #framework #threat #mitre #ttp #hrm #human #risk