Согласно свежему исследованию Instinkt Group в первой половине 2025 года были проэксплуатированы уязвимости 81 вендора ПО. Хотя, продукты Microsoft доминировали по количеству эксплуатируемых уязвимостей, авторы подчеркивают, что всё чаще злоумышленники целенаправленно ищут уязвимости в менее популярных и менее распространенных продуктах, предполагая, что организации могут откладывать установку исправлений или не покрывать мониторингом такие системы и ПО.
Другие выводы и показатели за первое полугодие 2025:
p.s. Так как Instinkt Group является подразделением Recorded Future, то на всякий случай напоминаю, что данная организация признана на территории РФ нежелательной🤷♂️
#cve #trends #prioritization #cwe #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍6🔥4👌1
В нескольких слайдах приведена информация о:
Если подытожить выводы всех приведенных на слайде исследований, то в результате инцидентов акции компаний могут снизиться на 1,12–7,27%, а их показатели в течение нескольких недель после атаки могут отставать от рыночных индексов на 4,18% и более. Долгосрочные последствия включают понижение кредитных рейтингов на срок до трёх лет и устойчивое отставание от рынка, которое в отдельных секторах сохраняется даже через шесть месяцев.
#stock #business #impact
Please open Telegram to view this post
VIEW IN TELEGRAM
6👍4❤2
Свежее исследование Oh, Behave! о том, как различные поколения людей относятся к рискам и правилам кибербезопасности🔐
Ежегодно к октябрьскому месячнику по повышению осведомленности контора Cybsafe выпускает большое исследование, где делится результатами опроса пользователей как на тему рисков кибербезопасности и поведения в сети Интернет, так и их отношения к правилам кибербезопасности.
Информации традиционно много, поэтому выделил интересное по сравнению с результатами прошлого исследования:
🟠 43% сотрудников признались, что передавали конфиденциальную рабочую информацию ИИ-инструментам без ведома работодателя (данные клиентов, финансовые отчеты, бизнес-стратегии и программный код).
🟠 Наблюдается рост позитивного отношения к онлайн-безопасности: большинство считает ее приоритетом и стоящей усилий. Однако растет «фатализм конфиденциальности»: 31% считают неизбежной потерю денег в Интернете, а 40% — кражу личных данных. Это снижает мотивацию к защитным действиям.
🟠 Фишинг остается самой распространенной угрозой (29%), но набирают силу новые виды мошенничества, например, дипфейк-звонки, с которыми столкнулись 34% опрошенных. Молодые поколения (поколение Z и миллениалы) страдают непропорционально сильнее.
🟠 Ухудшается гигиена паролей (62% регулярно используют уникальные пароли, что ниже предыдущих показателей), а молодые поколения менее склонны использовать MFA, считая ее неудобной. Парадоксально, но старшие поколения более добросовестны: 49% бэби-бумеров регулярно используют MFA по сравнению с 17% у поколения Z.
🟠 Общий уровень оповещений о киберпреступлениях высок (91%): большинство пострадавших обращались в банки, затем — в полицию или иные гос. органы. Однако при этом 25% жертв фишинга не знали, к кому обратиться, а 22% пострадавших от мошенничества на сайтах знакомств чувствовали слишком сильный стыд, чтобы заявить о случившемся😬
#awareness #phishing #password #deepfake #ai
Ежегодно к октябрьскому месячнику по повышению осведомленности контора Cybsafe выпускает большое исследование, где делится результатами опроса пользователей как на тему рисков кибербезопасности и поведения в сети Интернет, так и их отношения к правилам кибербезопасности.
Информации традиционно много, поэтому выделил интересное по сравнению с результатами прошлого исследования:
#awareness #phishing #password #deepfake #ai
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2
Набрел на пару интересных ресурсов на тему фишинговых атак ClickFix:
1️⃣ ClickGrab Threat Intelligence — небольшой TI-портал, собирающий информацию о вредоносных ресурсах, подготовленных для атак типа ClickFix, а также инструмент для определения вредоносных сайтов, описание используемых злоумышленниками техник и набор рекомендаций и полезных ресурсов.
2️⃣ ClickFix Attack Educator — представляет собой интерактивный мини-симулятор, наглядно демонстрирующий на трех кейсах как работает данный тип атаки, а также набор памяток и чек-листов о том как распознать и как действовать.
Написано простым английским языком, поэтому легко переводится на русский язык и можно использовать в своих целях, если ещё за год не успели сделать свои памятки и инструкции🙂
#phishing #clickfix #ti #report #awareness
Написано простым английским языком, поэтому легко переводится на русский язык и можно использовать в своих целях, если ещё за год не успели сделать свои памятки и инструкции
#phishing #clickfix #ti #report #awareness
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Продолжаем месяц повышения осведомленности🙂
Вот ещё интересный набор интерактивных мини-курсов.
Да, также на английском языке, но так как есть исходники и скрипт для конвертации в формат scorm, то довольно быстро и бесплатно можно русифицировать и переделать под себя такие интерактивные курсы и загрузить их в свою систему управления обучением,в т.ч. и опенсорсные (например, Moodle).
#awareness #training
Вот ещё интересный набор интерактивных мини-курсов.
Да, также на английском языке, но так как есть исходники и скрипт для конвертации в формат scorm, то довольно быстро и бесплатно можно русифицировать и переделать под себя такие интерактивные курсы и загрузить их в свою систему управления обучением,в т.ч. и опенсорсные (например, Moodle).
#awareness #training
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍11
Около 300 метрик сгруппированы по доменам: для каждой метрики есть краткое описание, рекомендации по периоду расчета, целевые показатели и первоисточник метрики (стандарт, статья и т.п.).
Как каталог вполне себе хорош, но за "смыслом" придется лезть в первоисточники: пожалуй, все основные крупные собрали, но в глаза бросилось отсутствие метрик из отличного сборника от Cloud Security Alliance.
#metrics
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5✍3⚡1
Human Threat Map – интересный проект, представляющий собой структурированную карту методов, с помощью которых злоумышленники эксплуатируют человеческие слабости
Выглядит всё это как MITRE-подобная матрица:
Пробежавшись по техникам, можно оценить на сколько хорошо вы покрываете организационными и техническими мерами конкретные сценарии эксплуатации человеческого фактора, выявить актуальные векторы атак, создать соответствующие сценарии обучения и приоритизировать защитные меры.
Подробнее о проекте можно почитать в блоге авторов ресурса.
#awareness #framework #threat #mitre #ttp #hrm #human #risk
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🔥8✍3🤗1
В реестре SebDB более сотни паттернов поведения, классифицированных по доменам безопасности, степени влияния на риск и возможному негативному эффекту (например, финансовые потери) при нарушении правила. Каждое безопасное действие привязано к тактикам злоумышленников из матрицы MITRE ATT&CK и к функциям фреймворка NIST CSF, что позволяет понять, от каких угроз и на каком этапе защищает то или иное поведение. База доступна публично, периодически обновляется и всю информацию можно скачать в эксельке.
Оба проекта можно использовать совместно для совершенствования процесса повышения осведомленности и лучше интегрировать его в смежные процессы ИБ.
#awareness #framework #threat #mitre #ttp #hrm #human #risk
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🔥6✍3
This media is not supported in your browser
VIEW IN TELEGRAM
Изменений за пару лет немного: несколько ресурсов закрылись, несколько новых появилось. Из совсем свежего можно выделить GreyNoise Threat Map (для большего эффекта можно включить музыкальное сопровождение на сайте).
#map #cyberattack #visualization #relax
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3⚡1❤1😁1
Компания OX Research на основе проведенного анализа более 50 репозиториев с открытым исходным кодом, сгенерированным с помощью ИИ-ассистентов, и последующего сравнения с 250 репозиториями кода, сгенерированного до 2022 года, сделали вывод, что ИИ-ассистенты пишут код как талантливые джуны — быстро и эффективно, но с архитектурными изъянами и не очень безопасно🤷
При этом, по мнению авторов, основная проблема заключается не в качестве кода, а в экспоненциальном росте скорости развертывания кода в продакшн:
В исследовании также приведён топ‑10 антипаттернов кода, сгенерированного ИИ, — практик написания кода, которые подрывают сопровождаемость, масштабируемость и безопасность приложений.
Например, один из очевидных антипаттернов, влияющих на безопасность — «ванильный» стиль: вместо использования проверенных библиотек ИИ‑ассистент генерирует код с нуля. С одной стороны, это снижает число внешних зависимостей и уменьшает потребность в отслеживании уязвимостей в библиотеках и их обновлении; с другой — увеличивает объём кода, который может содержать уязвимости и усложняет проверки безопасности. В результате растут затраты на security code review и число ложноположительных срабатываний при поиске уязвимостей.
#ai #antipattern #appsec #vibecoding #vulnerability
При этом, по мнению авторов, основная проблема заключается не в качестве кода, а в экспоненциальном росте скорости развертывания кода в продакшн:
в целом, плотность уязвимостей на строку кода, сгенерированного ИИ, сопоставима с аналогичным показателем для кода, сгенерированного человеком.
В исследовании также приведён топ‑10 антипаттернов кода, сгенерированного ИИ, — практик написания кода, которые подрывают сопровождаемость, масштабируемость и безопасность приложений.
Например, один из очевидных антипаттернов, влияющих на безопасность — «ванильный» стиль: вместо использования проверенных библиотек ИИ‑ассистент генерирует код с нуля. С одной стороны, это снижает число внешних зависимостей и уменьшает потребность в отслеживании уязвимостей в библиотеках и их обновлении; с другой — увеличивает объём кода, который может содержать уязвимости и усложняет проверки безопасности. В результате растут затраты на security code review и число ложноположительных срабатываний при поиске уязвимостей.
#ai #antipattern #appsec #vibecoding #vulnerability
👍4👌1
Довольно наглядная статистика, демонстрирующая к чему приводит большое количество ложных срабатываний ИБ‑инструментов и вообще нескончаемый поток запросов от ИБ.
В рамках исследования (в основном про ИИ в разработке и ИБ) компании Aikido две трети опрошенных респондентов признались, что большое количество ложноположительных сработок от средств защиты, подтолкнуло их к небезопасным практикам:
🔹создают правила для фильтрации оповещений от команды ИБ или инструментов ИБ (например, все письма от ИБ сразу удаляют в корзину).
🔹отклоняют сработку без рассмотрения.
🔹затягивают исправление уязвимостей.
🔹обходят проверки или отключают инструменты ИБ.
🔹ограничивают область проверок (например, сообщают не обо всех ветках разработки).
🔹покупают дополнительные инструменты для триажа (что в свою очередь приводит к разрастанию зоопарка инструментов и очередному витку увеличения фолзов).
Про зоопарк инструментов и финансовые потери на триаж в отчете есть отдельный блок аналитики, подчеркивающий, что проблема "tool sprawl" стоит остро и усугубляется, в том числе внедрением ИИ в разработку: без оркестраторов, автоматизации и удобных единых инструментов для обеих сторон (ИБ и разработки) ничего не решится.
#vulnerability #vm #appsec #development #toolsprawl
В рамках исследования (в основном про ИИ в разработке и ИБ) компании Aikido две трети опрошенных респондентов признались, что большое количество ложноположительных сработок от средств защиты, подтолкнуло их к небезопасным практикам:
🔹создают правила для фильтрации оповещений от команды ИБ или инструментов ИБ (например, все письма от ИБ сразу удаляют в корзину).
🔹отклоняют сработку без рассмотрения.
🔹затягивают исправление уязвимостей.
🔹обходят проверки или отключают инструменты ИБ.
🔹ограничивают область проверок (например, сообщают не обо всех ветках разработки).
🔹покупают дополнительные инструменты для триажа (что в свою очередь приводит к разрастанию зоопарка инструментов и очередному витку увеличения фолзов).
Про зоопарк инструментов и финансовые потери на триаж в отчете есть отдельный блок аналитики, подчеркивающий, что проблема "tool sprawl" стоит остро и усугубляется, в том числе внедрением ИИ в разработку: без оркестраторов, автоматизации и удобных единых инструментов для обеих сторон (ИБ и разработки) ничего не решится.
#vulnerability #vm #appsec #development #toolsprawl
👍4❤2