Набрел на пару интересных ресурсов на тему фишинговых атак ClickFix:
1️⃣ ClickGrab Threat Intelligence — небольшой TI-портал, собирающий информацию о вредоносных ресурсах, подготовленных для атак типа ClickFix, а также инструмент для определения вредоносных сайтов, описание используемых злоумышленниками техник и набор рекомендаций и полезных ресурсов.
2️⃣ ClickFix Attack Educator — представляет собой интерактивный мини-симулятор, наглядно демонстрирующий на трех кейсах как работает данный тип атаки, а также набор памяток и чек-листов о том как распознать и как действовать.
Написано простым английским языком, поэтому легко переводится на русский язык и можно использовать в своих целях, если ещё за год не успели сделать свои памятки и инструкции🙂
#phishing #clickfix #ti #report #awareness
Написано простым английским языком, поэтому легко переводится на русский язык и можно использовать в своих целях, если ещё за год не успели сделать свои памятки и инструкции
#phishing #clickfix #ti #report #awareness
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Продолжаем месяц повышения осведомленности🙂
Вот ещё интересный набор интерактивных мини-курсов.
Да, также на английском языке, но так как есть исходники и скрипт для конвертации в формат scorm, то довольно быстро и бесплатно можно русифицировать и переделать под себя такие интерактивные курсы и загрузить их в свою систему управления обучением,в т.ч. и опенсорсные (например, Moodle).
#awareness #training
Вот ещё интересный набор интерактивных мини-курсов.
Да, также на английском языке, но так как есть исходники и скрипт для конвертации в формат scorm, то довольно быстро и бесплатно можно русифицировать и переделать под себя такие интерактивные курсы и загрузить их в свою систему управления обучением,в т.ч. и опенсорсные (например, Moodle).
#awareness #training
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍11
Около 300 метрик сгруппированы по доменам: для каждой метрики есть краткое описание, рекомендации по периоду расчета, целевые показатели и первоисточник метрики (стандарт, статья и т.п.).
Как каталог вполне себе хорош, но за "смыслом" придется лезть в первоисточники: пожалуй, все основные крупные собрали, но в глаза бросилось отсутствие метрик из отличного сборника от Cloud Security Alliance.
#metrics
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5✍3⚡1
Human Threat Map – интересный проект, представляющий собой структурированную карту методов, с помощью которых злоумышленники эксплуатируют человеческие слабости
Выглядит всё это как MITRE-подобная матрица:
Пробежавшись по техникам, можно оценить на сколько хорошо вы покрываете организационными и техническими мерами конкретные сценарии эксплуатации человеческого фактора, выявить актуальные векторы атак, создать соответствующие сценарии обучения и приоритизировать защитные меры.
Подробнее о проекте можно почитать в блоге авторов ресурса.
#awareness #framework #threat #mitre #ttp #hrm #human #risk
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🔥8✍3🤗1
В реестре SebDB более сотни паттернов поведения, классифицированных по доменам безопасности, степени влияния на риск и возможному негативному эффекту (например, финансовые потери) при нарушении правила. Каждое безопасное действие привязано к тактикам злоумышленников из матрицы MITRE ATT&CK и к функциям фреймворка NIST CSF, что позволяет понять, от каких угроз и на каком этапе защищает то или иное поведение. База доступна публично, периодически обновляется и всю информацию можно скачать в эксельке.
Оба проекта можно использовать совместно для совершенствования процесса повышения осведомленности и лучше интегрировать его в смежные процессы ИБ.
#awareness #framework #threat #mitre #ttp #hrm #human #risk
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🔥6✍3
This media is not supported in your browser
VIEW IN TELEGRAM
Изменений за пару лет немного: несколько ресурсов закрылись, несколько новых появилось. Из совсем свежего можно выделить GreyNoise Threat Map (для большего эффекта можно включить музыкальное сопровождение на сайте).
#map #cyberattack #visualization #relax
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3⚡1❤1😁1
Компания OX Research на основе проведенного анализа более 50 репозиториев с открытым исходным кодом, сгенерированным с помощью ИИ-ассистентов, и последующего сравнения с 250 репозиториями кода, сгенерированного до 2022 года, сделали вывод, что ИИ-ассистенты пишут код как талантливые джуны — быстро и эффективно, но с архитектурными изъянами и не очень безопасно🤷
При этом, по мнению авторов, основная проблема заключается не в качестве кода, а в экспоненциальном росте скорости развертывания кода в продакшн:
В исследовании также приведён топ‑10 антипаттернов кода, сгенерированного ИИ, — практик написания кода, которые подрывают сопровождаемость, масштабируемость и безопасность приложений.
Например, один из очевидных антипаттернов, влияющих на безопасность — «ванильный» стиль: вместо использования проверенных библиотек ИИ‑ассистент генерирует код с нуля. С одной стороны, это снижает число внешних зависимостей и уменьшает потребность в отслеживании уязвимостей в библиотеках и их обновлении; с другой — увеличивает объём кода, который может содержать уязвимости и усложняет проверки безопасности. В результате растут затраты на security code review и число ложноположительных срабатываний при поиске уязвимостей.
#ai #antipattern #appsec #vibecoding #vulnerability
При этом, по мнению авторов, основная проблема заключается не в качестве кода, а в экспоненциальном росте скорости развертывания кода в продакшн:
в целом, плотность уязвимостей на строку кода, сгенерированного ИИ, сопоставима с аналогичным показателем для кода, сгенерированного человеком.
В исследовании также приведён топ‑10 антипаттернов кода, сгенерированного ИИ, — практик написания кода, которые подрывают сопровождаемость, масштабируемость и безопасность приложений.
Например, один из очевидных антипаттернов, влияющих на безопасность — «ванильный» стиль: вместо использования проверенных библиотек ИИ‑ассистент генерирует код с нуля. С одной стороны, это снижает число внешних зависимостей и уменьшает потребность в отслеживании уязвимостей в библиотеках и их обновлении; с другой — увеличивает объём кода, который может содержать уязвимости и усложняет проверки безопасности. В результате растут затраты на security code review и число ложноположительных срабатываний при поиске уязвимостей.
#ai #antipattern #appsec #vibecoding #vulnerability
👍4👌1
Довольно наглядная статистика, демонстрирующая к чему приводит большое количество ложных срабатываний ИБ‑инструментов и вообще нескончаемый поток запросов от ИБ.
В рамках исследования (в основном про ИИ в разработке и ИБ) компании Aikido две трети опрошенных респондентов признались, что большое количество ложноположительных сработок от средств защиты, подтолкнуло их к небезопасным практикам:
🔹создают правила для фильтрации оповещений от команды ИБ или инструментов ИБ (например, все письма от ИБ сразу удаляют в корзину).
🔹отклоняют сработку без рассмотрения.
🔹затягивают исправление уязвимостей.
🔹обходят проверки или отключают инструменты ИБ.
🔹ограничивают область проверок (например, сообщают не обо всех ветках разработки).
🔹покупают дополнительные инструменты для триажа (что в свою очередь приводит к разрастанию зоопарка инструментов и очередному витку увеличения фолзов).
Про зоопарк инструментов и финансовые потери на триаж в отчете есть отдельный блок аналитики, подчеркивающий, что проблема "tool sprawl" стоит остро и усугубляется, в том числе внедрением ИИ в разработку: без оркестраторов, автоматизации и удобных единых инструментов для обеих сторон (ИБ и разработки) ничего не решится.
#vulnerability #vm #appsec #development #toolsprawl
В рамках исследования (в основном про ИИ в разработке и ИБ) компании Aikido две трети опрошенных респондентов признались, что большое количество ложноположительных сработок от средств защиты, подтолкнуло их к небезопасным практикам:
🔹создают правила для фильтрации оповещений от команды ИБ или инструментов ИБ (например, все письма от ИБ сразу удаляют в корзину).
🔹отклоняют сработку без рассмотрения.
🔹затягивают исправление уязвимостей.
🔹обходят проверки или отключают инструменты ИБ.
🔹ограничивают область проверок (например, сообщают не обо всех ветках разработки).
🔹покупают дополнительные инструменты для триажа (что в свою очередь приводит к разрастанию зоопарка инструментов и очередному витку увеличения фолзов).
Про зоопарк инструментов и финансовые потери на триаж в отчете есть отдельный блок аналитики, подчеркивающий, что проблема "tool sprawl" стоит остро и усугубляется, в том числе внедрением ИИ в разработку: без оркестраторов, автоматизации и удобных единых инструментов для обеих сторон (ИБ и разработки) ничего не решится.
#vulnerability #vm #appsec #development #toolsprawl
👍4❤2
Наткнулся на небольшую брошюрку одной страховой компании, в которой на основе анализа кибератак за пятилетний период (2019-2023гг.) и используемых злоумышленниками техник (по MITRE ATT&CK), оценили эффективность базовых мер защиты.
В контексте исследования эффективность рассчитывалась в виде метрики "уровень защиты" — доли наблюдаемых в реальных условиях техник кибератак, которые мера способна нейтрализовать, а в качестве "базовых" контролей выступали обязательные меры, которые требуют страховые компании для выдачи страховых свидетельств (страховок):
Если верить данным исследования, то совокупный уровень защиты упал с 96% до 48% всего за 5 лет: период падения пришелся как раз на момент когда страховщики стали требовать внедрения базовых мер повсеместно.
Можно сделать вывод, что навязанная стандартизация защитных мер привела не к повышению уровня защищенности организаций, а скорее к предсказуемости системы защиты для злоумышленников
Авторы же исследования делают следующие выводы:
И рекомендации:
Если отбросить ограничения методики расчета эффективности мер и явный, по моему мнению, маркетинговый прогрев (на покупку услуг Threat Intelligence, а может и потенциальное включение TI в перечень обязательных условий выдачи страховки), то в исследовании описаны выводы полезные, хоть и очевидные: бесцельное внедрение любых мер защиты без предварительного моделирования угроз и формирования профиля угроз с учетом нюансов и характеристик организации обречено на низкую эффективность по умолчанию и TI здесь выступает если и не в роли базового инструмента, так в качестве инструмента, позволяющего перейти на более высокий уровень защиты.
#ti #mfa #pam #backup #edr #awareness #controls #ttp #mitre #insurance
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍6👨💻3
Cloud Security Alliance обновила свое руководство по моделированию угроз для облачных сред🛡
Новая версия учитывает специфику ИИ-систем, которые активно внедряются и размещаются в облачных средах.
В документе:
🔗 описаны различные фреймворки, используемые для идентификации, анализа и приоритизации угроз , в т.ч. узкоспециализированные для ИИ-систем (PLOT4AI, MAESTRO, NIST AI RMF).
🔗 описан жизненный цикл процесса моделирования угроз без привязки к фреймворкам, нюансы моделирования угроз для облачных сред, метрики и модель зрелости процесса.
🔗 приведено руководство по созданию моделей угроз и пример моделирования.
🔗 представлен обзор инструментов и платформ моделирования угроз, в т.ч. ИИ-инструменты (KaliGPT, SecML и т.п.).
p.s. Напоминаю, что вообще есть большой гайд по различным фреймворкам и инструментам моделирования угроз, который периодически обновляется.
#cloud #threat #modeling #ai #framework
Новая версия учитывает специфику ИИ-систем, которые активно внедряются и размещаются в облачных средах.
В документе:
p.s. Напоминаю, что вообще есть большой гайд по различным фреймворкам и инструментам моделирования угроз, который периодически обновляется.
#cloud #threat #modeling #ai #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7