Полешук в мире ИБ

Обучение безопасности — это стратегия, а не разовая акция

Многие собственники и коллеги по ИБ в компаниях думают, что достаточно купить доступ к обучающей платформе по обучению сотрудников основам кибербезопасности на пару месяцев, провести несколько тренингов — и сотрудники сразу станут осознанными и защищенными.

Но так не работает. Без комплексного подхода даже лучшие курсы не дадут эффекта. Безопасность — это не галочка в отчёте, а привычка, встроенная в рабочие процессы.

Именно такой подход заложен в SANS Security Awareness Maturity Model® — модели зрелости программ осведомленности в области безопасности, разработанной SANS Institute. Она объясняет, как управлять человеческим фактором в кибербезопасности, переходя от полного отсутствия осведомленности к сформированной культуре безопасности.

Ключевые моменты модели SANS

🤓Люди — главный фактор риска. 68% всех утечек данных происходят по вине сотрудников. Современные атаки всё чаще ориентированы не на технологии, а на людей.

Пять этапов зрелости осведомленности
Этап 🏳️. Нет осведомленности. Сотрудники не понимают риски, программ обучения нет.
Этап 2️⃣. Соответствие нормативам. Обучение проводится раз в год, но не меняет поведение.
Этап 🏳️. Изменение поведения. Сотрудники вовлекаются, обучение становится регулярным.
Этап 4️⃣. Культура безопасности. Осведомленность становится частью повседневной работы.
Этап 5️⃣.Управление на основе метрик. Безопасность встроена в стратегию компании, оценивается её эффективность.

Что делает программу эффективной?
🟣постоянное обучение и вовлечение сотрудников
🟡поддержка руководства и выделенные специалисты
🟣четкие метрики эффективности
🟣интеграция безопасности в стратегию компании

На следующей неделе начну публиковать переводы ключевых тезисов по каждому этапу 🫶

Два отчета в одном посте

🔵Blue Report 2024 и🔴Red Report 2024 — аналитические отчеты компании Picus Labs, предоставляющие данные о киберугрозах и защитных мерах. Оба документа сосредоточены на выявлении слабых мест в системах безопасности и предоставлении рекомендаций для их устранения. Эти отчеты взаимодополняют друг друга: Blue Report рассматривает защиту с точки зрения эффективности и организационных процессов, тогда как Red Report углубляется в анализ атакующих техник.

В этом посте я объединил ключевые факты из двух отчетов, чтобы дать целостное представление.

Интересные данные
🟡Blue Report указывает, что macOS защищена хуже других платформ: только 23% атак предотвращены, в сравнении с 62% на Windows и 65% на Linux. Основные причины — неправильная настройка системы и отсутствие инструментов Endpoint Detection and Response.
🟡25% извлеченных хэшей паролей были успешно взломаны, что подчеркивает слабость существующих политик паролей.
🟡Red Report отмечает увеличение использования техники Process Injection (T1055) на 45%. Эта техника позволяет внедрять вредоносный код в легитимные процессы, избегая обнаружения.
🟡доля атак, связанных с отключением защитных систем, выросла с 6% до 26% за год
🟡Blue Report выявил снижение Alert Score (процент атак, по которым система безопасности генерирует уведомления) с 16% до 12%, несмотря на рост Log Score (процент атак, зафиксированных в логах системы) с 37% до 54%. Это указывает на проблемы с анализом данных и реагированием
🟡Credential Dumping (T1003) остается ключевой техникой для эскалации привилегий
🟡Process Injection (T1055) увеличилась с 22% в 2022 году до 32% в 2023 году, став одной из самых популярных техник среди злоумышленников
🟡увеличение использования Obfuscated Files (T1027) на 150% (с 4% до 10%) затрудняет обнаружение угроз
🟡злоумышленники все чаще используют схемы двойного вымогательства при атаках шифровальщиках, угрожая не только шифрованием, но и публикацией данных
🟡21% вредоносного ПО применяет технику шифрования данных (T1486), а использование Application Layer Protocol (T1071) для эксфильтрации данных выросло на 176%
🟡в 40% протестированных организаций найдены уязвимости, позволяющие атакующим достичь прав администратора домена

Интересное о шифровальщиках
🟣BlackByte. Только 17% атак с использованием BlackByte были успешно заблокированы. Этот результат демонстрирует способность BlackByte обходить защитные механизмы, такие как антивирусы и EDR, через эксплуатацию уязвимостей драйверов.
🟣BabLock. Успешно предотвращено 20% атак. Эта программа сочетает шифрование данных и эксфильтрацию, затрудняя восстановление данных и усиливая давление на жертв.
🟣Hive. Организации смогли предотвратить 30% атак. Hive активно используется в схемах «двойного вымогательства», где злоумышленники не только шифруют данные, но и угрожают их публикацией в случае отказа от выплаты выкупа.

Пересматриваю британкий сериал "Шерлок" и там в нулевой серии 4 сезона есть интересный разговор:

Майкрофт Холмс: Что вы скажете о кибербезопасности MI-5?
Мэри Ватсон: Скажу, что она нужна

Прекрасный и лаконичный ответ для аудиторов и пентестеров

P.S. Как бы я ChatGPT не пытался рассказать разницу между Шерлоком и Майкрофтом но увы - меня победила упертость ИИ 😩

Слышали что-нибудь про киберстрахование? Я вот лично слышал. Слышу сейчас. И, чувствую, буду слышать еще долго. Только вот ни разу не встречал компанию, которая бы действительно страховала свои активы от кибератаки.

Особенно забавно становится, если поискать в интернете что-нибудь про “киберстрахование в Беларуси”. Оказывается, инициатива была запущена где-то летом 2019 года. А дальше? А дальше — пауза. Возможно, инициативу закопали прямо там, где начинали. Похоже, это у нас местная легенда а-ля Лох-несское чудовище - все говорят но никто не видел. Картинка поста зачетная, кстати - даже GPT тонко чувствует уровень абсурдизма.

Тем временем, в мире настоящего бизнеса люди, оказывается, не только обсуждают, но и системно подходят к таким вопросам. Например, вот документ от Lloyd’s и Ассоциации британских страховщиков (ABI) “Components of a Major Cyber Event: A (Re)Insurance Approach”. Его задача — создать единый подход к пониманию и определению крупного киберинцидента в страховании.

Основные детали
🟣Атрибуция (Кто). Анализируется идентификация атакующих (от индивидуальных хакеров до групп)
🟡Причина потерь (Что). Анализ причин и событий для расчета совокупности убытков
🟣Охват (Где). Учет информационной системы, географического масштаба и отраслевого воздействия
🟣Продолжительность (Когда). Временные границы для страховых событий
🟣Механизм распространения (Как). Типы атак, включая массовые атаки, “черви”, целевые атаки и атаки на цепочки поставок.
🟣Мотив (Почему). Связь мотивации с типом атакующих и целями атак.
🟣Финансовое воздействие (Воздействие). Экономические и страховые потери, как критерии оценки масштаба события.

Принципы
✔️Гибкость. Компоненты могут адаптироваться под конкретные сценарии.
✔️Моделирование риска. Использование предложенного подхода для количественной оценки.
✅Коллаборация. Поддержка взаимодействия между индустрией и государственными органами.

Любите канал за интересные материалы и не стандартную точку зрения? Знаю, и знаю почему - потому что вы умные, эрудированные и лучшие, спасибо за теплоту и поддержку 😉

Есть у меня интересные факты из отчета специалистов Всемирного экономического форума "Future of Jobs Report 2025" относительно кибербезопасности. Исследование основано на опросах более 1000 работодателей, представляющих более 14 миллионов сотрудников в 22 отраслях и 55 экономиках, а также на данных партнеров: ADP, Coursera, Indeed и LinkedIn.

И так, что интересного (изменил группировку для логичности а галочки - лично мне интересные тезисы):

ИИ и автоматизация
〰️86% работодателей ожидают, что технологии искусственного интеллекта (ИИ) и обработки информации значительно трансформируют бизнес к 2030 году
〰️навыки в области кибербезопасности, больших данных и технологической грамотности входят в тройку наиболее востребованных в ближайшие пять лет✔️
〰️с момента появления крупных языковых моделей в 2022 году инвестиции в ИИ увеличились в восемь раз
〰️к 2030 году доля задач, выполняемых исключительно людьми, сократится с 47% до 33%, в то время как задачи, выполняемые совместно с технологиями, вырастут до 33%
〰️основное сокращение доли человеческого труда связано с автоматизацией (81%), а оставшиеся 19% — с развитием сотрудничества между человеком и технологиями
〰️увеличение автоматизации требует активных инвестиций в управление рисками и предотвращение кибератак, связанных с новыми технологиями✔️

Риски и трансформация бизнеса
〰️34% компаний ожидают, что геополитические конфликты и напряженность будут способствовать трансформации бизнес-моделей
〰️ограничения на глобальную торговлю и инвестиции (23%), а также субсидии и индустриальная политика (21%) увеличивают спрос на специалистов по информационной и сетевой безопасности✔️
〰️усиление защиты данных и укрепление цифровой инфраструктуры становятся приоритетами для бизнеса на фоне роста геополитических угроз✔️

Среди 15 самых быстрорастущих профессий
❤️специалисты по информационной безопасности
❤️аналитики по информационной безопасности

Навыки и квалификация
〰️аналитическое мышление и технологическая грамотность остаются ключевыми компетенциями (теперь "технократ" принимаю, как комплимент)✔️
〰️работодатели отмечают необходимость креативности, устойчивости и адаптивности для работы в условиях современных вызовов
〰️85% работодателей планируют приоритетное развитие навыков сотрудников через обучение, повышение квалификации и внутренние программы✔️
〰️40% работодателей сократят сотрудников с устаревшими навыками, а 50% планируют перераспределение сотрудников в новые роли
〰️программы поддержки переквалификации и повышения квалификации признаны наиболее эффективными мерами для увеличения доступности талантов

Рекомендации для бизнеса
〰️интегрировать обучение сотрудников в стратегию управления рисками
〰️внедрять защитные меры на всех уровнях цифровой инфраструктуры✔️
〰️развивать навыки в области ИИ и кибербезопасности для адаптации к динамическим угрозам✔️
〰️использовать потенциал генеративного ИИ для усиления человеческого интеллекта, сохраняя при этом контроль над рисками✔️

На Onliner вышла классная статья о мошенниках от сотрудников Следственного комитета с А1 Беларусь. Там есть реальные кейсы, цифры и рекомендации.

Администратор национальной доменной зоны получил право аннулировать запись о регистрации доменного имени, если оно способно причинить вред национальным интересам Республики Беларусь

Согласно нового Приказа ОАЦ внесены изменения в Указы Президента Республики Беларусь от 1 февраля 2010 г. №60 «О мерах по совершенствованию использования национального сегмента сети Интернет» и от 18 сентября 2019 г. №350 «Об особенностях использования национального сегмента сети Интернет»

Настоящий приказ вступил в силу так как опубликован официально.

P.S. перефразировал немного, а то не точно ляпнул 😅

Группировка хактивистов Silent Crow объявила, что получила доступ к данным «Ростелекома». Новость разлетелась по сети через телеграм-канал “Утечки информации”, вызвав волну обсуждений.

Не прошло и нескольких часов, как представители компании поспешили внести ясность: виноват подрядчик, обслуживавший атакованные ресурсы.

«Наиболее вероятно, утечка произошла из инфраструктуры подрядчика»

— прокомментировали в компании словно это делает ситуацию менее проблемной.

Конечно, компания уточнила, что уже приняла меры: устранили угрозу (без подтверждения), проводят анализ скомпрометированных данных (видимо что-то пишут на бумажках), а пользователям рекомендовали сбросить пароли и настроить двухфакторную аутентификацию. Но, по предварительным оценкам, утечки конфиденциальной информации не произошло. Ну, конечно же, не произошло! Просто пара гигабайт данных украли — с кем не бывает?

Замечаем тенденции

Во-первых, обратите внимание: комментарии появились только после того, как информация оказалась в СМИ. До этого моментально развернули операцию «страус».

Второе. Был классный отчет от Лаборатории Касперского «Значимые утечки данных в 2023» - там на 17 странице есть «Типовые комментарии представителей компаний по инцидентам об утечке данных». Ничего не меняется как видно.

И тут невольно вспоминается Михаил Евграфович Салтыков-Щедрин: «Если я усну и проснусь через сто лет и меня спросят, что сейчас происходит в России, я отвечу: пьют, воруют и игнорируют киберинциденты».

Жестоко? Допустим. Но, как говорится, факты на стол: с начала 2024 года в сеть утекло более 510 миллионов записей о россиянах. Из них 500 миллионов — из одного-единственного инцидента. Уровень информационной безопасности явно на высоте — примерно на той, с которой падают данные простых граждан.

И вот опять: взлом вроде как есть, но его вроде как и нет. Дежавю, не правда ли?

🔞 Пост для взрослых людей, понимающих сарказм и имеющих ум. Остальные не тратьте время и нервы на чтение

Прочитал пост Алексея Викторовича про профиль Zara Dar, которая не окончила свое обучение в ВУЗе и продолжила свою карьеру на OnlyFans и немного прокомментирую...

Я тут прикладывался над тем, что после кибербеза пойду работать на 🚫 или сделаю профиль на портале OnlyFans. Но не для того что бы делать то, с чем это все ассоциируется, а чтобы в уникальном стиле рассказывать про безопасные "отношения без обязательств" между ИТ и ИБ, бизнесом и технарями. Например, как правильно строить взаимодействие, чтобы избежать “факапов” вроде утечек данных или целевых атак, а также помочь выстроить отношения, где обе стороны получают выгоду, а не один сверху - второй потеет. Вот и пример, что можно быть успешным там, где не всегда кажется что уместно.

Кстати, знаете ли вы, что капитализация OnlyFans уже превысила показатели некоторых крупных ИТ-компаний? Вот где деньги, а не ваши “гуглы” с “эплами” и “макрософтами"

А если вдруг кто решит еще и коллаборировать с мной, то можно вообще не тратить время на скучные темы. Контент станет более интересным, разнообразным и, кто знает, может, даже прибыльным 🍓

Fortinet предложил гениальную идею: изложить термины кибербезопасности на понятный для неспециалистов язык- проект Translating Cybersecurity Jargon into Business Speak. Интересная мысль, не правда ли? Наконец-то, сложные технические термины станут такими же ясными, как утренний отчёт по прибыли.

Но давайте подумаем: поможет ли это действительно разобраться в теме, или же создаст иллюзию контроля? 🤔

Конечно, сравнивать киберугрозы с экономическими процессами — это забавно. Хакеры ведь тоже своего рода «инвесторы», правда? Только их ROI — это ваши данные, а их стратегический план — это дыры в вашей системе безопасности. Но не обольщайтесь: ИБ — это не экономика, где достаточно понимать графики и балансы. Здесь нужны навыки, а не «интуитивное» управление 🧐

Да, вы — руководитель, и на вас лежит ответственность за безопасность бизнеса. Но ведь проще рассуждать о диверсификации активов, чем о защите от кибератак, верно? Забавно, что в 2025 году всё ещё приходится убеждать, что кибербезопасность — это не расход, а инвестиция в выживание 😳

Так что, если вы современный руководитель, который хочет сохранить свои деньги (и репутацию), начинайте относиться к кибербезопасности как к неотъемлемой части вашего бизнеса. Ну а если нет… всегда остаётся надежда, что хакеры просто пройдут мимо 🫣

Ну что, вот и закончился мой отпуск 😢

Этот год у меня начался с отдыха, а впереди у меня намечены грандиозные планы, которые хочу реализовать. Да, где-то они странные на первый взгляд, где-то мое поведение и отношение будет нетипичными для меня и окружающих, от кто-то или от чего-то мне даже придется отказаться, с кем-то или с чем-то мне захочется вернуть близкие отношения и сделать все как было. Поэтому, все что не делается - все к лучшему.

Так что, сегодня я говорю «До свидания, море! Мы скоро с тобой увидимся! 🪸🐠» и говорю «Привет, мои будни! Ну что, сделаем сегодня что-нибудь хорошее?» ☺️

Как член ISACA (Information Systems Audit and Control Association)😎, получил я тут письмо на свой почтовый ящик. Отправитель вроде как легитимный, но вот содержание… Письмо для авторизации, которое ну никак не должно было ко мне попасть – явный технический сбой, ну, бывает, с кем не случается, подумал я, махнув рукой и проигнорировал.

Но не тут-то было! Через пару часов приходит новое письмо, где чёрным по белому расписано про тот самый сбой, с уверениями об уведомлении о безопасности моей учётной записи и, что самое интересное, с данными для обратной связи, чтобы, значит, я мог уточнить все «подробности» этого «инцидента». И вишенка на торте – внизу письма указана должность и данные ответственного лица.🤗

Вот это, господа, настоящий эталон отношения организации к своим членам, формируя, так сказать, «непоколебимое» доверие к бренду и «ревностно» защищая интересы членов сообщества. Почему я это всё расписываю как пример для подражания? Да потому что, боюсь, у нас и даже у ближайших соседей такое встретишь разве что в фантастическом романе. У нас же как обычно? Включается «волшебный» тумблер под названием «а ничего и не было», «авось прокатит, никто и не заметит», «да ерунда, ничего страшного не произошло, зачем вообще об этом кому-то писать». Ох уж это извечная «страусиная» политика. Главное – голову в песок, и проблемы как не бывало.

А тут – целое письмо, да ещё и с извинениями! Просто уму непостижимо! Прямо как глоток свежего воздуха в нашем затхлом болоте «авось пронесёт».🙄