Полешук в мире ИБ

В логическое продолжение темы с "инфостилерами" сегодня тема про учетные записи...

Credential Stuffing 2.0
Credential Stuffing – это тип кибератаки, при котором злоумышленник использует украденные учетные данные (логины и пароли) для автоматического подбора входов на различных сервисах.

✨Что изменилось?
Раньше атаки такого типа были массовыми, но неэффективными. Теперь злоумышленники используют AI и автоматизацию, чтобы быстрее находить работающие комбинации логинов и паролей.

Как работает атака?
🏳️Берется база украденных паролей (например, с утекших сайтов)
2️⃣Система автоматически проверяет их на корпоративных и SaaS-платформах
🏳️Если пароль совпадает, злоумышленник получает доступ

Почему это опасно?
🟣многие люди используют один и тот же пароль в разных сервисах
🟣40% учетных записей до сих пор не защищены MFA
🟣даже если компания использует SSO (единый вход), пользователи могут создавать локальные пароли без MFA («призрачные логины»)

Как защититься:
🟣применяйте пароли только один раз (и минимизируйте их использование)
🟡внедрите пароли, недоступные для пользователей (например, сертификаты + SSO)
🟡автоматически проверяйте пароли сотрудников по утечкам с помощью Have I Been Pwned API
🟣принудительно включите MFA везде
🟡убедитесь, что все критически важные сервисы требуют MFA (особенно для администраторов)
🟡регулярно проверяйте, где можно убрать пароли в пользу passkeys

___
По следам поста о методах атак в 2024 году

Следующий этап по SANS Security Awareness Maturity Model®

Этап 1
Этап 2
Этап 🏳️ Продвижение осведомленности и изменение поведения
Компания активно развивает программу, проводит регулярное обучение и работает над изменением поведения сотрудников

Преимущества
🟣сотрудники понимают важность безопасности
🟣люди начинают осознанно защищать себя и компанию
🟣внедряются тренировки по фишингу и социальным атакам

Пути развития
🟣регулярно докладывать о программе руководству
🟣включить обратную связь от сотрудников
🟣использовать разнообразные форматы обучения (геймификация, видео, тесты)
🟣активно вовлекать сотрудников в безопасность (например, через участие в киберучениях)

Время на переход к следующему этапу: 3-6 месяцев

Dell решила вернуть сотрудников в офис, аргументируя это тем, что личное общение в офисе экономит время на переписку.

«Мы обнаружили, что из всех технологий в мире нет ничего быстрее скорости человеческого взаимодействия. Тридцатисекундный разговор может заменить переписку по электронной почте, которая длится часами или даже днями», — выдержка из документа по отсылке к Business Insider.

Но действительно ли удалённая работа хуже?

На мой взгляд, при грамотной организации удалёнка даёт больше преимуществ, чем недостатков.

✅Гибкость и баланс. Сотрудники могут продуктивнее распределять своё время, не тратя часы на дорогу.
✅Доступ к лучшим специалистам. Компании могут нанимать талантливых людей по всему миру, а не только из одного города.
✅Экономия. Снижаются расходы на офисы, командировки, транспорт.
✅Эффективность. В ИТ и ИБ важно не сидеть в офисе, а давать результат. Современные инструменты позволяют взаимодействовать без потери продуктивности.
✅Мотивация и дифференциация. Удалёнка — это не просто удобство, а конкурентное преимущество при найме специалистов.

Аргумент про "пятиминутные беседы, спасающие от многодневных переписок" спорный. Вопрос не в формате работы, а в культуре общения: четкие процессы и понятные правила коммуникации решают эту проблему независимо от места работы. Более того, устное общение не всегда воспринимается без искажений, а письменная речь важна не меньше, так как требует лаконичности и конкретности.

💛Если Dell вынуждена возвращать всех в офис из-за проблем в коммуникации, это скорее говорит о сбоях в процессах, чем о недостатках удалённой работы.

К тому же, удалёнка в 2024 году — это уже не экстренный переход 2020-го. Подходы давно изменились, и компании научились строить эффективные процессы. А офисная работа, несмотря на кажущуюся привлекательность, тоже полна отвлекающих факторов и далеко не всегда эффективна.

Исследования подтверждают, что удалённые сотрудники часто работают больше, чем в офисе. Так, по данным Owl Labs, 55% удалёнщиков отмечают, что их рабочий день стал длиннее. Исследование Стэнфорда показало, что в среднем удалённые работники работают на 6–8 часов больше в месяц. А во время пандемии рабочий день на удалёнке увеличился в среднем на 2 часа. Это опровергает миф о том, что дистанционный формат снижает продуктивность.

Удалёнка — это не про «лежать на диване», а про доверие, результат и правильные процессы. Компании, которые понимают это, выигрывают в долгосрочной перспективе.

Сегодня тема "Инфостилеры". В прошлом году часто видел их работу, причем довольно эффективную

Инфостилеры 2.0
Инфостилеры (stealers) – это вредоносное ПО, которое крадет учетные данные из браузеров и систем. В 2024 году их популярность выросла на 266%.

Как работает атака?
1️⃣Жертва скачивает инфостилер через:
- зараженные сайты и плагины
- фальшивые объявления (malvertising)
- Telegram, GitHub, Discord
- поддельные обновления ПО
2️⃣Вредонос крадет:
- логины/пароли, сохраненные в браузере
- сессионные токены (чтобы обходить MFA)
- данные автозаполнения, куки, файлы с рабочего стола
3️⃣Данные отправляются злоумышленникам, перепродаются в даркнете или используются в атаках.

Почему это опасно?
🟣жертва может не знать, что ее данные украли
🟣сессионные токены позволяют обойти MFA и сразу зайти в аккаунт.
🟣распространение через GitHub или публичные сервисы делает атаки масштабными.

Как защититься:
🟣ограничьте хранение паролей в браузерах
🟡запретите Chrome, Edge, Firefox хранить корпоративные пароли (через политики GPO)
🟡замените встроенные менеджеры паролей на корпоративный менеджер паролей
🟣разрешите доступ в корпоративные сервисы только с управляемых устройств
🟣включите device posture check в MDM-решениях
🟡откажитесь от BYOD для критически важных сервисов
🟣запретите загрузку ПО из неофициальных источников
контролируйте установку программ через контроль программ
🟡блокируйте установку вредоносных расширений браузера

___
По следам поста о методах атак в 2024 году

Продолжаю публиковать описание этапов SANS Security Awareness Maturity Model®

Этап 1
Этап 2️⃣ Ориентация на соответствие нормативам
Компания запускает базовую программу обучения, но только для выполнения требований регуляторов и аудиторов

Риски
🟡обучение воспринимается как формальность
🟡отсутствие вовлеченности сотрудников
🟡защита неэффективна, так как фокус только на документах, а не на реальном изменении поведения

Пути развития
🟡получить поддержку топ-менеджеров
🟡назначить ответственное лицо за программу
🟡создать консультативный совет из HR, маркетинга и кибербезопасности
🟡определить ключевые человеческие риски и спланировать тренировки
🟡включить в программу элементы практического тестирования (например, имитации фишинга)

Время на переход к следующему этапу: 3-6 месяцев

В своих презентациях и докладах я часто опираюсь на данные из Allianz Risk Barometer. Можно сказать, что у меня там есть любимая цифра — процент экспертов (CEO, CFO, COO, CISO и других), считающих кибербезопасность главным риском для бизнеса.

С 2020 года самый большой страх компаний — стать жертвой киберпреступления. И вот динамика за последние годы:

🟡2025 – 38% (1-е место)
🟡2024 – 36% (1-е место)
🟡2023 – 34% (1-е место)
🟡2022 – 44% (1-е место)
🟡2021 – 40% (1-е место)
🟡2020 – 39% (1-е место)

10 лет назад киберинциденты были на 8 месте, а сегодня безоговорочно лидируют. В этом году разрыв со вторым местом – сбоями в работе компаний (Business Interruption) – увеличился на 7 процентных пунктов (с 31% до 38%).

Хотите узнать больше? Полный отчет доступен по ссылке

___
P.S. Эта неделька будет жаркой по количеству постов - не выключайте уведомления 😛 (а то включено только у 22% - я все вижу)

В продолжении поста про новые форматы основных методов атак в 2024 году начнем с популярной...

Фишинг 2.0: AitM и BitM
Традиционный фишинг (сайты-клоны) больше не столь эффективны из-за роста MFA (многофакторной аутентификации). Теперь злоумышленники обходят MFA с помощью Adversary-in-the-Middle (AitM) и Browser-in-the-Middle (BitM) атак.

Adversary-in-the-Middle (AitM) – это тип фишинговой атаки, при которой злоумышленник перехватывает трафик между пользователем и легитимным сервисом. Это позволяет атакующему украсть учетные данные и MFA-коды в реальном времени.

Browser-in-the-Middle (BitM)

– это усовершенствованный вариант AitM, при котором злоумышленник использует зараженный браузер или вредоносное расширение для перехвата учетных данных и сессионных токенов.

Как работает атака?
🏳️Жертва получает ссылку на фишинговый сайт, маскирующийся под легитимный (например, корпоративный портал)
2️⃣При вводе логина и пароля атакующий в реальном времени перехватывает данные и передает их на настоящий сайт
🏳️Жертва вводит MFA-код, который также уходит злоумышленнику
4️⃣В результате атакующий получает полный доступ к сессии пользователя и может действовать от его имени

Почему это опасно?
🟣жертва не подозревает, что ее взломали (она входит на реальный сайт)
🟣любые MFA-коды (кроме FIDO2/WebAuthn) можно украсть
🟣злоумышленники маскируют фишинговые сайты, используя взломанные домены, Cloudflare Workers и динамическую смену ссылок

Как защититься:
🟣используйте FIDO2/WebAuthn (аппаратные ключи, passkeys)
🟣контролируйте OAuth-разрешения:
🟡запретите пользователям авторизовываться через личные Google/Microsoft-аккаунты
🟡ограничьте доступ сторонних OAuth-приложений к корпоративным данным
🟣обучайте сотрудников
🟣внедрите secure web gateway (SWG) для фильтрации вредоносных сайтов

___
Что бы не тянуть кота за все подробности начал сегодня публикации. Обнял😽

Всем, кто на обеде "приятного аппетита" а мне вкусного кофе ☕️
Сижу, никого не трогаю - прилетает новый аналитический отчет 😇 По сути - ерунда-ерундой, но есть анализ изменений основных методах атак в 2024 году - и это довольно занятно. А так как у меня еще есть и рекомендации от CISA, то в продолжении тренда этой недели об обучении утром будет пост про этап а днем-вечером про методы атак (+ что можно использовать как контрмеру).

Основные выводы какие:
👇FIDO2/WebAuthn — must-have. На сегодня это единственная защита от фишинга и угонов сессий
👇Запрет хранения паролей в браузерах. Инфостилеры – главная угроза.
👇Мониторинг утечек паролей в даркнете. Большинство атак – на основе старых баз.
👇Ограниченный вход с непроверенных устройств. Контроль географии и девайсов критичен.

Как я писал в посте “Обучение безопасности — это стратегия, а не разовая акция” начинаю публикации тезисов этапов из документа SANS Security Awareness Maturity Model®. Посты будут выходить каждый день в 9:45 по Минскому времени

Этап 🏳️ Отсутствие осведомленности
На этом этапе программы осведомленности не существует. Сотрудники не осознают киберугроз и не понимают своей роли в защите компании.

Риски
🟣высокая уязвимость перед атаками
🟣невыполнение требований регуляторов
🟣полное отсутствие понимания безопасности у сотрудников

Пути развития
🟣определить ключевые нормативные требования (если есть)
🟣получить поддержку руководства
🟣провести первичный анализ рисков
🟣начать разрабатывать базовую программу обучения

Время на переход к следующему этапу: 1 месяц

___
P.S.
Обратите внимание на публикацию Дениса Батранкова Как обучать людей, чтобы они не забывали Короткая, но емкая.

True story 🧐

Обучение безопасности — это стратегия, а не разовая акция

Многие собственники и коллеги по ИБ в компаниях думают, что достаточно купить доступ к обучающей платформе по обучению сотрудников основам кибербезопасности на пару месяцев, провести несколько тренингов — и сотрудники сразу станут осознанными и защищенными.

Но так не работает. Без комплексного подхода даже лучшие курсы не дадут эффекта. Безопасность — это не галочка в отчёте, а привычка, встроенная в рабочие процессы.

Именно такой подход заложен в SANS Security Awareness Maturity Model® — модели зрелости программ осведомленности в области безопасности, разработанной SANS Institute. Она объясняет, как управлять человеческим фактором в кибербезопасности, переходя от полного отсутствия осведомленности к сформированной культуре безопасности.

Ключевые моменты модели SANS

🤓Люди — главный фактор риска. 68% всех утечек данных происходят по вине сотрудников. Современные атаки всё чаще ориентированы не на технологии, а на людей.

Пять этапов зрелости осведомленности
Этап 🏳️. Нет осведомленности. Сотрудники не понимают риски, программ обучения нет.
Этап 2️⃣. Соответствие нормативам. Обучение проводится раз в год, но не меняет поведение.
Этап 🏳️. Изменение поведения. Сотрудники вовлекаются, обучение становится регулярным.
Этап 4️⃣. Культура безопасности. Осведомленность становится частью повседневной работы.
Этап 5️⃣.Управление на основе метрик. Безопасность встроена в стратегию компании, оценивается её эффективность.

Что делает программу эффективной?
🟣постоянное обучение и вовлечение сотрудников
🟡поддержка руководства и выделенные специалисты
🟣четкие метрики эффективности
🟣интеграция безопасности в стратегию компании

На следующей неделе начну публиковать переводы ключевых тезисов по каждому этапу 🫶

Два отчета в одном посте

🔵Blue Report 2024 и🔴Red Report 2024 — аналитические отчеты компании Picus Labs, предоставляющие данные о киберугрозах и защитных мерах. Оба документа сосредоточены на выявлении слабых мест в системах безопасности и предоставлении рекомендаций для их устранения. Эти отчеты взаимодополняют друг друга: Blue Report рассматривает защиту с точки зрения эффективности и организационных процессов, тогда как Red Report углубляется в анализ атакующих техник.

В этом посте я объединил ключевые факты из двух отчетов, чтобы дать целостное представление.

Интересные данные
🟡Blue Report указывает, что macOS защищена хуже других платформ: только 23% атак предотвращены, в сравнении с 62% на Windows и 65% на Linux. Основные причины — неправильная настройка системы и отсутствие инструментов Endpoint Detection and Response.
🟡25% извлеченных хэшей паролей были успешно взломаны, что подчеркивает слабость существующих политик паролей.
🟡Red Report отмечает увеличение использования техники Process Injection (T1055) на 45%. Эта техника позволяет внедрять вредоносный код в легитимные процессы, избегая обнаружения.
🟡доля атак, связанных с отключением защитных систем, выросла с 6% до 26% за год
🟡Blue Report выявил снижение Alert Score (процент атак, по которым система безопасности генерирует уведомления) с 16% до 12%, несмотря на рост Log Score (процент атак, зафиксированных в логах системы) с 37% до 54%. Это указывает на проблемы с анализом данных и реагированием
🟡Credential Dumping (T1003) остается ключевой техникой для эскалации привилегий
🟡Process Injection (T1055) увеличилась с 22% в 2022 году до 32% в 2023 году, став одной из самых популярных техник среди злоумышленников
🟡увеличение использования Obfuscated Files (T1027) на 150% (с 4% до 10%) затрудняет обнаружение угроз
🟡злоумышленники все чаще используют схемы двойного вымогательства при атаках шифровальщиках, угрожая не только шифрованием, но и публикацией данных
🟡21% вредоносного ПО применяет технику шифрования данных (T1486), а использование Application Layer Protocol (T1071) для эксфильтрации данных выросло на 176%
🟡в 40% протестированных организаций найдены уязвимости, позволяющие атакующим достичь прав администратора домена

Интересное о шифровальщиках
🟣BlackByte. Только 17% атак с использованием BlackByte были успешно заблокированы. Этот результат демонстрирует способность BlackByte обходить защитные механизмы, такие как антивирусы и EDR, через эксплуатацию уязвимостей драйверов.
🟣BabLock. Успешно предотвращено 20% атак. Эта программа сочетает шифрование данных и эксфильтрацию, затрудняя восстановление данных и усиливая давление на жертв.
🟣Hive. Организации смогли предотвратить 30% атак. Hive активно используется в схемах «двойного вымогательства», где злоумышленники не только шифруют данные, но и угрожают их публикацией в случае отказа от выплаты выкупа.

Пересматриваю британкий сериал "Шерлок" и там в нулевой серии 4 сезона есть интересный разговор:

Майкрофт Холмс: Что вы скажете о кибербезопасности MI-5?
Мэри Ватсон: Скажу, что она нужна

Прекрасный и лаконичный ответ для аудиторов и пентестеров

P.S. Как бы я ChatGPT не пытался рассказать разницу между Шерлоком и Майкрофтом но увы - меня победила упертость ИИ 😩

Слышали что-нибудь про киберстрахование? Я вот лично слышал. Слышу сейчас. И, чувствую, буду слышать еще долго. Только вот ни разу не встречал компанию, которая бы действительно страховала свои активы от кибератаки.

Особенно забавно становится, если поискать в интернете что-нибудь про “киберстрахование в Беларуси”. Оказывается, инициатива была запущена где-то летом 2019 года. А дальше? А дальше — пауза. Возможно, инициативу закопали прямо там, где начинали. Похоже, это у нас местная легенда а-ля Лох-несское чудовище - все говорят но никто не видел. Картинка поста зачетная, кстати - даже GPT тонко чувствует уровень абсурдизма.

Тем временем, в мире настоящего бизнеса люди, оказывается, не только обсуждают, но и системно подходят к таким вопросам. Например, вот документ от Lloyd’s и Ассоциации британских страховщиков (ABI) “Components of a Major Cyber Event: A (Re)Insurance Approach”. Его задача — создать единый подход к пониманию и определению крупного киберинцидента в страховании.

Основные детали
🟣Атрибуция (Кто). Анализируется идентификация атакующих (от индивидуальных хакеров до групп)
🟡Причина потерь (Что). Анализ причин и событий для расчета совокупности убытков
🟣Охват (Где). Учет информационной системы, географического масштаба и отраслевого воздействия
🟣Продолжительность (Когда). Временные границы для страховых событий
🟣Механизм распространения (Как). Типы атак, включая массовые атаки, “черви”, целевые атаки и атаки на цепочки поставок.
🟣Мотив (Почему). Связь мотивации с типом атакующих и целями атак.
🟣Финансовое воздействие (Воздействие). Экономические и страховые потери, как критерии оценки масштаба события.

Принципы
✔️Гибкость. Компоненты могут адаптироваться под конкретные сценарии.
✔️Моделирование риска. Использование предложенного подхода для количественной оценки.
✅Коллаборация. Поддержка взаимодействия между индустрией и государственными органами.