🥹 Управимся с «человеческим фактором»?

В прошлом году количество переходов по фишинговым ссылкам утроилось, несмотря на инвестиции в security awareness и удлинение курсов LMS.
ИИ-дипфейки, вишинг и атаки, персонализованные при помощи LLM убедят кого угодно — на крючок иногда попадаются даже специалисты по ИБ. Группы вроде Scattered Spider наглядно доказывают, что одних тренингов ИБ-осведомлённости недостаточно для эффективной защиты.
Компаниям нужно использовать security awareness как фундамент, и внедрять на нём управление человеческими рисками (Human Risk Management, HRM) — когда человека за клавиатурой защищают так же, как ценные ИТ-активы: с мониторингом событий ИБ, и оценкой уязвимости сотрудника в реальном времени.

Из чего HRM состоит на практике:
🟢телеметрия, а не опросы. Оценка рисков должна основываться на реальных данных: частота отклонения push-уведомлений MFA, результаты фишинговых симуляций, обнаруженные через DLP/NGFW нарушения, паттерны взаимодействия с ИИ-чатботами. Плюс исторические данные и TI об активных кампаниях, нацеленных на роль сотрудника в организации. На основании всего этого каждый сотрудник получает динамически пересчитываемую оценку «рискованности»;
🟢адаптивные меры контроля. Сотрудникам из группы повышенного риска придётся проходить более строгие процессы аутентификации, ждать писем из полноценного карантина и, возможно, иметь ограниченные доступы к ИТ-активам (например, только из офиса). Сотрудникам из низкорисковых групп в случае единичных ошибок сразу прилетают короткие обучающие модули или применяются другие точечные меры сразу после инцидента;
🟢персонализированное обучение. Здесь ИИ особенно полезен службам ИБ и HR: он адаптирует обучение под ошибки и когнитивные особенности каждого сотрудника.

Как измерять эффективность HRM? Процент прошедших обучение не волнует руководство. Зато их могут заинтересовать: медианный риск пользователей, доля сотрудников с высоким риском и динамика показателей за 90 дней.

Подробнее об эволюции решений HRM пишет Forrester.

#CISO #советы @П2Т

🤨 Интересные исследования APT и много уязвимостей за неделю

🔵Новая волна атак на отельеров от группы RevengeHotels/TA558. Атаки усложнились, теперь в них используется VenomRAT. Мишенями являются отели в Бразилии и испаноязычных странах, но ранее эта группа также атаковала РФ, Беларусь, Турцию и многие другие страны.

🟢Развивается ситуация с npm-атакой Shai-Hulud. Как мы и предсказывали, полностью остановить распространения червя не удалось и счёт троянизированных репозиториев перевалил за 500. Правда, выяснилось, что под Windows ВПО всё же не может отработать целиком. Список компаний, разработчики которых могли быть поражены в этой атаке, есть у Upguard.

🟣24 вредоносных расширения VSCode обнаружены в OpenVSX Marketplace и  официальном VS Marketplace. Исследователи смогли добыть операционные документы группировки WhiteCobra, стоящей за атакой — познавательное чтение.

🟡APT41/TA415 использует туннели VSCode для управления ВПО в скомпрометированных организациях. Атаки отмечены преимущественно в США.

⚪️Новая вымогательская группировка Storm-2603/Gold Salem/Warlock group использует ToolShell для инфицирования организаций, а затем комбинирует вебшеллы, BYOVD и опять-таки туннели VSCode для захвата сети и шифрования жертв.

🟢APT Mustang Panda/Hive0154 продолжает атаковать организации в Азии — кроме новых версий бэкдора ToneShell, в свежих атаках обнаружено ВПО SnakeDisk, автоматически заражающее USB-носители для проникновения в изолированные подсети.

🟢Ландшафт ICS-угроз во втором квартале. В целом по миру замечено небольшое падение, но в Северной Европе и Австралии рост.

🔵Разбор целевых фишинговых кампаний группировки ComicForm, атакующей организации стран СНГ и разворачивающей стилер FormBook.

🟣Анализ загрузчика CountLoader, который является промежуточным шагом к вымогательским инфекциям  BlackBasta и Qilin.

🔵Неожиданное перерождение ботнета SystemBC, который отключили в новом году — теперь он захватывает VPS, а не Микротики. Скомпрометированные устройства становятся прокси для всех видов атак, включая целевые.

🟢Разбор вредоносного фреймворка Covenant и импланта Beardshell, используемых в атаках APT28. Вектором начального проникновения является вредоносный документ Office, присланный через Signal.

🟢Разбор инфостилера с открытым исходным кодом, написанного на Python — XillenStealer.

Неделя богата на серьёзные уязвимости и срочные патчи:
1️⃣ Confluence и Jira
2️⃣ Chrome
3️⃣ Gitlab
4️⃣  Jenkins
5️⃣ Watchguard Firebox

🟢У SonicWall не уязвимость, но тоже хорошо — хакеры утащили резервные копии  пользовательских настроек межсетевого экрана из сервиса MySonicWall, поэтому нужно сбросить все учётные данные от файрвола. Производитель заявляет, что это затрагивает менее 5% клиентов.

🔴Кстати, во взломанных ранее устройствах Ivanti выловили ещё один бэкдор, о нём пишет CISA.

#APT #дайджест @П2Т