Как CISO измеряют эффективность своей программы ИБ? Финансовый показатель (стоимость защиты vs размера потенциальных потерь) находится на втором месте с конца по популярности, опережая только % систем с актуальной базой антивирусных сигнатур. На первых 8 местах этой десятки:
1️⃣ Динамика инцидентов ИБ
2️⃣ Временной интервал между обнаружением и устранением уязвимостей
3️⃣ % кликов по фишинговым сообщениям
4️⃣ Медианное время реагирования на инциденты (MTTR)
5️⃣ Медианное время обнаружения инцидента (MTTD)
6️⃣ % сотрудников, прошедших тренинги ИБ
7️⃣ Число проведенных оценок рисков
8️⃣ Число заблокированных угроз (это почти как "нейтрализовано 600 миллионов DDoS-атак").

Я в курсе по измерению 🧮 эффективности ИБ, рассказывая про средства для этого, всегда говорю, что большинство специалистов по ИБ идет по пути наименьшего сопротивления, используя инструментарий, который всегда под рукой 🕯 И вот свежая статистика, которая доказывает это. В Топ10 инструментов, с помощью которых CISO собирают данные для своей отчетности, входят:
1️⃣ Сканеры безопасности - 67,3%
2️⃣ SIEM - 65,3%
3️⃣ Отчеты ИТ и ИБ-команд - 63,3%
4️⃣ Отчеты аудита и соответствия - 61,2%
5️⃣ Пентесты - 59,2%
6️⃣ Метрики повышения осведомленности - 59,2%
7️⃣ Результаты расследований инцидентов - 49%
8️⃣ Исследования Threat Intelligence - 44,9%
9️⃣ Обратная связь и средства генерации отчетов - 24,5%
1️⃣0️⃣ Опросы сотрудников - 14,3%.

А так как ни один из указанных инструментов не позволяет сформировать отчет 📊 для топ-менеджмента "от и до", то CISO жаждут всесторонний инструмент, который бы позволял им выстроить и автоматизировать процесс регулярной подготовки отчетов по ИБ для разных задач 📎 Про требования к такому продукту я расскажу уже завтра или в понедельник.

Эль «Майский баг» 🥂 К вечеру пятницы готов. А ты? 🫵

Страховая компания Parametrix опубликовала отчет, в котором попыталась оценить объем потерь от коллапса, вызванного действиями CrowdStrike: 🦅
1️⃣ От инцидента пострадало 25% компаний из Fortune 500, хотя CrowdStrike заявляла о том, что в ее клиентах числится не менее половины Fortune 500.
2️⃣ Самые пострадавшие отрасли - авиация, здравоохранение и банки. При этом по мнению Parametrix среди авиакомпаний пострадало 100% (но это из списка Fortune 500).
3️⃣ Ожидаемые прямые финансовые потери составляют 5,4 миллиарда долларов, но только для компаний из списка Fortune 500, исключая Microsoft.
4️⃣ Наибольшие потери из всех индустрий - в здравоохранении. За ним следуют банки и авиация. Меньше всего пострадало производство и ИТ-отрасль.
5️⃣ От 0,54 до 1,08 миллиардов долларов потерь попадает под действие страховок, то есть от 10% до 20% от общего объема.
6️⃣ Средний размер потерь на пострадавшую компанию составил 44 миллиона долларов.

Оценок для компаний не из Fortune 500 я пока не видел, но напомню, что всего CrowdStrike заявляет о 29000 клиентов по всему миру 🌐 Если, следуя пропорции Parametrix, пострадала каждая 4-я компания, то совокупный объем потерь может составит несколько десятков миллиардов долларов, что делает данный инцидент самым дорогим в истории 💰

Исследование "Hacked to Pieces? The Effects of Ransomware Attacks on Hospitals and Patients" демонстрирует, что в результате атак шифровальщиков на медицинские учреждения 🏥 в США снижается не только число госпитализаций на 17-25% в первую неделю после атаки, но и доходы больницы снижаются на 19-41% 💸

Самое печальное, что шифровальщики увеличивают смертность пациентов 🤕, уже находящихся в стационаре минимум на 20,7%. Максимальное значение достигает 55,3%, что зависит от серьезности инцидента. Необъяснимо, но факт, - почему-то у чернокожих американцев смертность в подвергшихся шифровальщикам больницам выше - до 61,8-73% ⚰️

ЗЫ. В США от атак шифровальщиков пострадало 4% больниц 🤒 и умерло от 42 до 67 человек

В чатиках прайвасистов все отмечают день рождения 🎏 закона "О персональных данных". А я напомню, что и законы "Об информации, информационных технологиях и защите информации" и "О безопасности критической информационной инфраструктуры" тоже празднуют свои дни рождения 27 июля! 🗓

Некоторое количество новостей вокруг CrowdStrike:
1️⃣ Ооочень длинный тред в Твиттере о том, что покушение на Трампа и коллапс с CrowdStrike связаны. Я бы такую конспирологию даже не стал бы всерьез рассматривать, если бы автор не начал с того, что он глава ИБ в Metro Bank, был консультантом в страховых и финансовых компаниях, 20 лет CISSP и вообще у него большой опыт, на котором он свои выводы и основывает. Странная ветка, конечно 🤦‍♂️
2️⃣ Глава CrowdStrike заявил, что к 25-му июля (у нас 26-му) 97% ПК с сенсорами на базе Windows было восстановлено в рабочее состояние. 7 дней простоя. Осталось только понять, что за 3% и насколько они важны?
3️⃣ CrowdStrike в апреле назад уже накрыл своим обновлением компьютеры под управлением Debian и Rocky Linux 🐧 с тем же эффектом, что и на Windows 🪟

Очередной AI Security Challenge. Попробуйте обмануть обойти систему защиты ИИ-бота. Похожа на Гендальфа, но более сложная 👨‍💻

4 сообщения о взломах ИБ-компанияй за неделю 🗓 И все разные. Что-то перебор… 👨‍💻

Как говорится, не буди лихо... Думаю, таких кейсов начнет всплывать все больше и больше. Это как импортозамещение, когда закон приняли, денег на закупку отечественного дали, а научить пользователей забыли 🤦‍♂️ Так и тут. Благая идея цифровизации госуслуг от Минцифры разбивается о низкую цифровую грамотность граждан. И под это дело все процессы ИБ нарушаются в хвост и гриву, а потом просят все подтвердить "задним числом" 🤠 А потом все забывают про цифровую грамотность и просто тупо нарушают процессы ИБ. И "хорошо" если на благо граждан, а если нет?..

Одно радует, если о взломе ИБ-компании сообщает тот, кто это сделал, а не жертва или СМИ, то о внедрении вредоносного кода в конвейер разработки 👨‍💻 скорее всего речи не идет. А то выглядит не совсем логично - внедрить код, чтобы оставаться как можно долго незамеченным, и сразу же об этом всем сообщить 🧑‍💻

Интересный случай, который уже не вызывает удивления и который укладывается в череду схожих примеров, в которых применялись дипфейки 🎭 Разве что личность, под которую маскировались мошенники, вызывает интерес. Речь идет о генеральном директоре Ferrari 🏎, голосом и акцентом которого плохие парни позвонили его подчиненному и попросили помощь в будущей сделке слияния и поглощения, что может потребовать перевести крупную сумму денег 🤑

Прежде, чем получить звонок от лже-директора один из топ-менеджеров, получивший сначала сообщение через мессенджер 📱 Жертва обратила внимание, что звонок идет от номера не в списке контактов и что голос звучит с немного металлическими нотками. Для проверки, он попросил назвать книгу 📖, порекомендованную настоящим CEO Ferrari несколькими днями ранее, на чем мошенники и сломались, бросив трубку.

По мере удешевления технологии дипфейков таких случаев будет становиться все больше. Кейс с Ferrari не единичный. В мае мошенники имитировали в Teams голос 🗣 гендиректора британского рекламного гиганта WPP, а еще ранее мошенники подделали речь финансового директора 🧐 одной компании в видеозвонке и убедили жертву в Сингапуре перевести деньги на подставной счет.

А у вас есть процедура проверки подлинности для звонящих руководителей? 🤔