Киберграмотность сотрудников: почему обучение важнее запретов? Опыт Phishman
Зачем обучать сотрудников в принципе?
Можно пойти от обратного и представить, что мы выбрали этого не делать. Например, мы ограничили сотруднику доступ к интернету. Он, конечно, перестанет совершать ошибки, но при этом и не научится их избегать.
Обучение даёт другой результат: вместо "запретов" вы получаете команду, не только устойчивую к кибератакам, но и активно участвующую в их предотвращении.
А ещё - сотрудники начинают лучше относиться к мерам ИБ, понимая их необходимость. Сейчас многие воспринимают специалистов по ИБ как строгих надзирателей.
Мы рекомендуем начинать с оценки текущей киберграмотности сотрудников.
Универсальный подход может вызвать отторжение. Сотрудник может не понимать, зачем ему новые знания об ИБ, считая себя достаточно осведомленным.
‼️ К тому же, если сотрудник действительно компетентен, обучение станет пустой тратой времени и денег компании.
Успешное прохождение теста избавит от необходимости обучения. Неудача же послужит стимулом к обучению. В этом случае у сотрудника появится объективная причина для учебы, и он это поймет. Это снижает сопротивление.
Как реализовать обучение на практике?
Phishman предлагает два варианта: простой и продвинутый.
1️⃣ В простом варианте мы регулярно тестируем сотрудников на устойчивость к фишингу и обучаем только тех, кто не прошел тест. Процесс автоматизирован и адаптируется под нужды компании.
2️⃣ Продвинутый вариант предполагает интеграцию с другими системами, например, DLP. Анализируя ошибки сотрудников, мы предлагаем обучение по соответствующим темам.
Так или иначе, пользователя необходимо вовлечь в процесс, ни в коем случае не навязывая ИБ-обучение. Сделать это можно только через практику. Депремирование и обычное подписание регламентов, увы, не помогут.
Зачем обучать сотрудников в принципе?
Можно пойти от обратного и представить, что мы выбрали этого не делать. Например, мы ограничили сотруднику доступ к интернету. Он, конечно, перестанет совершать ошибки, но при этом и не научится их избегать.
Обучение даёт другой результат: вместо "запретов" вы получаете команду, не только устойчивую к кибератакам, но и активно участвующую в их предотвращении.
А ещё - сотрудники начинают лучше относиться к мерам ИБ, понимая их необходимость. Сейчас многие воспринимают специалистов по ИБ как строгих надзирателей.
Мы рекомендуем начинать с оценки текущей киберграмотности сотрудников.
Универсальный подход может вызвать отторжение. Сотрудник может не понимать, зачем ему новые знания об ИБ, считая себя достаточно осведомленным.
‼️ К тому же, если сотрудник действительно компетентен, обучение станет пустой тратой времени и денег компании.
Успешное прохождение теста избавит от необходимости обучения. Неудача же послужит стимулом к обучению. В этом случае у сотрудника появится объективная причина для учебы, и он это поймет. Это снижает сопротивление.
Как реализовать обучение на практике?
Phishman предлагает два варианта: простой и продвинутый.
1️⃣ В простом варианте мы регулярно тестируем сотрудников на устойчивость к фишингу и обучаем только тех, кто не прошел тест. Процесс автоматизирован и адаптируется под нужды компании.
2️⃣ Продвинутый вариант предполагает интеграцию с другими системами, например, DLP. Анализируя ошибки сотрудников, мы предлагаем обучение по соответствующим темам.
Так или иначе, пользователя необходимо вовлечь в процесс, ни в коем случае не навязывая ИБ-обучение. Сделать это можно только через практику. Депремирование и обычное подписание регламентов, увы, не помогут.
Злоумышленники продолжают находить лазейки для повышения привилегий и доступа к конфиденциальным данным через две эксплуатируемые уязвимости — CVE-2024-43093 и CVE-2024-50302.
Google и производители Android должны ускорить процесс распространения обновлений. Фрагментация экосистемы — это огромная угроза безопасности миллионов пользователей.
Подробнее: http://extrim-security.ru/news-ib/tpost/gucgsu42g1-novost-ob-uyazvimostyah-v-android
Please open Telegram to view this post
VIEW IN TELEGRAM
Новое исследование в Дублине вскрыло ✨интерестинг моменты✨ о том, как Google собирает данные пользователей Android без их явного согласия.
Очередная "страшилка" о конфиденциальности — это системная проблема, которая ставит под сомнение соблюдение компанией базовых принципов прозрачности и уважения к пользователям.
Даже до того, как вы запустите первое приложение, Google уже собирает данные через предустановленные сервисы, такие как Google Play Services. Это включает в себя создание файлов cookie (например, DSID) и идентификаторов устройств (Google Android ID), которые используются для отслеживания вашей активности.
😡
Подробнее: https://extrim-security.ru/news-ib/tpost/5xr0dxczd1-google-i-android-skritoe-otslezhivanie-p
Очередная "страшилка" о конфиденциальности — это системная проблема, которая ставит под сомнение соблюдение компанией базовых принципов прозрачности и уважения к пользователям.
Даже до того, как вы запустите первое приложение, Google уже собирает данные через предустановленные сервисы, такие как Google Play Services. Это включает в себя создание файлов cookie (например, DSID) и идентификаторов устройств (Google Android ID), которые используются для отслеживания вашей активности.
Подробнее: https://extrim-security.ru/news-ib/tpost/5xr0dxczd1-google-i-android-skritoe-otslezhivanie-p
Please open Telegram to view this post
VIEW IN TELEGRAM
Погнали на стрим! 💃
🔧Один день из жизни администратора: когда NGFW становится твоим супергероем!
Будем тестировать Ideco NGFW в режиме реального времени😮
Во время стрима можно будет задать миллион вопросов и получить на них миллион ответов
19 марта в 11:00 по мск
Подготовили для вас чек-лист по кибербезопасности с простыми шагами, которые помогут вам защитить вашу сеть от атак🛡 Скинем его в чатик стрима
БЕЗ СМС И РЕГИСТРАЦИИ. Просто подключайтесь!
🔗 Ссылку на стрим скинем за час
🔧Один день из жизни администратора: когда NGFW становится твоим супергероем!
Будем тестировать Ideco NGFW в режиме реального времени
Во время стрима можно будет задать миллион вопросов и получить на них миллион ответов
19 марта в 11:00 по мск
Подготовили для вас чек-лист по кибербезопасности с простыми шагами, которые помогут вам защитить вашу сеть от атак
БЕЗ СМС И РЕГИСТРАЦИИ. Просто подключайтесь!
🔗 Ссылку на стрим скинем за час
Please open Telegram to view this post
VIEW IN TELEGRAM
SilentCryptoMiner искусственно увеличивает размер файла до 690 МБ, что затрудняет его анализ в автоматических "песочницах" антивирусов.
Вредоносная программа управляется через веб-панель, из-за чего злоумышленники быстро адаптируются к изменениям в системе жертвы.
Подробнее: https://extrim-security.ru/news-ib/tpost/yfzoo5on31-mainer-zarazil-2000-rossiiskih-polzovate
Please open Telegram to view this post
VIEW IN TELEGRAM
Хакеры внедряли вредоносные редиректоры через рекламу на нелегальных сайтах, таких как movies7[.]net и 0123movie[.]art. Пользователи, переходя по ссылкам, попадали на поддельные страницы, а затем на GitHub, где загружались вредоносные файлы.
Вредоносное ПО, в основном стилеры Lumma и Doenerium, похищало данные из браузеров, включая пароли, файлы cookie и даже информацию о криптокошельках.
Подробнее: https://extrim-security.ru/news-ib/tpost/2ogmkf7yh1-kiberataka-cherez-vredonosnuyu-reklamu-m
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Прекрасное... При заходе на сайт ты видишь облегченный вариант проверки, что вы не робот. Вместо CAPTCHA вам предлагают (для Винды) сделать всего три действия:
1️⃣ Нажать кнопки 🪟 и R
2️⃣ Нажать CTRL + V
3️⃣ Нажать Enter.
Вуаля, вы заражены вредоносным кодом⚠️ Первое действие запускает команду Run для исполнения любой, уже инсталлированной на компьютере программы 📞 Второе - копирует вредоносный код из виртуальной клавиатуры сайта. Третье - приводит к загрузке и запуску вредоносного кода через mshta.exe, предназначенного для запуска HTML-файлов 😷
Описанный сценарий не нов, о нем начали писать еще в прошлом году, но в этом году это становится мейнстримом. Microsoft описывает эту технику, назвав ее ClickFix🖥 Ее используют многие вредоносы для своей доставки - XWorm, Lumma stealer, VenomRAT, AsyncRAT, Danabot и NetSupport RAT 🐀
Для борьбы с этой напастью можно использовать как наложенные средства защиты, типа EDR, так и механизмы групповых политик в Windows, предотвращающие запуск команды "run" на пользовательских компах📱 Ну и про обучение пользователей не забывайте.
#malware
Вуаля, вы заражены вредоносным кодом
Описанный сценарий не нов, о нем начали писать еще в прошлом году, но в этом году это становится мейнстримом. Microsoft описывает эту технику, назвав ее ClickFix
Для борьбы с этой напастью можно использовать как наложенные средства защиты, типа EDR, так и механизмы групповых политик в Windows, предотвращающие запуск команды "run" на пользовательских компах
#malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Метод хакера
Погнали на стрим! 💃 🔧Один день из жизни администратора: когда NGFW становится твоим супергероем! Будем тестировать Ideco NGFW в режиме реального времени😮 Во время стрима можно будет задать миллион вопросов и получить на них миллион ответов 19 марта в 11:00…
Так-так-так, уже завтра стрим!
Подготовили для вас чек-лист по кибербезопасности с простыми шагами, которые помогут вам защитить вашу сеть от атак🛡
Скинем его в чатик стрима 😏
Подключайтесь, чтобы не пропустить!
Подготовили для вас чек-лист по кибербезопасности с простыми шагами, которые помогут вам защитить вашу сеть от атак
Скинем его в чатик стрима 😏
Подключайтесь, чтобы не пропустить!
Please open Telegram to view this post
VIEW IN TELEGRAM
Через час включаемся на стрим✨
Ссылка на подключение в КТолк: https://xrmib.ktalk.ru/gs3v34enan6q
Мы будем дублировать стрим тут, в нашем тг-канале :)
Кому удобнее - оставайтесь! Если друг возникнут сложности с подключением в КТолк - тоже оставайтесь, ничего не пропустите🔥
Чек-лист по кибербезопасности можно скачать в комментариях⬇️
Ссылка на подключение в КТолк: https://xrmib.ktalk.ru/gs3v34enan6q
Мы будем дублировать стрим тут, в нашем тг-канале :)
Кому удобнее - оставайтесь! Если друг возникнут сложности с подключением в КТолк - тоже оставайтесь, ничего не пропустите🔥
Чек-лист по кибербезопасности можно скачать в комментариях
Please open Telegram to view this post
VIEW IN TELEGRAM
Для тех, кто не успел присоединиться или хочет пересмотреть, выгрузили запись стрима в вк видео 🤗
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Видео
Стрим Ideco NGFW
Один день из жизни администратора: когда NGFW становится твоим супергероем!
Класс решений Security Awareness. Почему важно вовлекать пользователей в вопросы ИБ и как это сделать? Мы спросили у Phishman.
Надо сказать, что индустрия ИБ сейчас все больше осознает свою потребность в обучении сотрудников. И это хорошо! Не очень хорошо, что делают это часто неправильно, выбирая подходы, которые отталкивают пользователей.
Мы не говорим, что с инструментами, которые обычно используют, что-то не так, но скажем, что есть класс решений, который создаёт комплексный подход, дружественный к пользователю, после которого остаются скиллы.
Класс решений Security Awareness – это о том, чтобы:
• Научить сотрудников распознавать угрозы: Отличить фишинговое письмо от настоящего, понять признаки взломанного аккаунта, осознавать риски при работе с конфиденциальной информацией и так далее.
• Сформировать правильные привычки: Создавать надёжные пароли, регулярно обновлять ПО, быть внимательными к подозрительным ссылкам и запросам.
• Создать культуру кибербезопасности: Когда каждый сотрудник понимает свою ответственность и чувствует себя частью команды по защите данных.
И вот последний пункт очень важен, потому что сотрудник становится вовлечённым в процессы ИБ. За счёт чего?
1. Обучение через SA - интерактивно, интересно и персонализировано. Оно не отвлекает сотрудника от работы длинными лекциями, которые, к тому же, ему не нужны.
2. Все проверяется на практике. Сотрудник видя, что его действия (например, клик по фишинговой ссылке) может привести к серьёзным последствиям, становится более внимательным к процессам ИБ.
3. Такое обучение регулярно и непрерывно. Можно запомнить, что сказали в уроке, но это также можно забыть. Важна регулярность.
4. Автоматизация. Если решение автоматизировано, это значительно экономит время служб ИБ.
И это все про Security Awareness - не просто тренинг, а изменение мышления.
Конечно, важны и методы работы отделов ИБ, но об этом в следующий Кибер-Четверг с Phishman.
Надо сказать, что индустрия ИБ сейчас все больше осознает свою потребность в обучении сотрудников. И это хорошо! Не очень хорошо, что делают это часто неправильно, выбирая подходы, которые отталкивают пользователей.
Мы не говорим, что с инструментами, которые обычно используют, что-то не так, но скажем, что есть класс решений, который создаёт комплексный подход, дружественный к пользователю, после которого остаются скиллы.
Класс решений Security Awareness – это о том, чтобы:
• Научить сотрудников распознавать угрозы: Отличить фишинговое письмо от настоящего, понять признаки взломанного аккаунта, осознавать риски при работе с конфиденциальной информацией и так далее.
• Сформировать правильные привычки: Создавать надёжные пароли, регулярно обновлять ПО, быть внимательными к подозрительным ссылкам и запросам.
• Создать культуру кибербезопасности: Когда каждый сотрудник понимает свою ответственность и чувствует себя частью команды по защите данных.
И вот последний пункт очень важен, потому что сотрудник становится вовлечённым в процессы ИБ. За счёт чего?
1. Обучение через SA - интерактивно, интересно и персонализировано. Оно не отвлекает сотрудника от работы длинными лекциями, которые, к тому же, ему не нужны.
2. Все проверяется на практике. Сотрудник видя, что его действия (например, клик по фишинговой ссылке) может привести к серьёзным последствиям, становится более внимательным к процессам ИБ.
3. Такое обучение регулярно и непрерывно. Можно запомнить, что сказали в уроке, но это также можно забыть. Важна регулярность.
4. Автоматизация. Если решение автоматизировано, это значительно экономит время служб ИБ.
И это все про Security Awareness - не просто тренинг, а изменение мышления.
Конечно, важны и методы работы отделов ИБ, но об этом в следующий Кибер-Четверг с Phishman.
Крупномасштабный инцидент с утечкой конфиденциальных данных затронул российских пользователей роутеров Keenetic. В результате компрометации были раскрыты чувствительные сведения, включающие пользовательские учетные записи, сетевые конфигурации и системные журналы. Несмотря на то, что злоумышленники получили возможность прямого захвата сетей, производитель счел вероятность мошенничества незначительной.
Об уязвимости стало известно благодаря усилиям независимого эксперта по кибербезопасности, который уведомил разработчиков о проблеме 15 марта 2023 года. Команда Keenetic оперативно устранила уязвимость, и после этого не было зафиксировано новых попыток компрометации.
Подробнее: https://extrim-security.ru/news-ib/tpost/xkjv3kxbr1-dazhe-ispravlennie-uyazvimosti-vliyayut
Об уязвимости стало известно благодаря усилиям независимого эксперта по кибербезопасности, который уведомил разработчиков о проблеме 15 марта 2023 года. Команда Keenetic оперативно устранила уязвимость, и после этого не было зафиксировано новых попыток компрометации.
Подробнее: https://extrim-security.ru/news-ib/tpost/xkjv3kxbr1-dazhe-ispravlennie-uyazvimosti-vliyayut
Уязвимость в Mojo (механизм IPC в Chrome) позволяла обходить песочницу и выполнять код.
Эксплуатировалась через фишинг — жертвы получали письма с фальшивыми приглашениями на «Примаковские чтения».
Достаточно было перейти по ссылке — никаких подтверждений или загрузок не требовалось.
Атака сложная, точечная - APT.
1. Первая zero-day в Chrome в 2025 году — значит, хакеры нашли слабое место первыми.
2. Обход песочницы — одна из ключевых защит Chrome. Если её ломают, угроза становится критической.
3. Цель — шпионаж. Атаковали СМИ, вузы и госструктуры — явно не любительский взлом.
✅ Срочно обновите Chrome до версии 134.0.6998.177/.178.
Проверяйте письма — даже если они выглядят легитимно.
Используйте дополнительные средства защиты — EDR, антиэксплойты, двухфакторную аутентификацию.
Атаки становятся тише и точнее. Фишинг + zero-day — любимая схема APT-групп. Google быстро выпустила патч, но факт: уязвимость уже использовалась.
Подробнее: https://extrim-security.ru/news-ib/tpost/pxnprosjy1-google-ekstrenno-zakrila-opasnuyu-uyazvi
Please open Telegram to view this post
VIEW IN TELEGRAM
Да, мы все давно знаем, что HTTP — это дырявое ведро в плане безопасности. Но многие до сих пор цепляются за него:
- 2,4% всего трафика в сетях Cloudflare всё ещё идёт по HTTP.
- Среди ботов и API-запросов — целых 17%!
Проблема в том, что даже миллисекунды открытого трафика (до перенаправления на HTTPS) могут стоить вам утечки токенов, API-ключей или куков. В публичных Wi-Fi это буквально подарок для MITM-атак.
✅ Плюсы:
Нет риска утечки данных даже в момент установки соединения.
Подталкивает индустрию к полному отказу от устаревших протоколов.
❌ Минусы:
Ломает кучу легаси-систем — IoT-устройства, старые скрипты, корпоративный софт на замшелых HTTP-клиентах.
Не все готовы: если ваш код не умеет HTTPS (да, такое ещё есть), он сломается без предупреждения.
Подробнее: https://extrim-security.ru/news-ib/tpost/a1yphfzeb1-cloudflare-polnostyu-otkazivaetsya-ot-ht
Please open Telegram to view this post
VIEW IN TELEGRAM
☕️ CoffeeLoader — новый уровень скрытности вредоносных загрузчиков
Zscaler ThreatLabz выявили новый скрытный загрузчик CoffeeLoader — крайне изощрённый, который умеет прятаться от антивирусов даже на уровне GPU.
Работа через видеокарту – использует упаковщик Armoury, который выполняет часть кода на GPU, что резко усложняет детектирование в песочницах.
Обфускация "на лету" – код остаётся зашифрованным до момента выполнения, плюс манипуляции с потоками (fibers) для усложнения анализа.
Подмена стека вызовов – имитирует "чистую" работу, сбивая с толку системы мониторинга.
Раньше выполнение вредоносного кода на GPU было экзотикой, но теперь это рабочий инструмент в арсенале злоумышленников. Уже зафиксированы случаи доставки через CoffeeLoader Rhadamanthys — мощного инфостилера.
🔴 Атаки становятся сложнее, а защита не успевает адаптироваться. Традиционные антивирусы, полагающиеся на сигнатурный анализ, здесь почти бесполезны. Нужен поведенческий мониторинг, анализ аномалий в работе GPU и усиленная защита на уровне памяти.
Что делать?
✔️ EDR/XDR-решения – они лучше ловят сложные атаки.
✔️ Аппаратная изоляция критичных процессов (например, через VBS).
✔️ Патчим всё – многие техники (вроде fibers) требуют уязвимостей в ОС.
Подробнее: https://extrim-security.ru/news-ib/tpost/lh1y446hv1-opasnii-zagruzchik-coffeeloader-kak-on-o
Zscaler ThreatLabz выявили новый скрытный загрузчик CoffeeLoader — крайне изощрённый, который умеет прятаться от антивирусов даже на уровне GPU.
Работа через видеокарту – использует упаковщик Armoury, который выполняет часть кода на GPU, что резко усложняет детектирование в песочницах.
Обфускация "на лету" – код остаётся зашифрованным до момента выполнения, плюс манипуляции с потоками (fibers) для усложнения анализа.
Подмена стека вызовов – имитирует "чистую" работу, сбивая с толку системы мониторинга.
Раньше выполнение вредоносного кода на GPU было экзотикой, но теперь это рабочий инструмент в арсенале злоумышленников. Уже зафиксированы случаи доставки через CoffeeLoader Rhadamanthys — мощного инфостилера.
Что делать?
✔️ EDR/XDR-решения – они лучше ловят сложные атаки.
✔️ Аппаратная изоляция критичных процессов (например, через VBS).
✔️ Патчим всё – многие техники (вроде fibers) требуют уязвимостей в ОС.
Подробнее: https://extrim-security.ru/news-ib/tpost/lh1y446hv1-opasnii-zagruzchik-coffeeloader-kak-on-o
Please open Telegram to view this post
VIEW IN TELEGRAM