ISACARuSec

Ребята из Splunk спросили финансовых директоров компаний из чего складываются финансовые убытки при простое вследствие инцидентов ИТ/КБ и вот что мы имеем в итоге: 🔣Упущенная выгода (доход) – лидирует с отрывом от остальных категорий. По мнению опрошенных CFO именно эти потери являются ключевыми, а на восстановление доходов требуется 75 дней. 🔣Регуляторные штрафы – очевидная категория для зарубежных компаний (и для отечественных, если примут оборотные штрафы за утечки). 🔣Штрафы за нарушение SLA в рамках договорных отношений с партнерами/клиентами. 🔣Затраты на урегулирование правовых вопросов (судебные издержки, оплата юридических услуг). 🔣Затраты на восстановление "здоровья" бренда – да, чтобы восстановить подпорченную репутацию надо серьезно вложиться. В среднем уходит минимум 60 дней на восстановление привлекательности бренда (возвращение клиентов и т.п.). 🔣Затраты на маркетинг и пиар – да, связано с предыдущим видом расходов, но здесь всё более точечно (занести чего-нибудь инвесторам и покровителям из правительства). Чтобы отбить упавшую стоимость акций необходимо в среднем 79 дней. 🔣Затраты на восстановление производительности. 🔣Выкуп злоумышленнику – да, более половины CFO рекомендуют своему руководству заплатить выкуп ибо понимают, что длительный простой приведет к еще большим финансовым издержкам. 🔣Затраты на закупку оборудования для восстановления инфраструктуры. 🔣Увеличение выплат сотрудникам (переработки, найм новых сотрудников). 🔣Страховые выплаты. 🔣Затраты на восстановление резервных копий. Если обратить внимание на наиболее частые причины простоев, то в топе ожидаемо (почти) человеческий фактор, а сбой ПО/железа и кибератаки чуть позади🧐

Есть абзацы про разграничение доступа на уровне СУБД https://www.opennet.ru/opennews/art.shtml?num=61398

🎃 Киберугрозы — №1 в глобальном рейтинге рисков CISO часто сложно ответить на вопрос бизнеса «во что обойдётся реализация этого риска». Помочь ответить на него могут те, кто лучше всего связывает риски и деньги — страховые компании. В ежегодном барометре рисков Allianz киберугрозы давно не выходят из топа, но по итогам прошлого года они впервые заняли первое место с существенным отрывом от второго. Ещё одно «впервые» — риск признали одинаково значимым компании всех размеров — от малого бизнеса до транснациональных корпораций. Для малого бизнеса основным фактором риска стала компрометация подрядчиков, ответственных за IT-услуги. Рост обращений за страховым возмещением в связи с атаками ransomware вырос год-к-году на 50%, но среди угроз, которых опасается сам бизнес вымогатели лишь на втором месте — сильнее боятся утечек данных. Правда, Allianz не приводит своих оценок о среднем ущербе от одного инцидента, ссылаясь на отчёт IBM, где насчитали аж 5,36 млн. дол. Зато эту цифру приводят другие страховщики — Coalition. Их оценка основана на собственных страховых выплатах, и она гораздо скромнее, но всё равно внушительна — 100 тыс. дол. за инцидент. Интересно, что Coalition активно сопровождает IR у клиентов и ведёт статистику о конкретных технических особенностях инцидента. В 2023 году выросло число взломов, начавшихся с эксплуатации дыр в Cisco ASA. Клиенты, использующие эти устройства, обращались за страховым возмещением в 5(!) раз чаще, чем прочие. По Fortinet такого роста не было, но наличие «фортиков» в инфраструктуре всё равно удваивает шансы встречи с вымогателями. Ещё одним вечнозелёным риском остаются доступные из Интернета хосты RDP. Возвращаясь к отчёту Allianz, одним из ключевых факторов снижения риска и уменьшения ущерба страховщики называют инвестиции в EDR и другие инструменты, упрощающие раннее детектирование атак и адекватный ответ на них. #статистика #риск #ransomware @П2Т

Ресерчеры из Лаборатории Касперского прошерстили даркнет и представили аналитику рынка OTP-ботов, широко распространенных в киберпреступности инструментов для обхода 2FA. Растущая популярность такого метода защиты аккаунтов привела к разработке многочисленных способов его взломать или обойти, которые постоянно развиваются и подстраиваются под современные реалии. При этом конкретные схемы зависят от типа двухфакторной аутентификации, на который они нацелены. Чаще всего - это верификация с помощью одноразовых кодов, или OTP (One Time Password) по SMS, звонку, письму на email или пуш-уведомлением. В своем исследовании ЛК сфокусировались на методах получения этих кодов посредством социальной инженерии, когда в результате манипуляций жертва сама сообщает код, а для автоматизации используются инструменты: OTP-боты и административные панели для управления фиш-китами. В основе типичной схемы с использованием OTP-бота для получения кода 2FA — звонок жертве. Мошенники делают ставку именно на звонок, потому как время действия кода сильно ограничено. Функциональность ботов варьируется от одного скрипта, нацеленного на пользователей конкретной организации, до гибких настроек и широкого выбора скриптов, позволяющих заменить такими ботами целый мошеннический кол-центр. Имеется и круглосуточный саппорт, многоязычность, спуфинг входящего номера, индивидуализация вызова, а также выбор звонящего голоса. Кроме того, некоторые боты предлагают отправку жертвам SMS-сообщения с предупреждением о звонке от сотрудника определенной организации или получение других данных в ходе звонка. Как правило, OTP-ботами можно управлять либо через специальную панель в веб-браузере, либо через бот в Telegram. Тарифные планы варьируются от 140 до 420 баксов в неделю с оплатой исключительно в криптовалюте. Поскольку OTP-бот заточен под кражу второго фактора аутентификации, подключать его имеет смысл, если у злоумышленника уже есть актуальные данные жертвы, которые, как правило, злоумышленники получают при помощи фишинга. Для этих целей в даркнете реализуется множество фиш-китов, одновременно нацеленных на разные виды персональных данных. Причем с распространением 2FA создатели фиш-китов модифицировали панели управления, добавив в них возможность перехватывать и одноразовые пароли. Подробное описание схем работы, примеры OTP-ботов и актуальная статистика по угрозам - в отчете.

https://blog.pcisecuritystandards.org/just-published-pci-dss-v4-0-1 "To address stakeholder feedback and questions received since PCI DSS v4.0 was published in March 2022, the PCI Security Standards Council (PCI SSC) has published a limited revision to the standard, PCI DSS v4.0.1. It includes corrections to formatting and typographical errors and clarifies the focus and intent of some of the requirements and guidance. There are no additional or deleted requirements in this revision. "