DDoS.Guard

DDoS.Guard

Блог компании
Разрабатываем сервисы защиты от DDoS-атак на базе собственной геораспределенной сети. Обрабатываем трафик максимально близко к его источнику с минимальными задержками. Развиваем свой CDN, решения для компаний из реестра ОРИ и другие проекты. - 2,5 млн атак нейтрализовано за 2024 год - 3 млн+ сайтов получили защиту за все время работы DDoS-Guard - 3 место в России по хостингу уникальных доменов по версии bgp.tools - 5 место в мире среди провайдеров услуг облачной защиты по версии W3Techs
На Пикабу
- рейтинг 28 подписчиков 0 подписок 7 постов 3 в горячем
2

Карьерный путь в инфобезе: куда идти, если хочется хакать

Карьерный путь в инфобезе: куда идти, если хочется хакать Статья, Развитие, Обучение, Информационная безопасность, Длиннопост, Блоги компаний

Для кого эта статья:
Если вы студент, выпускник или просто человек в поиске перспективной профессии, которая сочетает в себе технологии и хороший доход, — добро пожаловать в мир информационной безопасности (ИБ). Расскажем, кто будет зарабатывать миллионы, зачем нужны разноцветные команды (что? да!) и какие скиллы вам точно пригодятся.

Сказать по правде, все эти новости про «одну из самых высокооплачиваемых профессий на рынке» порядком достали. Про легкий вход в ИТ через тестирование не сказал только ленивый, но между тем есть и другие направления, которые могут быть интересны и востребованы. Например, информационная безопасность. О ней и поговорим.

Кто ты, воин?

В самом термине «информационная безопасность» и заключается его смысл — защита данных, систем и людей. Специалисты этой области следят за тем, чтобы важная информация не утекла в сеть, чтобы злодеи не ломали сайты и базы данных, а сотрудники компаний случайно (или не очень) не наделали бед. Фан-факт: именно от этих самых сотрудников компаний и исходит самая большая опасность — человеческий фактор в действии.

Итак, в ИБ есть несколько основных направлений:

  • Аналитик информационной безопасности — важный чел, который выявляет риски и, как полководец-стратег, создает грамотный план защиты для компании.

Карьерный путь в инфобезе: куда идти, если хочется хакать Статья, Развитие, Обучение, Информационная безопасность, Длиннопост, Блоги компаний
  • Пентестер (этичный хакер) — ведет себя как негодяй, который пытается взломать систему и использовать ее уязвимости, но делает это из благих побуждений и по ТЗ.

Карьерный путь в инфобезе: куда идти, если хочется хакать Статья, Развитие, Обучение, Информационная безопасность, Длиннопост, Блоги компаний
  • SOC-аналитик — чаще всего сидит перед кучей экранов (выглядит очень эффектно) и отслеживает подозрительную активность в реальном времени.

Карьерный путь в инфобезе: куда идти, если хочется хакать Статья, Развитие, Обучение, Информационная безопасность, Длиннопост, Блоги компаний
  • Reverse-инженер — анализирует вредоносное ПО, изучает его поведение и помогает разрабатывать защиту.

А вот интересная история автора Хабра о пути к реверс-инжинирингу (для лучшего погружения в тему этой специализации).

Вообще ИБ — это не одна профессия, а целая экосистема ролей. Пойдем смотреть картинку, чтобы объяснить, что мы имеем в виду.

Подробнее про роли в ИБ: кто все эти люди и чем они занимаются

Представьте оркестр (команду), где каждый исполняет свою роль: кто-то обороняется, кто-то атакует, кто-то связывает всех вместе. Такие команды еще называют по определенным цветам, каждый из которых что-то означает. Прямо как в игре — когда ты за красных или белых, только палитра тут шире:

Карьерный путь в инфобезе: куда идти, если хочется хакать Статья, Развитие, Обучение, Информационная безопасность, Длиннопост, Блоги компаний

А теперь поближе познакомимся с теми, кто обычно работает за троих в тех самых Red или Blue team.

Царь монитора или SOC-аналитик

Обычно начинают с банков или телекома, а сама роль позволяет находиться в гуще событий, но с минимальным риском (главное не перепутать обновления винды с DDoS). SOC-аналитик — это человек, который должен видеть все. Именно он первым замечает подозрительные штуки в логах, поднимает тревогу и фиксирует инциденты в духе: «Пользователь galina_buhgalteriya зашла в систему в 3:47 ночи с IP из Исландии. Подозрительно».

Не просто взломщик, а с лицензией (пентестер)

Чаще всего их можно встретить на фрилансе или в ИТ-компаниях с уклоном на кибербез. Пентестеры не ломают системы, а «тестируют» их. Если работают в команде, то часто могут соревноваться на то, кто быстрее найдет уязвимость. Работают по ТЗ и верят, что на любую защиту найдется свой эксплойт.

Тот, кто чинит после пентестера — AppSec-инженер

Чаще всего находят себя в продуктовых компаниях или финтехе. Заделывают дыры после взломов пентестеров. Это бойцы невидимого фронта, которые работают бок о бок с разработкой, пытаясь встроить безопасность туда, где ее и не задумывали, потому что «надо быстрее в прод». По идее знают OWASP (международные рекомендации и стандарты по кибербезопасности).

DevOps-инженер

Там, где есть облачные решения, есть и DevOps. Они стоят и запускают инфраструктуру, а если мы добавим еще и «Sec», то бишь «security», то это уже элита, которая не просто строит, но делает это безопасно. Если вы задумали идти в DevOps, то придется полюбить докер.

И немного экзотики:

  • Архитектор ИБ — редкая птица. Он видит всю безопасность сверху и рисует план всего здания (инфраструктуры), чтобы все работало и ничего не упало.

  • Консультант по ИБ — человек, который приходит и говорит: «Тут у вас все не так», а потом делает так, как надо. Эта роль требует серьезной выдержки и умения общаться с людьми, у которых вчера взломали принтер.

Где учиться на безопасника

Тут у вас есть две таблетки: одна красная, другая синяя. Красная — для тех, кто хочет прочный базовый фундамент и профильные кафедры. Синяя — для тех, кто не готов ждать четыре года или уже получает диплом по новой специальности.

Университеты

Многие вузы сегодня предлагают направления, связанные с ИБ: «Информационная безопасность», «Безопасность информационных технологий», «Компьютерная безопасность» и так далее. В МГТУ им. Баумана, МИФИ, СПбПУ Петра Великого, ДГТУ и других технических вузах есть профильные кафедры. Конкурс на бюджет — от 230 до 300+ баллов. Предметы, которые обязательно сдать: математика, русский язык, информатика или физика.

Онлайн-образование

Если вы обладаете высоким уровнем самоорганизации и не хотите ждать четыре года, поступайте на популярные онлайн–курсы (перечислять их не будем, так как реклама), поэтому поисковик вам в помощь. Они помогут освоить нужные скилы. Часто после них можно претендовать на джуниор-позиции, но есть компании (и их немало), которые даже не рассмотрят ваше резюме, если увидят в графе «образование» онлайн-курсы, а не технический вуз. У такого подхода много как приверженцев, так и противников: кто-то говорит, что онлайн-образования недостаточно, чтобы вырастить опытного специалиста, а кто-то делится своими историями успеха. Кстати, поделитесь в комментариях, на какой стороне вы?

Где студенту брать опыт

Сразу предупредим: не стоит идти ковырять чужие сайты и сервисы — за это реально могут привлечь по статьям 272 и 273 УК РФ.

Лучше попробуйте:

  • Участвуйте в CTF-соревнованиях — это как олимпиада по взлому, только легальная.

  • Ищите разные хакатоны, например, по кибербезопасности.

  • Пройдите стажировку — их можно найти как в госкорпорациях, так в частных компаниях.

  • Следите за блогами специалистов, например, на Habr или в телеграме.

  • Посещайте профильные конференции: Positive Hack Days, OFFZONE, ZeroNights и другие.

Сколько зарабатывают ИБ-специалисты

Мифов вокруг зарплатных ожиданий и реальности великое множество. Мы изучили данные hh.ru и будем опираться на них:

  • Джуниор: от 45 000 до 120 000 в месяц.

  • Мидл: 150 000 – 250 000 в месяц.

  • Сеньор: от 250 000 в месяц и выше.

Эти разделения понятий достаточно условны и зависят от конкретной компании и задач.

Особо продвинутые и редкие специалисты (например, эксперты по киберразведке или IT-евангелисты) могут зарабатывать и больше 500 000 рублей, особенно в известных корпорациях или на зарубежных рынках. Зарплата директора CISO (Chief Information Security Officer) в крупной компании может доходить до 1 000 000 рублей и более.

Исследование экспертов «СерчИнформ» удивляет лояльностью молодых кандидатов к зарплатным ожиданиям. Несмотря на то, что для 74% молодых людей главный критерий при выборе работодателя — зарплата, более половины опрошенных готовы работать за 50–100 тысяч рублей.

К специалистам разного уровня подготовки предъявляются разные требования. Например, соискатели, претендующие на позиции среднего уровня, должны разбираться в принципах построения сетей, понимать, как работают протоколы TCP/IP, а также знать, как отче наш, сетевую модель OSI, описывающую работу глобальной сети.

Мы поговорили с представителями HR крупной IT-компании и узнали, сложно ли встретить кандидата с серьезными зарплатными ожиданиями и соответствующим багажом знаний.

«Насчет модели OSI слышали, в лучшем случае, 10% приходящих на собеседование. Чаще всего — это опытные специалисты 30+. Найти толкового безопасника довольно сложно, потому что профиль до сих пор остается достаточно узким».

Есть ли перспективы у профессии

Согласно исследованию Mordor Intelligence, размер мирового рынка кибербезопасности достигнет 50,23 миллиарда долларов США к 2029 году. В России наблюдается впечатляющий рост, на который влияют как внешние факторы, так и внутренние. В сети можно найти различные аналитические отчеты, которые дают разброс оценок, однако все они сходятся в положительной динамике. В 2024 году Россия вошла в топ-10 стран-лидеров по объему инвестиций в кибербезопасность.

Когда-то ИБ считалась нишевым направлением, сейчас — это один из самых востребованных рынков труда. Растет как сегмент рынка кибербезопасности, так и спрос на специалистов. Наибольший спрос на ИБ-специалистов традиционно наблюдается в сфере информационных технологий — на нее приходится половина всех открытых вакансий. Примерно 15% предложений поступает от компаний, работающих в нефтегазовой отрасли, еще 14% — от организаций финансово-кредитного сектора. Промышленность замыкает список с 9% актуальных вакансий.

Еще одна примечательная деталь — в июне 2025 года состоялась первая в истории международная олимпиада по кибербезопасности. Российская команда завоевала три золотых, три серебряных и две бронзовых медали. Это событие можно считать показательным: кибербезопасность делает шаг в сторону профессии, которая может стать престижным направлением международной конкуренции.

За первые четыре месяца 2025 года в России было размещено примерно 42 000 вакансий в области информационной безопасности — это почти 50% от общего числа предложений за весь 2024 год (89 900), сообщила директор по IT и кибербезопасности hh.ru Татьяна Фомина.

Из первых уст

Мы изучили несколько интервью со специалистами по ИБ, чтобы узнать их личный опыт, а также истории, которые привели их к этой профессии. Делимся цитатами авторов и ссылками на полные материалы.

Михаил Яковлев — врач из Якутии, ныне ИБ-специалист

«Обычно в эту профессию приходят из-за интереса к хакерству и вирусам. В постоянной борьбе «черных» и «белых» хакеров есть своя особая романтика. Лично у меня интерес возник еще в школе, когда я скомпилировал вирус и заразил им свой компьютер. «Теплые» воспоминания связывают меня с вирусом «WannaCry» 2017 года, я встретился с ним, когда он был в разгаре. Это был полезный опыт для начинающего специалиста по информационной безопасности.»

Вывод: для многих все начинается с чистого любопытства. ИБ — про желание разобраться, как все устроено, даже если сначала «ломаешь» только свой собственный ПК.

Мона Архипова — эксперт InfoWatch

«Все началось с того, что в детстве мне принесли списанный компьютер. Посмотрите на мои серьги — они сделаны из памяти моего первого 286-го компа и всегда со мной. Папа дал книжку по DOS, и это положило начало детскому хобби. Мне нравилось разбираться во всем самостоятельно: я обучалась работе в консоли, играла в компьютерные игры, ходила на кружок по информатике, где мы учились писать на BASIC. С тех пор я не боюсь ни темы железа, ни темы софта.»

«Я очень радуюсь, что девушек с каждым годом становится все больше. Для лучшей мотивации приведу свою любимую цитату времен, когда я была сисадмином, с популярного гиковского ресурса bash.org: «Видел я один раз девочку-сисадмина. И что, она была зеленая с тремя глазами? Нет, понимаешь, она работала». Этим, пожалуй, можно подвести итог всей дискуссии.»


Вывод: ИБ — не только «мужская территория». С каждым годом все больше девушек входят в профессию, ломая стереотипы.

Если хотите познакомиться с большим числом героев и изучить их личный опыт, рекомендуем посетить раздел «Интервью» на Securitymedia — там собраны десятки историй от ведущих специалистов по информационной безопасности.

Вместо заключения: ТОП-5 hard и soft skills для ИБ-специалистов

Данные основаны на вакансиях hh.ru и cisoclub.ru


Hard skills

  1. Опыт работы в SOC, включая анализ инцидентов и реагирование на угрозы.

  2. Умение работать с Windows, Linux, знание сетевых протоколов и сервисов.

  3. Опыт работы с SIEM-системами, IDS/IPS, фаерволами, антивирусами, а также навыки пентестинга и анализа уязвимостей.

  4. Понимание требований ГОСТ, ISO/IEC 27001, PCI DSS и других стандартов в области ИБ.

  5. Опыт работы с виртуальными машинами, контейнерами и облачными платформами, такими как VMware, Docker, Kubernetes.

Soft skills

  1. Способность выявлять закономерности в событиях, анализировать инциденты и принимать обоснованные решения.

  2. Умение эффективно взаимодействовать с коллегами, руководством и внешними партнерами.

  3. Способность сохранять спокойствие и принимать решения в условиях давления и ограниченного времени.

  4. Желание осваивать новые технологии и подходы в области ИБ, а также адаптироваться к изменениям в сфере угроз.

  5. Способность эффективно распределять задачи, устанавливать приоритеты и соблюдать соблюдать сроки.

Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780, ERID: 2Vtzqv8WSUQ

Показать полностью 5

Мне больно, а вы продолжаете это делать: крик души ИБ-специалиста

Мне больно, а вы продолжаете это делать: крик души ИБ-специалиста Информационная безопасность, Информативность, Длиннопост, Блоги компаний

Привет, я работаю в сфере информационной безопасности уже восьмой год. И каждый день я вижу — и слышу в историях от коллег! — одно и то же. Одно и то же. Все угрозы давно известны, все правила давно написаны и лежат в интернете — бери, пользуйся, потрать пять минут времени, чтобы потом не плакать. Не берут, не пользуются, игнорируют. Потом плачут. В общем, делюсь тем, что накипело по этой теме.

Как обстоят дела с ИБ в 2025

С компаниями и организациями в плане ИБ-грамотности в последние годы начало налаживаться, хотя все еще есть куда расти — полноценный центр мониторинга киберугроз есть лишь у 20% компаний. А вот с простыми гражданами все намного запущенней — на весну 2025 года менее 30% опрошенных россиян вообще принимали хоть какие-то меры по ИБ. Причем это число по сравнению с прошлым годом еще и снизилось.

Это цифры. А наглядная реальность, которую я наблюдаю каждый день, такая: большинству и людей, и компаний безразлична кибербезопасность. Каждую неделю в новостях кейсы: взломали, вывели, обманули. Но это всегда происходит с кем-то другим, не с тобой — да кому мы нужны, мы мелкий бизнес, мы частные лица — поэтому можно продолжать быть беспечным. А когда инцидент происходит с тобой, уже слишком поздно.

Почему проблема именно в людях, а не в общей низкой культуре ИБ

Например потому, что и государство, и бизнес кричат про кибербезопасность из каждого утюга. За 5 лет количество ИБ-компаний в России выросло почти на 40%, а 6 из 10 коммерческих организаций запланировали в 2025 рост бюджета на информационную безопасность. МВД и Госуслуги распространяют предупреждения о мошенничестве и фишинге в SMS, на сайтах, даже расклеивают листовки в общественном транспорте.

Банки публикуют уведомления об SMS‑фишинге и дают инструкции, как его распознать — прямо на сайтах, в самих банках тоже везде физически висят памятки. А 30 мая 2025 года вообще начал действовать федеральный закон, жестко усиливающий административную ответственность компаний за утечку персональных данных, вплоть до оборотных штрафов в сотни миллионов рублей.

Количество публикаций в СМИ на тему киберинцидентов и кибербезопасности постоянно растет (на 30% с 2022 по 2024 год). Но на те же самые 30%, к сожалению, за 2024 год выросло и число утечек персональных данных, а число DDoS-атак хотя и осталось на прежнем (высоком!) уровне, они стали гораздо хитрее и изощреннее. Участились инциденты с использованием уязвимостей для дефейса (замены главной страницы на другую по выбору атакующего) государственных сайтов.

Чтобы в автоматическом режиме находить эти и другие уязвимости в IT-инфраструктуре, мы разработали собственное решение DDG Vulnerability Management.

DDG Vulnerability Management (DDG VM) — сервис контроля уязвимостей и мониторинга защищенности IT-активов. Он в автоматическом режиме находит уязвимые места в IT-инфраструктуре, которые позволяют хакерам проводить DDoS-атаки, фишинговые рассылки и другие виды атак. DDG VM помогает соблюдать требования ФСТЭК и ФСБ к проверке ресурсов на уязвимости и оценить готовность инфраструктуры к сетевому нападению.

Но не только госсайты и компании под угрозой: сегодня подвергнуться кибератаке может практически каждый. Несмотря на все предостережения со стороны государства и памяток от ИБ-экспертов, количество целевых фишинговых атак в России уже увеличилось на 32% в первые три месяца 2025 года по сравнению с аналогичным периодом прошлого года. Атаки с использованием ИИ и вредоносных Android-приложений, которые имитируют легитимные, вошли в топ-5 самых распространенных киберинцидентов.

В общем, угрозы постоянно растут, а вот киберобразованность населения — к сожалению, нет.

Люди игнорируют угрозы

Чтобы сэкономить вам и себе время, не буду в сотый раз рассказывать, какие бывают киберугрозы (это вы можете почитать на нашем сайте в Базе знаний или Блоге, да практически везде). Пройдусь по самым верхам для бизнеса и рядовых юзеров.

Топ-3 косяка компаний

Про фишинг, пароли, ошибки и уязвимое или не обновленное ПО, всем, надеюсь, сразу понятно. Теперь более предметно о рисках:

  1. Отсутствие иерархии доступа к данным. Все сотрудники имеют доступ «на всякий случай», никто не контролирует, кто скачивает файлы, кто куда передает базы данных. Помним, что большинство серьезных утечек происходят не от внешних хакеров, а изнутри — и когда это уже случилось, неважно, случайно-неслучайно. Чем меньше контроль, тем выше риск.

  2. Отсутствие шифрованных бэкапов. Данные хранятся в открытом виде на серверах, в облаке, в базе данных, в архиве бэкапа. Иногда вместе с паролями. Ну такое себе.

  3. Отсутствие защиты в тестовых средах и песочницах. Больше касается среднего и крупного бизнеса. Копии продукта разворачиваются в виртуале, но не защищаются извне. Что плохо приколочено — будет украдено, вопрос времени. Сюда же дешевые хостинги без нормальной безопасности у малого бизнеса (что уж говорить про защиту от DDoS, которая зачастую там просто отсутствует как класс).

Топ-3 косяка юзеров

Про безопасные пароли даже не будем начинать, все равно это бесполезно (и каждый год исследования показывают одно и то же: самые популярные пароли у россиян это 123456, qwerty и тому подобная красота).

  1. Бэкап на то же самое устройство или флэшку, а не в облако. При атаке шифровальщика или даже просто ситуации, когда жесткий диск сгорел, пропадает все. Невероятно. Кто мог подобное предположить! Делайте бэкапы по золотому правилу 3-2-1: 3 копии данных (основная + 2 резервные), 2 разных типа носителя (например: SSD + облако), 1 копия вне помещения/сети (например, облачный бэкап).

  2. Любые ответы на фишинговые письма, даже в шутку, даже если не кликаете по ссылкам. Молодец, ты подтвердил, что почта активна, читается человеком, и у тебя есть привычка отвечать. То же самое со звонками и мессенджерами.

  3. Эмоциональная внушаемость. Жадность (подарки от маркетплейсов, распродажи), страх («ваш аккаунт заблокирован, перейдите по ссылке, чтобы исправить это»), жалость («помогите ребенку, собачке, незнакомцу»). Интернет непрерывно бомбардирует нас эмоциональными выстрелами, нужно уметь держать свою голову в холоде.

Почему люди игнорируют правила ИБ

Как отлично сформулировали еще 25 лет назад в книге «Securing Java» IT-эксперты Гари Мак-Гроу и Эдвард Фельтен:

Если пользователям дать выбор между пляшущими свиньями и безопасностью, они всегда выберут свиней.

То есть, если человек хочет получить желаемый контент, его не остановят никакие предупреждения антивируса и других программ безопасности.

Журналист Марк Потье в 2009 году, полемизируя с цитатой, высказал интересную мысль, почему дело обстоит именно так:

[Эта ситуация возникает, потому что] пользователям никогда не предлагают безопасность, ни саму по себе, ни как альтернативу чему-либо. Им предлагают длинный, сложный и постоянно увеличивающийся набор советов, правил и инструкций, который никогда не обещает безопасности, но вместо нее несет туманные предположения об уменьшении риска.

Мне кажется, это отличное наблюдение. В конце концов кто читает все эти списки, написанные бюрократическим языком? Вы должны, вы обязаны, непременно надо, еще угрожают потом штрафами от государства, пугают утечками, заставляют чувствовать себя неполноценно, если вы не будете постоянно выполнять кучу сложных, времязатратных действий (которые все равно в итоге не гарантируют полной безопасности!).

Понятно, что многие пользователи игнорируют правила ИБ уже просто из чувства внутреннего протеста, который могут даже не осознавать. Ах вот так ты про меня думаешь, что я кибернеграмотный? Я тогда вообще твои советы все игнорировать буду. И игнорирует (а потом страдает).

Как с этим бороться? Ну, например:

  • Наверное, надо экспериментировать с тоном статей и инструкций по ИБ, который сейчас уже стал клишированным и неинтересным. Надо нащупать, как сделать, чтобы это давало эффект, а не просто заниматься формальной отпиской.

  • Может быть, стоит поучиться чему-то у медиков и писать скорее наглядные кейсы, какой кошмар бывает от элементарного несоблюдения гигиены (в данном случае цифровой) — и как просто было бы этого избежать.

  • Ввести новую этику откровенности, где утечки данных или другие проблемы – это не что-то постыдное, что надо спрятать, а серьезная угроза, компания столкнулась и таким-то образом вышла из ситуации.

А вы что думаете?

Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780, ERID: 2Vtzqw3r3zP

Показать полностью 1
11

Вредные киберпривычки на работе: как не стать головной болью для отдела безопасности

Стикер с паролем на мониторе, любимые игры «3 в ряд» на рабочем компьютере и привычка отойти попить кофе, не заблокировав ПК, — классика офиса и отличный повод отделу информационной безопасности пригласить тебя на профилактическую беседу.

Разбираем привычки, которые ставят под угрозу безопасность компании. Будет забавно и познавательно.

Вредные киберпривычки на работе: как не стать головной болью для отдела безопасности Информационная безопасность, Пароль, Длиннопост, Блоги компаний

Надежный пароль — первый шаг к безопасности. Даже в подземелье.

Один пароль на все случаи жизни

«Да он у меня сложный — с цифрами: Qwerty123!»

Если пароль от корпоративной почты, Zoom, рабочих сервисов, облачного хранилища с фотографиями любимого котика и личных аккаунтов у тебя одинаковый, — в опасности сразу все. Стоит хакерам узнать его, и жизнь в сети придется начинать с нуля.

Как должно быть:

  • Придумай отличающиеся сложные пароли из разных букв и цифр (у нас даже есть инструкция, как это сделать) для каждого сервиса. Даже если хакеры узнают один из них, другие аккаунты останутся в безопасности.

  • Используй менеджер паролей: с ним нужно запомнить только один сложный пароль от самой программы. Все остальное она сделает за тебя.

  • Включай двухфакторную аутентификацию, где это возможно. Это когда при входе нужно дополнительно ввести код из SMS или приложения. Даже если кто-то узнает твой пароль, без второго фактора войти не получится. Телефон всегда под рукой — это удобно и надежно.

Сначала кликнул, потом подумал

«Это точно ты на этом фото? Посмотри срочно, там такой ужас!»

Любопытство — не порок, но лучший друг хакеров. Сегодня фишинговые письма выглядят даже убедительнее настоящих. Поддельный логотип, правдоподобный адрес, формальный стиль — и вот ты уже кликаешь на ссылку, которая обещает выигрыш в лотерее, новую корпоративную политику или шокирующее фото. А дальше — доступ к твоим аккаунтам, а в худшем случае и к внутренней сети компании, уже у злоумышленников.

Как должно быть:

  • Всегда проверяй адрес отправителя. Не доверяй только имени, смотри должность отправителя или обрати внимание на обезличенность сообщения, это тоже один из признаков фишинга .

Вредные киберпривычки на работе: как не стать головной болью для отдела безопасности Информационная безопасность, Пароль, Длиннопост, Блоги компаний

Почти бинго: странная почта, сжатые сроки, подозрительная ссылка и обещание золотых гор.

  • Не открывай вложения и не переходи по ссылкам, если письмо выглядит хоть немного подозрительно.

  • Если сомневаешься в отправителе, спроси у кого-нибудь из отдела безопасности. Лучше перестраховаться.

  • Не поддавайся эмоциям. Страх, паника, азарт — любимые инструменты злоумышленников. Спокойствие и рациональность — твоя защита.

На этой флешке точно что-то интересное

«О, на ней еще какие-то файлы есть! Сейчас проверим»

Любая неизвестная флешка может быть троянским конем и содержать вирусы, которые «переедут» в систему под видом отчета от бухгалтерии или нового регламента работы.

Как должно быть:

  • Не подключай неизвестные носители. Тем более на рабочем компьютере.

  • Проверяй устройство антивирусом при любом подключении.

  • По возможности лучше отказаться от флешек в пользу облачных решений.

Рабочий компьютер не для кино и игр

«Ну а что, я только одну серию и сразу обратно в Excel»

Скачал игру, зашел на сайт посмотреть сериал или загрузил очень нужную программу, без которой YouTube не работает — и подарил доступ в рабочую сеть злоумышленнику. Корпоративный компьютер — не для развлечений. Любое «левое» ПО или небезопасный сайт может стать лазейкой для хакеров.

Вредные киберпривычки на работе: как не стать головной болью для отдела безопасности Информационная безопасность, Пароль, Длиннопост, Блоги компаний

Теперь на рабочем компьютере работает ютуб. А всё остальное — нет.

Как должно быть:

  • Разделяй работу и отдых.

  • Не устанавливай неизвестные программы без согласования с отделом безопасности.

Не блокировать компьютер

«Ща только кофе налью, никто ж не тронет»

Пока ты идешь за кофе, кто-то может пройтись по важным чатам, почте или документам. Если это коллега с чувством юмора — жди мем на рабочем столе. А если нет — последствия могут быть куда серьезнее.

Как должно быть:

  • Всегда блокируй экран, даже если уходишь на минуту.

  • Включи автоматическую блокировку экрана через 3–5 минут бездействия.

Скинь в Telegram, потом удалим

«Да ничего страшного, тут же все свои»

Никогда не передавайте в общих чатах чувствительную информацию. Даже если вы ее потом удалите, все можно восстановить, если постараться. Особенно, если в чате много людей — кто-то из них вполне может оказаться не тем, за кого себя выдает. Никогда не передавайте в общих чатах чувствительную информацию. Даже если вы ее потом удалите, все можно восстановить, если постараться. Особенно, если в чате много людей — кто-то из них вполне может оказаться не тем, за кого себя выдает.

Вредные киберпривычки на работе: как не стать головной болью для отдела безопасности Информационная безопасность, Пароль, Длиннопост, Блоги компаний

О, наконец не только мемы с котами, но и чей-то пароль.

Как должно быть:

  • Никогда не передавай пароли, коды и другую чувствительную информацию в открытых чатах.

  • Используй защищенные внутренние каналы или корпоративные инструменты для обмена данными.

  • Если кто-то пишет «я из техподдержки, скинь логин/доступ» — уточни, кто это и откуда. Лучше переспросить, чем разбираться с последствиями.

Обновления? Потом как-нибудь

«Если долго тянуть с обновлением Windows, можно дождаться следующей версии»

Пока ты откладываешь обновление, злоумышленники уже изучили уязвимость, которую оно закрывает, и вовсю ей пользуются.

Как должно быть:

  • Обновляй операционную систему и программы сразу, как только выходит апдейт.

  • Не бойся включать автоматические обновления — они закрывают найденные уязвимости.

  • Перезагрузиться пару раз — не страшно. А вот игнорировать апдейты — очень даже.

Мини-чеклист: что точно НЕ стоит делать

Кажется, что такие ошибки не может допустить ни один вменяемый человек. Но стоит отвлечься или поспешить — все может произойти Наш мини-чеклист поможет напомнить, чего точно не стоит делать — ни дома, ни в офисе:

Вредные киберпривычки на работе: как не стать головной болью для отдела безопасности Информационная безопасность, Пароль, Длиннопост, Блоги компаний

Безопасность начинается с привычек

Киберугрозы — часть нашей цифровой реальности. И часто все начинается с мелочи: клика не туда, простого пароля или случайно открытого файла в странном письме.

Хорошая новость: привычка блокировать экран, проверять отправителя или использовать разные пароли со временем становятся такой же нормой, как пристегиваться в машине.

Делись в комментариях своими историями, как пытались обмануть тебя или твоих близких. Возможно, это поможет другим не попасть на удочку кибермошенников.

Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780, ERID: 2VtzqwkA5Zh

Показать полностью 4
50

DDoS, Deepfake и дичь: чего ждать от киберугроз в этом году

Все уже взломано и слито — но станет веселее

Ваши данные уже продавались по три круга — этим не удивить. Только за прошлый год в сеть слили более 1,5 миллиарда записей с личной информацией россиян. Но 2025 показывает, с какими «приколами» (не очень-то прикольными) нам еще предстоит столкнуться. Теперь хакеры — с ИИ, при помощи которого они в два клика создают вредоносное ПО, ищут дыры в защите компаний, и все это обходится им бесплатно.

DDoS, Deepfake и дичь: чего ждать от киберугроз в этом году Информационная безопасность, Длиннопост, Deepfake, Искусственный интеллект, Блоги компаний

Как же долго мы пытаемся отучить наших бабушек и дедушек верить в пришельцев на тех самых видео в качестве 240p, где по трясущемуся кадру плавно двигается картинка летающей тарелки. И вот выходит Veo 3 от Google и усложняет эту задачу до уровня «хардкор». При просмотре видео, которые он создает, ощущаешь себя той самой бабушкой, не способной отличить фейк от реальности. Да и сами действующие лица в этих сгенерированных роликах зачастую бабушки из русских деревень, рассекающие верхом на бегемоте.

Что кошмарит кибербез в 2025 больше всего?

«Я не боюсь того, кто изучает 10 000 различных ударов. Я боюсь того, кто изучает один удар 10 000 раз» — Брюс Ли.

Так и с DDoS-атаками. Пока ИИ-инструменты набирают обороты, злоумышленники не забывают про золотую классику, которая все так же эффективна. Об этих атаках и поговорим.

1. DDoS: заноза в заднице, которая в 2025 стала только больше

За последние пять лет интернет изменился колоссально. С 2020 по 2025 годы объемы трафика выросли почти в три раза — с 400 эксабайт в месяц до более 1000 эксабайт. Это больше, чем за весь предыдущий десятилетний период вместе взятый. Чтобы понять масштабы, о которых идет речь, скажем, что 1 эксабайт равен миллиарду гигабайт!

Основой такого развития трафика стала, в первую очередь, пандемия. А вместе с ней удаленка, взрывной рост видеоконтента, стриминга, онлайн-игр и умных устройств. Мир перешел на 5G, а вместе с ним на постоянную передачу терабайт данных в реальном времени.

Вместе с трафиком резко выросла и теневая сторона интернета — количество DDoS-атак с 2020 по 2025 увеличилось более чем в 2,5 раза. Причем это не просто рост по числу атак, но и по их мощности: сегодня одни из крупнейших атак превышают 3–5 Тбит/с, а это офигеть как много! Еще пять лет назад самые страшные прогнозы были меньше этих цифр.

Еще недавно DDoS-атаки были масштабной задачей: накопить приличную сумму денег, найти исполнителя с мощным ботнетом, который был далеко не у всех, проанализировать вручную самые уязвимые места жертвы, подобрать тайминг, когда ей будет сложней всего отразить атаку, нажать кнопку «ПОГНАЛИ!» и надеяться, что сработает. А что теперь?

Ботнеты стали сервисами, и воспользоваться ими можно так же легко, как заказать еду в ресторане. Раньше приходилось искать по теневым (и не очень) форумам исполнителей, которые за определенную сумму проведут атаку на выбранную вами цель. Сейчас все иначе: достаточно найти бота в одном из мессенджеров, указать атакуемый ресурс, выбрать мощность DDoS-атаки и оплатить ее. Просто, как заказать еду с доставкой.

Только если раньше это было «тупое бомбилово» по ресурсу, то с применением ИИ все сильно поменялось. Умные алгоритмы анализируют инфраструктуру жертвы и выявляют уязвимые места, атака на которые будет максимально профитной. Кроме этого учитывают, в какое время суток сложней всего отражать нападение и направляют удар туда, где его меньше всего ждут. Все это можно было делать и раньше, но вручную и имея внушительный опыт хакинга. А стоимость такой услуги влетала в копеечку.

2. Атаки стали чаще, цели — мельче, эффективность — выше

Можно атаковать цель напрямую, а можно — обойти фронтальную защиту и вывести из строя критичный вспомогательный сервис. Например, положить систему, отвечающую за работу электронных пропусков — и сотрудники просто не смогут попасть в офис. Или парализовать облачную бухгалтерию — и компания «встанет» в день выплаты зарплат.

Если основная инфраструктура жертвы хорошо защищена — атакуют ее подрядчиков и обслуживающие сервисы: эквайринг, платформы документооборота, провайдеров связи, логистов или даже компанию, которая привозит воду и печенье в офис. Пусть сотрудники устроят бунт из-за их отсутствия! Иногда достаточно выключить «мелочь», чтобы сломать большую систему.

За DDoS часто скрывают другие атаки: шифровальщиков, стилеры, шпионское ПО, эксплуатацию уязвимостей в обновлениях и все, на что только хватит фантазии у злоумышленников. Выглядит это примерно также, как когда злодей в фильме устраивает подрыв соседнего от банка здания и пока все этим отвлечены — под шум и суету проделывает дыру в хранилище и выгребает из него все деньги.

3. IoT: умный дом — тупая защита

Огромное количество IoT-устройств, особенно из Китая, собираются на коленке без внедрения каких-либо базовых средств защиты и обновлений. Эти гаджеты рождаются примерно так же, как орки в Мордоре — вышли с конвейера и в бой! Работаем на количество, а не качество. Никто не меняет заводские пароли, которые злоумышленники уже вводят по памяти, не устанавливает обновления, даже если они есть. Такие устройства массово подключены к сети, и это — база любого ботнета.

4. ИИ атаки: теперь злоумышленникам не надо составлять фишинговые письма вручную, за них это делает ИИ, и намного эффективнее

DDoS, Deepfake и дичь: чего ждать от киберугроз в этом году Информационная безопасность, Длиннопост, Deepfake, Искусственный интеллект, Блоги компаний

Звонить рандомной бабушке и выдавливать из себя голос 15 летнего внука, будучи 40-летним мужиком, уже не модно (хоть и не менее популярно). Теперь AI заменит твое лицо и голос на реального внука, да так, что можно спокойно звонить по видеосвязи в Whatsapp. И нет, это не теоретические фантазии, уже есть реальные кейсы и вот один из них.

Сотруднику компании из Гонконга (название не разглашается) пришло фишинговое письмо от лица финансового директора с просьбой провести денежные операции. Чтобы развеять сомнения, «директор» пригласил его на видеоконференцию.

Подключившись к ней, сотрудник увидел финансового директора и других коллег, лица которых были ему знакомы. На протяжении недели проходили созвоны, на которых фейковое руководство говорило, куда именно переводить деньги. В сумме со счета компании ушло $26,6 миллионов в пользу мошенников.

Только на вторую неделю сотрудник начал подозревать неладное и обратился в головной офис, где узнал, что никаких встреч компания не организовывала.

В ходе расследования полиция выяснила, что мошенники применили дипфейк-технологию, чтобы заменить свои голоса и лица на сотрудников компании, используя общедоступные аудио- и видео-материалы.

Можете представить лица тех, кто расследовал этот случай? Думаю они были примерно такие:

DDoS, Deepfake и дичь: чего ждать от киберугроз в этом году Информационная безопасность, Длиннопост, Deepfake, Искусственный интеллект, Блоги компаний

Фишинг сейчас это не просто рассылка однотипных писем. Злоумышленники используют продвинутые языковые модели в своих целях. ИИ настраивается на ведение диалога, если жертва решит ответить, зачастую генерируя голосовые сообщения, и делают это лучше, чем подставной сотрудник безопасности банка из ближайших мест отбывания.
Да и фишинговые сайты уже не надо верстать вручную, ИИ сделает это по одному запросу и это будет полноценный рабочий ресурс для заработка на невнимательных пользователях.

Почему это опасно? Потому что промышлять подобным могут даже школьники — и делают хорошо.

5. Люди — все так же слабое звено любого кибербеза

Один и тот же пароль везде (123qwerty и дата рождения по-прежнему живы). Отсутствие базовой цифровой гигиены, тотальное доверие всему написанному или сказанному мошенниками. Технологии развиваются быстрей, чем мы учимся различать скам.

Большинство людей сосредотачиваются на «сложности» пароля: заглавные буквы, цифры, специальные символы. Это эффективно. Но намного важнее — длина ( кроме случаев когда пароль от цифры 1 до 9 и зеркально). Длинный пароль существенно увеличивает время, необходимое для его подбора.

Например, пароль P@ssw0rd123! выглядит сложным, но его все еще можно быстро узнать с помощью программ для подбора паролей. А вот фраза ячитаюпикабуповечерамс21по23часа гораздо надежнее за счет своей длины, даже если не содержит спецсимволов, и при этом легко запоминается.

Как с этим всем бороться?

1. Устраняем главную ошибку — недостаточную оценку угрозы

Кому я нужен? Меня это не коснется! Мои сотрудники не тупые, чтобы повестись на фишинг. Это выливается в то, что приходится тратить намного больше денег во время кибератаки или же на устранение ее последствий, чем позаботиться об этом заранее.

2. ИИ не только ломает, но и защищает

Нейросети используются для обнаружения подозрительной активности, как только она начинается. Автоматического ответа на атаки (например, изоляции зараженного устройства). Предиктивной аналитики: ИИ может предсказать, где вероятность взлома выше всего.

Чуть ранее мы писали о том, как злоумышленники используют ИИ для поиска уязвимостей в инфраструктуре жертвы. Но то же самое могут делать и компании, устраняя бреши в безопасности до того, как их найдут злоумышленники.

3. Zero Trust (концепция нулевого доверия) раньше была модной идеей, теперь — необходимость.

Это политика, суть которой — не доверять вообще никому. Ни сотрудникам, ни их ноутбукам, ни кофемашине, если уж на то пошло. Доступ — строго по минимуму, верификация — постоянно.

Если офис-менеджер занимается закупками печенек и кофе, то нет никакой причины давать ему доступ к репозиторию.

Почему это важно? Потому что если такой офис-менеджер случайно станет жертвой фишинговой рассылки, то злоумышленник получит ровно столько, сколько было прав у хакнутого сотрудника. То есть в идеале — ничего (кроме списка поставщиков вкусного печенья.) В худшем случае — доступ ко внутренним системам, почте, финансам, а дальше уже и до шифрования всей сети рукой подать.

Помните взлом Twitter в 2020 году? Мы напомним. Тогда Илон Маск внезапно решил раздать деньги в крипте всем желающим. Он написал твит: «Отправьте мне биткоинов на тысячу долларов, и я верну вам две тысячи. Это предложение действительно только в течение 30 минут»

DDoS, Deepfake и дичь: чего ждать от киберугроз в этом году Информационная безопасность, Длиннопост, Deepfake, Искусственный интеллект, Блоги компаний

Потом то же самое написали Билл Гейтс, Обама, Apple, Uber, Канье Уэст, Байден и куча других больших имен — с их реальных, верифицированных аккаунтов. Паника. Twitter все блокирует, журналисты сходят с ума, ИТ-отдел сгорает от стыда.

Кто вообще поведется на такой очевидный скам, спросите вы? Нуу... За те несколько часов, пока висели твиты от имени Маска, Гейтса и других, на указанные биткоин-кошельки скинули около 120 000 долларов.

Что выяснилось? Сотрудник Twitter клюнул на фишинг — ему прислали ссылку на поддельный сайт с просьбой посмотреть на технический отчет с ошибкой. Работник залогинился, и злоумышленники получили его доступы. А у этого сотрудника почему-то были полномочия управлять аккаунтами почти всей элиты планеты. И после этого компании убеждают нас, что не имеют доступа в нашим учеткам и они даже не могут читать переписки. Охотно верим!

Вот тут и заходит Zero Trust. Потому что при грамотной системе «нулевого доверия» у рядового спеца не должно быть возможности в принципе делать что-то с чужими учетками — даже если его скомпрометировали. Один человек, один набор прав — только то, что нужно по работе. Все остальное — мимо.

Кстати, а кто все это устроил? Не смейтесь, но крупнейшую корпорацию хакнул 17-летний пацан из Флориды. Не гений, не крутая хакерская группировка. Просто школьник, который раньше разводил людей в Minecraft — продавал им виртуальные шмотки и исчезал с деньгами. Позже он освоил SIM-свопинг (подмену SIM-карт, чтобы перехватывать коды от аккаунтов) и тусовался на подпольных форумах, где торгуют редкими никами и крадеными аккаунтами.

Взлом Twitter стал его звездным часом. И, по совместительству, началом уголовного дела. Ниже, кстати, фото этого школьника. Ему бы в кино сниматься, а не скамом заниматься.

DDoS, Deepfake и дичь: чего ждать от киберугроз в этом году Информационная безопасность, Длиннопост, Deepfake, Искусственный интеллект, Блоги компаний

Вывод? Если у тебя нет Zero Trust, то хакнуть тебя может даже подросток, если умеет убедительно говорить и знает, как сделать фейковый сайт.

4. Настройка защиты по повадкам

Системы безопасности обучаются нормальному поведению сотрудника (например, когда он входит в систему, откуда, что делает) и ловят отклонения.

Например, если бухгалтер в 3:47 ночи заходит в систему с IP-адреса другой страны и скачивает отчеты за весь год — тревога и автоматическая блокировка действия.

5. Эффективные методы обучения сотрудников

Долой унылые лекции! Запускаем фишинговую рассылку по сотрудникам и смотрим, кто попался. Потом собираем всех и рассказываем, какие были бы последствия будь эта атака настоящей. Практика лучше теории.

6. Облачная защита инстраструктуры – база любого бизнеса

Установить собственный ЦОД, нанять штат специалистов, настроить фильтрацию трафика и делать регулярные апгрейды, как правило, могут позволить себе только крупные корпорации вроде Google и Apple. Поэтому существуют специализированные компании, которые предоставляют эту услугу в облаке. Фактически весь трафик, который направляется на ваш сайт или сеть, проходит через системы защиты специализированного провайдера.

Да, платно, зато не надо будет с горящей задницей головой во время DDoS-атаки срочно-обморочно искать кто защитит от атаки в момент ее проведения. Денег за то время, пока ваш ресурс «лежит» под атакой, теряется как правило больше, чем если заранее подключить хотя бы базовую защиту.

DDoS, Deepfake и дичь: чего ждать от киберугроз в этом году Информационная безопасность, Длиннопост, Deepfake, Искусственный интеллект, Блоги компаний

Подытожим

Стоит задуматься хотя бы о минимальной защите от DDoS-атак, даже если уверены, что ваш небольшой сайт не будет интересен злоумышленникам или конкурентам. Вторые, как раз, любят «душить» ресурсы конкурентов с самого их запуска. А если у вас есть штат сотрудников, то стоит обучить их базовым правилам информационной безопасности, чтобы они не выдали доступ.

Если проект подрастает, то можно задуматься о более продвинутых средствах защиты. Например, заказать аудит безопасности сайта и инфраструктуры. Опытные специалисты составят список всех фактических и предполагаемых уязвимостей и подскажут, как их устранить.

А в общем и целом — нужно не забивать на кибербезопасность, поглядывать на то, что происходит в этой сфере и регулярно принимать меры для обеспечения сохранности своих данных.

Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780, ERID: 2VtzqxUqMsU

Показать полностью 5
8

Как ИБ-отдел «ловит» сотрудников на фишинге: смешно, больно и поучительно

Как ИБ-отдел «ловит» сотрудников на фишинге: смешно, больно и поучительно Фишинг, Информационная безопасность, Reddit (ссылка), Длиннопост, Блоги компаний

Привет! Это Олег, специалист по информационной безопасности. В этом тексте расскажу, как и зачем компании пытаются подловить своих сотрудников, покажу реальные примеры. Погнали!

Сколько ни пиши статей в интернете, с инструкциями, с примерами, сколько не объясняй людям — ну не кликай ты, не кликай на эту ссылку/вложение — все равно кликают, а потом удивляются последствиям. Компании с развитым ИБ-штатом уже давно пытаются справиться с эпидемией фишинга тестовыми рассылками для сотрудников, которые имитируют такие письма. Получается иногда забавно, иногда стремно. Об этом и поговорим.

История из жизни

Несколько лет назад я работал в достаточно крупной государственной организации (не буду ее называть, но, скажем так, в новостях вы время от времени про нее слышите). Встала проблема фишинга. Гендир собрал в зуме все руководство, менеджеров, объявил им: мол, посовещался с отделом информационной безопасности (ИБ), и решили устроить тестовый месяц фишинга, имейте в виду, потом отчитаетесь, кто из сотрудников попался, проведем для них специальный тренинг.

Проходит неделя, все как обычно, работаем. Время от времени в почтовый ящик падают такие, довольно небрежно сделанные, письма якобы от руководства с требованием срочно перейти по ссылке или открыть вложение  — ну мы с коллегами только рофлим. Проходит еще пара дней — и мы узнаем, через разговоры в курилке, что на этот фальшивый коряво сделанный фишинг попалась замруководителя, у которой вся финансовая и кадровая инфа по организации. Которая присутствовала на этом самом собрании в зуме.

О чем нам говорит эта история? Прежде всего о том, что ИБ-тесты на фишинг нужны, потому что люди реально на них попадаются. Даже руководители (это подтверждается и другими исследованиями). Что эта угроза реальна и нужно с ней работать.

Коллеги из других компаний сообщают, что у них тестовый фишинг практикуется в разных, иногда достаточно креативных формах. Иногда это письмо о том, что там нужно пройти какой-то опрос обязательно по проверке безопасности. Или под видом расчетных листов (которые присылает бухгалтерия после получения ЗП). Или, допустим, письмо было без предупреждения с названием, которое похоже на обычный внутрикорпоративный контент, но не совсем — без стандартной подписи, внутри были ссылки на внешние ресурсы, был запрос на действие, не связанное напрямую с рабочими обязанностями.

Все еще популярен жанр письма от самого руководителя компании — здесь тревожность от такого высочайшего внимания обычно застилает глаза, чтобы понять, что это фишинг. В любом случае при тестовом фишинге проверка идет на внимательность: правильный ли E-mail отправителя, есть ли ошибки в должности или имени, подозрительна ли ссылка, на которую переходишь, и так далее.

Получается, правда, не у всех удачно.

Рассмотрим несколько занимательных примеров

Праздничная премия с подвохом

В 2020 году перед Рождеством сотрудники GoDaddy получили рассылку о том, что год для компании был рекордным, и каждому из них будет выплачена специальная премия в размере $650. Составители письма для большего доверия использовали и контекст ковидного локдауна: в послании было сказано, что эта премия будет компенсацией за отсутствие ежегодного корпоратива.

Через пару дней все, кто кликнул на ссылку в письме — более 500 человек — получили письмо от ИБ-отдела компании, что вместо премии, которой не существует, они теперь будут обязаны повторно пройти тренинг по противодействию социальной инженерии.

Излишне говорить, насколько были «рады» такой заботе со стороны руководства сотрудники, уже запланировавшие, на что потратить премию.

Как ИБ-отдел «ловит» сотрудников на фишинге: смешно, больно и поучительно Фишинг, Информационная безопасность, Reddit (ссылка), Длиннопост, Блоги компаний

Награда за тяжкий труд

Похожая история произошла в апреле 2022 года, когда Орегонский госпиталь разослал сотрудникам фишинговый e-mail, в котором при переходе медработники видели обещание вознаградить их за тяжкий труд по борьбе с ковидом в размере $7500.

В реальности в период двухлетней бесконечной смены — во время которой у многих получивших письмо умерли от ковида родственники и коллеги — госпиталь таких щедрот не проявлял. Поэтому многие «провалившие» фишинговый тест сочли его издевательством и циничным надругательством над их надеждами на что-то хорошее со стороны руководства.

Как ИБ-отдел «ловит» сотрудников на фишинге: смешно, больно и поучительно Фишинг, Информационная безопасность, Reddit (ссылка), Длиннопост, Блоги компаний

Очень серьезное отношение

Некоторые конторы сильно увлекаются темой тестового фишинга и относятся к его результатам слишком серьезно, прямо на грани с неэтичным поведением.

Как думаете, когда вам присылают фишинговые письма при собеседовании на новую работу, это еще нормально?

А когда — в случае провала такого теста — ваше фото вывешивают на всеобщее обозрение на Стену Позора (Wall of Shame)?

А если за провал такого теста вас увольняют?

Насколько вообще все это эффективно?

Честно говоря, есть некоторые сомнения.

Университет Сан-Диего в 2025 году провел исследование, проанализировав поведение почти 20 тысяч офисных работников на протяжении 8 месяцев эксперимента с тестовым фишингом. Оно показало — количество реальных инцидентов сократилось всего на 2%, в пределах статистических колебаний.

Более того, была выявлена прямая зависимость (см. диаграмму ниже): чем дольше шла кампания по тестовому фишингу, тем больше людей на нее попадались. Исследователи делают из этого довольно мрачный вывод, что «при достаточном времени и усилиях злоумышленники, скорее всего, смогут обмануть большую часть сотрудников организации, в том числе тех, которые сумели избежать фишинга ранее».

Как ИБ-отдел «ловит» сотрудников на фишинге: смешно, больно и поучительно Фишинг, Информационная безопасность, Reddit (ссылка), Длиннопост, Блоги компаний

Еще одно исследование Университета Цюриха вообще пришло к парадоксальному выводу, что корпоративный тестовый фишинг может повышать количество реальных инцидентов, так как у сотрудников формировалось ощущение ложной безопасности, и они принимали реальный фишинг за тестовый и просто хотели посмотреть, что там для них написал отдел ИБ.

Следует ли из этого, что нужно перестать делать тестовый фишинг?

Конечно нет. Да, люди продолжат упорствовать и совершать ошибки, кликать на «письма счастья» и легкомысленно относиться к предупреждениям ИБ — но это как раз задача отдела информационной безопасности, просвещать и терпеливо взращивать в сотрудниках цифровую осведомленность. В конце концов, систематическое обучение антифишингу еще достаточно молодая дисциплина, которая пока просто не принесла свои плоды.

При работе с сотрудниками, санкции, судя по всему, неэффективны, они приведут только к скрытности и негативу. Не говоря уже о том, что на фишинг попадаются в одинаковой степени и руководители, и рядовые работники, поэтому такие меры будут выглядеть лицемерно.

А вот какая-нибудь позитивная мотивация (например в виде символического бонуса для самого внимательного) могла бы быть кстати. Нужен баланс: гуманные, регулярные тренинги + честная обратная связь и доверие.
Спасибо что прочитали! Расскажите, было ли у вас в компании подобное и кликали ли вы сами на «письма счастья» от ИБ?

Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780, erid: 2VtzquoM1dg

Показать полностью 4

Кто вас взломает завтра: краткая шпаргалка для тех, кому не все равно

Кто вас взломает завтра: краткая шпаргалка для тех, кому не все равно Обучение, Киберпреступность, Полезное, Длиннопост, Блоги компаний

Привет, меня зовут Олег, я эксперт по информационной безопасности из компании DDoS-Guard. Я поставил перед собой задачу рассказать Пикабу, в каком удивительном мире мы все живем — и как в нем выжить в 2025 году. Эти советы помогут защитить бизнес, но и рядовым сотрудникам будет интересно и полезно их почитать. Попробую, а вы расскажите мне в комментариях, насколько хорошо получилось. Итак, поехали!

Да здравствует страшное будущее!

Мы живем в мире, который цифровизировался настолько, что и не снилось самым смелым фантастам прошлых десятилетий. Самые отважные фантазеры вроде Уильяма Гибсона предполагали, что контакт с интернетом будет прямой, типа воткнуть штырь в разъем сразу в шее и наслаждаться. Представьте неотключаемую рекламу сразу у вас в голове — или посмотрите «Черное зеркало», первую серию 7 сезона.

Но получилось еще интереснее.

Во-первых, мы все теперь стали как бы призраками, и цифровые двойники живут независимо от нас. Это наши персональные данные, в которые входят не только ваш номер паспорта и телефон, но и портрет того, что вы любите, чем интересуетесь, на что кликаете. Этих двойников собирают в базы, продают, перепродают, на них обучают технологии — и все это без вашего ведома и разрешения!

Какие из этого следствия? Фишинг стал легким, как никогда прежде (особенно благодаря ChatGPT) — любой чувак может прикинуться вами и попросить денег у ваших родственников, создав идентичный аккаунт. Или от вашего имени написать очень убедительное письмо коллегам по работе. Или что-то еще.

Во-вторых, теперь к интернету подключено вообще все! Чайники, холодильники, кондиционеры, елочные гирлянды, отвертки, секс-игрушки…В какой-то момент технология IoT (умный дом) была очень модной, и теперь в мире есть миллиарды умных устройств, которые хакеры удаленно взламывают за пару секунд и используют для своих целей. Прекрасно получилось, очень удобно — хакерам. И главное, все это происходит полностью автоматически.

В-третьих проблема в том, что никто не соблюдает нормы кибербезопасности (хотя о них кричат на каждом углу уже и на государственном уровне), и поэтому сегодня что-то взломать легче, чем когда-либо было в истории. И если вы думаете, что это вас не коснется, потому что «да кому вы нужны» — то вы очень смелый и отважный человек (который не прав).

В общем, добро пожаловать в прекрасный новый мир, а теперь разберем, чего бояться и как защищаться.

Кто вас взломает завтра: краткая шпаргалка для тех, кому не все равно Обучение, Киберпреступность, Полезное, Длиннопост, Блоги компаний

Терминаторы красноглазые ходят по интернету

Это, кстати, не метафора, это правда. Основные принципы взлома по сути одинаковы и для компании и для частного ПК/телефона или робота-пылесоса. По интернету непрерывно ходят мириады роботов-парсеров и брутфорсеров — замечательные такие маленькие скриптики, которые постоянно проверяют: а вот тут у вас надежно? А вот тут нельзя ли взломать?

Можете сами провести эксперимент — завести сайт на бесплатном хостинге Wordpress, поставить какие-нибудь простенькие логин и пароль (типа admin/admin12345) и засекать, через сколько сайт будет взломан — на него в лучшем случае загрузят вирус, который будет скачиваться при каждом заходе пользователя на страницу.

Чем это может быть чревато? Если взломали сайт, то с него могут слить все данные, нанести прямой вред посетителям (путем загрузки вируса), ну и нанести коммерческий ущерб за время простоя. Если взломали умный девайс — то он присоединяется удаленно к огромной армии таких же зомби-устройств — так называемым ботнетам. Их используют, как правило, для организации DDoS-атак — об этом расскажем дальше. А если взломали личный аккаунт на каком-то сервисе — все зависит от специфики и фантазии злоумышленника.

Как защититься: для начала можно менять пароли по умолчанию везде, где только можно. Разумеется в этом есть смысл, только если использовать пароль сложнее, чем 12345. А уж если пароль будет длинным и сложным (типа PiK@buUu65536!!!), то шансы, что вас взломают резко стремятся к нулю. Вроде бы просто, правда? Но нет: КАЖДЫЙ ГОД ИБ-специалисты созерцают одну и ту же картину: самые популярные пароли в России (да и в мире тоже, с некоторыми поправками) — 123456, qwerty, 123456789, 12345, qwerty123, 1q2w3e, password, 111111 и тому подобное. Будьте теми самыми 5% людей, которым не все равно на собственную безопасность, сломайте порочный круг!

Армии зомбированных гаджетов атакуют ваше всё

Что такое DDoS-атака? О, это как раз моя область специализации, и я мог бы про это рассказывать бесконечно, но лучше сходите на наш сайт, где все расписано так подробно, как вообще возможно. Технически там много деталей, лучше в двух словах про последствия: ваш сайт перестает открываться, сеть падает, ничего не работает, заказы не идут, клиенты злятся, а руководство в панике (разумеется), потому что непонятно что делать.

Количество DDoS-атак растет каждый год, а количество IP в одной атаке может достигать всех IP небольшой страны типа Исландии. Спасибо большое, устройства умного дома! Теперь интернет полон готовых к действию ботнетов, доступ к которым продают всем желающим, даже школьникам.

Чем это может быть чревато? Да ничем хорошим, репутационными и финансовыми потерями, нервами, потраченным временем и риском того, что инцидент повторится (а он обязательно повторится, если хакеры вас «пощупали» и поняли, что защиты нет).

Как защититься: есть множество полумер, для грамотного использования которых вам понадобится опытный сисадмин, чтобы смягчить урон. Но, честно говоря, против сильной DDoS-атаки вам ничего не поможет, кроме подключения профессиональной внешней защиты.

Кто вас взломает завтра: краткая шпаргалка для тех, кому не все равно Обучение, Киберпреступность, Полезное, Длиннопост, Блоги компаний

Незнакомцы с фальшивым лицом притворяются кем-то близким

Старый-добрый фишинг, любимец всех офисов! Приходит письмо из бухгалтерии или от начальника, или от налоговой (или от ФСБ!) с требованием как можно скорее открыть вложение, там важные правки от разъяренного клиента, или информация о перерасчете зарплаты, или какие-то совсем пугающие штуки (тут злоумышленники подстраиваются под контекст).

Про персональный фишинг тоже понятно: в мессенджер или на почту пишут родственники, пишут знакомые, пишут рекрутеры с сайтов поиска работы, и все чего-то хотят — денег или чтобы вы перешли по ссылке, или чтобы открыли файл.

Всякие футуристические еще штуки, типа deepfake звонков, голосовых или даже видео — они все еще относительно редки, но вполне реальны, и психика нормального человека просто выключается при столкновении с таким хитрым роботическим скамом. Ну как не верить-то своим глазам/ушам?

Чем это может быть чревато? Чем угодно, в зависимости от того, насколько дело серьезное. Фишинг может как ограбить персонально вас, так и впустить хакера в корпоративную сеть, которая потом понесет колоссальные убытки — не лучше ли потратить лишние пять минут на проверку, но не быть потом ответственным за какой-то ад?

Как защититься: использовать секретную технику даосских мастеров, которая называется *барабанная дробь* включение критического мышления! На фишинг может попасться абсолютно любой человек, от работяги до гендиректора — если он не включит мышление. Перед тем, как что-либо сделать (открыть файл из странного письма, перевести кому-то срочно денег, совершить вообще любое действие, которое надо сделать немедленно и которое чревато последствиями) — остановитесь на пять минут и подумайте. А, может быть, мне перезвонить родственнику/начальнику/бухгалтеру и уточнить, они правда мне это присылали? А, может быть, мне позвонить в налоговую и спросить, у них правда есть документ под таким-то номером, который меня касается?

За спрос денег не берут, а вот за доверчивость и невнимательность — да, они как раз основной источник дохода для инфомошенников всех видов.

И не думайте, что ваши сотрудники и коллеги на такое не поведутся: поведутся и еще как, тысячи фишинговых инцидентов происходят в стране каждый день. Отсутствие базовой цифровой гигиены, тотальное доверие всему написанному или сказанному мошенниками — все это надо ликвидировать, проводить тренинги и повышать осведомленность. Лучше всего практическим путем.

Суммируем

  • Повышаем безопасность в самых банальных вещах. Смотрим, где у нас вообще есть пароли — они порой у IoT-устройств, так сказать, в весьма труднодоступных местах! Нет паролей/пароли по умолчанию? Ставим пароли. Стоят простые пароли? Делаем их сложными (не менее 8 символов, цифры, спецсимволы, разный регистр букв). Везде один и тот же пароль? Ставим разные (и используем например менеджер паролей, чтобы он их помнил за нас).

Кто вас взломает завтра: краткая шпаргалка для тех, кому не все равно Обучение, Киберпреступность, Полезное, Длиннопост, Блоги компаний
  • Думаем перед тем, как открыть вложение или перейти по ссылке из подозрительного письма. Помогаем не тупить и сотрудникам: сами запускаем по компании фишинговую рассылку (с безвредным содержанием) и смотрим, кто попался. Потом собираем всех и рассказываем, какие были бы последствия будь эта атака настоящей. Практика лучше теории.

  • Никому на всякий случай не доверяем (из лучших побуждений). Используем политику Zero Trust: если офис-менеджер занимается закупками провизии в офис, то не стоит выдавать ему доступ к репозиторию.

  • Подключаем защиту от DDoS, если вы управляете каким-либо онлайн-проектом, хоть небольшим цветочным магазином. Базовый уровень стоит не так уж дорого, если сравнивать с потенциальным ущербом от атаки и тем, что надо будет с горящей головой во время инцидента срочно-обморочно искать, кто защитит от атаки в момент ее проведения.

  • Повышаем общую образованность. Надо донести до коллег и, главное, до самого себя, что мы живем уже В ДРУГОМ МИРЕ, не том, что даже 10 лет назад. Этот мир цифровой, стремительный, и весьма опасный для тех, кто не шарит за безопасность.

Это все! Спасибо за внимание, хорошего дня и расскажите обязательно в комментах случаи из жизни, как вас взламывали, и чем все кончилось.

Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780

Показать полностью 3

Кибербезопасность для детей: как научить ребенка правилам цифрового мира

Кибербезопасность для детей: как научить ребенка правилам цифрового мира Обучение, Длиннопост, Урок, Блоги компаний

Если вы до сих пор думаете, что ваш ребенок в безопасносности, когда серфит в интернете, то у нас для вас плохие новости. На деле, к сожалению, все совсем не так. Так что зовем на помощь дракона по имени Фаервол, который знает как бороться с хакерами и DDoS-атаками.

Кибербезопасность для детей: как научить ребенка правилам цифрового мира Обучение, Длиннопост, Урок, Блоги компаний

Этот материал можно читать всей семьей — он будет интересен и полезен детям, и взрослым. Обращайте внимание на специальные отметки с огоньком 🔥 — именно там Фаервол делится важными советами по безопасности в интернете. А в конце вас ждет небольшой тест для детей 5–10 лет, который поможет проверить уровень киберграмотности.

Это важно знать каждому родителю

Каждый шестой ребенок сталкивался с онлайн-грумингом — опасной формой общения в интернете, когда взрослый человек втирается в доверие к ребенку. Однако лишь половина из них решалась рассказать об этом родителям. Другое исследование компании выявило не менее тревожные тенденции: 38% детей размещают в сети свои личные фотографии, 24% указывают номер школы, 10% публикуют свой номер телефона, а 2% даже указывают домашний адрес.

Каждый второй школьник в интернете сталкивается с жестокими видеороликами и контентом для взрослых.

Злоумышленники часто знакомятся с детьми в популярных онлайн-играх, чтобы обманным путем получить какую-то чувствительную информацию или завоевать доверие. По статистике, в Roblox ежедневно играет почти 90 миллионов пользователей, треть из них — дети. Еще одна популярная игра — Minecraft — насчитывает более 200 миллионов активных игроков в месяц. 20% пользователей Minecraft — дети.

Во время игры дети особенно уязвимы и доверчивы — это связано с особенностями их психики, которая настроена на обучение и развитие через игру. Чтобы обезопасить ребенка в цифровом пространстве, важно развивать собственную киберграмотность. Онлайн-игры сами по себе не представляют опасности — напротив, они могут способствовать развитию воображения, логического мышления и навыков командной работы. Опасность кроется не в играх, а в людях, которые под видом друзей или сверстников входят в доверие к детям и могут использовать это в корыстных целях.

Кибербезопасность для детей: как научить ребенка правилам цифрового мира Обучение, Длиннопост, Урок, Блоги компаний

Какие опасности в интернете подстерегают детей

Эксперты выделяют три главные опасности для детей в интернете:

1. Опасные незнакомцы
На платформах с играми и чатами, могут встречаться те, кто пытается войти в доверие к ребенку, маскируясь под его ровесника. Такой прием называется кэтфишинг — когда человек притворяется другим. Некоторые из этих людей могут стремиться выманить личные данные, пароли или даже финансовую информацию. Сюда же относятся хакеры и мошенники, которые не выбирают по возрасту: они атакуют всех, у кого слабая защита, включая детей.

2. Цифровая травля
Ребенка могут обижать в переписке, смеяться над ним в групповых чатах или делиться его личными фото без разрешения. В особо тяжелых случаях ситуация может перейти границы закона, особенно если опубликованные материалы носят интимный характер.
Например, кибербуллинг может квалифицироваться по статье 137 УК РФ — нарушение неприкосновенности частной жизни.

3. Ненадежные ссылки и невнимательность
Иногда юные пользователи сами, не осознавая последствий, подвергают себя риску в интернете. Они могут кликнуть на подозрительную ссылку, загрузить вредоносную программу или публиковать личные данные: фамилию, адрес, школу. Без знаний и контроля со стороны взрослых любознательные дети могут попасть в неприятные ситуации с серьезными исходами.

Правила цифровой безопасности: как обезопасить ребенка в интернете

Один из основных советов — поддержание с ребенком открытого диалога. Объясните, какие сайты безопасны, а какие могут нести угрозу. Расскажите, что нельзя делиться личной информацией (адресом дома, школы, отправлять личные фото или пароли) без разрешения «значимых взрослых». Будьте рядом — как союзник, а не надзиратель. Дети должны чувствовать, что к вам можно прийти с любым вопросом. Если ребенок столкнулся с угрозой, он быстрее обратится к взрослому, который не накажет, а поможет.

1. Учите кибергигиене с раннего возраста
Подобно тому, как вы приучаете ребенка чистить зубы, важно с детства прививать цифровые привычки: использовать надежные пароли, не делиться личной информацией, не доверять незнакомцам в интернете.

2. Будьте примером в цифровом поведении
Дети учатся через игру и наблюдение. Если вы сами соблюдаете правила конфиденциальности, не злоупотребляете гаджетами и уважительно общаетесь в сети — они перенимают эти привычки.

3. Настройте родительский контроль — но не ради контроля
Используйте фильтры и временные ограничения не как форму наказания, а как способ обеспечить безопасную среду. Прежде чем что-то внедрить в личные гаджеты ребенка, обязательно объясняйте, зачем нужны те или иные инструменты.

4. Периодически обсуждайте, что происходит в интернете
Создайте атмосферу доверия, в которой ребенок не боится рассказать, если столкнулся с чем-то пугающим, странным или неприятным. Не осуждайте — сначала выслушайте.

5. Следите за цифровыми следами
Объясните, что все, что выкладывается в сеть, может остаться там навсегда. Учите думать о последствиях публикаций, комментариев, фото и видео.

6. Обновляйте устройства и ПО
Устаревшие приложения и операционные системы часто становятся целью киберпреступников. Настройте автоматические обновления на всех устройствах, которыми пользуется ребенок.

7. Научите ребенка распознавать мошенничество
Объясните что такое фишинг, покажите примеры поддельных сайтов, расскажите, что «друзья» с подозрительными просьбами — все это реальные угрозы.

8. Ограничьте доступ к вредному контенту, но не изолируйте от информации
Фильтры — это важно, но не менее важно — развивать медиаграмотность. Дети должны уметь отличать правду от фейков, а конструктивную критику — от травли.

9. Задавайте вопросы и рассуждайте вместе с ребенком
Обсудите конкретные жизненные ситуации: «как бы ты поступил, если бы тебе предложили бесплатный скин в игре в обмен на твой номер телефона?», «видел ли ты или твои друзья подозрительные сообщения в общих чатах?». Дайте ребенку пространство для самостоятельных выводов и рассуждений, если потребуется, мягко направьте его в верное русло, но не осуждайте и не читайте лекции.

Кибербезопасность для детей: как научить ребенка правилам цифрового мира Обучение, Длиннопост, Урок, Блоги компаний

🔥 

1. Береги свои пароли
«Пароль — это как ключ от твоего замка. Не рассказывай его никому, даже друзьям. Сам пароль должен быть длинным, с цифрами, буквами и символами. Например: Зубы_Дракона2025!»

А здесь вы найдете памятку о том, как создать безопасный пароль и не забыть его.

2. Не открывай подозрительные письма и ссылки
«Если письмо выглядит странно или обещает слишком много — не кликай! Лучше спроси взрослого».

3. Защищай свои личные данные
«Имя, адрес, номер школы — это твои секреты. Не выкладывай их в интернет!»

4. Если кто-то ведет себя плохо в интернете — расскажи взрослому
«Кибербуллинг — это плохо. Ты не один — всегда можно обратиться за помощью!»

5. Будь вежливым в интернете
«Даже онлайн важно быть добрым. Ведь за экраном тоже живой человек или дракончик!»

6. Не доверяй незнакомцам в интернете
«Кто-то может притворяться твоим другом, но быть совсем другим. Будь настороже, особенно если этот кто-то очень хочет с тобой встретиться — обязательно расскажи взрослым!»

Интернет — это не только источник рисков, но и хранилище полезных знаний. Здесь можно найти множество отличных ресурсов, которые учат защищать себя в цифровом мире. Один из них — всероссийский образовательный проект «Урок цифры». С его помощью школьники могут пройти специальные уроки и тренажеры, чтобы освоить основы кибербезопасности.

Еще один ценный ресурс — «Цифровой ликбез». Там собраны видеоролики для детей и взрослых на актуальные темы: как защитить детей от мошенников в интернете, справляться с цифровым шумом и безопасно совершать покупки в интернете.

В интернет-журнале «Безопашка» дети вместе с главным героем отправятся в путешествие, где найдут множество интересных и познавательных фактов о компьютерах, информационной безопасности и кибергигиене в формате сказок.

Тест для детей 5–10 лет, который поможет проверить киберграмотность

Кибербезопасность для детей: как научить ребенка правилам цифрового мира Обучение, Длиннопост, Урок, Блоги компаний

Реклама ООО «ДДОС-ГВАРД», ИНН: 9204005780

Показать полностью 4
Отличная работа, все прочитано!