#security_awareness — Public Fediverse posts on home.social

Habr @[email protected] · 2026-03-05 · 09:12 UTC

Фишинг-тесты 2.0: внедряем HADI для предсказуемой безопасности

Вебинары раз в полгода, дорогие видеокурсы, геймификация с баллами и мультики про злобных хакеров — всё это не работает. Могло бы работать, если бы встраивалось в системную программу security awareness. И если бы симуляции отвечали реальным угрозам, а не воспроизводили шаблоны десятилетней давности. Учебные симуляции не дают эффекта, потому что реальные риски никто не оценивал, а атаки давно не ограничиваются массовыми рассылками типа «Срочно переведи деньги! Некогда объяснять». Из этого возникает несколько вопросов. Как понять, что именно нужно тестировать? Какие сценарии важны для конкретной компании? Что имеет смысл заказывать у внешних подрядчиков? Чтобы ответить на них, обратимся к международным стандартам. Эти стандарты появились не для галочки — за ними стоит анализ реальных инцидентов и лучших практик.

https://habr.com/ru/companies/bastion/articles/1001820/

#социальная_инженерия #фишингсимуляции #киберучения #ибтренинги #Hypothesis_Action_Data_Insights #повышение_осведомленности #HADIцикл #security_awareness #киберграмотность #фишинговые_рассылки

#фишинговые_рассылки #киберграмотность #security_awareness #hadiцикл #повышение_осведомленности #hypothesis_action_data_insights

Habr @[email protected] · 2025-12-20 · 11:22 UTC

Security Awareness Week как инструмент развития киберкультуры

Всем привет! Меня зовут Катя, я работаю в Управлении ИБ «Лаборатории Касперского» и продвигаю идею развития киберкультуры. Каждый день внутренние отделы ИБ внедряют современные механизмы защиты от кибератак и стоят на страже безопасности компании. Казалось бы бизнес и сотрудники могут спать спокойно, ведь, дыры в безопасности закрываются техническими средствами, мониторятся, а потом еще раз закрываются. Но, как говорится, не тут-то было! В мире сложных кибератак, фишинга и интернет-мошенничества слабым звеном остается человек. Тот самый, который не закрывает административные порты из интернета, оставляет пустой пароль для базы данных и вводит данные корпоративной учетки на первом попавшемся сайте. А мы помним, что в школе учили: «уровень защищенности системы равен уровню защищенности самого слабого её компонента» – и в современных компаниях часто это человеческий фактор. Уже сейчас большинство компаний понимают важность повышения осведомленности сотрудников в вопросах ИБ (мы называем этот процесс модно - «security awareness»). Однако чаще всего, весь security awareness сводится к назначению сотрудникам базовых курсов и проведению учебного фишинга. Знаете, чем данный подход плох? Он учит проходить курсы и определять классический почтовый фишинг, но не более того. Повышает ли это уровень защищенности компании? Вряд ли. Чтобы сотрудники были в одной команде с ИБ-шниками и повышали уровень защищенности своей компании они должны: 1) знать правила ИБ, 2) понимать важность соблюдения каждого правила ИБ, 3) реально соблюдать правила ИБ – если объединим всё вместе получим то, что мы называем киберкультурой. В этом посте я хочу поделиться опытом — рассказать, какими методами мы повышаем уровень киберкультуры в «Лаборатории Касперского». Возможно, какие-то из наших мероприятий покажутся вам полезными.

https://habr.com/ru/companies/kaspersky/articles/977290/

#иб #security_awareness #фишинг #тренинги #угрозы #культура_безопасности #кибербезопасность #kaspersky

#kaspersky #кибербезопасность #культура_безопасности #угрозы #тренинги #фишинг

Habr @[email protected] · 2025-08-04 · 19:52 UTC

Киберкультура глазами пользователей

А задумывались ли вы, что некоторые сотрудники, которых мы обучаем правилам кибербезопасности, на самом деле не понимают буквально ничего из того, что мы им рассказываем? Не потому, что они глупы — а потому что их мышление и восприятие технологий, и уж тем более угроз в цифровом пространстве, находится совсем в другой плоскости. Я специалист по информационной безопасности. Конкретно развитием киберкультуры сотрудников занимаюсь последние 2 года. На настоящий момент я провела около 100 индивидуальных консультаций с пользователями разного технического уровня (сотрудников офиса продаж, бухгалтерии, колл-центров и даже врачей), организовала и провела около 40 обучающих вебинаров и очных встреч. И у меня накопился определённый опыт, которым я хочу с вами поделиться, если вы тоже занимаетесь развитием киберкультуры и заинтересованы повышением осведомленности своих сотрудников. Небольшая оговорка: в данной статье я буду рассказывать об опыте обучения пользователей технологиям личной кибербезопасности. Вроде бы тема не совсем "корпоративная", но, думаю, объяснять, насколько всё взаимосвязано, не нужно. Если человек не понимает, что нельзя открывать фишинговые письма или переходить по подозрительным ссылкам на своем устройстве, то что он сделает на рабочем? Уязвимость человека — это уязвимость компании. Мем и реальность Однажды у меня с моей бабушкой состоялся разговор: « - А ты кем вообще работаешь‑ то? -Бабушка, я работаю специалистом по защите информации. -Ну расскажи мне вкратце, что ты делаешь на работе?

https://habr.com/ru/articles/934024/

#кибербезопасность #кибергигиена #обучение_пользователей #цифровая_безопасность #киберкультура #security_awareness

#security_awareness #киберкультура #цифровая_безопасность #обучение_пользователей #кибергигиена #кибербезопасность

Habr @[email protected] · 2024-11-15 · 10:52 UTC

Сообщники хакеров поневоле: как сотрудники влияют на информационную безопасность и что с этим делать

В условиях стремительного развития технологий и постоянного увеличения числа киберугроз, киберграмотность становится не просто желательной, а необходимой компетенцией для всех сотрудников в компаниях. Киберугрозы, такие как фишинг, вредоносные программы и утечки данных, могут нанести серьезный ущерб не только финансовому состоянию компании, но и её деловой репутации. В данной статье покажем, насколько важна роль сотрудника в кибератаках и почему развитие киберграмотности в организации — необходимость, продиктованная прогрессом.

https://habr.com/ru/companies/ussc/articles/858852/

#киберугрозы #фишинг #дипфейк #вредоносные_программы #ddos #ddosатака #киберграмотность #security_awareness #вишинг #кибербезопасность

#кибербезопасность #вишинг #security_awareness #киберграмотность #ddosатака #ddos

Habr @[email protected] · 2024-04-24 · 10:32 UTC

Ландшафт угроз информационной безопасности последних лет. Часть 1

Начнем с определения угроз. Кому-то из круга читателей это будет излишним, но пусть здесь полежит – вдруг пригодится. Итак, угроза – это всевозможные действия или события, которые могут вести к нарушениям информационной безопасности, что может привести к нанесению ущерба или нарушению чьих-либо интересов. По результату наших исследований (на основании огромного количества TI-отчетов, которые мы на регулярной основе изучаем в контексте Threat intelligence), за предыдущий год ландшафт угроз не сильно видоизменился в целом, но появилось много достаточно интересных изменений в частности. Кстати, в качестве одного из документов к ознакомлению мы рекомендуем ENISA Threat Landscape 2022/2023 – достаточно основательное исследование, которое ежегодно выпускает аналитическое агентство, покрывающее большую часть интересных тем в контексте современных угроз и их примеров. Что не исключает, конечно, ознакомления с угрозами через вендорские отчеты, бюллетени (IBM, Microsoft, Elastic, Acronis, SonicWALL и т.д.) и через отчеты непосредственно исследователей (такие как The DFIR Report и другие). В целом TI (Threat intelligence) – это всегда огромное количество информации, причем совершенно разноплановой с точки зрения специализаций (тут вам и сетевые технологии, если атака на слабость протокола; и крипта, если угроза связана с кастомным шифрованием и даже программирование, если мы хотим понять, как работает rootkit). При этом только через TI-отчеты мы можем разобраться, как работают группировки, прокачиваются, как атакуют с конкретного вредоносного ПО, как используют техники и что сейчас актуально. Поэтому делюсь с вами частью своих агрегаторов TI-отчетов со всего мира: https://t.me/threatinteltrends и https://t.me/secvisionnews, вы найдете там много интересного. Ну что ж, приступим.

https://habr.com/ru/companies/securityvison/articles/810087/

#malware #analytics #trends #security #security_awareness #аналитика #впо #тренды

#тренды #впо #аналитика #security_awareness #security #trends

Habr @[email protected] · 2024-01-31 · 07:22 UTC

Что общего у 50-секундного детектива, баскетболистов и разработки фишинговых атак

В марте 2008-го на Ютубе появился самый короткий рассказ про неношеные ботиночки детектив. Кажется, что суть видео — раскрыть тайну убийства за одну минуту. Но не все так просто, если учитывать, что видео сделано по заказу Управления транспорта Лондона. Всего таких видео было выпущено пять. Самые популярные из них — «детектив» и «игра в баскетбол» — набрали 14 и 26 миллионов просмотров. Второй ролик получил награду Британской ассоциации дизайнеров и арт-директоров, самой престижной премии в креативной сфере. Под катом на их примере разбираем, как разработчики имитированных фишинговых атак доносят важные смыслы до неподготовленной аудитории и почему в Security Awareness важно уметь удивлять. Читать далее 🐻

https://habr.com/ru/companies/StartX/articles/790168/

#имитированные_атаки #security_awareness #awareness #социальные_проекты #безопасность #безопасность_данных #сценарий #шаблон #авария #атака

#атака #авария #шаблон #сценарий #безопасность_данных #безопасность