О пользе security awareness programs

[leo_sosnine]

Компания получила рассылку Драйдекса, потому что почтовый фронтэнд его пропустил.

Под тыщу сотрудников получили письма из неизвестных источников с офисным документом. Примерно сто из них этот документ а) открыли б) согласились на выход из защищённого режима в) согласились с выполнением макросов.

Из этой сотни два человека позвонили в хэлпдэск, чтобы сообщить о том, что они открыли подозрительный файл. Все остальные закрыли файл и продолжили заниматься хернёй как ни в чём не бывало, невзирая ни на какие секьюрити аваренесс програмс энд эдьюкейшн, регулярные рассылки типа репорт ёселф иф опенд.

И о перспективах детекции Драйдекса антивирусами:



Нетрудно заметить, что ловят только МБАМ и СЕП (это спустя где-то 20 дней после фишинг кампэйна), у остальных, судя по названиям, это результат эвристики, т.е. удалять по срабатыванию эвристики наверняка не будут из-за слишком большого кол-ва ФП.

Выводы наши читатели делают сами

Comments

[ctapnep.livejournal.com]

О пользе security awareness programs можно говорить только по сравнении с другой организацией, где такой программы не проводилось.
Может там из 1000 человек открыло-бы 500, а не 100.
Но в целом да, хреново :(

[leo-sosnine.livejournal.com]

Проблема в том, что в достаточно большой организации всегда найдётся хотя бы один идиот, остановить которого будет невозможно. А дальше внутри сетки Драйдекс расползается самостоятельно и с неплохой эффективностью.

[vovney.livejournal.com]

Да как расползается-то????

[volodymir-k.livejournal.com]

ёба, как дети
манда расшарила для подруги программулечку, да или ворд док, хехе с макросами, и привет, подруга завтра файло откроет

или например менетшер с админ правами

на флешку влезет

есть ещё вектор, чуваки на работе мобылу заряжают, а она по дефолту или мтп или сторадж или ваще андроед дивайс с включенным дебаг интерфейсом и рутованный

или не, коннектится в ц унд ц сорвер, выдаёт версии софтов и кочает 0дэй пэйлоады для смб, самбы и прочего домена

[vovney.livejournal.com]

А, ну это-то понятно
Я думал - шифровальщик, да еще и самораспространяемый

[leo-sosnine.livejournal.com]

there is a crypto ransomware with worm functionality out there, it's called samsam

[scif-yar.livejournal.com]

вовней, походу, проспал кидо

[vovney.livejournal.com]

Вовней походу был во главе борьбы с кило весной 2009))))

[vovney.livejournal.com]

Бля, с кидо конечно же

[scif-yar.livejournal.com]

Боевым репостом чтоли ударял ?

[scif-yar.livejournal.com]

>весной 2009))))
-
Conficker, also known as Downup, Downadup and Kido, is a computer worm targeting the Microsoft Windows operating system that was first detected in November 2008
-
Тут дело даже не боевым репостом пахнет ..

[vovney.livejournal.com]

Ой ну не надо тут выпендриваться)
С ноября по март я как раз был без работы, кризис же

[scif-yar.livejournal.com]

Инфобезопасники вовней-класс нинужны ?

[vovney.livejournal.com]

Я тогда не был безопасником)

[scif-yar.livejournal.com]

можно подумать сейчас стал.

[vovney.livejournal.com]

пффф, ессно
поднялся, в Мск переехал
все пучком

[scif-yar.livejournal.com]

сертификат предъявите к осмотру.

[leo-sosnine.livejournal.com]

Пока могу подтвердить только рассылки через аутлук. Т.е. вызывает юзерский аутлук, выбирает набор контактов из контакт-листа и рассылает документик с макросами. Поскольку почтоящик абсолютно легальный и доверенный, и партнёры и сотрудники той же компании испытывают повышенное доверие к такому письму. Да оно вообще от начальника прийти может.