pixel

Berezha Secuirty Blog

Kostiantyn Korsun – “State Cybersecurity vs. Cybersecurity of the State. #FRD Lessons.” at NoNameCon

Kostiantyn Korsun has opened this year’s Nonamecon conference with the talk titled “State Cybersecurity vs. Cybersecurity of the State. FRD Lessons.” During his speech, Kostiantyn shared his own impressions of the FRD campaign and its results and also summarizes a survey of several dozen well-known cybersecurity practitioners of Ukraine on the causes, motives, and effects of the operation.

The materials collected and processed by Kostiantyn gives the audience the opportunity to generalize over the state of political hacktivism in Ukraine in the context of armed aggression of the Russian Federation and the rather slow development of state cybersecurity.

The recording of the talk is already available on YouTube and is leading by the number of views of NoNameCon videos. Enjoy!

 

New reference on Clutch: a SaaS HR solution

It was a really exciting experience to provide an application security assessment to a SaaS HR solution, that operates in Silicon Valley. Taking into account the highly sensitive nature of the involved personal data and the high-tech product engineering approach, we must admit that this was one of the most complicated challenges we faced since starting up Berezha Security. Big thanks to our customers for ambitious goals and great references!

Read the full project reference on Clutch.

Стан професії кібербезпеки в Україні (результати опитування)

Свіженької статистики підвезли. Смачної. А статистика в українській індустрії кібербезпеки — справжній дефіцит.

Її практично ніхто не збирає, а якщо збирає — є багато питань до її релевантності та правдивості. А якщо статистика релевантна та правдива, розповсюджують її лише серед самих опитуваних, а широкому загалу про то нічого не відомо (палкий привіт міжнародним аналітичним фірмам).

Ще, великі компанії збирають дані серед своїх клієнтів, але не публікують їх. І спрямованість таких опитувань зазвичай має суто комерційний підтекст: «а що іще ви б хотіли у нас купити?»

Державні установи теж якісь дані збирають, але там проблема з повнотою та релевантністю. Та й взагалі: світ кібербезпеки перетинається з державними установами лише тоді, коли державі треба знов щось “врегулювати” або ж захистити чергові вибори. Але це тема для іншого посту.

З іншого боку, дослідження «Стан професії 2019: дослідження спільноти кібербезпеки» є подією унікальною, а зібрані дані — достатньо правдиві та релевантні. Чому, питаєте? Тому що в опитуванні взяли участь 250 спеціалістів з кібербезпеки. За різними суб’єктивними оцінками, в Україні таких людей від 3–4 тис. до 7–8 тис., але це не точно. Тому що, знов ж таки, правдивої статистики з цього питання немає.

Але в будь-якому разі 250 респондентів — це близько 3–5% індустрії, що є цілком репрезентативною вибіркою. Для порівняння: всього у сфері ІТ в Україні працює близько 160 тис. людей. Цим даним можна більш-менш довіряти, оскільки офіційна статистика формується по КВЕДах зареєстрованих підприємств, а кількість працівників по підприємствах приблизно відповідає дійсності.

Ще тому, що опитування проводилося анонімно і на публічному ресурсі, і кожен міг до нього приєднатися. Далеким від кібербезпеки людям це опитування не цікаве, тому можна стверджувати, що респонденти точно працюють в індустрії та не мають мотивів подавати неправдиву інформацію.

А ще опитування не тягне за собою ніяких наслідків і має на меті лише збір статистичних даних для подальшого оприлюднення. Ніхто на цьому анічогісінько не заробляє. Останнє подібне опитування проводилося у 2016 році, в ньому взяло участь 95 людей. 95 проти 250 — непоганий приріст, еге ж?

Опитування проведено відомою в українській кібер-спільноті компанією Бережа Сек’юріті. Так, це невелика комерційна компанія. Але спільноті також відомо, що усі її працівники (включно з власниками та керівниками) є громадськими активістами, беруть участь в організації різних кібер-заходів, активно пропагують кібербезпеку, мають позитивну репутацію та однозначну проукраїнську громадянську позицію. Активні однодумці в одному місці — нічого дивного. А ще, ми не колекціонуємо персональні дані учасників опитування 🙂

Але давайте вже роздивлятися результати.

Q1: Вашу теперешню роль найкраще описує фраза:

На першій діаграмі вказано, які ролі виконують опитані, чим займаються в індустрії. Тут немає відкриттів: інженерів більше, ніж керівників, і це нормально. Хіба ще якось забагато посад «Керівник відділу/групи/проекту/програм» — аж 51 людина з 250. Але у нас в кібербезпеці досить часто одна людина і є «групою» чи то «програмою». Також, досить часто у не кібербезпекових компаніях питаннями кібербезпеки опікується один-єдиний працівник, який має повне право називати себе ким завгодно, хоч CISO.

Ага, іще шестеро студентів долучилося до опитування. Дивно, мало б бути більше. З власного досвіду знаю, що дуже багато студентів слухають подкасти, дивляться вебінари, ходять на конференції, волонтерять. Може, вони просто ще не асоціюють себе зі світом кібербезпеки, мовляв, «я ще поки навчаюся»? Може, так і треба, а може й ні. Це залежить від самосприйняття та позиціонування себе в індустрії.

Q2: Ваше місце роботи найкраще характеризується фразою:

Наступна діаграма показує, хто де працює. Близько 70% — у приватному секторі. Майже 13% працюють у державному секторі. Двоє людей з органів місцевого самоврядування привертають особливу увагу. Кібербезпека проникає у найпотаємніші куточки суспільного життя. Привіт вам, одинокі однодумці, яким доводиться працювати «на холоді».

Q3: Більшу частину робочого часу ви присвячуєте:

Наступна діаграма: хто чим займається у рамках професії. Тут також без сенсацій: більшість колег займаються усім. І підтримкою, і процесами, і проектами, і аудитом, і розслідуваннями, і навчанням.

Q4: Ваш стаж у галузі кібербезпеки складає:

Діаграма про стаж роботи у кібербезпеці показує, що досвід градуює рівномірно, без ривків та перекосів. Хіба що, більш досвідчені (від 5 років досвіду) складають майже 48%. Це добре демонструє основну проблему ринку праці кібербезпеки: нам катастрофічно не вистачає тих, кого зазвичай називають «мідлами». Тобто спеціалістів, які вже достатньо досвідчені для автономного виконання серйозних задач.

Q5: Ваш рівень освіти відповідає одному з таких варіантів:

Діаграма про рівень освіти взагалі нудна: 71% колег мають повну вищу освіту. Ну що тут неочікуваного? Щоб займатися кібербезпекою, треба розумітися на ІТ, на програмуванні, на системному адмініструванні, і ще у десятці галузей. Звісно, знати англійську. Як тут обійтися без вищої освіти?

Q6: Ви володієте такими професійними сертифікатами та акредитаціями:

Шосте питання про професійні сертифікати. Зупинімось на цьому важливому аспектові детальніше.

Сертифікати взагалі-то придумали для того, щоб роботодавцю, який хоче найняти фахівця, але сам нічого у кібербезпеці не розуміє, було легше скласти уявлення про професійну підготовленість кандидата. Ось, скажімо, невелика торговельна компанія, або завод, або транспортне підприємство: мають веб-сайт, електронну пошту, розподілені мережі, комп’ютеризований бухгалтерський облік, відділ маркетингу тощо. Вони вже потребують фахівця з безпеки, бо розуміють загрози як з боку конкурентів, так і з боку «диких» шахраїв та хуліганів з Інтернету. Починають шукати фахівця, стикаються з десятками пропозицій, але не можуть розібратися як знайти «нормального», але не задорого, помірно. «Нам зірки не потрібні, у нас завдання нескладні». Запрошують кількох на співбесіду, де кандидати розповідають, які вони класні, сиплять незрозумілими термінами, розказують про досвід роботи у незнайомих роботодавцю компаніях, про реалізовані проекти. Але HR (кадровик) нічого у тому не розуміє, та і директор також. Люди працюють у геть іншій галузі. А ось наявність міжнародного професійного сертифіката — це вже показник. Це означає, що людина щонайменше вчила теоретичну частину, напружувалася, складала іспити, демонструвала практичні навички (якщо програма сертифікації це передбачає).І екзаменаторами були експерти з ім’ям, яким ніяк не даси хабара за «залік». І актуальність такого сертифікату можна перевірити самостійно, онлайн. Тобто, людину з сертифікатом точно можна запрошувати на інтерв’ю, придивитися. Саме тому наявність одного чи декількох сертифікатів є однозначною перевагою при прийнятті на роботу. Але слід зазначити, що кількість сертифікатів не завжди означає вищу кваліфікацію фахівця. Скажімо, для деяких завдань наявність єдиного OSCP важить набагато більше, ніж CEH, CISSP та CISA разом узяті.

Тепер поглянемо на статистику по сертифікатах. «Не володієте професійними сертифікатами, але бажаєте їх отримати» — 57%. Звичайно, погано, що більшість «не володіє», але добре, що «бажає отримати». Очевидно, міжнародні практики ще не дійшли до українського ринку, або «недостатньо дійшли».

«Принципово не володію професійними сертифікатами” — 23 людини, 11%. Думаю, це ті люди, діяльність яких не пов’язана з технічними аспектами кібербезпеки. Також можливо, це ті з колег, яким вже не треба нікому нічого доводити про свій професійний рівень. Або ж ті, хто працює у кібербезпеці, але займається аналітикою, адміністративними та організаційними питаннями, загальним менеджментом проектів тощо. Але для студентів та початківців отримання професійного сертифіката є must have для розвитку у професії та взагалі для входження у неї. Тема «принципово не володію» скоро вже закінчиться і без сертифіката працювати у кібербезпеці не вийде.

Що радує: аж 10 колег повідомили, що мають OSCP (4,59%). Ще п’ять років тому таких людей було до 10 на всю країну.

Сертифікати по СУІБ (система управління інформаційною безпекою) мають 28 колег, 12,84% відповідно. Непогано.

Жодна людина не заявила про сертифікати SANS GIAC. Сертифікат, зрозуміло, крутий, але викласти 5–10 тисяч доларів за тиждень навчання фахівця не може собі дозволити практично ніхто. Тобто гроші-то є, але поки що бізнес не бачить сенсу витрачати такі величезні суми на навчання кібербезпеці.

Q7: Ви володієте сертифікатами таких галузевих вендорів:

Діаграма про володіння сертифікатами галузевих вендорів відображує просту штуку: розповсюдженість обладнання цих вендорів. Якщо в країні експлуатується найбільше обладнання від Cisco, Microsoft та Fortinet — відповідно, видано найбільше сертифікатів саме цих постачальників.

Серед цікавого ще б зазначив наявність у семи людей сертифікату AWS (респект, хай живе хмара), у восьми — від Splunk (підтверджує тезу про поширення SOC/SIEM), у трьох — від FireEye (дуже недешеві рішення, але вже купують), лише у трьох — від CheckPoint (мало б бути більше) і один опитуваний повідомив про сертифікат від Arbor. Щодо останнього маю здогадку хто це (точніше — де працює), але не скажу. Настільки дорогі рішення може собі дозволити лише пара-трійка організацій в нашій країні.

Q8: В який спосіб ви берете участь у обговореннях професійних тем?

Наступне питання опитування: «У який спосіб ви берете участь в обговореннях професійних тем?» Тут статистика позитивна: більшість беруть інформацію зі спілкування у професійних групах в соцмережах, конференцій з кібербезпеки, професійних зустрічей, особистого спілкування. Не зрозумів про «професійні форуми», 44%: здається, форуми як метод спілкування залишився актуальним лише серед “блекоти”. Для «біло-капелюшних» професіоналів форум як форма спілкування застаріла вже років десять як. Ще, можливо, “за порєбріком” якісь існують. Але я про те не в курсі та й можу помилятися.

Q9: Де ви знаходите корисну інформацію на професійні теми?

Наступне питання опитування прямо пов’язане з попереднім: «Де ви знаходите корисну інформацію на професійні теми?» Усі вказані джерела є інформативними, хоча з різним ступенем довіри. Скажімо, інформація з новин практично завжди потребує ретельної перевірки через необізнаність більшості журналістів у питаннях кібербезпеки, поверхове ставлення до надійності джерел інформації, та проф(не)придатності залучених до коментарів «експертів». Новини з професійних онлайн-ресурсів набагато більш правдиві, але українських серед них практично немає, здебільшого невеликий розділ «кібербезпека» на порталі новин.

Або ж стосовно Телеграм. Знаю, в одній з груп там спілкуються кілька сотень колег. Але особисто я не вважаю даний месенджер достатньо безпечним, особливо для обговорення питань безпеки. Плюс російське походження: те, до чого доторкнулася расеюшка довіряти не можна апріорі. Але це моє особисте, параноїдальне.

На цьому за результатами відповідей з опитувальника у мене все, всього було 9 питань. Тож вйо до висновків.

Висновки

Для чого взагалі потрібна така статистика? Загалом вона відповідає на питання «Хто ми?», «Скільки нас?», «Чим ми займаємося?», «Що нас цікавить?» та інші актуальні питання. Статистика дає натяки відповідей на питання «Які зараз тренди», «Що є найближчою перспективою», «У якому напрямку розвиватися», та й загалом «Що буде завтра?»

Статистика потрібна споживачам послуг кібербезпеки, щоб мати уявлення що відбувається на цьому ринку, а для деяких — взнати, що він взагалі існує за межами «нашого програміста-комп’ютерника». У практичній площині це зазвичай означає «Які можуть бути критерії відбору фірми чи наймання кібер-фахівця».

Статистика потрібна й галузі кібербезпеки, перш за все, щоб розуміти, хто є хто всередині індустрії.

Також, реальна статистика потрібна, як не дивно, державним інституціям.

Нещодавно прочитав десь у новинах (не певен у правдивості), що 4% ВВП України дає ІТ-індустрія. Схожі цифри інколи озвучують інші джерела. Зрозуміло, що більшість ІТ-індустрії та кібер-індустрії знаходиться нижче радарів офіційної статистики, але все ж доля ІТ-сектору досить значна, якщо навіть офіційна статистика каже про 4% ВВП.

Теж саме про індустрію кібербезпеки. Оцінити її якоюсь більш-менш правдивою статистикою неможливо. Чиновники різного рівня люблять вихвалятися «ми відбили 100500 атак за звітний період». У професійному середовищі такі заяви викликають сумну саркастичну посмішку. «А якщо рахувати по сканах портів, то взагалі вийде мільйони за секунду».

Але ж реальні дані про стан галузі державі Україна також потрібні.Для розумного (підкреслюю — розумного!) її регулювання, для позитивного стимулювання розвитку галузі, для планування кількості бюджетних місць навчання фахівців, для розробки шкільного курсу кібербезпеки, для обчислення обсягу коштів на кіберзахист критичної інфраструктури, фінансування відповідних підрозділів та державних установ, та ще задля багато чого суспільно-корисного. Це в ідеалі, якщо припустити, що наші чиновники працюють в наших інтересах, а не на свою кишеню.

Саме тому такими важливим є паростки статистики від самої професійної спільноти. Їх найголовніша цінність у тому, що вони починають з’являтися. До формування цих даних долучаються все більше професіоналів. Ця статистика неупереджена, не має маркетингового характеру, не збирає персональні дані, не веде до небажаних або каральних наслідків. Вона об’єктивна і може бути використана для саморозвитку спільноти.

Можливо, надані у цьому огляді дані не в повній мірі зображають реальний стан професії. Не виключаю. Але це максимально правдива інформація на фоні решти суцільного «нічого».

Кібербезпека взагалі є відносно молодим трендом з огляду на усю історію людства. Тож долучайтеся й долучайте колег. Ми з вами на початку великого шляху.

Бережімося.

— Костянтин Корсун, CEO, Berezha Security

2018’s five easiest ways to break in (according to Berezha Security)

At the beginning of the new year, we decided to summarize how simple it was for the penetration testers to overcome the security systems in the passing year. And of course, this post would be incomplete without the recommendations on how to defend against such attack vectors.

1. ImageTragick 2.0

Undoubtedly, the easiest attack vector of last year was the second reincarnation of this vulnerability in ImageMagick, which Tavis Ormandy revealed on July 21, 2018. Everything like the last time: upload a picture (for example, avatar), and automatically get arbitrary code execution on the target system. It’s so easy that it’s just embarrassing.

To make your application protected from ImageTragick is easy only at first glance. Of course, if you can afford to narrow down the list of file types that the system receives from its users to PNG, JPG and GIF, then you are very lucky — do it. And make sure that the ImageMagick policy reflects these requirements and (most importantly) does not allow PostScript and derivative files processing. More information about ImageMagick security settings could be found here.

What should you do if you have to allow the upload of SVG, PDF and other dangerous file formats? The most practical recommendation, in our opinion, is isolating the image processing functions on a separate host, and even better in a temporary container, that will exist as short as possible and will not be integrated with other modules of the system. The logic of this solution is elementary, so it is very effective: the user loads the file into a temporary environment (Docker container), in which the file is processed (filtered, resized, compressed), then pushed into a static repository (S3), from which it becomes available in the main application. A more subtle approach to protection against attacks on ImageMagick could be found here.

2. Interception and recovery of password hashes

In 2018 (surprise-surprise) users still have not learned to pick long and complex passwords, so this attack vector is still very simple and extremely productive. Once one has access to the internal network, they can launch the Responder and see that all neighboring hosts are generously sharing NTLMv2-hashes with their users’ passwords. Inside the Windows infrastructure network, this happens because of the default setting for the Local Link Multicast Name Resolution (LLMNR) protocol, which contains a number of innate flaws. Due to these weaknesses, each participant in the network can fake the answers to LLMNR-requests of their neighbors and direct their traffic to themselves. It remains only to raise the necessary fake services that will require authentication on the certain TCP ports, and voila — all your hashes already belong to the attacker.

A bit less trivial is the technique of intercepting password hashes from outside the corporate network. We must admit: Microsoft is trying to make their products more secure, but still do not have time to fix all the findings of hackers. Therefore, the technique of loading an MS Office document element from an external server (which, of course, requires authentication of the user) is still valid. For example, by sending a user an MS Office XML document that downloads an external file via SMB. The next steps are to retrieve original passwords using hashcat and high-quality dictionaries and rules.

Protecting yourself from such attacks is extremely easy. Disable LLMNR and prevent outbound traffic through TCP port 445 on the firewall — that’s all. Most likely, legitimate users will not even feel the difference, but the life of hackers will become much more complicated.

3. “Universal” password of the local administrator

Using Group Policy Object to set up a local administrator on all computers in the domain with the “universal” or “standard” password is the biggest gift administrators could give to pentesters. After receiving increased privileges on one computer in the domain, further movement through the infrastructure becomes extremely comfortable, and obtaining the domain admin level of access to is a matter of time. Sometimes, however, a file that contains the encoded (and not encrypted) password of the local admin has long been deleted from the share on the domain controller, and the group policy has long been removed. But the passwords installed with their help are still the key to any server in the domain. Moreover, getting this password in its clear form is not necessary, because having its hash it is possible to use it further to execute the Pass-the-Hash-enabled Metasploit modules and other convenient utilities.

So deleting the group policy and password files is not an option. To right these wrongs, you must change the passwords of all local admins in the domain, or even better — rename and lock them out. Of course, all passwords should be unique, otherwise, the situation will not change at all. And the best way to get a reliable result is to use the Local Administrator Password Solution (LAPS).

4. Phishing

No changes here. With few exceptions, phishing works everywhere and every time. And we still do not understand why companies do so little to improve the situation.

The most effective pretexts for phishing in 2018 were the written instructions of the carriers of expert (IT and IT specialists) and formal (CEO, CFO, HR) power. Users were happy to follow the guidance they received because it looked quite legitimate and did not contain any signs of external interference. Getting hundreds of valid contacts to send phishing messages to is still not a problem because employees are happy to share their data on social networks, and corporations’ mail servers still allow to check email addresses validity en masse.

To make phishing attacks less effective, in addition to the obviously necessary training of users, administrators can mark off external email messages with appropriate tags in the subject field. This trick is very easy to implement in GSuite and Office365, but owners of “basement” email servers will have to put a little more effort into it.

Another way to complicate phishing attacks is to prevent mass checking of email addresses on mail gateways. Typically, this check is done by opening SMTP sessions and checking large email lists, derived from the employees’ names and last names on LinkedIn and Facebook, by inserting them into the VRFY and RCPT verbs. The former command is less common now, but the latter one still often allows validating the presence or absence of an address in the email domain.

Despite the false stereotype of the inutility of combating social engineering, it is possible and necessary to counteract it. Sure thing, remote computer-based awareness training and other “traditional” methods are not suitable for that. After all, the effectiveness of social engineering is based not on the lack of education, but on the cultural features of modern society. A change in culture is a change of the artificial instincts from which the culture is woven. And this is not a task for the one-time online webinar, but for continuous learning. In other words, anyone can install a GoPhish server and regularly send out training phishing messages to their employees, but it’s unlikely that many companies do this.

5. Remote domain admin sessions

Finally, the most favorite and easiest procedure for obtaining the rights of the domain admin. And it is not the brute-force of passwords from password hashes, but getting them in clear text from the computer memory. Where they are generously left by the system administrators who left the remote RDP session and went in their business. This kind of task seems complicated but it hardly is, because tools that easily implement it have been integrated into Metasploit (mimikatz & kiwi) for a long time, and are performed without any interaction with the hard drive, and therefore are not detected by most modern anti-virus products.

Almost everyone ignores the requirement to restrict Windows interactive login privileges. In an ideal world, domain administrators should log in only to domain controllers, but in the ideal world, notPetya does not happen. An essential requirement to log in everywhere with the rights of ordinary users, and then, if necessary, to use the “Run as…” tool to escalate privileges, can make your infrastructure tens of times more secure. But most likely it will not, — until the first devastating incident.

In this lyrical note, we will complete our review of the most enjoyable gifts that the pentesters received in 2018. Some may argue that the introduction of the above countermeasures will still not provide absolutely reliable protection. Certainly, it will not. But it will transform a cyber attack from a comfortable limousine journey on a humpback Zaporozhets trip with all the relevant consequences.

Be safe out there.

On the Usefulness of Penetration Testing Methodologies

Let’s imagine for a moment how the “bad guys” are planning their attacks. In the dark basement with cyber-punk posters covering the graffiti on the walls, with a bunch of half-assembled computers lying here and there, malicious hackers gather around the poorly lit table to decide what version of a Black Hat Attack Methodology to use in the upcoming criminal operation. Sounds absurd, right? Of course, because the attackers are not methodical.

As Penetration Testers, we see our main goal in testing our clients’ defenses functionally in order to assess their ability to withstand a real-world attack. Do we have to rely on external knowledge for that? Obviously, yes, it is impossible to know everything about every attack vector in 2016. Do we have to stick to a predefined set of instructions, a so-called methodology? That depends.

If you are not a pentester, and yet you have to act as one, the use of methodologies is inevitable. To conduct a pentest yourself or to reproduce the results in the report from an external consultancy, you have to get your head around a methodology of some sort. In fact, this happens all the time: the perception in the market is such that anyone, be it an accounting firm or an IT audit practice, can do Penetration Tests: look at the plenty of methodologies out there!

But if you do pentesting for a living, do you really need Methodologies? I am a big fan of seeing a pentest as rather a mission than a project. Of course, a mission has to have a plan, but it rarely can be scripted in detail. It’s essential to have a recurring chain of acquiring, analyzing, and applying data and share it within the team. It’s very good to have both specialization and knowledge sharing between the team members. But to write down “what we do”, “what we do when we’re in”, “how we exfiltrate” in a static document? No, thanks.

To succeed at something we have to have good mental models and actual practical how-tos at our disposal. The models let us build the insight about how the attack would go and what we would have to do along the way. The how-tos and examples let us prepare for the actual operations: collect the data, apply or build the tools, make moves and get the proof of a risk to the client’s business out there. The methodologies try to bridge the gap between the two for those who need it. Do you?

Leveraging the Strongest Factor in Security (Part II)

Since I’ve written the first part of this post in May, several related articles have appeared in different well-known online resources. The most notable of them, in my opinion, is this piece on Fortune that is trying to bridge infosec and business as many tried (and mostly failed) before them. You don’t have to read all the article’s text to catch what it and others have in common: the very first paragraph ends with the statement we all have long got used to.

If your company is like most, you’re spending an awful lot of your information technology budget on security: security products to protect your organization, security consultants to help you understand where your weaknesses lie, and lawyers to sort out the inevitable mess when something goes wrong. That approach can work, but it fails to consider the weakest link in your security fence: your employees.

So, if you’ve read my first post on the topic, you have an idea that this stereotype might mislead anything that follows in the article. I warned you last time that anything that sounds similar to “humans are the weakest security link” should be followed or preceded by “by default”. And by “default” I mean “in case your company’s security management did nothing to change that”.

But easier said than done, right? So what could one do to, well, leverage the most influential factor in security – human nature?

To understand that, it’s necessary to get an idea about how our brain functions. I’ve spent quite some time getting familiar with this topic by reading the results of contemporary scientific research. And I encourage you to do the same! However, for the sake of this blog post, I am going to summarize the most critical points, ones you have to embrace to, well, see the light.

Imagine that inside every human brain, and there are three animals: a crocodile, a monkey, and an actual human being. If you are familiar with the brain’s structure, you already know that: different parts of it have grown during different evolutionary periods. Thus the croc is an impersonation of our reptile brain, the monkey is our mammal or limbic brain, and the human is our neocortex. Each of them is doing its job, and there is a definite hierarchy between them.

The croc is the boss by default although he doesn’t micromanage. He is responsible for only three basic instincts –

  • Keeping safe from harm, including predators, natural disasters, and other crocs like himself;
  • Finding something to eat to not starve to death;
  • Finding a partner, if you know what I mean.

As you see, the crocodile brain executes the most important roles: the preservation of individual humans and the species overall.

The monkey trusts the croc with its life. It’s sometimes afraid of the croc too, but still, there are little chances it’s going to stay alive for long if croc falls asleep of is gone, so yeah, the monkey trusts the croc.

The monkey’s work is more complicated. Protected by the crocodile, it can dedicate some of its time training and learning from recurring experience. In other words, the monkey can be taught things if it does them enough times. There are many words to represent that ability, but we are going to stick to ‘the habit’. Using habits, we simplify our life as much as possible, for better or worse, but certainly – for more comfortable.

And the human usually is much different from them both, because, well, you know, abstract thinking, complex emotions, ethical frameworks, cosmology, and sitcom TV shows. With all that, the human brain optimizes its job as much as possible, so if there is a chance that the monkey can do something it has to do, the human will take that chance. Going through the different procedures over and over, we train the monkey, and once it’s ready, we hand over the task to it. How many times you missed the turn and drove along your usual route to the office even on weekends? The monkey took over, and the habit worked instead of your human reasoning that was busy with something else at that moment.

To some, it may sound counterintuitive or even scary, but that’s how it is. If we thought out every decision we make, we wouldn’t be able to develop as a species and a society. Too much thinking at the moments of crisis would kill us: deciding on the tactics of dealing with a saber-tooth tiger would take all the time needed to run towards the cave or the nearest tree. Humans tend to shortcut and rely on their instincts and reflexes as much as possible. And in general, it’s a good strategy, given that humanity spent many centuries training the monkey and adjusting the croc’s input data.

But then… boom! Cyber!

The recent development in technology and communications has changed our lives. Now we have to do many old things the new way, and as a result, it’s not easy for our brain to apply the tricks evolution taught us for millennia. The new signs of danger do not trigger the monkey’s old habits and the croc’s even older instincts. We are used to dealing with danger tête-à-tête, not in front of a computer screen. Centuries-old fraud tactics find new life online with humans not able to resist them because of the scale of anonymity and ease of impersonation on the internet.

So what can we do? Not much. I don’t believe in technology when it comes to human nature. So I prefer to focus on the human (and the monkey, and the crocodile) instead. Having read and discussed much of what contemporary science can teach on behavioral economics, irrationality of decision making, and most importantly – habits, I have come to conclusion that people can be taught to effectively resist modern cyber-threats the same way they have learned to survive other hazards: by leveraging the instincts, installing new reflexes, and transforming the habits.

In the next post, we’ll wrap it up with me presenting the method of transforming individuals and groups from vulnerability to a countermeasure. I hope this sounds intriguing enough for you to stay tuned.

Contact Us to Know More!

Call Us

+1 (315) 303 2323
+380 (44) 364 7336

Mail

6 Nimanska St., 41, Kyiv, Ukraine 01103

Office

77 Sichovykh Striltsiv St., Kyiv, Ukraine 

Copy link
Powered by Social Snap