State of Threat and Exposure Management Report by NopSec🛠
Неплохое исследование о состоянии дел в управленииуязвимостями угрозами и экспозициями🙂
⚫️ Первый раздел посвящен анализу ландшафта уязвимостей, распространенных в организациях.
🟠 На рисунке 1 можно посмотреть распространенность уязвимостей в программном обеспечении 15 наиболее используемых вендоров в организациях и аналитику по проценту устранения этих уязвимостей. За небольшими исключениями, эта статистика будет применительна и к нашим организациям🤔
🟠 Среднее время устранения уязвимости составляет 212 дней.
На рисунке 5 можно посмотреть средние сроки устранения уязвимостей на различных типах ИТ-активов (например, по роли использования или расположению на периметре) и атрибутов самой уязвимости (использование в определенных типах атак или имеющие собственные уникальные имена, например, как "Log4Shell").
🟠 На рисунке 6 можно увидеть на сколько быстро устраняются уязвимости того или иного вендора с учетом критерия распространенности ПО в организациях.
⚫️ Второй раздел документа посвящен рекламе сравнению системы приоритизации устранения уязвимостей NopSec с оценкой CVSS.
Подсветить особо нечего: в данном разделе можно посмотреть какие факторы риска и критерии используются компанией NopSec для приоритизации устранения уязвимостей.
⚫️ Третий раздел исследования посвящен сопоставлению тактик, техник и процедур, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей.
🟠 Маппинг TTPs на конкретные CVE осуществлялся тремя способами: вручную (экспертной оценкой), с помощью LLM-моделей BERT и Gemini (пример сравнения на последнем рисунке в посте).
🟠 Сравнение проводилось в различных сценариях, но во всех случаях LLM-моделям "скармливалась" информация об уязвимостях из базы NVD, что ожидаемо привело к низкому качестве маппинга TTPs, в связи с недостаточным или низким качеством описания конкретных CVE.
#cve #ttp #exposure #prioritization
Неплохое исследование о состоянии дел в управлении
На рисунке 5 можно посмотреть средние сроки устранения уязвимостей на различных типах ИТ-активов (например, по роли использования или расположению на периметре) и атрибутов самой уязвимости (использование в определенных типах атак или имеющие собственные уникальные имена, например, как "Log4Shell").
Подсветить особо нечего: в данном разделе можно посмотреть какие факторы риска и критерии используются компанией NopSec для приоритизации устранения уязвимостей.
#cve #ttp #exposure #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👌2
Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡
Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.
Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘 Базовая программа повышения осведомленности
🟣 Программа изменения поведения (персонала)
🟡 Программа культуры безопасности персонала
🔴 Комплексная программа культуры безопасности
В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работеспециалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉 )
p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍
#awareness #roadmap #maturity #behavior
Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.
Дорожная карта делит все меропиятия на четыре уровня зрелости:
В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе
p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости
#awareness #roadmap #maturity #behavior
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
12🔥11👍4❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁22
OWASP, спустя шесть лет, обновил свой топ-10 требований к проактивной защите, которые необходимо применять на ранних стадиях разработки для достижения максимальной эффективности в создании безопасного программного обеспечения🔝
Требования располагаются в порядке убывания их важности:
🟠 Реализовывайте контроль доступа
🟠 Применяйте криптографию для защиты данных
🟠 Осуществляйте проверку всех входных данных и должным образом обрабатывайте исключения
🟠 С самого начала (разработки) уделяйте внимание безопасности
🟠 Используйте подход "безопасность по умолчанию"
🟠 Обеспечивайте безопасность используемых зависимостей (библиотек и фреймворков)
🟠 Внедряйте безопасную цифровую идентификацию
🟠 Используйте функции безопасности браузера
🟠 Внедряйте журналирование и мониторинг событий безопасности
🟠 Пресекайте попытки подделки запросов на стороне сервера (защита от SSRF)
Для каждого требования приводится подробное описание, связь с угрозами и дефектами, от которых эти меры/требования защищают, рекомендации и инструменты для внедрения и валидации.
По сравнению с версией от 2018 года довольно много изменений, правда, не всегда логичных🤔
Советую почитать обзор изменений от Mic Whitehorn.
#owasp #proactive #controls #cwe
Требования располагаются в порядке убывания их важности:
Для каждого требования приводится подробное описание, связь с угрозами и дефектами, от которых эти меры/требования защищают, рекомендации и инструменты для внедрения и валидации.
По сравнению с версией от 2018 года довольно много изменений, правда, не всегда логичных
Советую почитать обзор изменений от Mic Whitehorn.
#owasp #proactive #controls #cwe
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Как утечки данных влияют на стоимость акций на фондовом рынке 📈 📉
Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.
Основные выводы:
➡️ После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️ Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️ Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️ Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️ Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️ Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️ Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.
Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.
#breach #business #stock
Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.
Основные выводы:
Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.
#breach #business #stock
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤔2
Google SAIF – портал, посвященный безопасности систем искусственного интеллекта🧠
В прошлом году Google представил свой Secure AI Framework, который получил противоречивые отзывы о своей полезности. Возможно, собрав обратную связь, команда решила доработать материалы, и запустила обновленный портал, обогатив его более конкретными и полезными ресурсами🖥
На данный момент портал включает в себя следующие основные разделы:
🔘 SAIF Risk Map – интерактивная карта, на которой представлены ключевые компоненты систем ИИ, присущие угрозы и риски, а также возможные меры по их митигации.
🔘 Secure AI Development Primer – краткое руководство по безопасной разработке систем ИИ.
🟣 Risk Self Assesment – опросник, позволяющий провести самооценку рисков и выявить слабые места в системе безопасности ИИ.
🟡 Resources – коллекция полезных материалов, которые помогут глубже разобраться в вопросах безопасности и возможных решениях.
#ai #saif #framework #risk
В прошлом году Google представил свой Secure AI Framework, который получил противоречивые отзывы о своей полезности. Возможно, собрав обратную связь, команда решила доработать материалы, и запустила обновленный портал, обогатив его более конкретными и полезными ресурсами
На данный момент портал включает в себя следующие основные разделы:
#ai #saif #framework #risk
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8🔥3
AlexRedSec
State of Threat and Exposure Management Report by NopSec🛠 Неплохое исследование о состоянии дел в управлении уязвимостями угрозами и экспозициями🙂 ⚫️ Первый раздел посвящен анализу ландшафта уязвимостей, распространенных в организациях. 🟠 На рисунке 1 можно…
Media is too big
VIEW IN TELEGRAM
В продолжение темы сопоставления тактик, техник и процедур Mitre ATT&CK, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей🕐
Ещё один подход к маппингу представлен в интересном инструменте CVE2CAPEC: здесь уже выстраивается цепочка CVE-CWE-CAPEC-TTPs Mitre ATT&CK. То есть конкретная уязвимость связывается с присущими ей дефектами CWE, которые, в свою очередь, сопоставляются с шаблонами атак CAPEC, а те — с техниками из Mitre ATT&CK.
Честно говоря, результаты маппинга данных подходов абсолютно не совпадают друг с другом, и это ожидаемо, так как в подходе NopSec анализируется описание CVE из базы NVD, и на основе этой информации производится маппинг на техники злоумышленников, а в проекте CVE2CAPEC — основываясь на информации о связанных дефектах CWE и техниках из базы CAPEC🤨
В итоге в обоих случаях мы имеем неполную картину, но, как минимум, уже понимаем, что эти подходы можно попробовать комбинировать для более точного маппинга.
#cve #cwe #capec #ttp
Ещё один подход к маппингу представлен в интересном инструменте CVE2CAPEC: здесь уже выстраивается цепочка CVE-CWE-CAPEC-TTPs Mitre ATT&CK. То есть конкретная уязвимость связывается с присущими ей дефектами CWE, которые, в свою очередь, сопоставляются с шаблонами атак CAPEC, а те — с техниками из Mitre ATT&CK.
Честно говоря, результаты маппинга данных подходов абсолютно не совпадают друг с другом, и это ожидаемо, так как в подходе NopSec анализируется описание CVE из базы NVD, и на основе этой информации производится маппинг на техники злоумышленников, а в проекте CVE2CAPEC — основываясь на информации о связанных дефектах CWE и техниках из базы CAPEC
В итоге в обоих случаях мы имеем неполную картину, но, как минимум, уже понимаем, что эти подходы можно попробовать комбинировать для более точного маппинга.
#cve #cwe #capec #ttp
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🔥5
Пять коммуникативных тактик, мотивирующих сотрудников серьезнее относиться к киберрискам💡
В новом исследовании Gartner подчеркивает, что традиционные методы информирования сотрудников о киберрисках и правилах реагирования на них оказываются неэффективными:
большинство сотрудников не осознают личные последствия, возникающие в результате их неправильного поведения в контексте киберрисков🤔
Чтобы повысить эффективность коммуникаций Gartner предлагают следующие рекомендации по изменению стиля общения:
➡️ Тесно увязывайте действия с влиянием, а не последствиями.
Важно акцентировать внимание на позитивном влиянии действий сотрудников на безопасность компании, а также использовать примеры для подражания, что поможет изменить культурные установки в коллективе.
Пример: "Ребята внедрили полный цикл тестирования приложения с использованием только синтетических данных".
➡️ Отталкивайтесь от существующих корпоративных ценностей.
Формировать или изменять убеждения проще, если они связаны с уже устоявшимися взглядами и поведением сотрудников.
Пример: "Не имеет значения, что именно программа-вымогатель стала причиной того, что мы не достигли своей цели." (все сотрудники понимают, что недостижение цели равно потере прибыли и потенциальных бонусов в виде премий).
➡️ Усиливайте последствия за счет предполагаемого социального давления.
Можно использовать феномен социального давления, который побуждает нас не причинять вред другим.
Пример: "Утечка персональных данных может разрушить жизнь человека".
➡️ Сделайте это личным.
Восприятие риска меняется, когда можно представить последствия, которые могут затронуть нас.
Пример:"Если вы считаете, что смена пароля доставляет вам много хлопот, то попробуйте изменить свою личность".
➡️ Сделайте это веселым (увлекательным).
Юмор способствует более глубокому сосредоточению и долгосрочному удержанию информации.
Пример: использование мемов и слоганов, высмеивающих пренебрежение правилами кибергигиены.
#awareness #gartner #hrm
В новом исследовании Gartner подчеркивает, что традиционные методы информирования сотрудников о киберрисках и правилах реагирования на них оказываются неэффективными:
большинство сотрудников не осознают личные последствия, возникающие в результате их неправильного поведения в контексте киберрисков
Чтобы повысить эффективность коммуникаций Gartner предлагают следующие рекомендации по изменению стиля общения:
Важно акцентировать внимание на позитивном влиянии действий сотрудников на безопасность компании, а также использовать примеры для подражания, что поможет изменить культурные установки в коллективе.
Пример: "Ребята внедрили полный цикл тестирования приложения с использованием только синтетических данных".
Формировать или изменять убеждения проще, если они связаны с уже устоявшимися взглядами и поведением сотрудников.
Пример: "Не имеет значения, что именно программа-вымогатель стала причиной того, что мы не достигли своей цели." (все сотрудники понимают, что недостижение цели равно потере прибыли и потенциальных бонусов в виде премий).
Можно использовать феномен социального давления, который побуждает нас не причинять вред другим.
Пример: "Утечка персональных данных может разрушить жизнь человека".
Восприятие риска меняется, когда можно представить последствия, которые могут затронуть нас.
Пример:"Если вы считаете, что смена пароля доставляет вам много хлопот, то попробуйте изменить свою личность".
Юмор способствует более глубокому сосредоточению и долгосрочному удержанию информации.
Пример: использование мемов и слоганов, высмеивающих пренебрежение правилами кибергигиены.
#awareness #gartner #hrm
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍8❤2
The 8th Annual Hacker-Powered Security Report by HackerOne🔓
С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.
Главные выводы:
🔣 Генеративный ИИ является одним из самых значительных рисков, а целостность данных (обрабатываемых ИИ) является ключевым приоритетом.
🔣 Исследователи всё больше сосредотачиваются на поиске уязвимостей в мобильных устройствах, API, ИИ-средах.
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
🔣 XSS – остается наиболее распространенной уязвимостью, о которой сообщается в багбаунти-программах, а misconfiguration – при пентестах.
🔣 Багбаунти-программы с высокой отдачей (где более 30% подтвержденных отчетов с high/critical-уязвимостями) имели размер вознаграждения выше среднего, ограничения на участие в программе для доверенных исследователей и более широкий скоуп ресурсов для тестирования.
#h1 #vulnerability #bugbounty
С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.
Главные выводы:
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
#h1 #vulnerability #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥4👍3❤1
Не знаю, с какой целью была создана эта подборка архетипов CISO, но она выглядит интересно как с точки зрения юмора, так и с практической точки зрения. По количеству архетипов даже на подход Кэрол Пирсон накладывается👍
Здесь, например, можно выделить архетип "Славного Малого", напоминающего "Title-Only CISO", который тихо управляет средствами защиты, или "Business CISO" в роли "Любовника", который умеет "залить мёд в уши" и легко защищает бюджет у финансового директора.😏
Шутки шутками, но бизнесу в разные периоды времени, в зависимости от поставленных целей, может потребоваться разный тип CISO. Эту тему, кстати, поднимали в дискуссии на PHDays 2, говоря о том, что цели для CISO ставит именно бизнес и цели эти могут быть крайне противоположными.
#ciso #business #archetype #taxonomy
Здесь, например, можно выделить архетип "Славного Малого", напоминающего "Title-Only CISO", который тихо управляет средствами защиты, или "Business CISO" в роли "Любовника", который умеет "залить мёд в уши" и легко защищает бюджет у финансового директора.
Шутки шутками, но бизнесу в разные периоды времени, в зависимости от поставленных целей, может потребоваться разный тип CISO. Эту тему, кстати, поднимали в дискуссии на PHDays 2, говоря о том, что цели для CISO ставит именно бизнес и цели эти могут быть крайне противоположными.
#ciso #business #archetype #taxonomy
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12❤1🥰1
Кстати, Черная пятница на носу🏷
Репы с подборкой скидок прошлых лет обновлены, поэтому можно посмотреть и прикупить что-нибудь, если есть возможность оплачивать на зарубежных ресурсах🤑
Репы с подборкой скидок прошлых лет обновлены, поэтому можно посмотреть и прикупить что-нибудь, если есть возможность оплачивать на зарубежных ресурсах
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
AlexRedSec
Неминуемо приближается Черная пятница, а значит настало время тратить деньги, хотя это и стало делать сложнее🤷
Уже по традиции можно посмотреть скидки на различные курсы, сервисы и утилиты по направлению ИБ в репозитории InfoSec Black Friday Deals ~ "Friday…
Уже по традиции можно посмотреть скидки на различные курсы, сервисы и утилиты по направлению ИБ в репозитории InfoSec Black Friday Deals ~ "Friday…