Государственное управление, информационные технологии и связь, коммунальное хозяйство, транспорт и складирование, финансы и страхование — наиболее страдающие от киберинцидентов отрасли экономики РФ по количеству подтвержденных кибератакℹ️.

Если верить статистике Центра международных исследований в области безопасности в Мэриленде, приведенной в документе "Cybersecurity Economics for Emerging Markets", то Россия входит в пятерку стран, наиболее подверженных кибератакам, за период с 2014 по 2023 гг. по отраслям экономики, указанным в заголовке поста.
Может, не всё так и плохо: вон, США везде в топе😄
А если смотреть на кол-во инцидентов, приходящихся на 1000 человек населения, то совсем всё неплохо — нас в топах нет😁

Сам документ, изданный Всемирным Банком примечателен тем, что для анализа ландшафта киберугроз использовались обширные данные об киберинцидентах, собранных с помощью инструментов ИИ. Исследование связывает киберриски с экономическими последствиями, выявляя существенные потери ВВП и проблемы рынка кибербезопасности в развивающихся странах🥱.
Звучит, может, не очень интересно, но можно почерпнуть полезную информацию, а если заглянуть в раздел приложений, то можно найти аналитику по влиянию крупных киберинцидентов на стоимость акций компаний💵

#breach #costs #stock #economics

Не являюсь поклонником подведения итогов, но созерцая результаты статистики канала за 2024 год, хочу сказать спасибо всем подписчикам и коллегам за Ваше признание, поддержку и советы🥰
Канал подрос (и я тоже😅), появился в подборке популярных каналов по кибербезопасности и даже залетел в один уважаемый топ🙏

Всем ещё раз спасибо и с наступающими праздниками!🎄

Перенёс в статью на телетайп и обновил список агрегаторов трендовых/обсуждаемых уязвимостей.

Новое в подборке:
🟠CVESky — агрегатор обсуждаемых уязвимостей в децентрализованной сети микроблогов BlueSky. Есть топы за каждый день, а для уязвимостей приводится описание, оценка CVSS, наличие эксплойта, вхождение в каталог CISA KEV, а также ссылки на ресурсы, где можно почитать подробнее про уязвимость, в т.ч. ссылка на ресурс с таймлайном жизни уязвимости.
🟠Vulnerability-lookup — ресурс Люксембургского CERT, где помимо общей информации об уязвимостях есть информация об упоминании в социальных сетях и иных ресурсах, а также топы уязвимостей по упоминаниям за неделю. Статистику можно скачивать по API.

#cve #trends #vulnerability #prioritization

400 евро за ip-адрес и кукисы💸

Еврокомиссию, высший орган исполнительной власти Европейского союза, ответственный за подготовку законопроектов (в т.ч. GDPR), впервые оштрафовали за нарушение собственных же требований по защите персональных данных😅

Суть дела:
🟢Гражданин Германии подал иск против Европейской Комиссии, утверждая, что при посещении веб-сайта "Конференции о будущем Европы" его персональные данные (ip-адрес и кукисы браузера) были переданы компаниям Meta Platforms, Inc. (признана в РФ экстремистской) и Amazon CloudFront в нарушение установленных требований законодательства ЕС.
🟢Заявитель воспользовался возможностью входа на сайт конференции по кнопке "Войти с помощью Facebook" (социальная сеть Facebook запрещена на территории РФ).
🟢Заявитель утверждал, что при передаче информации возник риск того, что к его персональным данным получат доступ службы безопасности и разведки США🕵️‍♂️

Итоги судебного разбирательства:
🟢Суд установил, что на момент передачи данных не было решения Еврокомиссии о том, что США обеспечивают адекватный уровень защиты персональных данных граждан ЕС. Комиссия также не предоставила доказательств наличия соответствующих гарантий, таких как стандартные положения о защите данных или договорные положения.
🟢Суд установил, что Еврокомиссия нарушила условия, установленные законодательством ЕС, для передачи персональных данных из организации ЕС в третью страну, но только в отношении передачи информации в сторону Meta Platforms, Inc. (признана в РФ экстремистской), т.к. передача данных в сторону Amazon не подтвердилась (кэширующий сервер CDN был размещен на территории Германии).
🟢Суд постановил, что Комиссия должна выплатить истцу 400 евро в качестве компенсации за нематериальный ущерб, связанный с "неопределенностью в отношении обработки его персональных данных, в частности, его IP-адреса".💰

Что ж, интересный прецедент получился: с одной стороны, показательно, что орган, фактически создавший GDPR, не уследил за своими ресурсами и позволил себе нарушить требования по защите персональных данных, а с другой стороны – не специально ли гражданин сначала зарегистрировался, чтобы потом подать иск и получить более крупную компенсацию?🤔

OWASP Non-Human Identities Top 10 - 2025🤖

В конце прошлого года OWASP опубликовал новый проект, в котором были описаны и проранжированы основные риски, связанные с использованием не-человеческих идентификаторов в процессах разработки ПО.
Под "не-человеческими идентификаторами" (машинными идентификаторами или программными учетными данными) понимаются токены, ключи API, сервисные/технические учетные записи, используемые приложениями, службами, процессами и т.д.
Не-человеческие идентификаторы (далее — НЧИ), которые часто используются для автоматизации процессов, доступа к ресурсам и взаимодействия между системами, являются привлекательной мишенью для злоумышленников, если не управляются должным образом.

Перечень рисков был был сформирован на основе анализа реальных киберинцидентов, опросов, баз данных уязвимостей и других источников, с использованием методологии OWASP Risk Rating:
🔴Некорректный (ненадлежащий) вывод из эксплуатации НЧИ — риск заключается в том, что злоумышленник может использовать НЧИ, извлеченные из устаревших или уже неиспользуемых служб, сервисов или функционала ПО.
🔴Утечка секретов — раскрытие секретов, используемых НЧИ, может привести к несанкционированному доступу. Например, когда секреты передаются и хранятся в открытом виде.
🔴Использование уязвимых сторонних компонент с НЧИ — создает риск раскрытия НЧИ при возможной компрометации стороннего ПО или наличия уязвимостей в нем.
🔴Небезопасная аутентификация — использование устаревших, слабых механизмов аутентификации позволяет извлекать секреты НЧИ.
🔴Использование НЧИ с избыточными привилегиями — НЧИ, имеющие больше прав доступа, чем им необходимо для выполнения своих задач, представляют повышенный риск, так как их компрометация может привести к большему ущербу (компрометации большей части инфраструктуры).
🔴Небезопасные конфигурации облачных развертываний — при интеграциях конвейера разработки с облачными сервисами существует риск компрометации среды разработки, связанный с возможным раскрытием учетных данных, с помощью которых настраивается эта интеграция.
🔴Долгоживущие секреты — отсутствие ротации или слишком большой срок жизни секретов увеличивает риск их компрометации, позволяя злоумышленнику использовать, например, специфичные атаки или сохранять длительный доступ к скомпрометированной инфраструктуре.
🔴Изоляция сред — использование одних и тех же НЧИ в различных окружениях может позволить злоумышленнику успешно перемещаться между средами разработки (например, из среды тестирования в прод).
🔴Переиспользование НЧИ — использование одних и тех же НЧИ для разных целей увеличивает поверхность атаки и риск компрометации нескольких приложений, сервисов, служб.
🔴Использование НЧИ человеком — создает значительные риски безопасности, связанные с возможным повышением привилегий НЧИ, увеличением поверхности атаки (например, кража секретов НЧИ у сотрудника с помощью атак социальной инженерии), затруднение аудита доступов и расследования потенциальных инцидентов (из-за смешения автоматических операций с ручными).

Для каждого риска приводится подробное описание, сценарии возможных атак, меры митигации, аналитика на основе реальных инцидентов и ранжирование по уровню критичности (в разрезе сложности эксплуатации злоумышленником, влияния, распространенности атак и сложности их обнаружения).

#owasp #nhi #identities #risk #secrets

Ассоциация британских страховщиков разработала мини-фреймворк для "правильного" анализа крупных киберинцидентов с точки зрения страхования и перестрахования.
Цели документа:
🟠Повышение осведомленности о киберрисках и их компонентах.
🟠Определение риск-аппетита и улучшение решений в области страхования киберрисков.
🟠Улучшение коммуникаций между участниками процесса страхования.
🟠Единый подход к определению крупных киберинцидентов.
🟠Понять как заработать больше денег на клиентах

Для достижения заявленных целей предлагается "раскладывать" крупный киберинцидент на семь основных компонент:
🟢Кто (атрибуция) – атрибуция важна для оценки источника потерь, создания картины угроз и понимания первопричины киберсобытия.
Также отмечается, что события могут быть идентифицированы как незлонамеренные: например, в 2024 году было несколько киберинцидентов, связанных со сбоями в средствах защиты информации (самый громкий, конечно, кейс CrowdStrike).
🟢Что (причина потерь) – определение объединяющего фактора (общей причины, события или риска), который привел к возникновению киберинцидента. С точки зрения страхования это важно для возможности агрегирования убытков, когда множественные претензии объединяются по одному событию (причине), что влияет на страховые выплаты.
🟢Где (страховой след) – определение масштаба киберсобытия с учетом цифровой экосистемы, географии, типа технологии и отраслевого сектора.
🟢Когда (начало и продолжительность) – звучит понятно, но на деле определение временных окон очень сложно, т.к. почти всегда сложно определить когда начался киберинцидент и закончился ли он. В документе приводятся подходы для определения временных рамок инцидентов.
🟢Как (механизм распространения) – данный компонент описывает механизм распространения вредоносных файлов, кода или активности во время киберинцидента. Понимание этого механизма важно для определения масштаба потенциального ущерба, возможности агрегирования убытков и оценки эффективности мер управления рискам.
🟢Почему (мотив) – помогает понять причины и цели кибератаки, что важно для определения потенциальных последствий, объема страхового покрытия и разработки мер реагирования.
🟢Влияние (убыток) – помогает количественно оценить серьезность киберсобытия с точки зрения финансовых потерь и определить, является ли событие значительным с точки зрения страхования и экономики. Этот компонент также учитывает различные типы убытков и их изменчивость в зависимости от других компонентов.

Примечательно, что для каждого компонента приводятся пояснения на примерах реальных инцидентов (Colonial Pipeline, NotPetya, CrowdStrike и другие громкие кейсы).

#insurance #loss #breach

Очередной новый агрегатор обсуждаемых уязвимостей Fedi Sec Feeds🔖
На этот раз аналог проекта CVECrowd – тоже пылесосит посты из пространств Fediverse.
Помимо описания уязвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.

p.s. Подборку агрегаторов в статье на телетайпе тоже обновил📝

#cve #trends #vulnerability #prioritization

Компьютерные сети и кибербезопасность вошли в тройку ключевых навыков, востребованность которых будет стремительно расти к 2030 году🔝

Всемирный экономический форум представил интересный отчет "The Future of Jobs Report 2025", в котором проанализированы прогнозы более 1000 работодателей по всему миру о трансформации рынка труда к 2030 году.

Согласно выводам отчета, на данный момент профессии, связанные с навыками в области компьютерных сетей и кибербезопасности, не считаются основными и критически важными (см. рис.), однако к 2030 году их значимость и востребованность ожидают кратный рост.📈
Что ещё интересного пишут про навыки по направлению компьютерных сетей и кибербезопасности:
🟢Тесно связаны с развитием технологий искусственного интеллекта и больших данных.
🟢Традиционно востребованы в сфере телекоммуникаций, финансов и инвестиций.
🟢Развитие этих навыков не только создает новые рабочие места, но и трансформирует существующие, требуя от работников постоянного обучения и адаптации к новым технологиям.
🟢Это не просто технический навык, а стратегически важный элемент для будущей рабочей силы. Подчеркивается, что инвестиции в развитие этих навыков необходимы для обеспечения конкурентоспособности и безопасности организаций в условиях быстро меняющегося технологического ландшафта.

В целом по технологическим навыкам:
🟢В топе сейчас и в ближайшую пятилетку навыки в области ИИ и больших данных, а также технологическая грамотность (это не просто умение пользоваться гаджетами, а комплексное понимание и применение технологий для решения различных задач и адаптации к технологическим изменениям).
🟢Программирование остается важным навыком, но уже не демонстрирует взрывного роста, что связано с ростом автоматизации и развитием ИИ.

#wef #job #skill #future #networks #cybersecurity

Агентство CISA и ФБР выпустили обновленную версию совместного руководства, посвященного плохим практикам в области продуктовой ИБ.

Помимо точечных уточнений к первоначальной десятке "неблагонадежных" практик добавилось ещё три:
🟠Использование устаревших/ненадежных алгоритмов шифрования и/или отсутствие шифрования пре передаче/хранении конфиденциальной информации.
🟠Использование жестко закодированных учетных данных или секретов в исходном коде.
🟠Отсутствие конкретной и четкой информации о периоде поддержки ПО производителем.

Документ содержит рекомендации по снижению рисков, связанных с указанными практиками, а также ссылки на дополнительные полезные материалы.

#cisa #vulnerability #cwe #bestpractices #badpractices #kev #mfa

Консалтинговая компания Wavestone представила отчет с анализом ключевых тенденций в кибербезопасности на 2025 год и ближайшее будущее, традиционно сопроводив его визуализацией в виде радара, разделенного на шесть секторов-направлений в кибербезопасности и три уровня зрелости.

Выделяется три основных направления, которые будут формировать ландшафт кибербезопасности в 2025 году:
1️⃣ Необходимость рационализации и оптимизации.
🟢Оптимизация процессов и инструментов (в основном речь про дублирование функций)
🟢Управление командами (командный дух, развитие, "умный найм")
🟢Демонстрация ценности кибербезопасности (финансовая оценка киберрисков, осознание ценности для бизнеса)
2️⃣ Масштабирование главных кибервызовов.
🟢Расширение периметра безопасности (необходимость контроля за дочерними организациями и поставщиками услуг)
🟢Развитие роли CISO (появляются новые роли, например, Chief Identity Officer)
🟢Совершенствование SOC (оптимизация, автоматизация, переосмысление тех.стека, пересмотр схемы управления данными)
🟢Управление уязвимостями (внедрение подхода Центра управления уязвимостями в роли оркестратора)
🟢Усиление защиты данных (внедрение DSP/DSPM)
🟢Безопасность искусственного интеллекта (необходимы меры для обеспечения безопасности ИИ, как в качестве инструмента, так и в качестве объекта защиты)
3️⃣ Управление регуляторными требованиями.
🟢Формирование команды для отслеживания всех регуляторных требований и интеграции в дорожные карты развития кибербезопасности организации. Необходимость более тесного сотрудничества с регуляторами.

Будущие вызовы, которые начнут занимать центральное место в 2025 году:
🟠Безопасность IAM
🟠Безопасность цифровых продуктов
🟠Использование ИИ в кибербезопасности
🟠Усиление киберустойчивости промышленных систем управления
🟠Постквантовая криптография
🟠Управление дезинформацией

#ciso #future #risk #radar

От зарплатных ведомостей до патентов🫢

Компания Harmonic, специализирующаяся на разработке решений для безопасного внедрения и использования искусственного интеллекта в организациях, опубликовала интересное исследование на тему утечки данных при использовании инструментов генеративного ИИ.

Анализ запросов, вводимых сотрудниками клиентов в популярных чат-ботах, показал, что 8,5% из них содержали конфиденциальную информацию, классифицированную следующим образом (в порядке убывания):
➡️Данные клиентов (биллинговая информация, данные аутентификации, платежная информация и отчеты).
➡️Данные сотрудников (зарплатные ведомости, персональные данные и информация о трудоустройстве).
➡️Финансовая и юридическая информация (патенты, информация о сделках, инвестициях).
➡️Политики, отчеты безопасности, а также конфигурации различного оборудования и ПО, в т.ч. отчеты об инцидентах и логи доступа🥲
➡️Программный код и ключи доступа (токены и т.п.)

Рекомендации по недопущению утечек данных:
🟢Обучение сотрудников правилам и рискам использования инструментов генеративного ИИ.
🟢Внедрение правил и политик допустимого использования инструментов генеративного ИИ.
🟢Классификация конфиденциальных данных "на лету" при вводе информации.
🟢Использование решений для возможности мониторинга в реальном времени и отслеживание вводимых промпт-запросов (командами безопасности).
🟢Исключение использования бесплатных инструментов генеративного ИИ, которые обучаются на вводимых данных.

#ИИ #утечка #ai #leak

Интересная визуализация ландшафта рисков кибербезопасности, связанных с системами искусственного интеллекта, в виде "периодической таблицы"🧠

Автор: Iryna Schwindt.
#ai #risk #visualization #ии #риск #визуализация

В США продвигают идею сертификации программного обеспечения по требованиям безопасности⁉️

CISA совместно с ещё несколькими американскими агентствами выпустили совместный манифест на тему устранения пробелов в понимании программного обеспечения📣
Под "пониманием ПО" подразумевается практика построения и оценки систем, управляемых программным обеспечением, для проверки их функциональности, безопасности и защиты во всех условиях (нормальных, аномальных и враждебных).
Пробелы в данном направлении приводят к неспособности эффективно создавать ПО без дефектов, исправлять их после обнаружения, поддерживать ПО в необходимом темпе и масштабе, защищая от возможных случаев эксплуатации уязвимостей.

В документе заявляется, что только за 2022 год экономические потери, связанные с дефектами ПО, оценивались в более чем 2 триллиона долларов: это средства затраченные на устранение операционных сбоев, замену устаревших систем, устранение дефектов, уязвимостей и последствий кибератак на объектах критической инфраструктуры США. В качестве наглядных кейсов приводятся атака шифровальщика на компанию Colonial Pipeline, компрометация цепочки поставок SolarWinds, атаки Volt Typhoon и Salt Typhoon.

В качестве меры митигирования авторы рекомендуют разработчикам ПО внедрять процесс аттестации программного обеспечения доверенной третьей стороной в рамках подхода "secure by design", а клиентам — приобретать сертифицированные таким образом продукты. При этом в качестве (положительного) примера приводится политика Китая по снижению зависимости от иностранного ПО, а также требования по раскрытию исходного кода средств защиты информации для сертификации по требованиям безопасности ФСТЭК РФ😅
А ведь в 2018 году АНБ заявляло, что такой подход Китая и РФ (к раскрытию кода) связан исключительно для выявления слабых мест в иностранном ПО с целью использования в кибератаках гос.уровня🤔

#attestation #vulnerability #cisa #сертификация

Несколько агентств кибербезопасности (CCCS, NCSC-UK, ACSC, CISA) подготовили и представили набор рекомендаций по защите сетевых устройств, расположенных на границе сети (граничных/периферийных, кому как нравится), таких как межсетевые экраны, маршрутизаторы, шлюзы VPN, IoT-устройства и т.п.

Были опубликованы следующие документы:
1️⃣Обзор угроз и вопросов безопасности граничных сетевых устройств. Он также включает в себя примеры компрометации устройств (разбор "громких" уязвимостей), рекомендации и меры по защите и/или смягчению последствий от атак.
2️⃣ Руководство по настройке механизмов логирования и мониторинга событий в сетевых устройствах, которая обеспечит возможность полноценного проведения расследований инцидентов или компрометации самих устройств.
3️⃣ Набор рекомендаций для руководства и специалистов по мерам защиты для всех этапов жизненного цикла оборудования, начиная с его закупки и заканчивая выводом из эксплуатации.

#network #guidance #mitigation #firewall #router #vpn #iot

🛠100 тикетов в бэклоге🛠

Компания Zest Security констатирует, что организации научились находить/определять угрозы и уязвимости в своей облачной инфраструктуре, но ещё не смогли в процессы устранения и снижения рисков🤷‍♀️
В подтверждение приводится следующая статистика:
🟠Более 60% инцидентов связаны с рисками, которые уже были известны организации и по которым имелись открытые тикеты на устранение.
🟠Организациями требуется в 10 раз больше времени на устранение уязвимости, чем злоумышленникам для их эксплуатации.
🟠Почти 90% организаций имеют в бэклоге более 100 критических тикетов, более 70% открывают ежемесячно ещё по 55 тикетов, а 45% закрывают только 10 тикетов в месяц.
🟠6-8 рабочих дней в месяц уходит на анализ, подтверждение и приоритизацию уязвимостей.
🟠Устранение уязвимостей, связанных с ошибками конфигурирования, занимает в среднем 3,5 недели, а устранение уязвимостей приложений — в среднем 6-8 недель.
🟠Более 4 сотрудников, участвует в работах, связанных с сопровождением тикета на устранение уязвимости.

Что предлагают авторы и опрошенные респонденты для решения этой проблемы:
🟢Приоритизация на основе усилий — приоритизация задач исходя из того, сколько рисков можно закрыть с наименьшими усилиями.
🟢Автоматизация процессов, таких как триаж, поиск первопричин, определение ответственных и приоритизация.
🟢Применение компенсирующих мер в тех случаях, когда полное устранение невозможно или трудозатратно.

#vm #visibility #risk #vulnerability #prioritization #mttr #automation

Наконец-то кто-то поделился рекомендациями как правильно читать цикл развития технологий от Гартнер😁

#gartner #hypecycle #humor