Агентство CISA с коллегами по цеху опубликовало бюллетень с аналитикой по регулярно эксплуатируемым злоумышленниками уязвимостям за 2022 год.
В бюллетене приведена информация о 12 "топовых" уязвимостях и... о ещё 30 также часто эксплуатируемых уязвимостях😅
➡️ Из новшеств по сравнению с прошлогодними бюллетенями - появление информации о дефектах CWE, связанных с приведенными CVE.
➡️ Из интересных выводов - в 2022 году чаще эксплуатировали "прошлогодние" уязвимости, вплоть до обнаруженных в 2016 году.
В бюллетене приведена информация о 12 "топовых" уязвимостях и... о ещё 30 также часто эксплуатируемых уязвимостях😅
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2😱1
Между делом Cyentia Institute выпустил уже девятое исследование на тему приоритезации устранения уязвимостей и, в целом, по сложным вопросам управления уязвимостями.
В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).
Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.
В последнем отчете понравилось сравнение различных стратегий устранения уязвимостей по критериям покрытия и эффективности как в случае использования по отдельности, так и в случаях комбинирования методов (и источников информации).
Все выпуски отчетов серии "Prioritization to Prediction" можно почитать тут.
🔥6👍2
Презентации с недавно прошедшей конференции Black Hat USA 2023
GitHub
Conferences/Black Hat USA 2023 slides at main · onhexgroup/Conferences
Conference presentation slides. Contribute to onhexgroup/Conferences development by creating an account on GitHub.
❤4👍2🔥1
Залипательная инфографика и аналитика по эксплуатируемым уязвимостям🤩
Можно посмотреть топы категорий по различным критериям (критичность, вендор, оценка EPSS и т.д.), а также посмотреть информацию о количестве эксплоитов и их популярности.
⚠️ Будьте бдительны! Данная инфографика вызывает привыкание и периодически сильно нагружает браузер - можете "залипнуть" как вы, так и ваш браузер😂
Можно посмотреть топы категорий по различным критериям (критичность, вендор, оценка EPSS и т.д.), а также посмотреть информацию о количестве эксплоитов и их популярности.
⚠️ Будьте бдительны! Данная инфографика вызывает привыкание и периодически сильно нагружает браузер - можете "залипнуть" как вы, так и ваш браузер
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍3❤1
Вдогонку тому, что половину бюджета CISO тратят на инструменты класса IAM, не менее интересная информация о ТОП-10 инструментов, на которые ежегодно тратятся CISO.
Как видно, IAM действительно популярен последние два года, а вот endpoint-решениями видимо все уже закупились🙂
p.s. Информация из отчета "Cybersecurity Perspectives 2023".
Как видно, IAM действительно популярен последние два года, а вот endpoint-решениями видимо все уже закупились
p.s. Информация из отчета "Cybersecurity Perspectives 2023".
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🤔2
Хех, на днях кто-то нашел sql-инъекцию в приложении DVWA v.1.0 и на радостях решил забронировать себе номерок CVE для этой уязвимости, о чем говорит запись в каталоге NVD с идентификатором CVE-2023-39848.
А тут даже отчет лежал...
Всё бы ничего, но приложение DVWA - это, дословно, "Damn Vulnerable Web Application", т.е. широко известное (но видимо в узких кругах) учебное приложение, созданное для изучения дефектов и веб-уязвимостей🙂
Возможно, кто-то решил пошутить или проводит исследование на тему публикации, верификации уязвимостей и уровне доверия к публичным источникам🤔
А тут даже отчет лежал...
Всё бы ничего, но приложение DVWA - это, дословно, "Damn Vulnerable Web Application", т.е. широко известное (но видимо в узких кругах) учебное приложение, созданное для изучения дефектов и веб-уязвимостей
Возможно, кто-то решил пошутить или проводит исследование на тему публикации, верификации уязвимостей и уровне доверия к публичным источникам
Please open Telegram to view this post
VIEW IN TELEGRAM
😁10👍2😱1💩1🗿1
AlexRedSec
Хех, на днях кто-то нашел sql-инъекцию в приложении DVWA v.1.0 и на радостях решил забронировать себе номерок CVE для этой уязвимости, о чем говорит запись в каталоге NVD с идентификатором CVE-2023-39848. А тут даже отчет лежал... Всё бы ничего, но приложение…
Видимо начался очередной виток унижения системы CVE и верификации уязвимостей при публикации в базе NVD🙂
Вот на днях у одного из разработчиков утилиты curl бомбануло от того, что несколькими днями ранее кто-то опубликовал в каталоге NVD уязвимость CVE-2020-19909, попутно присвоив довольно критичную оценку в 9.8🤯
Мало того, что идентификатор числится за 2020 годом, а опубликован недавно, так еще и преувеличивают масштаб проблемы безопасности (по версии разработчиков этот баг вообще не влияет на безопасность).
В общем и целом, в очередной раз подсвечены проблемы оценки и верификации уязвимостей🤓
p.s. Баг в curl был устранен сразу же после того, как о нем заявили разработчикам еще осенью 2019 года😏
p.p.s. В бюллетене Ubuntu уязвимость помечена как "низкоприоритетная".
Вот на днях у одного из разработчиков утилиты curl бомбануло от того, что несколькими днями ранее кто-то опубликовал в каталоге NVD уязвимость CVE-2020-19909, попутно присвоив довольно критичную оценку в 9.8🤯
Мало того, что идентификатор числится за 2020 годом, а опубликован недавно, так еще и преувеличивают масштаб проблемы безопасности (по версии разработчиков этот баг вообще не влияет на безопасность).
В общем и целом, в очередной раз подсвечены проблемы оценки и верификации уязвимостей
p.s. Баг в curl был устранен сразу же после того, как о нем заявили разработчикам еще осенью 2019 года
p.p.s. В бюллетене Ubuntu уязвимость помечена как "низкоприоритетная".
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥2😁1
CIS (Center for Internet Security) выпустил интересное руководство по стоимости внедрения базовых мер CIS Controls (Implementation Group 1).
Для реализации каждой меры приведен перечень инструментов для внедрения и, соответственно, их базовая стоимость в зависимости от "размера" организации (методика профилирования также приведена).
Для реализации каждой меры приведен перечень инструментов для внедрения и, соответственно, их базовая стоимость в зависимости от "размера" организации (методика профилирования также приведена).
👍11🔥4
Компания Flashpoint опубликовала полугодовой отчет "Sales and Purchases of Vulnerability Exploits" о рынке эксплойтов - что продают, что хотят купить злоумышленники и по какой цене.
На скринах приведены "популярные" уязвимости, эксплойтами для которых активно интересовались в первый и второй кварталы этого года. В целом, в списках довольно ожидаемые "участники" - выделяется, пожалуй (для нашего рынка), только уязвимость для сетевого оборудования вендора Drytek.
Разброс цен - от 600 до 30000💰
На скринах приведены "популярные" уязвимости, эксплойтами для которых активно интересовались в первый и второй кварталы этого года. В целом, в списках довольно ожидаемые "участники" - выделяется, пожалуй (для нашего рынка), только уязвимость для сетевого оборудования вендора Drytek.
Разброс цен - от 600 до 30000💰
👍2🔥1🤔1
Cyentia Institute провел анализ данных, предоставленных компанией XM Cyber из их продукта класса CTEM (Continuous Threat Exposure Management), и на основе полученных результатов выкатил интересное исследование "Navigating the Paths of Risk: The State of Exposure Management in 2023".
В отчете привлекла аналитика по популярным уязвимостям, которые могут быть использованы (до сих пор) для реализации кибератак в организациях (первый скрин).
Например, уязвимости в ПО UltraVNC и aPAColypse, выявленные в 2017-2019 годах, наряду с EternalBlue и BlueKeep, всё еще не везде устранены... И это с учетом того факта, что в этих организациях, судя по всему, есть приличные бюджеты на КБ раз они купили решение класса CTEM/APM🤪
А всё почему?А потому что, цитирую, "it
can take a surprisingly long time to remediate vulnerabilities in enterprise environments"🥲
В подтвеждение этому информация о времени устранения выявленных уязвимостей на втором скрине - на ликвидацию их всех может уходить больше 6 месяцев! И это речь лишь про активно эксплуатируемые уязвимости😵💫
В отчете привлекла аналитика по популярным уязвимостям, которые могут быть использованы (до сих пор) для реализации кибератак в организациях (первый скрин).
Например, уязвимости в ПО UltraVNC и aPAColypse, выявленные в 2017-2019 годах, наряду с EternalBlue и BlueKeep, всё еще не везде устранены... И это с учетом того факта, что в этих организациях, судя по всему, есть приличные бюджеты на КБ раз они купили решение класса CTEM/APM
А всё почему?А потому что, цитирую, "it
can take a surprisingly long time to remediate vulnerabilities in enterprise environments"🥲
В подтвеждение этому информация о времени устранения выявленных уязвимостей на втором скрине - на ликвидацию их всех может уходить больше 6 месяцев! И это речь лишь про активно эксплуатируемые уязвимости😵💫
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🤔2❤1🔥1
Для интересующихся забугорным рынком кибербезопасности и инвестициями советую полистать полугодовой отчет "Cybersecurity Market Review" от Momentum Cyber.
Как констатируют в исследовании, рынок КБ восстанавливается, хотя и активность меньше, чем за аналогичный период 2022 года.
Инвесторы обращают активное внимание на сектор безопасности для AI-технологий, а также безопасность данных и управление идентификацией и доступом.
Помимо обзора рынка еще можно найти небольшие обзоры конференций, громких взломов и тенденций за первое полугодие 2023 года.
p.s. На карте рынка кибербезопасности можно найти и отечественного вендора😎
Как констатируют в исследовании, рынок КБ восстанавливается, хотя и активность меньше, чем за аналогичный период 2022 года.
Инвесторы обращают активное внимание на сектор безопасности для AI-технологий, а также безопасность данных и управление идентификацией и доступом.
Помимо обзора рынка еще можно найти небольшие обзоры конференций, громких взломов и тенденций за первое полугодие 2023 года.
p.s. На карте рынка кибербезопасности можно найти и отечественного вендора
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥4