Продолжает развиваться проект OpenCRE - агрегатор требований по безопасной разработке из различных стандартов и баз (ASVS, SAMM, ISO27XXX, NIST, CWE, CAPEC и другие).
Проект просто пушка🔥
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐
Проект просто пушка
Недавно разработчики обновили каталог, добавив связи с новыми источниками требований, а на днях выкатили своего чат-бота, с прикрученным PaLM от Google. Преимуществом OpenCRE-chat заявляется высокая точность ответов, так как информация берется из доверенных источников (best practics) и "не захламляется непроверенной информацией с других ресурсов"🧐
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍3🤩2
This media is not supported in your browser
VIEW IN TELEGRAM
Фишинг глазами аналитика SOC
#пятничное
#пятничное
😁17🤡1
В Qualys решили не дожидаться окончания года и выкатили аналитику по ТОП-10 наиболее эксплуатируемым уязвимостям в 2023 году.
По списку популярных у злоумышленников уязвимостей всё примерно ожидаемо. Более привлекает аналитика по "среднему времени жизни" уязвимостей, времени их устранения и статистики по частоте их "патчевания".
Особо наблюдательные могли заметить, что на скрине указано не 10, а 8 уязвимостей - ну просто по ним нет более подробной информации, поэтому их и не отобразили🙂
Главный вывод простой: трендовые уязвимости надо патчить быстро, а противлома APT нет приема.
Здесь нет корреляции между временем обнаружения уязвимости и сроком выпуска патчей вендором. Наглядным примером является уязвимость в MOVEit Transfer - ее довольно быстро обнаружили и выпустили обновление с заплаткой, но это не спасло несколько сотен компаний, так как они затянули с обновлением (и затягивают до сих пор)😐
По списку популярных у злоумышленников уязвимостей всё примерно ожидаемо. Более привлекает аналитика по "среднему времени жизни" уязвимостей, времени их устранения и статистики по частоте их "патчевания".
Особо наблюдательные могли заметить, что на скрине указано не 10, а 8 уязвимостей - ну просто по ним нет более подробной информации, поэтому их и не отобразили
Главный вывод простой: трендовые уязвимости надо патчить быстро, а против
Здесь нет корреляции между временем обнаружения уязвимости и сроком выпуска патчей вендором. Наглядным примером является уязвимость в MOVEit Transfer - ее довольно быстро обнаружили и выпустили обновление с заплаткой, но это не спасло несколько сотен компаний, так как они затянули с обновлением (и затягивают до сих пор)
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🤔2🔥1
Лень заниматься приоритизацией? Хочется сразу иметь перечень уязвимостей, которые точно стоило бы устранить?
Тогда вот ежечасно обновляемый перечень наиболее опасных и эксплуатируемых уязвимостей😉
Список формируется из нескольких источников:
➡️ CISA KEV
➡️ Rapid 7 Metasploit Modules
➡️ Project Discovery Nuclei Templates
➡️ EPSS
На текущий момент чуть более 2000 уязвимостей получается🙂
Подробнее о проекте➡️ Patchthis.app
Тогда вот ежечасно обновляемый перечень наиболее опасных и эксплуатируемых уязвимостей
Список формируется из нескольких источников:
На текущий момент чуть более 2000 уязвимостей получается
Подробнее о проекте
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5👍1😁1🤯1💯1
Splunk продолжает публикацию своих ежегодных исследований "Macro-level ATT&CK Trending", в которых приводится информация о наиболее используемых злоумышленниками техниках и тенденциях в уязвимостях.
Из интересного стоит отметить, что эксплуатация уязвимостей в общедоступных приложениях (T1190) уверенно удерживает лидерство в топе техник по получению первоначального доступа к атакуемым системам и в целом среди всех используемых техник.
p.s. Подробнее про аналитику можно еще посмотреть на гитхабе.
Из интересного стоит отметить, что эксплуатация уязвимостей в общедоступных приложениях (T1190) уверенно удерживает лидерство в топе техник по получению первоначального доступа к атакуемым системам и в целом среди всех используемых техник.
p.s. Подробнее про аналитику можно еще посмотреть на гитхабе.
👍2🔥1
Агентства NSA и CISA выпустили рекомендации по устранению ошибок конфигурации инфраструктуры, к эксплуатации которых чаще всего прибегают злоумышленники.
В документе можно найти ТОП-10 мисконфигов, которые обнаружили вышеуказанные агентства при пентестах и редтиминге организаций, а также при разборе зафиксированных инцидентов.
Для каждого мисконфига приведены рекомендации по устранению/недопущению, а также наложены TTPs из Mitre Att&ck.
В документе можно найти ТОП-10 мисконфигов, которые обнаружили вышеуказанные агентства при пентестах и редтиминге организаций, а также при разборе зафиксированных инцидентов.
Для каждого мисконфига приведены рекомендации по устранению/недопущению, а также наложены TTPs из Mitre Att&ck.
🔥6👍3
AlexRedSec
Нужно.Больше.Матриц. Встречайте MITRE ATT&CK-подобную матрицу тактик, техник и процедур атак, ориентированных на SaaS-приложения. Подробности про 38 техник и примеры атак можно найти в репозитории GitHub.
Матриц много не бывает!
Tidal Cyber собрали данные о тактиках, техниках и процедурах 40 различных шифровальщиков и накидали красивую матрицу - с пруфами и сигма-правилами.
Помимо вышеуказанной матрицы, на сайте можно найти еще несколько - например, с TTP's группировок, нацеленных на игорные заведения🎲
Tidal Cyber собрали данные о тактиках, техниках и процедурах 40 различных шифровальщиков и накидали красивую матрицу - с пруфами и сигма-правилами.
Помимо вышеуказанной матрицы, на сайте можно найти еще несколько - например, с TTP's группировок, нацеленных на игорные заведения🎲
🔥4👍1
AlexRedSec
SSVC - свежепрезентованная методика приоритезации устранения уязвимостей от агентства CISA! Методика определяет четыре приоритета: 🔸 Track 🔸 Track* 🔸 Attend 🔸 Act Дерево принятия решений базируется на следующих критериях и их значениях: 🔸 Exploitation status…
Еще один риск-ориентированный подход к приоритизации устранения уязвимостей?🧐
Если кратко, то это "допиленный" до более-менее практического использования подход SSVC (Stakeholder-Specific Vulnerability Categorization) к приоритизации от агентства CISA.
Автор работы описывает какие источники информации могут использоваться для выбора значения критерия согласно дереву принятия решений по SSVC.
В целом, довольно очевидные источники - параметры CVSS, EPSS, CISA KEV и иные TI-источники. Разве что BugBounty и Incident Response тут выделяются, но как источники об активной эксплуатации уязвимости они тоже вполне очевидны, правда тут уже играет роль уровень зрелости организации.
Единственный критерий для которого не определены источники или уровни - это "Mission & Well-being", но здесь можно пофантазировать и привязать популярные ныне недопустимые события😉
Если кратко, то это "допиленный" до более-менее практического использования подход SSVC (Stakeholder-Specific Vulnerability Categorization) к приоритизации от агентства CISA.
Автор работы описывает какие источники информации могут использоваться для выбора значения критерия согласно дереву принятия решений по SSVC.
В целом, довольно очевидные источники - параметры CVSS, EPSS, CISA KEV и иные TI-источники. Разве что BugBounty и Incident Response тут выделяются, но как источники об активной эксплуатации уязвимости они тоже вполне очевидны, правда тут уже играет роль уровень зрелости организации.
Единственный критерий для которого не определены источники или уровни - это "Mission & Well-being", но здесь можно пофантазировать и привязать популярные ныне недопустимые события
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1🖕1
AlexRedSec
Видимо начался очередной виток унижения системы CVE и верификации уязвимостей при публикации в базе NVD🙂 Вот на днях у одного из разработчиков утилиты curl бомбануло от того, что несколькими днями ранее кто-то опубликовал в каталоге NVD уязвимость CVE-2020…
После кейса "это баг, а не вулна" автор curl напугал всех самой "худшей проблемой безопасности в curl за долгое время" - это он про уязвимость CVE-2023-38545😱
Как оказалось, всё не так страшно с этой уязвимостью - просто автор curl, возможно, немного впечатлительный, а может это связано с тем, что за эту вулну пришлось выложить 4600$ вознаграждения на багбаунти-площадке🤣
В общем и целом, надо быть на позитиве и планово обновить curl😌
Как оказалось, всё не так страшно с этой уязвимостью - просто автор curl, возможно, немного впечатлительный, а может это связано с тем, что за эту вулну пришлось выложить 4600$ вознаграждения на багбаунти-площадке
В общем и целом, надо быть на позитиве и планово обновить curl😌
Please open Telegram to view this post
VIEW IN TELEGRAM
🫡4👍2
Вот уже третий год выходит масштабное исследование "Oh, Behave!" от Cybsafe, приуроченное к месяцу повышения осведомленности в кибербезопасности.
Очень наглядное пособие о том, как различные поколения людей относятся к рискам и правилам кибербезопасности. Респондентам задавали вопросы о гигиене использования паролей, установки обновлений, инструктажах, онлайн-мошенничествах и пр.
Из интересного про использование паролей:
➡️ Старшие поколения чаще используют свою методику для создания уникальных паролей, чем молодежь - поколение Z и миллениалы всё чаще полагаются на сгенерированные веб-сайтами и приложениями сложные пароли, а также используют при смене паролей плохую практику, изменяя 1-2 символа в текущем пароле.
➡️ Молодые люди чаще пользуются паролями длиннее 12 символов (видимо вытекает из первого утверждения).
➡️ Большинство респондентов, независимо от возраста, используют пароли длинной от 9 до 11 символов.
Помимо различной статистики, в отчете можно найти рекомендации, призванные повысить качество обучения и в целом изменить отношение людей к вопросам кибербезопасности.
Очень наглядное пособие о том, как различные поколения людей относятся к рискам и правилам кибербезопасности. Респондентам задавали вопросы о гигиене использования паролей, установки обновлений, инструктажах, онлайн-мошенничествах и пр.
Из интересного про использование паролей:
Помимо различной статистики, в отчете можно найти рекомендации, призванные повысить качество обучения и в целом изменить отношение людей к вопросам кибербезопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4