Встречаем ещё один новый подход к управлению уязвимостями — Proactive Vulnerability Patch Management Lifecycle (PVPM)🤔
Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё😁
Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе👨💻
Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз:
➡️ Инвентаризация — классический этап, основной целью которого является определение неиспользуемого ПО (которое проще удалить, чем обновлять).
➡️ Приоритизация — на данном этапе происходит приоритизация обновления ПО, основываясь на четырех критериях, о которых написано ниже.
➡️ Автоматическая установка обновлений — тот самый автопатчинг с упором на обязательное тестирование и автоматизацию.
Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)😐
Дерево принятия решения основывается на четырех критериях:
🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО?
🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО?
🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО?
🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)?
В итоге всё сводится к трём действиям:
🛠 Удалению неиспользуемого ПО
🛠 Настройке и применению автопатчинга
🛠 "Бездействию", а точнее — обновлению ПО по необходимости
🤔 Подход не лишен недостатков, как и любой другой, но интересен и вполне применим. Думаю, что Александру Леонову точно понравится😄
#cve #vulnerability #prioritization #ssvc #patchmanagement
Да, это не шутка, под капотом старый добрый патч-менеджмент, но приправленный приоритизацией — куда уж нам без неё
Следуя современным тенденциям, автор использует четырехбуквенные аббревиатуры и периодически подшучивает над вендорами и пытается обратить внимание Gartner к своей работе
Если отбросить в сторону шутки и присмотреться к PVPM, то увидим, что он состоит из трех фаз:
Для этапа приоритизации автор тоже не поскупился и ввёл название Stakeholder-Specific Patching Prioritization (SSPP)
Дерево принятия решения основывается на четырех критериях:
🔸Attack History — были ли атаки, использующие уязвимости в рассматриваемом ПО?
🔸Exploit History — публиковались ли эксплойты или иные данные, позволяющие проэксплуатировать уязвимость в рассматриваемом ПО?
🔸Vulnerability History — есть ли в целом информация о возможных уязвимостях (CVE) в рассматриваемом ПО?
🔸Current Exposure — участвует ли ПО в процессе обработки данных и в какой зоне (интернет/интранет/локально)?
В итоге всё сводится к трём действиям:
🛠 Удалению неиспользуемого ПО
🛠 Настройке и применению автопатчинга
🛠 "Бездействию", а точнее — обновлению ПО по необходимости
#cve #vulnerability #prioritization #ssvc #patchmanagement
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Очередная подборка книг по кибербезопасности от издателя Pearson на Humble Bundle🤓
Весь бандл обойдется в 3000 рублей, только помним, что оплата нашими картами не пройдет, но способы закупиться есть🥲
В бандле следующие книги:
➡️ CompTIA Security+ SY0-701 Cert Guide - 2024
➡️ Network Security, 3rd Edition - 2022
➡️ Zero Trust Architecture - 2023
➡️ Cybersecurity Myths and Misconceptions - 2024
➡️ In Zero Trust We Trust - 2024
➡️ Database and Application Security: A Practitioner's Guide - 2024
➡️ Ransomware and Cyber Extortion - 2022
➡️ Designing and Developing Secure Azure Solutions
➡️ The Modern Security Operations Center - 2021
➡️ A Practical Guide to Digital Forensics Investigations, 2nd Edition - 2021
➡️ Data Breaches - 2019
➡️ Microsoft Defender for Cloud - 2022
➡️ Microsoft Sentinel, 2nd Edition - 2022
➡️ Effective Cybersecurity - 2021
➡️ Information Privacy Engineering and Privacy by Design - 2021
➡️ Building a Career in Cybersecurity - 2023
➡️ Microsoft Azure Network Security - 2021
➡️ Securing 5G and Evolving Architectures - 2021
p.s. Не самый топовый бандл, но в подборке есть хорошие книги.
Половину из них точно можно найти в "свободном" доступе😏
#book #cybersecurity
Весь бандл обойдется в 3000 рублей, только помним, что оплата нашими картами не пройдет, но способы закупиться есть
В бандле следующие книги:
p.s. Не самый топовый бандл, но в подборке есть хорошие книги.
Половину из них точно можно найти в "свободном" доступе
#book #cybersecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
Humble Bundle
Humble Tech Book Bundle: Cybersecurity by Pearson
Go all-in on cybersecurity with this book bundle, covering fundamentals and credentialing, to cutting-edge concepts & beyond! Your purchase helps charity.
👍2🤔2
CISO одной американской организации получил письмо-уведомление об утечке данных в результате кибератаки на AT&T и разнёс их в пух и прах😅
Он подсветил те самые "флаги-формулировки", которые могут раздражать клиента-жертву при получении вот таких неприятных уведомлений😕
Можно взять на вооружение и учесть при составлении шаблонов таких уведомлений (тьфу, тьфу, тьфу, чтобы никогда никому не пришлось их использовать).
p.s. С другой стороны, надо учитывать тот факт, что может служба ИБ и хотела бы подробнее рассказать про инцидент и быть чуточку откровеннее, но юристы, комплаенс и пиар не оценили такой подход🤔
#ciso #breach #humor
Он подсветил те самые "флаги-формулировки", которые могут раздражать клиента-жертву при получении вот таких неприятных уведомлений
Можно взять на вооружение и учесть при составлении шаблонов таких уведомлений (тьфу, тьфу, тьфу, чтобы никогда никому не пришлось их использовать).
p.s. С другой стороны, надо учитывать тот факт, что может служба ИБ и хотела бы подробнее рассказать про инцидент и быть чуточку откровеннее, но юристы, комплаенс и пиар не оценили такой подход
#ciso #breach #humor
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2😁1🤡1
CSA (Cloud Security Alliance) завершила цикл документов "The Six Pillars of DevSecOps" выпуском про мониторинг и измерение эффективности внедряемого процесса DevSecOps в организациях🛠
В работе подробно рассмотрены:
➡️ Важные метрики, связанные с подпроцессами устранения уязвимостей, моделирования угроз и мер защиты, а также реагирования на инциденты.
➡️ Сравнение уровней зрелости команд/организаций на основании OWASP DevSecOps maturity model (DSOMM).
➡️ Универсальная схема процесса DevSecOps, включающая в себя основные этапы, виды деятельности и инструменты, позволяющая оценить и наметить точки мониторинга и измерения эффективности.
➡️ Перечень возможных метрик, которые можно обсчитывать на каждом этапе процесса DevSecOps, для оценки эффективности и уровня его зрелости.
#devsecops #dsomm #metrics #maturity
В работе подробно рассмотрены:
#devsecops #dsomm #metrics #maturity
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥1
TrendMicro поделились советами (для большинства уже очевидными) как CISO достучаться до руководства компании и донести важность ИБ-рисков:
1️⃣ Разговаривайте на простом языке, не используя профессиональный жаргон или сокращения.
2️⃣ Стратегия кибербезопасности должна быть согласована с бизнес-целями компании.
3️⃣ Сосредоточьте внимание на явных рисках, которые могут помешать достижению бизнес-целей.
4️⃣ Используйте в отчетности соответствующие данные и метрики, понятные бизнесу.
5️⃣ Докладывать надо кратко и лаконично, но часто — чтобы показывать руководству скоротечность изменений ИБ-рисков.
6️⃣ Не пренебрегайте построением благоприятных межличностных отношений с руководством.
p.s. А вот ранее была у них ещё статья на хабре про проблемы взаимодействия с высшим менеджментом компании.
#ciso #board
p.s. А вот ранее была у них ещё статья на хабре про проблемы взаимодействия с высшим менеджментом компании.
#ciso #board
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤗1
Универсальная модель угроз для облачной инфраструктуры от PrimeHarbor Technologies and Securosis☁️
В документе описываются присущие любой облачной инфраструктуре типы злоумышленников, их цели, объекты атак, векторы и последовательность атак. В конце данной модели угроз приведен разбор пяти распространенных видов атак.
p.s. Обратите внимание на последний пункт в перечне типов злоумышленников😁
#cloud #threat #modelling
В документе описываются присущие любой облачной инфраструктуре типы злоумышленников, их цели, объекты атак, векторы и последовательность атак. В конце данной модели угроз приведен разбор пяти распространенных видов атак.
p.s. Обратите внимание на последний пункт в перечне типов злоумышленников
#cloud #threat #modelling
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤮1
AlexRedSec
Forescout выпустили новый отчет о "высокорисковых" устройствах, используемых в различных сетях "The 5 Riskiest Connected Devices in 2023". По сравнению с прошлым годом в двадцатке самых-самых появилось 7 новых типов устройств (на скрине они выделены голубым…
Forescout выпустили очередной ежегодный отчет о "высокорисковых" устройствах, т.е. о дырявых и часто используемых в различных сферах.
По сравнению с предыдущим годом в топе девять "новичков", правда четверо из них уже попадали в список в 2022 году:
🔹Беспроводные точки доступа и гипервизоры вернулись в топ IT-устройств, а маршрутизаторы захватили лидерство. Здесь всё вполне заслуженно, сетевое оборудование "популярно" как точка входа для злоумышленников, а гипервизоры очень привлекательны для шифровальщиков.
🔹Среди IoT-устройств стабильно в топе сетевые хранилища, ip-камеры, VoIP-устройства и принтеры. Из новичков только сетевые видеорегистраторы, что не удивительно — ПО для них пишут довольно паршивое, как и для ip-камер.
🔹В топе OT-устройств появились "дырявые" роботы — будущее за робототехникой, поэтому место в топе им обеспечено в ближацшем будущем.
🔹А вот в разделе медицинских IoT-устройств (IoMT) топ полностью обновился — помимо медицинских информационных систем, появились такие устройства как аппараты ЭКГ, системы для визуализации медицинских данных и системы дозирования лекарств.
И тут становится действительно страшно, ведь уже несколько лет фиксируются случаи когда из-за кибератак оборудование выходит из строя и это приводит к летальным исходам пациентов. А ведь есть ещё вектор атаки, направленный на преднамеренное изменение параметров приборов и медицинских данных...
#iot #ot #vulnerability #network #iomt #cyberrisk
По сравнению с предыдущим годом в топе девять "новичков", правда четверо из них уже попадали в список в 2022 году:
🔹Беспроводные точки доступа и гипервизоры вернулись в топ IT-устройств, а маршрутизаторы захватили лидерство. Здесь всё вполне заслуженно, сетевое оборудование "популярно" как точка входа для злоумышленников, а гипервизоры очень привлекательны для шифровальщиков.
🔹Среди IoT-устройств стабильно в топе сетевые хранилища, ip-камеры, VoIP-устройства и принтеры. Из новичков только сетевые видеорегистраторы, что не удивительно — ПО для них пишут довольно паршивое, как и для ip-камер.
🔹В топе OT-устройств появились "дырявые" роботы — будущее за робототехникой, поэтому место в топе им обеспечено в ближацшем будущем.
🔹А вот в разделе медицинских IoT-устройств (IoMT) топ полностью обновился — помимо медицинских информационных систем, появились такие устройства как аппараты ЭКГ, системы для визуализации медицинских данных и системы дозирования лекарств.
И тут становится действительно страшно, ведь уже несколько лет фиксируются случаи когда из-за кибератак оборудование выходит из строя и это приводит к летальным исходам пациентов. А ведь есть ещё вектор атаки, направленный на преднамеренное изменение параметров приборов и медицинских данных...
#iot #ot #vulnerability #network #iomt #cyberrisk
🔥4👍1🤮1
Ребята из Splunk спросили финансовых директоров компаний из чего складываются финансовые убытки при простое вследствие инцидентов ИТ/КБ и вот что мы имеем в итоге:
🔣 Упущенная выгода (доход) – лидирует с отрывом от остальных категорий. По мнению опрошенных CFO именно эти потери являются ключевыми, а на восстановление доходов требуется 75 дней.
🔣 Регуляторные штрафы – очевидная категория для зарубежных компаний (и для отечественных, если примут оборотные штрафы за утечки).
🔣 Штрафы за нарушение SLA в рамках договорных отношений с партнерами/клиентами.
🔣 Затраты на урегулирование правовых вопросов (судебные издержки, оплата юридических услуг).
🔣 Затраты на восстановление "здоровья" бренда – да, чтобы восстановить подпорченную репутацию надо серьезно вложиться. В среднем уходит минимум 60 дней на восстановление привлекательности бренда (возвращение клиентов и т.п.).
🔣 Затраты на маркетинг и пиар – да, связано с предыдущим видом расходов, но здесь всё более точечно (занести чего-нибудь инвесторам и покровителям из правительства). Чтобы отбить упавшую стоимость акций необходимо в среднем 79 дней.
🔣 Затраты на восстановление производительности.
🔣 Выкуп злоумышленнику – да, более половины CFO рекомендуют своему руководству заплатить выкуп ибо понимают, что длительный простой приведет к еще большим финансовым издержкам.
🔣 Затраты на закупку оборудования для восстановления инфраструктуры.
🔣 Увеличение выплат сотрудникам (переработки, найм новых сотрудников).
🔣 Страховые выплаты.
🔣 Затраты на восстановление резервных копий.
Если обратить внимание на наиболее частые причины простоев, то в топе ожидаемо (почти) человеческий фактор, а сбой ПО/железа и кибератаки чуть позади🧐
Если обратить внимание на наиболее частые причины простоев, то в топе ожидаемо (почти) человеческий фактор, а сбой ПО/железа и кибератаки чуть позади
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13👏3🔥2🤮1