Очередная аналитика по уязвимостям — на этот раз по уязвимостям в ПО, используемом в корпоративной среде🧑💻
Большая часть рассматриваемого ПО используется (пока) и в российских организациях, а в целом популярно и в "частном секторе", поэтому полистать отчет можно.
Из интересных метрик можно выделить рейтинг (уровень) эксплуатации (exploitation rate) — соотношение эксплуатируемых уязвимостей к общему количеству выявленных в конкретном ПО за отчетный период. Значения метрики для различных категорий ПО, используемого в качестве корпоративного стандарта, можно увидеть на скрине. Очевидно, что чем выше значение, тем быстрее надо задумываться насчет отказа от использования такого ПО🙂
Ещё немного о ключевых выводах:
🟡 Балансировщики нагрузки стали привлекательной целью для злоумышленников — уязвимости в NGINX и Citrix (в 2023 году) стали довольно "громкими", т.к. несмотря на малое кол-во выявленных в них уязвимостей почти все они эксплуатировались в живую, а само ПО является "отличной" точкой входа в инфраструктуру жертвы.
🟡 ОС от Apple также становятся всё более популярнее — несмотря на общее снижение кол-ва уязвимостей в операционных системах, кол-во эксплуатируемых существенно выросло, что в процентном соотношении хуже, чем у ОС семейства Windows...
Причем на мобильных iOS тоже всё не очень хорошо — рейтинг эксплуатации составлял 8%, а у Android всего-то 0,2%! Дожили😂
🟡 Число дыр в MS SQL выросло на 1600% — в 2023 году было выявлено 17 уязвимостей и все они были RCEшками.
🟡 MS Windows Server 2016 стал абсолютным чемпионом по общему кол-ву уязвимостей, среди них 177 RCE.
🟡 MS Office стабильно в лидерах среди критичных уязвимостей с высоким рейтингом эксплуатации, а браузер Edge перегнал Chrome по наличию RCE-дыр💪
🟡 А что там с семейством ОС Linux? Да, в целом, получше чем у MacOS и Windows, но кол-во уязвимостей также растет, в т.ч и RCE, но их критичность всё же среднего уровня, что немного успокаивает.
🟡 Отдельно отмечу сравнение антивирусов — радует, что антивирус Касперского положительно выделяется среди коллег, жаль только, что скорее всего в следующем году он исчезнет из корпоративных наборов ПО в иностранных компаний в связи с многочисленными санкциями🥲
#cve #vulnerability #exploitation #rce #vm
Большая часть рассматриваемого ПО используется (пока) и в российских организациях, а в целом популярно и в "частном секторе", поэтому полистать отчет можно.
Из интересных метрик можно выделить рейтинг (уровень) эксплуатации (exploitation rate) — соотношение эксплуатируемых уязвимостей к общему количеству выявленных в конкретном ПО за отчетный период. Значения метрики для различных категорий ПО, используемого в качестве корпоративного стандарта, можно увидеть на скрине. Очевидно, что чем выше значение, тем быстрее надо задумываться насчет отказа от использования такого ПО
Ещё немного о ключевых выводах:
Причем на мобильных iOS тоже всё не очень хорошо — рейтинг эксплуатации составлял 8%, а у Android всего-то 0,2%! Дожили
#cve #vulnerability #exploitation #rce #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8👌2🤬1
Центр интернет-безопасности обновил свой фреймворк CIS Controls до версии 8.1🔥
Кратко об изменениях:
➡️ Пересмотрена классификация активов и взаимосвязи с мерами защиты.
➡️ Добавлены новые определения и термины в глоссарий.
➡️ Исправлены мелкие ошибки в описаниях мер защиты и добавлены пояснения к описаниям средств защиты.
➡️ Скорректировано сопоставление мер защиты с мерами из обновленного фреймворка NIST CSF 2.0.
➡️ Добавлена новая функция безопасности "Управление" (Governance) — ключевое изменение по сравнению с предыдущей версией фреймворка. Данное нововедение призвано разрешить проблему эффективного управления и внедрения мер защиты, а главное — синхронизации стратегии кибербезопасности с целями бизнеса.
#cis #framework
Кратко об изменениях:
#cis #framework
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍4❤1👏1🤣1
Ребята из Wiz запустили обновленную версию базы знаний по мерам защиты облачной инфраструктуры. Помимо описания самих мер в базе содержится информация о техниках злоумышленников, от которых помогут защититься эти меры, и сопоставление с тактиками защиты из матрицы MITRE D3FEND🛠 .
Вышеуказанная база знаний является частью большой базы данных об угрозах облачной инфраструктуры Cloud Threat Landscape от Wiz.
В честь запуска новой версии базы знаний также выпустили инфографику в виде "периодической таблицы" мер защиты облачной инфраструктуры📌
#cloud #threat #mitre #defend
Вышеуказанная база знаний является частью большой базы данных об угрозах облачной инфраструктуры Cloud Threat Landscape от Wiz.
В честь запуска новой версии базы знаний также выпустили инфографику в виде "периодической таблицы" мер защиты облачной инфраструктуры
#cloud #threat #mitre #defend
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5👎1🤔1💩1
Orange Cyberdefense выпустили инструмент (калькулятор) и статью о том как можно "поиграться" с пороговыми значениями EPSS для выбора возможных стратегий устранения уязвимостей, основанных на использовании EPSS.
Порядок работы с калькулятором следующий:
🟣 Загружаем по шаблону [cvss, epss] список уязвимостей, рассматриваемых для устранения.
🟣 Загружаем по шаблону [cvss, epss] перечень уязвимостей из списка выше, имеющих признаки эксплуатации.
🟣 Выставляем пороговое значение EPSS.
🟣 Смотрим на график и получившиеся значения "efficiency", "effort" и "coverage".
➡️ Параметр "efficiency" – это соотношение кол-ва уязвимостей, подлежащих устранению и имеющих признаки эксплуатации, к общему кол-ву подлежащих устранению уязвимостей.
➡️ Параметр "coverage" определяется соотношением кол-ва уязвимостей, подлежащих устранению и имеющих признаки эксплуатации, к общему кол-ву уязвимостей, имеющих признаки эксплуатации.
➡️ Параметр "effort" показывает соотношение кол-ва уязвимостей, подлежащих исправлению, к общему кол-ву уязвимостей, имеющих признаки эксплуатации.
Вышеуказанные параметры могут показать на сколько эффективна та или иная стратегия приоритизации, основанная на использовании оценок EPSS.
Калькулятор позволяет также двигаться от обратного – определив для себя пороговые значения для вышеуказанных параметров, вычислить искомое значение EPSS. По графику оно определяется в точке пересечения функций "Efficiency" и "Effort".
#cvss #epss #vm #prioritization
Порядок работы с калькулятором следующий:
Вышеуказанные параметры могут показать на сколько эффективна та или иная стратегия приоритизации, основанная на использовании оценок EPSS.
Калькулятор позволяет также двигаться от обратного – определив для себя пороговые значения для вышеуказанных параметров, вычислить искомое значение EPSS. По графику оно определяется в точке пересечения функций "Efficiency" и "Effort".
#cvss #epss #vm #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2
Новостные каналы сообщают о сбоях в работе аэропортов по всему миру👀
В первую очередь ссылаются на сбой в работе Windows, но, судя по постам в X, причиной сбоя стало обновление клиента Falcon Sensor от CrowdStrike😁
Теперь бизнес точно скажет, что "ваша ИБэ нам всё сломала"
#crowdstrike #bsod
В первую очередь ссылаются на сбой в работе Windows, но, судя по постам в X, причиной сбоя стало обновление клиента Falcon Sensor от CrowdStrike
Теперь бизнес точно скажет, что "ваша ИБэ нам всё сломала"
#crowdstrike #bsod
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
💯15🔥3😁1
Венчурная компания "YL Ventures", специализирующаяся на рынке кибербезопасности, ежегодно публикует аналитику "The CISO Circuit", где делится опытом, болью, прогнозами и идеями, полученными по результатам интервью с 50 известными (правда неизвестно какими) директорами кибербезопасности🔂
Темой последнего выпуска аналитики стала отчетность, которую CISO презентуют и защищают перед руководством (советом директоров) компаний.
Из интересного можно выделить информацию о данных, которые включаются в отчетность, метриках оценки эффективности программ кибербезопасности и подходах при оценке окупаемости инвестиций в кибербезопасность.
О чем рассказывают CISO в своих докладах:
🟢 Результаты оценки рисков
🟢 Анализ ландшафта угроз
🟢 Статус соответствия требованиям
🟢 Реагирование и управление инцидентами
🟢 Управление уязвимостями и результаты пентестов
🟢 Защитные меры и политики
🟢 Окупаемость инвестиций
🟢 Анализ воздействия на бизнес (BIA)
Какими метрики и показатели используют для оценки эффективности:
🟠 Тенденции в инцидентах и нарушениях
🟠 Сроки устранения уязвимостей
🟠 Статистика переходов по фишинговым ссылкам
🟠 Среднее время реагирования (на инцидент)
🟠 Среднее время обнаружения (инцидента)
🟠 Статистика по обучению сотрудников
🟠 Кол-во завершенных оценок риска
🟠 Кол-во предотвращенных угроз
🟠 Соотношение затрат на митигацию (риска) к потенциальным потерям
🟠 Процент систем с актуальными антивирусными базами (🤨 )
Через что показывают окупаемость инвестиций в кибербезопасность:
🟢 Снижение уровня рисков
🟢 Расширение возможностей бизнеса
🟢 Показатели влияния на бизнес
🟢 Снижение затрат и экономия бюджета
🟢 Доверие и удержание клиентов
🟢 Эффективность реагирования на инциденты
🟢 Рост производительности
Помимо вышеуказанного, в документе приводится информации об инструментах, используемых для формированния отчетности, и проблемах, которые сопровождают этот процесс🛠
#ciso #board #metrics
Темой последнего выпуска аналитики стала отчетность, которую CISO презентуют и защищают перед руководством (советом директоров) компаний.
Из интересного можно выделить информацию о данных, которые включаются в отчетность, метриках оценки эффективности программ кибербезопасности и подходах при оценке окупаемости инвестиций в кибербезопасность.
О чем рассказывают CISO в своих докладах:
Какими метрики и показатели используют для оценки эффективности:
Через что показывают окупаемость инвестиций в кибербезопасность:
Помимо вышеуказанного, в документе приводится информации об инструментах, используемых для формированния отчетности, и проблемах, которые сопровождают этот процесс
#ciso #board #metrics
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🤔3🔥2
Пост Лукацкого
Интересная история про очередной "взлом" Госуслуг. Да, сам портал не ломали, а вот построенные вокруг него процессы да. Это к разговору о том, почему обнаружение одной уязвимости или пробив в рамках пентеста - это не то же самое, что демонстрация возможности…
Чуть больше года назад, пребывая в прекрасном расположении духа, я возвращался из отпуска — четырнадцатичасовой перелет завершался и ничего не предвещало беды. Самолет приземлился, я на автомате отключаю авиарежим на телефоне и моментально замечаю получение нескольких писем на почту и парочки смсок. Глаза выхватывают ключевые слова "госуслуги", "двухфакторная аутентификация отключена", "произошла смена номера телефона"👀
Пульс резко участился, мозг начал усиленно придумывать возможные сценарии, где я, специалист по защите информации, мог допустить оплошность и попасться на удочку злоумышленников. На секунду закралось, что я стал жертвой сложной операции спецслужб — откуда могли знать, что я именно в тот момент буду находиться без связи длительное время? Но осознание того, что я нафиг не сдался ЦРУ и АНБ (или ФСБ), быстро вернуло мне здравомыслие😅
За последующие считанные минуты я быстро смог восстановить пароль от учетной записи на госуслугах, привязать свой номер телефона и включить обратно второй фактор. Далее начал с замиранием сердца изучать какие же операции были выполнены за длительное отсутствие "на земле" — не увидел ничего криминального, разве что направление какого-то заявления в Пенсионный фонд (ПФР)... И тут я вспоминаю, что полгода назад обращался за определенными компенсациями в ПФР, а сейчас наступил регламентный срок предоставления услуги (правда не таких итогов я ожидал😑 ).
Собрав всю информацию в кучку, я направляю обращение в поддержку госуслуг и относительно оперативно получаю информацию о событиях входа и сброса второго фактора: "сброс настроек был произведен оператором-администратором ПФР"🧐
Параллельно со мной связывается сотрудник ПФР, который обслуживал меня полгода назад, и сообщает, что мое заявление обработано и отправлено в ПФР для окончательных расчетов. Но на тот момент меня интересовал другой вопрос — почему кто-то "трогал" мою учетку на госуслугах?🤬
Как оказалось причиной всему была... клиентоориентированность🤨 Да, сотрудник ПФР пытался дозвониться до меня, но не смог — мало того, что я был в самолете, так еще он звонил в вайбер, в который я захожу раз в год. В итоге он решил проявить инициативу и отправить заявление на госуслугах вместо меня, ускорив процесс👍
Обладая необходимыми правами, он отключил второй фактор, привязал свой номер телефона, сбросил пароль и отправил заявление. Профит!
Дальнейшее общение с ним показало, что это довольный частый кейс, когда сотрудники ПФР сбрасывают пароли* и помогают гражданам ускорить процесс оказания услуг, выполняя за них операции на госуслугах, так как уровень цифровой грамотности в российской глубинке довольно низкий (да, это было в маленьком провинциальном городке).
*Но есть нюанс — сброс пароля от учетки госуслуг производится только по письменному заявлению.
p.s. Да, меня попросили написать заявление задним числом и прислать скан🙂
Какие же выводы можно сделать?
➡️ Второй фактор не панацея
➡️ У многих сотрудников гос.органов есть права, позволяющие сбросить настройки безопасности вашей учетной записи на госуслугах
➡️ Не летайте далеко в отпуск😄
Пульс резко участился, мозг начал усиленно придумывать возможные сценарии, где я, специалист по защите информации, мог допустить оплошность и попасться на удочку злоумышленников. На секунду закралось, что я стал жертвой сложной операции спецслужб — откуда могли знать, что я именно в тот момент буду находиться без связи длительное время? Но осознание того, что я нафиг не сдался ЦРУ и АНБ (или ФСБ), быстро вернуло мне здравомыслие😅
За последующие считанные минуты я быстро смог восстановить пароль от учетной записи на госуслугах, привязать свой номер телефона и включить обратно второй фактор. Далее начал с замиранием сердца изучать какие же операции были выполнены за длительное отсутствие "на земле" — не увидел ничего криминального, разве что направление какого-то заявления в Пенсионный фонд (ПФР)... И тут я вспоминаю, что полгода назад обращался за определенными компенсациями в ПФР, а сейчас наступил регламентный срок предоставления услуги (правда не таких итогов я ожидал
Собрав всю информацию в кучку, я направляю обращение в поддержку госуслуг и относительно оперативно получаю информацию о событиях входа и сброса второго фактора: "сброс настроек был произведен оператором-администратором ПФР"🧐
Параллельно со мной связывается сотрудник ПФР, который обслуживал меня полгода назад, и сообщает, что мое заявление обработано и отправлено в ПФР для окончательных расчетов. Но на тот момент меня интересовал другой вопрос — почему кто-то "трогал" мою учетку на госуслугах?
Как оказалось причиной всему была... клиентоориентированность
Обладая необходимыми правами, он отключил второй фактор, привязал свой номер телефона, сбросил пароль и отправил заявление. Профит!
Дальнейшее общение с ним показало, что это довольный частый кейс, когда сотрудники ПФР сбрасывают пароли* и помогают гражданам ускорить процесс оказания услуг, выполняя за них операции на госуслугах, так как уровень цифровой грамотности в российской глубинке довольно низкий (да, это было в маленьком провинциальном городке).
*Но есть нюанс — сброс пароля от учетки госуслуг производится только по письменному заявлению.
p.s. Да, меня попросили написать заявление задним числом и прислать скан
Какие же выводы можно сделать?
Please open Telegram to view this post
VIEW IN TELEGRAM
😱46🤯12🤡9😁8👍3🥰2👎1
Свежая кривая хайпа по технологиям безопасности приложений (Application Security) от Gartner🔔
Традиционно очень много текста, а почитать можно тут.
Кратко из того, что бросилось в глаза:
🔼 Ожидаемый ажиотаж вокруг безопасности ИИ, ассистентов для написания кода и технологий анализа достижимости (Reachability Analysis).
🔽 Software Bill of Materials (SBOM) и Application Security Posture Management (ASPM) пошли на спад.
❓ Policy-as-Code неожиданно заявлена как инновация, хотя как минимум три года уже на слуху...
💬 DevSecOps вышел на плато продуктивности... Здесь традиционный спор, а технология ли это? В моём понимании это всё же методология и практики🤔
#hypercycle #appsec #gartner
Традиционно очень много текста, а почитать можно тут.
Кратко из того, что бросилось в глаза:
#hypercycle #appsec #gartner
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🐳4🤔2
А в июне Gartner ещё и SOAR похоронил😮
Видимо XDR постарался? Теперь ждём AI SOAR?😄
#gartner #soar #hypecycle #itsm
Видимо XDR постарался? Теперь ждём AI SOAR?
#gartner #soar #hypecycle #itsm
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7🔥4