Cyentia Institute в июле опубликовал исследование "A Visual Exploration of Exploitation in the Wild", которое погружает нас в мир эксплуатации уязвимостей и использования системы оценки EPSS👍

В первой части документа довольно много различной аналитики с графиками и выводами об эксплуатации уязвимостей.
Из интересного для себя выделил следующее:
➡️С 2017 года процент уязвимостей с признаками эксплуатации держится стабильно в районе 6 пунктов.
➡️139 дней - время от публикации информации до первой известной эксплуатации для 50% от всех эксплуатируемых уязвимостей.
➡️Для уязвимостей старше 10 лет существует в 3 раза большей эксплоитов, чем для уязвимостей, опубликованных за последние два года.

Остальная часть документа посвящена EPSS (история развития, оценка эффективности и взгляд в будущее).
Главный вывод: EPSS лучше CVSS и за ним будущее😅 Но, читайте сами и делайте выводы для себя😉

#epss #cvss #exploitation

О, совет по стандартам безопасности PCI (PCI SSC) обновил руководство по определению области действия и сегментации для современных сетевых архитектур💪

Довольно приятное и полезное обновление с учетом того факта, что предыдущая версия была выпущена в 2017 году (если не изменяет память). За это время получили широкое распространение такие технологии и практики как микросервисы, мультиоблака, микросегментация и архитектура нулевого доверия, что, конечно же, и повлекло за собой необходимость в выработке рекомендаций по безопасному проектированию и внедрению, в т.ч. и в инфраструктуре, попадающей в область действия требований стандарта PCI DSS💯

#pci #network #architecture

Как-то пропустил, что летом SANS опубликовал (нужен vpn) ежегодное исследование о состоянии программ повышения осведомленности в области информационной безопасности🕐
Я ознакомился и могу сказать, что то ли я старею, то ли SANS халтурит🤔

Давайте начнем с главных выводов:
➡️"Чем больше ваша команда (прим. - по security awareness, далее буду сокращать до SA), тем более зрелой является ваша SA-программа".
Ну, как бы нет, ребят, оно так не работает... Довольно спорная корреляция, которая не часто встречается в реальности. Причем, далее по тексту сам SANS это и опровергает🤔 Зачем тогда это декларировать в начале отчета?
➡️"Оплата труда SA-специалистов очень сильно отличается от региона, опыта, отрасли и зрелости SA-программы"🗿
Ну, эээ, да... Неужели это тянет на новизну? Кажется, кому-то стоит почитать хотя бы школьный курс экономики📕
➡️"Большинство SA-специалистов счастливы, работая в своем направлении, но кто-то хотел бы сменить место работы"
Я в целом рад, что это так, но тянет ли это на главный вывод в отчете? Неужели не нашлось чего-то более интересного в опросах?🙂

Я заглянул глубже в документ и еще больше забрюзжал...
🔘"Сравнение уровней зрелости SA-программ — большинство опрошенных сообщили, что достигли среднего уровня зрелости (по модели SANS), т.е. процесс постоянен, разнообразен и изменения (риски и поведение) отслеживаются."
В целом добавить нечего, достижение среднего уровня реально и возможно без особых затрат ресурсов.
🔴"Основные человеческие риски (см. скрин № 3):
- социальная инженерия
- пароли/аутентификация
- обнаружение и оповещение (прим. - передача информации об инциденте от сотрудника в службу ИБ)
- ИИ-инструменты"
Ладно, здесь согласен с тем, что информация полезна и соответствует действительности. Тема искуственного интеллекта врывается в топ и здесь стоит не забывать, что сотрудникам необходимо рассказывать о возможных рисках использования ИИ-инструментов📌
🔘"Основные причины сложности развития SA-программ — нехватка времени, персонала, денег"😑
Мне кажется, что это универсальные ответы на любой аналогичный вопрос. Однако, в отчете всё же подсветили, что есть еще проблемы с выстраиванием коммуникаций внутри организации и отсутствие поддержки со стороны руководства.
🟣"Название вашей SA-программы".
Смотрим на первую картинку в посте и любуемся какие слова есть в названии программ🧐
SANS радуется, что в названии нет слов "юридический", "приватность" и "соответствие". Что ж, давайте и мы порадуемся😅
Ладно, они также сказали, что можно не волноваться за название программы. Ок, мы и не собирались...
🟡"Кому подчиняются SA-специалисты".
Очевидные варианты, конечно же, что службе ИБ или службе ИТ. На третьем месте "кому-то другому". Далее менее очевидные, но действительно встречающиеся в жизни — операционный блок, юристы/комплаенс, рисковики, коммуникации, кадровики. Ну, я здесь за традиционные ценности, конечно😄
⚫️"Главные противники внедрения и развития SA-программы".
Смотрим внимательно на второй скрин в посте. Вот действительно интересная для меня информация. Судя по данным опроса, вершину топа захватили менеджеры средней руки, блокируя все попытки повысить осведомлённость сотрудников организации🤬
А там еще и финансисты подступают! Ох, эта битва будет легендарной🙂
На самом деле, это важно знать кто противится и с кем надо наладить отношения, но в жизни "противники" могут очень сильно отличаться в зависимости от специфики, размера и структуры бизнеса.

Второй раздел исследования посвящен "созреванию" SA-программы, а если быть точнее, то необходимому для развития кол-ву FTE и советам как выбить себе штат.
Советы нормальные, ничего против не имею. Про FTE писал еще в начале поста — очень много специфики, но SANS подсчитал, что для зрелой программы надо от 1,8 до 4,18 "землекопов"🗃

Третий раздел, который про зарплаты и карьеру, оставлю без комментариев, — очень уж много специфики и очевидного💯

На этом всё, далее изучайте документ сами🙂

#awareness #riskmanagement