Warning: Undefined array key 0 in /var/www/tgoop/function.php on line 65

Warning: Trying to access array offset on value of type null in /var/www/tgoop/function.php on line 65
557 - Telegram Web
Telegram Web
This media is not supported in your browser
VIEW IN TELEGRAM
Примерно с прошлой недели в NVD для уязвимостей стали публиковать базовые оценки по CVSS 4.0ℹ️
Получается, что теперь в каталоге NVD предусмотрено шесть возможных базовых оценок🙄

А вот тут уже сравнили базовые оценки по CVSS 4 и CVSS 3 для тысячи уязвимостей👍
В среднем получается, что оценка по CVSS 4 выше на 1,7 балла по сравнению с CVSS 3. Правда, пока это абсолютно ни о чем не говорит🙃

#cvss #nvd
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤡32
Cyentia Institute в июле опубликовал исследование "A Visual Exploration of Exploitation in the Wild", которое погружает нас в мир эксплуатации уязвимостей и использования системы оценки EPSS👍

В первой части документа довольно много различной аналитики с графиками и выводами об эксплуатации уязвимостей.
Из интересного для себя выделил следующее:
➡️С 2017 года процент уязвимостей с признаками эксплуатации держится стабильно в районе 6 пунктов.
➡️139 дней - время от публикации информации до первой известной эксплуатации для 50% от всех эксплуатируемых уязвимостей.
➡️Для уязвимостей старше 10 лет существует в 3 раза большей эксплоитов, чем для уязвимостей, опубликованных за последние два года.

Остальная часть документа посвящена EPSS (история развития, оценка эффективности и взгляд в будущее).
Главный вывод: EPSS лучше CVSS и за ним будущее😅 Но, читайте сами и делайте выводы для себя😉

#epss #cvss #exploitation
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8👌1
На что потратить бюджет CISO?🧐

Попытка построить универсальную карту приоритетов для CISO в зависимости от эффективности и стоимости мер защиты💲
Конечно, вся универсальность разбивается о специфику бизнеса, его цели, используемые технологии и присущие угрозы, но как идею и/или ориентир можно попробовать использовать.
p.s. В комментариях к посту-первоисточнику оставили довольно много комментариев, где можно почерпнуть полезную информацию в части критериев определения приоритетов.
Источник: Mads Bundgaard Nielsen.

#ciso #budget #controls #cost
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8🔥1🤔1
Нашел интересную классификацию CISO 💯

Можно оценить "размер" роли CISO по следующим критериям:
➡️Фактическая должность
➡️Размер команды и бюджета
➡️Подчиненность
➡️Навыки
➡️Послужной список
➡️Стаж работы
➡️Полномочия (область влияния и управления)
➡️Зарплата (правда с прицелом на рынок ОАЭ)
➡️Варианты карьерного роста

Источник.

#ciso #taxonomy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5
Интересный подход к управлению уязвимостями от DigitalOceanℹ️
В оригинальной статье есть несколько ссылок на схожие подходы, основанные на "долге по безопасности", которые применяются в Carta и Twilio 📌

#vulnerability #prioritization #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
У нас есть Ransomwatch и RansomLook, а теперь ещё будет Ransomware.Live, чтобы мы могли узнавать ещё больше новостей о шифровальщиках, их жертвах и переписках с ними, а также могли любоваться статистикой и инфографикой🙂

#ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
О, совет по стандартам безопасности PCI (PCI SSC) обновил руководство по определению области действия и сегментации для современных сетевых архитектур💪

Довольно приятное и полезное обновление с учетом того факта, что предыдущая версия была выпущена в 2017 году (если не изменяет память). За это время получили широкое распространение такие технологии и практики как микросервисы, мультиоблака, микросегментация и архитектура нулевого доверия, что, конечно же, и повлекло за собой необходимость в выработке рекомендаций по безопасному проектированию и внедрению, в т.ч. и в инфраструктуре, попадающей в область действия требований стандарта PCI DSS💯

#pci #network #architecture
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Интересно, стоял ли перед Mastercard такой же выбор при покупке разработчика TI-решений Recorded Future, как у Cisco перед покупкой Splunk?😁

#joke
Please open Telegram to view this post
VIEW IN TELEGRAM
😁121
Как-то пропустил, что летом SANS опубликовал (нужен vpn) ежегодное исследование о состоянии программ повышения осведомленности в области информационной безопасности🕐
Я ознакомился и могу сказать, что то ли я старею, то ли SANS халтурит🤔

Давайте начнем с главных выводов:
➡️"Чем больше ваша команда (прим. - по security awareness, далее буду сокращать до SA), тем более зрелой является ваша SA-программа".
Ну, как бы нет, ребят, оно так не работает... Довольно спорная корреляция, которая не часто встречается в реальности. Причем, далее по тексту сам SANS это и опровергает🤔 Зачем тогда это декларировать в начале отчета?
➡️"Оплата труда SA-специалистов очень сильно отличается от региона, опыта, отрасли и зрелости SA-программы"🗿
Ну, эээ, да... Неужели это тянет на новизну? Кажется, кому-то стоит почитать хотя бы школьный курс экономики📕
➡️"Большинство SA-специалистов счастливы, работая в своем направлении, но кто-то хотел бы сменить место работы"
Я в целом рад, что это так, но тянет ли это на главный вывод в отчете? Неужели не нашлось чего-то более интересного в опросах?🙂

Я заглянул глубже в документ и еще больше забрюзжал...
🔘"Сравнение уровней зрелости SA-программ — большинство опрошенных сообщили, что достигли среднего уровня зрелости (по модели SANS), т.е. процесс постоянен, разнообразен и изменения (риски и поведение) отслеживаются."
В целом добавить нечего, достижение среднего уровня реально и возможно без особых затрат ресурсов.
🔴"Основные человеческие риски (см. скрин № 3):
- социальная инженерия
- пароли/аутентификация
- обнаружение и оповещение (прим. - передача информации об инциденте от сотрудника в службу ИБ)
- ИИ-инструменты"

Ладно, здесь согласен с тем, что информация полезна и соответствует действительности. Тема искуственного интеллекта врывается в топ и здесь стоит не забывать, что сотрудникам необходимо рассказывать о возможных рисках использования ИИ-инструментов📌
🔘"Основные причины сложности развития SA-программ — нехватка времени, персонала, денег"😑
Мне кажется, что это универсальные ответы на любой аналогичный вопрос. Однако, в отчете всё же подсветили, что есть еще проблемы с выстраиванием коммуникаций внутри организации и отсутствие поддержки со стороны руководства.
🟣"Название вашей SA-программы".
Смотрим на первую картинку в посте и любуемся какие слова есть в названии программ🧐
SANS радуется, что в названии нет слов "юридический", "приватность" и "соответствие". Что ж, давайте и мы порадуемся😅
Ладно, они также сказали, что можно не волноваться за название программы. Ок, мы и не собирались...
🟡"Кому подчиняются SA-специалисты".
Очевидные варианты, конечно же, что службе ИБ или службе ИТ. На третьем месте "кому-то другому". Далее менее очевидные, но действительно встречающиеся в жизни — операционный блок, юристы/комплаенс, рисковики, коммуникации, кадровики. Ну, я здесь за традиционные ценности, конечно😄
⚫️"Главные противники внедрения и развития SA-программы".
Смотрим внимательно на второй скрин в посте. Вот действительно интересная для меня информация. Судя по данным опроса, вершину топа захватили менеджеры средней руки, блокируя все попытки повысить осведомлённость сотрудников организации🤬
А там еще и финансисты подступают! Ох, эта битва будет легендарной🙂
На самом деле, это важно знать кто противится и с кем надо наладить отношения, но в жизни "противники" могут очень сильно отличаться в зависимости от специфики, размера и структуры бизнеса.

Второй раздел исследования посвящен "созреванию" SA-программы, а если быть точнее, то необходимому для развития кол-ву FTE и советам как выбить себе штат.
Советы нормальные, ничего против не имею. Про FTE писал еще в начале поста — очень много специфики, но SANS подсчитал, что для зрелой программы надо от 1,8 до 4,18 "землекопов"🗃

Третий раздел, который про зарплаты и карьеру, оставлю без комментариев, — очень уж много специфики и очевидного💯

На этом всё, далее изучайте документ сами🙂

#awareness #riskmanagement
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11👨‍💻3
2025/07/09 13:41:14
Back to Top
HTML Embed Code: