This media is not supported in your browser
VIEW IN TELEGRAM
Примерно с прошлой недели в NVD для уязвимостей стали публиковать базовые оценки по CVSS 4.0ℹ️
Получается, что теперь в каталоге NVD предусмотрено шесть возможных базовых оценок🙄
А вот тут уже сравнили базовые оценки по CVSS 4 и CVSS 3 для тысячи уязвимостей👍
В среднем получается, что оценка по CVSS 4 выше на 1,7 балла по сравнению с CVSS 3. Правда, пока это абсолютно ни о чем не говорит🙃
#cvss #nvd
Получается, что теперь в каталоге NVD предусмотрено шесть возможных базовых оценок
А вот тут уже сравнили базовые оценки по CVSS 4 и CVSS 3 для тысячи уязвимостей
В среднем получается, что оценка по CVSS 4 выше на 1,7 балла по сравнению с CVSS 3. Правда, пока это абсолютно ни о чем не говорит
#cvss #nvd
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤡3❤2
Cyentia Institute в июле опубликовал исследование "A Visual Exploration of Exploitation in the Wild", которое погружает нас в мир эксплуатации уязвимостей и использования системы оценки EPSS👍
В первой части документа довольно много различной аналитики с графиками и выводами об эксплуатации уязвимостей.
Из интересного для себя выделил следующее:
➡️ С 2017 года процент уязвимостей с признаками эксплуатации держится стабильно в районе 6 пунктов.
➡️ 139 дней - время от публикации информации до первой известной эксплуатации для 50% от всех эксплуатируемых уязвимостей.
➡️ Для уязвимостей старше 10 лет существует в 3 раза большей эксплоитов, чем для уязвимостей, опубликованных за последние два года.
Остальная часть документа посвящена EPSS (история развития, оценка эффективности и взгляд в будущее).
Главный вывод: EPSS лучше CVSS и за ним будущее😅 Но, читайте сами и делайте выводы для себя😉
#epss #cvss #exploitation
В первой части документа довольно много различной аналитики с графиками и выводами об эксплуатации уязвимостей.
Из интересного для себя выделил следующее:
Остальная часть документа посвящена EPSS (история развития, оценка эффективности и взгляд в будущее).
Главный вывод: EPSS лучше CVSS и за ним будущее
#epss #cvss #exploitation
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8👌1
На что потратить бюджет CISO?🧐
Попытка построить универсальную карту приоритетов для CISO в зависимости от эффективности и стоимости мер защиты💲
Конечно, вся универсальность разбивается о специфику бизнеса, его цели, используемые технологии и присущие угрозы, но как идею и/или ориентир можно попробовать использовать.
p.s. В комментариях к посту-первоисточнику оставили довольно много комментариев, где можно почерпнуть полезную информацию в части критериев определения приоритетов.
Источник: Mads Bundgaard Nielsen.
#ciso #budget #controls #cost
Попытка построить универсальную карту приоритетов для CISO в зависимости от эффективности и стоимости мер защиты
Конечно, вся универсальность разбивается о специфику бизнеса, его цели, используемые технологии и присущие угрозы, но как идею и/или ориентир можно попробовать использовать.
p.s. В комментариях к посту-первоисточнику оставили довольно много комментариев, где можно почерпнуть полезную информацию в части критериев определения приоритетов.
Источник: Mads Bundgaard Nielsen.
#ciso #budget #controls #cost
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8🔥1🤔1
Нашел интересную классификацию CISO 💯
Можно оценить "размер" роли CISO по следующим критериям:
➡️ Фактическая должность
➡️ Размер команды и бюджета
➡️ Подчиненность
➡️ Навыки
➡️ Послужной список
➡️ Стаж работы
➡️ Полномочия (область влияния и управления)
➡️ Зарплата (правда с прицелом на рынок ОАЭ)
➡️ Варианты карьерного роста
Источник.
#ciso #taxonomy
Можно оценить "размер" роли CISO по следующим критериям:
Источник.
#ciso #taxonomy
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5
Интересный подход к управлению уязвимостями от DigitalOceanℹ️
В оригинальной статье есть несколько ссылок на схожие подходы, основанные на "долге по безопасности", которые применяются в Carta и Twilio📌
#vulnerability #prioritization #vm
В оригинальной статье есть несколько ссылок на схожие подходы, основанные на "долге по безопасности", которые применяются в Carta и Twilio
#vulnerability #prioritization #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Security Wine (бывший - DevSecOps Wine)
Contextual Vulnerability Management With Security Risk As Debt
Я думаю, каждый, кто занимался построением программы управления уязвимостями или хотя бы раз пытался добиться от ИТ-команд их устранения, знает, насколько сложно обеспечить соблюдение установленных…
Я думаю, каждый, кто занимался построением программы управления уязвимостями или хотя бы раз пытался добиться от ИТ-команд их устранения, знает, насколько сложно обеспечить соблюдение установленных…
🔥8
У нас есть Ransomwatch и RansomLook, а теперь ещё будет Ransomware.Live, чтобы мы могли узнавать ещё больше новостей о шифровальщиках, их жертвах и переписках с ними, а также могли любоваться статистикой и инфографикой🙂
#ransomware
#ransomware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
О, совет по стандартам безопасности PCI (PCI SSC) обновил руководство по определению области действия и сегментации для современных сетевых архитектур💪
Довольно приятное и полезное обновление с учетом того факта, что предыдущая версия была выпущена в 2017 году (если не изменяет память). За это время получили широкое распространение такие технологии и практики как микросервисы, мультиоблака, микросегментация и архитектура нулевого доверия, что, конечно же, и повлекло за собой необходимость в выработке рекомендаций по безопасному проектированию и внедрению, в т.ч. и в инфраструктуре, попадающей в область действия требований стандарта PCI DSS💯
#pci #network #architecture
Довольно приятное и полезное обновление с учетом того факта, что предыдущая версия была выпущена в 2017 году (если не изменяет память). За это время получили широкое распространение такие технологии и практики как микросервисы, мультиоблака, микросегментация и архитектура нулевого доверия, что, конечно же, и повлекло за собой необходимость в выработке рекомендаций по безопасному проектированию и внедрению, в т.ч. и в инфраструктуре, попадающей в область действия требований стандарта PCI DSS
#pci #network #architecture
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Пост Лукацкого
Пополнение в моей библиотеке 📚 Хоть и изобилует рекламой McAfee (напечатана еще в 2021 году, до ухода из России), но неплохой такой сторителлинг, а не сухое изложение правил ИБ (все-таки писала директор по маркетингу ИБ-компании). Чем-то напомнило книжку "IT…
Ну книжка действительно легко читается. У меня экземпляр в переплёте "попроще"😁
Покупал как раз в начале 2022 года.
Покупал как раз в начале 2022 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
AlexRedSec
Прикупил недавно вышедшую на русском языке книжку "Кибербезопасность: правила игры" от директора по маркетингу McAfee.
🔸Главная мысль в книге - это то, что кибербезопасность зависит от каждого, начиная с рядового сотрудника и заканчивая CEO. Для некоторых…
🔸Главная мысль в книге - это то, что кибербезопасность зависит от каждого, начиная с рядового сотрудника и заканчивая CEO. Для некоторых…
👍10
Как-то пропустил, что летом SANS опубликовал (нужен vpn) ежегодное исследование о состоянии программ повышения осведомленности в области информационной безопасности🕐
Я ознакомился и могу сказать, что то ли я старею, то ли SANS халтурит🤔
Давайте начнем с главных выводов:
➡️ "Чем больше ваша команда (прим. - по security awareness, далее буду сокращать до SA), тем более зрелой является ваша SA-программа".
Ну, как бы нет, ребят, оно так не работает... Довольно спорная корреляция, которая не часто встречается в реальности. Причем, далее по тексту сам SANS это и опровергает🤔 Зачем тогда это декларировать в начале отчета?
➡️ "Оплата труда SA-специалистов очень сильно отличается от региона, опыта, отрасли и зрелости SA-программы"🗿
Ну, эээ, да... Неужели это тянет на новизну? Кажется, кому-то стоит почитать хотя бы школьный курс экономики📕
➡️ "Большинство SA-специалистов счастливы, работая в своем направлении, но кто-то хотел бы сменить место работы"
Я в целом рад, что это так, но тянет ли это на главный вывод в отчете? Неужели не нашлось чего-то более интересного в опросах?🙂
Я заглянул глубже в документ и еще больше забрюзжал...
🔘 "Сравнение уровней зрелости SA-программ — большинство опрошенных сообщили, что достигли среднего уровня зрелости (по модели SANS), т.е. процесс постоянен, разнообразен и изменения (риски и поведение) отслеживаются."
В целом добавить нечего, достижение среднего уровня реально и возможно без особых затрат ресурсов.
🔴 "Основные человеческие риски (см. скрин № 3):
- социальная инженерия
- пароли/аутентификация
- обнаружение и оповещение (прим. - передача информации об инциденте от сотрудника в службу ИБ)
- ИИ-инструменты"
Ладно, здесь согласен с тем, что информация полезна и соответствует действительности. Тема искуственного интеллекта врывается в топ и здесь стоит не забывать, что сотрудникам необходимо рассказывать о возможных рисках использования ИИ-инструментов📌
🔘 "Основные причины сложности развития SA-программ — нехватка времени, персонала, денег"😑
Мне кажется, что это универсальные ответы на любой аналогичный вопрос. Однако, в отчете всё же подсветили, что есть еще проблемы с выстраиванием коммуникаций внутри организации и отсутствие поддержки со стороны руководства.
🟣 "Название вашей SA-программы".
Смотрим на первую картинку в посте и любуемся какие слова есть в названии программ🧐
SANS радуется, что в названии нет слов "юридический", "приватность" и "соответствие". Что ж, давайте и мы порадуемся😅
Ладно, они также сказали, что можно не волноваться за название программы. Ок, мы и не собирались...
🟡 "Кому подчиняются SA-специалисты".
Очевидные варианты, конечно же, что службе ИБ или службе ИТ. На третьем месте "кому-то другому". Далее менее очевидные, но действительно встречающиеся в жизни — операционный блок, юристы/комплаенс, рисковики, коммуникации, кадровики. Ну, я здесь за традиционные ценности, конечно😄
⚫️ "Главные противники внедрения и развития SA-программы".
Смотрим внимательно на второй скрин в посте. Вот действительно интересная для меня информация. Судя по данным опроса, вершину топа захватили менеджеры средней руки, блокируя все попытки повысить осведомлённость сотрудников организации🤬
А там еще и финансисты подступают! Ох, эта битва будет легендарной🙂
На самом деле, это важно знать кто противится и с кем надо наладить отношения, но в жизни "противники" могут очень сильно отличаться в зависимости от специфики, размера и структуры бизнеса.
Второй раздел исследования посвящен "созреванию" SA-программы, а если быть точнее, то необходимому для развития кол-ву FTE и советам как выбить себе штат.
Советы нормальные, ничего против не имею. Про FTE писал еще в начале поста — очень много специфики, но SANS подсчитал, что для зрелой программы надо от 1,8 до 4,18 "землекопов"🗃
Третий раздел, который про зарплаты и карьеру, оставлю без комментариев, — очень уж много специфики и очевидного💯
На этом всё, далее изучайте документ сами🙂
#awareness #riskmanagement
Я ознакомился и могу сказать, что то ли я старею, то ли SANS халтурит
Давайте начнем с главных выводов:
Ну, как бы нет, ребят, оно так не работает... Довольно спорная корреляция, которая не часто встречается в реальности. Причем, далее по тексту сам SANS это и опровергает
Ну, эээ, да... Неужели это тянет на новизну? Кажется, кому-то стоит почитать хотя бы школьный курс экономики
Я в целом рад, что это так, но тянет ли это на главный вывод в отчете? Неужели не нашлось чего-то более интересного в опросах?
Я заглянул глубже в документ и еще больше забрюзжал...
В целом добавить нечего, достижение среднего уровня реально и возможно без особых затрат ресурсов.
- социальная инженерия
- пароли/аутентификация
- обнаружение и оповещение (прим. - передача информации об инциденте от сотрудника в службу ИБ)
- ИИ-инструменты"
Ладно, здесь согласен с тем, что информация полезна и соответствует действительности. Тема искуственного интеллекта врывается в топ и здесь стоит не забывать, что сотрудникам необходимо рассказывать о возможных рисках использования ИИ-инструментов
Мне кажется, что это универсальные ответы на любой аналогичный вопрос. Однако, в отчете всё же подсветили, что есть еще проблемы с выстраиванием коммуникаций внутри организации и отсутствие поддержки со стороны руководства.
Смотрим на первую картинку в посте и любуемся какие слова есть в названии программ
SANS радуется, что в названии нет слов "юридический", "приватность" и "соответствие". Что ж, давайте и мы порадуемся
Ладно, они также сказали, что можно не волноваться за название программы. Ок, мы и не собирались...
Очевидные варианты, конечно же, что службе ИБ или службе ИТ. На третьем месте "кому-то другому". Далее менее очевидные, но действительно встречающиеся в жизни — операционный блок, юристы/комплаенс, рисковики, коммуникации, кадровики. Ну, я здесь за традиционные ценности, конечно
Смотрим внимательно на второй скрин в посте. Вот действительно интересная для меня информация. Судя по данным опроса, вершину топа захватили менеджеры средней руки, блокируя все попытки повысить осведомлённость сотрудников организации
А там еще и финансисты подступают! Ох, эта битва будет легендарной
На самом деле, это важно знать кто противится и с кем надо наладить отношения, но в жизни "противники" могут очень сильно отличаться в зависимости от специфики, размера и структуры бизнеса.
Второй раздел исследования посвящен "созреванию" SA-программы, а если быть точнее, то необходимому для развития кол-ву FTE и советам как выбить себе штат.
Советы нормальные, ничего против не имею. Про FTE писал еще в начале поста — очень много специфики, но SANS подсчитал, что для зрелой программы надо от 1,8 до 4,18 "землекопов"
Третий раздел, который про зарплаты и карьеру, оставлю без комментариев, — очень уж много специфики и очевидного
На этом всё, далее изучайте документ сами
#awareness #riskmanagement
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11👨💻3