Кстати, приближается месяц повышения осведомлённости в ИБэ, т.е. октябрь🔔
И всё тот же институт SANS объявил, что в этом году необходимо уделить внимание вопросу безопасного использования искусcтвенного интеллекта📚
Для этого был подготовлен набор материалов, среди которых можно найти шаблон политики использования ИИ в организации, видеоролик об использовании ИИ и набор инфографики, демонстрирующий преимущества и риски использования ИИ. Можно взять за основу для разработки своих обучающих плакатов.
p.s. Ниже прикрепил архив с этими материалами без "тяжелого" видеоролика и фонов для зума.
#awareness #ai #training #infographics
И всё тот же институт SANS объявил, что в этом году необходимо уделить внимание вопросу безопасного использования искусcтвенного интеллекта📚
Для этого был подготовлен набор материалов, среди которых можно найти шаблон политики использования ИИ в организации, видеоролик об использовании ИИ и набор инфографики, демонстрирующий преимущества и риски использования ИИ. Можно взять за основу для разработки своих обучающих плакатов.
p.s. Ниже прикрепил архив с этими материалами без "тяжелого" видеоролика и фонов для зума.
#awareness #ai #training #infographics
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11👍3
Что объединяет Microsoft Flight Simulator, Halo, Dark Souls и Kaspersky Anti-Virus?🤔
На днях институт NIST напомнил о существовании национальной справочной библиотеки программного обеспечения (National Software Reference Library, NSRL).
Данная библиотека предназначена для сбора различного рода информации о программном обеспечении, включая как физические, так и цифровые образы, хэш-суммы файлов, цифровые подписи и прочие метаданные.
Как заявляет NIST, в NSRL хранится информация о более чем миллиарде единиц программного обеспечения, которая нужна в первую очередь для специалистов по компьютерной криминалистике (форензиков) при расследовании инцидентов, а также когда просто надо полностью удалить нежелательное ПО с корпоративных устройств организаций: например, Counter-Strike или антивирус Касперского (который забанен с 2017 года в США)😏
Видимо кейсом с антивирусом Касперского сотрудники NIST очень гордятся/боятся/шутят (нужное подчеркнуть), раз на полке с физическими носителями коробка антивируса стоит в первых рядах, а на страничке библиотеки до сих пор висит (с 2017 года) прямая ссылка на сборник хэшей продуктов Kaspersky🙂
#nist #nsrl #humor #forensic
На днях институт NIST напомнил о существовании национальной справочной библиотеки программного обеспечения (National Software Reference Library, NSRL).
Данная библиотека предназначена для сбора различного рода информации о программном обеспечении, включая как физические, так и цифровые образы, хэш-суммы файлов, цифровые подписи и прочие метаданные.
Как заявляет NIST, в NSRL хранится информация о более чем миллиарде единиц программного обеспечения, которая нужна в первую очередь для специалистов по компьютерной криминалистике (форензиков) при расследовании инцидентов, а также когда просто надо полностью удалить нежелательное ПО с корпоративных устройств организаций: например, Counter-Strike или антивирус Касперского (который забанен с 2017 года в США)
Видимо кейсом с антивирусом Касперского сотрудники NIST очень гордятся/боятся/шутят (нужное подчеркнуть), раз на полке с физическими носителями коробка антивируса стоит в первых рядах, а на страничке библиотеки до сих пор висит (с 2017 года) прямая ссылка на сборник хэшей продуктов Kaspersky
#nist #nsrl #humor #forensic
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6😁4
Gartner констатирует, что многие организации продолжают использовать одинаковый набор мер для защиты серверной инфраструктуры и конечных устройств, несмотря на подверженность их разным угрозам, различия в бизнес-критичности и ценности этих активов⚠️
Чтобы грамотно и последовательно запланировать внедрение соответствующих мер защиты, Gartner предлагает воспользоваться их "пирамидой приоритизации" (🖥 см. первый скрин).
В целом, всё довольно правильно расписано: такие базовые вещи как харденинг, управление конфигурациями, уязвимостями и модное управление экспозициями (exposure management), приправленное инструментами по управлению доступом (PAM, MFA и пр.), должно применяться в первую очередь и везде независимо от типа актива (сервер или ноутбук сотрудника). Далее же идёт логичное разделение, но, конечно же, все нюансы учесть сложно, поэтому вышеуказанная пирамида не идеал и задает лишь основное направление при типовом использовании актива. Например, на следующем (после базового) уровне для конечных устройств рекомендуется внедрение защиты от вредоносного ПО, в то время как для серверов это самый последний шаг. Однако, если сервер выполняет роль файловой шары, то, конечно же, мы не будем откладывать внедрение антивирусного ПО на потом💻
В то же время, Gartner напоминает о необходимости повсеместного контроля и уменьшения поверхности атаки, а также выдает рекомендации по использованию соответствующих мер для разного типа активов (🖥 см. второй скрин).
Источник: Prioritize Security Controls for Enterprise Servers and End-User Endpoints by Gartner.
#controls #gartner
Чтобы грамотно и последовательно запланировать внедрение соответствующих мер защиты, Gartner предлагает воспользоваться их "пирамидой приоритизации" (
В целом, всё довольно правильно расписано: такие базовые вещи как харденинг, управление конфигурациями, уязвимостями и модное управление экспозициями (exposure management), приправленное инструментами по управлению доступом (PAM, MFA и пр.), должно применяться в первую очередь и везде независимо от типа актива (сервер или ноутбук сотрудника). Далее же идёт логичное разделение, но, конечно же, все нюансы учесть сложно, поэтому вышеуказанная пирамида не идеал и задает лишь основное направление при типовом использовании актива. Например, на следующем (после базового) уровне для конечных устройств рекомендуется внедрение защиты от вредоносного ПО, в то время как для серверов это самый последний шаг. Однако, если сервер выполняет роль файловой шары, то, конечно же, мы не будем откладывать внедрение антивирусного ПО на потом
В то же время, Gartner напоминает о необходимости повсеместного контроля и уменьшения поверхности атаки, а также выдает рекомендации по использованию соответствующих мер для разного типа активов (
Источник: Prioritize Security Controls for Enterprise Servers and End-User Endpoints by Gartner.
#controls #gartner
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍5👏5❤1
Хороший пример моделирования угроз по методологии STRIDE для (условно) классической платежной инфраструктуры💳
В статье (нужен vpn) подробно описаны ключевые компоненты инфраструктуры и активов, а также рассмотрены основные сценарии атак в контексте угроз STRIDE и связанных с ними рисков. В матрице угроз также представлено сопоставление с уязвимостями из OWASP Top 10 и мерами защиты✔️
#stride #threat #modelling
В статье (нужен vpn) подробно описаны ключевые компоненты инфраструктуры и активов, а также рассмотрены основные сценарии атак в контексте угроз STRIDE и связанных с ними рисков. В матрице угроз также представлено сопоставление с уязвимостями из OWASP Top 10 и мерами защиты
#stride #threat #modelling
Please open Telegram to view this post
VIEW IN TELEGRAM
7👍11👎1
"Парольная" выдалась неделька😁
1️⃣ Команда исследователей из Proton заглянула (нужен VPN) ещё раз в дарквеб и посмотрела что там по личным данным депутатов и иных сотрудников правительств (USA, FR, GB, EU) есть интересного. Оказывается, много чего, в т.ч. и почтовые переписки с паролями💬
Депутаты тоже люди и не брезгуют регистрацией в различных сервисах и социальных сетях, указывая рабочую почту.
p.s. Русский след тоже упомянули👀
2️⃣ Уже много кто написал про внесение изменений (ещё не утверждённые) в стандарт NIST Special Publication 800-63-4, где торжественно повторили, что не надо заставлять периодически менять пароли (надо только по запросу или при компрометации), а ещё запретили требовать использование различных категорий символов в паролях, запретили банальные контрольные вопросы (типа "как зовут твою собаку?") и запретили запрещать использование пробела в паролях🥳
3️⃣ Всё было бы хорошо с вышеуказанными изменениями в требованиях к паролям, если бы не человеческая природа и поведение🫤
В свежем ежегодном исследовании "Oh, Behave!" от Cybsafe убеждаемся, что в мире всё стабильно: второй год подряд процент опрошенных, включающих в свои пароли личную информацию, такую как имена членов семьи или домашних животных, увеличивается.
Более того, 40% участников исследования используют в качестве пароля одно словарное слово или чьё-то имя😭
p.s. Напомню, что в документе по результатам исследования "Oh, Behave!" можно узнать как различные поколения людей относятся к рискам и правилам кибербезопасности. В этом году также добавили раздел про использование искусственного интеллекта. Ниже прикрепил сам документ.
#password #breach #behave #awareness
Депутаты тоже люди и не брезгуют регистрацией в различных сервисах и социальных сетях, указывая рабочую почту.
p.s. Русский след тоже упомянули
В свежем ежегодном исследовании "Oh, Behave!" от Cybsafe убеждаемся, что в мире всё стабильно: второй год подряд процент опрошенных, включающих в свои пароли личную информацию, такую как имена членов семьи или домашних животных, увеличивается.
Более того, 40% участников исследования используют в качестве пароля одно словарное слово или чьё-то имя
p.s. Напомню, что в документе по результатам исследования "Oh, Behave!" можно узнать как различные поколения людей относятся к рискам и правилам кибербезопасности. В этом году также добавили раздел про использование искусственного интеллекта. Ниже прикрепил сам документ.
#password #breach #behave #awareness
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍5👀2
Ещё одна база инцидентов в закладки 📌
Ресурс API Security Threat Landscape представляет собой таблицу, содержащую данные об инцидентах, связанных с успешными атаками на API🛠
В этой базе вы сможете найти информацию о выявленных уязвимостях и дефектах, векторах атак, а также о связанных APT-группировках и многом другом. Правда, инцидентов не сильно много: записей чуть более 30, а самая ранняя датируется ноябрем 2021 года.
Кроме того, на гитхабе авторы ресурса представили матрицу угроз для API, в которой описаны тактики, техники злоумышленников и меры защиты от них📝
#api #threat #matrix
Ресурс API Security Threat Landscape представляет собой таблицу, содержащую данные об инцидентах, связанных с успешными атаками на API
В этой базе вы сможете найти информацию о выявленных уязвимостях и дефектах, векторах атак, а также о связанных APT-группировках и многом другом. Правда, инцидентов не сильно много: записей чуть более 30, а самая ранняя датируется ноябрем 2021 года.
Кроме того, на гитхабе авторы ресурса представили матрицу угроз для API, в которой описаны тактики, техники злоумышленников и меры защиты от них
#api #threat #matrix
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10
Сложности управления уязвимостями в управлении зависимостями🛠
В сентябре компания Endor Labs выпустила ежегодное исследование о состоянии дел в управлении зависимостями, в котором рассматриваются риски и тенденции, связанные с вопросами управления уязвимостями. Ниже приведу главные выводы и статистику.
➡️ Управление зависимостями сводится к эффективной приоритизации.
🟠 Отмечается, что только менее 9,5% уязвимостей могут быть проэксплуатированы на уровне функций (как элемента программного кода), т.к. для успеха необходима как минимум возможность вызова уязвимой функции при работе приложения. Таким образом, самым важным критерием приоритизации здесь служит анализ достижимости (reachability analysis), подразумевающий определение того, может ли приложение, имеющее уязвимую функцию, быть выполнено таким образом, чтобы уязвимая функция тоже была выполнена.
🟠 Вторым важным критерием приоритизации является использование оценки EPSS. Исследователи рассчитали, что 4 из 5 "достижимых" уязвимостей имеют прогнозируемую вероятность эксплуатации в 1% и менее. Таким образом, совместное использование анализа достижимости и EPSS приводит к тому, что исправлению будет подлежать около 2% всех выявляемых уязвимостей🆒
🟠 В то же время, подчеркивается, что устранение уязвимостей требует обновления до мажорной версии зависимости в 24% случаев, минорные обновления могут потенциально "сломать" приложение в 94%, а патчи имеют 75% шанс тоже всё сломать💻
Поэтому приоритизация, развитие SCA-инструментов и культура безопасной разработки должны идти рука об руку.
➡️ Управление зависимостями невозможно только с помощью публичных баз данных уязвимостей.
🟠 69% бюллетеней безопасности публикуются после выпуска обновлений безопасности со средней задержкой в 25 дней, что увеличивает "окно возможностей" для злоумышленников.
🟠 В шести базах данных уязвимостей 47% записей не содержат никакой информации об уязвимостях на уровне кода, 51% записей содержит одну или несколько ссылок на коммиты-исправления и только 2% записей содержат информацию об уязвимых функциях🧐
🟠 В четверти записей в различных базах данных уязвимостей содержится некорректная или неполная информация, а порой она отличается от базы к базе.
В отчете можно посмотреть много сравнений в разрезе баз NVD, OSV и GHSA, которые вскрывают множественные проблемы использования и развития баз данных уязвимостей.
➡️ Использование ИИ-инструментов облегчает процесс разработки, но усложняет управление зависимостями.
🟠 Информация об уязвимых библиотеках для машинного обучения и искусственного интеллекта может существенно различаться в публичных базах данных. Расхождения могут достигать 10%.
🟠 В приложениях для ИИ/МО очень часто встречаются "фантомные" зависимости, т.е. зависимости, которые явно не описаны (в манифесте). В первую очередь это связано с тем, что такие приложения в большинстве случаев пишутся на python, где подключают зависимости где и когда угодно😅
🟠 При этом 56% выявляемых уязвимостей скрываются как раз в "фантомных" зависимостях, что затрудняет их обнаружение SCA-инструментами.
#dependency #cve #prioritization #epss #vm
В сентябре компания Endor Labs выпустила ежегодное исследование о состоянии дел в управлении зависимостями, в котором рассматриваются риски и тенденции, связанные с вопросами управления уязвимостями. Ниже приведу главные выводы и статистику.
Поэтому приоритизация, развитие SCA-инструментов и культура безопасной разработки должны идти рука об руку.
В отчете можно посмотреть много сравнений в разрезе баз NVD, OSV и GHSA, которые вскрывают множественные проблемы использования и развития баз данных уязвимостей.
#dependency #cve #prioritization #epss #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Ещё один агрегатор "трендовых" уязвимостей⚡️
Есть информация об оценке CVSS, EPSS, признак наличия в каталоге CISA KEV, счетчик обсуждения в соц.сетях, ссылки на новостные ресурсы и краткое описание самой уязвимости. Выглядит довольно скудновато🙂
Всё-таки CVEShield и CVECrowd будут поинтереснее по наполнению.
p.s. И топы уязвимостей тоже отличаются😑
#cve #trends #prioritization
Есть информация об оценке CVSS, EPSS, признак наличия в каталоге CISA KEV, счетчик обсуждения в соц.сетях, ссылки на новостные ресурсы и краткое описание самой уязвимости. Выглядит довольно скудновато
Всё-таки CVEShield и CVECrowd будут поинтереснее по наполнению.
p.s. И топы уязвимостей тоже отличаются
#cve #trends #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8