Ещё одна база инцидентов в закладки 📌

Ресурс API Security Threat Landscape представляет собой таблицу, содержащую данные об инцидентах, связанных с успешными атаками на API🛠
В этой базе вы сможете найти информацию о выявленных уязвимостях и дефектах, векторах атак, а также о связанных APT-группировках и многом другом. Правда, инцидентов не сильно много: записей чуть более 30, а самая ранняя датируется ноябрем 2021 года.

Кроме того, на гитхабе авторы ресурса представили матрицу угроз для API, в которой описаны тактики, техники злоумышленников и меры защиты от них📝

#api #threat #matrix

Сложности управления уязвимостями в управлении зависимостями🛠

В сентябре компания Endor Labs выпустила ежегодное исследование о состоянии дел в управлении зависимостями, в котором рассматриваются риски и тенденции, связанные с вопросами управления уязвимостями. Ниже приведу главные выводы и статистику.

➡️Управление зависимостями сводится к эффективной приоритизации.
🟠Отмечается, что только менее 9,5% уязвимостей могут быть проэксплуатированы на уровне функций (как элемента программного кода), т.к. для успеха необходима как минимум возможность вызова уязвимой функции при работе приложения. Таким образом, самым важным критерием приоритизации здесь служит анализ достижимости (reachability analysis), подразумевающий определение того, может ли приложение, имеющее уязвимую функцию, быть выполнено таким образом, чтобы уязвимая функция тоже была выполнена.
🟠Вторым важным критерием приоритизации является использование оценки EPSS. Исследователи рассчитали, что 4 из 5 "достижимых" уязвимостей имеют прогнозируемую вероятность эксплуатации в 1% и менее. Таким образом, совместное использование анализа достижимости и EPSS приводит к тому, что исправлению будет подлежать около 2% всех выявляемых уязвимостей🆒
🟠В то же время, подчеркивается, что устранение уязвимостей требует обновления до мажорной версии зависимости в 24% случаев, минорные обновления могут потенциально "сломать" приложение в 94%, а патчи имеют 75% шанс тоже всё сломать💻
Поэтому приоритизация, развитие SCA-инструментов и культура безопасной разработки должны идти рука об руку.

➡️Управление зависимостями невозможно только с помощью публичных баз данных уязвимостей.
🟠69% бюллетеней безопасности публикуются после выпуска обновлений безопасности со средней задержкой в 25 дней, что увеличивает "окно возможностей" для злоумышленников.
🟠В шести базах данных уязвимостей 47% записей не содержат никакой информации об уязвимостях на уровне кода, 51% записей содержит одну или несколько ссылок на коммиты-исправления и только 2% записей содержат информацию об уязвимых функциях🧐
🟠В четверти записей в различных базах данных уязвимостей содержится некорректная или неполная информация, а порой она отличается от базы к базе.
В отчете можно посмотреть много сравнений в разрезе баз NVD, OSV и GHSA, которые вскрывают множественные проблемы использования и развития баз данных уязвимостей.

➡️Использование ИИ-инструментов облегчает процесс разработки, но усложняет управление зависимостями.
🟠Информация об уязвимых библиотеках для машинного обучения и искусственного интеллекта может существенно различаться в публичных базах данных. Расхождения могут достигать 10%.
🟠В приложениях для ИИ/МО очень часто встречаются "фантомные" зависимости, т.е. зависимости, которые явно не описаны (в манифесте). В первую очередь это связано с тем, что такие приложения в большинстве случаев пишутся на python, где подключают зависимости где и когда угодно😅
🟠При этом 56% выявляемых уязвимостей скрываются как раз в "фантомных" зависимостях, что затрудняет их обнаружение SCA-инструментами.

#dependency #cve #prioritization #epss #vm

State of Threat and Exposure Management Report by NopSec🛠
Неплохое исследование о состоянии дел в управлении уязвимостями угрозами и экспозициями🙂

⚫️Первый раздел посвящен анализу ландшафта уязвимостей, распространенных в организациях.
🟠На рисунке 1 можно посмотреть распространенность уязвимостей в программном обеспечении 15 наиболее используемых вендоров в организациях и аналитику по проценту устранения этих уязвимостей. За небольшими исключениями, эта статистика будет применительна и к нашим организациям🤔
🟠Среднее время устранения уязвимости составляет 212 дней.
На рисунке 5 можно посмотреть средние сроки устранения уязвимостей на различных типах ИТ-активов (например, по роли использования или расположению на периметре) и атрибутов самой уязвимости (использование в определенных типах атак или имеющие собственные уникальные имена, например, как "Log4Shell").
🟠На рисунке 6 можно увидеть на сколько быстро устраняются уязвимости того или иного вендора с учетом критерия распространенности ПО в организациях.

⚫️Второй раздел документа посвящен рекламе сравнению системы приоритизации устранения уязвимостей NopSec с оценкой CVSS.
Подсветить особо нечего: в данном разделе можно посмотреть какие факторы риска и критерии используются компанией NopSec для приоритизации устранения уязвимостей.

⚫️Третий раздел исследования посвящен сопоставлению тактик, техник и процедур, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей.
🟠Маппинг TTPs на конкретные CVE осуществлялся тремя способами: вручную (экспертной оценкой), с помощью LLM-моделей BERT и Gemini (пример сравнения на последнем рисунке в посте).
🟠Сравнение проводилось в различных сценариях, но во всех случаях LLM-моделям "скармливалась" информация об уязвимостях из базы NVD, что ожидаемо привело к низкому качестве маппинга TTPs, в связи с недостаточным или низким качеством описания конкретных CVE.

#cve #ttp #exposure #prioritization

Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡

Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.

Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘Базовая программа повышения осведомленности
🟣Программа изменения поведения (персонала)
🟡Программа культуры безопасности персонала
🔴Комплексная программа культуры безопасности

В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе специалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉)

p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍

#awareness #roadmap #maturity #behavior