Сложности управления уязвимостями в управлении зависимостями🛠
В сентябре компания Endor Labs выпустила ежегодное исследование о состоянии дел в управлении зависимостями, в котором рассматриваются риски и тенденции, связанные с вопросами управления уязвимостями. Ниже приведу главные выводы и статистику.
➡️ Управление зависимостями сводится к эффективной приоритизации.
🟠 Отмечается, что только менее 9,5% уязвимостей могут быть проэксплуатированы на уровне функций (как элемента программного кода), т.к. для успеха необходима как минимум возможность вызова уязвимой функции при работе приложения. Таким образом, самым важным критерием приоритизации здесь служит анализ достижимости (reachability analysis), подразумевающий определение того, может ли приложение, имеющее уязвимую функцию, быть выполнено таким образом, чтобы уязвимая функция тоже была выполнена.
🟠 Вторым важным критерием приоритизации является использование оценки EPSS. Исследователи рассчитали, что 4 из 5 "достижимых" уязвимостей имеют прогнозируемую вероятность эксплуатации в 1% и менее. Таким образом, совместное использование анализа достижимости и EPSS приводит к тому, что исправлению будет подлежать около 2% всех выявляемых уязвимостей🆒
🟠 В то же время, подчеркивается, что устранение уязвимостей требует обновления до мажорной версии зависимости в 24% случаев, минорные обновления могут потенциально "сломать" приложение в 94%, а патчи имеют 75% шанс тоже всё сломать💻
Поэтому приоритизация, развитие SCA-инструментов и культура безопасной разработки должны идти рука об руку.
➡️ Управление зависимостями невозможно только с помощью публичных баз данных уязвимостей.
🟠 69% бюллетеней безопасности публикуются после выпуска обновлений безопасности со средней задержкой в 25 дней, что увеличивает "окно возможностей" для злоумышленников.
🟠 В шести базах данных уязвимостей 47% записей не содержат никакой информации об уязвимостях на уровне кода, 51% записей содержит одну или несколько ссылок на коммиты-исправления и только 2% записей содержат информацию об уязвимых функциях🧐
🟠 В четверти записей в различных базах данных уязвимостей содержится некорректная или неполная информация, а порой она отличается от базы к базе.
В отчете можно посмотреть много сравнений в разрезе баз NVD, OSV и GHSA, которые вскрывают множественные проблемы использования и развития баз данных уязвимостей.
➡️ Использование ИИ-инструментов облегчает процесс разработки, но усложняет управление зависимостями.
🟠 Информация об уязвимых библиотеках для машинного обучения и искусственного интеллекта может существенно различаться в публичных базах данных. Расхождения могут достигать 10%.
🟠 В приложениях для ИИ/МО очень часто встречаются "фантомные" зависимости, т.е. зависимости, которые явно не описаны (в манифесте). В первую очередь это связано с тем, что такие приложения в большинстве случаев пишутся на python, где подключают зависимости где и когда угодно😅
🟠 При этом 56% выявляемых уязвимостей скрываются как раз в "фантомных" зависимостях, что затрудняет их обнаружение SCA-инструментами.
#dependency #cve #prioritization #epss #vm
В сентябре компания Endor Labs выпустила ежегодное исследование о состоянии дел в управлении зависимостями, в котором рассматриваются риски и тенденции, связанные с вопросами управления уязвимостями. Ниже приведу главные выводы и статистику.
Поэтому приоритизация, развитие SCA-инструментов и культура безопасной разработки должны идти рука об руку.
В отчете можно посмотреть много сравнений в разрезе баз NVD, OSV и GHSA, которые вскрывают множественные проблемы использования и развития баз данных уязвимостей.
#dependency #cve #prioritization #epss #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Ещё один агрегатор "трендовых" уязвимостей⚡️
Есть информация об оценке CVSS, EPSS, признак наличия в каталоге CISA KEV, счетчик обсуждения в соц.сетях, ссылки на новостные ресурсы и краткое описание самой уязвимости. Выглядит довольно скудновато🙂
Всё-таки CVEShield и CVECrowd будут поинтереснее по наполнению.
p.s. И топы уязвимостей тоже отличаются😑
#cve #trends #prioritization
Есть информация об оценке CVSS, EPSS, признак наличия в каталоге CISA KEV, счетчик обсуждения в соц.сетях, ссылки на новостные ресурсы и краткое описание самой уязвимости. Выглядит довольно скудновато
Всё-таки CVEShield и CVECrowd будут поинтереснее по наполнению.
p.s. И топы уязвимостей тоже отличаются
#cve #trends #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
State of Threat and Exposure Management Report by NopSec🛠
Неплохое исследование о состоянии дел в управленииуязвимостями угрозами и экспозициями🙂
⚫️ Первый раздел посвящен анализу ландшафта уязвимостей, распространенных в организациях.
🟠 На рисунке 1 можно посмотреть распространенность уязвимостей в программном обеспечении 15 наиболее используемых вендоров в организациях и аналитику по проценту устранения этих уязвимостей. За небольшими исключениями, эта статистика будет применительна и к нашим организациям🤔
🟠 Среднее время устранения уязвимости составляет 212 дней.
На рисунке 5 можно посмотреть средние сроки устранения уязвимостей на различных типах ИТ-активов (например, по роли использования или расположению на периметре) и атрибутов самой уязвимости (использование в определенных типах атак или имеющие собственные уникальные имена, например, как "Log4Shell").
🟠 На рисунке 6 можно увидеть на сколько быстро устраняются уязвимости того или иного вендора с учетом критерия распространенности ПО в организациях.
⚫️ Второй раздел документа посвящен рекламе сравнению системы приоритизации устранения уязвимостей NopSec с оценкой CVSS.
Подсветить особо нечего: в данном разделе можно посмотреть какие факторы риска и критерии используются компанией NopSec для приоритизации устранения уязвимостей.
⚫️ Третий раздел исследования посвящен сопоставлению тактик, техник и процедур, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей.
🟠 Маппинг TTPs на конкретные CVE осуществлялся тремя способами: вручную (экспертной оценкой), с помощью LLM-моделей BERT и Gemini (пример сравнения на последнем рисунке в посте).
🟠 Сравнение проводилось в различных сценариях, но во всех случаях LLM-моделям "скармливалась" информация об уязвимостях из базы NVD, что ожидаемо привело к низкому качестве маппинга TTPs, в связи с недостаточным или низким качеством описания конкретных CVE.
#cve #ttp #exposure #prioritization
Неплохое исследование о состоянии дел в управлении
На рисунке 5 можно посмотреть средние сроки устранения уязвимостей на различных типах ИТ-активов (например, по роли использования или расположению на периметре) и атрибутов самой уязвимости (использование в определенных типах атак или имеющие собственные уникальные имена, например, как "Log4Shell").
Подсветить особо нечего: в данном разделе можно посмотреть какие факторы риска и критерии используются компанией NopSec для приоритизации устранения уязвимостей.
#cve #ttp #exposure #prioritization
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👌2
Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡
Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.
Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘 Базовая программа повышения осведомленности
🟣 Программа изменения поведения (персонала)
🟡 Программа культуры безопасности персонала
🔴 Комплексная программа культуры безопасности
В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работеспециалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉 )
p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍
#awareness #roadmap #maturity #behavior
Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.
Дорожная карта делит все меропиятия на четыре уровня зрелости:
В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе
p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости
#awareness #roadmap #maturity #behavior
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
12🔥11👍4❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
😁22
OWASP, спустя шесть лет, обновил свой топ-10 требований к проактивной защите, которые необходимо применять на ранних стадиях разработки для достижения максимальной эффективности в создании безопасного программного обеспечения🔝
Требования располагаются в порядке убывания их важности:
🟠 Реализовывайте контроль доступа
🟠 Применяйте криптографию для защиты данных
🟠 Осуществляйте проверку всех входных данных и должным образом обрабатывайте исключения
🟠 С самого начала (разработки) уделяйте внимание безопасности
🟠 Используйте подход "безопасность по умолчанию"
🟠 Обеспечивайте безопасность используемых зависимостей (библиотек и фреймворков)
🟠 Внедряйте безопасную цифровую идентификацию
🟠 Используйте функции безопасности браузера
🟠 Внедряйте журналирование и мониторинг событий безопасности
🟠 Пресекайте попытки подделки запросов на стороне сервера (защита от SSRF)
Для каждого требования приводится подробное описание, связь с угрозами и дефектами, от которых эти меры/требования защищают, рекомендации и инструменты для внедрения и валидации.
По сравнению с версией от 2018 года довольно много изменений, правда, не всегда логичных🤔
Советую почитать обзор изменений от Mic Whitehorn.
#owasp #proactive #controls #cwe
Требования располагаются в порядке убывания их важности:
Для каждого требования приводится подробное описание, связь с угрозами и дефектами, от которых эти меры/требования защищают, рекомендации и инструменты для внедрения и валидации.
По сравнению с версией от 2018 года довольно много изменений, правда, не всегда логичных
Советую почитать обзор изменений от Mic Whitehorn.
#owasp #proactive #controls #cwe
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Как утечки данных влияют на стоимость акций на фондовом рынке 📈 📉
Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.
Основные выводы:
➡️ После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️ Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️ Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️ Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️ Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️ Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️ Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.
Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.
#breach #business #stock
Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.
Основные выводы:
Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.
#breach #business #stock
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤔2
Google SAIF – портал, посвященный безопасности систем искусственного интеллекта🧠
В прошлом году Google представил свой Secure AI Framework, который получил противоречивые отзывы о своей полезности. Возможно, собрав обратную связь, команда решила доработать материалы, и запустила обновленный портал, обогатив его более конкретными и полезными ресурсами🖥
На данный момент портал включает в себя следующие основные разделы:
🔘 SAIF Risk Map – интерактивная карта, на которой представлены ключевые компоненты систем ИИ, присущие угрозы и риски, а также возможные меры по их митигации.
🔘 Secure AI Development Primer – краткое руководство по безопасной разработке систем ИИ.
🟣 Risk Self Assesment – опросник, позволяющий провести самооценку рисков и выявить слабые места в системе безопасности ИИ.
🟡 Resources – коллекция полезных материалов, которые помогут глубже разобраться в вопросах безопасности и возможных решениях.
#ai #saif #framework #risk
В прошлом году Google представил свой Secure AI Framework, который получил противоречивые отзывы о своей полезности. Возможно, собрав обратную связь, команда решила доработать материалы, и запустила обновленный портал, обогатив его более конкретными и полезными ресурсами
На данный момент портал включает в себя следующие основные разделы:
#ai #saif #framework #risk
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8🔥3
AlexRedSec
State of Threat and Exposure Management Report by NopSec🛠 Неплохое исследование о состоянии дел в управлении уязвимостями угрозами и экспозициями🙂 ⚫️ Первый раздел посвящен анализу ландшафта уязвимостей, распространенных в организациях. 🟠 На рисунке 1 можно…
Media is too big
VIEW IN TELEGRAM
В продолжение темы сопоставления тактик, техник и процедур Mitre ATT&CK, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей🕐
Ещё один подход к маппингу представлен в интересном инструменте CVE2CAPEC: здесь уже выстраивается цепочка CVE-CWE-CAPEC-TTPs Mitre ATT&CK. То есть конкретная уязвимость связывается с присущими ей дефектами CWE, которые, в свою очередь, сопоставляются с шаблонами атак CAPEC, а те — с техниками из Mitre ATT&CK.
Честно говоря, результаты маппинга данных подходов абсолютно не совпадают друг с другом, и это ожидаемо, так как в подходе NopSec анализируется описание CVE из базы NVD, и на основе этой информации производится маппинг на техники злоумышленников, а в проекте CVE2CAPEC — основываясь на информации о связанных дефектах CWE и техниках из базы CAPEC🤨
В итоге в обоих случаях мы имеем неполную картину, но, как минимум, уже понимаем, что эти подходы можно попробовать комбинировать для более точного маппинга.
#cve #cwe #capec #ttp
Ещё один подход к маппингу представлен в интересном инструменте CVE2CAPEC: здесь уже выстраивается цепочка CVE-CWE-CAPEC-TTPs Mitre ATT&CK. То есть конкретная уязвимость связывается с присущими ей дефектами CWE, которые, в свою очередь, сопоставляются с шаблонами атак CAPEC, а те — с техниками из Mitre ATT&CK.
Честно говоря, результаты маппинга данных подходов абсолютно не совпадают друг с другом, и это ожидаемо, так как в подходе NopSec анализируется описание CVE из базы NVD, и на основе этой информации производится маппинг на техники злоумышленников, а в проекте CVE2CAPEC — основываясь на информации о связанных дефектах CWE и техниках из базы CAPEC
В итоге в обоих случаях мы имеем неполную картину, но, как минимум, уже понимаем, что эти подходы можно попробовать комбинировать для более точного маппинга.
#cve #cwe #capec #ttp
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍10🔥5
Пять коммуникативных тактик, мотивирующих сотрудников серьезнее относиться к киберрискам💡
В новом исследовании Gartner подчеркивает, что традиционные методы информирования сотрудников о киберрисках и правилах реагирования на них оказываются неэффективными:
большинство сотрудников не осознают личные последствия, возникающие в результате их неправильного поведения в контексте киберрисков🤔
Чтобы повысить эффективность коммуникаций Gartner предлагают следующие рекомендации по изменению стиля общения:
➡️ Тесно увязывайте действия с влиянием, а не последствиями.
Важно акцентировать внимание на позитивном влиянии действий сотрудников на безопасность компании, а также использовать примеры для подражания, что поможет изменить культурные установки в коллективе.
Пример: "Ребята внедрили полный цикл тестирования приложения с использованием только синтетических данных".
➡️ Отталкивайтесь от существующих корпоративных ценностей.
Формировать или изменять убеждения проще, если они связаны с уже устоявшимися взглядами и поведением сотрудников.
Пример: "Не имеет значения, что именно программа-вымогатель стала причиной того, что мы не достигли своей цели." (все сотрудники понимают, что недостижение цели равно потере прибыли и потенциальных бонусов в виде премий).
➡️ Усиливайте последствия за счет предполагаемого социального давления.
Можно использовать феномен социального давления, который побуждает нас не причинять вред другим.
Пример: "Утечка персональных данных может разрушить жизнь человека".
➡️ Сделайте это личным.
Восприятие риска меняется, когда можно представить последствия, которые могут затронуть нас.
Пример:"Если вы считаете, что смена пароля доставляет вам много хлопот, то попробуйте изменить свою личность".
➡️ Сделайте это веселым (увлекательным).
Юмор способствует более глубокому сосредоточению и долгосрочному удержанию информации.
Пример: использование мемов и слоганов, высмеивающих пренебрежение правилами кибергигиены.
#awareness #gartner #hrm
В новом исследовании Gartner подчеркивает, что традиционные методы информирования сотрудников о киберрисках и правилах реагирования на них оказываются неэффективными:
большинство сотрудников не осознают личные последствия, возникающие в результате их неправильного поведения в контексте киберрисков
Чтобы повысить эффективность коммуникаций Gartner предлагают следующие рекомендации по изменению стиля общения:
Важно акцентировать внимание на позитивном влиянии действий сотрудников на безопасность компании, а также использовать примеры для подражания, что поможет изменить культурные установки в коллективе.
Пример: "Ребята внедрили полный цикл тестирования приложения с использованием только синтетических данных".
Формировать или изменять убеждения проще, если они связаны с уже устоявшимися взглядами и поведением сотрудников.
Пример: "Не имеет значения, что именно программа-вымогатель стала причиной того, что мы не достигли своей цели." (все сотрудники понимают, что недостижение цели равно потере прибыли и потенциальных бонусов в виде премий).
Можно использовать феномен социального давления, который побуждает нас не причинять вред другим.
Пример: "Утечка персональных данных может разрушить жизнь человека".
Восприятие риска меняется, когда можно представить последствия, которые могут затронуть нас.
Пример:"Если вы считаете, что смена пароля доставляет вам много хлопот, то попробуйте изменить свою личность".
Юмор способствует более глубокому сосредоточению и долгосрочному удержанию информации.
Пример: использование мемов и слоганов, высмеивающих пренебрежение правилами кибергигиены.
#awareness #gartner #hrm
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍8❤2
The 8th Annual Hacker-Powered Security Report by HackerOne🔓
С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.
Главные выводы:
🔣 Генеративный ИИ является одним из самых значительных рисков, а целостность данных (обрабатываемых ИИ) является ключевым приоритетом.
🔣 Исследователи всё больше сосредотачиваются на поиске уязвимостей в мобильных устройствах, API, ИИ-средах.
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
🔣 XSS – остается наиболее распространенной уязвимостью, о которой сообщается в багбаунти-программах, а misconfiguration – при пентестах.
🔣 Багбаунти-программы с высокой отдачей (где более 30% подтвержденных отчетов с high/critical-уязвимостями) имели размер вознаграждения выше среднего, ограничения на участие в программе для доверенных исследователей и более широкий скоуп ресурсов для тестирования.
#h1 #vulnerability #bugbounty
С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.
Главные выводы:
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
#h1 #vulnerability #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
3🔥4👍3❤1