OWASP Non-Human Identities Top 10 - 2025🤖

В конце прошлого года OWASP опубликовал новый проект, в котором были описаны и проранжированы основные риски, связанные с использованием не-человеческих идентификаторов в процессах разработки ПО.
Под "не-человеческими идентификаторами" (машинными идентификаторами или программными учетными данными) понимаются токены, ключи API, сервисные/технические учетные записи, используемые приложениями, службами, процессами и т.д.
Не-человеческие идентификаторы (далее — НЧИ), которые часто используются для автоматизации процессов, доступа к ресурсам и взаимодействия между системами, являются привлекательной мишенью для злоумышленников, если не управляются должным образом.

Перечень рисков был был сформирован на основе анализа реальных киберинцидентов, опросов, баз данных уязвимостей и других источников, с использованием методологии OWASP Risk Rating:
🔴Некорректный (ненадлежащий) вывод из эксплуатации НЧИ — риск заключается в том, что злоумышленник может использовать НЧИ, извлеченные из устаревших или уже неиспользуемых служб, сервисов или функционала ПО.
🔴Утечка секретов — раскрытие секретов, используемых НЧИ, может привести к несанкционированному доступу. Например, когда секреты передаются и хранятся в открытом виде.
🔴Использование уязвимых сторонних компонент с НЧИ — создает риск раскрытия НЧИ при возможной компрометации стороннего ПО или наличия уязвимостей в нем.
🔴Небезопасная аутентификация — использование устаревших, слабых механизмов аутентификации позволяет извлекать секреты НЧИ.
🔴Использование НЧИ с избыточными привилегиями — НЧИ, имеющие больше прав доступа, чем им необходимо для выполнения своих задач, представляют повышенный риск, так как их компрометация может привести к большему ущербу (компрометации большей части инфраструктуры).
🔴Небезопасные конфигурации облачных развертываний — при интеграциях конвейера разработки с облачными сервисами существует риск компрометации среды разработки, связанный с возможным раскрытием учетных данных, с помощью которых настраивается эта интеграция.
🔴Долгоживущие секреты — отсутствие ротации или слишком большой срок жизни секретов увеличивает риск их компрометации, позволяя злоумышленнику использовать, например, специфичные атаки или сохранять длительный доступ к скомпрометированной инфраструктуре.
🔴Изоляция сред — использование одних и тех же НЧИ в различных окружениях может позволить злоумышленнику успешно перемещаться между средами разработки (например, из среды тестирования в прод).
🔴Переиспользование НЧИ — использование одних и тех же НЧИ для разных целей увеличивает поверхность атаки и риск компрометации нескольких приложений, сервисов, служб.
🔴Использование НЧИ человеком — создает значительные риски безопасности, связанные с возможным повышением привилегий НЧИ, увеличением поверхности атаки (например, кража секретов НЧИ у сотрудника с помощью атак социальной инженерии), затруднение аудита доступов и расследования потенциальных инцидентов (из-за смешения автоматических операций с ручными).

Для каждого риска приводится подробное описание, сценарии возможных атак, меры митигации, аналитика на основе реальных инцидентов и ранжирование по уровню критичности (в разрезе сложности эксплуатации злоумышленником, влияния, распространенности атак и сложности их обнаружения).

#owasp #nhi #identities #risk #secrets

Ассоциация британских страховщиков разработала мини-фреймворк для "правильного" анализа крупных киберинцидентов с точки зрения страхования и перестрахования.
Цели документа:
🟠Повышение осведомленности о киберрисках и их компонентах.
🟠Определение риск-аппетита и улучшение решений в области страхования киберрисков.
🟠Улучшение коммуникаций между участниками процесса страхования.
🟠Единый подход к определению крупных киберинцидентов.
🟠Понять как заработать больше денег на клиентах

Для достижения заявленных целей предлагается "раскладывать" крупный киберинцидент на семь основных компонент:
🟢Кто (атрибуция) – атрибуция важна для оценки источника потерь, создания картины угроз и понимания первопричины киберсобытия.
Также отмечается, что события могут быть идентифицированы как незлонамеренные: например, в 2024 году было несколько киберинцидентов, связанных со сбоями в средствах защиты информации (самый громкий, конечно, кейс CrowdStrike).
🟢Что (причина потерь) – определение объединяющего фактора (общей причины, события или риска), который привел к возникновению киберинцидента. С точки зрения страхования это важно для возможности агрегирования убытков, когда множественные претензии объединяются по одному событию (причине), что влияет на страховые выплаты.
🟢Где (страховой след) – определение масштаба киберсобытия с учетом цифровой экосистемы, географии, типа технологии и отраслевого сектора.
🟢Когда (начало и продолжительность) – звучит понятно, но на деле определение временных окон очень сложно, т.к. почти всегда сложно определить когда начался киберинцидент и закончился ли он. В документе приводятся подходы для определения временных рамок инцидентов.
🟢Как (механизм распространения) – данный компонент описывает механизм распространения вредоносных файлов, кода или активности во время киберинцидента. Понимание этого механизма важно для определения масштаба потенциального ущерба, возможности агрегирования убытков и оценки эффективности мер управления рискам.
🟢Почему (мотив) – помогает понять причины и цели кибератаки, что важно для определения потенциальных последствий, объема страхового покрытия и разработки мер реагирования.
🟢Влияние (убыток) – помогает количественно оценить серьезность киберсобытия с точки зрения финансовых потерь и определить, является ли событие значительным с точки зрения страхования и экономики. Этот компонент также учитывает различные типы убытков и их изменчивость в зависимости от других компонентов.

Примечательно, что для каждого компонента приводятся пояснения на примерах реальных инцидентов (Colonial Pipeline, NotPetya, CrowdStrike и другие громкие кейсы).

#insurance #loss #breach

Очередной новый агрегатор обсуждаемых уязвимостей Fedi Sec Feeds🔖
На этот раз аналог проекта CVECrowd – тоже пылесосит посты из пространств Fediverse.
Помимо описания уязвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.

p.s. Подборку агрегаторов в статье на телетайпе тоже обновил📝

#cve #trends #vulnerability #prioritization

Компьютерные сети и кибербезопасность вошли в тройку ключевых навыков, востребованность которых будет стремительно расти к 2030 году🔝

Всемирный экономический форум представил интересный отчет "The Future of Jobs Report 2025", в котором проанализированы прогнозы более 1000 работодателей по всему миру о трансформации рынка труда к 2030 году.

Согласно выводам отчета, на данный момент профессии, связанные с навыками в области компьютерных сетей и кибербезопасности, не считаются основными и критически важными (см. рис.), однако к 2030 году их значимость и востребованность ожидают кратный рост.📈
Что ещё интересного пишут про навыки по направлению компьютерных сетей и кибербезопасности:
🟢Тесно связаны с развитием технологий искусственного интеллекта и больших данных.
🟢Традиционно востребованы в сфере телекоммуникаций, финансов и инвестиций.
🟢Развитие этих навыков не только создает новые рабочие места, но и трансформирует существующие, требуя от работников постоянного обучения и адаптации к новым технологиям.
🟢Это не просто технический навык, а стратегически важный элемент для будущей рабочей силы. Подчеркивается, что инвестиции в развитие этих навыков необходимы для обеспечения конкурентоспособности и безопасности организаций в условиях быстро меняющегося технологического ландшафта.

В целом по технологическим навыкам:
🟢В топе сейчас и в ближайшую пятилетку навыки в области ИИ и больших данных, а также технологическая грамотность (это не просто умение пользоваться гаджетами, а комплексное понимание и применение технологий для решения различных задач и адаптации к технологическим изменениям).
🟢Программирование остается важным навыком, но уже не демонстрирует взрывного роста, что связано с ростом автоматизации и развитием ИИ.

#wef #job #skill #future #networks #cybersecurity

Агентство CISA и ФБР выпустили обновленную версию совместного руководства, посвященного плохим практикам в области продуктовой ИБ.

Помимо точечных уточнений к первоначальной десятке "неблагонадежных" практик добавилось ещё три:
🟠Использование устаревших/ненадежных алгоритмов шифрования и/или отсутствие шифрования пре передаче/хранении конфиденциальной информации.
🟠Использование жестко закодированных учетных данных или секретов в исходном коде.
🟠Отсутствие конкретной и четкой информации о периоде поддержки ПО производителем.

Документ содержит рекомендации по снижению рисков, связанных с указанными практиками, а также ссылки на дополнительные полезные материалы.

#cisa #vulnerability #cwe #bestpractices #badpractices #kev #mfa

Консалтинговая компания Wavestone представила отчет с анализом ключевых тенденций в кибербезопасности на 2025 год и ближайшее будущее, традиционно сопроводив его визуализацией в виде радара, разделенного на шесть секторов-направлений в кибербезопасности и три уровня зрелости.

Выделяется три основных направления, которые будут формировать ландшафт кибербезопасности в 2025 году:
1️⃣ Необходимость рационализации и оптимизации.
🟢Оптимизация процессов и инструментов (в основном речь про дублирование функций)
🟢Управление командами (командный дух, развитие, "умный найм")
🟢Демонстрация ценности кибербезопасности (финансовая оценка киберрисков, осознание ценности для бизнеса)
2️⃣ Масштабирование главных кибервызовов.
🟢Расширение периметра безопасности (необходимость контроля за дочерними организациями и поставщиками услуг)
🟢Развитие роли CISO (появляются новые роли, например, Chief Identity Officer)
🟢Совершенствование SOC (оптимизация, автоматизация, переосмысление тех.стека, пересмотр схемы управления данными)
🟢Управление уязвимостями (внедрение подхода Центра управления уязвимостями в роли оркестратора)
🟢Усиление защиты данных (внедрение DSP/DSPM)
🟢Безопасность искусственного интеллекта (необходимы меры для обеспечения безопасности ИИ, как в качестве инструмента, так и в качестве объекта защиты)
3️⃣ Управление регуляторными требованиями.
🟢Формирование команды для отслеживания всех регуляторных требований и интеграции в дорожные карты развития кибербезопасности организации. Необходимость более тесного сотрудничества с регуляторами.

Будущие вызовы, которые начнут занимать центральное место в 2025 году:
🟠Безопасность IAM
🟠Безопасность цифровых продуктов
🟠Использование ИИ в кибербезопасности
🟠Усиление киберустойчивости промышленных систем управления
🟠Постквантовая криптография
🟠Управление дезинформацией

#ciso #future #risk #radar

От зарплатных ведомостей до патентов🫢

Компания Harmonic, специализирующаяся на разработке решений для безопасного внедрения и использования искусственного интеллекта в организациях, опубликовала интересное исследование на тему утечки данных при использовании инструментов генеративного ИИ.

Анализ запросов, вводимых сотрудниками клиентов в популярных чат-ботах, показал, что 8,5% из них содержали конфиденциальную информацию, классифицированную следующим образом (в порядке убывания):
➡️Данные клиентов (биллинговая информация, данные аутентификации, платежная информация и отчеты).
➡️Данные сотрудников (зарплатные ведомости, персональные данные и информация о трудоустройстве).
➡️Финансовая и юридическая информация (патенты, информация о сделках, инвестициях).
➡️Политики, отчеты безопасности, а также конфигурации различного оборудования и ПО, в т.ч. отчеты об инцидентах и логи доступа🥲
➡️Программный код и ключи доступа (токены и т.п.)

Рекомендации по недопущению утечек данных:
🟢Обучение сотрудников правилам и рискам использования инструментов генеративного ИИ.
🟢Внедрение правил и политик допустимого использования инструментов генеративного ИИ.
🟢Классификация конфиденциальных данных "на лету" при вводе информации.
🟢Использование решений для возможности мониторинга в реальном времени и отслеживание вводимых промпт-запросов (командами безопасности).
🟢Исключение использования бесплатных инструментов генеративного ИИ, которые обучаются на вводимых данных.

#ИИ #утечка #ai #leak

Интересная визуализация ландшафта рисков кибербезопасности, связанных с системами искусственного интеллекта, в виде "периодической таблицы"🧠

Автор: Iryna Schwindt.
#ai #risk #visualization #ии #риск #визуализация

В США продвигают идею сертификации программного обеспечения по требованиям безопасности⁉️

CISA совместно с ещё несколькими американскими агентствами выпустили совместный манифест на тему устранения пробелов в понимании программного обеспечения📣
Под "пониманием ПО" подразумевается практика построения и оценки систем, управляемых программным обеспечением, для проверки их функциональности, безопасности и защиты во всех условиях (нормальных, аномальных и враждебных).
Пробелы в данном направлении приводят к неспособности эффективно создавать ПО без дефектов, исправлять их после обнаружения, поддерживать ПО в необходимом темпе и масштабе, защищая от возможных случаев эксплуатации уязвимостей.

В документе заявляется, что только за 2022 год экономические потери, связанные с дефектами ПО, оценивались в более чем 2 триллиона долларов: это средства затраченные на устранение операционных сбоев, замену устаревших систем, устранение дефектов, уязвимостей и последствий кибератак на объектах критической инфраструктуры США. В качестве наглядных кейсов приводятся атака шифровальщика на компанию Colonial Pipeline, компрометация цепочки поставок SolarWinds, атаки Volt Typhoon и Salt Typhoon.

В качестве меры митигирования авторы рекомендуют разработчикам ПО внедрять процесс аттестации программного обеспечения доверенной третьей стороной в рамках подхода "secure by design", а клиентам — приобретать сертифицированные таким образом продукты. При этом в качестве (положительного) примера приводится политика Китая по снижению зависимости от иностранного ПО, а также требования по раскрытию исходного кода средств защиты информации для сертификации по требованиям безопасности ФСТЭК РФ😅
А ведь в 2018 году АНБ заявляло, что такой подход Китая и РФ (к раскрытию кода) связан исключительно для выявления слабых мест в иностранном ПО с целью использования в кибератаках гос.уровня🤔

#attestation #vulnerability #cisa #сертификация

Несколько агентств кибербезопасности (CCCS, NCSC-UK, ACSC, CISA) подготовили и представили набор рекомендаций по защите сетевых устройств, расположенных на границе сети (граничных/периферийных, кому как нравится), таких как межсетевые экраны, маршрутизаторы, шлюзы VPN, IoT-устройства и т.п.

Были опубликованы следующие документы:
1️⃣Обзор угроз и вопросов безопасности граничных сетевых устройств. Он также включает в себя примеры компрометации устройств (разбор "громких" уязвимостей), рекомендации и меры по защите и/или смягчению последствий от атак.
2️⃣ Руководство по настройке механизмов логирования и мониторинга событий в сетевых устройствах, которая обеспечит возможность полноценного проведения расследований инцидентов или компрометации самих устройств.
3️⃣ Набор рекомендаций для руководства и специалистов по мерам защиты для всех этапов жизненного цикла оборудования, начиная с его закупки и заканчивая выводом из эксплуатации.

#network #guidance #mitigation #firewall #router #vpn #iot

🛠100 тикетов в бэклоге🛠

Компания Zest Security констатирует, что организации научились находить/определять угрозы и уязвимости в своей облачной инфраструктуре, но ещё не смогли в процессы устранения и снижения рисков🤷‍♀️
В подтверждение приводится следующая статистика:
🟠Более 60% инцидентов связаны с рисками, которые уже были известны организации и по которым имелись открытые тикеты на устранение.
🟠Организациями требуется в 10 раз больше времени на устранение уязвимости, чем злоумышленникам для их эксплуатации.
🟠Почти 90% организаций имеют в бэклоге более 100 критических тикетов, более 70% открывают ежемесячно ещё по 55 тикетов, а 45% закрывают только 10 тикетов в месяц.
🟠6-8 рабочих дней в месяц уходит на анализ, подтверждение и приоритизацию уязвимостей.
🟠Устранение уязвимостей, связанных с ошибками конфигурирования, занимает в среднем 3,5 недели, а устранение уязвимостей приложений — в среднем 6-8 недель.
🟠Более 4 сотрудников, участвует в работах, связанных с сопровождением тикета на устранение уязвимости.

Что предлагают авторы и опрошенные респонденты для решения этой проблемы:
🟢Приоритизация на основе усилий — приоритизация задач исходя из того, сколько рисков можно закрыть с наименьшими усилиями.
🟢Автоматизация процессов, таких как триаж, поиск первопричин, определение ответственных и приоритизация.
🟢Применение компенсирующих мер в тех случаях, когда полное устранение невозможно или трудозатратно.

#vm #visibility #risk #vulnerability #prioritization #mttr #automation

Наконец-то кто-то поделился рекомендациями как правильно читать цикл развития технологий от Гартнер😁

#gartner #hypecycle #humor

Никогда не заглядывал в годовые отчёты Intel по безопасности их продукции, и, как оказалось, зря: с относительно недавних пор (пару лет как) Intel стала знатно накидывать конкурентам за воротник, приводя аналитику, подтверждающую, что их продукция безопаснее, а процессы выявления и устранения уязвимостей – лучше🛡
Причём, если годом ранее тыкали пальцем только в AMD, то в этом году ещё и Nvidia досталось🙂

Главные выводы из отчета за 2024 год:
🟢96% устранённых уязвимостей были обнаружены в рамках проактивного подхода к обнаружению уязвимостей, т.е. внутренней командой исследователей и через багбаунти-программу.
🟢Все аппаратные уязвимости (процессоров Intel) были обнаружены внутренней командой исследователей.
🟢 Багбаунти-программа Intel обеспечила обнаружение 53% устранённых уязвимостей.
🟢84% вознаграждений, выплаченных в 2024 году, были за проблемы в программном обеспечении, а 16% — за проблемы в прошивках.
🟢В продуктах AMD за 2024 год было обнаружено в разы больше уязвимостей в прошивках как для аппаратного корня доверия, так и прошивках для технологий конфиденциальных вычислений.
🟢В категории графических процессоров победила тоже Intel, остановившись на десятке обнаруженных уязвимостей. А вот у AMD и Nvidia дела похуже, причём все обнаруженные уязвимости в продуктах Nvidia высокой оценкой серьёзности, и большинство из них могли привести к выполнению произвольного кода😑

Intel, конечно, сами не без греха и в их адрес часто звучат обвинения в закладке бэкдоров, но такие сравнительные отчёты — тоже пиар🙂

#intel #amd #nvidia #vulnerability #bugbounty

Что объединяет отделы разработки, консалтинга и управления проектами?🤔

Согласно свежему исследованию о трендах киберпреступности компании KELA, компьютеры сотрудников проектных офисов, консультантов и разработчиков программного обеспечения чаще других оказываются зараженными инфостилерами🤦‍♂️
Иными словами, именно их скомпрометированные корпоративные учетные записи чаще всего становятся отправной точкой* для атак на организации, в которых они работают или ранее работали.
Примечательно, что около 65% зараженных устройств составляют личные компьютеры, то есть BYOD-устройства👀.

*Конкретно в данной выборке рассматривались зараженные устройства, на которых хранились учетные данные корпоративных VPN-решений.

#infostealer #vpn #malware #credentials

Всё в том же исследовании KELA есть интересная статистика по наиболее обсуждаемым уязвимостям на подпольных форумах киберпреступников за 2024 годℹ️
Под "обсуждением" понимаются сообщения о продаже или покупке PoC/эксплойта, а также обмен мнениями об эксплуатации.

Обычно обсуждения новых уязвимостей со стороны киберпреступников появляются в течение месяца после их раскрытия. Некоторые уязвимости обсуждаются в тот же день или всего через несколько дней после публикации, в то время как другие продолжают упоминаться почти через год после их раскрытия.

#cybercriminal #vulnerability #cve #trends

Фреймворк "Now, Next, Never" для приоритизации устранения уязвимостей в промышленных системах управления🛠

Компания Dragos в своём ежегодном исследовании на тему безопасности OT/ICS представила методику приоритизации устранения уязвимостей в промышленных системах управления, призванную устранить недостатки CVSS, не учитывающей контекст и специфику рассматриваемых систем.

Вводится три категории уязвимостей, а точнее приоритетов устранения: NOW, Next, Never.

⚠️Уязвимости категории NOW
🟢Возможность удаленной эксплуатации
🟢Не требует аутентификации или она легко обходится.
🟢Влияет на выполнение процессов OT/ICS или позволяет получить доступ к OT/ICS.
🟢Есть информация об активной эксплуатации или PoC.
Как следует из названия категории, такие уязвимости требуют оперативного устранения. Обычно для них доступны исправления и возможность применения компенсирующих мер, например, ограничение доступа к портам уязвимого сервиса.
По подсчетам авторов такие уязвимости составляют около 6% от общего количества.

⚠️Уязвимости категории NEXT
🟢Возможность удаленной эксплуатации.
🟢Нет признаков активной эксплуатации или POC.
🟢Могут влиять на процессы OT/ICS.
🟢От злоумышленников требуется проведение подготовительных мероприятий, например, кражи учетных данных, для последующей возможности эксплуатации уязвимости.
Таких уязвимостей 63% от общего количества и от них можно успешно защищаться такой базовой мерой как сетевая сегментация и изоляция.

✔️Уязвимости категории NEVER
🟢Сложны в эксплуатации
🟢В случае эксплуатации реализуется риск, про который по сути все и так знают и принимают его.
Таких уязвимостей набирается на 31% и они не стоят трудозатрат на их исправление.

p.s. В отчете также есть аналитика по трендам уязвимостей для OT/ICS за 2024 год.
#vulnerability #prioritization #ics #ot #cvss