Очередной новый агрегатор обсуждаемых уязвимостей Fedi Sec Feeds🔖
На этот раз аналог проекта CVECrowd – тоже пылесосит посты из пространств Fediverse.
Помимо описания уязвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.

p.s. Подборку агрегаторов в статье на телетайпе тоже обновил📝

#cve #trends #vulnerability #prioritization

Компьютерные сети и кибербезопасность вошли в тройку ключевых навыков, востребованность которых будет стремительно расти к 2030 году🔝

Всемирный экономический форум представил интересный отчет "The Future of Jobs Report 2025", в котором проанализированы прогнозы более 1000 работодателей по всему миру о трансформации рынка труда к 2030 году.

Согласно выводам отчета, на данный момент профессии, связанные с навыками в области компьютерных сетей и кибербезопасности, не считаются основными и критически важными (см. рис.), однако к 2030 году их значимость и востребованность ожидают кратный рост.📈
Что ещё интересного пишут про навыки по направлению компьютерных сетей и кибербезопасности:
🟢Тесно связаны с развитием технологий искусственного интеллекта и больших данных.
🟢Традиционно востребованы в сфере телекоммуникаций, финансов и инвестиций.
🟢Развитие этих навыков не только создает новые рабочие места, но и трансформирует существующие, требуя от работников постоянного обучения и адаптации к новым технологиям.
🟢Это не просто технический навык, а стратегически важный элемент для будущей рабочей силы. Подчеркивается, что инвестиции в развитие этих навыков необходимы для обеспечения конкурентоспособности и безопасности организаций в условиях быстро меняющегося технологического ландшафта.

В целом по технологическим навыкам:
🟢В топе сейчас и в ближайшую пятилетку навыки в области ИИ и больших данных, а также технологическая грамотность (это не просто умение пользоваться гаджетами, а комплексное понимание и применение технологий для решения различных задач и адаптации к технологическим изменениям).
🟢Программирование остается важным навыком, но уже не демонстрирует взрывного роста, что связано с ростом автоматизации и развитием ИИ.

#wef #job #skill #future #networks #cybersecurity

Агентство CISA и ФБР выпустили обновленную версию совместного руководства, посвященного плохим практикам в области продуктовой ИБ.

Помимо точечных уточнений к первоначальной десятке "неблагонадежных" практик добавилось ещё три:
🟠Использование устаревших/ненадежных алгоритмов шифрования и/или отсутствие шифрования пре передаче/хранении конфиденциальной информации.
🟠Использование жестко закодированных учетных данных или секретов в исходном коде.
🟠Отсутствие конкретной и четкой информации о периоде поддержки ПО производителем.

Документ содержит рекомендации по снижению рисков, связанных с указанными практиками, а также ссылки на дополнительные полезные материалы.

#cisa #vulnerability #cwe #bestpractices #badpractices #kev #mfa

Консалтинговая компания Wavestone представила отчет с анализом ключевых тенденций в кибербезопасности на 2025 год и ближайшее будущее, традиционно сопроводив его визуализацией в виде радара, разделенного на шесть секторов-направлений в кибербезопасности и три уровня зрелости.

Выделяется три основных направления, которые будут формировать ландшафт кибербезопасности в 2025 году:
1️⃣ Необходимость рационализации и оптимизации.
🟢Оптимизация процессов и инструментов (в основном речь про дублирование функций)
🟢Управление командами (командный дух, развитие, "умный найм")
🟢Демонстрация ценности кибербезопасности (финансовая оценка киберрисков, осознание ценности для бизнеса)
2️⃣ Масштабирование главных кибервызовов.
🟢Расширение периметра безопасности (необходимость контроля за дочерними организациями и поставщиками услуг)
🟢Развитие роли CISO (появляются новые роли, например, Chief Identity Officer)
🟢Совершенствование SOC (оптимизация, автоматизация, переосмысление тех.стека, пересмотр схемы управления данными)
🟢Управление уязвимостями (внедрение подхода Центра управления уязвимостями в роли оркестратора)
🟢Усиление защиты данных (внедрение DSP/DSPM)
🟢Безопасность искусственного интеллекта (необходимы меры для обеспечения безопасности ИИ, как в качестве инструмента, так и в качестве объекта защиты)
3️⃣ Управление регуляторными требованиями.
🟢Формирование команды для отслеживания всех регуляторных требований и интеграции в дорожные карты развития кибербезопасности организации. Необходимость более тесного сотрудничества с регуляторами.

Будущие вызовы, которые начнут занимать центральное место в 2025 году:
🟠Безопасность IAM
🟠Безопасность цифровых продуктов
🟠Использование ИИ в кибербезопасности
🟠Усиление киберустойчивости промышленных систем управления
🟠Постквантовая криптография
🟠Управление дезинформацией

#ciso #future #risk #radar

От зарплатных ведомостей до патентов🫢

Компания Harmonic, специализирующаяся на разработке решений для безопасного внедрения и использования искусственного интеллекта в организациях, опубликовала интересное исследование на тему утечки данных при использовании инструментов генеративного ИИ.

Анализ запросов, вводимых сотрудниками клиентов в популярных чат-ботах, показал, что 8,5% из них содержали конфиденциальную информацию, классифицированную следующим образом (в порядке убывания):
➡️Данные клиентов (биллинговая информация, данные аутентификации, платежная информация и отчеты).
➡️Данные сотрудников (зарплатные ведомости, персональные данные и информация о трудоустройстве).
➡️Финансовая и юридическая информация (патенты, информация о сделках, инвестициях).
➡️Политики, отчеты безопасности, а также конфигурации различного оборудования и ПО, в т.ч. отчеты об инцидентах и логи доступа🥲
➡️Программный код и ключи доступа (токены и т.п.)

Рекомендации по недопущению утечек данных:
🟢Обучение сотрудников правилам и рискам использования инструментов генеративного ИИ.
🟢Внедрение правил и политик допустимого использования инструментов генеративного ИИ.
🟢Классификация конфиденциальных данных "на лету" при вводе информации.
🟢Использование решений для возможности мониторинга в реальном времени и отслеживание вводимых промпт-запросов (командами безопасности).
🟢Исключение использования бесплатных инструментов генеративного ИИ, которые обучаются на вводимых данных.

#ИИ #утечка #ai #leak

Интересная визуализация ландшафта рисков кибербезопасности, связанных с системами искусственного интеллекта, в виде "периодической таблицы"🧠

Автор: Iryna Schwindt.
#ai #risk #visualization #ии #риск #визуализация

В США продвигают идею сертификации программного обеспечения по требованиям безопасности⁉️

CISA совместно с ещё несколькими американскими агентствами выпустили совместный манифест на тему устранения пробелов в понимании программного обеспечения📣
Под "пониманием ПО" подразумевается практика построения и оценки систем, управляемых программным обеспечением, для проверки их функциональности, безопасности и защиты во всех условиях (нормальных, аномальных и враждебных).
Пробелы в данном направлении приводят к неспособности эффективно создавать ПО без дефектов, исправлять их после обнаружения, поддерживать ПО в необходимом темпе и масштабе, защищая от возможных случаев эксплуатации уязвимостей.

В документе заявляется, что только за 2022 год экономические потери, связанные с дефектами ПО, оценивались в более чем 2 триллиона долларов: это средства затраченные на устранение операционных сбоев, замену устаревших систем, устранение дефектов, уязвимостей и последствий кибератак на объектах критической инфраструктуры США. В качестве наглядных кейсов приводятся атака шифровальщика на компанию Colonial Pipeline, компрометация цепочки поставок SolarWinds, атаки Volt Typhoon и Salt Typhoon.

В качестве меры митигирования авторы рекомендуют разработчикам ПО внедрять процесс аттестации программного обеспечения доверенной третьей стороной в рамках подхода "secure by design", а клиентам — приобретать сертифицированные таким образом продукты. При этом в качестве (положительного) примера приводится политика Китая по снижению зависимости от иностранного ПО, а также требования по раскрытию исходного кода средств защиты информации для сертификации по требованиям безопасности ФСТЭК РФ😅
А ведь в 2018 году АНБ заявляло, что такой подход Китая и РФ (к раскрытию кода) связан исключительно для выявления слабых мест в иностранном ПО с целью использования в кибератаках гос.уровня🤔

#attestation #vulnerability #cisa #сертификация

Несколько агентств кибербезопасности (CCCS, NCSC-UK, ACSC, CISA) подготовили и представили набор рекомендаций по защите сетевых устройств, расположенных на границе сети (граничных/периферийных, кому как нравится), таких как межсетевые экраны, маршрутизаторы, шлюзы VPN, IoT-устройства и т.п.

Были опубликованы следующие документы:
1️⃣Обзор угроз и вопросов безопасности граничных сетевых устройств. Он также включает в себя примеры компрометации устройств (разбор "громких" уязвимостей), рекомендации и меры по защите и/или смягчению последствий от атак.
2️⃣ Руководство по настройке механизмов логирования и мониторинга событий в сетевых устройствах, которая обеспечит возможность полноценного проведения расследований инцидентов или компрометации самих устройств.
3️⃣ Набор рекомендаций для руководства и специалистов по мерам защиты для всех этапов жизненного цикла оборудования, начиная с его закупки и заканчивая выводом из эксплуатации.

#network #guidance #mitigation #firewall #router #vpn #iot

🛠100 тикетов в бэклоге🛠

Компания Zest Security констатирует, что организации научились находить/определять угрозы и уязвимости в своей облачной инфраструктуре, но ещё не смогли в процессы устранения и снижения рисков🤷‍♀️
В подтверждение приводится следующая статистика:
🟠Более 60% инцидентов связаны с рисками, которые уже были известны организации и по которым имелись открытые тикеты на устранение.
🟠Организациями требуется в 10 раз больше времени на устранение уязвимости, чем злоумышленникам для их эксплуатации.
🟠Почти 90% организаций имеют в бэклоге более 100 критических тикетов, более 70% открывают ежемесячно ещё по 55 тикетов, а 45% закрывают только 10 тикетов в месяц.
🟠6-8 рабочих дней в месяц уходит на анализ, подтверждение и приоритизацию уязвимостей.
🟠Устранение уязвимостей, связанных с ошибками конфигурирования, занимает в среднем 3,5 недели, а устранение уязвимостей приложений — в среднем 6-8 недель.
🟠Более 4 сотрудников, участвует в работах, связанных с сопровождением тикета на устранение уязвимости.

Что предлагают авторы и опрошенные респонденты для решения этой проблемы:
🟢Приоритизация на основе усилий — приоритизация задач исходя из того, сколько рисков можно закрыть с наименьшими усилиями.
🟢Автоматизация процессов, таких как триаж, поиск первопричин, определение ответственных и приоритизация.
🟢Применение компенсирующих мер в тех случаях, когда полное устранение невозможно или трудозатратно.

#vm #visibility #risk #vulnerability #prioritization #mttr #automation

Наконец-то кто-то поделился рекомендациями как правильно читать цикл развития технологий от Гартнер😁

#gartner #hypecycle #humor

Никогда не заглядывал в годовые отчёты Intel по безопасности их продукции, и, как оказалось, зря: с относительно недавних пор (пару лет как) Intel стала знатно накидывать конкурентам за воротник, приводя аналитику, подтверждающую, что их продукция безопаснее, а процессы выявления и устранения уязвимостей – лучше🛡
Причём, если годом ранее тыкали пальцем только в AMD, то в этом году ещё и Nvidia досталось🙂

Главные выводы из отчета за 2024 год:
🟢96% устранённых уязвимостей были обнаружены в рамках проактивного подхода к обнаружению уязвимостей, т.е. внутренней командой исследователей и через багбаунти-программу.
🟢Все аппаратные уязвимости (процессоров Intel) были обнаружены внутренней командой исследователей.
🟢 Багбаунти-программа Intel обеспечила обнаружение 53% устранённых уязвимостей.
🟢84% вознаграждений, выплаченных в 2024 году, были за проблемы в программном обеспечении, а 16% — за проблемы в прошивках.
🟢В продуктах AMD за 2024 год было обнаружено в разы больше уязвимостей в прошивках как для аппаратного корня доверия, так и прошивках для технологий конфиденциальных вычислений.
🟢В категории графических процессоров победила тоже Intel, остановившись на десятке обнаруженных уязвимостей. А вот у AMD и Nvidia дела похуже, причём все обнаруженные уязвимости в продуктах Nvidia высокой оценкой серьёзности, и большинство из них могли привести к выполнению произвольного кода😑

Intel, конечно, сами не без греха и в их адрес часто звучат обвинения в закладке бэкдоров, но такие сравнительные отчёты — тоже пиар🙂

#intel #amd #nvidia #vulnerability #bugbounty

Что объединяет отделы разработки, консалтинга и управления проектами?🤔

Согласно свежему исследованию о трендах киберпреступности компании KELA, компьютеры сотрудников проектных офисов, консультантов и разработчиков программного обеспечения чаще других оказываются зараженными инфостилерами🤦‍♂️
Иными словами, именно их скомпрометированные корпоративные учетные записи чаще всего становятся отправной точкой* для атак на организации, в которых они работают или ранее работали.
Примечательно, что около 65% зараженных устройств составляют личные компьютеры, то есть BYOD-устройства👀.

*Конкретно в данной выборке рассматривались зараженные устройства, на которых хранились учетные данные корпоративных VPN-решений.

#infostealer #vpn #malware #credentials

Всё в том же исследовании KELA есть интересная статистика по наиболее обсуждаемым уязвимостям на подпольных форумах киберпреступников за 2024 годℹ️
Под "обсуждением" понимаются сообщения о продаже или покупке PoC/эксплойта, а также обмен мнениями об эксплуатации.

Обычно обсуждения новых уязвимостей со стороны киберпреступников появляются в течение месяца после их раскрытия. Некоторые уязвимости обсуждаются в тот же день или всего через несколько дней после публикации, в то время как другие продолжают упоминаться почти через год после их раскрытия.

#cybercriminal #vulnerability #cve #trends

Фреймворк "Now, Next, Never" для приоритизации устранения уязвимостей в промышленных системах управления🛠

Компания Dragos в своём ежегодном исследовании на тему безопасности OT/ICS представила методику приоритизации устранения уязвимостей в промышленных системах управления, призванную устранить недостатки CVSS, не учитывающей контекст и специфику рассматриваемых систем.

Вводится три категории уязвимостей, а точнее приоритетов устранения: NOW, Next, Never.

⚠️Уязвимости категории NOW
🟢Возможность удаленной эксплуатации
🟢Не требует аутентификации или она легко обходится.
🟢Влияет на выполнение процессов OT/ICS или позволяет получить доступ к OT/ICS.
🟢Есть информация об активной эксплуатации или PoC.
Как следует из названия категории, такие уязвимости требуют оперативного устранения. Обычно для них доступны исправления и возможность применения компенсирующих мер, например, ограничение доступа к портам уязвимого сервиса.
По подсчетам авторов такие уязвимости составляют около 6% от общего количества.

⚠️Уязвимости категории NEXT
🟢Возможность удаленной эксплуатации.
🟢Нет признаков активной эксплуатации или POC.
🟢Могут влиять на процессы OT/ICS.
🟢От злоумышленников требуется проведение подготовительных мероприятий, например, кражи учетных данных, для последующей возможности эксплуатации уязвимости.
Таких уязвимостей 63% от общего количества и от них можно успешно защищаться такой базовой мерой как сетевая сегментация и изоляция.

✔️Уязвимости категории NEVER
🟢Сложны в эксплуатации
🟢В случае эксплуатации реализуется риск, про который по сути все и так знают и принимают его.
Таких уязвимостей набирается на 31% и они не стоят трудозатрат на их исправление.

p.s. В отчете также есть аналитика по трендам уязвимостей для OT/ICS за 2024 год.
#vulnerability #prioritization #ics #ot #cvss

В ежегодном отчете 2025 State of Software Security: A New View of Maturity авторы уделили большое внимание ключевым метрикам, используемым для оценки зрелости организации в области обнаружения и устранения уязвимостей в разрабатываемом программном обеспечении.

В исследовании выделили пять метрик, которые должны помочь оценить эффективность программы безопасности разрабатываемого в организациях ПО и выявить области для улучшения:
🔸Flaw Prevalence (распространенность дефектов)
🟢Измеряет процент приложений, содержащих хотя бы один неисправленный дефект в последней проверке или тесте.
🟢Рассчитывается как общий показатель или для групп приложений, команд разработчиков или типов дефектов.
🟢Важна для установления базового уровня, который можно отслеживать с течением времени.
🟢Значительные изменения (положительные и отрицательные) могут быть проанализированы для выявления причин и улучшения процессов безопасной разработки.
🟢Типичная организация имеет уязвимости безопасности примерно в двух третях своих приложений.

🔸Fix Capacity (емкость исправления/способность к исправлению)
🟢Вычисляет количество уязвимостей, устраненных за определенный период времени, в процентах от всех уязвимостей, обнаруженных в приложении.
🟢Помогает командам оценить, какую часть существующих уязвимостей они могут реально исправить в следующем месяце или квартале, и спланировать свои действия соответствующим образом.
🟢Средняя месячная производительность исправления для большинства приложений составляет менее 10% от всех уязвимостей.

🔸Fix Speed (скорость исправления)
🟢Измеряет время, необходимое для исправления 50% обнаруженных уязвимостей.
🟢В качестве основы для этой метрики используется анализ выживаемости.
🟢Типичной организации требуется около пяти месяцев, чтобы исправить половину всех обнаруженных уязвимостей.

🔸Debt Prevalence (уровень долга безопасности)
🟢Показывает процент приложений, имеющих неисправленные дефекты, существующие более года.
🟢Помогает оценить, насколько широко распространен долг безопасности в ваших приложениях.
🟢Среди организаций, имеющих долг безопасности, четверть ограничивает его менее чем 17% своих приложений, в то время как в отстающих организациях долг затрагивает две трети или более их приложений.

🔸Open-Source Debt (долг безопасности стороннего ПО)
🟢Измеряет процент всего долга безопасности, который существует в сторонних библиотеках и другом программном обеспечении, разработанном за пределами организации, и используемом при разработке приложений.
🟢Так как процесс устранения уязвимостей в стороннем ПО отличается и зависит от его авторов, то логичнее рассчитывать его отдельно от предыдущей метрики.
🟢Большая часть критического долга безопасности организации существует в стороннем коде.

#metrics #ssdlc #appsec #flaw #vulnerability

NIST обновил фреймворк NICE по подготовке кадров в области ИБ🆕

В новой версии:
🟢обновили роли, связанные с анализом цифровых доказательств и анализом инсайдерских угроз.
🟢добавили новую роль — инженер кибербезопасности промышленных систем управления и операционных процессов.
🟢добавили область компетенций — киберустойчивость.
🟢роли, связанные с разведкой и поддержкой проведения различных операций в киберпространстве, перенесли во фреймворк DoD Cyber Workforce Framework🧐

Последнее изменение довольно интересно и показательно одновременно: фреймворк DoD Cyber Workforce Framework, разработанный Министерством обороны США, ориентирован на его потребности, определяя конкретные роли и компетенции, необходимые для работы в военной и оборонной сферах. Таким образом, можно сказать, что разведка (и сопутствующие роли) вернулась в свою "альма-матер" 🙂.
Правда, надо понимать, что это роли, связанные с кибероперациями и разведкой на государственном уровне и касающиеся интересов национальной безопасности. Для гражданских оставили CTI, только с термином "расследования" и ограничив область действия преступлениями киберкриминала.

#nice #cybercrime #workforce #intelligence #cti