В ежегодном отчете 2025 State of Software Security: A New View of Maturity авторы уделили большое внимание ключевым метрикам, используемым для оценки зрелости организации в области обнаружения и устранения уязвимостей в разрабатываемом программном обеспечении.
В исследовании выделили пять метрик, которые должны помочь оценить эффективность программы безопасности разрабатываемого в организациях ПО и выявить области для улучшения:
🔸Flaw Prevalence (распространенность дефектов)
🟢 Измеряет процент приложений, содержащих хотя бы один неисправленный дефект в последней проверке или тесте.
🟢 Рассчитывается как общий показатель или для групп приложений, команд разработчиков или типов дефектов.
🟢 Важна для установления базового уровня, который можно отслеживать с течением времени.
🟢 Значительные изменения (положительные и отрицательные) могут быть проанализированы для выявления причин и улучшения процессов безопасной разработки.
🟢 Типичная организация имеет уязвимости безопасности примерно в двух третях своих приложений.
🔸Fix Capacity (емкость исправления/способность к исправлению)
🟢 Вычисляет количество уязвимостей, устраненных за определенный период времени, в процентах от всех уязвимостей, обнаруженных в приложении.
🟢 Помогает командам оценить, какую часть существующих уязвимостей они могут реально исправить в следующем месяце или квартале, и спланировать свои действия соответствующим образом.
🟢 Средняя месячная производительность исправления для большинства приложений составляет менее 10% от всех уязвимостей.
🔸Fix Speed (скорость исправления)
🟢 Измеряет время, необходимое для исправления 50% обнаруженных уязвимостей.
🟢 В качестве основы для этой метрики используется анализ выживаемости.
🟢 Типичной организации требуется около пяти месяцев, чтобы исправить половину всех обнаруженных уязвимостей.
🔸Debt Prevalence (уровень долга безопасности)
🟢 Показывает процент приложений, имеющих неисправленные дефекты, существующие более года.
🟢 Помогает оценить, насколько широко распространен долг безопасности в ваших приложениях.
🟢 Среди организаций, имеющих долг безопасности, четверть ограничивает его менее чем 17% своих приложений, в то время как в отстающих организациях долг затрагивает две трети или более их приложений.
🔸Open-Source Debt (долг безопасности стороннего ПО)
🟢 Измеряет процент всего долга безопасности, который существует в сторонних библиотеках и другом программном обеспечении, разработанном за пределами организации, и используемом при разработке приложений.
🟢 Так как процесс устранения уязвимостей в стороннем ПО отличается и зависит от его авторов, то логичнее рассчитывать его отдельно от предыдущей метрики.
🟢 Большая часть критического долга безопасности организации существует в стороннем коде.
#metrics #ssdlc #appsec #flaw #vulnerability
В исследовании выделили пять метрик, которые должны помочь оценить эффективность программы безопасности разрабатываемого в организациях ПО и выявить области для улучшения:
🔸Flaw Prevalence (распространенность дефектов)
🔸Fix Capacity (емкость исправления/способность к исправлению)
🔸Fix Speed (скорость исправления)
🔸Debt Prevalence (уровень долга безопасности)
🔸Open-Source Debt (долг безопасности стороннего ПО)
#metrics #ssdlc #appsec #flaw #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2👍1🤔1
NIST обновил фреймворк NICE по подготовке кадров в области ИБ🆕
В новой версии:
🟢 обновили роли, связанные с анализом цифровых доказательств и анализом инсайдерских угроз.
🟢 добавили новую роль — инженер кибербезопасности промышленных систем управления и операционных процессов.
🟢 добавили область компетенций — киберустойчивость.
🟢 роли, связанные с разведкой и поддержкой проведения различных операций в киберпространстве, перенесли во фреймворк DoD Cyber Workforce Framework🧐
Последнее изменение довольно интересно и показательно одновременно: фреймворк DoD Cyber Workforce Framework, разработанный Министерством обороны США, ориентирован на его потребности, определяя конкретные роли и компетенции, необходимые для работы в военной и оборонной сферах. Таким образом, можно сказать, что разведка (и сопутствующие роли) вернулась в свою "альма-матер" 🙂.
Правда, надо понимать, что это роли, связанные с кибероперациями и разведкой на государственном уровне и касающиеся интересов национальной безопасности. Для гражданских оставили CTI, только с термином "расследования" и ограничив область действия преступлениями киберкриминала.
#nice #cybercrime #workforce #intelligence #cti
В новой версии:
Последнее изменение довольно интересно и показательно одновременно: фреймворк DoD Cyber Workforce Framework, разработанный Министерством обороны США, ориентирован на его потребности, определяя конкретные роли и компетенции, необходимые для работы в военной и оборонной сферах. Таким образом, можно сказать, что разведка (и сопутствующие роли) вернулась в свою "альма-матер" 🙂.
Правда, надо понимать, что это роли, связанные с кибероперациями и разведкой на государственном уровне и касающиеся интересов национальной безопасности. Для гражданских оставили CTI, только с термином "расследования" и ограничив область действия преступлениями киберкриминала.
#nice #cybercrime #workforce #intelligence #cti
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
70% секретов, обнаруженных в публичных репозиториях GitHub в 2022 году, остаются действующими и на сегодняшний день😳
GitGuardian выпустил ежегодный отчет о проблемах управления секретами в различных сервисах (GitHub, Docker Hub) и инструментах (Slack, Jira, Confluence).
Главные выводы и статистика:
🟢 58% обнаруженных секретов относятся к категории неструктурированных/универсальных ("generic"). В эту категорию можно отнести жестко закодированные пароли, строки подключения к БД, токены аутентификации. Такие секреты сложно обнаружить автоматизированными средствами поиска.
🟠 В приватных репозиториях хранится в 8 раз больше секретов, чем в публичных, что говорит о том, что разработчики... ленивы!😅
Им проще закрыть репо, чем удалить секреты и не использовать жестко закодированные пароли и токены.
🟢 Разработчики всё чаще хранят секреты в инструментах для совместной работы (Slack, Jira, Confluence). На первом скрине можно увидеть статистику по каждому инструменту.
🟠 Анализ 15 миллионов публичных образов Docker (на Docker Hub) выявил около 100 000 действующих секретов, включая ключи AWS, GCP и токены GitHub, принадлежащие компаниям из списка Fortune 500. Примечательно, что 98% обнаруженных секретов находились исключительно в слоях образов.
🟢 В репозиториях, где используется Copilot, частота утечек секретов на 40% выше, чем в среднем по всем публичным репозиториям. Это может быть связано как с тем, что код, генерируемый LLM, может быть менее безопасным, так и с тем, что использование ИИ может подталкивать разработчиков к приоритизации производительности в ущерб безопасности.
🟠 Обнаруженные секреты часто остаются неисправленными в течение длительного времени. 70% действующих секретов, обнаруженных в публичных репозиториях в 2022 году, остаются активными и сегодня.
🟢 Менеджеры секретов не решают все проблемы — фрагментация инструментов управления секретами и небезопасная аутентификация к ним являются факторами риска. Кроме того, они обычно не управляют полным жизненным циклом учетных данных.
🟠 Анализ публичных данных выявил, что значительный процент скомпрометированных токенов GitLab и GitHub обладали избыточными разрешениями. Например, 99% API-ключей GitLab имели полный доступ (58%) или доступ только для чтения (41%), а 96% токенов GitHub имели доступ на запись, причем 95% из них предоставляли полный доступ к репозиториям.
Рекомендации:
🟡 Внедрение комплексной стратегии управления секретами, включающей обнаружение, предотвращение, исправление и мониторинг.
🔘 Усиление безопасности инструментов для совместной работы.
🟡 Обучение разработчиков безопасным практикам работы с секретами.
🔘 Внедрение автоматизированных процессов ротации и отзыва секретов.
🟡 Минимизация привилегий доступа для не-человеческих идентификаторов (NHIs).
🔘 Использование динамических секретов вместо статических, там где это возможно.
🟡 Уделять внимание безопасности образов Docker.
#nhi #secrets #sprawl #github #jira #confluence #tokens #api #password #copilot #gitlab
GitGuardian выпустил ежегодный отчет о проблемах управления секретами в различных сервисах (GitHub, Docker Hub) и инструментах (Slack, Jira, Confluence).
Главные выводы и статистика:
Им проще закрыть репо, чем удалить секреты и не использовать жестко закодированные пароли и токены.
Рекомендации:
#nhi #secrets #sprawl #github #jira #confluence #tokens #api #password #copilot #gitlab
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1🤔1
Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и на статистику утекших паролей👀
Компания Specops проанализировала более миллиарда учетных данных, украденных с помощью вредоносного ПО (инфостилеров), за 2024 год и выкатила аналитику по часто используемым паролям:
🟢 Можно глянуть первый и второй скрины и понять, что в топах популярных паролей всё стабильно😅
Если чуть внимательнее посмотреть отчет, то можно разглядеть пароли "Pakistan"/"Pakistan@123": видимо инфостилеры хорошо потрудились в соответствующем регионе🤔
🟢 По длине пароля тоже почти всё очевидно: самыми популярными стали пароли длиной в 8, 9 и 10 символов. Это может говорить о том, что в большинстве сервисов стоит ограничение на минимальную длину пароля в 8 символов, а при периодической смене пользователь добавляет 1-2 символа в конец пароля...
🟢 Правда, какая разница какой длины и сложности пароль, если у тебя "живет" инфостилер?😑
Среди инфостилеров убедительное первое место занимает Redline, на который приходится почти половина всех проанализированных украденных паролей.
Здесь также стоит напомнить, что инфостилеры стали важным инструментом злоумышленников для кражи корпоративных учетных данных.
Рекомендации от авторов очевидны:
🟠 Внедрение многофакторной аутентификации.
🟠 Регулярное обновление ПО.
🟠 Проведение регулярных аудитов и мониторинг.
🟠 Использование, в первую очередь, длинных и сложных паролей в совокупности с внедрением блок-листа "слабых" паролей.
🟠 Регулярное сканирование службы каталогов на наличие скомпрометированных паролей.
#password #credentials #infostealer #malware
Компания Specops проанализировала более миллиарда учетных данных, украденных с помощью вредоносного ПО (инфостилеров), за 2024 год и выкатила аналитику по часто используемым паролям:
Если чуть внимательнее посмотреть отчет, то можно разглядеть пароли "Pakistan"/"Pakistan@123": видимо инфостилеры хорошо потрудились в соответствующем регионе
Среди инфостилеров убедительное первое место занимает Redline, на который приходится почти половина всех проанализированных украденных паролей.
Здесь также стоит напомнить, что инфостилеры стали важным инструментом злоумышленников для кражи корпоративных учетных данных.
Рекомендации от авторов очевидны:
#password #credentials #infostealer #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
На скрине можно увидеть пример утечки не-человеческого идентификатора (NHI2:2025 Secret Leakage) и оперативное обновление политики безопасности сервиса🤣
p.s. Шутка шуткой, но... мало ли? Может стоит обновить политики?👀
p.s. Шутка шуткой, но... мало ли? Может стоит обновить политики?
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7😱2
This media is not supported in your browser
VIEW IN TELEGRAM
Компания Wiz запустила новую базу данных "действительно важных" уязвимостей с прицелом на облачные инфраструктуры🛠
Для каждой записи есть информация об оценке CVSS, EPSS, наличии эксплойтов, информации из каталога CISA KEV, информация об уязвимом компоненте (cpe-запись).
Разработчики акцентируют внимание на том, что обогащают информацию об уязвимости своей экспертизой. В частности, осуществляют профилирование по уровню серьезности угрозы (параметр High-profile Vulnerability) и с помощью прикрученного ИИ выдают более точное описание технических деталей, возможного влияния на инфраструктуру, мер митигации.
p.s. В 2022 году Wiz уже запускала базу данных уязвимостей CloudVulnDB с той же целью, но видимо решила отправить её в свободное плавание🤔
#wiz #cve #nvd #cloud #cvss #epss #prioritization #vulnerability
Для каждой записи есть информация об оценке CVSS, EPSS, наличии эксплойтов, информации из каталога CISA KEV, информация об уязвимом компоненте (cpe-запись).
Разработчики акцентируют внимание на том, что обогащают информацию об уязвимости своей экспертизой. В частности, осуществляют профилирование по уровню серьезности угрозы (параметр High-profile Vulnerability) и с помощью прикрученного ИИ выдают более точное описание технических деталей, возможного влияния на инфраструктуру, мер митигации.
p.s. В 2022 году Wiz уже запускала базу данных уязвимостей CloudVulnDB с той же целью, но видимо решила отправить её в свободное плавание🤔
#wiz #cve #nvd #cloud #cvss #epss #prioritization #vulnerability
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥1💩1
Если вас вдруг волновал вопрос, можно ли сливать в популярные ИИ-инструменты конфиденциальную информацию и секреты, то вот заключение от известной юридической фирмы Vischer по итогам анализа пользовательских соглашений и условий использования различных подписок/тарифов таких сервисов, как ChatGPT, Microsoft Copilot и Geminiℹ️
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9
CISO_MindMap_2025.pdf
697.6 KB
Товарищ Рафик предлагает CISO в ближайший год-полтора заняться следующими вопросами:
🟡 Обеспечением безопасности генеративного ИИ — правила использования разработать, ИИ-инструменты подобрать и требования к ним утвердить, обучить сотрудников работе с ними и процессы ИБ натянуть обновить под новые технологии.
🟡 Консолидацией и рационализацией инструментов безопасности — ROI посчитать, опенсорс подыскать, а если опенсорса подходящего нет, то выбрать хорошее коммерческое решение с приличным API.
🟡 Выявлением и управлением долгом безопасности — покопаться в тикетах, оценить время/деньги на их закрытие и руководству показать в отчетности (в деньгах, конечно же).
🟡 Программами-вымогателями и киберустойчивостью — учения провести, оценить возможное влияние, бэкапы проверить и страховку "на всякий случай" купить.
🟡 Созданием "значимых" метрик — считать не всё подряд, а лишь то, что влияет на уровень риска, а точнее его снижение, не забывая про эффективность мер защиты и автоматизацию подсчёта метрик.
🟡 Улучшением кибергигиены — отслеживаем цифровой след организации и сотрудников, сокращаем поверхность атаки, улучшаем безопасность API, не усложняем процессы, не забываем про управление рисками третьих сторон.
#ciso #midmap #кратко
#ciso #midmap #кратко
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍4👎2😁1💩1
Наткнулся на годовой отчет деятельности польского CERT: оказался довольно интересный документ, где помимо ландшафта угроз и статистики по инцидентам авторы поделились реализованными инициативами, мероприятиями и сервисамиℹ️
Для себя отметил пару инициатив, направленных на повышение осведомлённости населения:
🔔 В приложении польского аналога Госуслуг была добавлена "Служба сетевой безопасности", которая позволяет пользователям получать пуш-уведомления об актуальных киберугрозах. Эти уведомления могут касаться конкретных мошеннических кампаний или увеличения активности известных видов мошенничества.
Это хороший канал оповещения граждан об угрозах, тем более что приложение отечественных Госуслуг обладает необходимым функционалом: осталось только наладить оперативное получение информации о массовых "акциях" от кого-то (НКЦКИ? МВД? Минцифра?) и передавать её в пуш-сообщениях👍
Также можно вести базу мошеннических кампаний: в приложении и на сайте Госуслуг есть раздел с описанием различных видов мошенничества и советами по безопасности, осталось только его дополнить и постоянно обновлять. А может, стоит сделать интеграцию с порталом по информационной безопасности в сети (safe-surf.ru)😉
💬 Вторая инициатива польского CERT — это бесплатный телефонный номер для приема сообщений о подозрительных SMS-сообщениях.
Ещё один интересный канал для сообщения о подозрительных сообщениях: возможно, он был бы удобнее для старшего поколения, которому проще, понятнее и быстрее отправить SMSку, чем зайти на сайт или в приложение Госуслуг, чтобы подать сведения о возможных вредоносных ресурсах в ИС "Антифишинг", о которых, кстати, не очень удобно сообщать (об этом писал Алексей Лукацкий).
#awareness #госуслуги #phishing #фишинг #мошенничество
Для себя отметил пару инициатив, направленных на повышение осведомлённости населения:
Это хороший канал оповещения граждан об угрозах, тем более что приложение отечественных Госуслуг обладает необходимым функционалом: осталось только наладить оперативное получение информации о массовых "акциях" от кого-то (НКЦКИ? МВД? Минцифра?) и передавать её в пуш-сообщениях
Также можно вести базу мошеннических кампаний: в приложении и на сайте Госуслуг есть раздел с описанием различных видов мошенничества и советами по безопасности, осталось только его дополнить и постоянно обновлять. А может, стоит сделать интеграцию с порталом по информационной безопасности в сети (safe-surf.ru)
Ещё один интересный канал для сообщения о подозрительных сообщениях: возможно, он был бы удобнее для старшего поколения, которому проще, понятнее и быстрее отправить SMSку, чем зайти на сайт или в приложение Госуслуг, чтобы подать сведения о возможных вредоносных ресурсах в ИС "Антифишинг", о которых, кстати, не очень удобно сообщать (об этом писал Алексей Лукацкий).
#awareness #госуслуги #phishing #фишинг #мошенничество
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7👎1
Если кто не знает, то есть такой сервис arXiv.org, представляющий собой электронный архив с открытым доступом для научных статей и препринтов по различным направлениям📖
На этом портале можно найти много полезных публикаций, но система фильтров и поиска не очень удобна, поэтому ИБ-энтузиасты сделали ресурс CyberSec Research, который позволяет удобно и быстро находить статьи на тему информационной безопасности, размещенные на arXiv, по различным фильтрам👍
#research #arxiv #исследования
На этом портале можно найти много полезных публикаций, но система фильтров и поиска не очень удобна, поэтому ИБ-энтузиасты сделали ресурс CyberSec Research, который позволяет удобно и быстро находить статьи на тему информационной безопасности, размещенные на arXiv, по различным фильтрам
#research #arxiv #исследования
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥17👍3
AlexRedSec
Если кто не знает, то есть такой сервис arXiv.org, представляющий собой электронный архив с открытым доступом для научных статей и препринтов по различным направлениям📖 На этом портале можно найти много полезных публикаций, но система фильтров и поиска не…
Мне тут подсказали, что есть более удобный способ поиска публикаций, размещенных на arXiv: на ресурсе alphaxiv, созданном для возможности обсуждения и комментирования публикаций с arXiv, недавно прикрутили ИИ-ассистента, который позволяет быстро находить публикации по соответствующему запросу, в т.ч. на русском языке👍
#research #arxiv #исследования #ai
#research #arxiv #исследования #ai
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥3
Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣ Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣ Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣ Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣ Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣ Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢 Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢 Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢 Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢 Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢 Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?
Рекомендуемые критерии выбора и оценки инструментов:
🟠 Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠 Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠 Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠 Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠 Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
Рекомендуемые критерии выбора и оценки инструментов:
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍8🔥1🤔1