State of Pentesting Report 2025 – свежее ежегодное исследование от компании Cobalt, специализирующейся на проведении пентестов, и исследовательского центра Cyentia Institute📣
Из интересного:
➡️ Наблюдается существенный разрыв между установленными в организациях SLA для устранения уязвимостей и реальным временем устранения. Медианное время устранения составляет 67 дней для всех результатов пентестов, что в 5 раз больше, чем заявленные SLA (в среднем 14 дней на устранение критов).
➡️ Треть всех результатов пентеста AI/LLM оцениваются как критичные, что в 2,5 раза выше общего показателя.
➡️ Время устранения серьезных* уязвимостей сократилось со 112 дней в 2017 году до 37 дней в 2024 году, но при этом показатель устранения таких уязвимостей по итогам пентестов достигает лишь 69%, т.е. почти треть не исправляется вовсе🤷♂️
➡️ Небольшие организации (до 100 сотрудников) устраняют серьезные уязвимости значительно быстрее, чем крупные организации (от 5000 сотрудников) — MTTR отличается почти в 2.5 раза.
➡️ Самый высокий MTTR наблюдается в организациях сфер производства и образования.
➡️ Анализ выживаемости (время устранения половины уязвимостей) дает более реалистичную картину устранения уязвимостей по сравнению с MTTR.
➡️ Значение метрики анализа выживаемости достигает 104 дня для серьезных уязвимостей и 3,2 года для всех уязвимостей. Все эти значения значительно превышают установленные SLA.
➡️ Server Security Misconfiguration, Missing Access Control, XSS — самые распространенные уязвимости по результатам пентестов веб-приложений и API. В мобильных приложениях — Mobile/Server Security Misconfiguration и Lack of Binary Hardening.
Наиболее распространенными среди AI/LLM-технологий и инструментов являются SQL Injection, Prompt Injection, Insecure Output Handling.
* Под "серьезной" уязвимостью понимается уязвимость с высокой вероятностью эксплуатации и высоким уровнем влияния на технические и бизнес-операции.
#vm #pentest #vulnerability #mttr #ai #llm
Из интересного:
Наиболее распространенными среди AI/LLM-технологий и инструментов являются SQL Injection, Prompt Injection, Insecure Output Handling.
* Под "серьезной" уязвимостью понимается уязвимость с высокой вероятностью эксплуатации и высоким уровнем влияния на технические и бизнес-операции.
#vm #pentest #vulnerability #mttr #ai #llm
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥2❤1
И ещё раз про пентесты🙂
Не могу не упомянуть, что коллеги по ИБ-цеху из компании Awillix открыли прием заявок на ежегодную премию Pentest Award🔥
Мероприятие проводится уже не в первый раз, и, хоть я и не пентестер, но слежу за итогами премии, так как участники номинируют реальные кейсы взломов, которые могут содержать полезную информацию о нестандартных векторах и техниках атак👍
В этот раз, на правах инфопартнера, буду чуть пристальнее следить за премией и делиться полезностями😊
Вижу, что в этом году организаторы добавили классную антиноминацию «Осторожно, грабли!»: истории про факапы всегда интересны и полезны, поэтому однозначно буду следить за номинацией☄️
Из уже традиционных номинаций для себя отмечаю:
⭐️ "Ловись рыбка" — за самый оригинальный фишинг или попытку засоциалить сотрудников.
⭐️ "Девайс" — обнаружение и анализ уязвимостей в различных устройствах, например ТВ или умных колонках.
Про все номинации и условия участия читайте на сайте премии😉
Не могу не упомянуть, что коллеги по ИБ-цеху из компании Awillix открыли прием заявок на ежегодную премию Pentest Award
Мероприятие проводится уже не в первый раз, и, хоть я и не пентестер, но слежу за итогами премии, так как участники номинируют реальные кейсы взломов, которые могут содержать полезную информацию о нестандартных векторах и техниках атак
В этот раз, на правах инфопартнера, буду чуть пристальнее следить за премией и делиться полезностями
Вижу, что в этом году организаторы добавили классную антиноминацию «Осторожно, грабли!»: истории про факапы всегда интересны и полезны, поэтому однозначно буду следить за номинацией
Из уже традиционных номинаций для себя отмечаю:
Про все номинации и условия участия читайте на сайте премии
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥6❤2👌2
Application Security, Data Privacy и Threat Intelligence — таков топ-3 направлений, на которые хотят раскошелиться CISO в 2025 году согласно исследованию "Cybersecurity Perspectives 2025" 💰
Но есть и более интересные факты:
➡️ Почти половина опрошенных организаций (49%) планируют разрабатывать собственные средства защиты, поскольку доступные на рынке коммерческие продукты не удовлетворяют их требованиям к функционалу🤔
➡️ Респонденты заявили, что их ожидания (от коммерческих решений) не оправдываются в таких областях, как идентификация и управление доступом, безопасность API и приложений.
➡️ При этом организации намерены разрабатывать "in-house" решения для защиты облачной инфраструктуры, обеспечения конфиденциальности данных, анализа киберугроз и безопасности приложений.
Если наложить это на отечественный рынок, то как минимум в области безопасности приложений, идентификации и управления доступом многие компании делают свои инструменты (с нуля или на базе опенсорса), т.к. "коробочные" рыночные решения реально не закрывают потребности, а их доработка по заказу зачастую оказывается дороже, чем разработка собственного решения🤷♂️
#ciso #iam #trends #budget #appsec #market
Но есть и более интересные факты:
Если наложить это на отечественный рынок, то как минимум в области безопасности приложений, идентификации и управления доступом многие компании делают свои инструменты (с нуля или на базе опенсорса), т.к. "коробочные" рыночные решения реально не закрывают потребности, а их доработка по заказу зачастую оказывается дороже, чем разработка собственного решения🤷♂️
#ciso #iam #trends #budget #appsec #market
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
Неисповедимы пути Господни, а карьерные пути CISO вполне постижимы... Но есть региональные нюансы🙂
В📱 попалось интересное исследование профессиональных путей CISO по всему миру на основе анализа профилей LinkedIn: в документе определены региональные различия в карьерных путях CISO, этапы карьерного развития, информация об образовании, сертификациях и прочая не менее интересная аналитика. Ниже только про "региональные нюансы" карьерных лестниц CISO. Остальную аналитику можно посмотреть в приложенном файле.
🤑 Североамериканский регион: бизнес-ориентированный подход
Карьерный путь в области ИБ обычно начинается с позиций аналитика (чаще всего в SOC), где формируется основа технических знаний. Затем происходит переход к управлению командами и проектами на должности менеджера, с последующим развитием до директора по безопасности и, в конечном итоге, до Chief Information Security Officer.
CISO в Северной Америке выделяются своим бизнес-ориентированным подходом, прежде всего заключающемся в согласовании стратегий ИБ с бизнес-целями организации. В среднем, они достигают этой позиции после 15+ лет профессиональной деятельности.
📖 Европейский регион: акцент на соответствии нормативным требованиям
Европейские CISO обычно имеют более длинный путь к руководящей должности (17+ лет) и сильную экспертизу в области нормативного регулирования: как правило карьерный путь начинается с ИБ-методолога и комплаенс-менеджера, а путь к CISO лежит через должность директора по управлению рисками.
💻 Азиатско-Тихоокеанский регион: технический путь
В этом регионе CISO становятся несколько быстрее, чем в остальных — в среднем за 13+ лет, и часто специалисты имеют глубокие технические знания в области архитектуры безопасности.
К должности CISO ведет путь через технического директора, а карьеру как правило начинают в качестве ИБ-инженера/разработчика, а затем уже становятся ИБ-архитектором.
#ciso #career #business
В
Карьерный путь в области ИБ обычно начинается с позиций аналитика (чаще всего в SOC), где формируется основа технических знаний. Затем происходит переход к управлению командами и проектами на должности менеджера, с последующим развитием до директора по безопасности и, в конечном итоге, до Chief Information Security Officer.
CISO в Северной Америке выделяются своим бизнес-ориентированным подходом, прежде всего заключающемся в согласовании стратегий ИБ с бизнес-целями организации. В среднем, они достигают этой позиции после 15+ лет профессиональной деятельности.
Европейские CISO обычно имеют более длинный путь к руководящей должности (17+ лет) и сильную экспертизу в области нормативного регулирования: как правило карьерный путь начинается с ИБ-методолога и комплаенс-менеджера, а путь к CISO лежит через должность директора по управлению рисками.
В этом регионе CISO становятся несколько быстрее, чем в остальных — в среднем за 13+ лет, и часто специалисты имеют глубокие технические знания в области архитектуры безопасности.
К должности CISO ведет путь через технического директора, а карьеру как правило начинают в качестве ИБ-инженера/разработчика, а затем уже становятся ИБ-архитектором.
#ciso #career #business
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17
Gartner пишет:
Да, удивительно слышать такие советы отгенератора акронимов Gartner😄
В их статье "Reduce Threat Exposure With Security Controls Optimization" поднимается проблема растущего количества взломов компаний из-за неправильно настроенных средств защиты и контроля. Авторы подчеркивают, что ключ к снижению угроз и повышению эффективности инвестиций в безопасность лежит не в простом наличии инструментов (и покрытии ими инфраструктуры), а в их правильной настройке и непрерывной оптимизации.
Чтобы решить проблему управления большим количеством средств защиты и повысить их эффективность предлагается:
1️⃣ Определить желаемые результаты, соответствующие целям бизнеса.
Сосредоточиться на борьбе с наиболее опасными и специфичными для бизнеса угрозами с помощью имеющихся средств защиты и контроля.
2️⃣ Сместить фокус с наличия контроля на его эффективность.
Эффективность достигается за счет оптимальной конфигурации, интеграции с другими средствами контроля и построении эффективных процессов. Необходимо определить метрики, ориентированные на результат, для измерения результатов инвестиций в средства контроля и их оптимизацию (см. скрин с примерами метрик).
3️⃣ Создать кроссфункциональные команды с экспертизой в соответствующих направлениях (защиты).
Оптимизация (настроек средств защиты) требует совместной работы различных команд/отделов и владельцев активов для понимания того, что именно нуждается в защите и как функционируют системы (см. скрин с RACI-матрицей).
4️⃣ Синхронизировать работы по оптимизации с процессом управления угрозами и непрерывного анализа защищенности (CTEM).
CTEM помогает выявлять пробелы в защите и видимости угроз, в то время как оптимизация средств контроля помогает их устранять.
#controls #optimization #exposure #ctem #gartner #metrics
Недостаточно просто купить средства защиты, их еще нужно постоянно настраивать, и вообще нет смысла гоняться за новыми и более дорогими инструментами.
Да, удивительно слышать такие советы от
В их статье "Reduce Threat Exposure With Security Controls Optimization" поднимается проблема растущего количества взломов компаний из-за неправильно настроенных средств защиты и контроля. Авторы подчеркивают, что ключ к снижению угроз и повышению эффективности инвестиций в безопасность лежит не в простом наличии инструментов (и покрытии ими инфраструктуры), а в их правильной настройке и непрерывной оптимизации.
Чтобы решить проблему управления большим количеством средств защиты и повысить их эффективность предлагается:
Сосредоточиться на борьбе с наиболее опасными и специфичными для бизнеса угрозами с помощью имеющихся средств защиты и контроля.
Эффективность достигается за счет оптимальной конфигурации, интеграции с другими средствами контроля и построении эффективных процессов. Необходимо определить метрики, ориентированные на результат, для измерения результатов инвестиций в средства контроля и их оптимизацию (см. скрин с примерами метрик).
Оптимизация (настроек средств защиты) требует совместной работы различных команд/отделов и владельцев активов для понимания того, что именно нуждается в защите и как функционируют системы (см. скрин с RACI-матрицей).
CTEM помогает выявлять пробелы в защите и видимости угроз, в то время как оптимизация средств контроля помогает их устранять.
#controls #optimization #exposure #ctem #gartner #metrics
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Завтра на PHDays под модераторством Виктора Гордеева с коллегами по сфере информационной безопасности обсудим проблемы организации работы с подрядчиками и, конечно, возможные решения этих вопросов💬
Эта тема действительно сложная и дискуссионная, так как найти и сохранить баланс между потребностями бизнеса и обеспечением информационной безопасности становится ещё более трудной задачей, поскольку есть третья сторона – подрядчик, у которого есть свои цели и потребности🤑
Заодно проверим, насколько работают рекомендации и советы по организации работы с подрядчиками, про которые очень хорошо рассказал Алексей Лукацкий на мастер-классе на одной из последних конференций по ИБ🙂
Приходите послушать или смотрите прямую трансляцию😉
#ciso #подрядчики #tprm #phdays
Эта тема действительно сложная и дискуссионная, так как найти и сохранить баланс между потребностями бизнеса и обеспечением информационной безопасности становится ещё более трудной задачей, поскольку есть третья сторона – подрядчик, у которого есть свои цели и потребности
Заодно проверим, насколько работают рекомендации и советы по организации работы с подрядчиками, про которые очень хорошо рассказал Алексей Лукацкий на мастер-классе на одной из последних конференций по ИБ
Приходите послушать или смотрите прямую трансляцию
#ciso #подрядчики #tprm #phdays
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥2❤1👀1
Свежее исследование "Different Seas, Different Phishes" о нашем любимом: фишинговых симуляциях и попытках найти закономерности в поведении сотрудников🎣
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
🎯 Сценарии целевого фишинга (ожидаемо) повышали кликабельность на 22% по сравнению со сценариями массового фишинга.
🤑 Сценарии типа "Не упусти выгоду" демонстрировали на 18% более высокую вовлеченность, чем сценарии компрометации аккаунта, что подчеркивает эффективность страха упущенной выгоды (FOMO, привет!) по сравнению со страхом угрозы безопасности.
🧐 Повышение сложности шаблона давало лишь 6% роста кликабельности, что указывает на главенствующую роль психологического фактора и фактора контекста.
Межотраслевые и внутриорганизационные различия:
⛏ Организации сектора промышленности и производства показали на 41% меньше уровень кликабельности, чем сфера услуг, что связано с автоматизированными процессами и меньшей зависимостью от почтовых коммуникаций.
👨💻 Отделы маркетинга и продаж продемонстрировали более чем в два раза большую подверженность фишинговым симуляциям по сравнению с финансовым департаментом. Это различие может объясняться несколькими факторами: сотрудники финансовых департаментов, возможно, более осторожны с электронной почтой из-за характера их работы с конфиденциальной финансовой информацией, в то время как сотрудники отделов продаж и маркетинга могут быть более склонны к активному взаимодействию с внешними контактами и новыми возможностями.
👨💻 Менеджеры среднего звена на 15% чаще взаимодействовали с фишинговыми письмами, чем топ-менеджеры, что опровергает стереотип о большей уязвимости высшего руководства.
Рекомендации ИБ-специалистам:
➡️ При построении системы защиты необходимо учитывать коммуникационные паттерны и рабочие процессы свойственные конкретной индустрии.
➡️ При проведении тренингов также необходимо учитывать специфику работы различных департаментов, в т.ч. нюансы коммуникаций с "внешним миром".
➡️ Использование фишинговых симуляций с прогрессивно увеличивающейся персонализацией позволяет точнее оценивать реальную уязвимость организации, чем статичные тесты на базе шаблонных сценариев.
Также, авторы исследования подсветили, что в публичных отчетах вендоров решенийsecurity awareness human risk management сообщается о более высоких показателей кликов, что может свидетельствовать о предвзятой оценке, направленной на увеличение продаж их продуктов😏
#awareness #phishing #training #risk #hrm #simulation
В данной работе был проведен анализ 96 кампаний фишинговых симуляций, охвативших 36 организаций из различных секторов экономики, что довольно масштабно по сравнению с предыдущими аналогичными исследованиями.
Ниже описал главное и/или интересное.
Эффективность различных параметров фишинга:
Межотраслевые и внутриорганизационные различия:
Рекомендации ИБ-специалистам:
Также, авторы исследования подсветили, что в публичных отчетах вендоров решений
#awareness #phishing #training #risk #hrm #simulation
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤3🔥2👀1