AlexRedSec

Не знаю, с какой целью была создана эта подборка архетипов CISO, но она выглядит интересно как с точки зрения юмора, так и с практической точки зрения. По количеству архетипов даже на подход Кэрол Пирсон накладывается👍
Здесь, например, можно выделить архетип "Славного Малого", напоминающего "Title-Only CISO", который тихо управляет средствами защиты, или "Business CISO" в роли "Любовника", который умеет "залить мёд в уши" и легко защищает бюджет у финансового директора.😏

Шутки шутками, но бизнесу в разные периоды времени, в зависимости от поставленных целей, может потребоваться разный тип CISO. Эту тему, кстати, поднимали в дискуссии на PHDays 2, говоря о том, что цели для CISO ставит именно бизнес и цели эти могут быть крайне противоположными.

#ciso #business #archetype #taxonomy

The 8th Annual Hacker-Powered Security Report by HackerOne🔓

С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.

Главные выводы:
🔣Генеративный ИИ является одним из самых значительных рисков, а целостность данных (обрабатываемых ИИ) является ключевым приоритетом.
🔣Исследователи всё больше сосредотачиваются на поиске уязвимостей в мобильных устройствах, API, ИИ-средах.
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
🔣XSS – остается наиболее распространенной уязвимостью, о которой сообщается в багбаунти-программах, а misconfiguration – при пентестах.
🔣Багбаунти-программы с высокой отдачей (где более 30% подтвержденных отчетов с high/critical-уязвимостями) имели размер вознаграждения выше среднего, ограничения на участие в программе для доверенных исследователей и более широкий скоуп ресурсов для тестирования.

#h1 #vulnerability #bugbounty

Пять коммуникативных тактик, мотивирующих сотрудников серьезнее относиться к киберрискам💡

В новом исследовании Gartner подчеркивает, что традиционные методы информирования сотрудников о киберрисках и правилах реагирования на них оказываются неэффективными:
большинство сотрудников не осознают личные последствия, возникающие в результате их неправильного поведения в контексте киберрисков🤔

Чтобы повысить эффективность коммуникаций Gartner предлагают следующие рекомендации по изменению стиля общения:
➡️Тесно увязывайте действия с влиянием, а не последствиями.
Важно акцентировать внимание на позитивном влиянии действий сотрудников на безопасность компании, а также использовать примеры для подражания, что поможет изменить культурные установки в коллективе.
Пример: "Ребята внедрили полный цикл тестирования приложения с использованием только синтетических данных".
➡️Отталкивайтесь от существующих корпоративных ценностей.
Формировать или изменять убеждения проще, если они связаны с уже устоявшимися взглядами и поведением сотрудников.
Пример: "Не имеет значения, что именно программа-вымогатель стала причиной того, что мы не достигли своей цели." (все сотрудники понимают, что недостижение цели равно потере прибыли и потенциальных бонусов в виде премий).
➡️Усиливайте последствия за счет предполагаемого социального давления.
Можно использовать феномен социального давления, который побуждает нас не причинять вред другим.
Пример: "Утечка персональных данных может разрушить жизнь человека".
➡️Сделайте это личным.
Восприятие риска меняется, когда можно представить последствия, которые могут затронуть нас.
Пример:"Если вы считаете, что смена пароля доставляет вам много хлопот, то попробуйте изменить свою личность".
➡️Сделайте это веселым (увлекательным).
Юмор способствует более глубокому сосредоточению и долгосрочному удержанию информации.
Пример: использование мемов и слоганов, высмеивающих пренебрежение правилами кибергигиены.

#awareness #gartner #hrm

В продолжение темы сопоставления тактик, техник и процедур Mitre ATT&CK, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей🕐

Ещё один подход к маппингу представлен в интересном инструменте CVE2CAPEC: здесь уже выстраивается цепочка CVE-CWE-CAPEC-TTPs Mitre ATT&CK. То есть конкретная уязвимость связывается с присущими ей дефектами CWE, которые, в свою очередь, сопоставляются с шаблонами атак CAPEC, а те — с техниками из Mitre ATT&CK.

Честно говоря, результаты маппинга данных подходов абсолютно не совпадают друг с другом, и это ожидаемо, так как в подходе NopSec анализируется описание CVE из базы NVD, и на основе этой информации производится маппинг на техники злоумышленников, а в проекте CVE2CAPEC — основываясь на информации о связанных дефектах CWE и техниках из базы CAPEC🤨
В итоге в обоих случаях мы имеем неполную картину, но, как минимум, уже понимаем, что эти подходы можно попробовать комбинировать для более точного маппинга.

#cve #cwe #capec #ttp

Google SAIF – портал, посвященный безопасности систем искусственного интеллекта🧠

В прошлом году Google представил свой Secure AI Framework, который получил противоречивые отзывы о своей полезности. Возможно, собрав обратную связь, команда решила доработать материалы, и запустила обновленный портал, обогатив его более конкретными и полезными ресурсами🖥

На данный момент портал включает в себя следующие основные разделы:
🔘SAIF Risk Map – интерактивная карта, на которой представлены ключевые компоненты систем ИИ, присущие угрозы и риски, а также возможные меры по их митигации.
🔘Secure AI Development Primer – краткое руководство по безопасной разработке систем ИИ.
🟣Risk Self Assesment – опросник, позволяющий провести самооценку рисков и выявить слабые места в системе безопасности ИИ.
🟡Resources – коллекция полезных материалов, которые помогут глубже разобраться в вопросах безопасности и возможных решениях.

#ai #saif #framework #risk

Как утечки данных влияют на стоимость акций на фондовом рынке 📈📉

Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.

Основные выводы:
➡️После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.

Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.

#breach #business #stock

OWASP, спустя шесть лет, обновил свой топ-10 требований к проактивной защите, которые необходимо применять на ранних стадиях разработки для достижения максимальной эффективности в создании безопасного программного обеспечения🔝

Требования располагаются в порядке убывания их важности:
🟠Реализовывайте контроль доступа
🟠Применяйте криптографию для защиты данных
🟠Осуществляйте проверку всех входных данных и должным образом обрабатывайте исключения
🟠С самого начала (разработки) уделяйте внимание безопасности
🟠Используйте подход "безопасность по умолчанию"
🟠Обеспечивайте безопасность используемых зависимостей (библиотек и фреймворков)
🟠Внедряйте безопасную цифровую идентификацию
🟠Используйте функции безопасности браузера
🟠Внедряйте журналирование и мониторинг событий безопасности
🟠Пресекайте попытки подделки запросов на стороне сервера (защита от SSRF)

Для каждого требования приводится подробное описание, связь с угрозами и дефектами, от которых эти меры/требования защищают, рекомендации и инструменты для внедрения и валидации.

По сравнению с версией от 2018 года довольно много изменений, правда, не всегда логичных🤔
Советую почитать обзор изменений от Mic Whitehorn.

#owasp #proactive #controls #cwe

❌"Мы взяли 100 джунов на стажировку для поиска инцидентов"
✔️"Мы внедрили искусственный интеллект в наши продукты"

#humor #ai

Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡

Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.

Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘Базовая программа повышения осведомленности
🟣Программа изменения поведения (персонала)
🟡Программа культуры безопасности персонала
🔴Комплексная программа культуры безопасности

В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе специалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉)

p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍

#awareness #roadmap #maturity #behavior

State of Threat and Exposure Management Report by NopSec🛠
Неплохое исследование о состоянии дел в управлении уязвимостями угрозами и экспозициями🙂

⚫️Первый раздел посвящен анализу ландшафта уязвимостей, распространенных в организациях.
🟠На рисунке 1 можно посмотреть распространенность уязвимостей в программном обеспечении 15 наиболее используемых вендоров в организациях и аналитику по проценту устранения этих уязвимостей. За небольшими исключениями, эта статистика будет применительна и к нашим организациям🤔
🟠Среднее время устранения уязвимости составляет 212 дней.
На рисунке 5 можно посмотреть средние сроки устранения уязвимостей на различных типах ИТ-активов (например, по роли использования или расположению на периметре) и атрибутов самой уязвимости (использование в определенных типах атак или имеющие собственные уникальные имена, например, как "Log4Shell").
🟠На рисунке 6 можно увидеть на сколько быстро устраняются уязвимости того или иного вендора с учетом критерия распространенности ПО в организациях.

⚫️Второй раздел документа посвящен рекламе сравнению системы приоритизации устранения уязвимостей NopSec с оценкой CVSS.
Подсветить особо нечего: в данном разделе можно посмотреть какие факторы риска и критерии используются компанией NopSec для приоритизации устранения уязвимостей.

⚫️Третий раздел исследования посвящен сопоставлению тактик, техник и процедур, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей.
🟠Маппинг TTPs на конкретные CVE осуществлялся тремя способами: вручную (экспертной оценкой), с помощью LLM-моделей BERT и Gemini (пример сравнения на последнем рисунке в посте).
🟠Сравнение проводилось в различных сценариях, но во всех случаях LLM-моделям "скармливалась" информация об уязвимостях из базы NVD, что ожидаемо привело к низкому качестве маппинга TTPs, в связи с недостаточным или низким качеством описания конкретных CVE.

#cve #ttp #exposure #prioritization

Ещё один агрегатор "трендовых" уязвимостей⚡️

Есть информация об оценке CVSS, EPSS, признак наличия в каталоге CISA KEV, счетчик обсуждения в соц.сетях, ссылки на новостные ресурсы и краткое описание самой уязвимости. Выглядит довольно скудновато🙂
Всё-таки CVEShield и CVECrowd будут поинтереснее по наполнению.
p.s. И топы уязвимостей тоже отличаются😑

#cve #trends #prioritization