AlexRedSec

Консалтинговая компания Wavestone представила отчет с анализом ключевых тенденций в кибербезопасности на 2025 год и ближайшее будущее, традиционно сопроводив его визуализацией в виде радара, разделенного на шесть секторов-направлений в кибербезопасности и три уровня зрелости.

Выделяется три основных направления, которые будут формировать ландшафт кибербезопасности в 2025 году:
1️⃣ Необходимость рационализации и оптимизации.
🟢Оптимизация процессов и инструментов (в основном речь про дублирование функций)
🟢Управление командами (командный дух, развитие, "умный найм")
🟢Демонстрация ценности кибербезопасности (финансовая оценка киберрисков, осознание ценности для бизнеса)
2️⃣ Масштабирование главных кибервызовов.
🟢Расширение периметра безопасности (необходимость контроля за дочерними организациями и поставщиками услуг)
🟢Развитие роли CISO (появляются новые роли, например, Chief Identity Officer)
🟢Совершенствование SOC (оптимизация, автоматизация, переосмысление тех.стека, пересмотр схемы управления данными)
🟢Управление уязвимостями (внедрение подхода Центра управления уязвимостями в роли оркестратора)
🟢Усиление защиты данных (внедрение DSP/DSPM)
🟢Безопасность искусственного интеллекта (необходимы меры для обеспечения безопасности ИИ, как в качестве инструмента, так и в качестве объекта защиты)
3️⃣ Управление регуляторными требованиями.
🟢Формирование команды для отслеживания всех регуляторных требований и интеграции в дорожные карты развития кибербезопасности организации. Необходимость более тесного сотрудничества с регуляторами.

Будущие вызовы, которые начнут занимать центральное место в 2025 году:
🟠Безопасность IAM
🟠Безопасность цифровых продуктов
🟠Использование ИИ в кибербезопасности
🟠Усиление киберустойчивости промышленных систем управления
🟠Постквантовая криптография
🟠Управление дезинформацией

#ciso #future #risk #radar

Агентство CISA и ФБР выпустили обновленную версию совместного руководства, посвященного плохим практикам в области продуктовой ИБ.

Помимо точечных уточнений к первоначальной десятке "неблагонадежных" практик добавилось ещё три:
🟠Использование устаревших/ненадежных алгоритмов шифрования и/или отсутствие шифрования пре передаче/хранении конфиденциальной информации.
🟠Использование жестко закодированных учетных данных или секретов в исходном коде.
🟠Отсутствие конкретной и четкой информации о периоде поддержки ПО производителем.

Документ содержит рекомендации по снижению рисков, связанных с указанными практиками, а также ссылки на дополнительные полезные материалы.

#cisa #vulnerability #cwe #bestpractices #badpractices #kev #mfa

Компьютерные сети и кибербезопасность вошли в тройку ключевых навыков, востребованность которых будет стремительно расти к 2030 году🔝

Всемирный экономический форум представил интересный отчет "The Future of Jobs Report 2025", в котором проанализированы прогнозы более 1000 работодателей по всему миру о трансформации рынка труда к 2030 году.

Согласно выводам отчета, на данный момент профессии, связанные с навыками в области компьютерных сетей и кибербезопасности, не считаются основными и критически важными (см. рис.), однако к 2030 году их значимость и востребованность ожидают кратный рост.📈
Что ещё интересного пишут про навыки по направлению компьютерных сетей и кибербезопасности:
🟢Тесно связаны с развитием технологий искусственного интеллекта и больших данных.
🟢Традиционно востребованы в сфере телекоммуникаций, финансов и инвестиций.
🟢Развитие этих навыков не только создает новые рабочие места, но и трансформирует существующие, требуя от работников постоянного обучения и адаптации к новым технологиям.
🟢Это не просто технический навык, а стратегически важный элемент для будущей рабочей силы. Подчеркивается, что инвестиции в развитие этих навыков необходимы для обеспечения конкурентоспособности и безопасности организаций в условиях быстро меняющегося технологического ландшафта.

В целом по технологическим навыкам:
🟢В топе сейчас и в ближайшую пятилетку навыки в области ИИ и больших данных, а также технологическая грамотность (это не просто умение пользоваться гаджетами, а комплексное понимание и применение технологий для решения различных задач и адаптации к технологическим изменениям).
🟢Программирование остается важным навыком, но уже не демонстрирует взрывного роста, что связано с ростом автоматизации и развитием ИИ.

#wef #job #skill #future #networks #cybersecurity

Очередной новый агрегатор обсуждаемых уязвимостей Fedi Sec Feeds🔖
На этот раз аналог проекта CVECrowd – тоже пылесосит посты из пространств Fediverse.
Помимо описания уязвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.

p.s. Подборку агрегаторов в статье на телетайпе тоже обновил📝

#cve #trends #vulnerability #prioritization

Ассоциация британских страховщиков разработала мини-фреймворк для "правильного" анализа крупных киберинцидентов с точки зрения страхования и перестрахования.
Цели документа:
🟠Повышение осведомленности о киберрисках и их компонентах.
🟠Определение риск-аппетита и улучшение решений в области страхования киберрисков.
🟠Улучшение коммуникаций между участниками процесса страхования.
🟠Единый подход к определению крупных киберинцидентов.
🟠Понять как заработать больше денег на клиентах

Для достижения заявленных целей предлагается "раскладывать" крупный киберинцидент на семь основных компонент:
🟢Кто (атрибуция) – атрибуция важна для оценки источника потерь, создания картины угроз и понимания первопричины киберсобытия.
Также отмечается, что события могут быть идентифицированы как незлонамеренные: например, в 2024 году было несколько киберинцидентов, связанных со сбоями в средствах защиты информации (самый громкий, конечно, кейс CrowdStrike).
🟢Что (причина потерь) – определение объединяющего фактора (общей причины, события или риска), который привел к возникновению киберинцидента. С точки зрения страхования это важно для возможности агрегирования убытков, когда множественные претензии объединяются по одному событию (причине), что влияет на страховые выплаты.
🟢Где (страховой след) – определение масштаба киберсобытия с учетом цифровой экосистемы, географии, типа технологии и отраслевого сектора.
🟢Когда (начало и продолжительность) – звучит понятно, но на деле определение временных окон очень сложно, т.к. почти всегда сложно определить когда начался киберинцидент и закончился ли он. В документе приводятся подходы для определения временных рамок инцидентов.
🟢Как (механизм распространения) – данный компонент описывает механизм распространения вредоносных файлов, кода или активности во время киберинцидента. Понимание этого механизма важно для определения масштаба потенциального ущерба, возможности агрегирования убытков и оценки эффективности мер управления рискам.
🟢Почему (мотив) – помогает понять причины и цели кибератаки, что важно для определения потенциальных последствий, объема страхового покрытия и разработки мер реагирования.
🟢Влияние (убыток) – помогает количественно оценить серьезность киберсобытия с точки зрения финансовых потерь и определить, является ли событие значительным с точки зрения страхования и экономики. Этот компонент также учитывает различные типы убытков и их изменчивость в зависимости от других компонентов.

Примечательно, что для каждого компонента приводятся пояснения на примерах реальных инцидентов (Colonial Pipeline, NotPetya, CrowdStrike и другие громкие кейсы).

#insurance #loss #breach

Channel photo updated

OWASP Non-Human Identities Top 10 - 2025🤖

В конце прошлого года OWASP опубликовал новый проект, в котором были описаны и проранжированы основные риски, связанные с использованием не-человеческих идентификаторов в процессах разработки ПО.
Под "не-человеческими идентификаторами" (машинными идентификаторами или программными учетными данными) понимаются токены, ключи API, сервисные/технические учетные записи, используемые приложениями, службами, процессами и т.д.
Не-человеческие идентификаторы (далее — НЧИ), которые часто используются для автоматизации процессов, доступа к ресурсам и взаимодействия между системами, являются привлекательной мишенью для злоумышленников, если не управляются должным образом.

Перечень рисков был был сформирован на основе анализа реальных киберинцидентов, опросов, баз данных уязвимостей и других источников, с использованием методологии OWASP Risk Rating:
🔴Некорректный (ненадлежащий) вывод из эксплуатации НЧИ — риск заключается в том, что злоумышленник может использовать НЧИ, извлеченные из устаревших или уже неиспользуемых служб, сервисов или функционала ПО.
🔴Утечка секретов — раскрытие секретов, используемых НЧИ, может привести к несанкционированному доступу. Например, когда секреты передаются и хранятся в открытом виде.
🔴Использование уязвимых сторонних компонент с НЧИ — создает риск раскрытия НЧИ при возможной компрометации стороннего ПО или наличия уязвимостей в нем.
🔴Небезопасная аутентификация — использование устаревших, слабых механизмов аутентификации позволяет извлекать секреты НЧИ.
🔴Использование НЧИ с избыточными привилегиями — НЧИ, имеющие больше прав доступа, чем им необходимо для выполнения своих задач, представляют повышенный риск, так как их компрометация может привести к большему ущербу (компрометации большей части инфраструктуры).
🔴Небезопасные конфигурации облачных развертываний — при интеграциях конвейера разработки с облачными сервисами существует риск компрометации среды разработки, связанный с возможным раскрытием учетных данных, с помощью которых настраивается эта интеграция.
🔴Долгоживущие секреты — отсутствие ротации или слишком большой срок жизни секретов увеличивает риск их компрометации, позволяя злоумышленнику использовать, например, специфичные атаки или сохранять длительный доступ к скомпрометированной инфраструктуре.
🔴Изоляция сред — использование одних и тех же НЧИ в различных окружениях может позволить злоумышленнику успешно перемещаться между средами разработки (например, из среды тестирования в прод).
🔴Переиспользование НЧИ — использование одних и тех же НЧИ для разных целей увеличивает поверхность атаки и риск компрометации нескольких приложений, сервисов, служб.
🔴Использование НЧИ человеком — создает значительные риски безопасности, связанные с возможным повышением привилегий НЧИ, увеличением поверхности атаки (например, кража секретов НЧИ у сотрудника с помощью атак социальной инженерии), затруднение аудита доступов и расследования потенциальных инцидентов (из-за смешения автоматических операций с ручными).

Для каждого риска приводится подробное описание, сценарии возможных атак, меры митигации, аналитика на основе реальных инцидентов и ранжирование по уровню критичности (в разрезе сложности эксплуатации злоумышленником, влияния, распространенности атак и сложности их обнаружения).

#owasp #nhi #identities #risk #secrets

400 евро за ip-адрес и кукисы💸

Еврокомиссию, высший орган исполнительной власти Европейского союза, ответственный за подготовку законопроектов (в т.ч. GDPR), впервые оштрафовали за нарушение собственных же требований по защите персональных данных😅

Суть дела:
🟢Гражданин Германии подал иск против Европейской Комиссии, утверждая, что при посещении веб-сайта "Конференции о будущем Европы" его персональные данные (ip-адрес и кукисы браузера) были переданы компаниям Meta Platforms, Inc. (признана в РФ экстремистской) и Amazon CloudFront в нарушение установленных требований законодательства ЕС.
🟢Заявитель воспользовался возможностью входа на сайт конференции по кнопке "Войти с помощью Facebook" (социальная сеть Facebook запрещена на территории РФ).
🟢Заявитель утверждал, что при передаче информации возник риск того, что к его персональным данным получат доступ службы безопасности и разведки США🕵️‍♂️

Итоги судебного разбирательства:
🟢Суд установил, что на момент передачи данных не было решения Еврокомиссии о том, что США обеспечивают адекватный уровень защиты персональных данных граждан ЕС. Комиссия также не предоставила доказательств наличия соответствующих гарантий, таких как стандартные положения о защите данных или договорные положения.
🟢Суд установил, что Еврокомиссия нарушила условия, установленные законодательством ЕС, для передачи персональных данных из организации ЕС в третью страну, но только в отношении передачи информации в сторону Meta Platforms, Inc. (признана в РФ экстремистской), т.к. передача данных в сторону Amazon не подтвердилась (кэширующий сервер CDN был размещен на территории Германии).
🟢Суд постановил, что Комиссия должна выплатить истцу 400 евро в качестве компенсации за нематериальный ущерб, связанный с "неопределенностью в отношении обработки его персональных данных, в частности, его IP-адреса".💰

Что ж, интересный прецедент получился: с одной стороны, показательно, что орган, фактически создавший GDPR, не уследил за своими ресурсами и позволил себе нарушить требования по защите персональных данных, а с другой стороны – не специально ли гражданин сначала зарегистрировался, чтобы потом подать иск и получить более крупную компенсацию?🤔

Перенёс в статью на телетайп и обновил список агрегаторов трендовых/обсуждаемых уязвимостей.

Новое в подборке:
🟠CVESky — агрегатор обсуждаемых уязвимостей в децентрализованной сети микроблогов BlueSky. Есть топы за каждый день, а для уязвимостей приводится описание, оценка CVSS, наличие эксплойта, вхождение в каталог CISA KEV, а также ссылки на ресурсы, где можно почитать подробнее про уязвимость, в т.ч. ссылка на ресурс с таймлайном жизни уязвимости.
🟠Vulnerability-lookup — ресурс Люксембургского CERT, где помимо общей информации об уязвимостях есть информация об упоминании в социальных сетях и иных ресурсах, а также топы уязвимостей по упоминаниям за неделю. Статистику можно скачивать по API.

#cve #trends #vulnerability #prioritization

Не являюсь поклонником подведения итогов, но созерцая результаты статистики канала за 2024 год, хочу сказать спасибо всем подписчикам и коллегам за Ваше признание, поддержку и советы🥰
Канал подрос (и я тоже😅), появился в подборке популярных каналов по кибербезопасности и даже залетел в один уважаемый топ🙏

Всем ещё раз спасибо и с наступающими праздниками!🎄

Чтобы насладиться такой красотой (или протестировать производительность своего компьютера), вам понадобятся всего лишь 13 миллионов индикаторов компрометации, 1,6 миллиона алертов из SIEM, 1 миллион обработанных инцидентов и Power BI.😅

Да, получилось красиво. За это спасибо Microsoft, которые собрали крупнейший публичный набор данных по реальным киберинцидентам от более чем 6000 организаций, а еще оттриажили и разбили по 441 технике MITRE ATT&CK.
Сам GUIDE Dataset можно посмотреть и скачать на платформе Kaggle, а позалипать на красивые графы на ресурсе Securemetrics.

#guidedataset #microsoft #ioc #siem #infographics #ml #kaggle

Государственное управление, информационные технологии и связь, коммунальное хозяйство, транспорт и складирование, финансы и страхование — наиболее страдающие от киберинцидентов отрасли экономики РФ по количеству подтвержденных кибератакℹ️.

Если верить статистике Центра международных исследований в области безопасности в Мэриленде, приведенной в документе "Cybersecurity Economics for Emerging Markets", то Россия входит в пятерку стран, наиболее подверженных кибератакам, за период с 2014 по 2023 гг. по отраслям экономики, указанным в заголовке поста.
Может, не всё так и плохо: вон, США везде в топе😄
А если смотреть на кол-во инцидентов, приходящихся на 1000 человек населения, то совсем всё неплохо — нас в топах нет😁

Сам документ, изданный Всемирным Банком примечателен тем, что для анализа ландшафта киберугроз использовались обширные данные об киберинцидентах, собранных с помощью инструментов ИИ. Исследование связывает киберриски с экономическими последствиями, выявляя существенные потери ВВП и проблемы рынка кибербезопасности в развивающихся странах🥱.
Звучит, может, не очень интересно, но можно почерпнуть полезную информацию, а если заглянуть в раздел приложений, то можно найти аналитику по влиянию крупных киберинцидентов на стоимость акций компаний💵

#breach #costs #stock #economics

Channel photo updated

Альтернативный топ наиболее опасных дефектов программного обеспечения от Vulncheck🔝

Исследователи VulnCheck пересмотрели рейтинг MITRE из 25 наиболее опасных уязвимостей программного обеспечения (CWE) за 2024 год, используя подход, ориентированный на учет фактов реальной эксплуатации уязвимостей: вместо простого подсчета CVE, берется информация об известных эксплуатируемых уязвимостях (из каталога Vulncheck KEV) и анализируется соотношение кол-ва эксплуатируемых CVE к общему кол-ву CVE в разрезе дефектов CWE. Конечный топ формируется на основе кол-ва эксплуатируемых уязвимостей, связанных с определенными дефектами CWE.
Основной вывод исследования заключается в том, что список MITRE, хотя и важен, чрезмерно фокусируется на количестве уязвимостей, игнорируя реальный контекст эксплуатации.

Главные выводы:
➡️Рейтинг MITRE во многом основывается на количестве CVE, что не всегда отражает реальный уровень опасности.
➡️Некоторые CWE с высоким количеством CVE имеют низкий уровень эксплуатации (например, CWE-352, CWE-89), в то время как некоторые CWE с меньшим количеством CVE имеют высокий уровень эксплуатации (например, CWE-77, CWE-94).
➡️Существуют CWE, которые не вошли в топ-25 MITRE, но имеют значительное количество эксплуатируемых уязвимостей:
🟢Improper Access Control (CWE-284)
🟢Type Confusion (CWE-843)
🟢Authentication Bypass Using an Alternate Path or Channel (CWE-288)
🟢Heap-based Buffer Overflow (CWE-122)
🟢Buffer Copy without Checking Size of Input (CWE-74)

Помимо разбора интересных отклонений от топа MITRE в исследовании есть аналитика по вендорам: можно посмотреть тепловую древовидную карту дефектов CWE, которые активно используются в широко распространенных продуктах.

#vm #cve #mitre #kev #cwe #vulnerability #vulncheck

"Газпром" — второй по популярности бренд в мире! Но есть нюанс...🧐

Ещё летом было опубликовано интересное исследование "Phishing Landscape 2024" консалтинговой компании Interisle, в котором проанализированы тенденции и тренды, используемые злоумышленниками при проведении фишинговых атак.
Безусловно, сразу же бросилось в глаза, что бренд "Газпрома" пользовался особой популярностью у злоумышленников в 2023-2024 годах. Его популярность была настолько велика, что он потеснил таких гигантов, как Microsoft, Meta (деятельность которой запрещена на территории РФ) и Apple с USPS, уступив лишь бренду запрещенной в РФ социальной сети. В отчете, кстати, есть разбор фишинговых атак с использованием популярных брендов.

Что там ещё интересного у фишеров:
➡️Использование названий брендов в доменных именах фишинговых сайтов значительно уменьшилось и составило менее 5% от общего кол-ва проанализированных вредоносных сайтов. Причина банальна: компании стали чаще пользоваться услугами или самостоятельно мониторить сеть Интернет для выявления сайтов, имитирующих легитимные ресурсы, поэтому фишерам приходится обходиться без упоминаний бренда в названии веб-ресурсов.
➡️Применение технологии IPFS (распределенная система для хранения и доступа к файлам, веб-сайтам, приложениям и данным) увеличилось на 1300%. Использование IPFS для размещения вредосного контента позволяет злоумышленникам оптимизировать и скрывать свои ресурсы, что ведет к банальной экономии средств для организации атак.
➡️Фишеры продолжают массово регистрировать большое кол-во доменных имен, а четыре из пяти крупнейших хостинг-провайдеров, используемых фишерами для проведения фишинговых атак, находятся в США😑
Да, в отличии от коллег из Европы и Азии, где действуют более строгие правила регистрации клиентов и, соответственно, наблюдается более низкий уровень фишинговой активности, американские провайдеры не спешат что-то менять.
➡️Новые международные домены верхнего уровня (new gTLD) пользуются особой популярностью: доменные зоны как .lol, .bond, .support, .top, .sbs стали любимыми площадками фишеров.
Что уж говорить про сервисы, предоставлящие возможность зарегистрировать свою страничку на фирменных поддоменах😅 Да, например, blogspot.com и github.io отметились двукратным ростом обнаруженных на них фишинговых страниц.

#phishing #brand #tld

Artificial Intelligence Vulnerability Scoring System🧮

У традиционной системы оценки уязвимостей CVSS нашли уже много недостатков и ограничений. Пришло время теперь напомнить, что она не учитывает специфику уязвимостей, присущих системам искусственного интеллекта и машинного обучения😑
Поэтому появился проект Artificial Intelligence Vulnerability Scoring System, призванный устранить ограничения CVSS и учесть специфичные метрики для оценки уязвимостей систем AI/ML.

Подробного описания проекта пока нет, но в репозитории можно ознакомиться с составом предлагаемых метрик, их весами, значениями и методикой расчета.
Большая часть метрик представляет собой хорошо знакомые традиционные критерии из CVSS версии 3.0 и 4.0.
Из ИИ-специфичных метрик предлагают учитывать следующие:
🟢Model Robustness
🟢Data Sensitivity
🟢Ethical Impact
🟢Decision Criticality
🟢Adaptability

#cvss #aivss #ai #ml

Ещё одна интересная аналитика о том как утечки данных повлияли на крупные компании в денежном выражении💵

В исследовании "2024 True Cost of a Security Breach" от Extrahop были проанализированы последствия девяти кибератак на крупные компании, в результате которых были зафиксированы утечки данных клиентов.
Помимо очевидного анализа влияния на курс акций, в документе приведена информация о влиянии кибератак на прибыль компании, а также информация о зафиксированных расходах, связанных с простоем бизнеса, судебными издержками, штрафами, страховыми выплатами и т.п. Ну и краткая информация о самих утечках, конечно же, есть.

Главные выводы от авторов исследования:
➡️Цена акций компаний падают в среднем на 7% через месяц после публичного признания утечки данных.
➡️Итоговые затраты на устранение последствий кибератак могут превысить 10% годовой прибыли.

#costs #breach #business #stock

Агрегаторы трендовых/обсуждаемых уязвимостей📣

🟠Top CVE Trends & Expert Vulnerability Insights — новый агрегатор с "термометром хайповости" для топ-10 обсуждаемых в соц.сетях уязвимостей за сутки.
🟠Cytidel Top Trending — тоже относительно новый агрегатор трендовых уязвимостей за сутки. Есть счетчик упоминаний на различных ресурсах (новостные порталы, ti-отчеты). Ранее упоминал его в канале.
🟠CVE Crowd — агрегатор, собирающий информацию о популярных уязвимостях из соц.сетей типа Fediverse (Mastodon в основном). Ранее упоминал его в канале.
🟠Feedly Trending Vulnerabilities — подборка обсуждаемых уязвимостей от TI-портала Feedly. Из интересного функционала можно выделить временную шкалу, демонстрирующую "важные" моменты жизненного цикла уязвимости (первое публичное упоминание, добавление в различные каталоги т .п.).
🟠CVEShield — уже ветеран среди агрегаторов, который также ранжирует трендовые уязвимости по упоминанию в различных источниках. Ранее упоминал его в канале.
🟠CVE Radar — агрегатор от компании SOCRadar. Создавался в поддержку проекта CVETrends, закрытого из-за изменения политики доступа к API сети X.
🟠Vulners — в разделе поиска можно найти дашборд "Discussed in social networks". В целом, на сайте есть много интересных топов/фильтров, например, Daily Hot, Security news, Blogs review.
🟠Vulmon Vulnerability Trends — тренды от поисковика Vulmon. Из плюсов: можно посмотреть популярное за предыдущие дни.
🟠SecurityVulnerability Trends — видимо какой-то новый агрегатор, т.к. в тренде только одна свежая уязвимость, но выглядит неплохо по функционалу, надеюсь будет развиваться.

#cve #trends #vulnerability #prioritization

Свежее исследование на тему кибермошенничества от Rambler&Co и Okko👀

Результаты получились интересные и немного противоречивые📊:
➡️70% опрошенных сталкивались с различными видами кибермошенничества. В 75% случаях это были телефонные звонки.
➡️Злоумышленники охотятся за номерами банковских карт и иной информацией о банковских счетах, логинами, паролями, паспортными данными, а также пытаются получить доступ к личным устройствам россиян.
➡️При этом более 60% опрошенных считают, что их не так уж просто обмануть, и им нечего бояться🤔
И в целом россияне рассчитывают только на свои силы в защите от мошенников (видимо, государству и компаниям есть над чем работать).
➡️15% пострадавших от кибермошенничества заявили об ущербе на сумму более полумиллиона рублей⚠️
Большинство пострадавших сообщили о потерях в диапазоне 50-100 тысяч рублей, в то время как 13% опрошенных указали на понесённый моральный ущерб😞

p.s. Напомню, что коллегами в 2023 году проводилось почти аналогичное исследование среди пользователей ресурсов медиахолдинга Rambler&Co.

CWE Top 25 и Top Routinely Exploited Vulnerabilities🔝

Пока был в отпуске, MITRE представила обновленный топ-25 наиболее опасных дефектов программного обеспечения за 2024 год, а CISA&Co выкатили топ регулярно эксплуатируемых уязвимостей за 2023 год.

2024 CWE Top 25
В топе дефектов программного обеспечения довольно много изменений по сравнению с 2023 годом. В первую очередь это может быть связано с изменением методологии анализа. В то же время авторы подчеркивают, что проблемы с наполнением базы NVD и ошибки при определении конечного дефекта CWE, явившегося причиной появления уязвимости, могут влиять на точность представленного топа, но "скорее всего, всё в рамках допустимой погрешности"😅
Подробнее про основные выводы можно почитать здесь, а ещё советую посмотреть аналогичную аналитику от компании DogeSec, которую они провели в конце октября (их топ на втором скрине) — есть отличия от топа MITRE, но несущественные.
Для себя выделил попадание в топы дефектов "Раскрытие конфиденциальной информации неавторизованному лицу" (CWE-200) и "Неконтролируемое потребление ресурсов" (CWE-400), которые могут приводить к утечкам и DoS-атакам соответственно😑

2023 Top Routinely Exploited Vulnerabilities
В топе регулярно/"повседневно" эксплуатируемых уязвимостей в этот раз 15+32 уязвимостей.
Из интересного:
➡️В топ-15 только одна уязвимость, обнаруженная в ПО с открытым исходным кодом (log4j).
Здесь не следует делать вывод о том, что опенсорсное ПО более безопасно — скорее, чаще атакуют богатые компании, где используется проприетарное ПО и оборудование.
В то же время наличие уязвимости 2021 года в топе 2023 года также говорит о том, что во многих организациях до сих пор стоит дырявая версия log4j и есть проблемы с обновлением зависимостей🥲
➡️Треть уязвимостей не имеет "публичного" кода эксплойта (в MetaSploit/Nuclei).
➡️Больше трети уязвимостей из основного топа — это уязвимости в сетевом оборудовании.
Подробную информацию об уязвимостях из топа можно посмотреть ещё в этом репозитории.

#vm #cve #mitre #cisa #cwe #vulnerability

Кстати, Черная пятница на носу🏷
Репы с подборкой скидок прошлых лет обновлены, поэтому можно посмотреть и прикупить что-нибудь, если есть возможность оплачивать на зарубежных ресурсах🤑

Не знаю, с какой целью была создана эта подборка архетипов CISO, но она выглядит интересно как с точки зрения юмора, так и с практической точки зрения. По количеству архетипов даже на подход Кэрол Пирсон накладывается👍
Здесь, например, можно выделить архетип "Славного Малого", напоминающего "Title-Only CISO", который тихо управляет средствами защиты, или "Business CISO" в роли "Любовника", который умеет "залить мёд в уши" и легко защищает бюджет у финансового директора.😏

Шутки шутками, но бизнесу в разные периоды времени, в зависимости от поставленных целей, может потребоваться разный тип CISO. Эту тему, кстати, поднимали в дискуссии на PHDays 2, говоря о том, что цели для CISO ставит именно бизнес и цели эти могут быть крайне противоположными.

#ciso #business #archetype #taxonomy

The 8th Annual Hacker-Powered Security Report by HackerOne🔓

С пылу с жару уже восьмой ежегодный отчет о тенденциях, "популярных" уязвимостях, предпочтениях исследователей, бюджетах и инвестициях на основе аналитики по багбаунти-программам, размещенным на площадке H1.

Главные выводы:
🔣Генеративный ИИ является одним из самых значительных рисков, а целостность данных (обрабатываемых ИИ) является ключевым приоритетом.
🔣Исследователи всё больше сосредотачиваются на поиске уязвимостей в мобильных устройствах, API, ИИ-средах.
Уже около 10% исследователей специализируются конкретно на безопасности ИИ.
🔣XSS – остается наиболее распространенной уязвимостью, о которой сообщается в багбаунти-программах, а misconfiguration – при пентестах.
🔣Багбаунти-программы с высокой отдачей (где более 30% подтвержденных отчетов с high/critical-уязвимостями) имели размер вознаграждения выше среднего, ограничения на участие в программе для доверенных исследователей и более широкий скоуп ресурсов для тестирования.

#h1 #vulnerability #bugbounty

Пять коммуникативных тактик, мотивирующих сотрудников серьезнее относиться к киберрискам💡

В новом исследовании Gartner подчеркивает, что традиционные методы информирования сотрудников о киберрисках и правилах реагирования на них оказываются неэффективными:
большинство сотрудников не осознают личные последствия, возникающие в результате их неправильного поведения в контексте киберрисков🤔

Чтобы повысить эффективность коммуникаций Gartner предлагают следующие рекомендации по изменению стиля общения:
➡️Тесно увязывайте действия с влиянием, а не последствиями.
Важно акцентировать внимание на позитивном влиянии действий сотрудников на безопасность компании, а также использовать примеры для подражания, что поможет изменить культурные установки в коллективе.
Пример: "Ребята внедрили полный цикл тестирования приложения с использованием только синтетических данных".
➡️Отталкивайтесь от существующих корпоративных ценностей.
Формировать или изменять убеждения проще, если они связаны с уже устоявшимися взглядами и поведением сотрудников.
Пример: "Не имеет значения, что именно программа-вымогатель стала причиной того, что мы не достигли своей цели." (все сотрудники понимают, что недостижение цели равно потере прибыли и потенциальных бонусов в виде премий).
➡️Усиливайте последствия за счет предполагаемого социального давления.
Можно использовать феномен социального давления, который побуждает нас не причинять вред другим.
Пример: "Утечка персональных данных может разрушить жизнь человека".
➡️Сделайте это личным.
Восприятие риска меняется, когда можно представить последствия, которые могут затронуть нас.
Пример:"Если вы считаете, что смена пароля доставляет вам много хлопот, то попробуйте изменить свою личность".
➡️Сделайте это веселым (увлекательным).
Юмор способствует более глубокому сосредоточению и долгосрочному удержанию информации.
Пример: использование мемов и слоганов, высмеивающих пренебрежение правилами кибергигиены.

#awareness #gartner #hrm

В продолжение темы сопоставления тактик, техник и процедур Mitre ATT&CK, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей🕐

Ещё один подход к маппингу представлен в интересном инструменте CVE2CAPEC: здесь уже выстраивается цепочка CVE-CWE-CAPEC-TTPs Mitre ATT&CK. То есть конкретная уязвимость связывается с присущими ей дефектами CWE, которые, в свою очередь, сопоставляются с шаблонами атак CAPEC, а те — с техниками из Mitre ATT&CK.

Честно говоря, результаты маппинга данных подходов абсолютно не совпадают друг с другом, и это ожидаемо, так как в подходе NopSec анализируется описание CVE из базы NVD, и на основе этой информации производится маппинг на техники злоумышленников, а в проекте CVE2CAPEC — основываясь на информации о связанных дефектах CWE и техниках из базы CAPEC🤨
В итоге в обоих случаях мы имеем неполную картину, но, как минимум, уже понимаем, что эти подходы можно попробовать комбинировать для более точного маппинга.

#cve #cwe #capec #ttp

Google SAIF – портал, посвященный безопасности систем искусственного интеллекта🧠

В прошлом году Google представил свой Secure AI Framework, который получил противоречивые отзывы о своей полезности. Возможно, собрав обратную связь, команда решила доработать материалы, и запустила обновленный портал, обогатив его более конкретными и полезными ресурсами🖥

На данный момент портал включает в себя следующие основные разделы:
🔘SAIF Risk Map – интерактивная карта, на которой представлены ключевые компоненты систем ИИ, присущие угрозы и риски, а также возможные меры по их митигации.
🔘Secure AI Development Primer – краткое руководство по безопасной разработке систем ИИ.
🟣Risk Self Assesment – опросник, позволяющий провести самооценку рисков и выявить слабые места в системе безопасности ИИ.
🟡Resources – коллекция полезных материалов, которые помогут глубже разобраться в вопросах безопасности и возможных решениях.

#ai #saif #framework #risk

Как утечки данных влияют на стоимость акций на фондовом рынке 📈📉

Исследователи из Comparitech уже не в первый раз проанализировали как кибератаки и последующие подтвержденные утечки данных в компаниях повлияли на стоимость их акций.
В исследовании были изучены цены акций на момент закрытия торгов 118 компаний, зарегистрированных на биржах NYSE и NASDAQ, которые публично признавали факт утечки данных.

Основные выводы:
➡️После раскрытия информации о нарушении акции, как правило, падают менее чем на 2%, достигая минимума на 41-й день, после чего начинается их рост.
➡️Цены акций восстанавливаются до уровня, предшествовавшего утечке, примерно через 53 дня после инцидента.
➡️Через шесть месяцев после раскрытия информации об утечке акции демонстрируют рост примерно на 5,9%
➡️Наибольшее снижение стоимости акций наблюдается в секторе здравоохранения, за которым следуют финансовые компании и производственные предприятия.
➡️Утечки конфиденциальных данных, таких как номера социального страхования, оказывают меньшее негативное влияние на стоимость акций по сравнению с утечками неконфиденциальной (или менее критичной) информации, например, адресов электронной почты.
➡️Утечки, затрагивающие большее количество записей, оказывают более значительное негативное влияние на стоимость акций, хотя разница не столь велика.
➡️Наибольшее влияние на стоимость акций оказали нарушения, произошедшие до 2015 года.

Следует отметить, что в методике анализа есть определенные ограничения и нюансы. Рекомендую предварительно с ними ознакомиться, а для большего погружения в данную тему ещё и потыкать в графики с различными фильтрами.

#breach #business #stock

OWASP, спустя шесть лет, обновил свой топ-10 требований к проактивной защите, которые необходимо применять на ранних стадиях разработки для достижения максимальной эффективности в создании безопасного программного обеспечения🔝

Требования располагаются в порядке убывания их важности:
🟠Реализовывайте контроль доступа
🟠Применяйте криптографию для защиты данных
🟠Осуществляйте проверку всех входных данных и должным образом обрабатывайте исключения
🟠С самого начала (разработки) уделяйте внимание безопасности
🟠Используйте подход "безопасность по умолчанию"
🟠Обеспечивайте безопасность используемых зависимостей (библиотек и фреймворков)
🟠Внедряйте безопасную цифровую идентификацию
🟠Используйте функции безопасности браузера
🟠Внедряйте журналирование и мониторинг событий безопасности
🟠Пресекайте попытки подделки запросов на стороне сервера (защита от SSRF)

Для каждого требования приводится подробное описание, связь с угрозами и дефектами, от которых эти меры/требования защищают, рекомендации и инструменты для внедрения и валидации.

По сравнению с версией от 2018 года довольно много изменений, правда, не всегда логичных🤔
Советую почитать обзор изменений от Mic Whitehorn.

#owasp #proactive #controls #cwe

❌"Мы взяли 100 джунов на стажировку для поиска инцидентов"
✔️"Мы внедрили искусственный интеллект в наши продукты"

#humor #ai

Как-никак, на дворе октябрь, а значит продолжим развивать тему повышения осведомлённости в ИБэ🛡

Наткнулся на очень подробную и хорошо интегрированную в другие процессы ИБ дорожную карту развития культуры безопасности🔝
Несмотря на то, что уже написано множество статей и руководств по внедрению и развитию программ повышения осведомлённости, наличие модели зрелости и различных метрик, часто возникают трудности с приоритизацией проводимых мероприятий и их интеграцией в другие процессы ИБ.

Дорожная карта делит все меропиятия на четыре уровня зрелости:
🔘Базовая программа повышения осведомленности
🟣Программа изменения поведения (персонала)
🟡Программа культуры безопасности персонала
🔴Комплексная программа культуры безопасности

В рамках каждого уровня зрелости определены необходимые мероприятия, их приоритетность, критерии достижения и, в целом, довольно подробное описание. Особенно хочу отметить наличие связей с другими процессами ИБ, например, такими как мониторинг дарквеба, разведка киберугроз, безопасность данных, безопасная разработка и внутренняя/внешняя программы багбаунти.
Это действительно хороший инструмент для использования в работе специалистами по повышению осведомленности архитекторами культуры безопасности (хорошо звучит😉)

p.s. У автора дорожной карты также есть раздел с советами по конкретным мероприятиям и методика ранжирования поведения сотрудников, где они рассматриваются в разрезе различных типов внутреннего злоумышленника (по MITRE’s Human-Focused Insider Threat Types) на основе оценки их восприимчивости к киберугрозам и отношению к мероприятиям по повышению осведомлённости👍

#awareness #roadmap #maturity #behavior

State of Threat and Exposure Management Report by NopSec🛠
Неплохое исследование о состоянии дел в управлении уязвимостями угрозами и экспозициями🙂

⚫️Первый раздел посвящен анализу ландшафта уязвимостей, распространенных в организациях.
🟠На рисунке 1 можно посмотреть распространенность уязвимостей в программном обеспечении 15 наиболее используемых вендоров в организациях и аналитику по проценту устранения этих уязвимостей. За небольшими исключениями, эта статистика будет применительна и к нашим организациям🤔
🟠Среднее время устранения уязвимости составляет 212 дней.
На рисунке 5 можно посмотреть средние сроки устранения уязвимостей на различных типах ИТ-активов (например, по роли использования или расположению на периметре) и атрибутов самой уязвимости (использование в определенных типах атак или имеющие собственные уникальные имена, например, как "Log4Shell").
🟠На рисунке 6 можно увидеть на сколько быстро устраняются уязвимости того или иного вендора с учетом критерия распространенности ПО в организациях.

⚫️Второй раздел документа посвящен рекламе сравнению системы приоритизации устранения уязвимостей NopSec с оценкой CVSS.
Подсветить особо нечего: в данном разделе можно посмотреть какие факторы риска и критерии используются компанией NopSec для приоритизации устранения уязвимостей.

⚫️Третий раздел исследования посвящен сопоставлению тактик, техник и процедур, которые могут использовать злоумышленники при эксплуатации определенных уязвимостей.
🟠Маппинг TTPs на конкретные CVE осуществлялся тремя способами: вручную (экспертной оценкой), с помощью LLM-моделей BERT и Gemini (пример сравнения на последнем рисунке в посте).
🟠Сравнение проводилось в различных сценариях, но во всех случаях LLM-моделям "скармливалась" информация об уязвимостях из базы NVD, что ожидаемо привело к низкому качестве маппинга TTPs, в связи с недостаточным или низким качеством описания конкретных CVE.

#cve #ttp #exposure #prioritization

Ещё один агрегатор "трендовых" уязвимостей⚡️

Есть информация об оценке CVSS, EPSS, признак наличия в каталоге CISA KEV, счетчик обсуждения в соц.сетях, ссылки на новостные ресурсы и краткое описание самой уязвимости. Выглядит довольно скудновато🙂
Всё-таки CVEShield и CVECrowd будут поинтереснее по наполнению.
p.s. И топы уязвимостей тоже отличаются😑

#cve #trends #prioritization

Сложности управления уязвимостями в управлении зависимостями🛠

В сентябре компания Endor Labs выпустила ежегодное исследование о состоянии дел в управлении зависимостями, в котором рассматриваются риски и тенденции, связанные с вопросами управления уязвимостями. Ниже приведу главные выводы и статистику.

➡️Управление зависимостями сводится к эффективной приоритизации.
🟠Отмечается, что только менее 9,5% уязвимостей могут быть проэксплуатированы на уровне функций (как элемента программного кода), т.к. для успеха необходима как минимум возможность вызова уязвимой функции при работе приложения. Таким образом, самым важным критерием приоритизации здесь служит анализ достижимости (reachability analysis), подразумевающий определение того, может ли приложение, имеющее уязвимую функцию, быть выполнено таким образом, чтобы уязвимая функция тоже была выполнена.
🟠Вторым важным критерием приоритизации является использование оценки EPSS. Исследователи рассчитали, что 4 из 5 "достижимых" уязвимостей имеют прогнозируемую вероятность эксплуатации в 1% и менее. Таким образом, совместное использование анализа достижимости и EPSS приводит к тому, что исправлению будет подлежать около 2% всех выявляемых уязвимостей🆒
🟠В то же время, подчеркивается, что устранение уязвимостей требует обновления до мажорной версии зависимости в 24% случаев, минорные обновления могут потенциально "сломать" приложение в 94%, а патчи имеют 75% шанс тоже всё сломать💻
Поэтому приоритизация, развитие SCA-инструментов и культура безопасной разработки должны идти рука об руку.

➡️Управление зависимостями невозможно только с помощью публичных баз данных уязвимостей.
🟠69% бюллетеней безопасности публикуются после выпуска обновлений безопасности со средней задержкой в 25 дней, что увеличивает "окно возможностей" для злоумышленников.
🟠В шести базах данных уязвимостей 47% записей не содержат никакой информации об уязвимостях на уровне кода, 51% записей содержит одну или несколько ссылок на коммиты-исправления и только 2% записей содержат информацию об уязвимых функциях🧐
🟠В четверти записей в различных базах данных уязвимостей содержится некорректная или неполная информация, а порой она отличается от базы к базе.
В отчете можно посмотреть много сравнений в разрезе баз NVD, OSV и GHSA, которые вскрывают множественные проблемы использования и развития баз данных уязвимостей.

➡️Использование ИИ-инструментов облегчает процесс разработки, но усложняет управление зависимостями.
🟠Информация об уязвимых библиотеках для машинного обучения и искусственного интеллекта может существенно различаться в публичных базах данных. Расхождения могут достигать 10%.
🟠В приложениях для ИИ/МО очень часто встречаются "фантомные" зависимости, т.е. зависимости, которые явно не описаны (в манифесте). В первую очередь это связано с тем, что такие приложения в большинстве случаев пишутся на python, где подключают зависимости где и когда угодно😅
🟠При этом 56% выявляемых уязвимостей скрываются как раз в "фантомных" зависимостях, что затрудняет их обнаружение SCA-инструментами.

#dependency #cve #prioritization #epss #vm

Ещё одна база инцидентов в закладки 📌

Ресурс API Security Threat Landscape представляет собой таблицу, содержащую данные об инцидентах, связанных с успешными атаками на API🛠
В этой базе вы сможете найти информацию о выявленных уязвимостях и дефектах, векторах атак, а также о связанных APT-группировках и многом другом. Правда, инцидентов не сильно много: записей чуть более 30, а самая ранняя датируется ноябрем 2021 года.

Кроме того, на гитхабе авторы ресурса представили матрицу угроз для API, в которой описаны тактики, техники злоумышленников и меры защиты от них📝

#api #threat #matrix

"Парольная" выдалась неделька😁

1️⃣Команда исследователей из Proton заглянула (нужен VPN) ещё раз в дарквеб и посмотрела что там по личным данным депутатов и иных сотрудников правительств (USA, FR, GB, EU) есть интересного. Оказывается, много чего, в т.ч. и почтовые переписки с паролями💬
Депутаты тоже люди и не брезгуют регистрацией в различных сервисах и социальных сетях, указывая рабочую почту.
p.s. Русский след тоже упомянули👀

2️⃣ Уже много кто написал про внесение изменений (ещё не утверждённые) в стандарт NIST Special Publication 800-63-4, где торжественно повторили, что не надо заставлять периодически менять пароли (надо только по запросу или при компрометации), а ещё запретили требовать использование различных категорий символов в паролях, запретили банальные контрольные вопросы (типа "как зовут твою собаку?") и запретили запрещать использование пробела в паролях🥳

3️⃣ Всё было бы хорошо с вышеуказанными изменениями в требованиях к паролям, если бы не человеческая природа и поведение🫤
В свежем ежегодном исследовании "Oh, Behave!" от Cybsafe убеждаемся, что в мире всё стабильно: второй год подряд процент опрошенных, включающих в свои пароли личную информацию, такую ​​как имена членов семьи или домашних животных, увеличивается.
Более того, 40% участников исследования используют в качестве пароля одно словарное слово или чьё-то имя😭
p.s. Напомню, что в документе по результатам исследования "Oh, Behave!" можно узнать как различные поколения людей относятся к рискам и правилам кибербезопасности. В этом году также добавили раздел про использование искусственного интеллекта. Ниже прикрепил сам документ.

#password #breach #behave #awareness