Раффаэль Марти, довольно известная личность в ИБ-сообществе, представил свою модель оценки зрелости SIEM и AI SOC, которая призвана объективно оценить зрелость платформ безопасности, прежде всего, опираясь на архитектурные и операционные возможности, исключая классический подход на основе списка функций, дорожных карт и маркетинговых обещаний.

Основная цель новой модели — понять, насколько система способна работать автономно и адаптироваться к изменениям. Фреймворк использует систему оценки от 1 (Legacy/Manual) до 5 (Autonomous/AI-driven) для различных категорий, сгруппированных по четырем доменам:
🔘Данные и управление
🟢Федерализация данных
🟢Оптимизация конвейера
🟢Осведомленность о данных
🟢Производительность
🟢Современный ИИ
🔘Детектирование и обучение
🟢Поиск гипотез
🟢Автоматическая настройка
🟢Адаптивное детектирование
🟢Память детектирования
🔘Риски и контекст
🟢Осведомленность об активах
🟢Оценка риска в реальном времени
🟢Контекст риска
🟢Бизнес-контекст
🔘Операционная реальность
🟢Интерфейс запросов
🟢Автоматизация триажа
🟢Обнаружение слепых зон
🟢Готовность к применению мер в режиме реального времени.

По итогам оценки категорий автор рекомендует обращать внимание не на общий средний балл, а на разрывы между оцениваемыми доменами, т.к. это позволит выявить структурные слабости используемого решения: например, высокий балл за ИИ-функционал, но низкий за качество данных означает, что ИИ будет принимать решение на основе ненадежных данных.

Подробнее про домены и категории можно почитать в блоге автора, оценить используемый SIEM можно на сайте фреймворка или здесь скачать эксельку для оффлайн оценки.

#framework #maturity #soc #siem #ai

А вот еще один фреймворк оценки зрелости AI SIEM/SOC➕

ARMM (AI Response Maturity Model) — фреймворк, призванный оценить насколько эффективно "ядро" ИИ в AI SOC позволяет выполнять функции автоматического реагирования на угрозы.
Всего оценивается чуть более 80 функций в 6 доменах (Identity, Network, Endpoint, Cloud, SaaS, General Options), а направлений оценки два:
🔗Режим оценщика (Evaluator) — подходит для прямого сравнения продуктов "из коробки" с рынка, условно отвечая на вопрос, какой вендор дает больше возможностей за свои деньги.
Каждая функция оценивается с точки зрения автоматизации (от полного отсутствия функции до полной автоматизации), при этом детально расписан уровень автоматизации с участием человека.
🔗Режим архитектора (Builder) — более технический уровень, здесь уже оценивается зрелость функционала, учитывая контекст (организации, команды SecOps, присущих рисков).
Здесь оценка ведется по трем направлениям — точность принятия решений и доверие к ним, сложность внедрения и сопровождения, а также операционное влияние и "радиус поражения" (последствия при ошибочном действии).

Методология оценки в фреймворке ARMM расписана очень подробно, а еще есть удобный онлайн-калькулятор с дашбордами оценки зрелости и возможностью выгрузки результатов в csv-формате.

#framework #maturity #soc #siem #ai

США ввели санкции против российских компаний, специализирующихся на покупке 0-day эксплойтов (например, Operation Zero и Advanced Sec).
Причина: использование эксплойтов в кибератаках против США и союзников нарушение прав интеллектуальной собственности😆
Да, да, вы не ошиблись – главный причиной стало то, что компания Operation Zero купила (у кого-то) восемь эксплойтов, созданных для эксклюзивного использования правительством США, а затем продала их кому-то еще)))

#exploit #sanctions #usa #operationzero

Vulncheck опубликовали топ-50 регулярно эксплуатируемых уязвимостей 2025 года🔝
В реестре содержится информация о самой уязвимости (со ссылкой на базу Vulncheck), оценке CVSS, кол-ве публичных эксплойтов, связанных групп злоумышленников, шифровальщиков и ботнетов.

Помимо топа уязвимостей, также было опубликовано исследование об эксплуатации уязвимостей в 2025 году (ниже прикрепил).
Из интересного:
🟠В каталог Vulncheck KEV было добавлено 884 уязвимости с признаками эксплуатации, причем почти половина из них эксплуатировалось злоумышленниками до момента присвоения идентификатора CVE.
🟠Для 21% опубликованных в 2025 году уязвимостей был доступен эксплойт, однако лишь 1% уязвимостей эксплуатировался злоумышленниками.
🟠Рост использования ИИ для генерации кода привел к появлению большого количества нерабочих эксплойтов, что значительно добавило информационного шума в приоритизацию устранения уязвимостей и разведку киберугроз.
🟠Чуть больше половины уязвимостей, используемых шифровальщиками, были зеродеями, а для трети таких уязвимостей до сих пор нет эксплойтов (публичных или в продаже).

#cve #vm #exploit #report #vulncheck #kev #ransomware

Авторы фреймворка NOVA* запустили TI-портал PromptIntel, на котором аккумулируется информация об индикаторах компрометации промптов (IoPC) — специфических паттернах или артефактах внутри промптов, подаваемых в LLM, которые указывают на потенциальную эксплуатацию, злоупотребление или неправомерное использование модели.

Для каждого индикатора компрометации есть содержание "вредоносного" промпта, теги и метки, описывающие вектор угрозы, связь с моделями LLM, описание возможного негативного влияния, ссылки на источники информации и правила NOVA.
А еще у них там есть раздел MoltThreats, представляющий собой фид данных, где ИИ-агенты делятся информацией об атаках, индикаторах компрометации и мерах защиты🤖

*Фреймворк NOVA — это про генерацию правил (а-ля YARA) для мониторинга и обнаружения подозрительных запросов к LLM, описываемых ключевыми словами, регулярками и т.п.

#ai #llm #prompt #ioc #iopc #ti #nova #threat #framework

✅Немного почистил подборку полезных ресурсов на тему управления уязвимостями: удалил несколько "мертвых" ресурсов, кое-где поменял ссылки, а также добавил несколько ссылок на новые интересные проекты✅

📥Vulnerability Spoiler Alert — ресурс, демонстрирующий результаты работы утилиты Vulnerability Spoiler Alert Action, с помощью которой можно проактивно искать уязвимости на гитхабе и генерировать PoC. Принцип работы прост: утилита анализирует коммиты и пул-реквесты (с помощью прикрученного ИИ-провайдера) на наличие паттернов, описывающих устранение уязвимостей, вычисляет критичность на основе возможного влияния и пробует сгенерировать PoC.

📥PatchaPalooza — предоставляет возможность удобно "почитать" бюллетени от Microsoft. Собирает информацию в визуально приятном формате с различных источников об уязвимостях в продуктах Microsoft, в т.ч. про наличие эксплойтов.

📥Zero Day Clock — аналог часов судного дня для отслеживания медианного времени эксплуатации уязвимостей с момента их раскрытия (time-to-exploit). Помимо страшных графиков есть краткая история как мы к этому пришли и что делать в сложившейся ситуации🙂 А еще там реестр уязвимостей, для которых есть эксплойты (очередной агрегатор).

📥Live Vulnerability Intelligence & Trending CVEs — еще один ресурс про трендовые и активно эксплуатируемые уявзимости (ссылки на посты, эксплойты и прочая информация).

#vm #vulnerability #digest #prioritization #trends #cvss #epss #exploit #kev #poc

Ponemon Institute совместно с ИБ-конторой DTEX выпустили исследование о финансовых последствиях инсайдерских атак. На цифрах останавливаться не буду, а остановлюсь только на презентованной матрице рисков "Human–agent risk interaction matrix" и влиянии ИИ на рост инсайдерских угроз.

Для классификации и оценки рисков инсайдерских угроз, связанных с использованием искусственного интеллекта, сотрудники DTEX разработали специальную матрицу (см. скрин).
В основе матрицы лежит оценка намерений обеих сторон: человека (злонамеренный или незлонамеренный) и ИИ-агента (злонамеренный или незлонамеренный). На пересечении этих состояний формируются четыре основных сценария взаимодействия со своим уровнем риска и сложностью обнаружения:
1️⃣Идеальное состояние — совместная, продуктивная работа, при которой цели обеих сторон совпадают. Взаимодействие приносит взаимную выгоду, приводит к этичным результатам, и полное доверие между человеком и агентом в этом случае оправдано.
2️⃣Враждебный пользователь — в этом сценарии злоумышленником является человек. Пользователь пытается взломать систему (например, через джейлбрейки), использует атаки с помощью внедрения вредоносных промптов или применяет методы социальной инженерии по отношению к ИИ. Правильно настроенный ИИ-агент при этом должен отказывать в выполнении запросов и сопротивляться манипуляциям.
3️⃣Скомпрометированное состояние — человек не имеет дурных намерений и доверяет системе, однако ИИ-агент манипулирует пользователем, обманывает и эксплуатирует его. В результате этих действий, таких как эксфильтрация данных или саботаж, наносится ущерб, причем сам пользователь даже не подозревает о том, что он причиняет вред компании.
4️⃣Сговор — наиболее опасный сценарий, при котором намерения обеих сторон направлены на причинение вреда. Действия носят скоординированный злонамеренный характер, и в системе не остается никаких внутренних ограничений или механизмов противодействия атаке. Это создает потенциал для максимального разрушительного ущерба.

В исследовании заявляется, что главным драйвером роста финансовых потерь от внутренних угроз стала не злонамеренность сотрудников, а их халатность, многократно усиленная использованием «теневого ИИ»:
🔗Сотрудники массово используют ИИ-инструменты для ускорения работы, не фильтруя загружаемые файлы и документы.
🔗ИИ-помощники для автоматической записи встреч создают общедоступные записи с конфиденциальной информацией и персональными данными.
🔗ИИ-браузеры и агенты получают доступ к корпоративным системам, обходя классические контроли и средства логирования.
🔗Использование черных списков для блокировки доступа к ИИ-инструментам уже не помогает, так как количество новых сервисов растет в геометрической прогрессии каждый день.

С учетом массового проникновения автономных ИИ-агентов в инфраструктуру и процессы компаний, авторы предлагают рассматривать их как равноценных пользователей (потенциальных инсайдеров) и перейти к комплексной оценке рисков в соответствии с описанной выше матрицей.

#insider #risk #ai #matrix #costs

Если хотите проверить свои навыки распознавания фишинговых писем, созданных с помощью ИИ-инструментов, и одновременно помочь сообществу исследователей, то добро пожаловать на сайт "Threat Terminal" 🕹

Проект "Threat Terminal" представляет собой интерактивную игру в ретро-стиле: она является частью исследования, целью которого является оценка способности людей выявлять фишинг, созданный с использованием ИИ.
Чтобы внести вклад в исследование, необходимо пройти простую регистрацию, указать направление профессиональной деятельности (технарь/не технарь, ИБ/не ИБ) и определить "легитимность" десятка сгенерированных писем, указав степень уверенности в ответе.
После 30 кейсов открывается режим Эксперта, в котором сценарии будут посложнее👍

Чтобы было поинтереснее, добавили еще ачивки, таблицу лидеров, ранги и персональную статистику🌡

p.s. Из РФ сайт может быть недоступен.

#phishing #ai #training #research #gamification

ℹ️Интересный ресурс с аналитикой и инфографикой по киберинцидентам, зафиксированным в отчетности, подаваемой в Комиссию по ценным бумагам и биржам США (SEC).
Можно посмотреть на какие активы/процессы была направлена атака, тип злоумышленника, вектор атаки, тип влияния, а также в целом почитать про сам инцидент (кратко или сам отчет, направленный в SEC).

Интересные выводы по мнению автора ресурса:
➡️Почти 75% компаний, пострадавших от киберинцидентов, не смогли полностью восстановить свою деятельность.
➡️Более половины инцидентов связаны с утечкой данных или их уничтожением.
➡️Только в 18% инцидентов упоминается наличие киберстрахования.
➡️Финансовый сектор лидирует по количеству киберинцидентов.

#research #statistics #sec #impact #breach #threat

Удаленное выполнение кода в подарок⌨️

У кого‑то сильно пригорело из‑за «дырявости» OpenClaw — аж персональный счетчик дней без уязвимостей сделали😂
Счетчик, кстати, обнулился 1 апреля —и это не шутка)
А так, в среднем 1,8 уязвимости в день получается с момента релиза OpenClaw... И слоган говорящий: "ИИ-помощь — бесплатная RCE включена"😅

#humor #friday #cve #openclaw